Hastane WiFi Loglama: Sağlık Kurumu 5651 ve KVKK Rehberi
Sağlık kurumları, Türkiye'nin en yoğun ziyaretçi trafiğine sahip tesisleri arasında yer alır. Yüzlerce hasta, hasta yakını, refakatçi, tedarikçi ve misafir her gün hastane WiFi ağlarına bağlanır. Bu erişimler hem 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun hem de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında özel dikkat gerektirir. Bu rehberde, hastane WiFi loglama sisteminin nasıl kurulacağını, hangi verilerin saklanması gerektiğini, KVKK hassas veri ayrımını ve çoklu bina senaryolarında bulut tabanlı çözümlerin avantajlarını gerçek uygulamalarla açıklıyoruz.
Hastane WiFi Erişimi: Üç Farklı Kullanıcı Senaryosu ve Yasal Gereklilikler
Bir kamu veya özel hastanenin WiFi altyapısı, genellikle üç ayrı kullanıcı grubuna hizmet verir: hasta ve ziyaretçiler (misafir ağı), personel (dahili ağ) ve tıbbi cihazlar (IoMT – Internet of Medical Things). 5651 sayılı kanunun 6. maddesi, "yer sağlayıcı" tanımına giren her kurumun internet erişim kayıtlarını en az bir yıl saklamasını zorunlu kılar. Hastane, hasta yakınlarına ücretsiz veya ücretli WiFi sunduğu anda yer sağlayıcı statüsüne girer ve bu kayıtları Bilgi Teknolojileri ve İletişim Kurumu (BTK) formatında tutmak zorundadır.
Ancak sağlık kurumlarında kritik fark, KVKK'nın 6. maddesinde tanımlanan "özel nitelikli kişisel veri" kategorisidir. Hasta kimliği, tedavi bilgisi, sağlık raporu gibi veriler özel nitelikli sayılır ve WiFi loglarının bu verilerle karışmaması gerekir. Örneğin, bir hasta yakını misafir WiFi'ye bağlanırken sadece TC kimlik numarası, ad-soyad, bağlantı zamanı ve IP adresi kaydedilir; hangi hastayı ziyaret ettiği veya hangi bölüme gittiği gibi sağlık verileri loglama sistemine kesinlikle dahil edilmemelidir. Bu ayrım, KVKK denetimlerinde en sık sorulan konulardan biridir.
Personel Ağı ve Dahili Erişim Logları
Hastane personeli (doktor, hemşire, idari çalışan) genellikle Active Directory veya LDAP tabanlı bir kimlik doğrulama sistemiyle dahili WiFi'ye bağlanır. Bu ağ, Hastane Bilgi Yönetim Sistemi (HBYS), PACS (görüntüleme arşivi) ve elektronik reçete sistemlerine erişim sağlar. 5651 kapsamında personel erişim kayıtları da saklanmalıdır, ancak bu kayıtlar VLAN segmentasyonu ile misafir loglarından ayrılır. NextLog gibi bulut tabanlı bir çözüm, FortiGate veya Sophos güvenlik duvarından gelen syslog mesajlarını VLAN ID'sine göre otomatik sınıflandırır ve her erişim grubunu ayrı raporlarda sunar. Böylece BTK talebi geldiğinde sadece misafir ağı kayıtları paylaşılır, personel veya tıbbi cihaz logları karışmaz.
5651 Sayılı Kanun: Hastanelerde Hangi Veriler Ne Kadar Süre Saklanır?
5651 sayılı kanunun Trafik Bilgilerinin Saklanması ve İncelenmesi Yönetmeliği (2011), yer sağlayıcıların kaydetmesi gereken alanları şöyle sıralar:
- Kullanıcı kimlik bilgisi: TC kimlik numarası, ad-soyad (yabancı uyruklu ziyaretçiler için pasaport numarası).
- Erişim zamanı: Bağlantı başlangıç ve bitiş zamanı (saniye hassasiyetinde zaman damgası – timestamp).
- Atanan IP adresi: Kullanıcıya DHCP ile verilen yerel veya genel IP.
- Erişim noktası bilgisi: Kullanılan access point MAC adresi veya SSID (ör. "HastaneZiyaretci_WiFi").
- Trafik hacmi (isteğe bağlı): İndirilen/yüklenen veri miktarı (byte cinsinden).
Bu veriler en az bir yıl saklanmalıdır. Ancak KVKK'nın 7. maddesi, kişisel verilerin "işlendikleri amaç için gerekli olan süre kadar" tutulmasını öngörür. Dolayısıyla hastane, 5651 için bir yıllık yasal süreyi doldurduktan sonra logları silmelidir; aksi halde "amaç dışı saklama" ihlali oluşur. NextLog, otomatik veri silme (data retention) politikası sunar: 365 gün sonra eski kayıtlar sistem tarafından kalıcı olarak silinir ve bu işlem KVKK uyumluluk raporunda belgelenir.
KVKK Hassas Veri Ayrımı: Hasta Kimliği ≠ Sağlık Verisi
Bir hasta yakını WiFi'ye bağlanırken TC kimlik numarası verir. Bu, genel kişisel veri kategorisindedir ve 5651 gereği saklanması zorunludur. Ancak aynı kişinin hangi hastayı ziyaret ettiği, hangi teşhis konulduğu veya hangi ilaç reçete edildiği özel nitelikli (hassas) veridir ve WiFi loglama sistemine kesinlikle yazılmamalıdır. Çoğu hastane, ziyaretçi kaydı için ayrı bir "hasta yakını bilgi formu" kullanır; bu form HBYS'de saklanır, WiFi loglarında değil. NextLog'un VLAN bazlı loglama mimarisi, misafir WiFi trafiğini HBYS ağından tamamen izole eder, böylece sağlık verileriyle temas riski ortadan kalkar.
Çoklu Bina ve Kampüs Hastanelerde Merkezi Loglama
Büyük sağlık kampüsleri — örneğin bir üniversite hastanesi veya şehir hastanesi — birden fazla bina, poliklinik, acil servis ve idari bloklardan oluşur. Her binada ayrı bir firewall veya controller bulunabilir (FortiGate 60F poliklinik binasında, FortiGate 100F ana hastanede, MikroTik CCR acil serviste vb.). Geleneksel appliance tabanlı loglama çözümleri, her lokasyona fiziksel sunucu gerektirir ve merkezi raporlama için karmaşık VPN tünelleri kurmayı zorunlu kılar. Bulut tabanlı NextLog ise tüm binaların syslog trafiğini tek bir portal üzerinden toplar:
- Her FortiGate/MikroTik/Sophos cihazı, syslog hedefi olarak NextLog bulut IP adresini gösterir (ör.
log.nextlog5651.com:514). - Loglar gerçek zamanlı olarak buluta akar; bina başına ayrı "lokasyon etiketi" ile işaretlenir.
- Hastane BT yöneticisi, web panelinden tüm binaların erişim raporlarını tek ekranda görür, BTK talebi geldiğinde sadece ilgili bina/tarih aralığını filtreler ve PDF çıktı alır.
Bu yaklaşım, özellikle şehir hastaneleri gibi 1000+ yatak kapasiteli tesislerde maliyet ve yönetim kolaylığı sağlar. Ayrıca, her bina için ayrı lisans ücreti alınmaz; tüm kampüs tek abonelik altında izlenir.
Kurulum Adımları: FortiGate Üzerinde Hastane Misafir WiFi Loglama
Aşağıda, bir Fortinet FortiGate güvenlik duvarı ve FortiAP access point altyapısına sahip hastane için NextLog entegrasyonunun adım adım kurulumu yer alıyor:
1. Misafir VLAN ve Captive Portal Yapılandırması
FortiGate CLI veya GUI üzerinden misafir VLAN (ör. VLAN 50, subnet 10.50.0.0/24) oluşturun. Bu VLAN, hastane dahili ağından (VLAN 10) ve tıbbi cihaz ağından (VLAN 20) tamamen izole edilmelidir. Captive portal ayarlarında:
- Kimlik doğrulama yöntemi: TC kimlik numarası + SMS OTP veya e-posta doğrulama.
- Kullanım sözleşmesi: KVKK aydınlatma metni ve 5651 bilgilendirmesi (kullanıcı "Okudum, Kabul Ediyorum" kutusunu işaretlemeden bağlanamaz).
- Oturum süresi: 24 saat (hasta yakınları için makul bir süre; süre dolunca yeniden kimlik doğrulama gerekir).
2. Syslog Hedefi Tanımlama
FortiGate'te Log & Report > Log Settings > Remote Logging bölümünden yeni bir syslog sunucusu ekleyin. IP adresi olarak NextLog bulut endpoint'ini, port olarak 514 veya 6514 (TLS şifreli) girin. Log türü seçimi: "Event Log" ve "Traffic Log" seçeneklerini aktif edin; böylece hem kimlik doğrulama olayları (authentication success/failure) hem de trafik kayıtları (source IP, destination IP, timestamp) buluta gönderilir.
3. VLAN Bazlı Filtreleme
NextLog panelinde, FortiGate cihazını eklerken "VLAN ID = 50" filtresini tanımlayın. Sistem, gelen syslog mesajlarında VLAN 50 etiketini arar ve sadece bu trafiği "Misafir WiFi – Hastane Ziyaretçi" kategorisine atar. VLAN 10 (personel) ve VLAN 20 (IoMT) logları ayrı kategorilerde saklanır veya tamamen hariç tutulur (KVKK veri minimizasyonu ilkesi gereği).
4. Test ve Doğrulama
Bir test cihazıyla (akıllı telefon) misafir WiFi'ye bağlanın, TC kimlik numarası ve SMS kodu ile giriş yapın. NextLog panelinde Canlı Log Görüntüleme ekranını açın; 10-15 saniye içinde yeni bir kayıt görünmelidir. Kayıtta şu alanlar mutlaka bulunmalıdır: kullanıcı TC kimlik numarası, bağlantı zamanı (ISO 8601 formatında), atanan IP, SSID adı. Eksik alan varsa FortiGate syslog formatını kontrol edin (bazı modellerde "verbose" modu açılmalıdır).
KVKK Uyumlu Raporlama ve Denetim Hazırlığı
Kişisel Verileri Koruma Kurumu (KVKK), sağlık kurumlarını yüksek riskli veri sorumlusu olarak sınıflandırır ve periyodik denetimler yapar. WiFi loglama sistemi denetiminde şu sorular sorulur:
- Hangi kişisel veriler toplanıyor ve yasal dayanağı nedir? (Cevap: TC kimlik, IP, zaman damgası; yasal dayanak 5651 md. 6)
- Veriler ne kadar süre saklanıyor ve otomatik silme mekanizması var mı? (Cevap: 365 gün, NextLog otomatik data retention)
- Özel nitelikli sağlık verileri loglama sistemine karışıyor mu? (Cevap: Hayır, VLAN segmentasyonu ile izole)
- Veri güvenliği nasıl sağlanıyor? (Cevap: TLS 1.2+ şifreli syslog, bulutta AES-256 şifreleme, rol bazlı erişim kontrolü)
- Kullanıcılar KVKK aydınlatma metnini görüyor mu? (Cevap: Evet, captive portal'da zorunlu onay)
NextLog, bu soruların tamamına yanıt veren KVKK Uyumluluk Raporu üretir. Rapor, saklanan veri türlerini, saklama sürelerini, erişim loglarını (hangi yönetici ne zaman rapor çekti) ve silme işlemlerini (365 gün sonra otomatik purge) belgeler. Denetim sırasında bu rapor, kurumun "teknik ve idari tedbirleri aldığını" kanıtlar.
Karşılaştırma: Appliance vs. Bulut Tabanlı Loglama
| Özellik | Fiziksel Appliance (Sunucu) | Bulut Tabanlı (NextLog) |
|---|---|---|
| İlk Yatırım | 50.000-150.000 TL (donanım + lisans) | 0 TL (abonelik modeli) |
| Kurulum Süresi | 2-4 hafta (donanım temini, rack montaj, yazılım kurulum) | 1-2 gün (syslog yönlendirme) |
| Çoklu Bina Desteği | Her binaya ayrı sunucu veya VPN tüneli | Merkezi bulut, sınırsız lokasyon |
| Yedekleme ve Felaket Kurtarma | Manuel yedekleme, offsite depolama gerekli | Otomatik bulut yedekleme, coğrafi replikasyon |
| Yazılım Güncellemeleri | BT ekibi manuel günceller (downtime riski) | Otomatik, sıfır downtime |
| KVKK Uyumluluk Raporları | Özel yazılım geliştirme gerekebilir | Hazır şablonlar, tek tıkla PDF |
| Ölçeklenebilirlik | Kapasite dolunca yeni donanım | Sınırsız log kapasitesi |
Özellikle 500+ yatak kapasiteli hastaneler için bulut tabanlı çözüm, hem maliyet hem de operasyonel verimlilik açısından net üstünlük sağlar. Ancak bazı kamu hastaneleri, veri egemenliği politikası gereği on-premise çözüm tercih edebilir; bu durumda NextLog'un private cloud seçeneği (kurumun kendi veri merkezinde kurulu bulut instance) kullanılabilir.
Sık Sorulan Sorular (FAQ)
Hasta yakınları WiFi'ye bağlanırken hangi kimlik belgesi istenir?
5651 sayılı kanun, Türkiye Cumhuriyeti vatandaşları için TC kimlik numarası zorunlu kılar. Yabancı uyruklu ziyaretçiler için pasaport numarası veya uluslararası kimlik belgesi kabul edilir. Sadece ad-soyad yeterli değildir; BTK denetimlerinde kimlik numarası eksikliği tespit edilirse idari para cezası uygulanır (2024 itibarıyla 10.000-50.000 TL arası).
Refakatçi konaklama odalarında WiFi loglama nasıl yapılır?
Bazı hastaneler, hasta yakınları için konaklama odası (refakatçi odası) sunar. Bu odalardaki WiFi erişimi de 5651 kapsamındadır. Çözüm: Her odaya ayrı VLAN veya oda numarası bazlı captive portal. Örneğin, refakatçi Oda 201'e girdiğinde, WiFi şifresi yerine oda numarası + TC kimlik numarası ile giriş yapar. NextLog, oda numarasını "erişim noktası" alanına yazar; böylece BTK talebi geldiğinde "X tarihinde Oda 201'den bağlanan kullanıcı" sorgusu hızlıca cevaplanır.
Personel WiFi logları da BTK'ya verilir mi?
Hayır. BTK talepleri genellikle "internet erişim sağlayıcısı" kapsamında, yani dışarıya (internete) açık ağlar için gelir. Personel ağı, dahili sistemlere (HBYS, PACS) erişim sağlar ve internete çıkış genellikle proxy üzerinden kontrollüdür. Ancak personel de internete çıkıyorsa (ör. kişisel e-posta, sosyal medya), bu trafik de loglanmalıdır. NextLog'da VLAN bazlı ayrım sayesinde, BTK talebi sadece misafir VLAN'ına yönlendirilir; personel logları paylaşılmaz (veri minimizasyonu ilkesi).
WiFi logları ne kadar yer kaplar? Depolama maliyeti nedir?
Ortalama bir hastane (500 yatak, günde ~2000 ziyaretçi), günlük 50.000-100.000 syslog satırı üretir. Her satır ~500 byte ise, günlük 25-50 MB, yıllık ~18 GB veri oluşur. NextLog bulut altyapısında, bu veri sıkıştırılır ve yedeklenir; ek depolama ücreti alınmaz (abonelik fiyatına dahil). Appliance çözümlerde ise, disk kapasitesi dolunca yeni disk ekleme maliyeti (10.000+ TL) ortaya çıkar.
KVKK denetiminde loglama sistemi nasıl gösterilir?
KVKK denetçileri, genellikle şu belgeleri talep eder: (1) Veri işleme envanteri (hangi veriler, hangi amaçla), (2) Aydınlatma metni (captive portal ekran görüntüsü), (3) Veri saklama ve silme politikası (NextLog otomatik retention ayarları), (4) Erişim kontrol matrisi (hangi personel loglara erişebilir). NextLog panelinde Ayarlar > KVKK Uyumluluk bölümünden tüm bu belgeler tek PDF olarak indirilebilir. Ayrıca, denetçiye canlı demo yapılabilir: rastgele bir tarih seçilir, o tarihteki loglar gösterilir, ardından 365 günden eski bir tarih seçilir ve "veri bulunamadı" mesajı gösterilerek otomatik silme kanıtlanır.
NextLog ile Hastane WiFi Loglama: Öne Çıkan Özellikler
NextLog, sağlık sektörüne özel geliştirdiği modüller sayesinde hastane BT ekiplerine şu avantajları sunar:
- VLAN Bazlı Otomatik Sınıflandırma: Misafir, personel, IoMT trafiği otomatik ayrılır; KVKK hassas veri karışımı riski sıfırlanır.
- Çoklu Bina Merkezi Yönetim: Şehir hastanesi, poliklinik, acil servis gibi tüm lokasyonlar tek panelde izlenir.
- Gerçek Zamanlı Alarm: Anormal trafik (ör. bir kullanıcı 1 saatte 10 GB indirdi) veya başarısız kimlik doğrulama denemeleri (brute-force saldırısı) anında e-posta/SMS ile bildirilir.
- BTK Formatında Hazır Rapor: BTK talebi geldiğinde, tarih aralığı ve kullanıcı bilgisi girilir; sistem otomatik olarak Excel ve
Sık Sorulan Sorular
5651 loglama ve hotspot hakkında en çok sorulan konular.
- NextLog5651 ile 5651 uyumlu loglama nasıl sağlanır?
- Firewall veya hotspot cihazınızdan gelen oturumlar NextLog5651 tarafından toplanır, imzalanır ve yasal formatta arşivlenir.
- Kimler NextLog5651 kullanmalı?
- Misafir veya personel interneti veren otel, fabrika, hastane, kamu kurumu ve KOBİ'ler.
- Teklif ve keşif için nasıl iletişime geçilir?
- 0312 945 36 42 numaralı telefon, satis@datakobi.com e-posta veya nextlog5651.com/iletisim formu.
Ağınızın Güvenliğini Şansa Bırakmayın
NextLog 5651 Loglama ve Hotspot sistemleriyle işletmenizi yasal risklerden koruyun.