NetKlinik
Giriş

Veri İşleyen Sözleşmesi (DPA)

Son Güncelleme

7 Mayıs 2026

Veri İşleyen Sözleşmesi (DPA)

Yürürlük: 15 Mayıs 2026, Sürüm: 1

1. Taraflar

  • Veri Sorumlusu (Klinik): [KLİNİK ÜNVANI], [KLİNİK ADRES], [KLİNİK İLETİŞİM] ("Klinik")
  • Veri İşleyen (NetKlinik): "NetKlinik", iletisim@netklinik.tr ("NetKlinik")

2. Tanımlar

KVKK ve GDPR'da yer alan "kişisel veri", "işleme", "veri sorumlusu", "veri işleyen", "alt-işleyen" tanımları geçerlidir.

3. Sözleşmenin Konusu

NetKlinik, Klinik adına diş klinik yönetim SaaS hizmetini sunarken Klinik'in talimatları çerçevesinde kişisel veri işler. Bu sözleşme, KVKK m.12 ve GDPR m.28 kapsamında işleyici yükümlülüklerini düzenler.

4. İşleme Süresi ve Sonu

  • İşleme, hizmet aboneliği boyunca devam eder.
  • Sözleşme bitiminde Klinik'in tercihi doğrultusunda veri iadesi (CSV/JSON/PDF dışa aktarım) veya imha gerçekleştirilir; imha en geç 90 gün içinde tamamlanır.

5. İşleme Talimatları

NetKlinik, Klinik'in dokümante edilmiş talimatları (sözleşme + sistem ayarları + destek talepleri) dışında veri işlemez. İstisna: yasal yükümlülükler (yetkili kamu kurumu talebi, mahkeme kararı). Bu durumda mümkün olduğunca Klinik'e bilgi verilir.

6. Veri Kategorileri ve İlgili Kişiler

EK-2'de tablo halinde verilmiştir:

  • İlgili kişiler: Klinik personeli (hekim, sekreter, yönetici), hastalar.
  • Veri kategorileri: Kimlik, iletişim, sağlık (özel nitelikli), ödeme yönlendirme, audit.

7. Alt-İşleyen Kullanımı

  • Klinik, EK-1'de listelenen alt-işleyenlerin kullanımına genel izin verir.
  • Yeni alt-işleyen eklenmesinde NetKlinik 30 gün önceden yazılı bildirimde bulunur.
  • Klinik, makul gerekçe ile yeni alt-işleyene itiraz edebilir; çözüm bulunamazsa Klinik'in fesih hakkı saklıdır.
  • NetKlinik, alt-işleyenlerle bu DPA'nın özünü taşıyan sözleşmeler imzalamakla yükümlüdür.

8. Güvenlik Önlemleri (KVKK m.12)

NetKlinik, sektör standardı teknik ve idari önlemleri uygular:

  • Aktarım şifrelemesi (TLS 1.2+)
  • Hassas alanlarda at-rest şifreleme; arama için blind index
  • Rol bazlı erişim kontrolü, en az ayrıcalık ilkesi
  • Audit log ve immutable trigger
  • Yedek altyapısında nesne kilidi (Object Lock)
  • Düzenli güvenlik denetimi ve sızma testi
  • Çalışan eğitimi ve gizlilik taahhütnamesi

9. Kişisel Veri İhlali Bildirimi

NetKlinik, ihlalden haberdar olduktan sonra 24 saat içinde Klinik'i bildirir. Klinik, KVKK m.12/5 uyarınca 72 saat içinde KVKK Kurulu bildirimi yapma yükümlülüğünü taşır; NetKlinik teknik bilgi ve destek sağlar.

10. İlgili Kişi Hakları Desteği

Klinik'e ulaşan ilgili kişi başvurusu (KVKK m.11) NetKlinik'in teknik bilgisini gerektiriyorsa, NetKlinik 7 gün içinde gerekli teknik bilgiyi sağlar.

11. Denetim Hakkı

  • Klinik, yılda bir denetim talep edebilir.
  • NetKlinik, sektör standardı bağımsız üçüncü taraf denetim raporlarını (varsa) ve self-assessment dokümanlarını sunar.
  • Yerinde denetim talepleri 30 gün öncesinden bildirim ile değerlendirilir.

12. Sözleşme Bitiminde

Veri iadesi veya imhanın tamamlandığına dair teyit yazısı Klinik'e iletilir. Audit log'lar yasal saklama süreleri boyunca anonimleştirilerek korunur.

13. Sorumluluk

KVKK m.12/2 uyarınca Klinik ve NetKlinik müştereken sorumludur. Sözleşme kapsamındaki sorumluluk sınırı Hizmet ve Abonelik Sözleşmesi ile uyumludur.

14. Geçerli Hukuk ve Yetki

Türkiye Cumhuriyeti hukuku; İstanbul Anadolu Mahkemeleri ve İcra Daireleri.

EK-1: Alt-İşleyen Listesi

Güncel liste için bkz. https://netklinik.tr/alt-isleyenler.

EK-2: Veri Kategorileri Tablosu

Kategori Veri Türleri İlgili Kişi
Kimlik Ad, soyad, TC kimlik no Personel, hasta
İletişim E-posta, telefon, adres Personel, hasta
Sağlık (özel nitelikli) Anamnez, teşhis, tedavi, görüntü, reçete Hasta
Ödeme Fatura, sigorta Klinik, hasta
Audit Oturum, IP, eylem kaydı Personel