🚀 Dijital dönüşümünüze bugün başlayın! İlk 3 imza ücretsiz - Hemen deneyin!

← Trust Center

HIPAA Self-Attestation

imzala.org platformu, ABD Health Insurance Portability and Accountability Act (HIPAA, 1996) kapsamındaki teknik, fiziksel ve idari safeguards gereksinimlerinin önemli bölümünü karşıladığını öz beyan eder.

Beyan Düzeyi — Self-Attestation

Bu doküman bir self-attestation (öz beyan)dır. HHS Office for Civil Rights tarafından düzenlenmiş bir HIPAA sertifikası DEĞİLDİR — HIPAA'da "sertifikasyon" mekanizması yoktur. HIPAA uyumluluğu, Covered Entity ve Business Associate'lerin kendi safeguards'larını uygulamaları ile sağlanır. Bağımsız 3rd party HIPAA assessment hizmeti müşteri talebine göre düzenlenebilir.

📌 imzala.org HIPAA Statüsü

imzala.org doğrudan bir Covered Entity (sağlık hizmeti sağlayıcısı, sağlık planı veya healthcare clearinghouse) değildir. ABD'li bir healthcare müşterimiz (klinik, hastane, diş hekimi vb.) imzala.org'u kullanmayı tercih ettiğinde, imzala.org Business Associate (BA) rolünü üstlenebilir. Bu durumda müşteriyle Business Associate Agreement (BAA) imzalanır.

1. HIPAA Yapısı (Kısa Açıklama)

HIPAA aşağıdaki ana kısımlardan oluşur:

  • Privacy Rule (45 CFR §164.500-§164.534) — PHI'nin hangi durumda kullanılıp paylaşılabileceği
  • Security Rule (45 CFR §164.302-§164.318) — ePHI için teknik, fiziksel, idari safeguards
  • Breach Notification Rule (45 CFR §164.400-§164.414) — İhlal bildirim süreçleri
  • Enforcement Rule (45 CFR §160.300-§160.552) — HHS OCR yaptırım yetkisi
  • HITECH Act (2009) — HIPAA'yı güncelleyen ve cezaları artıran düzenleme

2. PHI ve ePHI Nedir?

PHI (Protected Health Information): bir bireyin sağlık durumuna, sağlık hizmeti alımına veya sağlık hizmeti ödemesine ilişkin tanımlanabilir kişisel bilgiler. 45 CFR §164.514(b)(2) altında 18 PHI tanımlayıcısı listelenmiştir (ad, adres, doğum tarihi, SSN, e-posta, IP, biometric vb.).

ePHI (electronic PHI): elektronik formatta PHI.

3. HIPAA Security Rule Safeguards

3.1 Administrative Safeguards (45 CFR §164.308)

CFR § Gereksinim Uygulama Durumu
(a)(1) Security Management Process 🟡 Risk assessment dokümante (NIST SP 800-66r2 sablonu, müşteri talebine göre güncellenir)
(a)(2) Workforce Security 🟡 NDA + AUP imzalı; background check kritik personel için ISO 27001 sürecinde planlı
(a)(3) Information Access Management ✅ RBAC, least-privilege, periyodik review
(a)(4) Security Awareness Training 🟡 Yıllık eğitim platformu ISO 27001 sürecinde planlı (KnowBe4 vb.)
(a)(5) Security Incident Procedures ✅ Incident response runbook (5 fazlı)
(a)(6) Contingency Plan ✅ DR plan + 4-katmanlı backup + DR drill PASS
(a)(7) Evaluation 🟡 Yıllık review yol haritasında
(a)(8) Business Associate Agreements ✅ BAA template hazır, talep üzerine imzalanır

3.2 Physical Safeguards (45 CFR §164.310)

imzala.org fiziksel veri merkezi işletmez; tüm üretim altyapısı Hetzner Online GmbH (Falkenstein, Almanya) veri merkezindedir. Hetzner ISO 27001 sertifikalıdır ve aşağıdaki physical safeguards uygulanır:

  • Multi-factor physical access control (kart + biyometrik)
  • 24/7 video gözetim
  • Çevresel kontroller (yangın, su, sıcaklık)
  • Power redundancy (UPS + jeneratör)
  • Network redundancy (multiple ISP)
  • Disposal procedures (donanım imha)

Hetzner ISO 27001 sertifikası kamuya açıktır ve doğrulanabilir.

3.3 Technical Safeguards (45 CFR §164.312)

CFR § Gereksinim Uygulama Durumu
(a)(1) Access Control ✅ MFA + JWT RS256 + RBAC
(a)(2)(i) Unique User Identification ✅ User.id (UUID) + email unique constraint
(a)(2)(ii) Emergency Access Procedure 🟡 Admin override prosedürü dokümante; müşteri talebine göre detay
(a)(2)(iii) Automatic Logoff ✅ JWT expiry 30 dk + idle timeout
(a)(2)(iv) Encryption and Decryption 🟡 TLS 1.2/1.3 transit + AES-256 off-site backup. PostgreSQL TDE eIDAS AES sürecinde planlı
(b) Audit Controls ✅ Application + KMS + K8s API audit log (5 yıl)
(c)(1) Integrity ✅ KMS dijital imza + SHA-256 hash chain
(d) Authentication ✅ MFA + OTP (e-posta, SMS) + biyometrik (opsiyonel)
(e) Transmission Security ✅ TLS 1.2/1.3, modern cipher suite

Açıklama: ✅ = uygulanıyor, 🟡 = kısmen uygulanıyor / yol haritasında, ❌ = uygulanmıyor. Hiçbir HIPAA Security Rule gereksinimi tamamen "❌" değildir.

4. Healthcare Mode (Müşteri Talebine Göre)

ABD'li healthcare müşterilerimiz için organization seviyesinde "HIPAA mode" aktive edilebilir. Bu mod aktif olduğunda ek kontroller uygulanır:

  • Tüm üyeler için 2FA zorunlu hale getirilir
  • PHI alanları için field-level encryption aktive edilir
  • Audit log 7 yıl saklama (HIPAA §164.530(j))
  • PII log scrubbing tam mode'a alınır (IP scrubbing dahil)
  • Marketing/analytics tracking devre dışı bırakılır
  • Tüm subprocessor erişimleri BAA imzalı kanallarla sınırlandırılır

Healthcare mode aktivasyonu için: [email protected]

5. Business Associate Agreement (BAA)

imzala.org'u Business Associate olarak kullanan ABD'li Covered Entity'ler ile HIPAA §164.504(e) gereksinimlerine uygun BAA imzalanır. BAA template ana hükümleri:

  • İzin verilen kullanım ve açıklamalar (Permitted uses and disclosures)
  • Gerekli safeguards (Required safeguards)
  • Subcontractor sözleşmeleri (Subcontractor agreements)
  • İhlal bildirim süresi: 60 gün (HIPAA standart)
  • Termination hakları
  • PHI'nin sözleşme sonu yönetimi (return / destroy)
  • HHS OCR audit hakkı
  • Indemnification ve liability sınırları

BAA template örneği talep üzerine sağlanır: [email protected] veya /legal/baa.

6. Subprocessor Yönetimi (Downstream BAA)

imzala.org'un PHI işleyebilen subprocessor'ları (PHI'ya doğrudan erişimi olan veya olabilen) ile downstream BAA imzalanmalıdır. Şu an PHI'ya potansiyel erişimi olan subprocessor'lar:

  • Hetzner — sunucu altyapısı; doğrudan PHI okuma yetkisi yok ancak storage layer'da bulunur. ISO 27001 + GDPR DPA imzalıdır.
  • Cloudflare — request layer; HIPAA-eligible service tier kullanılırsa BAA imzalanır
  • Mailgun — e-posta içerikleri; HIPAA Compliant Tier mevcut

Pazarlama / analitik servisler (GA4, Meta Pixel, vb.) HIPAA mode aktif organizasyonlarda devre dışı bırakılır.

7. İhlal Bildirim (Breach Notification Rule)

HIPAA §164.400-§164.414 gereği:

  • 60 gün içinde Covered Entity'ye bildirim (BA → CE)
  • Covered Entity 60 gün içinde etkilenen bireylere bildirim
  • 500+ kişi etkilendi ise HHS Secretary'ye bildirim + medya bildirimi
  • 500'den az ise yıllık özet bildirim (yıl sonu)

Bizim incident response runbook'umuz 72 saat hedefiyle çalışır (KVKK + GDPR ile uyumlu, HIPAA'nın 60 günden çok daha hızlı).

8. Risk Assessment Dokümantasyonu

HIPAA §164.308(a)(1)(ii)(A) gereği risk assessment dokümanı:

  • NIST SP 800-66r2 sablonu kullanılır
  • 18 PHI element tehdit ve risk skoru
  • Threat sources (insider, external, environmental)
  • Vulnerabilities (technical, operational)
  • Likelihood × Impact = Risk score
  • Risk treatment: accept / mitigate / transfer / avoid
  • Yıllık güncellenir + major change durumunda

Risk Assessment Report müşteri talebine göre NDA sonrasında paylaşılır.

9. Limitations / Sınırlamalar

imzala.org HIPAA-certified DEĞİLDİR (zaten HIPAA'da resmi sertifika mekanizması yoktur). Aşağıdaki durumlar BAA imzasını gerektirir:

  • ABD'li healthcare provider, payer veya clearinghouse müşterisi
  • PHI içeren sözleşmelerin platformda imzalanması
  • Patient consent forms, hasta bilgileri, sigorta dokümanları

BAA imzalanmadan PHI imzala.org platformuna yüklenmemelidir. Aksi takdirde Covered Entity HIPAA ihlal riskine girer.

10. İletişim

Codeck Yazılım A.Ş. (operating imzala.org)

VKN: 2111145165

HIPAA Inquiries: [email protected]
BAA Request: [email protected] (subject: BAA Request)
Privacy Officer: [email protected]
Security Officer: [email protected]

Self-attestation date: 29 April 2026 — Version: 1.0

Bu beyan HIPAA (1996), HITECH Act (2009), 45 CFR Parts 160, 162, 164 ve HHS OCR guidance dikkate alınarak hazırlanmıştır. Hukuki tavsiye niteliği taşımaz; spesifik durumlarınız için ABD healthcare law uzmanı bir avukata danışın.

Demo Talep Et

15 dakikalık ücretsiz demo ile imzala.org'un kurumunuza nasıl uyduğunu birlikte görelim.

E-posta veya telefondan en az birini doldurun.