Görüşme Yap
Blog'a dön
16 Mayıs 20265 dk okumaYazar: Görüşme Yap

Online terapi güvenli mi? KVKK ve şifreleme rehberi

Online terapi güvenli mi sorusu üç katmanlıdır: teknik, hukuki ve klinik. KVKK ve şifreleme açısından terapistler için bütüncül bir rehber.

GüvenlikKVKKOnline terapi
Online terapi güvenli mi? KVKK ve şifreleme rehberi

"Online terapi güvenli mi?" sorusu duruyorken sade görünür ama aslında üç ayrı soruyu birden taşır. Terapistin kafasında "güvenlik" denince akla önce şifreleme gelir; danışan tarafında soru çoğunlukla "kayıt mı tutuluyor?" şeklinde sorulur; hukuki tarafta ise KVKK çerçevesi devreye girer.

Bu üç boyut birbirini tamamlar. Sadece şifreleme yeterli değildir; sadece hukuki uyum da değildir. Terapötik temasın güvenli kalması için üçünün de aynı anda işlemesi gerekir. Bu yazıda her bir katmanı ayrı ayrı açtık, yaygın yanılgılara değindik ve seans öncesi taranabilecek pratik bir kontrol listesi paylaştık.

Teknik güvenlik — şifreleme ve veri minimizasyonu

Teknik güvenlik bu üçlünün en somut katmanıdır. Ölçülebilir; cihaz, ağ ve yazılım üzerinde gözlenebilir.

Bir online terapi seansının teknik açıdan güvenli sayılabilmesi için şu özellikler bir arada bulunmalıdır:

  • Uçtan uca şifreleme: Danışan ile terapist arasındaki ses ve görüntünün, akışın ortasındaki sunucu tarafından bile okunamaması.
  • Veri minimizasyonu: Seans için gerekmeyen hiçbir verinin toplanmaması.
  • Erişim kontrolü: Sadece yetkili kullanıcının seansa girebilmesi; bekleme odası ve kimlik doğrulama.
  • Açık güvenlik dokümantasyonu: Sağlayıcının ne yaptığını ve neyi yapmadığını yazılı olarak açıklaması.

Uçtan uca şifrelemenin nasıl çalıştığını detaylı şekilde başka bir dokümanda ele aldık. Burada vurgulanması gereken şu: "şifreli iletim" ile "uçtan uca şifreleme" aynı şey değildir. Birincisi yalnızca veri ağda yolculuk ederken korur; sunucuya ulaştığında şifre açılır. İkincisi, sunucunun bile veriyi açamadığı modelidir. Terapide farkı yaratan da bu kategoridir.

Şifrelemenin yokluğu açık bir risktir; varlığı ise tek başına bir güvence değildir.

Aynı şekilde, bir araç şifreli olsa bile gereksiz metadata topluyorsa (kim kiminle, ne zaman, ne kadar konuştu) hassas veri yine açığa çıkar. Bu yüzden veri minimizasyonu şifreleme kadar kritiktir. Bir platformun "tüm verileri güvende" demesi yetmez; hangi veriyi neden topladığını ve neyin tutulmadığını da göstermesi gerekir.

Türkiye Kişisel Verileri Koruma Kurulu, psikolojik sağlık verisini "özel nitelikli kişisel veri" olarak sınıflandırır — yani genel kişisel veriden daha yüksek bir koruma seviyesi gerektirir. Bu sınıflandırma teknik tedbirlerin de daha sıkı olmasını zorunlu kılar.

Hukuki güvenlik — KVKK çerçevesi

Teknik korumalar yerinde olsa bile, hukuki çerçeve doğru kurulmadığında güvenlik eksik kalır. Türkiye'de bu çerçevenin temeli KVKK'dır ve psikolojik sağlık verisi mevzuatın "özel nitelikli kişisel veri" kategorisinde yer alır.

Veri sorumlusu kim?

Tek başına çalışan bir terapist bile, danışanına ait bilgileri işlediği anda veri sorumlusu olur. Bu rol kurumlara mahsus değildir.

Veri sorumlusu olarak terapistin temel yükümlülükleri:

  • İşlenen veriyi sınırlı tutmak
  • Veriyi nereden, neden ve ne kadar süre tuttuğunu belgelemek
  • Güvenlik ihlallerine karşı teknik ve idari tedbirler almak
  • Danışanın silme ve düzeltme taleplerini karşılamak

Platform sağlayıcı ise çoğu zaman veri işleyen konumundadır. İkisi arasında bir sözleşme bulunması, sorumluluğun nerede başlayıp nerede bittiğini netleştirir.

Aydınlatma yükümlülüğü

KVKK, veri sorumlusunun danışanı verisinin ne için, ne kadar süre ve kimle paylaşılarak işleneceği konusunda önceden bilgilendirmesini ister. Bu, "aydınlatma yükümlülüğü"dür ve bir defa imzalanan bir form değildir; sürecin başında danışanın görebileceği, anlayabileceği bir metin olmalıdır.

2026 başında çıkan bir ilke kararı, aydınlatma metni ile açık rıza metninin ayrı belgeler olarak hazırlanması gerektiğini netleştirdi. Aydınlatma metni örneğimiz bu ayrımı koruyarak yapılandırılmıştır.

Kayıt, üçüncü taraf paylaşımı ve veri saklama süreleri gibi konular KVKK uyumlu video görüşme rehberinde daha pratik bir çerçevede ele alındı.

Klinik güvenlik — gizlilik fiziksel ortamdan da gelir

Güvenliğin üçüncü katmanı çoğunlukla atlanır: klinik güvenlik. Şifreleme ve KVKK bütünüyle yerinde olsa bile, danışanın seans sırasındaki fiziksel ortamı, terapistin kontrolünde olmayan bir risk yüzeyidir.

Online seansta klinik güvenliğin bozulduğu yaygın durumlar:

  • Danışan açık alanda ya da başkalarının olduğu bir odada bağlanıyor
  • Mikrofon başka bir konuşmayı taşıyor
  • Ekran paylaşıldığında bildirimler görünüyor
  • Cihaz başka biriyle paylaşılıyor; tarayıcı geçmişi açıkta kalıyor
  • Aile üyeleri arasında ortak hesaplar üzerinden seansa bağlanılıyor

Bu noktada terapistin görevi, danışanı seans öncesinde kısaca yönlendirmektir. "Kapısı kapalı bir yerde olabilir misiniz?" sorusu, en güçlü güvenlik tedbiridir. Aynı şekilde "kulaklık kullanabilir misiniz?" sorusu mikrofon kaynaklı sızıntıların çoğunu önler.

Klinik güvenlik bir kez sorulup geçilen bir konu değildir. Düzenli danışanlarda zamanla ortam değişebilir — yeni bir ev, yeni bir ev arkadaşı, ofiste alınan bir seans. Terapist için faydalı bir alışkanlık, ilk birkaç dakikada "Bugün rahatlıkla konuşabileceğin bir yerde misin?" sorusunu pratiğin parçasına dönüştürmektir.

EMDR gibi yüksek odak gerektiren seanslarda klinik güvenlik daha da kritik olur; bu konuyu EMDR güvenlik dokümanında ayrıca ele aldık.

Yaygın yanılgılar

Online terapi güvenliğini tartışırken iki yanılgı sık sık geri döner. İkisini de açıkça adlandırmak gerekir.

"WhatsApp uçtan uca şifreli, sorun yok"

WhatsApp gerçekten uçtan uca şifreli bir aktarım sağlar. Ancak güvenlik tek başına şifreleme değildir:

  • Veriler yurt dışındaki bir altyapıda işlenir; KVKK açısından sınır ötesi aktarım meselesi doğar
  • Yedekler her zaman uçtan uca şifreli değildir (özellikle eski cihazlarda)
  • Profil resmi, mesaj önizlemeleri ve son görülme bilgileri başka bir metadata katmanı oluşturur
  • Klinik tarafta terapist kontrol hissini koruyamaz — bildirimler, başka sohbetler, profil bilgileri seansa sızar

Kısa lojistik iletişim için kullanılabilir; ama seansın kendisi için uygun bir araç değildir.

"Kayıt almıyorsam KVKK beni bağlamaz"

Bu en sık tekrarlanan yanılgıdır. KVKK kapsamı "kayıt" ile sınırlı değildir. Danışanın adını, telefon numarasını, e-postasını, seans tarihini bir not defterine bile yazsanız, kişisel veri işliyorsunuzdur.

Dolayısıyla "kayıt yok" politikası iyi bir tercihtir; ama tek başına KVKK uyumu sağlamaz. Veri tanımı geniştir: bir takvim girdisi, bir SMS hatırlatma, bir randevu onay e-postası, hepsi kişisel veri sayılır ve hepsinin bir saklama politikası olması beklenir. KVKK uyumlu altyapımızda bu ayrımı temel aldık.

Terapistin pratik kontrol listesi

Online terapinin güvenli yürütülebilmesi için her seans öncesi ve seans sonrası gözden geçirilebilecek pratik bir liste:

  • Kullanılan platform uçtan uca şifreli mi?
  • Sağlayıcı veri işleyen sözleşmesi sunuyor mu?
  • Aydınlatma metnim güncel ve açık rıza metninden ayrı mı?
  • Hangi verileri ne kadar süre tuttuğum yazılı mı?
  • Danışan ortam güvenliğini biliyor mu — kapı, mikrofon, ekran?
  • Kayıt yoksa bu yazılı bir politika olarak duruyor mu?
  • "Verilerimi silin" talebi geldiğinde işleyeceğim adımlar belirli mi?

Bu yedi soruya net cevap verebiliyorsan online terapi pratiğin üç katmanın hepsinde makul bir güvenlik seviyesindedir.

Online terapi güvenli mi sorusuna verilecek en sağlam yanıt, "evet, eğer şifreleme, KVKK ve klinik koşullar birlikte ele alınıyorsa" olur. Tek katmanlı bir güvenlik söylemi, danışan açısından da güven kurmaz. Pratiğini bu üç katmanla birlikte düşünmek istiyorsan KVKK uyumlu altyapımızı inceleyebilirsin.

Bir sonraki adim

Altyapınızı terapist akışına göre sadeleştirmek isterseniz birlikte bakalım.

Görüşme Yap, danışanın ekrana rahatça girdiği ve terapistin kontrolü kaybetmediği bir seans deneyimi kurmak için tasarlandı.

Demo talep etEMDR modülünü incele

Çerez ve analiz izni

Site deneyimini ve kullanım performansını ölçmek için analitik çerezlerden yararlanıyoruz. Bu çerezler yalnızca açık rızanızla etkinleştirilir; zorunlu olmayan takip araçları reddettiğinizde çalışmaz.

KVKK aydınlatma metnini incele