Gizlilik Politikası

Son güncelleme: 14 Şubat 2026

Tellop (Pathnomic Labs FZ-LLC) olarak, gizliliğinizi korumak ve hassas tıbbi bilgileri güvence altına almak en yüksek önceliğimizdir. Bu Gizlilik Politikası, yapay zeka destekli danışan asistanı ve randevu platformumuzu kullandığınızda bilgilerinizi nasıl topladığımızı, kullandığımızı, sakladığımızı ve koruduğumuzu açıklar.

Bu politika, Hizmetlerimizle etkileşimde bulunan tıbbi profesyoneller (doktorlar, klinikler) ve danışanlar dahil tüm kullanıcılar için geçerlidir.

1. Topladığımız Bilgiler

Rolünüze ve platformumuzla nasıl etkileşimde bulunduğunuza bağlı olarak farklı türde bilgiler topluyoruz.

1.1 Tıbbi Profesyonellerden Alınan Bilgiler

Tıbbi bir profesyonel olarak kaydolduğunuzda şunları topluyoruz:

  • Hesap Bilgileri: İsim, e-posta adresi, telefon numarası, şifre (hashlenmiş) ve İki Faktörlü Kimlik Doğrulama (2FA) kimlik bilgileri.
  • Mesleki Detaylar: Tıbbi uzmanlık, lisans bilgileri (doğrulanmışsa), klinik adı, adresi ve biyografi.
  • Fatura Bilgileri: Abonelik ücretleri için ödeme detayları (Kayıtlı Satıcımız Paddle.com aracılığıyla güvenli bir şekilde işlenir; kredi kartı numaralarını veya ödeme detaylarını saklamıyoruz — Paddle tüm ödeme verilerini doğrudan yönetir).
  • Takvim Verileri: Google Takvim'den senkronize edilen randevu uygunluğu.
  • Kullanım Verileri: Giriş zamanları, IP adresleri, tarayıcı türleri, erişilen sayfalar ve özellik kullanım modelleri.

1.2 Danışanlardan Alınan Bilgiler

Danışanlar Yapay Zeka Asistanı ile etkileşime girdiğinde veya randevu aldığında şunları topluyoruz:

  • Kişisel Bilgiler: İsim, e-posta, telefon numarası, doğum tarihi ve konum.
  • Tıbbi Bilgiler (PHI - Korunan Sağlık Bilgileri): Tıbbi durumlar, ilaçlar, alerjiler, önceki ameliyatlar ve semptomlar dahil olmak üzere randevu formlarına (tıbbi geçmiş) verilen yanıtlar.
  • Tıbbi Fotoğraflar: İlk konsültasyonlar için danışanlar tarafından yüklenen görüntüler (örneğin, kozmetik prosedürler, dermatoloji veya diğer değerlendirmeler için).
  • İletişim Verileri: Yapay Zeka Asistanı ve insan personeli ile yapılan sohbet dökümleri.
  • Ödeme Bilgileri: Konsültasyon ücreti ödeme detayları (Kayıtlı Satıcımız Paddle.com aracılığıyla işlenir).
  • Randevu Verileri: Planlanan randevu saatleri, iptaller ve yeniden planlama geçmişi.

1.3 Otomatik Olarak Toplanan Bilgiler

  • Cihaz Bilgileri: Cihaz türü, işletim sistemi ve benzersiz cihaz tanımlayıcıları.
  • Günlük Verileri: IP adresi, tarayıcı türü, erişim zamanları ve görüntülenen sayfalar.
  • Çerezler ve İzleme: Kimlik doğrulama, tercihler ve analizler için çerezler ve benzer teknolojiler kullanıyoruz (bkz. Bölüm 10).

2. Bilgilerinizi Nasıl Kullanıyoruz

2.1 Hizmetleri Sağlamak ve İyileştirmek İçin

  • Yapay zeka destekli danışan görüşmelerini ve triyajı kolaylaştırmak.
  • Tıbbi profesyonellerin danışan başvurularını incelemesini ve konsültasyonları onaylamasını sağlamak.
  • Google Takvim entegrasyonu ile randevuları planlamak ve yönetmek.
  • Paddle.com aracılığıyla konsültasyon ücreti ödemelerini işlemek.
  • Tıbbi profesyoneller için kişiselleştirilmiş açılış sayfaları (ör. tellop.ai/{slug}) sağlamak.
  • Yapay zeka modellerimizi, kullanıcı deneyimimizi ve platform özelliklerimizi geliştirmek.

2.2 İletişim İçin

  • Randevu onayları, hatırlatmalar ve güncellemeler göndermek.
  • Tıbbi profesyonellere yeni danışan soruları ve onayları hakkında bildirimde bulunmak.
  • Müşteri desteği sağlamak ve sorulara yanıt vermek.
  • Hizmet duyuruları, güvenlik uyarıları ve politika güncellemeleri göndermek.

2.3 Güvenlik ve Uyumluluk İçin

  • Korunan Sağlık Bilgilerine (PHI) tüm erişimlerin denetim günlüklerini tutmak.
  • Dolandırıcılık, kötüye kullanım ve güvenlik tehditlerini tespit etmek ve önlemek.
  • Hizmet Şartlarımızı uygulamak.
  • GDPR ve HIPAA gereklilikleri dahil olmak üzere yasal yükümlülüklere uymak.

2.4 Yapay Zeka İşleme İçin

Yapay zeka dil modellerini (OpenAI, Anthropic) şunlar için kullanıyoruz:

  • Danışan görüşmeleri yapmak ve tıbbi geçmiş toplamak.
  • Doktor incelemesi için danışan bilgilerini özetlemek.
  • Tıbbi uzmanlık ve prosedürlere dayalı bağlamsal yanıtlar sağlamak.

Önemli: Yapay zeka sağlayıcılarına gönderilen danışan verileri, katı veri koruma anlaşmaları kapsamında işlenir. Yapay zeka sağlayıcılarının danışan verilerini saklamamasını veya modelleri eğitmemesini sağlamak için mevcut olduğunda "Sıfır Veri Saklama" seçeneklerini kullanıyoruz.

3. "Güvenli Kasa" Mimarisi

Hassas tıbbi verileri korumak için "Güvenli Kasa" adını verdiğimiz çok katmanlı bir güvenlik mimarisi uyguladık. Bu sistem, verileri hassasiyete göre ayırır ve uygun güvenlik kontrollerini uygular.

3.1 Veri Sınıflandırma Seviyeleri

Seviye 1: Genel/Meta Veri (Düşük Hassasiyet)

Örnekler: Doktor profilleri, uzmanlık bilgileri, hizmet listeleri, klinik konumları, halka açık öncesi/sonrası galerileri (onaylı) ve randevu zaman aralıkları.

Depolama: Standart MongoDB koleksiyonları, genel Cloudflare R2 kovaları (görüntüler/videolar için).

Erişim: Halka açık erişilebilir.

Seviye 2: PII - Kişisel Olarak Tanımlanabilir Bilgiler (Orta Hassasiyet)

Örnekler: Danışan isimleri, e-posta adresleri, telefon numaraları, randevu detayları.

Depolama: Erişim kontrollü MongoDB patients koleksiyonu.

Erişim: Yalnızca kimliği doğrulanmış tıbbi profesyoneller ve yetkili personel.

Seviye 3: PHI - Korunan Sağlık Bilgileri (Yüksek Hassasiyet - KASA)

Örnekler: Tıbbi geçmiş formları (randevu formları), danışan tarafından yüklenen tıbbi fotoğraflar, teşhis notları, yapay zeka tarafından oluşturulan tıbbi özetler.

<strong>Depolama:</strong>

  • Metin Verileri: MongoDB medical_forms koleksiyonu (yapay zeka işlemesini sağlamak için düz metin olarak saklanır, ancak katı uygulama düzeyinde erişim kontrolleri ve denetim günlüğü ile korunur).
  • Tıbbi Fotoğraflar: Sunucu tarafı şifreleme (SSE) ve rastgele dosya adları (UUID'ler) ile özel Cloudflare R2 kovaları.

Erişim: Son derece kısıtlı. Tıbbi fotoğraflara yalnızca zaman sınırlı önceden imzalanmış URL'ler (genellikle 15 dakika) aracılığıyla erişilebilir. Tüm erişim denetim günlüğüne kaydedilir.

3.2 Şifreleme

  • Aktarım Sırasında: Cihazınız ve sunucularımız arasında iletilen tüm veriler TLS 1.3 kullanılarak şifrelenir.
  • Durağan Halde: Cloudflare R2'de saklanan tıbbi fotoğraflar sunucu tarafı şifreleme (SSE-S3 veya SSE-KMS) kullanılarak şifrelenir.
  • Metin Verileri: Tıbbi form metni, yapay zeka özetleme ve arama yeteneklerini sağlamak için MongoDB içinde düz metin olarak saklanır. Ancak, erişim uygulama düzeyinde güvenlik, rol tabanlı izinler ve denetim günlüğü aracılığıyla sıkı bir şekilde kontrol edilir.

3.3 Önceden İmzalanmış URL Sistemi (Geçici Erişim)

Danışan tıbbi fotoğrafları asla halka açık değildir. Bir tıbbi profesyonel bir danışan kaydını görüntülediğinde, sistemimiz şunları sağlayan bir önceden imzalanmış URL oluşturur:

  • Yalnızca 15 dakika geçerlidir.
  • Belirli kimliği doğrulanmış kullanıcı oturumuna bağlıdır.
  • Süresi dolduktan sonra paylaşılamaz veya yeniden kullanılamaz.
  • Denetim günlüğüne kaydedilir (erişimi kimin ne zaman talep ettiği).

4. Gelişmiş Kimlik Doğrulama ve Erişim Kontrolü

4.1 Zorunlu İki Faktörlü Kimlik Doğrulama (2FA)

Tüm tıbbi profesyonel hesapları, danışan verilerine erişmek için İki Faktörlü Kimlik Doğrulamayı etkinleştirmek zorundadır. Şunları destekliyoruz:

  • TOTP (Zaman Tabanlı Tek Kullanımlık Şifre): Google Authenticator veya Authy gibi uygulamalar aracılığıyla.
  • SMS OTP: Yedek yöntem olarak (Twilio aracılığıyla).

4.2 Rol Tabanlı Erişim Kontrolü (RBAC)

Danışan verilerine erişim role göre belirlenir:

  • Doktorlar/Hekimler: Danışanlarının verilerine tam erişim.
  • Asistanlar/Personel: Hekim tarafından yetkilendirildiği şekilde sınırlı erişim.
  • Yapay Zeka Ajanı: Yalnızca aktif danışan görüşmeleri sırasında bağlam izoleli erişim (hemen ardından silinir).

4.3 Sıfır Güven İlkesi

Varsayılan olarak, hiç kimsenin danışan verilerine erişimi yoktur. Erişim, bilmesi gereken prensibine göre açıkça verilir ve kaydedilir.

5. Denetim Günlüğü ve Şeffaflık

Korunan Sağlık Bilgileri (PHI) ile her etkileşim, değiştirilemez bir denetim günlüğüne kaydedilir. Bu "Güven Günlüğü" şunları içerir:

5.1 Neleri Kaydediyoruz

  • VIEW_PATIENT: Bir kullanıcı bir danışan kartını görüntülediğinde.
  • VIEW_PHOTO: Bir tıbbi fotoğraf için önceden imzalanmış bir URL oluşturulduğunda.
  • EXPORT_DATA: Danışan verileri dışa aktarıldığında veya indirildiğinde.
  • LOGIN_ATTEMPT: IP adresleri ve cihaz bilgileri dahil olmak üzere tüm giriş denemeleri (başarılı ve başarısız).
  • AI_ACCESS: Yapay zeka ajanı özetleme veya konuşma için danışan verilerini işlediğinde.
  • FORM_EDIT: Tıbbi formlar oluşturulduğunda, güncellendiğinde veya silindiğinde.

5.2 Denetim Günlüğü Erişimi

Tıbbi profesyoneller, herhangi bir danışan için erişim günlüğünü görüntüleyerek şunları görebilir:

  • Kayda kimin eriştiği (doktor, asistan, yapay zeka).
  • Hangi işlemin yapıldığı.
  • Ne zaman gerçekleştiği (zaman damgası).
  • IP adresi ve cihaz bilgileri (insan kullanıcılar için).

5.3 Kurcalama Kanıtı

Denetim günlükleri, kurcalamayı önlemek için ayrı, yalnızca ekleme yapılabilen bir veritabanı koleksiyonunda saklanır. Gelecekteki uygulamalar, gelişmiş kurcalama kanıtı için kriptografik hashleme veya blok zinciri tabanlı doğrulama içerebilir.

6. Veri Paylaşımı ve Üçüncü Taraf İşleyiciler

Verileri, yalnızca Hizmetlerimizi sunmak için güvenilir üçüncü taraf hizmet sağlayıcılarla paylaşıyoruz. Bu sağlayıcılar katı veri koruma anlaşmalarıyla bağlıdır.

6.1 Yapay Zeka Dil Modeli Sağlayıcıları

OpenAI ve Anthropic: Yapay zeka konuşma yetenekleri için bu sağlayıcıları kullanıyoruz. Danışan tıbbi bilgileri işlenmek üzere bu hizmetlere gönderilebilir.

  • Veri Saklama: Yapay zeka sağlayıcılarının danışan verilerini saklamasını veya eğitmesini önleyen API yapılandırmalarını kullanıyoruz (mevcut olduğunda "Sıfır Veri Saklama" modu).
  • Uyumluluk: Bu sağlayıcılar SOC 2 Tip II, GDPR ve diğer sertifikalara sahiptir.

6.2 Ödeme İşleyici (Kayıtlı Satıcı)

Paddle.com: Sipariş sürecimiz, tüm siparişlerimiz için Kayıtlı Satıcı olarak hareket eden çevrimiçi satıcımız Paddle.com tarafından yürütülmektedir. Paddle kredi kartı bilgilerini ve tüm ödeme verilerini doğrudan işler — Tellop kredi kartı numaralarını veya hassas ödeme detaylarını saklamaz. Paddle PCI-DSS uyumludur. Alıcı verileri (isim, e-posta, fatura adresi), GDPR uyumlu olarak yalnızca sipariş yerine getirme, ödeme işleme, dolandırıcılık önleme ve müşteri desteği amacıyla Paddle ile paylaşılır.

6.3 Takvim Entegrasyonu

Google Takvim API: Randevu uygunluğunu ve rezervasyonları Google Takvim ile senkronize ediyoruz. Yalnızca randevu saatleri ve temel detaylar (PHI değil) paylaşılır.

6.4 İletişim Hizmetleri

Twilio: WhatsApp ve SMS iletişimleri için. Mesaj içeriği randevu hatırlatmalarını içerebilir ancak ayrıntılı PHI içermez.

6.5 Depolama Altyapısı

Cloudflare R2: Tıbbi fotoğrafların güvenli, şifreli depolanması için. Veriler sunucu tarafı şifreleme ile özel kovalarda saklanır.

MongoDB Atlas: Veritabanı barındırma için. Veriler erişim kontrolleri ve yedeklemelerle şifreli kümelerde saklanır.

6.6 Verilerinizi Satmıyoruz

Danışan verilerini veya tıbbi profesyonel bilgilerini pazarlama veya reklam amaçlı üçüncü taraflara asla satmıyoruz, kiralamıyoruz veya takas etmiyoruz.

7. Gizlilik Haklarınız

7.1 GDPR Hakları (Avrupalı Kullanıcılar)

Avrupa Ekonomik Alanı'nda (AEA) bulunuyorsanız, GDPR kapsamında aşağıdaki haklara sahipsiniz:

  • Erişim Hakkı: Hakkınızda tuttuğumuz kişisel verilerin bir kopyasını talep etme.
  • Düzeltme Hakkı: Yanlış verilerin düzeltilmesini talep etme.
  • Silme Hakkı ("Unutulma Hakkı"): Yasal saklama gerekliliklerine tabi olarak verilerinizin silinmesini talep etme.
  • Veri Taşınabilirliği Hakkı: Verilerinizi yapılandırılmış, makine tarafından okunabilir bir formatta alma.
  • İşlemeyi Kısıtlama Hakkı: Veri işlemenin sınırlandırılmasını talep etme.
  • İtiraz Hakkı: Meşru menfaatlere dayalı işlemeye itiraz etme.
  • Rızayı Geri Çekme Hakkı: Veri işleme rızasını istediğiniz zaman geri çekme.

7.2 HIPAA Hakları (ABD'li Danışanlar)

Tıbbi sağlayıcınız HIPAA'ya (ABD sağlık yasası) tabi ise, Korunan Sağlık Bilgileriniz (PHI) ile ilgili ek haklara sahip olabilirsiniz. HIPAA haklarını kullanmak için lütfen doğrudan tıbbi sağlayıcınızla iletişime geçin.

7.3 Haklarınızı Nasıl Kullanırsınız

Bu haklardan herhangi birini kullanmak için lütfen [email protected] adresinden bizimle iletişime geçin veya doğrudan tıbbi sağlayıcınızla görüşün. Doğrulanmış taleplere 30 gün içinde yanıt vereceğiz.

8. Veri Saklama ve Silme

8.1 Saklama Süreleri

  • Profesyonel Hesap Verileri: Hesabınızın süresi boyunca artı yasal ve vergi amaçları için 7 yıl saklanır.
  • Danışan Verileri (Rezerve Edilen Randevular): Tıbbi kayıt saklama yasalarına göre saklanır (genellikle 7-10 yıl, yargı bölgesine göre değişir).
  • Rezerve Edilmemiş Danışan Soruları: Tıbbi profesyoneller, randevu alınmazsa 30, 60 veya 90 gün sonra otomatik silmeyi yapılandırabilir.
  • Denetim Günlükleri: Sağlık uyumluluğu gerekliliklerine uymak için 7 yıl saklanır.

8.2 Veri Silme Süreci

Veri silme talebinde bulunduğunuzda veya saklama süreleri dolduğunda:

  • Veriler aktif veritabanlarından kalıcı olarak silinir.
  • Verilerinizi içeren şifreli yedekler 90 gün içinde üzerine yazılır.
  • Bazı veriler analiz ve hizmet iyileştirme için kimliksizleştirilmiş biçimde saklanabilir.

9. Uluslararası Veri Transferleri

Hizmetlerimiz, verileri Amerika Birleşik Devletleri, Avrupa ve BAE dahil olmak üzere birden fazla coğrafi bölgede işleyebilen bulut altyapısında barındırılmaktadır.

Avrupalı kullanıcılar için, şunlar aracılığıyla yeterli veri korumasını sağlıyoruz:

  • Üçüncü taraf işleyicilerle Standart Sözleşme Maddeleri (SCC'ler).
  • Uygulanabilir olduğunda AB-ABD Veri Gizliliği Çerçevesi kapsamında sertifikalı hizmet sağlayıcılar.
  • GDPR standartlarına eşdeğer teknik ve organizasyonel önlemler.

10. Çerezler ve İzleme Teknolojileri

Çerezleri ve benzer teknolojileri şunlar için kullanıyoruz:

  • Zorunlu Çerezler: Kimlik doğrulama, güvenlik ve temel işlevsellik için gereklidir.
  • Tercih Çerezleri: Ayarlarınızı ve dil tercihlerinizi hatırlar.
  • Analiz Çerezleri: Kullanıcıların platformumuzla nasıl etkileşimde bulunduğunu anlamak (gizlilik odaklı analiz araçları kullanıyoruz).

Çerezleri tarayıcı ayarlarınızdan kontrol edebilirsiniz. Zorunlu çerezleri devre dışı bırakmanın bazı özellikleri kullanmanızı engelleyebileceğini unutmayın.

11. Çocukların Gizliliği

Hizmetlerimiz 18 yaşın altındaki bireyler için tasarlanmamıştır. Ebeveyn/vasi izni olmadan reşit olmayanlardan bilerek kişisel bilgi toplamıyoruz. Uygun izin olmadan bir reşit olmayandan veri topladığımızı fark edersek, bunu derhal sileceğiz.

12. Güvenlik Olayları ve İhlal Bildirimi

Korunan Sağlık Bilgilerini (PHI) etkileyen bir veri ihlali olması durumunda:

  • Etkilenen tıbbi profesyonellere keşiften sonraki 72 saat içinde bildirimde bulunacağız.
  • Etkilenen danışanlara yasaların gerektirdiği şekilde (genellikle 60 gün içinde) bildirimde bulunacağız.
  • İlgili düzenleyici makamlara (örneğin, HIPAA için HHS, GDPR için veri koruma makamları) bildirimde bulunacağız.
  • İhlal, etkilenen veriler ve zararı azaltmak için alınan önlemler hakkında ayrıntılar sağlayacağız.

13. Bu Gizlilik Politikasında Değişiklikler

Uygulamalarımızdaki, teknolojideki, yasal gerekliliklerdeki veya diğer faktörlerdeki değişiklikleri yansıtmak için bu Gizlilik Politikasını zaman zaman güncelleyebiliriz. Önemli değişiklikleri size şu yollarla bildireceğiz:

  • Kayıtlı kullanıcılara e-posta bildirimi.
  • Platformumuzda belirgin bildirim.
  • Bu politikanın en üstündeki "Son Güncelleme" tarihini güncelleme.

Bu tür bildirimlerden sonra Hizmetleri kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir.

14. İletişim

Bu Gizlilik Politikası veya veri uygulamalarımızla ilgili herhangi bir sorunuz, endişeniz veya talebiniz varsa, lütfen bizimle iletişime geçin:

Pathnomic Labs FZ-LLC (Tellop)

Veri Koruma Görevlisi: [email protected]

Genel Destek: [email protected]

Yasal Sorular: [email protected]

Güveniniz önceliğimizdir. Şeffaflık, güvenlik ve tıbbi veri korumanın en yüksek standartlarına uyum konusunda kararlıyız. Bilgilerinizi nasıl koruduğumuz hakkında herhangi bir sorunuz varsa, lütfen iletişime geçmekten çekinmeyin.

v0.1.2