İçindekiler
CNIL, IQVIA OPERATIONS FRANCE'a 26 Mayıs 2026 tarihli ve 28 Mayıs 2026'da kamuya açıklanan SAN-2026-008 kararına göre 5 milyon euro ceza verdi (kısıtlı heyet 26 Mart 2026'da toplanmıştı). Prosedür, Amerikan IQVIA grubunun bir yan kuruluşu tarafından işletilen iki sağlık veri deposunu hedefliyordu: 2018'de yetkilendirilen ve yaklaşık 14.000 Fransız eczanesinden beslenen LRX, ve 2021'de yetkilendirilen ve birkaç bin doktor tarafından beslenen EMR. Karar, işlenen verilerin doğum yılı, cinsiyet, reçeteler, teşhisler, semptomlar, alerjiler, sosyo-profesyonel unsurlar ve benzersiz bakım yolu kimliği dahil olmak üzere on milyonlarca kişiyi ilgilendireceğini belirtiyor. Düzenleyici, resmi CNIL bildirisine göre, uyumsuzluğun altı ay içinde giderilmesini, aksi takdirde günlük 10.000 euro ceza uygulanacağını emrediyor. Şirket, itiraz hakkını saklı tutuyor. Ceza, GDPR'nin 83. maddesinde belirlenen yıllık konsolide küresel cironun %4 tavanının altında kalıyor.
IQVIA'yı Aşan Bir Etki: 102 Operatör Aynı Mimariyi Paylaşıyor
1 Eylül 2025 itibarıyla, esante.gouv.fr portalı, CNIL tarafından yetkilendirilen ve 102 farklı aktör - ilaç yayıncıları, kamu araştırma kuruluşları, sigorta platformları, sözleşmeli hastane yapıları tarafından yönetilen 125 sağlık veri deposu kaydediyordu. Hepsi aynı teknik yapı taşına dayanıyor: ikincil kullanıma açılmadan önce hasta verilerinin takma ad kullanılması. Düzenleyici tarafından IQVIA'ya karşı benimsenen mantık - takma ad kullanmanın anahtarlara sahip olan varlık için anonimleştirme anlamına gelmediği - yapısal bir özelliği değil, dava dosyasına özgü bir özelliği hedefliyor. CNIL, sağlık verilerini koruma projeleri çağrısıyla bu alanı açıkça doktrininin bir ekseni yapmıştı. 26 Mayıs 2026 tarihli karar, bu doktrinel temeli hukuki nitelendirmeye genişletiyor ve her biri kendi teknik mimarilerine tabi olan 101 diğer operatörü, yeniden kimliklendirme anahtarlarının ilk kontrolörü olarak, aynı değerlendirme kriterlerine maruz bırakıyor.
Takma Ad Kullanımı: İlk Kontrolörün Nitelendirmesi Tarafından Yakalanan Bir Mimari Yapı Taşı
Bir veri deposu işleten bir BT yöneticisi için takma ad kullanımı teknik bir katmandır: bir tarafta şifrelenmiş bir karşılaştırma tablosu, diğer tarafta türetilmiş veri setleri. IQVIA'nın savunması, bu ayrım üzerine ve CJUE C-413/23 P EDPS karşı SRB 4 Eylül 2025 tarihli kararına dayanıyordu - Avrupa veri koruma denetçisi EDPS, Avrupa Birliği kurumlarına uygulanan GDPR'nin kurumsal karşılığı olan düzenlemeye atıfta bulunan tekil çözüm konseyi SRB'ye karşı. Lüksemburg Mahkemesi burada, takma ad kullanımının gözlemciye göre bir statü olduğunu belirledi: Varlık yeniden kimliklendirme anahtarlarını elinde tuttuğu sürece, veriler kişisel veri olarak kalır - CNIL'nin GDPR'ye 4(1) ve 4(5) maddelerinin paralel tanımları aracılığıyla aktardığı nitelik. "
Takma ad kullanma önlemleri sadece korelasyon risklerini azaltma etkisine sahiptir, ancak onları ortadan kaldırmaz » dedi kısıtlı heyet. Depo yüklenicisi için mimari sonucu nettir: Karşılaştırma tablosu operasyonel alanında olduğu sürece, kişisel veri rejimi tüm sisteme uygulanır, yalnızca doğrudan kimlik bilgilerini içeren alana değil. Bu nitelik temelinin yanı sıra, belgelenmiş beş teknik ve prosedürel ihlal bulunmaktadır: etkilenen kişilerin yetersiz bilgilendirilmesi, pratikte etkisiz hale getirilen itiraz hakkı, EMR deposunda çok faktörlü kimlik doğrulamanın olmaması, düzenli analiz edilmeyen bağlantı günlükleri, yanlış bilgi bildirimleri - bunlara ek olarak, kontrol edilen eczanelerin hiçbiri müşterilerini veri aktarımı konusunda bilgilendirmiyordu. SRB kararının açıkça belirttiği ve CNIL kararının çözmediği bir mimari nüans kalıyor: Eğer bir alıcı, bir kişiyi tanımlayıcı verilerle ilişkilendirmek için makul olarak kullanılabilecek araçlara sahip değilse, takma ad kullanılmış veriler onun için kişisel veri oluşturmaz. Başka bir deyişle, aynı zincirin iki bileşeni, anahtarlara erişimlerine göre farklı rejimlere tabi olabilir. Ceza, ilk kontrolör olarak IQVIA'yı hedefliyor; kimliklendirme tablosuna erişimi olmayan üçüncü taraflara yapılan ekstraksiyonlar rejimini öngörmüyor.
Teknik Ekiplerin Hazırlık Süresini Belirleyen İki Düzenleyici Ufuk
Bugün bir veri deposu işleten bir BT yöneticisi veya CTO için üçüncü taraf alıcıların statüsü, operasyonel hazırlık penceresini belirleyen iki son tarihe bağlı kalmaktadır. 11 Şubat 2025 tarihli AB düzenlemesi 2025/327, Avrupa Sağlık Veri Alanı'nı kurarak, akademik araştırma, ilaç sanayicileri, kamu otoriteleri gibi üçüncü tarafların takma ad kullanılmış verilere erişimlerinin teknik koşullarını düzenleyecek olan ikincil kullanım bölümünün yürürlüğe gireceği Mart 2029 tarihini belirliyor. ActuIA, gelecekteki EEDS'nin beş kanonik kullanım durumunu metnin müzakere aşamasından itibaren detaylandırdı. Bu bölüm uygulanabilir hale gelene kadar, her çıkış akışının - ekstraksiyonlar, üçüncü taraf API'ler, proje paylaşımları - rejimi, SRB kararı tarafından aydınlatılan GDPR temelinde dosya bazında karar verilmeye devam edecek. Diğer ufuk doktrinel: Avrupa Veri Koruma Komitesi (EDPB) 12 Aralık 2025'te SRB'nin katkısını 01/2025 numaralı takma ad kullanma kılavuzlarına entegre etmeyi amaçlayan bir tartışma belgesine dayanan bir paydaş etkinliği düzenledi. SAN-2026-008 kararı, anahtarlara sahip veri sorumlusu için geçerli rejimi belirler; anahtarlara erişimi olmayan üçüncü taraflara yönelik akışlar için, 2025 sonunda kamuya açık danışmanlığı tamamlanan EDPB 01/2025 kılavuzları yanıtı sağlayacak, bunların tamamlanması kamuya açık danışmanlık sonrası 12 ila 18 aylık olağan takvimi takip edecektir, yani en erken 2027'de.