Ditulis oleh: Andri Setya Nugraha

Melalui Peraturan Menteri Kesehatan Nomor 24 Tahun 2022 tentang Rekam Medis (PMK Rekam Medis), Kementerian Kesehatan mewajibkan Fasilitas Pelayanan Kesehatan (Fasyankes) untuk seperti rumah sakit, Pusat Kesehatan Masyarakat (Puskesmas), klinik, praktik mandiri untuk menyelenggarakan rekam medis secara elektronik. Penyelenggaraan rekam medis elektronik oleh Fasyankes tersebut memungkinkan untuk dilakukan dengan mekanisme kerja sama dengan pihak ketiga. Tulisan ini akan membahas tentang penyelenggaraan rekam medis elektronik yang bekerjasama dengan pihak ketiga dari sudut pandang pelindungan data pribadi dan menggunakan kerangka kerja manajemen risiko pihak ketiga.

Data kesehatan dalam perspektif pelindungan data pribadi

Rekam Medis adalah dokumen yang berisikan data identitas pasien, pemeriksaan, pengobatan, tindakan, dan pelayanan lain yang telah diberikan kepada pasien. Berdasarkan PMK Rekam Medis, Fasyankes diwajibkan untuk menyelenggarakan rekam medis secara elektronik. Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), mengklasifikasikan data pribadi menjadi dua jenis, yaitu data pribadi yang bersifat spesifik dan data pribadi yang bersifat umum. Data pribadi yang bersifat spesifik meliputi data dan informasi kesehatan, biometrik, genetika, catatan kejahatan, anak, keuangan pribadi, dan data lainnya sesuai peraturan perundang-undangan. Berdasarkan klasifikasi tersebut, rekam medis dapat dikategorikan sebagai data pribadi bersifat spesifik. Pemrosesan data pribadi yang bersifat spesifik menurut UU PDP adalah dikategorikan sebagai pemrosesan beresiko tinggi, sehingga diwajibkan untuk melakukan analisis dampak pelindungan data pribadi, atau lebih populer disebut Data Privacy Impact Assessment (DPIA). Melalui DPIA, pengendali data akan melakukan identifikasi dan mitigasi risiko pemrosesan data.

Sistem rekam medis elektronik melalui pihak ketiga

Sistem rekam medis elektronik yang digunakan Fasyankes dapat berupa sistem elektronik yang dikembangkan oleh Kementerian Kesehatan, Fasyankes sendiri, atau penyelenggara sistem elektronik melalui kerja sama. Sementara untuk penyimpanan rekam medis elektronik dapat berupa server, cloud computing, atau media penyimpanan digital lainnya. Sistem rekam medis elektronik yang digunakan harus melakukan registrasi kepada Kementerian Kesehatan melalui Platform SATUSEHAT.

Bagaimana kedudukan antara Fasyankes dan pihak ketiga dari perspektif UU PDP?

Dalam kerangka regulasi UU PDP, terdapat sejumlah aktor kunci yang perlu dipahami yaitu Subjek Data Pribadi, Pengendali Data Pribadi, dan Prosesor Data Pribadi. Adapun penjelasan dari masing-masing aktor tersebut adalah:

• Subjek Data Pribadi adalah orang perseorangan yang pada dirinya melekat Data Pribadi.

• Pengendali Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi.

• Prosesor Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi.

Perbedaan mendasar yang harus dipahami antara pengendali dan prosesor adalah pada “menentukan tujuan dan melakukan kendali” terhadap pemrosesan. Dengan demikian, prosesor hanya dapat bertindak atas perintah pengendali. Berikut adalah gambaran apabila aktor-aktor tersebut diimplementasikan dalam usecase rekam medis elektronik:

Prosesor data dalam hal ini adalah penyedia sistem rekam medis elektronik, dapat menunjuk sub-prosesor, misalkan untuk infrastruktur penyimpanan dari rekam medis. Penunjukan sub-prosesor yang terkait dengan rekam medis Fasyankes wajib diketahui dan disetujui oleh Fasyankes.

Bagaimana kewajiban pihak ketiga terhadap Fasyankes dari perspektif UU PDP?

Penyedia sistem rekam medis, hanya dapat melakukan pemrosesan berdasarkan perintah Fasyankes. Penyedia tidak diperbolehkan menggunakan data untuk kepentingan apapun selain yang diperintahkan oleh Fasyankes. Secara lebih rinci, berdasarkan UU PDP, penyedia sistem rekam medis wajib:

• memastikan akurasi, kelengkapan, dan konsistensi data pribadi;

• melakukan perekaman terhadap seluruh kegiatan pemrosesan data pribadi;

• melindungi dan memastikan keamanan data pribadi;

• menjaga kerahasiaan data pribadi;

• melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kendalinya, seperti pegawai atau pihak ketiga lainnya; dan

• melakukan upaya untuk mencegah data pribadi diakses secara tidak sah.

Bagaimana mitigasi risiko pelindungan data bagi Fasyankes saat menggunakan sistem rekam medis pihak ketiga?

1. Strategi pemilihan penyedia 

Fasyankes perlu memperhatikan kesesuaian dan kemampuan penyedia untuk memenuhi kebutuhan dari Fasyankes. Pastikan penyedia telah terdaftar dan memenuhi standar Kementerian Kesehatan dan registrasi lainnya sesuai ketentuan peraturan. Lakukan asesmen dari berbagai aspek termasuk keamanan, privasi, reputasi dari perusahaan. Beberapa framework yang dapat digunakan misalnya kuisioner the Consensus Assessments Initiative Questionnaire (CAIQ) dan Shared Assessments Standard Information Gathering (SIG).

2. Perjanjian layanan dan onboarding

Perhatikan ketentuan di dalam perjanjian dan pastikan memuat tentang hak Fasyankes untuk melakukan audit, mendapatkan pemberitahuan jika terjadi insiden, dan penyedia sistem rekam medis agar melaksanakan kewajiban sebagai prosesor data. Termasuk jika diperlukan, sepakati tentang mekanisme atau fasilitasi dalam hal Fasyankes akan mengganti penyedia dikemudian hari. Sepakati perjanjian pemrosesan data pribadi atau Data Processing Agreement.

3. Operasional dan pengawasan

Fasyankes perlu menunjuk bagian yang bertanggungjawab untuk melakukan koordinasi dan pengawasan kinerja dari penyedia sistem rekam medis.

4. Berakhirnya kerja sama

Pastikan bahwa seluruh akses dan aset sudah dikembalikan dan data tidak lagi dapat diakses oleh penyedia sistem rekam medis.

Apa saja potensi permasalahan terkait pelindungan data pribadi antara penyedia sistem rekam medis dan Fasyankes?

• Terjadi insiden keamanan yang mengakibatkan kegagalan pelindungan data pribadi.

• Penyedia sistem menggunakan data tanpa persetujuan Fasyankes.

• Fasyankes gagal memenuhi hak subjek data pribadi untuk mengakses/ mendapatkan salinan data dirinya karena penyedia tidak menyediakan layanan tersebut.

• Data pribadi berpotensi hilang atau rusak saat terjadi pergantian penyedia.