c. Kewajiban Hukum dalam Breach Notification Rule

Pengaturan mengenai notifikasi diatur dalam Part 164 Code Of Federal Regulation 45 Subpart sendiri yaitu Subpart D mengenai Notification in the case of Breach of Unsecured Protected Health Information berdasarkan wewenang yang diberikan dalam HITECH Act Section 13402 mengenai Notification In The Case Of Breach.

Yang dimaksud dengan kegagalan perlindungan data atau Breach dijelaskan sebagai berikut:

§ 164.402 Definitions.

As used in this subpart, the followingterms have the following meanings: Breach means the acquisition, accessuse, or disclosure of protected health information in a manner not permitted under subpart E of this partwhich compromises the security or privacy of the protected health information.

Apabila diterjemahkan maka yang dimaksud dengan breach adalah perolehan, penggunaan, atau pengungkapan PHI yang tidak sesuai dengan ketentuan subpart E (Privacy rule) yang melanggar keamanan atau privasi dari PHI.

Pengaturan ini secara umum menjelaskan bahwa covered entity yang mengelola PHI, apabila menemukan terjadi kegagalan dalam perlindungan datanya, harus memberitahukan atau memberikan notifikasi terhadap pemilik data yang terkait dengan data yang gagal dilindungi tersebut serta pemilik data yang belum diketahui apakah gagal untuk dilindungi juga namun dipercaya telah gagal dilindungi. Business Associate dalam hal ini apabila menemukan terjadinya kegagalan perlindungan data terhadap data dibawah naungannya, harus memberitahukan kepada covered entity. Pemberitahuan tersebut harus berisi identifikasi tiap data individu yang mengalami atau dipercaya mengalami kegagalan perlindungan data. Yang dimaksud dengan menemukan dalam hal ini adalah ditemukan pada saat pertama kali diketahui oleh covered entity atau business associate. Covered entity dan business associate dianggap mengetahui apabila kegagalan perlindungan data tersebut sudah diketahui umum. Notifikasi atau pemberitahuan tersebut harus diberitahukan dalam waktu tidak lebih dari 60 hari setelah kegagalan perlindungan data tersebut ditemukan. Notifikasi dibuat secara tertulis dengan mengirim surat yang dapat secara elektronik ke alamat terakhir yang diketahui, atau melalui telepon, atau bisa juga dengan memposting di website milik para pihak dalam jangka waktu 90 hari, dengan menyediakan kontak yang dapat dihubungi.

Adapun pemberitahuan tersebut paling sedikit memuat:

1. Penjelasan singkat mengenai apa yang terjadi, tanggal terjadinya kegagalan perlindungan data, serta tanggal ditemukannya kegagalan tersebut;

2. Data pasien apa yang gagal untuk dilindungi tersebut (misalnya, nama lengkapnya, tempat/tanggal lahir, alamat);

3. Langkah - langkah yang harus dilakukan pemilik data terhadap potensi kerugian akibat terjadinya kegagalan perlindungan data;

4. Penjelasan singkat mengenai langkah - langkah selanjutnya yang akan dilakukan terkait dengan kegagalan perlindungan data tersebut.

5. Kontak yang dapat dihubungi.¹¹⁹

Kemudian diatur dalam rule ini, jika kegagalan perlindungan data yang terjadi melibatkan lebih dari 500 data seseorang dalam jurisdiksi negara bagian tertentu, covered entity harus melakukan pemberitahuan kepada media yang beroperasi dalam jurisdiksi tersebut. Jangka waktunya sama dengan pemberitahuan kepada individu, yaitu tidak lebih dari 60 hari sejak ditemukan. Isi dari pemberitahuan kurang lebih sama dengan isi pemberitahuan untuk individual.¹²⁰

Kemudian covered entity juga diwajibkan untuk memberitahukan kepada HHS melalui mekanisme posting breach dalam website HHS, Apabila kegagalan perlindungan data yang terjadi melibatkan 500 atau lebih individu. Jika kegagalan perlindungan data yang terjadi melibatkan kurang dari 500 individu, covered entity harus membuat dokumentasi mengenai kegagalan perlindungan data yang terjadi, setiap tahunnya harus melaporkan kepada HHS melalui mekanisme dalam website HHS.¹²¹

Dalam hal terdapat penegakan hukum terhadap covered entity atau business associate, jika pemberitahuan yang dilakukan dirasa mengganggu proses penegakan hukum tersebut, rule ini memberikan kewajiban bagi covered entity maupun business associate untuk mengehentikan atau menghentikan sementara pemberitahuan tersebut.

1 Pasal 26 ayat (3) dan (4) Undang - Undang No. 19 Tahun 2016 tentang Perubahan atas Undang - Undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik

2 Ibid, Pasal 5

3 Pasal 12 ayat (1) dan (2) Peraturan Pemerintah No. 82 tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik

4 Ibid., pasal 13

5 Ibid, pasal 17 ayat (1) dan (2)

6 Ibid, pasal 7

7 Ibid., pasal 28

8 pasal 19 Peraturan Pemerintah No. 82 tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik

9 PERMENKOMINFO Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik

10 Pasal 2 ayat (2) PERMENKOMINFO Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik

11 Ibid., Pasal 6

12Ibid., Pasal 27

13Ibid., Pasal 28

14Ibid., Pasal 5 ayat (2)

15Ibid., Pasal 5 ayat (3)

16Ibid., Pasal 5 ayat (4)

17 Ibid., Pasal 2 ayat (1)

18 Ibid., Pasal 7 ayat (1) dan (2)

19 Ibid., Pasal 9 ayat (2), (3), (4)

20Ibid., Pasal 9 ayat (1)

21Ibid., Pasal 10 ayat (1), (2), (3)

22Ibid., Pasal 7 ayat (3)

23Ibid., Pasal 8 ayat (1) dan (2)

24Ibid., Pasal 7 ayat (4)

25Ibid., Paal 11

26Ibid., Pasal 12 ayat (1), dan (2)

27Ibid., Pasal 14

28Ibid., Pasal 13

29Ibid., Pasal 15 ayat (1)

30Ibid., Pasal 18 ayat (1)

31Ibid., Pasal 15 ayat (2)

32Ibid., Pasal 15 ayat (3)

33Ibid., Pasal 16

34Ibid., Pasal 19 dan pasal 20

35 Yang dimaksud dengan pusat data adalah suatu fasilitas yang digunakan untuk menempatkan Sistem Elektronik dan komponen terkaitnya untuk keperluan penempatan, penyimpanan, dan pengolahan data.

36 Pusat pemulihan bencana (disaster recovery center) merupakan suatu fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi-fungsi penting Sistem Elektronik yang terganggu atau rusak akibat bencana yang disebabkan oleh alam dan/atau manusia.

37Ibid., pasal 17

38Ibid., Pasal 21 ayat (1)

39 Pasal 24 ayat (1) dan (2)

40 Pasal 22 ayat (1)

41 Pasal 23 ayat (1) dan (2)

42 Pasal 25 ayat (1)

43 Pasal 25 ayat (2) dan (3)

44 Pasal 1 angka 4 PERMENKOMINFO Nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi

45 Ibid, pasal 3

46 Ibid., Pasal 10 dan 11

47 Pasal 9 PERMENKOMINFO Nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi

48 Pasal 9, 10, 19, 20, 21 dan 22 PERMENKOMINFO Nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi

49 Pasal 168 UU No 36 tahun 2009 tentang kesehatan

50 Pasal 46 Peraturan Pemerintah No 46 tahun 2014 tentang Sistem Informasi Kesehatan

51 Pasal 40 Peraturan Pemerintah No 46 tahun 2014 tentang Sistem Informasi Kesehatan

52 Pasal 2, 3, dan 4 Peraturan Menteri Kesehatan Nomor 82 tahun 2012 mengenai Sistem Informasi Manajemen Rumah Sakit

53 Ibid, pasal 7

54 Ibid, pasal 8

55 Pasal 51 UU no 29 tahun 2004 tentang praktik kedokteran

56 Ibid, pasal 48 ayat (1) dan (2)

57 Pasal 4 ayat (1), (2), (3) Peraturan Menteri Kesehatan Republik Indonesia Nomor 36 Tahun 2012 Tentang Rahasia Kedokteran

58 Ibid, Pasal 5 ayat (1), dan (2)

59 Ibid, Pasal 6 ayat (1), (2), (3), (4), (5)

60 Ibid, pasal 7 ayat (1), (2), (3), (4)

61 Ibidm pasal 14

62 Ibid, pasal 8 ayat (1), (2), (3)

63 Ibid, pasal 9 ayat (1), (2), (3)

64 Ibid, pasal 9 ayat (4), (5), (6)

65 Pasal 2, 6, dan 7 Peraturan Menteri Kesehatan Nomor 269 tahun 2008 tentang Rekam medis

66 Ibid, pasal 12 ayat (1), (2), (3), dan (4)

67 Ibid, pasal 8 ayat (1), (2), dan (3)

68 Ibid, pasal 10

69 Ibid, pasal 13 ayat (1), (2), dan (3)

70 Hlm. 365 buku us

71 Lisa J Sotto dan Aaron P Simpson, Getting The Deal Through Data Protection and Privacy 2015, Law Business Rearch Ltd, United Kingdom, 2014, hlm. 208

72 hlm. 369 buku US

73 5 USC 552a (1974)

74 General Provisions 45 C.F.R. § 160.103

75 Ibid., 45 C.F.R. §§ 160.102, 160.103

76Ibid.,

77HIPAA Privacy Rule 45 C.F.R. § 160.103

78 Ibid.,

79 United States Office for Civil Right HIPAA Compliance Assistance,Summary of the HIPAA Privacy Rule, Office for Civil Rights: United States, 2003, hlm. 4

80 Peraturan perundang - undangan di Amerika Serikat sudah menerapkan kodifikasi, baik pada tingkat act atau undang - undang maupun pada tingkat rules. Act (atau di AS dikenal sebagai Public Law) dikodifikasi dalam suatu United States Codes. Kodifikasi pada tingkat act ini dibagi menjadi 51 titles dan salah satunya adalah titles 42 mengenai Public Health and Welfare. Kemudian setiap title dapat dibagi menjadi beberapa chapter atau bab yang dalam chapter tersebut memuat section - section(biasanya disingkat sec.) atau pasal - pasal terkait. United States Codes dapat diakses secara online dalam website https://www.gpo.gov/fdsys/granule/USCODE-2010-title42/USCODE-2010-title42-chap7-subchapXI-partA-sec1301

81 Section 264 HIPAA Act 1996

82 HIPAA Compliance Assistance, Office of Civil Rights Health and Human Services : Privacy Brief Summary Of The Hipaa Privacy Rule

83https://www.hhs.gov/hipaa/for-professionals/security/index.html?language=es diakses 23 Mei 2017 pukul 06:20

84 Seperti pada undang - undang yang dikodifikasi (United States Code) pengaturan rule juga dikodifikasi dalam suatu code of federal regulation (CFR). Code of federal regulation dapat diakses secara online dalam website https://www.ecfr.gov

85General Provisions 45 C.F.R. § 160.103

86Privacy Rule 45 C.F.R. §§ 164.502(d)(2), serta 164.514(a) dan (b)

87Privacy Rule 45 C.F.R. § 164.502(a).

88Privacy Rule 45 C.F.R. § 164.502(a)(2)

89Privacy Rule 45 C.F.R. § 164.502(a)(1).

90 Dijelaskan dalam rule yang termasuk kegiatan pengobatan (treatment) adalah Ketentuan, koordinasi, atau pengelolaan pelayanan kesehatan dan Layanan terkait untuk perorangan oleh satu atau lebih penyedia layanan kesehatan, Termasuk konsultasi antara penyedia layanan kesehatan pasien dan dalam hal rujukan pasien antar penyedia layanan kesehatan.

Kemudian yang termasuk dalam pembayaran (Payment) antara lain kegiatan Health Plan untuk mendapatkan premi, Menentukan atau memenuhi tanggung jawab untuk cakupan dan penyediaan tunjangan, Dan memberikan atau mendapatkan penggantian untuk perawatan kesehatan yang dikirim ke individu dan dan kegiatan penyedia layanan kesehatan untuk mendapatkan pembayaran atau pembayaran Penggantian biaya kesehatan atas penyediaan pelayanan kesehatan bagi seorang individu.

91Privacy Rule 45 C.F.R. § 164.510(b).

92Privacy Rule 45 C.F.R. §§ 164.502(a)(1)(iii)

93Privacy Rule 45 C.F.R. § 164.512

94Privacy Rule 45 C.F.R. § 164.514(e)

95Privacy Rule 45 CFR § 164.532

96Privacy Rule 45 C.F.R. § 164.501

97Privacy Rule 45 C.F.R. §§ 164.502(b) dan 164.514 (d)

98 HIPAA Compliance Assistance, Office of Civil Rights Health and Human Services : Privacy Brief Summary Of The Hipaa Privacy Rule

99Privacy Rule 45 C.F.R. §§ 164.520(a) dan (b)

100Privacy Rule 45 C.F.R. § 164.524

101Privacy Rule 45 C.F.R. § 164.526

102Privacy Rule 45 C.F.R. § 164.528

103Privacy Rule 45 C.F.R. § 164.522(a).

104Privacy Rule 45 C.F.R. § 164.522(b)

105Privacy Rule 45 C.F.R. §§ 164.502(e), 164.504(e)

106 HHS menyediakan model kontrak dengan business associate yang dapat diakses dalam website HHS https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html diakses 26 Mei 2017 pukul 11:00

107Privacy Rule 45 C.F.R. § 164.530(i)

108Privacy Rule 45 C.F.R. § 164.530(a)

109Privacy Rule 45 C.F.R. § 164.530 (b), dan (e)

110Privacy Rule 45 C.F.R. § 164.530(f)

111Privacy Rule 45 C.F.R. § 164.530(c)

112Security Rule 45 C.F.R. § 164.306

113Security Rule 45 C.F.R. § 164.304

114Ibid.,

115Ibid.,

116Security Rule 45 C.F.R. § 164.306 (b)(2)

117Security Rule 45 C.F.R. § 164.306(2)

118Security Rule 45 C.F.R. § 164.306 (3)(i)(ii)

119 Section § 164.404 Breach Notification Rule

120 Section § 164.406 Breach Notification Rule