1. Home
  2. Pendidikan

Perbandingan Pengaturan Rekam Medis Elek

PENGATURAN REKAM MEDIS ELEKTRONIK DI INDONESIA DAN AMERIKA

Bab ini secara garis besar akan membahas mengenai kewajiban hukum perlindungan data pribadi pasien dalam bentuk informasi elektronik dalam suatu sistem elektronik yang diatur dalam peraturan perundang - undangan di Indonesia dan peraturan - peraturan tingkat federal dalam hukum Amerika Serikat. Adapun kewajiban perlindungan yang dibahas adalah mengenai aspek privasi, kerahasiaan, dan keamanannya. Oleh karena aspek privasi dan kerahasiaan merupakan hal yang sangat terkait dan sulit untuk dipisahkan, pembahasannya akan disatukan menjadi pembahasan privasi.

A. Kewajiban Hukum dalam Peraturan Perundang - Undangan di Indonesia

Peraturan Perundang - Undangan di Indonesia dapat dikatakan belum ada yang mengatur secara khusus dan spesifik mengenai data pasien yang berupa informasi elektronik. Namun aspek - aspek pengaturannya dapat ditemukan dalam beberapa peraturan perundang - undangan yang terkait dengan data pasien yang berupa informasi elektronik. Dalam penelitian ini peraturan perundang - undangan yang digunakan adalah

Perlindungan dalam bentuk pemberian pertanggungjawaban disini tidak hanya terbatas pada faktor privasi atau terbebasnya data untuk terbuka dengan cara dan tujuan apapun tanpa persetujuan pemilik data saja, namun perlindungan data juga berarti pengamanan terhadap sistem elektronik dimana data disimpan dan digunakan untuk dapat berjalan sebagaimana mestinya.

Dalam penelitian ini akan dibahas peraturan perundang - undangan dalam lingkup kesehatan serta peraturan perundang - undangan dalam lingkup sistem dan informasi elektronik, yang mengatur mengenai perlindungan data pribadi.

1. Undang - Undang Nomor 11 tahun 2008 dan Undang - Undang Nomor 19 tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE)

Dalam UU ITE, mengenai masalah privasi terhadap data pribadi pasien diatur dalam ketentuan Pasal 26 ayat (1) UU ITE, yang menyatakan kecuali ditentukan lain oleh Peraturan Perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan. Ayat (2) kemudian menyatakan setiap orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan Undang- Undang ini. Penjelasan Pasal 26 Ayat (1) menerangkan bahwa dalam pemanfaatan Teknologi Informasi, perlindungan data pribadi merupakan salah satu bagian dari hak pribadi (privacy rights). Hak pribadi dijelaskan dalam bagian penjelasan pasal 26 mengandung pengertian sebagai berikut:

  1. Hak pribadi merupakan hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan.

  2. Hak pribadi merupakan hak untuk dapat berkomunikasi dengan Orang lain tanpa tindakan memata-matai.

  3. Hak pribadi merupakan hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang.

Dalam hal ini, UU ITE sudah mengatur beberapa aspek perlindungan data pribadi yaitu mengenai persetujuan, dimana seseorang yang menggunakan data pribadi seseorang harus mendapatkan persetujuan dari pemilik data tersebut terlebih dahulu. Kemudian dalam perubahan UU ITE, terdapat tambahan pengaturan yang harus ditaati bagi penyelenggara sistem elektronik yang mengelola data pribadi, yaitu Setiap Penyelenggara Sistem Elektronik wajib menghapus Informasi Elektronik dan/atau Dokumen Elektronik yang tidak relevan yang berada di bawah kendalinya atas permintaan dari pemilik data berdasarkan suatu penetapan pengadilan. Selain itu, Setiap Penyelenggara Sistem Elektronik juga diwajibkan untuk menyediakan mekanisme penghapusan Informasi Elektronik dan/ atau Dokumen Elektronik yang sudah tidak relevan.1

Mengenai aspek keamanan, Pengaturan UU ITE dalam pasal 15 mewajibkan setiap penyelenggara sistem elektronik untuk menyelenggarakan Sistem Elektroniknya secara andal dan aman serta beroperasi sebagaimana mestinya. Andal maksudnya memiliki kebutuhan sesuai dengan penggunanya, aman dalam konteks sistem elektronik tersebut terlindungi secara fisik dan non fisik, serta beroperasi sebagaimana mestinya berarti Sistem Elektronik memiliki kemampuan sesuai dengan spesifikasinya. Kemudian bentuk konkrit dari kewajiban hukum dalam pasal 15 diperjelas dalam Pasal 16 ayat (1) UU ITE yang menyatakan bahwa suatu sistem elektronik yang diselenggarakan penyelenggara sistem elektronik harus minimal dapat menampilkan kembali Informasi Elektronik dan/atau Dokumen Elektronik secara utuh sesuai dengan masa retensi yang ditetapkan dengan Peraturan Perundang-undangan; dapat melindungi ketersediaan, keutuhan, keotentikan, kerahasiaan, dan keteraksesan Informasi Elektronik dalam Penyelenggaraan Sistem Elektronik tersebut; dapat beroperasi sesuai dengan prosedur atau petunjuk dalam Penyelenggaraan Sistem Elektronik tersebut; dilengkapi dengan prosedur atau petunjuk yang diumumkan dengan bahasa, informasi, atau simbol yang dapat dipahami oleh pihak yang bersangkutan dengan Penyelenggaraan Sistem Elektronik tersebut; Serta memiliki mekanisme yang berkelanjutan untuk menjaga kebaruan, kejelasan, dan kebertanggungjawaban prosedur atau petunjuk.

Kewajiban hukum dalam hal privasi dan keamanan data juga secara tidak langsung dapat dilihat dalam pengaturan pasal 30 sampai 33 serta pasal 35 UU ITE yang mengatur mengenai perbuatan yang dilarang. Dalam hal ini UU ITE secara tegas melarang setiap orang untuk melakukan akses secara melawan hukum kepada data milik Orang lain melalui sistem elektronik untuk memperoleh informasi dengan cara menerobos sistem pengaman. Selain itu juga secara tegas UU ITE menyatakan bahwa penyadapan (interception) adalah termasuk perbuatan yang dilarang kecuali dilakukan oleh pihak yang memiliki kewenangan untuk itu dalam rangka upaya hukum. Kemudian, setiap orang juga dilarang dengan cara apapun untuk membuka informasi milik orang lain dengan tujuan apapun bahkan jika data yang sifatnya rahasia sampai dapat terbuka kepada publik. Lebih jauh, perlindungan terhadap data tidak hanya mengatur akses pengungkapan data saja, tetapi juga apabila data dapat dibuka dan diubah dengan cara apapun (manipulasi, perubahan, pernghilangan, pengrusakan) sehingga seolah-olah data tersebut menjadi data otentik. Terlepas dari perbuatan yang terkait secara langsung dengan akses tanpa hak kepada data yang bisa saja menyerang keamanan sistem elektronik, UU ITE juga menyatakan melarang setiap tindakan yang mengakibatkan sistem elektronik menjadi terganggu yang secara sistematis berarti juga dapat mengakibatkan terganggunya akses data bagi pemiliknya.

a. Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggara Sistem dan Transaksi Elektronik (PP PSTE)

PP PSTE selain juga mengatur mengenai aspek privasi dan keamanan data dan sistem elektronik yang mengelola data, juga mengatur mengenai aspek - aspek yang terkait dengan keandalan dan dapat beroperasinya suatu sistem elektronik, yaitu mengenai pendaftaran sistem elektronik; Perangkat Keras yang digunakan dalam sistem elektronik; Perangkat Lunak; tenaga ahli yang akan mengelola sistem elektronik; mengenai tata kelola; Mengenai sistem pengamanan; Adanya kewajiban melakukan Sertifikasi Kelaikan Sistem Elektronik; dan pengawasan yang dilakukan stakeholder - stakeholder terkait. Dalam peraturan ini juga dikenalkan mengenai klasifikasi penyelenggara sistem elektronik. Penyelenggara suatu sistem elektronik dapat dibedakan menjadi penyelenggara sistem elektronik untuk pelayanan publik dan umum atau nonpelayanan publik.

Terkait dengan aspek privasi, dalam pasal 15 ayat (1) PP PSTE diatur kewajiban perlindungan data pribadi oleh penyelenggara sistem elektronik, yaitu penyelenggara sistem elektronik wajib :

a. Menjaga rahasia, keutuhan, dan ketersediaan Data Pribadi yang dikelolanya;

b. Menjamin bahwa perolehan, penggunaan, dan pemanfaatan Data Pribadi berdasarkan persetujuan pemilik Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan

c. Menjamin penggunaan atau pengungkapan data dilakukan berdasarkan persetujuan dari pemilik Data Pribadi tersebut dan sesuai dengan tujuan yang disampaikan kepada pemilik Data Pribadi pada saat perolehan data.

Kemudian dalam ayat (2) pasal tersebut juga diatur kewajiban untuk melakukan notifikasi, dimana jika terjadi kegagalan dalam perlindungan rahasia Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut.

Kemudian terkait dengan aspek keamanan, keamanan sistem elektronik tidak dapat dipisahkan dari aspek - aspek lainnya yang saling terkait dengan keamanan sistem elektronik tersebut sehingga juga akan dibahas. Terkait dengan pendaftaran, Penyelenggara Sistem Elektronik untuk pelayanan publik wajib melakukan pendaftaran sebelum sistem elektronik digunakan untuk publik. Sedangkan bagi nonpelayanan publik tidak wajib namun dapat melakukan pendaftaran.2

Dalam konteks tata kelola, penyelenggara sistem elektronik wajib menjamin setiap komponen dan keterpaduan seluruh Sistem Elektronik beroperasi sebagaimana mestinya. serta wajib menjamin adanya:3 perjanjian tingkat layanan; perjanjian keamanan informasi terhadap jasa layanan Teknologi Informasi yang digunakan; dan keamanan informasi dan sarana komunikasi internal yang diselenggarakan. Kemudian penyelenggara sistem elektronik juga wajib untuk menerapkan manajemen risiko terhadap kerusakan atau kerugian yang ditimbulkan.4 Selain itu, Penyelenggara Sistem Elektronik juga wajib memiliki kebijakan tata kelola, prosedur kerja pengoperasian, dan mekanisme audit yang dilakukan berkala terhadap Sistem Elektronik. Dalam hal sistem elektronik yang digunakan untuk kepentingan publik, wajib menerapkan tata kelola yang baik dan akuntabel, yang minimal harus memenuhi persyaratan berikut:

  1. tersedianya prosedur atau petunjuk dalam Penyelenggaraan Sistem Elektronik yang didokumentasikan dan/atau diumumkan dengan bahasa, informasi, atau simbol yang dimengerti oleh pihak yang terkait dengan Penyelenggaraan Sistem Elektronik tersebut;

  2. adanya mekanisme yang berkelanjutan untuk menjaga kebaruan dan kejelasan prosedur pedoman pelaksanaan;

  3. adanya kelembagaan dan kelengkapan personel pendukung bagi pengoperasian Sistem Elektronik sebagaimana mestinya;

  4. adanya penerapan manajemen kinerja pada Sistem Elektronik yang diselenggarakannya untuk memastikan Sistem Elektronik beroperasi sebagaimana mestinya; dan

  5. adanya rencana menjaga keberlangsungan Penyelenggaraan Sistem Elektronik yang dikelolanya.

  6. Serta pengaturan - pengaturan lainnya yang ditentukan Instansi Pengawas dan Pengatur Sektor terkait di industry masing - masing.

Selain itu, bagi sistem elektronik yang ditujukan untuk pelayanan publik, wajib membuat rencana keberlangsungan kegiatan untuk menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya. Kemudian juga Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menempatkan pusat data dan pusat pemulihan bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan, dan penegakan kedaulatan negara terhadap data warga negaranya. 5

Dalam hal Perangkat Keras, Adapun saat ini dalam PP PSTE dijelaskan bahwa Penyelenggara Sistem Elektronik memiliki kewajiban untuk memastikan netralitas teknologi, memiliki kebebasan memilih dalam penggunaan Perangkat Keras, serta perangkat keras yang digunakan oleh Penyelenggara Sistem Elektronik harus :

a. memenuhi aspek interkonektivitas dan kompatibilitas dengan sistem yang digunakan;

Adapun Yang dimaksud dengan “interkonektivitas” adalah kemampuan untuk terhubung satu sama lain sehingga bisa berfungsi sebagaimana mestinya, yang dalam hal ini termasuk juga kemampuan interoperabilitas.

  1. memperoleh sertifikat kelaikan dari Menteri;

  2. mempunyai layanan dukungan teknis, pemeliharaan, dan purnajual dari penjual atau penyedia;

  3. memiliki referensi pendukung dari pengguna lainnya bahwa Perangkat Keras tersebut berfungsi sesuai dengan spesifikasinya;

  4. memiliki jaminan ketersediaan suku cadang paling sedikit 3 (tiga) tahun;

  5. memiliki jaminan kejelasan tentang kondisi kebaruan; dan

  6. memiliki jaminan bebas dari cacat produk.

Adapun dalam hal perangkat lunak, Perangkat Lunak yang digunakan oleh Penyelenggara Sistem Elektronik untuk pelayanan publik wajib:6

  1. terdaftar pada kementerian yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika;

  2. terjamin keamanan dan keandalan operasi sebagaimana mestinya; dan

  3. sesuai dengan ketentuan peraturan perundang-undangan.

Setiap orang yang bekerja di lingkungan penyelenggaraan Sistem Elektronik berkewajiban mengamankan dan melindungi sarana dan prasarana Sistem Elektronik atau informasi yang disalurkan melalui Sistem Elektronik. Dalam hal ini, Penyelenggara Sistem Elektronik wajib menyediakan, mendidik, dan melatih personel yang bertugas dan bertanggung jawab terhadap pengamanan dan perlindungan sarana dan prasarana Sistem Elektronik.7

Mengenai Pengamanan sistem elektronik, penyelenggara sistem elektronik wajib melakukan pengamanan terhadap Sistem Elektronik.8 Penyelenggara Sistem Elektronik wajib menyediakan rekam jejak audit terhadap seluruh kegiatan Penyelenggaraan Sistem Elektronik. Rekam jejak audit digunakan untuk keperluan pengawasan, penegakan hukum, penyelesaian sengketa, verifikasi, pengujian, dan pemeriksaan lainnya.

Kemudian untuk menentukan bahwa sistem elektronik ini laik, termasuk sudah memenuhi kewajiban - kewajiban yang diberikan dalam peraturan ini, dilakukan mekanisme sertifikasi, yaitu sertifikasi kelaikan sistem elektronik. Sertifikasi Kelaikan Sistem Elektronik adalah suatu rangkaian proses pemeriksaan dan pengujian yang dilakukan oleh institusi yang berwenang dan berkompeten untuk memastikan suatu Sistem Elektronik berfungsi sebagaimana mestinya. Untuk penyelenggara sistem elektronik untuk kepentingan publik wajib untuk melakukan sertifikasi ini. Kemudian jika sistem elektronik akan difungsikan untuk melakukan suatu transaksi elektronik juga terdapat sertifikasi yang dinamakan sertifikasi keandalan, sama seperti sertifikasi kelaikan elektronik, untuk penyelenggara sistem elektrronik untuk kepentingan publik yang melakukan transaksi elektronik wajib mendapatkan sertifikat keandalan ini.

b. Peraturan Menteri Komunikasi Dan Informatika (PERMEN) Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik

Berdasarkan pemberian kewenangan dari PP PSTE (pada pasal 15) kepada menteri terkait pembuatan peraturan perundang - undangan yang menyangkut mengenai perlindungan data pribadi secara lebih detail Kementerian KOMINFO kemudian menerbitkan Peraturan Menteri Komunikasi Dan Informatika (PERMENKOMINFO) Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik. Pengertian Data pribadi diatur dalam peraturan ini adalah setiap keterangan yang benar dan nyata yang melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.9 Dalam peraturan ini menganut aspek privasi sekaligus juga keamanan. Adapun dijelaskan bahwa Perlindungan data pribadi harus sesuai dengan asas - asas perlindungan data pribadi yang baik, yang terdiri dari:10

  1. penghormatan terhadap Data Pribadi sebagai privasi;

  2. Data Pribadi bersifat rahasia sesuai Persetujuan dan/atau berdasarkan ketentuan peraturan perundang-undangan;

  3. berdasarkan Persetujuan; dimana Penyelenggara Sistem Elektronik wajib menyediakan formulir persetujuan dalam Bahasa Indonesia untuk meminta Persetujuan dari Pemilik Data Pribadi yang dimaksud.11

  4. relevansi dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, dan penyebarluasan;

  5. kelaikan Sistem Elektronik yang digunakan;

  6. iktikad baik untuk segera memberitahukan secara tertulis kepada Pemilik Data Pribadi atas setiap kegagalan perlindungan Data Pribadi;

  7. ketersediaan aturan internal pengelolaan perlindungan Data Pribadi;

  8. tanggung jawab atas Data Pribadi yang berada dalam penguasaan Pengguna;

  9. kemudahan akses dan koreksi terhadap Data Pribadi oleh Pemilik Data Pribadi;

  10. keutuhan, akurasi, dan keabsahan serta kemutakhiran Data Pribadi.

Berdasarkan asas - asas tersebut, kemudian melahirkan adanya hak dan kewajiban perlindungan data pribadi dalam setiap transaksi elektronik yang dilakukan para pihak yang terdiri dari para pihak seperti pemilik data pribadi, pengguna, serta penyelenggara sistem elektronik.

Pemilik Data Pribadi adalah individu yang padanya melekat Data Perseorangan Tertentu pada data pribadi. Sedangkan Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain. Kemudian Pengguna Sistem Elektronik yang selanjutnya disebut Pengguna adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang memanfaatkan barang, jasa, fasilitas, atau informasi yang disediakan oleh Penyelenggara Sistem Elektronik.

Adapun dalam pengaturan ini dijelaskan Pemilik Data Pribadi berhak:

    1. atas kerahasiaan Data Pribadinya;

    2. mengajukan pengaduan dalam rangka penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadinya oleh Penyelenggara Sistem Elektronik kepada Menteri;

    3. mendapatkan akses atau kesempatan untuk mengubah atau memperbarui Data Pribadinya tanpa menganggu sistem pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan;

    4. mendapatkan akses atau kesempatan untuk memperoleh historis Data Pribadinya yang pernah diserahkan kepada Penyelenggara Sistem Elektronik sepanjang masih sesuai dengan ketentuan peraturan perundang-undangan; dan

    5. meminta pemusnahan Data Perseorangan Tertentu miliknya dalam Sistem Elektronik yang dikelola oleh Penyelenggara Sistem Elektronik, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.

Terkait dengan hak dari pemilik data pribadi tersebut, maka bagi pengguna sistem elektronik serta penyelenggara sistem elektronik harus melakukan kewajiban - kewajiban yang telah ditetapkan. Adapun kewajiban bagi pengguna antara lain :12

  1. menjaga kerahasiaan Data Pribadi yang diperoleh, dikumpulkan, diolah, dan dianalisisnya;

  2. menggunakan Data Pribadi sesuai dengan kebutuhan Pengguna saja;

  3. melindungi Data Pribadi beserta dokumen yang memuat Data Pribadi tersebut dari tindakan penyalahgunaan; dan

  4. bertanggung jawab atas Data Pribadi yang terdapat dalam penguasaannya, baik penguasaan secara organisasi yang menjadi kewenangannya maupun perorangan, jika terjadi tindakan penyalahgunaan.

Sedangkan penyelenggara sistem elektronik berkewajiban untuk:13

  1. melakukan sertifikasi Sistem Elektronik yang dikelolanya sesuai dengan ketentuan peraturan perundang-undangan;

  2. menjaga kebenaran, keabsahan, kerahasiaan, keakuratan dan relevansi serta kesesuaian dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan Data Pribadi;

  3. memberitahukan secara tertulis kepada Pemilik Data Pribadi jika terjadi kegagalan perlindungan rahasia Data Pribadi dalam Sistem Elektronik yang dikelolanya, dengan ketentuan pemberitahuan sebagai berikut:

  1. harus disertai alasan atau penyebab terjadinya kegagalan perlindungan rahasia Data Pribadi;

  2. dapat dilakukan secara elektronik jika Pemilik Data Pribadi telah memberikan Persetujuan untuk itu yang dinyatakan pada saat dilakukan perolehan dan pengumpulan Data Pribadinya;

  3. harus dipastikan telah diterima oleh Pemilik Data Pribadi jika kegagalan tersebut mengandung potensi kerugian bagi yang bersangkutan; dan

  4. pemberitahuan tertulis dikirimkan kepada Pemilik Data Pribadi paling lambat 14 (empat belas) hari sejak diketahui adanya kegagalan tersebut;

  1. memiliki aturan internal terkait perlindungan Data Pribadi yang sesuai dengan ketentuan peraturan perundang-undangan; hal ini dilakukan sebagai bentuk tindakan pencegahan untuk menghindari terjadinya kegagalan dalam perlindungan Data Pribadi yang dikelolanya. 14 Penyusunan aturan internal harus mempertimbangkan aspek penerapan teknologi, sumber daya manusia, metode, dan biaya serta mengacu pada ketentuan peraturan perundang-undangan terkait. 15 Terkait dengan aspek sumber daya manusia Tindakan pencegahan lainnya untuk menghindari terjadinya kegagalan dalam perlindungan Data Pribadi yang dikelolanya harus dilakukan oleh setiap Penyelenggara Sistem Elektronik, paling sedikit berupa kegiatan:16 meningkatkan kesadaran sumber daya manusia di lingkungannya untuk memberikan perlindungan Data Pribadi dalam Sistem Elektronik yang dikelolanya; dan mengadakan pelatihan pencegahan kegagalan perlindungan Data Pribadi dalam Sistem Elektronik yang dikelolanya bagi sumber daya manusia di lingkungannya.

  2. menyediakan rekam jejak audit terhadap seluruh kegiatan penyelenggaraan Sistem Elektronik yang dikelolanya;

  3. memberikan opsi kepada Pemilik Data Pribadi mengenai Data Pribadi yang dikelolanya dapat/atau tidak dapat digunakan dan/atau ditampilkan oleh/pada pihak ketiga atas Persetujuan sepanjang masih terkait dengan tujuan perolehan dan pengumpulan Data Pribadi;

  4. memberikan akses atau kesempatan kepada Pemilik Data Pribadi untuk mengubah atau memperbarui Data Pribadinya tanpa menganggu sistem pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan;

  5. memusnahkan Data Pribadi sesuai dengan ketentuan dalam Peraturan Menteri ini atau ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing Instansi Pengawas dan Pengatur Sektor untuk itu; dan

  6. menyediakan narahubung (contact person) yang mudah dihubungi oleh Pemilik Data Pribadi terkait pengelolaan Data Pribadinya.

Adapun perlindungan data pribadi dalam Sistem Elektronik mencakup perlindungan atau pembatasan dalam aktivitas perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, dan penyebarluasan.17 Dalam setiap aktivitas - aktivitas tersebut, haruslah memenuhi asas - asas perlindungan data yang baik serta hak dan kewajiban para pihak terkait. Pengaturan perlindungan ini, secara detail adalah sebagai berikut:

1. Dalam aktivitas Perolehan dan pengumpulan

Perolehan dan pengumpulan Data Pribadi oleh Penyelenggara Sistem Elektronik harus dibatasi pada informasi yang relevan dan sesuai dengan tujuannya serta harus dilakukan secara akurat. Instansi Pengawas dan Pengawas Sektor dalam hal ini dapat menentukan informasi yang relevan dan sesuai dengan tujuannya.18 Perolehan dan pengumpulan Data Pribadi oleh Penyelenggara Sistem Elektronik wajib dilakukan berdasarkan Persetujuan atau berdasarkan ketentuan peraturan perundang-undangan. Persetujuan tersebut dapat memberikan pernyataan Data Perseorangan Tertentu pemilik data pribadi bersifat rahasia. Apabila pernyataan tersebut tidak ada, Dalam hal persetujuan perolehan dan pengumpulan tersebut tidak termasuk Persetujuan atas pengungkapan kerahasiaan Data Pribadi maka: setiap Orang yang melakukan perolehan dan pengumpulan Data Pribadi dan Penyelenggara Sistem Elektronik harus menjaga kerahasiaan Data Pribadi tersebut. Hal ini juga berlaku terhadap Data Pribadi yang dinyatakan rahasia sesuai dengan ketentuan peraturan perundang-undangan.19 Data Pribadi yang diperoleh dan dikumpulkan secara tidak langsung harus diverifikasi .20 Data Pribadi yang diperoleh dan dikumpulkan secara langsung harus diverifikasi kebenarannya kepada pemilik data pribadi. Sedangkan yang diperoleh secara tidak langsung harus diverifikasi berdasarkan hasil olahan berbagai sumber data. Sumber data tersebut harus memiliki dasar hukum yang sah.21 Penyelenggara Sistem Elektronik juga harus menyediakan pilihan dalam Sistem Elektronik untuk Pemilik Data Pribadi, yaitu dalam hal:

    1. kerahasiaan atau ketidakrahasiaan Data Pribadi. Pilihan untuk Pemilik Data Pribadi terhadap kerahasiaan atau ketidakrahasiaan tidak berlaku jika peraturan perundang-undangan telah secara tegas menyatakan Data Pribadi yang secara khusus untuk beberapa elemennya dinyatakan bersifat rahasia.22

    2. perubahan, penambahan, atau pembaruan Data Pribadi.23 Dalam sistem elektronik harus terdapat pilihan bagi pemilik data pribadi untuk melakukan perubahan, penambahan, atau pembaruan Data Pribadi.24

Kemudian Sistem Elektronik yang digunakan untuk menampung perolehan dan pengumpulan Data Pribadi harus:25

    1. memiliki kemampuan interoperabilitas dan kompatibilitas. Interoperabilitas merupakan kemampuan Sistem Elektronik yang berbeda untuk dapat bekerja secara terpadu. Sedangkan Kompatibilitas merupakan kesesuaian Sistem Elektronik yang satu dengan Sistem Elektronik yang lainnya. Serta;

    2. menggunakan perangkat lunak (software) yang legal.

  1. pengolahan dan penganalisisan

Data Pribadi hanya dapat diolah dan dianalisis sesuai kebutuhan Penyelenggara Sistem Elektronik yang telah dinyatakan secara jelas saat memperoleh dan mengumpulkannya.26 Data Pribadi yang diolah dan dianalisis harus Data Pribadi yang telah diverifikasi keakuratannya.27 Pengolahan dan penganalisisan Data Pribadi dilakukan berdasarkan Persetujuan. Hal ini tidak berlaku jika Data Pribadi yang diolah dan dianalisis tersebut berasal dari Data Pribadi yang telah ditampilkan atau diumumkan secara terbuka oleh Sistem Elektronik untuk pelayanan publik.28

3. Penyimpanan

Data Pribadi yang disimpan dalam Sistem Elektronik harus Data Pribadi yang telah diverifikasi keakuratannya.29 Penyimpanan Data Pribadi dalam Sistem Elektronik harus dilakukan sesuai dengan ketentuan mengenai prosedur dan sarana pengamanan Sistem Elektronik.30 Kemudian juga terdapat kewajiban dimana bentuk data yang tersimpan haruslah yang sudah terenkripsi. 31 Data Pribadi wajib disimpan paling singkat 5 (lima) tahun, atau sesuai dengan ketentuan peraturan perundang-undangan yang mengatur kewajiban jangka waktu penyimpanan Data Pribadi pada masing-masing Instansi Pengawas dan Pengatur Sektor.32 Dalam keadaan Pemilik Data Pribadi tidak lagi menjadi Pengguna, Penyelenggara Sistem Elektronik wajib menyimpan Data Pribadi tersebut sesuai batas waktu sebagaimana dimaksud terhitung sejak tanggal terakhir Pemilik Data Pribadi menjadi Pengguna.33

Jika waktu penyimpanan Data Pribadi telah melebihi batas waktu sebagaimana dimaksud, Data Pribadi dalam Sistem Elektronik dapat dihapuskan kecuali Data Pribadi tersebut masih akan dipergunakan atau dimanfaatkan sesuai dengan tujuan awal perolehan dan pengumpulannya. Jika Pemilik Data Pribadi meminta penghapusan Data Perseorangan Tertentu miliknya, permintaan penghapusan tersebut dilakukan sesuai dengan ketentuan peraturan perundang-undangan.34

Dalam hal penyelenggara sistem elektronik adalah untuk kepentingan publik, pusat data35 (data center) dan pusat pemulihan bencana36 (disaster recovery center) Penyelenggara Sistem Elektronik yang digunakan untuk proses perlindungan Data Pribadi wajib ditempatkan dalam wilayah negara Republik Indonesia.37

4. Dalam aktivitas Penampilan, pengumuman, pengiriman, serta penyebarluasan

Menampilkan, mengumumkan, mengirimkan, menyebarluaskan, dan/atau membuka akses Data Pribadi dalam Sistem Elektronik antar Penyelenggara Sistem Elektronik, antar Penyelenggara Sistem Elektronik dan Pengguna, atau antar Pengguna. hanya dapat dilakukan:38

    1. atas Persetujuan kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; dimana persetujuan yang dimaksud harus sesuai dengan tujuan perolehan, pengumpulan, pengolahan, dan/atau penganalisisan Data Pribadi.39 dan

    2. setelah diverifikasi keakuratan dan kesesuaian dengan tujuan perolehan dan pengumpulan Data Pribadi tersebut.

Mengenai pengiriman Data Pribadi yang dikelola oleh Penyelenggara Sistem Elektronik pada instansi pemerintah dan pemerintahan daerah serta masyarakat atau swasta yang berdomisili di dalam wilayah negara Republik Indonesia ke luar wilayah negara Republik Indonesia harus:40

    1. berkoordinasi dengan Menteri atau pejabat/lembaga yang diberi wewenang untuk itu. Pelaksanaan koordinasi berupa:

  1. melaporkan rencana pelaksanaan pengiriman Data Pribadi, paling sedikit memuat nama jelas negara tujuan, nama jelas subjek penerima, tanggal pelaksanaan,dan alasan/tujuan pengiriman;

  2. meminta advokasi, jika diperlukan; dan

  3. melaporkan hasil pelaksanaan kegiatan.

    1. menerapkan ketentuan peraturan perundang-undangan mengenai pertukaran Data Pribadi lintas batas negara.

Untuk keperluan proses penegakan hukum, Penyelenggara Sistem Elektronik wajib memberikan Data Pribadi yang yang relevan dan sesuai dengan kebutuhan penegakan hukum Yang terdapat dalam Sistem Elektronik atau Data Pribadi yang dihasilkan oleh Sistem Elektronik atas permintaan yang sah dari aparat penegak hukum berdasarkan ketentuan peraturan perundang-undangan.41

  1. Terkait dengan Pemusnahan

Pemusnahan Data Pribadi dalam Sistem Elektronik hanya dapat dilakukan jika:42

    1. telah melewati ketentuan jangka waktu penyimpanan Data Pribadi dalam Sistem Elektronik berdasarkan Peraturan Menteri ini atau sesuai dengan ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing Instansi Pengawas dan Pengatur Sektor untuk itu; atau

    2. atas permintaan Pemilik Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.

Pemusnahan harus menghilangkan sebagian atau keseluruhan dokumen terkait Data Pribadi, termasuk yang elektronik maupun nonelektronik yang dikelola oleh Penyelenggara Sistem Elektronik dan/atau Pengguna sehingga Data Pribadi tersebut tidak dapat ditampilkan kembali dalam Sistem Elektronik kecuali Pemilik Data Pribadi memberikan Data Pribadinya yang baru. Penghilangan sebagian atau keseluruhan berkas dilakukan berdasarkan Persetujuan atau sesuai dengan ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing sektor untuk itu.43

c. PERMENKOMINFO Nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi

PP PSTE Pasal 20 ayat (2), menyatakan bahwa Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian. Kemudian ketentuan ayat (4) menjelaskan bahwa mengenai ketentuan dalam ayat (2) tersebut akan dibuat peraturan lebih lanjut oleh menteri, dan akhirnya diwujudkan dalam peraturan tentang sistem manajemen pengamanan informasi ini.

Peraturan ini mengatur mengenai kewajiban bagi penyelenggara sistem elektronik untuk pelayanan publik untuk menerapkan suatu sistem pengamanan. Adapun kegiatan - kegiatan yang termasuk ke dalam lingkup pelayanan publik adalah kegiatan atau rangkaian kegiatan dalam rangka pemenuhan kebutuhan pelayanan sesuai dengan peraturan perundang-undangan bagi setiap warga negara dan penduduk atas barang, jasa, dan/atau pelayanan administratif yang disediakan oleh penyelenggara pelayanan publik.44 Adapun pihak - pihak yang dapat dikatakan sebagai penyelenggara pelayanan publik antara lain:45

  1. institusi penyelenggara negara yang terdiri dari lembaga negara dan/atau lembaga pemerintahan dan/atau Satuan Kerja Penyelenggara di lingkungannya;

  2. korporasi berupa Badan Usaha Milik Negara dan/atau Badan Usaha Milik Daerah dan/atau Satuan Kerja Penyelenggara di lingkungannya;

  3. lembaga independen yang dibentuk berdasarkan Undang-Undang dan/atau Satuan Kerja Penyelenggara di lingkungannya; atau

  4. badan hukum lain yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara.

Peraturan ini mengatur mengenai penerapan Sistem Manajemen Pengamanan Informasi berdasarkan asas Risiko. Berdasarkan asas resiko tersebut Sistem elektronik dalam lingkup pelayanan publik, terkait penggunaannya dapat dibedakan menjadi Sistem Elektronik strategis, Sistem Elektronik tinggi, serta Sistem Elektronik rendah. Sistem elektronik strategis adalah Sistem Elektronik yang berdampak serius terhadap kepentingan umum, Pelayanan Publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara. Sistem elektronik tinggi yaitu Sistem Elektronik yang berdampak terbatas pada kepentingan sektor dan/atau daerah tertentu. Sedangkan sistem elektronik rendah adalah sistem elektronik yang tidak termasuk kedalam kedua jenis sistem tersebut.

Adapun penentuan suatu sistem elektronik termasuk dalam kategori mana, ditentukan berdasarkan penilaian sendiri, berdasarkan indikator - indikator yang ditentukan berdasarkan lampiran Formulir Pernyataan Kategori Sistem Elektronik dalam PERMENKOMINFO Nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi yang dapat dilihat dalam lampiran penelitian ini, yaitu antara lain :

  1. Nilai investasi sistem elektronik yang terpasang ([A] Lebih dari Rp.30 Miliar, [B] Lebih dari Rp.3 Miliar s/d Rp.30 Miliar, [C] Kurang dari Rp.3 Miliar)

  2. Total anggaran operasional tahunan yang dialokasikan untuk pengelolaan Sistem Elektronik ([A] Lebih dari Rp.10 Miliar, [B] Lebih dari Rp.1 Miliar s/d Rp.10 Miliar, [C] Kurang dari Rp.1 Miliar")

  3. Memiliki kewajiban kepatuhan terhadap Peraturan atau Standar tertentu ([A] Peraturan atau Standar nasional dan internasional, [B] Peraturan atau Standar nasional, [C] Tidak ada Peraturan khusus)

  4. Menggunakan algoritma khusus untuk keamanan informasi dalam Sistem Elektronik ([A] Algoritma khusus yang digunakan Negara, [B] Algoritma standar publik, [C] Tidak ada algoritma khusus)

  5. Jumlah pengguna Sistem Elektronik ([A] Lebih dari 5.000 pengguna, [B] 1.000 sampai dengan 5.000 pengguna, [C] Kurang dari 1.000 pengguna)

  6. Data pribadi yang dikelola Sistem Elektronik ([A] Data pribadi yang memiliki hubungan dengan Data Pribadi lainnya, [B] Data pribadi yang bersifat individu dan/atau data pribadi yang terkait dengan kepemilikan badan usaha, [C] Tidak ada data pribadi)

  7. Tingkat klasifikasi/kekritisan Data yang ada dalam Sistem Elektronik, relatif terhadap ancaman upaya penyerangan atau penerobosan keamanan informasi ([A] Sangat Rahasia, [B] Rahasia dan/ atau Terbatas, [C] Biasa)

  8. Tingkat kekritisan proses yang ada dalam Sistem Elektronik, relatif terhadap ancaman upaya penyerangan atau penerobosan keamanan informasi ([A] Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak langsung pada layanan publik, [B] Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak tidak langsung, [C] Proses yang tidak berdampak bagi kepentingan orang banyak)

  9. Dampak dari kegagalan Sistem Elektronik ([A] Tidak tersedianya layanan publik berskala nasional atau membahayakan pertahanan keamanan negara, [B] Tidak tersedianya layanan publik atau proses penyelenggaraan negara dalam 1 provinsi atau lebih, [C] Tidak tersedianya layanan publik atau proses penyelenggaraan negara dalam 1 kabupaten/kota atau lebih)

  10. Potensi kerugian atau dampak negatif dari insiden ditembusnya keamanan informasi Sistem Elektronik (sabotase, terorisme) ([A] Menimbulkan korban jiwa, [B] Terbatas pada kerugian finansial, [C] Mengakibatkan gangguan operasional sementara (tidak membahayakan dan merugikan finansial))

Kemudian dari penilaian tersebut akan didapatkan hasil yang menyatakan apakah sistem elektronik yang dilakukan penilaian tersebut adalah sistem elektronik strategis, tinggi, atau rendah.

Jika sistem elektroniknya adalah kategori sistem elektronik strategis, maka harus menerapkan standar SNI ISO/IEC 27001 dan ketentuan pengamanan yang ditetapkan oleh Instansi Pengawas dan Pengatur Sektornya. Untuk Sistem Elektronik tinggi harus menerapkan standar SNI ISO/IEC 27001. Kemudian untuk sistem elektronik rendah harus menerapkan pedoman Indeks Keamanan Informasi (Indeks KAMI).

Mengenai tenaga - tenaga atau sumber daya manusia yang bertanggung jawab langsung dengan keberlangsungan sistem elektronik, dapat menggunakan Tenaga Ahli internal dan/atau Tenaga Ahli eksternal . Tenaga ahli yang digunakan oleh Penyelenggara Sistem Elektronik harus memiliki kompetensi di bidang Sistem Elektronik atau Teknologi Informasi. wajib memiliki sertifikat keahlian. Tenaga ahli yang dimaksud disini adalah tenaga yang memiliki pengetahuan dan keterampilan khusus dalam bidang Sistem Elektronik yang dapat dipertanggungjawabkan secara akademis maupun praktis. Penyelenggaraan Sistem Elektronik yang bersifat strategis harus menggunakan tenaga ahli berkewarganegaraan Indonesia. Dalam hal belum terdapat tenaga ahli berkewarganegaraan Indonesia, Penyelenggara Sistem Elektronik dapat menggunakan tenaga ahli asing.46 Penyelenggara Sistem Elektronik harus mengajukan permohonan kepada Direktur Jenderal paling lambat 14 (empat belas) hari kerja sebelum perjanjian kerja ditandatangani. Permohonan juga harus dilengkapi dengan dokumen sebagai berikut:

    1. manajemen risiko terkait penggunaan Tenaga Ahli asing; dan

    2. biodata Tenaga Ahli asing yang paling sedikit memuat pengalaman kerja.

Kemudian Direktur Jenderal menetapkan Tenaga Ahli asing paling lambat 14 (empat belas) hari kerja setelah permohonan dinyatakan lengkap.47

Adapun pengimplementasian manajemen pengamanan ini akan diawasi melalui mekanisme sertifikasi, yang mana adalah wajib bagi Penyelenggara Sistem Elektronik strategis dan Penyelenggara Sistem Elektronik tinggi. Sedangkan bagi sistem elektronik rendah adalah tidak wajib, namun penyelenggara sistem elektronik rendah wajib untuk melaporkan penilaian sistem elektroniknya setiap tahun minimal satu kali yang dilakukan berdasarkan penilaian mandiri dengan pedoman indeks keamanan informasi tersebut. Bagi penyelenggara sistem elektronik strategis dan tinggi tersebut yang sudah tersertifikasi akan mendapatkan sertifikat manajemen pengamanan informasi oleh lembaga sertifikasi yang berlaku selama tiga tahun dan harus diperpanjang paling lambat tiga bulan sebelum masa berlaku berakhir.

Terhadap sistem yang telah disertifikasi tersebut, lembaga sertifikasi akan melakukan audit minimal satu tahun sekali. Apabila ternyata sistem elektronik tidak menerapkan standar yang telah ditetapkan, Lembaga Sertifikasi wajib mencabut Sertifikat Sistem Manajemen Pengamanan Informasi terkait, dan melaporkannya ke Menteri KOMINFO paling lambat dua hari setelah pencabutan.48

2. Kewajiban Hukum dalam Undang - Undang No. 36 tahun 2009 tentang Kesehatan

Pada undang - undang kesehatan terdapat pengaturan yang mengatur mengenai aspek privasi, yaitu pada pasal 8 yang menyatakan bahwa Setiap orang berhak memperoleh informasi tentang data kesehatan dirinya termasuk tindakan dan pengobatan yang telah maupun yang akan diterimanya dari tenaga kesehatan. Pengaturan ini mengandung aspek privasi dalam hal pengungkapan data dimana si pemilik data berhak untuk memperoleh informasi mengenai kesehatannnya sendiri. Kemudian pengaturan privasi lainnya, pada pasal 57 ayat (1) UU Kesehatan yang menyatakan Setiap orang berhak atas rahasia kondisi kesehatan pribadinya yang telah dikemukakan kepada penyelenggara pelayanan kesehatan. Pengaturan ini mengandung suatu kewajiban bagi penyelenggara pelayanan kesehatan untuk merahasiakan kondisi kesehatan pribadi seseorang yang telah diberikan layanan kesehatan olehnya. Selanjutnya dalam Pasal 57 ayat (2) diatur mengenai ketentuan pengecualian atas rahasia kondisi kesehatan pribadi yang tidak berlaku dalam hal: perintah undang-undang; perintah pengadilan; izin yang bersangkutan; kepentingan masyarakat; atau kepentingan orang tersebut.

a. Kewajiban Hukum dalam Peraturan Pemerintah Nomor 46 tahun 2014 tentang sistem informasi kesehatan

Untuk menyelenggarakan upaya kesehatan yang efektif dan efisien diperlukan informasi kesehatan yang diselenggarakan dalam suatu sistem informasi kesehatan yang dapat bekerja secara lintas sektor.49 Berdasarkan hal tersebut maka disusun Peraturan Pemerintah Nomor 46 tahun 2014 tentang sistem informasi kesehatan. Peraturan ini selain mengatur mengenai data dan informasi kesehatan secara luas, juga mengatur mengenai sistem elektronik yang digunakan pada sektor - sektor kesehatan seperti sistem informasi kesehatan dalam tingkat nasional, tingkat daerah, serta pada fasilitas pelayanan kesehatan seperti rumah sakit. Dalam peraturan ini juga terdapat aspek privasi dan keamanan terhadap data pribadi pasien.

pasal 63 ayat (1) melarang setiap orang menyebarluaskan Data dan Informasi Kesehatan kepada publik berupa :

  1. salinan kartu pengguna Fasilitas Pelayanan Kesehatan atau bukti identitas lain;

  2. riwayat kesehatan;

  3. tagihan dan bukti pembayaran biaya penggunaan Fasilitas Pelayanan Kesehatan;

  4. hasil pemeriksaan diagnostic berupa foto rontgen, pemindaian, analisa laboratorium;

  5. data dan informasi terkait kegiatan penelitian, meliputi: data identitas subyek penelitian, baik individu, kelompok individu/masyarakat;

  6. data dan informasi hasil penelitian dan/atau kajian yang apabila dibuka untuk umum akan merugikan subyek, meresahkan masyarakat dan/atau mengancam keamanan negara;

  7. data dan informasi hasil penelitian yang secara etika atau hasil kesepakatan dengan subyek penelitian bersifat rahasia atau dirahasiakan;

  8. dan telah mendapat persetujuan tertulis dari orang yang bersangkutan atas Data dan Informasi Kesehatan dirinya;

Larangan sebagaimana dimaksud pada ayat (1) tidak berlaku apabila:

  1. telah mendapat persetujuan tertulis dari orang yang bersangkutan atas Data dan Informasi Kesehatan dirinya;

  2. dilakukan untuk memenuhi permintaan institusi untuk keperluan penelitian sesuai dengan ketentuan

  3. peraturan perundang-undangan; dan/atau

  4. dilakukan untuk kepentingan penegakan hukum sesuai dengan ketentuan peraturan perundangundangan.

Mengenai aspek keamanan yang menyangkut juga mengenai kelaikan sistem, Pengelolaan Sistem Informasi Kesehatan nasional, provinsi, kabupaten/kota, dan Fasilitas Pelayanan Kesehatan menggunakan perangkat Sistem Informasi Kesehatan yang harus menyesuaikan dengan kebutuhan dan perkembangan teknologi informasi serta menghormati hak atas kekayaan intelektual sesuai dengan ketentuan peraturan perundang-undangan. Perangkat yang digunakan pada Sistem Informasi Kesehatan terdiri atas perangkat keras dan perangkat lunak. Perangkat keras terdiri atas elektronik dan nonelektronik.50

Kemudian terkait dengan sumber daya manusia yang mengelola di lingkungan fasilitas pelayanan kesehatan, pada fasilitas pelayanan kesehatan tingkat ketiga seperti rumah sakit harus dibentuk suatu unit struktural atau unit fungsional tersendiri yang mengelola sistem informasi kesehatan tersebut. Untuk menjaga keamanan dan kerahasiaan Informasi Kesehatan, setiap pengelola Informasi Kesehatan harus:

a. melakukan pemeliharaan, penyimpanan, dan penyediaan cadangan Data dan Informasi Kesehatan secara teratur; dan

b. membuat sistem pencegahan kerusakan Data dan Informasi Kesehatan

Kemudian juga terdapat pengaturan khusus terkait dengan sistem elektronik pada rekam medis elektronik. Dijelaskan bahwa setiap Fasilitas Pelayanan Kesehatan harus mengoperasikan sendiri sistem elektronik rekam medis miliknya. Sistem elektronik rekam medis ini harus mampu interkonektivitas dengan Sistem Elektronik Kesehatan dan sistem elektronik lainnya. Namun Sistem elektronik rekam medis ini tidak boleh terintegrasi dengan sistem elektronik rekam medis Fasilitas Pelayanan Kesehatan lain.51

3. Kewajiban Hukum dalam Undang - Undang No. 44 tahun 2009 Rumah Sakit

Aspek privasi dan keamanan data pasien dalam Undang - Undang rumah sakit dapat dilihat dalam Pasal 32 Dalam UU rumah sakit mengatur diantaranya Hak bagi pasien untuk mendapatkan privasi dan kerahasiaan penyakit yang diderita termasuk data - data medisnya serta memperoleh keamanan dan keselamatan dirinya selama dalam perawatan di Rumah Sakit. Kemudian pasal 38 menjelaskan Setiap Rumah Sakit harus menyimpan rahasia kedokteran. Rahasia kedokteran hanya dapat dibuka untuk kepentingan kesehatan pasien, untuk pemenuhan permintaan aparat penegak hukum dalam rangka penegakan hukum, atas persetujuan pasien sendiri, atau berdasarkan ketentuan peraturan perundangundangan dan juga apabila Pasien dan/atau keluarga yang menuntut Rumah Sakit dan menginformasikannya melalui media massa sebagaimana diatur dalam pasal 44.

Terkait dengan hak pasien tersebut, rumah sakit memiliki beberapa kewajiban yang sekiranya dapat memenuhi hak pasien tersebut. Pasal 29 menyatakan rumah sakit memiliki kewajiban seperti memberi pelayanan kesehatan yang aman, bermutu, antidiskriminasi, dan efektif dengan mengutamakan kepentingan pasien sesuai dengan standar pelayanan Rumah Sakit, yang terdiri dari Standar Prosedur Operasional, standar pelayanan medis, dan standar asuhan keperawatan. Dalam hal ini, SOP rumah sakit tersebut dapat diatur sedemikian rupa sehingga memenuhi aspek perlindungan privasi, dan keamanan data pasien. Selain itu rumah sakit juga wajib memiliki sistem pencegahan kecelakaan dan penanggulangan bencana, dalam hal ini Rumah Sakit dibangun serta dilengkapi dengan sarana, prasarana dan peralatan yang dapat difungsikan serta dipelihara sedemikian rupa untuk mendapatkan keamanan, mencegah kebakaran/bencana dengan terjaminnya keamanan, kesehatan dan keselamatan pasien, petugas, pengunjung, dan lingkungan Rumah Sakit. Pengaturan ini dapat dijadikan dasar sebagai kewajiban menyelenggarakan pengamanan terkait dengan data pasien.

Kewajiban lainnya adalah menyusun dan melaksanakan peraturan internal Rumah Sakit (hospital by laws), dimana Yang dimaksud dengan peraturan internal Rumah Sakit (Hospital bylaws) adalah peraturan organisasi Rumah Sakit (corporate bylaws) dan peraturan staf medis Rumah Sakit (medical staff bylaw) yang disusun dalam rangka menyelenggarakan tata kelola perusahaan yang baik (good corporate governance) dan tata kelola klinis yang baik (good clinical governance). Dalam peraturan staf medis Rumah Sakit (medical staff bylaw) antara lain diatur kewenangan klinis (Clinical Privilege). Adanya kewajiban menerapkan regulasi - regulasi internal ini juga dapat dimanfaatkan untuk mengimplementasikan aspek - aspek perlindungan data pasien.

a. Kewajiban Hukum dalam Peraturan Menteri Kesehatan Nomor 82 tahun 2012 tentang Sistem Informasi Manajemen Rumah Sakit (SIMRS)

khusus untuk sistem informasi kesehatan sarana pelayanan kesehatan rumah sakit, Peraturan Menteri Kesehatan Nomor 82 tahun 2012 mengenai Sistem Informasi Manajemen Rumah Sakit (SIMRS) mewajibkan untuk Rumah Sakit menyelenggarakan SIMRS dan melaksanakan pengembangan SIMRS tersebut. Penyelenggaraan SIMRS ini dapat menggunakan aplikasi dengan kode sumber terbuka (open source) yang disediakan oleh Kementerian Kesehatan atau menggunakan aplikasi yang dibuat oleh Rumah Sakit yang harus memenuhi persyaratan - persyaratan yang ditetapkan.52 Adapun kewajiban yang terkait dengan perlindungan data adalah kewajiban penyelenggaraan SIMRS yang harus memenuhi unsur keamanan terhadap sistem elektronik tersebut secara fisik, jaringan dan sistem aplikasi.53 Adapun yang termasuk kewajiban terhadap Keamanan fisik antara lain, yaitu adanya Kebijakan hak akses pada ruang data center/server serta keharusan adanya Kebijakan penggunaan hak akses komputer untuk user pengguna. Kemudian dalam hal keamanan jaringan, diatur sebagai berikut :

      1. Keamanan jaringan (network security) dalam jaringan komputer sangat penting dilakukan untuk memonitor akses jaringan dan mencegah penyalahgunaan sumber daya jaringan yang tidak sah. Tugas keamanan jaringan dikontrol oleh administrator jaringan.

      2. Segi-segi keamanan didefinisikan sebagai berikut:

    1. Informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang.

    2. Informasi hanya dapat diubah oleh pihak yang memiliki wewenang.

    3. Informasi tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan.

    4. Pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu.

    5. Pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan.

Kemudian yang dimaksud keamanan aplikasi adalah sebagai berikut:

      1. Keamanan aplikasi harus mendukung dan mengimplementasikan protokol keamanan dalam melakukan transfer data (seperti: SSL, TLS)

      2. Aplikasi harus memungkinkan masing-masing user dapat didentifikasikan secara unik, baik dari segi nama dan perannya.

      3. Akses melalui metode akses remote dapat berfungsi dengan baik melalui aplikasi client (yaitu melalui VPN, modem, wireless, dan sejenisnya).

      4. Aplikasi dapat berfungsi dengan baik pada software anti-virus yang digunakan saat ini.

Kemudian dalam penyelenggaraan SIMRS harus dilaksanakan oleh Sumber daya manusia yang kompeten dan terlatih.54 Dalam hal ini Rumah Sakit harus memiliki unit/instalasi informasi dan teknologi yang terdiri dari Kepala Instalasi SIMRS , dan Staf informasi dan teknologi Fungsional . Adapun staf yang dimaksud adalah yang memiliki kualifikasi dalam bidang: Staf Analis System, Staf Programmer, Staf Hardware ,dan Staff Maintanance Jaringan. Mengenai kerangka kerja dari sumber daya manusia tersebut, diatur dalam Peraturan bahwa direkomendasikan menggunakan kerangka kerja yang best practice seperti cobit.

4. Undang - Undang No. 36 tahun 2014 tentang Tenaga Kesehatan

Dokumen yang terkait

Perbandingan Stabilitas Antioksidan antara Ekstrak Etanol 50% Kulit Buah Manggis (Garcinia mangostana L.) dengan Bentuk Mikropartikelnya Menggunakan Meode DPPH

5 70 79

Perbandingan Sifat Fisik Sediaan Krim, Gel, dan Salep yang Mengandung Etil p-Metoksisinamat dari Ekstrak Rimpang Kencur (Kaempferia galanga Linn.)

7 83 104

Perbandingan perilaku prososial antara orang yang telah melaksanakan ibadah haji dan yang belum pada Ibu-Ibu majelis ta'lim

0 22 126

Kedudukan Saksi Perempuan Dalam Kasus Perceraian (Analisis Perbandingan pendapat Empat Madzhab dengan Hukum Positif yang berlaku di Indonesia)

1 20 0

Perbandingan Indeks Glikemik Dan Beban Glikemik Antara Bubur Ayam Instan Dan Tradisional

2 37 68

Perancangan Dan Implementasi PC Router Dengan Sistem Pengaturan Berbasis Web

0 14 1

Analisis Perbandingan Algoritma Idris Dan Algoritma Enhanced Confix Stripping (ECS) Stemmer Pada Dokumen Teks Bahasa Indonesia

52 192 112

Analisis Perbandingan STU Dan Brinets Kaitannya Dengan Kinerja Karyawan Pada PT. Bank Rakyat Indonesia (Persero) Tbk Cabang Naripan Di Wilayah Bandung Tengah

0 8 1

Sistem informasi Pelayanan Rekam Medis Di Balai Besar Kesehatan Masyarakat (BBKPM) Bandung

1 7 1

Studi Perbandingan Sikap Sosial Siswa dengan Menggunakan Model Pembelajaraan Kooperatif Tipe Two Stay Two Stray dan Think Pair Share Pada Mata Pelajaran IPS Terpadu

3 49 84