Pelindungan Data Rekam Medis dalam Sektor Kesehatan

Dalam era transformasi digital yang semakin berkembang pesat, sektor kesehatan menghadapi tantangan baru dalam pengelolaan data rekam medis elektronik (RME). Hal ini menjadi perhatian utama dalam acara CyberHub Fest 2025 dengan tema "Inovasi Digital dan Ketahanan Siber: Pilar Masa Depan Layanan Kesehatan."

Kegiatan ini tidak hanya menjadi wadah diskusi, tetapi juga mendorong kolaborasi antar pemangku kepentingan untuk menciptakan ekosistem layanan kesehatan yang aman, terintegrasi, dan sesuai regulasi. Salah satu pembicara utama dalam webinar ini adalah Aswin Hadi Nasution, Lead Assessor Information Security and Cyber Security di sektor kesehatan dari Badan Siber dan Sandi Negara (BSSN).

Tantangan dan Perubahan Paradigma dalam Rekam Medis Elektronik
Aswin menyoroti tantangan besar dalam penerapan RME, yang tidak sekadar mengubah data fisik menjadi digital. "Transformasi ini tidak sesederhana mengganti kertas menjadi data elektronik," tegasnya. Ada perubahan paradigma yang signifikan, terutama dalam tata kelola dan keamanan data.

Sebelumnya, data rekam medis hanya diakses oleh pihak tertentu, seperti petugas rekam medis atau dokter. Namun, dengan RME, akses data menjadi lebih luas, termasuk oleh bagian administrasi, apotek, hingga tim IT. Hal ini meningkatkan risiko keamanan data.

Selain itu, Aswin menjelaskan bahwa meskipun penerapan RME telah berjalan lebih dari setahun sejak diberlakukannya Peraturan Menteri Kesehatan (PMK) No. 24 Tahun 2022, masih banyak fasilitas kesehatan yang belum optimal dalam menjaga keamanan data. Contohnya, banyak fasilitas yang tidak memiliki sistem backup atau Disaster Recovery Center (DRC) yang memadai.

“Beberapa bahkan menempatkan data cadangan di server yang sama dengan server utama, yang tentu saja meningkatkan risiko kehilangan data jika terjadi insiden,” tambahnya.

Regulasi dan Standar Keamanan
PMK No. 24 Tahun 2022 memberikan panduan jelas terkait pengelolaan RME, termasuk masa retensi data selama 25 tahun. Fasilitas kesehatan diberikan tiga opsi dalam penyediaan aplikasi RME, yaitu menggunakan aplikasi milik Kementerian Kesehatan (seperti SIMGost), mengembangkan aplikasi mandiri, atau menggunakan aplikasi dari pihak ketiga yang terdaftar di Penyelenggara Sistem Elektronik (PSE).

Namun, ada celah regulasi yang perlu diperbaiki. Aswin mengungkapkan bahwa saat ini, tidak ada persyaratan ketat terkait keamanan data untuk pihak ketiga. "Idealnya, vendor aplikasi pihak ketiga harus memiliki sertifikasi ISO 27001 dan fasilitas DRC di Indonesia untuk menjamin keamanan data. Sayangnya, regulasi belum mengatur hal ini secara spesifik," jelasnya. Rancangan peraturan baru terkait keamanan sistem informasi kesehatan diharapkan dapat mengisi kekosongan ini.

Keamanan sebagai Enabler Transformasi Digital
Aswin mengibaratkan keamanan data sebagai rem pada kendaraan. "Rem bukanlah penghambat, tetapi alat yang memungkinkan kita bergerak lebih cepat dengan aman," katanya. Dalam konteks transformasi digital, keamanan data harus menjadi bagian integral, bukan sekadar pelengkap.

Misalnya, fasilitas kesehatan harus memastikan bahwa akses terhadap data pasien hanya diberikan kepada pihak yang berwenang. Selain itu, sistem keamanan harus dirancang untuk mencegah manipulasi data oleh pihak yang tidak bertanggung jawab.

Kasus Kebocoran Data dan Pentingnya Monitoring
Dalam paparannya, Aswin juga menyoroti pentingnya pemantauan anomali trafik sebagai bagian dari upaya pelindungan data. "Banyak fasilitas kesehatan yang merasa aman karena tidak memantau trafik jaringan mereka," ujarnya. Ia memberikan contoh kasus sederhana di mana seorang pasien dapat mengakses data orang lain hanya dengan mengganti nomor rekam medis secara manual. Hal ini menunjukkan celah keamanan yang serius.

Kasus kebocoran data tidak lagi bisa diselesaikan dengan sekadar permintaan maaf. Berdasarkan regulasi yang berlaku sejak Oktober 2020, setiap insiden kebocoran data harus dilaporkan kepada lembaga pelindungan data pribadi dalam waktu 24 jam. Selain itu, fasilitas kesehatan juga diwajibkan untuk menginformasikan kepada subjek data yang terdampak.

Investasi pada Keamanan Data
Aswin menekankan bahwa pelindungan data membutuhkan investasi yang signifikan, baik dalam infrastruktur maupun sumber daya manusia. "Zero data loss mungkin hanya sebuah tujuan ideal, tetapi kita harus menyiapkan mitigasi yang memadai untuk meminimalkan dampaknya," katanya.

Salah satu langkah penting adalah memastikan backup data dilakukan secara berkala dan tersimpan di lokasi yang terpisah dari server utama. Selain itu, fasilitas kesehatan juga harus memantau kapasitas penyimpanan untuk menghindari penurunan kinerja sistem yang dapat mengganggu pelayanan.

Refleksi dan Langkah ke Depan
Melalui CyberHub Fest 2025, Aswin mengajak para pemangku kepentingan untuk melakukan refleksi dan menetapkan langkah-langkah strategis dalam menghadapi tantangan pelindungan data rekam medis. Ia menekankan pentingnya pendekatan proaktif, seperti meningkatkan kesadaran akan risiko keamanan data, mengadopsi teknologi yang andal, dan membangun budaya keamanan di seluruh organisasi.

Transformasi digital di sektor kesehatan adalah keniscayaan, tetapi harus dilakukan dengan hati-hati dan terencana. Keamanan data bukan hanya tanggung jawab teknis, tetapi juga tanggung jawab moral untuk melindungi hak privasi setiap individu. Dengan kolaborasi yang kuat antara pemerintah, fasilitas kesehatan, dan penyedia teknologi, Indonesia dapat mewujudkan layanan kesehatan yang aman, andal, dan berorientasi pada kebutuhan masyarakat.