medicolegal.id
Artikel headline

“Perlindungan Data Pasien dalam Era Digital: Kewajiban Rumah Sakit menurut Hukum”

Sumber: Freepik.com

 

Fakta Hukum:

  1. Data Pribadi pasien di Rumah Sakit ada 2 (dua) yakni Data Pribadi yang bersifat Umum dan Data Pribadi yang bersifat Sensitif. Data Pribadi Umum terdiri dari nama lengkap Pasien, Nomor Identitas Kependudukan Pasien, data kelahiran pasien, alamat pasien, nomor HP/telepon pasien. Data Pribadi Sensitif terdiri dari data Kesehatan (Riwayat penyakit, diagnose, hasil laboratorium, catatan medis), data biometric (sidik jari, rekam retina), data genetika, Riwayat pengobatan (obat yang dikonsumsi, tindakan medis yang pernah dilakukan), informasi tentang disabilitas, asuransi Kesehatan (BPJS atau swasta) yang hampir semuanya tertera dalam Rekam Medis, baik Rekam Medis Konvensional ataupun Rekam Medis Elektronik;
  2. Rumah Sakit wajib untuk menjaga kerahasiaan informasi mengenai kondisi Kesehatan pasien yang diketahui dan diterima sebagaimana Undang-Undang Nomor 44 Tahun 2009 tentang Rumah Sakit pasal 32;
  3. Tidak terlepas dari itu, pihak-pihak yang bekerja di bidang pelayanan Kesehatan wajib menjaga kerahasiaan informasi Kesehatan yang diterima dan diketahui. Sebagaimana dengan Undang-Undang Nomor 36 Tahun 2009 tentang Kesehatan pasal 58;
  4. Rumah Sakit berdasarkan Peraturan Menteri Kesehatan Republik Indonesia Nomor 82 Tahun 2013 tentang Sistem Informasi Manajemen Rumah Sakit pada Pasal 2 wajib untuk menyelenggarakan Sistem Informasi Manajemen Rumah Sakit untuk penyelenggaraan pelayanan Kesehatan yang efektif;
  5. Rumah Sakit berdasarkan Peraturan Menteri Kesehatan Republik Indonesia Nomor 24 Tahun 2022 tentang Rekam Medis Elektronik sebagaimana pada Pasal 8;
  6. Karena terikat dengan kewajiban beberapa Peraturan Kesehatan yang berlaku mengenai elektronisasi, sebagai penyelenggara dan pengendali informasi elektronik, Rumah Sakit juga terikat dengan Undang – Undang Nomor 11 tahun 2008 tentang Informasi dan Transaksi Elektronik berikut dengan pembaharuan-pembaharuannya;
  7. Selain dari pada itu sebagai pengendali data pribadi pasien termasuk nama tidak terbatas pada Rekam Medis, rumah sakit memiliki kewajiban untuk melindungi data pribadi pasien sebagaimana pada Undang – Undang Perlindungan Data Pribadi Nomor 27 tahun 2022;
  8. Rumah Sakit sebagai Fasilitas Pelayanan Kesehatan Tingkat Pertama bagi para pasien yang hendak berobat tidak menutup kemungkinan mengenai banyaknya intensitas jumlah subyek yang berdatangan, tidak terkecuali dari banyaknya jumlah keluarga yang mengantarkan, banyaknya pihak stakeholder terkait yang bekerjasama dengan Rumah Sakit, dan Jumlah Karyawan rumah sakit yang bekerja;
  9. Adanya beberapa pihak diluar sana yang tidak bertanggungjawab ingin memiliki data pribadi seseorang yang akan digunakan untuk kepentingan pribadi, baik untuk keperluan bisnis maupun keperluan lainnya yang tentunya tanpa seizin pemilik dari pemilik data tersebut;

 

Artikel ini pada dasarnya akan membahas tentang mitigasi resiko dan pertanggungjawaban Rumah Sakit dalam hal melindungi data pribadi pasien. Artikel ini akan memaparkan melalui 2 (dua) point of view, point of view korban dan point of view rumah sakit.

 

Point of View Korban (pasien maupun mantan pasien):

Sederhananya seorang pasien hendak berobat ke Rumah Sakit dengan tujuan untuk mendapatkan pelayanan Kesehatan untuk menyembuhkan penyakitnya. Yang terlintas dibenak pada pasien tentunya seputar berapa lama masa pengobatan ini, dapatkah pasien sembuh dengan segera, siapa yang akan menemani menjaga di rumah sakit, berapa kiranya besaran biaya pengobatan, bahkan se ekstrim apakah pengobatan tersebut membuatnya sembuh atau sebaliknya. Tentu sedikit dari mereka akan berpikiran seperti apakah aman data-data yang pasien berikan ke rumah sakit, apakah jejak rekam Riwayat medis saya akan diketahui oleh khalayak umum atau tidak.

Namun, apabila kebocoran data tersebut terjadi maka umumnya pasien akan mengajukan gugatan ganti rugi dengan dalih Perbuatan Melanggar Hukum kepada pasien berikut dengan tuntutan kerugian Materiil dan Immateriilnya atas kelalaian dari Rumah Sakit.

Berdasarkan teorinya, terdapat 3 (tiga) tingkat kelalaian, diantaranya:

1) Kelalaian ringan (slight negligence);

2) Kelalaian biasa (ordinary negligence);

3) Kelalaian berat (gross negligence);

Lebih lanjut, Munir Fuady juga mengkategorikan kelalaian berat (gross negligence) berdasarkan:

1) Tingkatan berat kehati-hatian, didasari oleh indikator sebagai berikut:

  1. a) Pengangkut atau transportasi publik memiliki tingkat kehati-hatian yang lebih tinggi dibandingkan dengan pengangkut biasa;
  2. b) Penjaga alat dan bahan berbahaya, seperti bahan peledak, listrik bertegangan tinggi, dan sebagainya;
  3. c) Orang perorangan sebagai pelaku kegiatan yang berbahaya, seperti professional (insinyur, pengacara, dokter) karena memiliki tingkat kehati-hatian yang tinggi maka kelalaian yang dilakukan termasuk dalam kelalaian dalam tingkat berat.

2) Tingkatan berat kelalaian

3) Tindakan ceroboh, dimana perbuatan yang mengakibatkan resiko yang tidak layak dan berbahaya bagi tubuh seseorang dan/atau akibat kerugian luar.

Kerugian yang timbul akibat kelalaian, sebagaimana diatur dalam Kitab Undang-Undang Hukum Perdata (KUHPerdata) sebagai perbuatan melawan hukum, mewajibkan orang atau pihak yang melanggar hukum untuk memberikan ganti rugi kepada pihak yang dirugikan akibat perbuatan melanggar hukum tersebut.

Kerugian berdasarkan Kitab Undang-Undang Hukum Perdata (KUHPerdata) dan teori dibagi menjadi dua kategori, yaitu kerugian materiil dan immateriil. Umumnya, pihak yang merasa dirugikan akibat bocornya data pribadi akan mengklasifikasikannya sebagai kerugian immateriil, seperti perasaan was-was, tidak aman, dan khawatir akan penyalahgunaan data. Perasaan-perasaan tersebut membuka peluang bagi korban untuk merasa menjadi sasaran potensial bagi tindak kejahatan, baik yang berupa perbuatan melanggar hukum maupun kejahatan di dunia maya, seperti ancaman phishing atau teknik rekayasa sosial (social engineering).

Berdasarkan pertimbangan-pertimbangan tersebut, umumnya pihak korban akan mengajukan gugatan ganti rugi atas dasar perbuatan melanggar hukum yang mengakibatkan kerugian materiil dan immateriil, yang disebabkan oleh tidak dipenuhinya kewajiban pengolah data dalam menjaga keamanan data pribadi milik korban, sesuai dengan ketentuan dalam Undang-Undang Informasi dan Transaksi Elektronik (ITE) serta Undang-Undang Perlindungan Data Pribadi yang berlaku di Indonesia.

 

Point of View Rumah Sakit

Sebelum membahas mengenai Langkah teknis, perlu bagi pihak Rumah Sakit untuk memahami dasar-dasar pentingnya menjaga Kerahasiaan data milik pasien berdasarkan Undang-Undang yang berlaku di Indonesia.

Pada dasarnya Rumah Sakit sebagai pengendali data pribadi sebagaimana Undang-Undang Perlindungan Data Pribadi pada Pasal 35 wajib untuk memastikan dan melindungi keamanan data pribadi dengan:

  1. Menyusun dan menerapkan Langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan data pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan
  2. Menentukan Tingkat keamanan data pribadi sesuai dengan resiko dan sifat data pribadi yang akan diproses.

Saran teknis tersebut merupakan dasar dari Rumah Sakit sebagai penyelenggara sistem elektronik sebagaimana Pasal 15 dalam Undang-Undang perlindungan Data Pribadi:

  1. Sistem penyelenggara sistem elektronik harus menyelenggarakan sistem elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya sistem elektronik sebagaimana mestinya.
  2. Penyelenggara sistem elektronik bertanggung jawab terhadap penyelenggaraan sistem elektroniknya.
  3. Ketentuan sebagaimana dimaksud dalam ayat (2) tidak berlaku dalam hal dapat dibuktikan terjadinya keadaan memaksa, kesalahan, dan/atau kelalaian pihak pengguna sistem elektronik.

Dalam point of view Rumah Sakit ini kami akan memaparkan saran berupa Upaya preventif dan Upaya represif yang dapat dilakukan.

Upaya Preventif

  1. Melalui Hospital by Laws yang mempertegas penunjukan pihak sebagai penanggungjawab Informasi dan Teknologi Elektronik yang memiliki kompetensi dan kewenangan dalam melakukan pengolahan dan pengamanan data, baik data pasien maupun internal manajemen rumah sakit. Tidak menutup kemungkinan yang umumnya Komite Medis yang memiliki kewenangan mengenai Rekam Medis untuk membuat suatu linear baru mengenai ITE akan keamanan data.
  2. Peralatan ITE yang memadai, mengapa? karena tidak menutup kemungkinan adanya resiko teknis mengenai kemampuan kapabilitas dari peralatan itu sendiri yang mengganggu efisiensi pengolahan data, salah satunya risiko yang mungkin terjadi adalah kerusakan yang mengakibatkan kehilangan data.
  3. Menyusun prosedur pengamanan data dan penanganan kebocoran data. Prosedur pengamanan tidak terbatas hanya mengenai prosedur input data saja, melainkan juga termasuk pemantauan dan audit yang salah satunya sebagai bentuk kebijakan dalam pengamanan data. Langkah dan prosedur ini perlu bilamana nantinya terjadi gugatan karena kebocoran data, untuk ditunjukan sebagai bukti mitigasi resiko yang dilakukan oleh Rumah Sakit melalui Standard Prosedure Operational.
  4. Pelatihan dan penyuluhan kepada karyawan. Pelatihan ini dapat berupa pelatihan keamanan data dalam setiap divisi mengenai prosedur teknis dalam mengakses dan mengelola data secara aman, termasuk namun tidak terbatas dengan Upaya edukasi kepada karyawan Rumah Sakit mengenai probabilitas adanya phising, akibat hukum, dan kerugian yang akan diakibatkan.
  5. Membuat dan mengamati secara detail perjanjian dengan pihak ketiga yang melibatkan data dari rumah sakit atau pasien. Hal ini tentunya juga krusial karena tidak terlepas dari Upaya rumah sakit dalam memitigasi adanya resiko hukum yang disebabkan.

Upaya Represif

          Apabila telah diketahui adanya kebocoran data pasien, maka sebagaimana dengan Pasal 46 Undang-Undang Perlindungan Data Pribadi wajib bagi Rumah Sakit untuk memberikan pengumuman mengenai adanya kebocoran data tersebut.

Pasal 46 ayat (1):

Dalam hal terjadi kegagalan Perlindungan Data Pribadi, Pengendali Data Wajib menyampaikan pemberitahuan secara tertulis paling lambat 3×24 jam kepada:

  1. Subjek Data Pribadi dan
  2. Lembaga

Pasal 46 ayat (2):

Pemberitahuan tertulis sebagaimana dimaksud pada ayat (1) minimal memuat:

  1. Data pribadi yang terungkap;
  2. Kapan dan bagaimana data pribadi terungkap
  3. Upaya penanganan dan pemilihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi.

Pasal 46 ayat (3):

Dalam hal tertentu, pengendali data wajib memberitahukan kepada Masyarakat mengenai kegagalan perlindungan data pribadi

Berdasarkan UU Perlindungan Data Pribadi dan Pasal 28C Permenkominfo Nomor 20 Tahun 2016, pemberitahuan harus memenuhi ketentuan sebagai berikut:

  1. Pemberitahuan harus memuat jenis, dimana, dan kapan data pribadi tersebut bocor, alasan bocornya atau kegagalan terhadap perlindungan data pribadi, serta upaya penanganan dan pemulihan terhadap kebocoran data pribadi.
  2. Dapat diberitahukan secara elektronik apabila pemilik data pribadi sudah menyetujui hal tersebut, pada saat awal pengumpulan dan perolehan data pribadi; dan
  3. Dipastikan bahwa pemberitahuan tersebut diterima dengan baik oleh pemilik data pribadi jika kebocoran tersebut berpotensi merugikan pemilik data pribadi serta, dalam waktu selambat-lambatnya 14 (empat belas) hari pemberitahuan tersebut harus sampai pada pemilik data pribadi.

Yang tentunya isi muatan dalam pemberitahuan tersebut juga harus memuat didalamnya alasan kebocoran, jenis data, potensi kerugian, dan informasi mengenai upaya penanganan yang akan dilakukan untuk menanggulangi kebocoran data yang terjadi.

Namun, bilamana aduan pasien tersebut sampai memasuki tahap Gugatan di Pengadilan Negeri. Maka, lebih baik bagi Rumah Sakit untuk menunjuk Kuasa Hukum dalam menangani perkara tersebut.

Related posts

Amati Kewajiban Protokol Kesehatan Ini Bagi Peserta Ujian SKB CPNS 2019

medicoadmin1

Wawancara Eksklusif Medico Legal Bersama Radio Elshinta Soal Tim Medis Ditengah Wabah Covid-19

medicoadmin1

Dokter Jaga IGD RSUD Blambangan Dikeroyok Oknum LSM

medicoadmin1