B. Pengaturan Hukum Perlindungan Data Pribadi di Amerika Serikat
11. Kewajiban kewajiban Administratif
Covered entity harus mengembangkan dan mengimplementasikan prosedur dan kebijakan privasi secara tertulis yang sesuai dengan ketentuan privacy rule.107Covered entity juga diwajibkan untuk mengadakan personil khusus yang mengatur mengenai privasi yang bertugas mengembangkan dan mengimplementasikan kebijakan dan prosedur privasinya, serta menyediakan kontak seseorang atau kontak dari kantor yang bertanggung jawab menerima komplain dan menyediakan informasi mengenai praktik privasi dari covered entity.108 Kemudian tenaga kerja dari covered entity harus dilatih oleh covered entity dalam hal kebijakan dan prosedur privasi sesuai dengan fungsi dari tenaga kerja tersebut. Covered entity juga harus menerapkan sanksi terhadap tenaga kerjanya tersebut apabila ada yang melanggar ketentuan kebijakan dan prosedur privasi ataupun pelanggaran terhadap privacy rule.109 Dalam hal ini covered entity harus melakukan mitigasi pada setiap keadaan membahayakan yang diketahui ditimbulkan atas pengungkapan atau penggunaan PHI oleh tenaga kerjanya atau business associatesnya.110 Covered entity juga harus mengadakan
safeguards adminstratif, teknis, dan fisik secara proporsional dan layak untuk mencegah tindakan kesengajaan ataupun ketidaksengajaan penggunaan atau pengungkapan PHI yang
105 Privacy Rule 45 C.F.R. §§ 164.502(e), 164.504(e)
106 HHS menyediakan model kontrak dengan business associate yang dapat diakses dalam website HHS https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample- business-associate-agreement-provisions/index.html diakses 26 Mei 2017 pukul 11:00 107 Privacy Rule 45 C.F.R. § 164.530(i)
108 Privacy Rule 45 C.F.R. § 164.530(a)
109 Privacy Rule 45 C.F.R. § 164.530 (b), dan (e) 110 Privacy Rule 45 C.F.R. § 164.530(f)
melanggar Privacy rule. Dalam hal ini safeguards tersebut diatur dalam ketentuan security rule.111
b. Perlindungan Keamanan Informasi Kesehatan Individu dalam HIPAA Security Rule
Security rule yang diatur dalam Part Code of Federal Regulation 45 bagian 164 mengenai Privacy and Security, subbagian C mengenai Security Standards For The Protection Of Electronic Protected Health Information, Secara umum menentukan Covered Entitties dan Business Associatesnya (berdasarkan amandemen HITECH act section 13401 Business associates juga diwajibkan untuk memenuhi security rule dan dalam kontraknya dengan covered entity terkait dengan penggunaan PHI harus dicantumkan mengenai hal ini) wajib untuk melakukan hal - hal berikut :112
1. Menjamin kerahasiaan, keutuhan, dan ketersediaan semua protected health Information (PHI) elektronik yang dibuat, diterima, dikelola, dan dtransmisikan oleh mereka.
2. Melindungi terhadap ancaman - ancaman yang dapat diptediksikan atau bencana terhadap keamanan atau keutuhan PHI.
3. Melindungi terhadap penggunaan atau pengungkapan PHI yang tidak diperlukan atau diijinkan sebagaimana ditentukan dalam privacy rule
4. Menjamin tenaga - tenaga kerja dari covered entity memenuhi ketentuan dalam rules
ini
Adapun dalam rule ditentukan standar - standar yang wajib diterapkan untuk menghormati PHI elektronik. Standar - standar tersebut terdiri dari beberapa safeguards yaitu
administrative safeguards, physical safeguards, dan technical safeguards, dimana ukuran aman yang ditentukan dalam rules ini adalah apabila sudah memastikan penerapan
administrative, physical, dan technical safeguards tersebut secara proporsional.
Administrative safeguards adalah tindakan administratif, kebijakan dan prosedur, untuk mengelola pemilihan, pengembangan, implementasi dan perawatan keamanan PHI elektronik, serta pengelolaan terhadap hal - hal yang harus dilakukan untuk melindungi keamanan dari PHI elektronik.113 Sedangkan Physical safeguards adalah ukuran, prosedur, dan kebijakan yang terkait dengan hal -hal fisik, untuk melindungi sistem informasi yang
111 Privacy Rule 45 C.F.R. § 164.530(c) 112 Security Rule 45 C.F.R. § 164.306 113 Security Rule 45 C.F.R. § 164.304
terkait dengan PHI elektronik serta bangunan dan perlengkapan terkait terhadap bencana alam dan tindakan masuk tanpa izin.114 Kemudian Technical safeguards adalah kebijakan dan prosedur terkait dengan teknologi yang digunakan untuk melindungi dan mengontrol akses dari PHI elektronik.115 Covered entities dan business associates dapat menggunakan cara - cara kemanan tertentu sepanjang dapat mengimplementasikan standard dan spesifikasi yang diatur dalam rule ini, dengan melihat :116
Ukuran, kompleksitas, dan kapabilitas dari covered entity dan business associate Kapabilitas keamanan Infrastruktur teknis, perangkat keras, dan perangkat lunak Biaya
Kemungkinan dan potensi resiko terhadap PHI elektronik
Adapun dalam security rules covered entity dan business associate diberikan fleksibilitas dalam menentukan implementasi, atau semacam self assessment terhadap kondisi dari kelembagaannya masing - masing, dalam menentukan implementasi mana yang dianggap perlu untuk diterapkan dengan melihat pertimbangan - pertimbangan diatas. Dalam hal ini, ada implementasi yang bersifat kewajiban (required)117 dan ada juga yang bersifat pilihan (addressable). Bersifat pilihan maksudnya adalah tergantung terhadap organisasi yang mengelola PHI apakah memerlukan implementasi tersebut terhadap perlindungan PHI. Apabila dirasa suatu implementasi dalam rules tersebut tidak perlu diterapkan, maka covered entity dan business associate wajib membuat dokumen yang menerangkan alasan mengapa tidak perlu menerapkan implementasi tersebut atau bila diperlukan dapat menerapkan standar alternative yang sesuai dengan organisasi tersebut.118
c. Kewajiban Hukum dalam Breach Notification Rule
Pengaturan mengenai notifikasi diatur dalam Part 164 Code Of Federal Regulation
45 Subpart sendiri yaitu Subpart D mengenai Notification in the case of Breach of Unsecured
114 Ibid., 115 Ibid.,
116 Security Rule 45 C.F.R. § 164.306 (b)(2) 117 Security Rule 45 C.F.R. § 164.306(2) 118 Security Rule 45 C.F.R. § 164.306 (3)(i)(ii)
Protected Health Information berdasarkan wewenang yang diberikan dalam HITECH Act
Section 13402 mengenai Notification In The Case Of Breach.
Yang dimaksud dengan kegagalan perlindungan data atau Breach dijelaskan sebagai berikut: § 164.402 Definitions.
As used in this subpart, the followingterms have the following meanings: Breach means the acquisition, accessuse, or disclosure of protected health information in a manner not permitted under subpart E of this partwhich compromises the security or privacy of the
protected health information.
Apabila diterjemahkan maka yang dimaksud dengan breach adalah perolehan, penggunaan, atau pengungkapan PHI yang tidak sesuai dengan ketentuan subpart E (Privacy rule) yang melanggar keamanan atau privasi dari PHI.
Pengaturan ini secara umum menjelaskan bahwa covered entity yang mengelola PHI, apabila menemukan terjadi kegagalan dalam perlindungan datanya, harus memberitahukan atau memberikan notifikasi terhadap pemilik data yang terkait dengan data yang gagal dilindungi tersebut serta pemilik data yang belum diketahui apakah gagal untuk dilindungi juga namun dipercaya telah gagal dilindungi. Business Associate dalam hal ini apabila menemukan terjadinya kegagalan perlindungan data terhadap data dibawah naungannya, harus memberitahukan kepada covered entity. Pemberitahuan tersebut harus berisi identifikasi tiap data individu yang mengalami atau dipercaya mengalami kegagalan perlindungan data. Yang dimaksud dengan menemukan dalam hal ini adalah ditemukan pada saat pertama kali diketahui oleh covered entity atau business associate. Covered entity dan
business associate dianggap mengetahui apabila kegagalan perlindungan data tersebut sudah diketahui umum. Notifikasi atau pemberitahuan tersebut harus diberitahukan dalam waktu tidak lebih dari 60 hari setelah kegagalan perlindungan data tersebut ditemukan. Notifikasi dibuat secara tertulis dengan mengirim surat yang dapat secara elektronik ke alamat terakhir yang diketahui, atau melalui telepon, atau bisa juga dengan memposting di website milik para pihak dalam jangka waktu 90 hari, dengan menyediakan kontak yang dapat dihubungi.
Adapun pemberitahuan tersebut paling sedikit memuat:
1. Penjelasan singkat mengenai apa yang terjadi, tanggal terjadinya kegagalan perlindungan data, serta tanggal ditemukannya kegagalan tersebut;
2. Data pasien apa yang gagal untuk dilindungi tersebut (misalnya, nama lengkapnya, tempat/tanggal lahir, alamat);
3. Langkah - langkah yang harus dilakukan pemilik data terhadap potensi kerugian akibat terjadinya kegagalan perlindungan data;
4. Penjelasan singkat mengenai langkah - langkah selanjutnya yang akan dilakukan terkait dengan kegagalan perlindungan data tersebut.
5. Kontak yang dapat dihubungi.119
Kemudian diatur dalam rule ini, jika kegagalan perlindungan data yang terjadi melibatkan lebih dari 500 data seseorang dalam jurisdiksi negara bagian tertentu, covered entity harus melakukan pemberitahuan kepada media yang beroperasi dalam jurisdiksi tersebut. Jangka waktunya sama dengan pemberitahuan kepada individu, yaitu tidak lebih dari 60 hari sejak ditemukan. Isi dari pemberitahuan kurang lebih sama dengan isi pemberitahuan untuk individual.120
Kemudian covered entity juga diwajibkan untuk memberitahukan kepada HHS melalui mekanisme posting breach dalam website HHS, Apabila kegagalan perlindungan data yang terjadi melibatkan 500 atau lebih individu. Jika kegagalan perlindungan data yang terjadi melibatkan kurang dari 500 individu, covered entity harus membuat dokumentasi mengenai kegagalan perlindungan data yang terjadi, setiap tahunnya harus melaporkan kepada HHS melalui mekanisme dalam website HHS.121
Dalam hal terdapat penegakan hukum terhadap covered entity atau business associate, jika pemberitahuan yang dilakukan dirasa mengganggu proses penegakan hukum tersebut,
rule ini memberikan kewajiban bagi covered entity maupun business associate untuk mengehentikan atau menghentikan sementara pemberitahuan tersebut.
119 Section § 164.404 Breach Notification Rule 120 Section § 164.406 Breach Notification Rule 121Section § 164.408 Breach Notification Rule