• Tidak ada hasil yang ditemukan

Perbandingan Pengaturan Rekam Medis Elek

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2018

Membagikan "Perbandingan Pengaturan Rekam Medis Elek"

Copied!
50
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 50 Halaman )

Teks penuh

(1)

BAB III

PENGATURAN REKAM MEDIS ELEKTRONIK DI INDONESIA DAN AMERIKA Bab ini secara garis besar akan membahas mengenai kewajiban hukum perlindungan data pribadi pasien dalam bentuk informasi elektronik dalam suatu sistem elektronik yang diatur dalam peraturan perundang - undangan di Indonesia dan peraturan - peraturan tingkat federal dalam hukum Amerika Serikat. Adapun kewajiban perlindungan yang dibahas adalah mengenai aspek privasi, kerahasiaan, dan keamanannya. Oleh karena aspek privasi dan kerahasiaan merupakan hal yang sangat terkait dan sulit untuk dipisahkan, pembahasannya akan disatukan menjadi pembahasan privasi.

A. Kewajiban Hukum dalam Peraturan Perundang - Undangan di Indonesia

Peraturan Perundang - Undangan di Indonesia dapat dikatakan belum ada yang mengatur secara khusus dan spesifik mengenai data pasien yang berupa informasi elektronik. Namun aspek aspek pengaturannya dapat ditemukan dalam beberapa peraturan perundang -undangan yang terkait dengan data pasien yang berupa informasi elektronik. Dalam penelitian ini peraturan perundang - undangan yang digunakan adalah

Perlindungan dalam bentuk pemberian pertanggungjawaban disini tidak hanya terbatas pada faktor privasi atau terbebasnya data untuk terbuka dengan cara dan tujuan apapun tanpa persetujuan pemilik data saja, namun perlindungan data juga berarti pengamanan terhadap sistem elektronik dimana data disimpan dan digunakan untuk dapat berjalan sebagaimana mestinya.

Dalam penelitian ini akan dibahas peraturan perundang - undangan dalam lingkup kesehatan serta peraturan perundang - undangan dalam lingkup sistem dan informasi elektronik, yang mengatur mengenai perlindungan data pribadi.

(2)

Dalam UU ITE, mengenai masalah privasi terhadap data pribadi pasien diatur dalam ketentuan Pasal 26 ayat (1) UU ITE, yang menyatakan kecuali ditentukan lain oleh Peraturan Perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan. Ayat (2) kemudian menyatakan setiap orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan Undang- Undang ini. Penjelasan Pasal 26 Ayat (1) menerangkan bahwa dalam pemanfaatan Teknologi Informasi, perlindungan data pribadi merupakan salah satu bagian dari hak pribadi (privacy rights). Hak pribadi dijelaskan dalam bagian penjelasan pasal 26 mengandung pengertian sebagai berikut:

a. Hak pribadi merupakan hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan.

b. Hak pribadi merupakan hak untuk dapat berkomunikasi dengan Orang lain tanpa tindakan memata-matai.

c. Hak pribadi merupakan hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang.

Dalam hal ini, UU ITE sudah mengatur beberapa aspek perlindungan data pribadi yaitu mengenai persetujuan, dimana seseorang yang menggunakan data pribadi seseorang harus mendapatkan persetujuan dari pemilik data tersebut terlebih dahulu. Kemudian dalam perubahan UU ITE, terdapat tambahan pengaturan yang harus ditaati bagi penyelenggara sistem elektronik yang mengelola data pribadi, yaitu Setiap Penyelenggara Sistem Elektronik wajib menghapus Informasi Elektronik dan/atau Dokumen Elektronik yang tidak relevan yang berada di bawah kendalinya atas permintaan dari pemilik data berdasarkan suatu penetapan pengadilan. Selain itu, Setiap Penyelenggara Sistem Elektronik juga diwajibkan untuk menyediakan mekanisme penghapusan Informasi Elektronik dan/ atau Dokumen Elektronik yang sudah tidak relevan.1

Mengenai aspek keamanan, Pengaturan UU ITE dalam pasal 15 mewajibkan setiap penyelenggara sistem elektronik untuk menyelenggarakan Sistem Elektroniknya secara andal dan aman serta beroperasi sebagaimana mestinya. Andal maksudnya memiliki kebutuhan sesuai dengan penggunanya, aman dalam konteks sistem elektronik tersebut terlindungi

(3)

secara fisik dan non fisik, serta beroperasi sebagaimana mestinya berarti Sistem Elektronik memiliki kemampuan sesuai dengan spesifikasinya. Kemudian bentuk konkrit dari kewajiban hukum dalam pasal 15 diperjelas dalam Pasal 16 ayat (1) UU ITE yang menyatakan bahwa suatu sistem elektronik yang diselenggarakan penyelenggara sistem elektronik harus minimal dapat menampilkan kembali Informasi Elektronik dan/atau Dokumen Elektronik secara utuh sesuai dengan masa retensi yang ditetapkan dengan Peraturan Perundang-undangan; dapat melindungi ketersediaan, keutuhan, keotentikan, kerahasiaan, dan keteraksesan Informasi Elektronik dalam Penyelenggaraan Sistem Elektronik tersebut; dapat beroperasi sesuai dengan prosedur atau petunjuk dalam Penyelenggaraan Sistem Elektronik tersebut; dilengkapi dengan prosedur atau petunjuk yang diumumkan dengan bahasa, informasi, atau simbol yang dapat dipahami oleh pihak yang bersangkutan dengan Penyelenggaraan Sistem Elektronik tersebut; Serta memiliki mekanisme yang berkelanjutan untuk menjaga kebaruan, kejelasan, dan kebertanggungjawaban prosedur atau petunjuk.

Kewajiban hukum dalam hal privasi dan keamanan data juga secara tidak langsung dapat dilihat dalam pengaturan pasal 30 sampai 33 serta pasal 35 UU ITE yang mengatur mengenai perbuatan yang dilarang. Dalam hal ini UU ITE secara tegas melarang setiap orang untuk melakukan akses secara melawan hukum kepada data milik Orang lain melalui sistem elektronik untuk memperoleh informasi dengan cara menerobos sistem pengaman. Selain itu juga secara tegas UU ITE menyatakan bahwa penyadapan (interception) adalah termasuk perbuatan yang dilarang kecuali dilakukan oleh pihak yang memiliki kewenangan untuk itu dalam rangka upaya hukum. Kemudian, setiap orang juga dilarang dengan cara apapun untuk membuka informasi milik orang lain dengan tujuan apapun bahkan jika data yang sifatnya rahasia sampai dapat terbuka kepada publik. Lebih jauh, perlindungan terhadap data tidak hanya mengatur akses pengungkapan data saja, tetapi juga apabila data dapat dibuka dan diubah dengan cara apapun (manipulasi, perubahan, pernghilangan, pengrusakan) sehingga seolah-olah data tersebut menjadi data otentik. Terlepas dari perbuatan yang terkait secara langsung dengan akses tanpa hak kepada data yang bisa saja menyerang keamanan sistem elektronik, UU ITE juga menyatakan melarang setiap tindakan yang mengakibatkan sistem elektronik menjadi terganggu yang secara sistematis berarti juga dapat mengakibatkan terganggunya akses data bagi pemiliknya.

(4)

PP PSTE selain juga mengatur mengenai aspek privasi dan keamanan data dan sistem elektronik yang mengelola data, juga mengatur mengenai aspek - aspek yang terkait dengan keandalan dan dapat beroperasinya suatu sistem elektronik, yaitu mengenai pendaftaran sistem elektronik; Perangkat Keras yang digunakan dalam sistem elektronik; Perangkat Lunak; tenaga ahli yang akan mengelola sistem elektronik; mengenai tata kelola; Mengenai sistem pengamanan; Adanya kewajiban melakukan Sertifikasi Kelaikan Sistem Elektronik; dan pengawasan yang dilakukan stakeholder - stakeholder terkait. Dalam peraturan ini juga dikenalkan mengenai klasifikasi penyelenggara sistem elektronik. Penyelenggara suatu sistem elektronik dapat dibedakan menjadi penyelenggara sistem elektronik untuk pelayanan publik dan umum atau nonpelayanan publik.

Terkait dengan aspek privasi, dalam pasal 15 ayat (1) PP PSTE diatur kewajiban perlindungan data pribadi oleh penyelenggara sistem elektronik, yaitu penyelenggara sistem elektronik wajib :

a. Menjaga rahasia, keutuhan, dan ketersediaan Data Pribadi yang dikelolanya;

b. Menjamin bahwa perolehan, penggunaan, dan pemanfaatan Data Pribadi berdasarkan persetujuan pemilik Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan

c. Menjamin penggunaan atau pengungkapan data dilakukan berdasarkan persetujuan dari pemilik Data Pribadi tersebut dan sesuai dengan tujuan yang disampaikan kepada pemilik Data Pribadi pada saat perolehan data.

Kemudian dalam ayat (2) pasal tersebut juga diatur kewajiban untuk melakukan notifikasi, dimana jika terjadi kegagalan dalam perlindungan rahasia Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut.

Kemudian terkait dengan aspek keamanan, keamanan sistem elektronik tidak dapat dipisahkan dari aspek - aspek lainnya yang saling terkait dengan keamanan sistem elektronik tersebut sehingga juga akan dibahas. Terkait dengan pendaftaran, Penyelenggara Sistem Elektronik untuk pelayanan publik wajib melakukan pendaftaran sebelum sistem elektronik digunakan untuk publik. Sedangkan bagi nonpelayanan publik tidak wajib namun dapat melakukan pendaftaran.2

Dalam konteks tata kelola, penyelenggara sistem elektronik wajib menjamin setiap komponen dan keterpaduan seluruh Sistem Elektronik beroperasi sebagaimana mestinya.

(5)

serta wajib menjamin adanya:3 perjanjian tingkat layanan; perjanjian keamanan informasi terhadap jasa layanan Teknologi Informasi yang digunakan; dan keamanan informasi dan sarana komunikasi internal yang diselenggarakan. Kemudian penyelenggara sistem elektronik juga wajib untuk menerapkan manajemen risiko terhadap kerusakan atau kerugian yang ditimbulkan.4 Selain itu, Penyelenggara Sistem Elektronik juga wajib memiliki kebijakan tata kelola, prosedur kerja pengoperasian, dan mekanisme audit yang dilakukan berkala terhadap Sistem Elektronik. Dalam hal sistem elektronik yang digunakan untuk kepentingan publik, wajib menerapkan tata kelola yang baik dan akuntabel, yang minimal harus memenuhi persyaratan berikut:

a. tersedianya prosedur atau petunjuk dalam Penyelenggaraan Sistem Elektronik yang didokumentasikan dan/atau diumumkan dengan bahasa, informasi, atau simbol yang dimengerti oleh pihak yang terkait dengan Penyelenggaraan Sistem Elektronik tersebut;

b. adanya mekanisme yang berkelanjutan untuk menjaga kebaruan dan kejelasan prosedur pedoman pelaksanaan;

c. adanya kelembagaan dan kelengkapan personel pendukung bagi pengoperasian Sistem Elektronik sebagaimana mestinya;

d. adanya penerapan manajemen kinerja pada Sistem Elektronik yang diselenggarakannya untuk memastikan Sistem Elektronik beroperasi sebagaimana mestinya; dan

e. adanya rencana menjaga keberlangsungan Penyelenggaraan Sistem Elektronik yang dikelolanya.

f. Serta pengaturan - pengaturan lainnya yang ditentukan Instansi Pengawas dan Pengatur Sektor terkait di industry masing - masing.

Selain itu, bagi sistem elektronik yang ditujukan untuk pelayanan publik, wajib membuat rencana keberlangsungan kegiatan untuk menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya. Kemudian juga Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menempatkan pusat data dan pusat pemulihan bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan, dan penegakan kedaulatan negara terhadap data warga negaranya. 5

3 Pasal 12 ayat (1) dan (2) Peraturan Pemerintah No. 82 tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik

4 Ibid., pasal 13

(6)

Dalam hal Perangkat Keras, Adapun saat ini dalam PP PSTE dijelaskan bahwa Penyelenggara Sistem Elektronik memiliki kewajiban untuk memastikan netralitas teknologi, memiliki kebebasan memilih dalam penggunaan Perangkat Keras, serta perangkat keras yang digunakan oleh Penyelenggara Sistem Elektronik harus :

a. memenuhi aspek interkonektivitas dan kompatibilitas dengan sistem yang digunakan; Adapun Yang dimaksud dengan “interkonektivitas” adalah kemampuan untuk terhubung satu sama lain sehingga bisa berfungsi sebagaimana mestinya, yang dalam hal ini termasuk juga kemampuan interoperabilitas.

b. memperoleh sertifikat kelaikan dari Menteri;

c. mempunyai layanan dukungan teknis, pemeliharaan, dan purnajual dari penjual atau penyedia;

d. memiliki referensi pendukung dari pengguna lainnya bahwa Perangkat Keras tersebut berfungsi sesuai dengan spesifikasinya;

e. memiliki jaminan ketersediaan suku cadang paling sedikit 3 (tiga) tahun; f. memiliki jaminan kejelasan tentang kondisi kebaruan; dan

g. memiliki jaminan bebas dari cacat produk.

Adapun dalam hal perangkat lunak, Perangkat Lunak yang digunakan oleh Penyelenggara Sistem Elektronik untuk pelayanan publik wajib:6

a. terdaftar pada kementerian yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika;

b. terjamin keamanan dan keandalan operasi sebagaimana mestinya; dan c. sesuai dengan ketentuan peraturan perundang-undangan.

Setiap orang yang bekerja di lingkungan penyelenggaraan Sistem Elektronik berkewajiban mengamankan dan melindungi sarana dan prasarana Sistem Elektronik atau informasi yang disalurkan melalui Sistem Elektronik. Dalam hal ini, Penyelenggara Sistem Elektronik wajib menyediakan, mendidik, dan melatih personel yang bertugas dan bertanggung jawab terhadap pengamanan dan perlindungan sarana dan prasarana Sistem Elektronik.7

Mengenai Pengamanan sistem elektronik, penyelenggara sistem elektronik wajib melakukan pengamanan terhadap Sistem Elektronik.8 Penyelenggara Sistem Elektronik wajib menyediakan rekam jejak audit terhadap seluruh kegiatan Penyelenggaraan Sistem

6 Ibid, pasal 7 7 Ibid., pasal 28

(7)

Elektronik. Rekam jejak audit digunakan untuk keperluan pengawasan, penegakan hukum, penyelesaian sengketa, verifikasi, pengujian, dan pemeriksaan lainnya.

Kemudian untuk menentukan bahwa sistem elektronik ini laik, termasuk sudah memenuhi kewajiban - kewajiban yang diberikan dalam peraturan ini, dilakukan mekanisme sertifikasi, yaitu sertifikasi kelaikan sistem elektronik. Sertifikasi Kelaikan Sistem Elektronik adalah suatu rangkaian proses pemeriksaan dan pengujian yang dilakukan oleh institusi yang berwenang dan berkompeten untuk memastikan suatu Sistem Elektronik berfungsi sebagaimana mestinya. Untuk penyelenggara sistem elektronik untuk kepentingan publik wajib untuk melakukan sertifikasi ini. Kemudian jika sistem elektronik akan difungsikan untuk melakukan suatu transaksi elektronik juga terdapat sertifikasi yang dinamakan sertifikasi keandalan, sama seperti sertifikasi kelaikan elektronik, untuk penyelenggara sistem elektrronik untuk kepentingan publik yang melakukan transaksi elektronik wajib mendapatkan sertifikat keandalan ini.

b. Peraturan Menteri Komunikasi Dan Informatika (PERMEN) Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik

Berdasarkan pemberian kewenangan dari PP PSTE (pada pasal 15) kepada menteri terkait pembuatan peraturan perundang - undangan yang menyangkut mengenai perlindungan data pribadi secara lebih detail Kementerian KOMINFO kemudian menerbitkan Peraturan Menteri Komunikasi Dan Informatika (PERMENKOMINFO) Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik. Pengertian Data pribadi diatur dalam peraturan ini adalah setiap keterangan yang benar dan nyata yang melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.9 Dalam peraturan ini menganut aspek privasi sekaligus juga keamanan. Adapun dijelaskan bahwa Perlindungan data pribadi harus sesuai dengan asas - asas perlindungan data pribadi yang baik, yang terdiri dari:10

a. penghormatan terhadap Data Pribadi sebagai privasi;

9 PERMENKOMINFO Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik

(8)

b. Data Pribadi bersifat rahasia sesuai Persetujuan dan/atau berdasarkan ketentuan peraturan perundang-undangan;

c. berdasarkan Persetujuan; dimana Penyelenggara Sistem Elektronik wajib menyediakan formulir persetujuan dalam Bahasa Indonesia untuk meminta Persetujuan dari Pemilik Data Pribadi yang dimaksud.11

d. relevansi dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, dan penyebarluasan;

e. kelaikan Sistem Elektronik yang digunakan;

f. iktikad baik untuk segera memberitahukan secara tertulis kepada Pemilik Data Pribadi atas setiap kegagalan perlindungan Data Pribadi;

g. ketersediaan aturan internal pengelolaan perlindungan Data Pribadi;

h. tanggung jawab atas Data Pribadi yang berada dalam penguasaan Pengguna; i. kemudahan akses dan koreksi terhadap Data Pribadi oleh Pemilik Data Pribadi; j. keutuhan, akurasi, dan keabsahan serta kemutakhiran Data Pribadi.

Berdasarkan asas - asas tersebut, kemudian melahirkan adanya hak dan kewajiban perlindungan data pribadi dalam setiap transaksi elektronik yang dilakukan para pihak yang terdiri dari para pihak seperti pemilik data pribadi, pengguna, serta penyelenggara sistem elektronik.

Pemilik Data Pribadi adalah individu yang padanya melekat Data Perseorangan Tertentu pada data pribadi. Sedangkan Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain. Kemudian Pengguna Sistem Elektronik yang selanjutnya disebut Pengguna adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang memanfaatkan barang, jasa, fasilitas, atau informasi yang disediakan oleh Penyelenggara Sistem Elektronik.

Adapun dalam pengaturan ini dijelaskan Pemilik Data Pribadi berhak: a. atas kerahasiaan Data Pribadinya;

b. mengajukan pengaduan dalam rangka penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadinya oleh Penyelenggara Sistem Elektronik kepada Menteri;

c. mendapatkan akses atau kesempatan untuk mengubah atau memperbarui Data Pribadinya tanpa menganggu sistem pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan;

(9)

d. mendapatkan akses atau kesempatan untuk memperoleh historis Data Pribadinya yang pernah diserahkan kepada Penyelenggara Sistem Elektronik sepanjang masih sesuai dengan ketentuan peraturan perundang-undangan; dan e. meminta pemusnahan Data Perseorangan Tertentu miliknya dalam Sistem Elektronik yang dikelola oleh Penyelenggara Sistem Elektronik, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.

Terkait dengan hak dari pemilik data pribadi tersebut, maka bagi pengguna sistem elektronik serta penyelenggara sistem elektronik harus melakukan kewajiban - kewajiban yang telah ditetapkan. Adapun kewajiban bagi pengguna antara lain :12

a. menjaga kerahasiaan Data Pribadi yang diperoleh, dikumpulkan, diolah, dan dianalisisnya;

b. menggunakan Data Pribadi sesuai dengan kebutuhan Pengguna saja;

c. melindungi Data Pribadi beserta dokumen yang memuat Data Pribadi tersebut dari tindakan penyalahgunaan; dan

d. bertanggung jawab atas Data Pribadi yang terdapat dalam penguasaannya, baik penguasaan secara organisasi yang menjadi kewenangannya maupun perorangan, jika terjadi tindakan penyalahgunaan.

Sedangkan penyelenggara sistem elektronik berkewajiban untuk:13

a. melakukan sertifikasi Sistem Elektronik yang dikelolanya sesuai dengan ketentuan peraturan perundang-undangan;

b. menjaga kebenaran, keabsahan, kerahasiaan, keakuratan dan relevansi serta kesesuaian dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan Data Pribadi;

c. memberitahukan secara tertulis kepada Pemilik Data Pribadi jika terjadi kegagalan perlindungan rahasia Data Pribadi dalam Sistem Elektronik yang dikelolanya, dengan ketentuan pemberitahuan sebagai berikut:

1. harus disertai alasan atau penyebab terjadinya kegagalan perlindungan rahasia Data Pribadi;

2. dapat dilakukan secara elektronik jika Pemilik Data Pribadi telah memberikan Persetujuan untuk itu yang dinyatakan pada saat dilakukan perolehan dan pengumpulan Data Pribadinya;

(10)

3. harus dipastikan telah diterima oleh Pemilik Data Pribadi jika kegagalan tersebut mengandung potensi kerugian bagi yang bersangkutan; dan

4. pemberitahuan tertulis dikirimkan kepada Pemilik Data Pribadi paling lambat 14 (empat belas) hari sejak diketahui adanya kegagalan tersebut;

d. memiliki aturan internal terkait perlindungan Data Pribadi yang sesuai dengan ketentuan peraturan perundang-undangan; hal ini dilakukan sebagai bentuk tindakan pencegahan untuk menghindari terjadinya kegagalan dalam perlindungan Data Pribadi yang dikelolanya. 14 Penyusunan aturan internal harus mempertimbangkan aspek penerapan teknologi, sumber daya manusia, metode, dan biaya serta mengacu pada ketentuan peraturan perundang-undangan terkait. 15 Terkait dengan aspek sumber daya manusia Tindakan pencegahan lainnya untuk menghindari terjadinya kegagalan dalam perlindungan Data Pribadi yang dikelolanya harus dilakukan oleh setiap Penyelenggara Sistem Elektronik, paling sedikit berupa kegiatan:16 meningkatkan kesadaran sumber daya manusia di lingkungannya untuk memberikan perlindungan Data Pribadi dalam Sistem Elektronik yang dikelolanya; dan mengadakan pelatihan pencegahan kegagalan perlindungan Data Pribadi dalam Sistem Elektronik yang dikelolanya bagi sumber daya manusia di lingkungannya.

e. menyediakan rekam jejak audit terhadap seluruh kegiatan penyelenggaraan Sistem Elektronik yang dikelolanya;

f. memberikan opsi kepada Pemilik Data Pribadi mengenai Data Pribadi yang dikelolanya dapat/atau tidak dapat digunakan dan/atau ditampilkan oleh/pada pihak ketiga atas Persetujuan sepanjang masih terkait dengan tujuan perolehan dan pengumpulan Data Pribadi;

g. memberikan akses atau kesempatan kepada Pemilik Data Pribadi untuk mengubah atau memperbarui Data Pribadinya tanpa menganggu sistem pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan;

(11)

h. memusnahkan Data Pribadi sesuai dengan ketentuan dalam Peraturan Menteri ini atau ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing Instansi Pengawas dan Pengatur Sektor untuk itu; dan

i. menyediakan narahubung (contact person) yang mudah dihubungi oleh Pemilik Data Pribadi terkait pengelolaan Data Pribadinya.

Adapun perlindungan data pribadi dalam Sistem Elektronik mencakup perlindungan atau pembatasan dalam aktivitas perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, dan penyebarluasan.17 Dalam setiap aktivitas - aktivitas tersebut, haruslah memenuhi asas - asas perlindungan data yang baik serta hak dan kewajiban para pihak terkait. Pengaturan perlindungan ini, secara detail adalah sebagai berikut:

1. Dalam aktivitas Perolehan dan pengumpulan

Perolehan dan pengumpulan Data Pribadi oleh Penyelenggara Sistem Elektronik harus dibatasi pada informasi yang relevan dan sesuai dengan tujuannya serta harus dilakukan secara akurat. Instansi Pengawas dan Pengawas Sektor dalam hal ini dapat menentukan informasi yang relevan dan sesuai dengan tujuannya.18 Perolehan dan pengumpulan Data Pribadi oleh Penyelenggara Sistem Elektronik wajib dilakukan berdasarkan Persetujuan atau berdasarkan ketentuan peraturan perundang-undangan. Persetujuan tersebut dapat memberikan pernyataan Data Perseorangan Tertentu pemilik data pribadi bersifat rahasia. Apabila pernyataan tersebut tidak ada, Dalam hal persetujuan perolehan dan pengumpulan tersebut tidak termasuk Persetujuan atas pengungkapan kerahasiaan Data Pribadi maka: setiap Orang yang melakukan perolehan dan pengumpulan Data Pribadi dan Penyelenggara Sistem Elektronik harus menjaga kerahasiaan Data Pribadi tersebut. Hal ini juga berlaku terhadap Data Pribadi yang dinyatakan rahasia sesuai dengan ketentuan peraturan perundang-undangan.19 Data Pribadi yang diperoleh dan dikumpulkan secara tidak langsung harus diverifikasi .20 Data Pribadi yang diperoleh dan dikumpulkan secara langsung harus diverifikasi kebenarannya kepada pemilik data pribadi. Sedangkan yang diperoleh secara tidak langsung harus diverifikasi berdasarkan hasil olahan berbagai sumber data. Sumber data tersebut harus memiliki dasar hukum yang sah.21 Penyelenggara Sistem Elektronik juga harus menyediakan pilihan dalam Sistem Elektronik untuk Pemilik Data Pribadi, yaitu dalam hal:

17 Ibid., Pasal 2 ayat (1)

18 Ibid., Pasal 7 ayat (1) dan (2) 19 Ibid., Pasal 9 ayat (2), (3), (4) 20 Ibid., Pasal 9 ayat (1)

(12)

a. kerahasiaan atau ketidakrahasiaan Data Pribadi. Pilihan untuk Pemilik Data Pribadi terhadap kerahasiaan atau ketidakrahasiaan tidak berlaku jika peraturan perundang-undangan telah secara tegas menyatakan Data Pribadi yang secara khusus untuk beberapa elemennya dinyatakan bersifat rahasia.22 b. perubahan, penambahan, atau pembaruan Data Pribadi.23 Dalam sistem

elektronik harus terdapat pilihan bagi pemilik data pribadi untuk melakukan perubahan, penambahan, atau pembaruan Data Pribadi.24

Kemudian Sistem Elektronik yang digunakan untuk menampung perolehan dan pengumpulan Data Pribadi harus:25

a. memiliki kemampuan interoperabilitas dan kompatibilitas. Interoperabilitas merupakan kemampuan Sistem Elektronik yang berbeda untuk dapat bekerja secara terpadu. Sedangkan Kompatibilitas merupakan kesesuaian Sistem Elektronik yang satu dengan Sistem Elektronik yang lainnya. Serta;

b. menggunakan perangkat lunak (software) yang legal. 2. pengolahan dan penganalisisan

Data Pribadi hanya dapat diolah dan dianalisis sesuai kebutuhan Penyelenggara Sistem Elektronik yang telah dinyatakan secara jelas saat memperoleh dan mengumpulkannya.26 Data Pribadi yang diolah dan dianalisis harus Data Pribadi yang telah diverifikasi keakuratannya.27 Pengolahan dan penganalisisan Data Pribadi dilakukan berdasarkan Persetujuan. Hal ini tidak berlaku jika Data Pribadi yang diolah dan dianalisis tersebut berasal dari Data Pribadi yang telah ditampilkan atau diumumkan secara terbuka oleh Sistem Elektronik untuk pelayanan publik.28

3. Penyimpanan

Data Pribadi yang disimpan dalam Sistem Elektronik harus Data Pribadi yang telah diverifikasi keakuratannya.29 Penyimpanan Data Pribadi dalam Sistem Elektronik harus dilakukan sesuai dengan ketentuan mengenai prosedur dan sarana pengamanan Sistem Elektronik.30 Kemudian juga terdapat kewajiban dimana bentuk data yang tersimpan haruslah

22 Ibid., Pasal 7 ayat (3)

23 Ibid., Pasal 8 ayat (1) dan (2) 24 Ibid., Pasal 7 ayat (4)

25 Ibid., Paal 11

26 Ibid., Pasal 12 ayat (1), dan (2) 27 Ibid., Pasal 14

28 Ibid., Pasal 13

(13)

yang sudah terenkripsi. 31 Data Pribadi wajib disimpan paling singkat 5 (lima) tahun, atau sesuai dengan ketentuan peraturan perundang-undangan yang mengatur kewajiban jangka waktu penyimpanan Data Pribadi pada masing-masing Instansi Pengawas dan Pengatur Sektor.32 Dalam keadaan Pemilik Data Pribadi tidak lagi menjadi Pengguna, Penyelenggara Sistem Elektronik wajib menyimpan Data Pribadi tersebut sesuai batas waktu sebagaimana dimaksud terhitung sejak tanggal terakhir Pemilik Data Pribadi menjadi Pengguna.33

Jika waktu penyimpanan Data Pribadi telah melebihi batas waktu sebagaimana dimaksud, Data Pribadi dalam Sistem Elektronik dapat dihapuskan kecuali Data Pribadi tersebut masih akan dipergunakan atau dimanfaatkan sesuai dengan tujuan awal perolehan dan pengumpulannya. Jika Pemilik Data Pribadi meminta penghapusan Data Perseorangan Tertentu miliknya, permintaan penghapusan tersebut dilakukan sesuai dengan ketentuan peraturan perundang-undangan.34

Dalam hal penyelenggara sistem elektronik adalah untuk kepentingan publik, pusat data35 (data center) dan pusat pemulihan bencana36 (disaster recovery center) Penyelenggara Sistem Elektronik yang digunakan untuk proses perlindungan Data Pribadi wajib ditempatkan dalam wilayah negara Republik Indonesia.37

4. Dalam aktivitas Penampilan, pengumuman, pengiriman, serta penyebarluasan

Menampilkan, mengumumkan, mengirimkan, menyebarluaskan, dan/atau membuka akses Data Pribadi dalam Sistem Elektronik antar Penyelenggara Sistem Elektronik, antar Penyelenggara Sistem Elektronik dan Pengguna, atau antar Pengguna. hanya dapat dilakukan:38

a. atas Persetujuan kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; dimana persetujuan yang dimaksud harus sesuai dengan tujuan perolehan, pengumpulan, pengolahan, dan/atau penganalisisan Data Pribadi.39 dan

31 Ibid., Pasal 15 ayat (2) 32 Ibid., Pasal 15 ayat (3) 33 Ibid., Pasal 16

34 Ibid., Pasal 19 dan pasal 20

35 Yang dimaksud dengan pusat data adalah suatu fasilitas yang digunakan untuk menempatkan Sistem Elektronik dan komponen terkaitnya untuk keperluan penempatan, penyimpanan, dan pengolahan data.

36 Pusat pemulihan bencana (disaster recovery center) merupakan suatu fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi-fungsi penting Sistem Elektronik yang terganggu atau rusak akibat bencana yang disebabkan oleh alam dan/atau manusia.

37 Ibid., pasal 17

(14)

b. setelah diverifikasi keakuratan dan kesesuaian dengan tujuan perolehan dan pengumpulan Data Pribadi tersebut.

Mengenai pengiriman Data Pribadi yang dikelola oleh Penyelenggara Sistem Elektronik pada instansi pemerintah dan pemerintahan daerah serta masyarakat atau swasta yang berdomisili di dalam wilayah negara Republik Indonesia ke luar wilayah negara Republik Indonesia harus:40

a. berkoordinasi dengan Menteri atau pejabat/lembaga yang diberi wewenang untuk itu. Pelaksanaan koordinasi berupa:

1) melaporkan rencana pelaksanaan pengiriman Data Pribadi, paling sedikit memuat nama jelas negara tujuan, nama jelas subjek penerima, tanggal pelaksanaan,dan alasan/tujuan pengiriman; 2) meminta advokasi, jika diperlukan; dan

3) melaporkan hasil pelaksanaan kegiatan.

b. menerapkan ketentuan peraturan perundang-undangan mengenai pertukaran Data Pribadi lintas batas negara.

Untuk keperluan proses penegakan hukum, Penyelenggara Sistem Elektronik wajib memberikan Data Pribadi yang yang relevan dan sesuai dengan kebutuhan penegakan hukum Yang terdapat dalam Sistem Elektronik atau Data Pribadi yang dihasilkan oleh Sistem Elektronik atas permintaan yang sah dari aparat penegak hukum berdasarkan ketentuan peraturan perundang-undangan.41

5. Terkait dengan Pemusnahan

Pemusnahan Data Pribadi dalam Sistem Elektronik hanya dapat dilakukan jika:42 a. telah melewati ketentuan jangka waktu penyimpanan Data Pribadi dalam

Sistem Elektronik berdasarkan Peraturan Menteri ini atau sesuai dengan ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing Instansi Pengawas dan Pengatur Sektor untuk itu; atau

b. atas permintaan Pemilik Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.

40 Pasal 22 ayat (1)

(15)

Pemusnahan harus menghilangkan sebagian atau keseluruhan dokumen terkait Data Pribadi, termasuk yang elektronik maupun nonelektronik yang dikelola oleh Penyelenggara Sistem Elektronik dan/atau Pengguna sehingga Data Pribadi tersebut tidak dapat ditampilkan kembali dalam Sistem Elektronik kecuali Pemilik Data Pribadi memberikan Data Pribadinya yang baru. Penghilangan sebagian atau keseluruhan berkas dilakukan berdasarkan Persetujuan atau sesuai dengan ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing sektor untuk itu.43

c. PERMENKOMINFO Nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi

PP PSTE Pasal 20 ayat (2), menyatakan bahwa Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian. Kemudian ketentuan ayat (4) menjelaskan bahwa mengenai ketentuan dalam ayat (2) tersebut akan dibuat peraturan lebih lanjut oleh menteri, dan akhirnya diwujudkan dalam peraturan tentang sistem manajemen pengamanan informasi ini.

Peraturan ini mengatur mengenai kewajiban bagi penyelenggara sistem elektronik untuk pelayanan publik untuk menerapkan suatu sistem pengamanan. Adapun kegiatan -kegiatan yang termasuk ke dalam lingkup pelayanan publik adalah -kegiatan atau rangkaian kegiatan dalam rangka pemenuhan kebutuhan pelayanan sesuai dengan peraturan perundang-undangan bagi setiap warga negara dan penduduk atas barang, jasa, dan/atau pelayanan administratif yang disediakan oleh penyelenggara pelayanan publik.44 Adapun pihak - pihak yang dapat dikatakan sebagai penyelenggara pelayanan publik antara lain:45

a. institusi penyelenggara negara yang terdiri dari lembaga negara dan/atau lembaga pemerintahan dan/atau Satuan Kerja Penyelenggara di lingkungannya;

b. korporasi berupa Badan Usaha Milik Negara dan/atau Badan Usaha Milik Daerah dan/atau Satuan Kerja Penyelenggara di lingkungannya;

c. lembaga independen yang dibentuk berdasarkan Undang-Undang dan/atau Satuan Kerja Penyelenggara di lingkungannya; atau

43 Pasal 25 ayat (2) dan (3)

44 Pasal 1 angka 4 PERMENKOMINFO Nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi

(16)

d. badan hukum lain yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara.

Peraturan ini mengatur mengenai penerapan Sistem Manajemen Pengamanan Informasi berdasarkan asas Risiko. Berdasarkan asas resiko tersebut Sistem elektronik dalam lingkup pelayanan publik, terkait penggunaannya dapat dibedakan menjadi Sistem Elektronik strategis, Sistem Elektronik tinggi, serta Sistem Elektronik rendah. Sistem elektronik strategis adalah Sistem Elektronik yang berdampak serius terhadap kepentingan umum, Pelayanan Publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara. Sistem elektronik tinggi yaitu Sistem Elektronik yang berdampak terbatas pada kepentingan sektor dan/atau daerah tertentu. Sedangkan sistem elektronik rendah adalah sistem elektronik yang tidak termasuk kedalam kedua jenis sistem tersebut.

Adapun penentuan suatu sistem elektronik termasuk dalam kategori mana, ditentukan berdasarkan penilaian sendiri, berdasarkan indikator - indikator yang ditentukan berdasarkan lampiran Formulir Pernyataan Kategori Sistem Elektronik dalam PERMENKOMINFO Nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi yang dapat dilihat dalam lampiran penelitian ini, yaitu antara lain :

1. Nilai investasi sistem elektronik yang terpasang ([A] Lebih dari Rp.30 Miliar, [B] Lebih dari Rp.3 Miliar s/d Rp.30 Miliar, [C] Kurang dari Rp.3 Miliar)

2. Total anggaran operasional tahunan yang dialokasikan untuk pengelolaan Sistem Elektronik ([A] Lebih dari Rp.10 Miliar, [B] Lebih dari Rp.1 Miliar s/d Rp.10 Miliar, [C] Kurang dari Rp.1 Miliar")

3. Memiliki kewajiban kepatuhan terhadap Peraturan atau Standar tertentu ([A] Peraturan atau Standar nasional dan internasional, [B] Peraturan atau Standar nasional, [C] Tidak ada Peraturan khusus)

4. Menggunakan algoritma khusus untuk keamanan informasi dalam Sistem Elektronik ([A] Algoritma khusus yang digunakan Negara, [B] Algoritma standar publik, [C] Tidak ada algoritma khusus)

(17)

6. Data pribadi yang dikelola Sistem Elektronik ([A] Data pribadi yang memiliki hubungan dengan Data Pribadi lainnya, [B] Data pribadi yang bersifat individu dan/atau data pribadi yang terkait dengan kepemilikan badan usaha, [C] Tidak ada data pribadi)

7. Tingkat klasifikasi/kekritisan Data yang ada dalam Sistem Elektronik, relatif terhadap ancaman upaya penyerangan atau penerobosan keamanan informasi ([A] Sangat Rahasia, [B] Rahasia dan/ atau Terbatas, [C] Biasa)

8. Tingkat kekritisan proses yang ada dalam Sistem Elektronik, relatif terhadap ancaman upaya penyerangan atau penerobosan keamanan informasi ([A] Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak langsung pada layanan publik, [B] Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak tidak langsung, [C] Proses yang tidak berdampak bagi kepentingan orang banyak)

9. Dampak dari kegagalan Sistem Elektronik ([A] Tidak tersedianya layanan publik berskala nasional atau membahayakan pertahanan keamanan negara, [B] Tidak tersedianya layanan publik atau proses penyelenggaraan negara dalam 1 provinsi atau lebih, [C] Tidak tersedianya layanan publik atau proses penyelenggaraan negara dalam 1 kabupaten/kota atau lebih)

10. Potensi kerugian atau dampak negatif dari insiden ditembusnya keamanan informasi Sistem Elektronik (sabotase, terorisme) ([A] Menimbulkan korban jiwa, [B] Terbatas pada kerugian finansial, [C] Mengakibatkan gangguan operasional sementara (tidak membahayakan dan merugikan finansial))

Kemudian dari penilaian tersebut akan didapatkan hasil yang menyatakan apakah sistem elektronik yang dilakukan penilaian tersebut adalah sistem elektronik strategis, tinggi, atau rendah.

(18)

Mengenai tenaga - tenaga atau sumber daya manusia yang bertanggung jawab langsung dengan keberlangsungan sistem elektronik, dapat menggunakan Tenaga Ahli internal dan/atau Tenaga Ahli eksternal . Tenaga ahli yang digunakan oleh Penyelenggara Sistem Elektronik harus memiliki kompetensi di bidang Sistem Elektronik atau Teknologi Informasi. wajib memiliki sertifikat keahlian. Tenaga ahli yang dimaksud disini adalah tenaga yang memiliki pengetahuan dan keterampilan khusus dalam bidang Sistem Elektronik yang dapat dipertanggungjawabkan secara akademis maupun praktis. Penyelenggaraan Sistem Elektronik yang bersifat strategis harus menggunakan tenaga ahli berkewarganegaraan Indonesia. Dalam hal belum terdapat tenaga ahli berkewarganegaraan Indonesia, Penyelenggara Sistem Elektronik dapat menggunakan tenaga ahli asing.46 Penyelenggara Sistem Elektronik harus mengajukan permohonan kepada Direktur Jenderal paling lambat 14 (empat belas) hari kerja sebelum perjanjian kerja ditandatangani. Permohonan juga harus dilengkapi dengan dokumen sebagai berikut:

a. manajemen risiko terkait penggunaan Tenaga Ahli asing; dan

b. biodata Tenaga Ahli asing yang paling sedikit memuat pengalaman kerja. Kemudian Direktur Jenderal menetapkan Tenaga Ahli asing paling lambat 14 (empat belas) hari kerja setelah permohonan dinyatakan lengkap.47

Adapun pengimplementasian manajemen pengamanan ini akan diawasi melalui mekanisme sertifikasi, yang mana adalah wajib bagi Penyelenggara Sistem Elektronik strategis dan Penyelenggara Sistem Elektronik tinggi. Sedangkan bagi sistem elektronik rendah adalah tidak wajib, namun penyelenggara sistem elektronik rendah wajib untuk melaporkan penilaian sistem elektroniknya setiap tahun minimal satu kali yang dilakukan berdasarkan penilaian mandiri dengan pedoman indeks keamanan informasi tersebut. Bagi penyelenggara sistem elektronik strategis dan tinggi tersebut yang sudah tersertifikasi akan mendapatkan sertifikat manajemen pengamanan informasi oleh lembaga sertifikasi yang berlaku selama tiga tahun dan harus diperpanjang paling lambat tiga bulan sebelum masa berlaku berakhir.

Terhadap sistem yang telah disertifikasi tersebut, lembaga sertifikasi akan melakukan audit minimal satu tahun sekali. Apabila ternyata sistem elektronik tidak menerapkan standar yang telah ditetapkan, Lembaga Sertifikasi wajib mencabut Sertifikat Sistem Manajemen

46 Ibid., Pasal 10 dan 11

(19)

Pengamanan Informasi terkait, dan melaporkannya ke Menteri KOMINFO paling lambat dua hari setelah pencabutan.48

2. Kewajiban Hukum dalam Undang - Undang No. 36 tahun 2009 tentang Kesehatan Pada undang - undang kesehatan terdapat pengaturan yang mengatur mengenai aspek privasi, yaitu pada pasal 8 yang menyatakan bahwa Setiap orang berhak memperoleh informasi tentang data kesehatan dirinya termasuk tindakan dan pengobatan yang telah maupun yang akan diterimanya dari tenaga kesehatan. Pengaturan ini mengandung aspek privasi dalam hal pengungkapan data dimana si pemilik data berhak untuk memperoleh informasi mengenai kesehatannnya sendiri. Kemudian pengaturan privasi lainnya, pada pasal 57 ayat (1) UU Kesehatan yang menyatakan Setiap orang berhak atas rahasia kondisi kesehatan pribadinya yang telah dikemukakan kepada penyelenggara pelayanan kesehatan. Pengaturan ini mengandung suatu kewajiban bagi penyelenggara pelayanan kesehatan untuk merahasiakan kondisi kesehatan pribadi seseorang yang telah diberikan layanan kesehatan olehnya. Selanjutnya dalam Pasal 57 ayat (2) diatur mengenai ketentuan pengecualian atas rahasia kondisi kesehatan pribadi yang tidak berlaku dalam hal: perintah undang-undang; perintah pengadilan; izin yang bersangkutan; kepentingan masyarakat; atau kepentingan orang tersebut.

a. Kewajiban Hukum dalam Peraturan Pemerintah Nomor 46 tahun 2014 tentang sistem informasi kesehatan

Untuk menyelenggarakan upaya kesehatan yang efektif dan efisien diperlukan informasi kesehatan yang diselenggarakan dalam suatu sistem informasi kesehatan yang dapat bekerja secara lintas sektor.49 Berdasarkan hal tersebut maka disusun Peraturan Pemerintah Nomor 46 tahun 2014 tentang sistem informasi kesehatan. Peraturan ini selain mengatur mengenai data dan informasi kesehatan secara luas, juga mengatur mengenai sistem elektronik yang digunakan pada sektor - sektor kesehatan seperti sistem informasi kesehatan dalam tingkat nasional, tingkat daerah, serta pada fasilitas pelayanan kesehatan seperti rumah sakit. Dalam peraturan ini juga terdapat aspek privasi dan keamanan terhadap data pribadi pasien.

48 Pasal 9, 10, 19, 20, 21 dan 22 PERMENKOMINFO Nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi

(20)

pasal 63 ayat (1) melarang setiap orang menyebarluaskan Data dan Informasi Kesehatan kepada publik berupa :

1. salinan kartu pengguna Fasilitas Pelayanan Kesehatan atau bukti identitas lain; 2. riwayat kesehatan;

3. tagihan dan bukti pembayaran biaya penggunaan Fasilitas Pelayanan Kesehatan; 4. hasil pemeriksaan diagnostic berupa foto rontgen, pemindaian, analisa laboratorium; 5. data dan informasi terkait kegiatan penelitian, meliputi: data identitas subyek

penelitian, baik individu, kelompok individu/masyarakat;

6. data dan informasi hasil penelitian dan/atau kajian yang apabila dibuka untuk umum akan merugikan subyek, meresahkan masyarakat dan/atau mengancam keamanan negara;

7. data dan informasi hasil penelitian yang secara etika atau hasil kesepakatan dengan subyek penelitian bersifat rahasia atau dirahasiakan;

8. dan telah mendapat persetujuan tertulis dari orang yang bersangkutan atas Data dan Informasi Kesehatan dirinya;

Larangan sebagaimana dimaksud pada ayat (1) tidak berlaku apabila:

1. telah mendapat persetujuan tertulis dari orang yang bersangkutan atas Data dan Informasi Kesehatan dirinya;

2. dilakukan untuk memenuhi permintaan institusi untuk keperluan penelitian sesuai dengan ketentuan

3. peraturan perundang-undangan; dan/atau

4. dilakukan untuk kepentingan penegakan hukum sesuai dengan ketentuan peraturan perundangundangan.

(21)

Perangkat yang digunakan pada Sistem Informasi Kesehatan terdiri atas perangkat keras dan perangkat lunak. Perangkat keras terdiri atas elektronik dan nonelektronik.50

Kemudian terkait dengan sumber daya manusia yang mengelola di lingkungan fasilitas pelayanan kesehatan, pada fasilitas pelayanan kesehatan tingkat ketiga seperti rumah sakit harus dibentuk suatu unit struktural atau unit fungsional tersendiri yang mengelola sistem informasi kesehatan tersebut. Untuk menjaga keamanan dan kerahasiaan Informasi Kesehatan, setiap pengelola Informasi Kesehatan harus:

a. melakukan pemeliharaan, penyimpanan, dan penyediaan cadangan Data dan Informasi Kesehatan secara teratur; dan

b. membuat sistem pencegahan kerusakan Data dan Informasi Kesehatan

Kemudian juga terdapat pengaturan khusus terkait dengan sistem elektronik pada rekam medis elektronik. Dijelaskan bahwa setiap Fasilitas Pelayanan Kesehatan harus mengoperasikan sendiri sistem elektronik rekam medis miliknya. Sistem elektronik rekam medis ini harus mampu interkonektivitas dengan Sistem Elektronik Kesehatan dan sistem elektronik lainnya. Namun Sistem elektronik rekam medis ini tidak boleh terintegrasi dengan sistem elektronik rekam medis Fasilitas Pelayanan Kesehatan lain.51

3. Kewajiban Hukum dalam Undang - Undang No. 44 tahun 2009 Rumah Sakit

Aspek privasi dan keamanan data pasien dalam Undang - Undang rumah sakit dapat dilihat dalam Pasal 32 Dalam UU rumah sakit mengatur diantaranya Hak bagi pasien untuk mendapatkan privasi dan kerahasiaan penyakit yang diderita termasuk data - data medisnya serta memperoleh keamanan dan keselamatan dirinya selama dalam perawatan di Rumah Sakit. Kemudian pasal 38 menjelaskan Setiap Rumah Sakit harus menyimpan rahasia kedokteran. Rahasia kedokteran hanya dapat dibuka untuk kepentingan kesehatan pasien, untuk pemenuhan permintaan aparat penegak hukum dalam rangka penegakan hukum, atas persetujuan pasien sendiri, atau berdasarkan ketentuan peraturan perundangundangan dan juga apabila Pasien dan/atau keluarga yang menuntut Rumah Sakit dan menginformasikannya melalui media massa sebagaimana diatur dalam pasal 44.

(22)

Terkait dengan hak pasien tersebut, rumah sakit memiliki beberapa kewajiban yang sekiranya dapat memenuhi hak pasien tersebut. Pasal 29 menyatakan rumah sakit memiliki kewajiban seperti memberi pelayanan kesehatan yang aman, bermutu, antidiskriminasi, dan efektif dengan mengutamakan kepentingan pasien sesuai dengan standar pelayanan Rumah Sakit, yang terdiri dari Standar Prosedur Operasional, standar pelayanan medis, dan standar asuhan keperawatan. Dalam hal ini, SOP rumah sakit tersebut dapat diatur sedemikian rupa sehingga memenuhi aspek perlindungan privasi, dan keamanan data pasien. Selain itu rumah sakit juga wajib memiliki sistem pencegahan kecelakaan dan penanggulangan bencana, dalam hal ini Rumah Sakit dibangun serta dilengkapi dengan sarana, prasarana dan peralatan yang dapat difungsikan serta dipelihara sedemikian rupa untuk mendapatkan keamanan, mencegah kebakaran/bencana dengan terjaminnya keamanan, kesehatan dan keselamatan pasien, petugas, pengunjung, dan lingkungan Rumah Sakit. Pengaturan ini dapat dijadikan dasar sebagai kewajiban menyelenggarakan pengamanan terkait dengan data pasien.

Kewajiban lainnya adalah menyusun dan melaksanakan peraturan internal Rumah Sakit (hospital by laws), dimana Yang dimaksud dengan peraturan internal Rumah Sakit

(Hospital bylaws) adalah peraturan organisasi Rumah Sakit (corporate bylaws) dan peraturan staf medis Rumah Sakit (medical staff bylaw) yang disusun dalam rangka menyelenggarakan tata kelola perusahaan yang baik (good corporate governance) dan tata kelola klinis yang baik (good clinical governance). Dalam peraturan staf medis Rumah Sakit (medical staff bylaw) antara lain diatur kewenangan klinis (Clinical Privilege). Adanya kewajiban menerapkan regulasi - regulasi internal ini juga dapat dimanfaatkan untuk mengimplementasikan aspek - aspek perlindungan data pasien.

a. Kewajiban Hukum dalam Peraturan Menteri Kesehatan Nomor 82 tahun 2012 tentang Sistem Informasi Manajemen Rumah Sakit (SIMRS)

(23)

harus memenuhi persyaratan - persyaratan yang ditetapkan.52 Adapun kewajiban yang terkait dengan perlindungan data adalah kewajiban penyelenggaraan SIMRS yang harus memenuhi unsur keamanan terhadap sistem elektronik tersebut secara fisik, jaringan dan sistem aplikasi.53 Adapun yang termasuk kewajiban terhadap Keamanan fisik antara lain, yaitu adanya Kebijakan hak akses pada ruang data center/server serta keharusan adanya Kebijakan penggunaan hak akses komputer untuk user pengguna. Kemudian dalam hal keamanan jaringan, diatur sebagai berikut :

1. Keamanan jaringan (network security) dalam jaringan komputer sangat penting dilakukan untuk memonitor akses jaringan dan mencegah penyalahgunaan sumber daya jaringan yang tidak sah. Tugas keamanan jaringan dikontrol oleh administrator jaringan.

2. Segi-segi keamanan didefinisikan sebagai berikut:

a. Informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang. b. Informasi hanya dapat diubah oleh pihak yang memiliki wewenang.

c. Informasi tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan. d. Pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan

bahwa identitas yang didapat tidak palsu.

e. Pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan.

Kemudian yang dimaksud keamanan aplikasi adalah sebagai berikut:

1. Keamanan aplikasi harus mendukung dan mengimplementasikan protokol keamanan dalam melakukan transfer data (seperti: SSL, TLS)

2. Aplikasi harus memungkinkan masing-masing user dapat didentifikasikan secara unik, baik dari segi nama dan perannya.

3. Akses melalui metode akses remote dapat berfungsi dengan baik melalui aplikasi

client (yaitu melalui VPN, modem, wireless, dan sejenisnya).

4. Aplikasi dapat berfungsi dengan baik pada software anti-virus yang digunakan saat ini.

Kemudian dalam penyelenggaraan SIMRS harus dilaksanakan oleh Sumber daya manusia yang kompeten dan terlatih.54 Dalam hal ini Rumah Sakit harus memiliki unit/instalasi informasi dan teknologi yang terdiri dari Kepala Instalasi SIMRS , dan Staf informasi dan teknologi Fungsional . Adapun staf yang dimaksud adalah yang memiliki

52 Pasal 2, 3, dan 4 Peraturan Menteri Kesehatan Nomor 82 tahun 2012 mengenai Sistem Informasi Manajemen Rumah Sakit

(24)

kualifikasi dalam bidang: Staf Analis System, Staf Programmer, Staf Hardware ,dan Staff

Maintanance Jaringan. Mengenai kerangka kerja dari sumber daya manusia tersebut, diatur dalam Peraturan bahwa direkomendasikan menggunakan kerangka kerja yang best practice

seperti cobit.

4. Undang - Undang No. 36 tahun 2014 tentang Tenaga Kesehatan

Dalam UU Tenaga Kesehatan, pasal 58 ayat (1) mengatur bahwa tenaga kesehatan wajib memberikan pelayanan kesehatan sesuai dengan Standar Profesi, Standar Pelayanan Profesi, Standar Prosedur Operasional, dan etika profesi serta kebutuhan kesehatan Penerima Pelayanan Kesehatan; serta wajib untuk menjaga kerahasiaan kesehatan Penerima Pelayanan Kesehatan. Selain itu, Pasal 66 ayat (1) juga mengatur bahwa Setiap Tenaga Kesehatan dalam menjalankan praktik berkewajiban untuk mematuhi Standar Profesi, Standar Pelayanan Profesi, dan Standar Prosedur Operasional. Kebijakan menangani standar profesi, standar pelayanan profesi, SOP dari tempat dia bekerja, dan etika profesi pada dasarnya pasti mengamanatkan perlindungan privasi, kerahasiaan dan keamanan bagi pasien, sehingga ketentuan ini juga dapat termasuk sebagai pengaturan yang mengatur aspek privasi, kerahasiaan, dan keamanan dari pasien. Kemudian kewajiban menjaga rahasia dari pasien ini kembali diatur dalam pasal 73 ayat (1), dimana Setiap Tenaga Kesehatan dalam melaksanakan pelayanan kesehatan wajib menyimpan rahasia kesehatan penerima pelayanan kesehatan. Yang dimaksud rahasia kesehatan penerima pelayanan kesehatan disini bisa dikatakan sebagai data pasien.

Undang - Undang No. 29 tahun 2004 tentang Praktik Kedokteran

(25)

tata cara tindakan medis; tujuan tindakan medis yang dilakukan; alternatif tindakan lain dan risikonya; risiko dan komplikasi yang mungkin terjadi; dan prognosis terhadap tindakan yang dilakukan. Persetujuan oleh pasien terhadap tindakan dokter kemudian akan membuat pasien secara tidak langsung mengungkapkan hal - hal mengenai kesehatan pasien kepada dokter. Hal ini akan membuat dokter kemudian memiliki kewajiban untuk merahasiakan segala sesuatu yang diketahuinya tentang pasien, bahkan juga setelah pasien itu meninggal dunia.55

Dalam hal ini data mengenai pasien tersebut hanya dapat dibuka untuk hal - hal tertentu saja, yaitu dalam hal kepentingan kesehatan pasien, memenuhi permintaan aparatur penegak hukum dalam rangka penegakan hukum, permintaan pasien sendiri, atau berdasarkan ketentuan perundang - undangan.56

a. Kewajiban Hukum dalam Peraturan Menteri Kesehatan (PMK) No. 36 tentang Rahasia Kedokteran

Apabila dilihat dari informasi - informasi yang dikandungnya, rahasia kedokteran juga dapat dikatakan merupakan bagian dari data pribadi, yaitu data atau informasi mengenai perseorangan terkait suatu individu yang bersifat pribadi. Rahasia kedokteran maupun data pribadi berkaitan erat dengan hak Asasi Manusia khususnya hak atas privasi. Dalam hal ini, perlindungan terhadap kerahasiaan dalam rahasia kedokteran maupun data pribadi merupakan salah satu pemenuhan dari hak privasi.

Dalam Peraturan Menteri Kesehatan mengenai Rahasia Kedokteran, dijelaskan bahwa kewajiban menyimpan rahasia kedokteran wajib dilakukan semua pihak yang terlibat dalam pelayanan kedokteran dan/atau dalam penggunaan data dan informasi mengenai pasien, bahkan setelah pasien tersebut meninggal dunia.57 Adapun rahasia kedokteran hanya dapat diungkapkan dan digunakan secara terbatas dalam hal :58

a. kepentingan pasien

Adapun yang termasuk kepentingan pasien diantaranya untuk kepentingan pemeliharaan kesehatan, pengobatan, penyembuhan, dan perawatan pasien; serta untuk

55 Pasal 51 UU no 29 tahun 2004 tentang praktik kedokteran 56 Ibid, pasal 48 ayat (1) dan (2)

57 Pasal 4 ayat (1), (2), (3) Peraturan Menteri Kesehatan Republik Indonesia Nomor 36 Tahun 2012 Tentang Rahasia Kedokteran

(26)

keperluan administrasi, pembayaran asuransi atau jaminan pembiayaan kesehatan. Pengungkapan terkait dengan kepentingan kesehatan, pengobatan, penyembuhan, dan perawatan pasien harus dilakukan dengan persetujuan dari pasien baik secara tertulis maupun dalam sistem elektronik. Apabila pasien tidak cakap, persetujuan dapat diberikan oleh keluarga terdekat atau pengampunya. Sedangkan pengungkapan terkait keperluan administrasi, pembayaran asuransi atau jaminan pembiayaan kesehatan dinyatakan tekah diberikan pada saat pendaftaran pasien di fasilitas pelayanan kesehatan.59

b. Memenuhi Permintaan Aparatur Penegak Hukum Dalam Rangka Penegakan Hukum Permintaan terhadap Rahasia kedokteran dapat diberikan pada proses penyelidikan, penyidikan, penuntutan, dan sidang pengadilan melalui pemberian data dan informasi berupa

visum et repertum, keterangan ahli, keterangan saksi, dan/atau ringkasan medis, yang harus dilakukan secara tertulis dari pihak yang berwenang. Keseluruhan rekam medis juga dapat diberikan apabila terdapat perintah pengadilan atau dalam sidang pengadilan menginginkan demikian.60 Dalam hal terdapat pihak pasien yang mengajukan gugatan terkait pelayanan kesehatan yang diterimanya kepada tenaga kesehatan dan/atau fasilitas pelayanan kesehatan, maka pihak yang digugat tersebut berhak untuk membuka rahasia kedokteran dalam rangka pembelaannya dalam sidang pengadilan.61

c. Permintaan Pasien Sendiri

Pengungkapan berdasarkan permintaan pasien sendiri dapat dilakukan dengan pemberian data dan informasi kepada pasien baik secara lisan maupun tertulis. Adapun keluarga terdekat dapat memperoleh data dan informasi mengenai kesehatan pasien, kecuali dinyatakan sebaliknya. Pernyataan mengenai keluarga tidak dapat mengakses data dan informasi pasien harus dinyatakan pasien pada waktu penerimaan pasien.62

d. Berdasarkan Ketentuan Peraturan - Perundang - Undangan

Dilakukan tanpa persetujuan pasien dalam rangka kepentingan penegakan etik atau disiplin, serta kepentingan umum. Dalam rangka kepentingan penegakan etik atau disiplin pengungkapan disyaratkan harus mendapatkan permintaan tertulis dari Majelis Kehormatan Etik Profesi atau Majelis Kehormatan Disiplin Kedokteran Indonesia.63

59 Ibid, Pasal 6 ayat (1), (2), (3), (4), (5) 60 Ibid, pasal 7 ayat (1), (2), (3), (4) 61 Ibidm pasal 14

(27)

Kemudian kepentingan umum yang dimaksud dalam peraturan adalah terkait dengan audit medis, ancaman kejadilan luar biasa atau wabah penyakit menular, penelitian kesehatan untuk kepentingan negara, pendidikan atau penggunaan informasi yang akan berguna di masa yang akan datang, dan ancaman keselamatan orang lain secara individual atau masyarakat, dengan tanpa membuka identitas pasien terkait. Dikecualikan pada ancaman kejadian luar biasa atau wabah penyakit menular dan ancaman keselamatan orang lain secara individual atau masyarakat, identitas pasien dapat dibuka kepada institusi atau pihak yang berwenang untuk melakukan tindak lanjut sesuai dengan ketentuan peraturan perundang - undangan.64

Pengungkapan rahasia kedokteran dilakukan oleh penanggung jawab pelayanan pasien. Adapun penanggung jawab ini diantaranya adalah ketua tim dalam hal pasien ditangani/dirawat secara tim, atau ketika ketua tim berhalangan pengungkapan dapat dilakukan anggota tim yang telah ditunjuk. Kemudian apabila penanggung jawab tersebut tidak ada, pihak pimpinan fasilitas pelayanan kesehatan dapat juga berwenang membuka rahasia kedokteran. Pengungkapan harus didasarkan pada data dan informasi yang benar dan dapat dipertanggungjawabkan.

b. Kewajiban Hukum dalam PMK No. 269 tahun 2008 tentang Rekam Medis

Rekam medis wajib dibuat oleh dokter, dokter gigi, atau tenaga kesehatan secara tertulis, lengkap dan jelas atau secara elektronik atau menggunakan teknologi informasi. Dalam hal ini, dokter, dokter gigi dan/atau tenaga kesehatan tertentu bertanggung jawab atas catatan dan/atau dokumen yang dibuat pada rekam medis. Sedangkan sarana pelayanan kesehatan diwajibkan untuk menyediakan fasilitas yang diperlukan untuk penyelenggaraan rekam medis.65

Adapun kepemilikan rekam medis dalam hal berkasnya adalah milik sarana pelayanan kesehatan, sedangkan isinya yang dalam bentuk ringkasan rekam medis merupakan milik pasien. Berdasarkan hal ini, maka pasien atau keluarga pasien yang berhak dapat meminta ringkasan rekam medis ini untuk dicatat atau dicopy.66

64 Ibid, pasal 9 ayat (4), (5), (6)

65 Pasal 2, 6, dan 7 Peraturan Menteri Kesehatan Nomor 269 tahun 2008 tentang Rekam medis

(28)

Rumah sakit wajib menyimpan rekam medis pasien rawat inap dalam jangka waktu lima tahun terhitung sejak tanggal terakhir pasien berobat atau dipulangkan. Setelah lewat jangka waktu lima tahun, rekam medis dapat dimusnahkan kecuali dokumen mengenai ringkasan pulang dan dokumen persetujuan pemberian mediknya. Ringkasan pulang dan persetujuan tindakan medic tersebut harus disimpan dalam jangka waktu sepuluh tahun sejak dibuatnya dokumen - dokumen tersebut.67 Penyimpanan dokumen - dokumen tersebut dilaksanakan oleh petugas yang ditunjuk oleh pimpinan pelayanan kesehatan. Sedangkan pada sarana pelayanan kesehatan non rumah sakit, disimpan sekurang - kurangnya untuk jangka waktu dua tahun terhitung sejak pasien berobat.

Informasi tentang identitas, diagnosis, riwayat penyakit, riwayat pemeriksaan, dan riwayat pengobatan dalam rekam medis dapat dibuka untuk kepentingan kesehatan pasien, untuk memenuhi permintaan aparatur penegak hukum dalam rangka atas perintah pengadilan, dalam hal permintaan dan/atau persetujuan pasien sendiri, berdasarkan permintaan institusi/lembaga berdasarkan ketentuan perundang - undangan, serta untuk kepentingan penelitian, pendidikan, dan audit medis dengan tanpa menyebutkan identitas pasien.68 Permintaan terhadap rekam medis diajukan kepada pimpinan sarana pelayanan kesehatan secara tertulis. Mengenai isi dari rekam medis, hanya dapat dijelaskan oleh dokter yang merawat pasien dengan izin tertulis dari pasien atau berdasarkan peraturan perundang -undangan.

Berdasarkan pemanfaatannya, pengungkapan terhadap rekam medis dapat dilakukan dengan syarat - syarat tertentu. Dalam hal penggunaan rekam medis untuk keperluan pendidikan dan penelitian, apabila menyebutkan identitas pasien harus mendapat persetujuan secara tertulis dari pasien atau ahli warisnya dan harus dijaga kerahasiaannya. Persetujuan pasien tidak diperlukan apabila pendidikan dan penelitian dalam rangka kepentingan negara.69

Kewajiban Hukum Perlindungan Data Pribadi Pasien Rumah Sakit di Indonesia dapat dijelaskan sebagai berikut.

67 Ibid, pasal 8 ayat (1), (2), dan (3) 68 Ibid, pasal 10

(29)

B. Pengaturan Hukum Perlindungan Data Pribadi di Amerika Serikat

Dalam konstitusi Amerika Serikat meskipun tidak secara spesifik dijelaskan adanya hak atas privasi, namun dalam konstitusi secara implisit dijelaskan pentingnya hak atas privasi. Hak atas privasi ini dapat dilihat pada amandemen ke-9, sebagai berikut. “the enumeration in the constitution of certain rights shall not be construed to deny or disparage others retained by the people.” Amandemen ini berasal dari perkembangan di peradilan serta berdasarkan ajaran doktrin - doktrin seperti ajaran privasi Warren dan Brandeis. Kemudian juga pada amandemen sebelumnya, amandemen keempat menyatakan, “the right of people to be secure in the persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated; and no warrants shall issue, but on probably cause, supported by oath pr affirmation, and particularly describing the place to be searched, and the person or thing to be seized.” Dalam perkembangannya kemudian dikenal ukuran - ukuran dalam privasi yang dinamakan sebagai ekspektasi yang layak atau wajar terhadap privasi (reasonable expectation of privacy). Adapun ukuran yang digunakan untuk menentukan ekspektasi yang layak terhadap privasi adalah70

1. Orang tersebut menunjukan ekspektasi terhadap privasi secara actual, misalnya saat kita masuk kedalam kamar tidur kita, kita berekspektasi bahwa kamar tidur kita ini adalah tertutup untuk orang - orang. Atau terhadap komputer atau ponsel genggam, tentunya kita memliki ekspektasi tertentu bahwa barang - barang tersebut hanya boleh diakses oleh kita sendiri

2. Masyarakat mengenali ekspektasi terhadap privasi tersebut, selain ekspektasi kita sendiri terhadap apa yang kita anggap privasi, apabila masyarakat juga memiliki ekspektasi yang demikian, maka sudah memenuhi unsur ekspektasi yang layak atau wajar terhadap privasi.

Berdasarkan ketentuan konstitusi tersebut, maka dalam setiap kegiatan yang akan bersinggungan dengan privasi seseorang akan diatur dalam suatu peraturan perundang -undangan. Dalam konteks perlindungan data pribadi, AS tidak seperti negara - negara dalam European Union (EU), tidak memiliki undang - undang yang mengatur spesfik mengenai data pribadi. Namun AS memiliki pengaturan - pengaturan khusus terhadap data - data pribadi

(30)

dalam industri tertentu.71 Meskipun cakupan data yang dilindungi tidak luas, namun cakupan perlindungannya sebenarnya sudah cukup komperhensif. Adapun peraturan perundang -undangan ini misalnya:72

1. Privacy act 197473

Undang - undang ini membatasi pengungkapan dan pemakaian data yang dikelola oleh pemerintah federal. Undang - undang ini memberikan hak kepada warga negara Amerika untuk mengetahui informasi mana yang mengenai mereka yang digali pemerintah, untuk melihat dan mengkopi informasi tersebut, untuk memperbaiki informasi tersebut, dan untuk membatasi kontrol terhadap pengungkapan ke pihak ketiga.

2. Video Privacy Protection Act

Undang - undang ini bertujuan untuk melindungi data - data konsumen yang menggunakan jasa rental video. Undang - undang ini melarang pengelola rental video untuk membuka informasi pelanggannya mengenai video apa yang dipinjam oleh pelanggannya tersebut.

3. Electronic Communications Privacy Act

Undang - undang ini melarang adanya intersepsi dalam komunikasi menggunakan perangkat elektronik dan mengatur mengenai perlindungan terhadap komunikasi tersebut.

4. Fair and Accurate Credit Transaction act of 2003 (FACTA)

Undang - undang ini menngatur setiap penyelenggara kartu kredit untuk menjalankan ukuran - ukuran yang sesuai untuk mencegah adanya pengungkapan informasi yang tidak sesuai.

5. Gramm-Leach-Bliley Act (GLB Act)

GLB Act sebenarnya adalah undang - undang yang mengatur mengenai stakeholder -stakeholder dibidang keuangan. Namun dalam undang - undang ini juga terdapat pengaturan privasi terhadap konsumen dari institusi keuangan ini. Pengaturan tersebut umumnya mengatur mengenai larangan pengungkapan informasi pribadi dan informasi financial konsumennya terhadap pihak ketiga.

6. Health Insurance Portability and Accountability Act (HIPAA Act)

HIPAA sebenarnya merupakan undang - undang yang mengatur mengenai kesehatan, teknologi kesehatan, serta mengenai asuransi kesehatan di AS. Selain itu dalam Undang - undang ini juga diamanatkan adanya suatu perlindungan terhadap informasi

71 Lisa J Sotto dan Aaron P Simpson, Getting The Deal Through Data Protection and Privacy 2015, Law Business Rearch Ltd, United Kingdom, 2014, hlm. 208

(31)

dan data kesehatan seseorang. Mengenai HIPAA akan dibahasi lebih lanjut pada bagian selanjutnya.

Selain itu sumber pengaturan privasi lainnya adalah konstitusi - konstitusi pada negara bagian di Amerika. Sebagaimana diketahui bahwa Amerika Serikat (AS) adalah negara federasi yang terdiri dari beberapa negara bagian. Negara - negara bagian (states) ini terkadang memiliki pengaturan hukum tersendiri yang lebih ketat dibandingkan pengaturan federal (pengaturan hukum negara AS). Seperti misalnya dalam hal privasi terhadap data kesehatan perorangan, meskipun sudah diatur dalam undang - undang HIPAA namun negara bagian tetap memiliki kewenangan untuk membuat peraturan tersendiri yang terkadang lebih ketat dari pengaturan HIPAA tersebut. Dalam penelitian ini hanya akan dibahas mengenai pengaturan dalam HIPAA act.

1. Kewajiban Hukum Perlindungan Informasi Kesehatan Individual dalam HIPAA Act

Health Insurance Portability and Accountability Act (Public Law No. 104-191) diundangkan pertama kali pada 21 Agustus 1996. Undang - Undang ini diundangkan dengan tujuan untuk mengatur mengenai asuransi kesehatan dan pelayanan kesehatan, megatur mengenai kecurangan - kecurangan dalam yang terjadi dalam asuransi kesehatan serta pelayanan kesehatan, mempromosikan penggunaan akun simpanan untuk medis, meningkatkan akses dan jangkauan pelayanan dalam jangka panjang, serta untuk mempermudah adminstrasi dari asuransi kesehatan dan serta tujuan - tujuan lainnya, yang termasuk juga adanya pengaturan akan pentingnya privasi terhadap data dan informasi kesehatan individu.Data dan informasi tersebut dalam HIPAA dikenal sebagai Protected Health Information, yaitu “ information, including demographic data, that relates to:

• the individual’s past, present or future physical or mental health or condition,

(32)

• the past, present, or future payment for the provision of health care to the individual, and that identifies the individual or for which there is a reasonable basis to believe can be used to identify the individual.”74 Dalam pengertian tersebut terlihat bahwa yang dimaksud dan

termasuk dalam kategori informasi kesehatan individu perorangan adalah informasi mengenai kesehatan(baik fisik maupun mental) seseorang, dari masa lampau, saat ini, dan kemudian; informasi mengenai pelayanan kesehatan yang diberikan kepada seorang individu; informasi mengenai pembiayaan terhadap pelayanan kesehatan yang dilakukan di masa lalu, sekarang dan masa depan oleh individu; serta informasi - informasi yang dapat mengidentifikasi individu atau informasi yang dapat dipercaya dapat mengidentifikasikan individu tertentu. HIPAA tidak berlaku bagi informasi kesehatan yang tidak menerangkan suatu individu tertentu seperti misalnya agregat data. HIPAA juga tidak berlaku bagi informasi kesehatan yang digunakan entitas diluar dari Covered entites dan Business Associatesnya. Covered entity atau pihak - pihak yang harus tunduk kepada ketentuan dalam regulasi - regulasi HIPAA diantaranya

1. Health Care Provider

Orang atau organisasi yang memberikan pelayanan kesehatan, atau yang dibayar untuk memberikan pelayanan kesehatan. Health Care provider ada yang berbentuk organisasi atau institusi, seperti misalnya rumah sakit. Atau yang berbentuk non-institusional atau perorangan seperti dokter, dokter gigi, atau tenaga kesehatan lainnya.75

2. Health Plan

Individu atau kelompok yang melayani pembayaran biaya kesehatan seseorang. Yang termasuk dalam Health Plan antara lain, pihak asuransi kesehatan, kesehatan gigi, kesehatan mata, atau pemberi asuransi resep dokter, organisasi - organisasi jaminan kesejahteraan sosial di Amerika seperti Medicaid dan Medicare, Asuransi kesehatan pekerja yang bersifat swasta maupun publik, dan juga pihak asuransi yang sponsori oleh pemerintah dan gereja.76

3. Health Care Clearinghouses

Adalah pihak yang memproses informasi - informasi menjadi standar yang telah ditetapkan.77

74General Provisions 45 C.F.R. § 160.103

75 Ibid., 45 C.F.R. §§ 160.102, 160.103 76 Ibid.,

(33)

Selain itu juga terdapat pihak ketiga dari covered entity, yang dikenal sebagai

Business Associate.78 Business Associate yaitu perorangan atau institusi yang bukan merupakan tenaga kerja dari covered entity yang melakukan fungsi - fungsi dan aktivitas atas nama covered entity atau memberikan pelayanan tertentu terhadap covered entity yang terkait dengan penggunaan atau pengungkapan data pasien, misalnya dalam hal pengajuan klaim pasien, analisis data, penagihan(misalnya pihak bank), atau dalam hal pengulasan pemanfaatan. Business Associate ditentukan oleh HIPAA hanya pihak - pihak yang terkait dengan bidang legal, aktuaria, pihak yang melakukan akunting, jasa konsultasi, jasa pengagregasi data, manajemen, adminsitrasi, akreditasi, atau yang melakukan jasa finansial.79 Dalam hal ini pembahasan akan memfokuskan pada covered entity health care provider saja.

Seperti pada undang undang lainnya di AS, ketentuan ketentuan dalam undang -undang ini secara terpisah kemudian dikodifikasi dalam suatu kodifikasi (United States Codes) 42 mengenai Kesehatan dan Kesejahteraan Publik (Public Health and Welfare).80 Mengenai privasi terhadap data dan informasi kesehatan individu, Dalam section 264 HIPAA dijelaskan:81

SEC. 264. RECOMMENDATIONS WITH RESPECT TO PRIVACY OF CERTAIN HEALTH INFORMATION

“(a) IN GENERAL.--Not later than the date that is 12 months after the date of the enactment

Referensi

Unduh sekarang ( DOCX - 50 Halaman - 102.88 KB )

Garis besar

Kewajiban Hukum Perlindungan Informasi Kesehatan Individual dalam HIPAA Act Kewajiban kewajiban Administratif Perbandingan Pengaturan Rekam Medis Elek

Dokumen terkait

PENGEMBANGAN SISTEM INFORMASI REKAM MEDIS UNTUK DINAS KABUPATEN GROBOGAN

Untuk menunjang pelayanan kesehatan yang diberikan puskesmas, setiap tindakan dalam upaya pengobatan dicatat dalam data rekam medis pasien. Data rekam medis tersebut

MANAJEMEN REKAM MEDIS (MANAJEMEN INFORMASI KESEHATAN)

keadaan pasien, riwayat penyakit dan pengobatan masa lalu serta saat ini yang ditulis oleh profesi kesehatan yang memberikan pelayanan pada pasien tersebut..  Rekam Kesehatan

Abstrak. Kata Kunci: HIV dan AIDS, rahasia medis, rekam medis

Adapun hak dasar sosial adalah hak atas pelayanan kesehatan yang berupa hak atas pelayanan medis dan hak akses terhadap pelayanan kesehatan, sedangkan hak dasar individual

STUDI LITERATUR SISTEM PENYIMPANAN DOKUMEN REKAM MEDIS TAHUN 2020

Menurut (Budi 2011), pengelolaan penyimpanan rekam medis sangat penting untuk dilakukan dalam suatu institusi pelayanan kesehatan karena dapat mempermudah dan

Program Kerja Rekam Medis 2016

Jamsostek Seiring dengan berjalannya waktu dan minimnya akan pelayanan kesehatan masyarakat, khususnya pelayanan kesehatan Ibu dan Anak di rumah sakit baik milik pemerintah

GAMBARAN PENGETAHUAN PETUGAS REKAM MEDIS TENTANG SISTEM INFORMASI PELAYANAN RAWAT JALAN. DI REKAM MEDIS RUMAH SAKIT LANUD Dr.

Sesuai dengan tujuan dan judul penelitian yang telah diuraikan hasil penelitian mengenai Gambaran Pengetahuan Petugas Rekam Medis Tentang Sistem Pelayanan Rawat Jalan Rs Abdul

PERBANDINGAN KELENGKAPAN PENGISIAN REKAM MEDIS KONVENSIONAL DAN PROTOTIPE INTEGRATED ELECTRONIC SURGICAL REPORT (IESR)

Diharapkan dapat meningkatkan profil kualitas pelayanan rekam medis pasien di bangsal bedah (Udiyana NDM & Darmawan ES, 2020). Tujuan dari penelitian ini adalah:

Kebijakan Rekam Medis Elektronik

DASAR HUKUM PP no 46 tahun 2014 tentang Sistem Informasi Kesehatan Pasal 14 Data dan Informasi Kesehatan yang bersumber dari Fasilitas Pelayanan Kesehatan yang diperoleh dari rekam

Image