Mengelola Keamanan Dan Privasi RME
Mengelola Keamanan Dan Privasi RME
privasi RME
Anis Fuad
Pusat Kebijakan dan Manajemen Kesehatan
FK-KMK UGM
anisfuad@ugm.ac.id
@4n15fuad
Outline
Upaya penjaminan
Penutup
2
Perkembangan kesehatan
digital terkini
3
Digitisasi – digitalisasi – transformasi digital
https://www.forbes.com/sites/jasonbloomberg/2018/04/29/digitization-digitalization-and-digital-transformation-confuse-
them-at-your-peril/?sh=66c3d11b2f2c
Ketika sistem digital belum hadir……
Bertransformasi digital dengan memanfaatkan platform
digital
Adopsi sistem digital di rumah sakit
Penyimpanan data dan aplikasi SIMRS
https://inventureknowledge.id/wp-content/uploads/2021/01/Marketing-Outlook-2021-Inventure.pdf
Risiko dan tantangan
implementasi digital di
fasyankes
15
Perekam Medis
Dokter Perawat dan Informasi
Kesehatan
Siapa sajakah
Ahli
pengguna Petugas Farmasi Ahli Radiologi .
Laboratorium
aplikasi
SIMRS/RME di
rumah sakit Petugas Manajemen
Anda? Pasien .
Keuangan . Rumah Sakit .
Tenaga Tenaga
Kesehatan Teknologi
lainnya. Informasi
16
Titik kerentanan dalam sistem digital di
fasilitas pelayanan kesehatan
Kim, Dong-won, Jin-young Choi, and Keun-hee Han. "Risk management-based security evaluation
model for telemedicine systems." BMC Medical Informatics and Decision Making 20.1 (2020): 1-14.
Wilayah rentan keamanan dalam telemedicine
Kim, Dong-won, Jin-young Choi, and Keun-hee Han. "Risk management-based security evaluation
model for telemedicine systems." BMC Medical Informatics and Decision Making 20.1 (2020): 1-14.
Unsur keamanan informasi
Das, S., and A. Mukhopadhyay. "Security and privacy challenges in telemedicine." CSI Commun 35 (2011): 20-2.
Pelanggaran data dan kejahatan siber
Dampak Potensial: kerugian finansial bagi penyedia layanan kesehatan, tanggung jawab
hukum, kerusakan reputasi, dan bahaya pribadi bagi pasien.
Jenis Ancaman: serangan ransomware, skema phishing, ancaman dari dalam, dan perangkat
yang tidak terjamin.
20
Di Indonesia, tindakan peretasan ini pernah terjadi pada
Juni 2020 berupa peretasan data pasien Covid-19. Akun
bernama Database Shopping pada situs Raid Forums
mengklaim bahwa ia memiliki basis data berisi sekitar
230.000 data orang terkait Covid-19 di Indonesia. Basis
data tersebut berisi informasi yang cukup lengkap: dari
nama, nomor telepon, alamat, hasil tes PCR, hingga
lokasi rumah sakit tempat dirawat. 2
1
2018 American Medical Association
2020 HIMSS Cybersecurity Survey
2020 HIMSS Cybersecurity Survey
Keamanan Informasi
sebagian besar organisasi
kesehatan (69%)
mengkhawatirkan
1 2 3 4
Sensitivitas Informasi Persetujuan dan Kontrol: Tantangan Teknologi: Keseimbangan:
Kesehatan: data mekanisme agar pemilik perkembangan/kemajua diperlukan
kesehatan sangat sensitif, data (termasuk pasien) n teknologi (teknologi keseimbangan antara
tidak hanya mencakup memiliki kontrol atas disruptif) mungkin berbagi data untuk
riwayat medis tetapi juga siapa yang melihat memperkenalkan tujuan medis yang sah
informasi pribadi dan informasi mereka dan kekhawatiran privasi dan melindungi privasi
finansial. apa yang digunakan baru. individu.
untuk tujuan tersebut.
30
Kepatuhan terhadap regulasi
31
Ps 4
(1)Data Pribadi terdiri atas:
a. Data Pribadi yang bersifat spesifik; dan
b. Data Pribadi yang bersifat umum
40
41
42
Apa yang terjadi di organisasi kesehatan setelah diundangkannya regulasi
pelindungan data pribadi?
https://www.itgovernance.co.uk/healthcare/gdpr
https://nltimes.nl/2019/07/16/hague-hospital-fined-eu460000-protecting-patients-privacy
https://www.gdprregister.eu/news/hospital-receives-gdpr-fine/
Insiden yang sering dilaporkan ke Komisi Pelindungan
Data di Serbia yang terkait dengan kesehatan
Kewenangan
Kegagalan melindungi Akses yg tidak berhak,
Profiling seseorang, polisi/penegak hukum
akses data dari individu berlebihan atau tidak
terutama dari app dalam mengungkap
yang tidak berhak proporsional
data pribadi kesehatan
Pengungkapan orientasi
seksual tanpa
persetujuan
Marovic, Branko, and Vasa Curcin. "Impact of the European General Data Protection Regulation (GDPR) on Health Data Management in a European Union Candidate Country: A Case Study
of Serbia." JMIR Medical informatics 8.4 (2020): e14604.
Upaya penjaminan
49
Komponen ISO 27001
1. Information Security Policies (Kebijakan Keamanan Informasi)
2. Organization of Information Security (Keamanan Informasi
Perusahaan)
3. Human Resource Security (Keamanan Sumber Daya Manusia)
4. Asset Management (Manajemen Aset)
5. Acces Control (Kontrol Akses)
6. Cryptographic Technology (Teknologi Kriptografi)
7. Physical and Environmental Security (Keamanan Fisik dan
Lingkungan)
8. Operations Security (Keamanan Operasi)
9. Communications Security (Keamanan Komunikasi)
10. System Acquisition, Development, and Maintenance (Akuisisi,
Pengembangan, dan Pemeliharaan Sistem)
11. Supplier Relationship (Hubungan dengan Supplier)
12. Incident Management (Manajemen Insiden)
13. Business Continuity/Disaster Recovery (Manajemen Bisnis
Berkelanjutan)
14. Compliance (Kepatuhan)
50
Kerangka Keamanan (FCDO, 2021)
High Level Outcome Subkomponen Outcome Overview
1: Tata Kelola Keamanan Siber a: Kerangka Kerja Tata Kelola Bagian ini adalah untuk memastikan organisasi memiliki proses yang mendukung
b: Dokumen kebijakan utama dan memelihara keamanan siber yang efektif. Meskipun ini adalah bagian pertama,
c: Individu yang bertanggung jawab atas hasilnya secara efektif mendukung bagian kerangka kerja lainnya.
keamanan siber
d: Kontak dengan otoritas yang tepat
e: Pengelolaan Penyedia Jasa
f: Kepatuhan dan privasi
2: Sumber Daya Manusia a: Pelatihan dan kesadaran Memastikan setiap orang yang menggunakan platform dan memproses data pasien
b: Pengamanan lingkungan kerja memahami perilaku apa yang diharapkan dari mereka, dan bahwa mereka
memahami cara memastikan lingkungan tempat mereka bekerja juga melindungi
data pasien
3: Perlindungan Data Pasien a: Pengelolaan aset Kerahasiaan yang tepat sangat penting untuk sistem telemedicine dan layanan
b: Identifikasi data kesehatan. Hasil ini bertujuan untuk memastikan organisasi memiliki proses untuk
c: Pengendalian akses mengidentifikasi dan mengelola tempat data disimpan dan bagaimana data
diproses
4: Implementasi Pertahanan a: Pengamanan aset Setelah mengetahui di mana data disimpan, organisasi perlu memastikan bahwa
Siber b: Pengamanan data data tersebut dilindungi dari aktivitas berbahaya, dan bahwa layanan dapat terus
c: Memastikan ketersediaan beroperasi sesuai kebutuhan
d: Pengembangan Software yang Aman
5: Deteksi dan Respon a: Deteksi aktivitas berbahaya Deteksi dan respon insiden merupakan komponen penting dari keamanan siber.
Terhadap Insiden b: Respon terhadap insiden Hasil ini mengharuskan organisasi untuk mendeteksi aktivitas berbahaya (malicious)
c: Pemulihan insiden dan didokumentasikan, diuji, serta rencana respon insiden
Kerangka Keamanan Siber
1. Identifikasi
2. Proteksi
3. Deteksi
4. Respon
5. Pemulihan
53
dan kewajiban privasi individu dan mengoreksi ketidakakuratan,
pemberitahuan pelanggaran. kepentingan kesehatan publik dan memiliki sebagian
• Kewajiban hukum bagi • Peran Komite Etik dan kontrol atas bagaimana data
penyedia: tanggung jawab Kebijakan Institusional: tersebut digunakan dan
penyedia layanan kesehatan, dalam membimbing dibagikan.
pengolah data, dan pihak lain penggunaan data pasien yang • Pemberdayaan pasien
yang terlibat dalam tepat, dan dalam • Interaksi antara pemilik data,
penanganan data pasien menyelesaikan konflik etis pengendali data dan
dan memastikan pemroses data
akuntabilitas.
Enkripsi data dan komunikasi yang aman
• Prinsip: mengubah data menjadi kode untuk mencegah akses yang
tidak sah
• Berbagai metode tersedia
• Protokol untuk menjamin integritas dan kerahasiaan data dalam proses
transmisi
56
Nasution, Indeks KAMI, Paparan BSSN (2021)
Nasution, Indeks KAMI, Paparan BSSN (2021)
Nasution, Indeks KAMI, Paparan BSSN (2021)
Nasution, Indeks KAMI, Paparan BSSN (2021)
Nasution, Indeks KAMI, Paparan BSSN (2021)
Nasution, Indeks KAMI, Paparan BSSN (2021)
Nasution, Indeks KAMI, Paparan BSSN (2021)
Komponen MIRM (Manajemen Informasi dan Rekam
Medik) di Standar Nasional Akreditasi Rumah Sakit
Implikasi UU PDP
Pejabat/Petugas Pelindungan Data Pribadi (Data Protection Officer)
• Pengendali Data Pribadi dan Prosesor Data Pribadi wajib menunjuk pejabat
atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi dengan
tugas paling sedikit (ps 53):
a. menginformasikan dan memberikan saran kepada Pengendali Data Pribadi atau Prosesor Data Pribadi
agar mematuhi ketentuan dalam Undang-Undang ini;
b. memantau dan memastikan kepatuhan terhadap Undang-Undang ini dan kebijakan Pengendali Data
Pribadi atau Prosesor Data Pribadi;
c. memberikan saran mengenai penilaian dampak Pelindungan Data Pribadi dan memantau kinerja
Pengendali Data Pribadi dan Prosesor Data Pribadi; dan
d. berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data
Pribadi.
• Ketentuan lebih lanjut mengenai pejabat atau petugas yang melaksanakan
fungsi Pelindungan Data Pribadi diatur dalam Peraturan Pemerintah (ps 54).
https://www.futurelearn.com/info/courses/protecting-health-data/0/steps/39633
Fungsi
1. Merencanakan program kerja
pelindungan data pribadi
2. Mengelola program kerja
pelindungan data pribadi
3. Menjaga keberlangsungan
pelindungan data pribadi
4. Merespon permintaan
informasi dan insiden kegalan
pelindungan data pribadi
68
Panduan kesiapan RS
terhadap kejadian
insiden TI
https://www.massgeneral.org/assets/mgh/pdf/emergency-medicine/downtime-toolkit.pdf
Tim penilaian dan respon downtime (Downtime Assessment
and Response Team)
Downtime Planning and Response Team (DART)
• A diverse team of subject matter experts from both IT departments and clinical teams that
Clinical Downtime Committee collaborate to improve planning for scheduled downtime events
Downtime Assessment and • This team exists to support IT Leadership during unplanned downtime events by conducting a
rapid assessment of the scope of an unplanned downtime event and developing a response to
Response Team (DART) mitigate operational impacts
The Initial Downtime • a smaller subgroup of DART to help identify when there is an issue that requires assessment and
response
Assessment Team(iDART)
Incident Management Team • a multi-disciplinary, hospital-wide response structure; used to respond to all hazards (e.g.,
downtimes, blizzards, utilities failure, mass casualty events, etc.)
(IMT)
• It is possible a significant unplanned downtime event could impact patient safety to the extent
Hospital Incident Command that the event requires activation of the hospital’s Emergency Operations Plan
Agenda briefing saat penanganan insiden (1)
Identify the response Update from IS subject Evaluate business Address patient safety
team matter experts impact concerns
Representatives from Understand the scope of the Incorporate patient safety
Information Systems issue representatives and patient
Representation from Discuss the cause of the safety data into response
Emergency Preparedness issue planning
Representatives from critical Timeframe for resolution
patient care and operational
areas
Appropriate level of
leadership involvement
Agenda briefing saat penanganan insiden (2)
77
Perspektif mutu pelayanan kesehatan
Digital atau ditinggal; regulasi yang semakin ketat, teknologi semakin cepat
melaju