Pengelolaan keamanan dan

privasi RME

Anis Fuad
Pusat Kebijakan dan Manajemen Kesehatan
FK-KMK UGM
anisfuad@ugm.ac.id
@4n15fuad
 Outline

Perkembangan kesehatan digital terkini

Risiko dan tantangan implementasi digital di yankes

Upaya penjaminan

• Etik dan legal

• Teknis
• Organisasi

Mutu pelayanan kesehatan di era digital

Penutup

2
Perkembangan kesehatan
digital terkini

3
 Digitisasi – digitalisasi – transformasi digital

Digitization Digitalization Digital Transformation

the process of changing from
analog to digital form
process of employing digital
technologies and information to
transform business operations
customer-driven strategic business
transformation that requires cross-
cutting organizational change as
well as the implementation of
digital technologies.

https://www.forbes.com/sites/jasonbloomberg/2018/04/29/digitization-digitalization-and-digital-transformation-confuse-
them-at-your-peril/?sh=66c3d11b2f2c
Ketika sistem digital belum hadir……
Bertransformasi digital dengan memanfaatkan platform
digital
Adopsi sistem digital di rumah sakit
 Penyimpanan data dan aplikasi SIMRS

*Survei cepat PERSI 2-5 Maret 2022

 14

https://inventureknowledge.id/wp-content/uploads/2021/01/Marketing-Outlook-2021-Inventure.pdf
 Risiko dan tantangan
implementasi digital di
fasyankes

15
 Perekam Medis
Dokter Perawat dan Informasi
Kesehatan

Siapa sajakah
Ahli
pengguna Petugas Farmasi Ahli Radiologi .
Laboratorium
aplikasi
SIMRS/RME di
rumah sakit Petugas Manajemen
Anda? Pasien .
Keuangan . Rumah Sakit .

Tenaga Tenaga
Kesehatan Teknologi
lainnya. Informasi

16
Titik kerentanan dalam sistem digital di
fasilitas pelayanan kesehatan

Kim, Dong-won, Jin-young Choi, and Keun-hee Han. "Risk management-based security evaluation
model for telemedicine systems." BMC Medical Informatics and Decision Making 20.1 (2020): 1-14.
 Wilayah rentan keamanan dalam telemedicine

Kim, Dong-won, Jin-young Choi, and Keun-hee Han. "Risk management-based security evaluation
model for telemedicine systems." BMC Medical Informatics and Decision Making 20.1 (2020): 1-14.
 Unsur keamanan informasi

Das, S., and A. Mukhopadhyay. "Security and privacy challenges in telemedicine." CSI Commun 35 (2011): 20-2.
 Pelanggaran data dan kejahatan siber

Ancaman yang terus berkembang

Dampak Potensial: kerugian finansial bagi penyedia layanan kesehatan, tanggung jawab
hukum, kerusakan reputasi, dan bahaya pribadi bagi pasien.

Jenis Ancaman: serangan ransomware, skema phishing, ancaman dari dalam, dan perangkat
yang tidak terjamin.

Contoh Nyata sudah ada dengan berbagai derajat kerusakan

Tantangan dalam Pertahanan: taktik yang terus berkembang, kompleksitas dalam

mengamankan lingkungan TI kesehatan yang beragam.

20
Di Indonesia, tindakan peretasan ini pernah terjadi pada
Juni 2020 berupa peretasan data pasien Covid-19. Akun
bernama Database Shopping pada situs Raid Forums
mengklaim bahwa ia memiliki basis data berisi sekitar
230.000 data orang terkait Covid-19 di Indonesia. Basis
data tersebut berisi informasi yang cukup lengkap: dari
nama, nomor telepon, alamat, hasil tes PCR, hingga
lokasi rumah sakit tempat dirawat. 2
1
2018 American Medical Association
2020 HIMSS Cybersecurity Survey
2020 HIMSS Cybersecurity Survey
 Keamanan Informasi
sebagian besar organisasi
kesehatan (69%)
mengkhawatirkan

a. Pengelolaan risiko keamanan informasi,

• Meliputi kesiapan penerapan pengelolaan
risiko keamanan informasi sebagai dasar
penerapan strategi keamanan informasi.
b. Kerangka kerja keamanan informasi,
• Meliputi kerangka kerja (kebijakan dan
prosedur) pengelolaan keamanan informasi
dan strategi penerapannya.
c. Tata kelola keamanan informasi.
• Komitmen pucuk pimpinan, kesiapan bentuk
tata kelola keamanan informasi beserta
instansi/perusahaan/fungsi, serta tugas dan
tanggung jawab pengelola keamanan
informasi.

Buku Putih Keamanan Siber Sektor Kesehatan, BSSN

 Analisis terhadap 116 insiden digital di rumah
sakit di China:.
• Mayoritas (69.8%) terjadi di pagi hari;
• Lebih dari 50% menyebabkan gangguan dalam
sistem registrasi dan penagihan pembayaran
• Penyebab utama: kerusakan perangkat lunak,
kapasitas berlebihan (overcapacity) dan perangkat
keras gagal fungsi (malfunctioning hardware).
Kesimpulan:
• Kejadian downtime semakin sering seiring dengan
penerapan sistem elektronik.
Pelayanan kesehatan di China semakin • Identifikasi risiko dan assessment risiko merupakan
bergantung kepada sistem digital. Langkah penting dalam Tindakan pencegahan
Downtime pada sistem digital dapat • Langkah penting lain: rencana darurat (contingency
mendatangkan malapetaka dan bencana. plan)
• Perlu pelaporan insiden digital untuk mendorong
transparansi dan akuntabilitas.
Kelompok Akreditasi Komponen Manajemen Rekam Medis
dan Informasi Kesehatan (13 standar)
Standar MRMIK 1-2
1. Regulasi pelindungan data Standar MRMIK 3-4
2.1: -kerahasiaan, keamanan, integritas
data Manajemen Pengelolaan
-Hak akses data informasi dokumen
-Evaluasi kepatuhan thd kerahasiaan
2.2. upaya pelindungan data, monev dan
perbaikan
Standar MRMIK 5-12 Standar MRMIK 13
10. Regulasi pengisian dan pelepasan Rekam 13.1. pengelolaan downtime
Teknologi
informasi (termasuk hak pasien atas isi Medis
Informasi
informasi berupa ringkasan) pasien
11. Regulasi penyimpanan dan
pemusnahan RM
 Ancaman terhadap privasi

1 2 3 4
Sensitivitas Informasi Persetujuan dan Kontrol: Tantangan Teknologi: Keseimbangan:
Kesehatan: data mekanisme agar pemilik perkembangan/kemajua diperlukan
kesehatan sangat sensitif, data (termasuk pasien) n teknologi (teknologi keseimbangan antara
tidak hanya mencakup memiliki kontrol atas disruptif) mungkin berbagi data untuk
riwayat medis tetapi juga siapa yang melihat memperkenalkan tujuan medis yang sah
informasi pribadi dan informasi mereka dan kekhawatiran privasi dan melindungi privasi
finansial. apa yang digunakan baru. individu.
untuk tujuan tersebut.

30
 Kepatuhan terhadap regulasi

Kerangka Regulasi yang Kompleks: Organisasi kesehatan harus mematuhi

berbagai macam regulasi terkait platform digital (UU ITE, UU PDP, UU Kesehatan).
Biaya dan Kompleksitas Kepatuhan: biaya, waktu, dan kompleksitas dalam
menerapkan langkah-langkah untuk mematuhi regulasi.
Sanksi untuk Ketidakpatuhan: denda dan sanksi dari kegagalan mematuhi
regulasi.
Tantangan bagi Penyedia Pelayanan Kesehatan dengan Sumber Daya terbatas:
Biaya, SDM, insentif?
Masalah Interoperabilitas

31
Ps 4
(1)Data Pribadi terdiri atas:
a. Data Pribadi yang bersifat spesifik; dan
b. Data Pribadi yang bersifat umum

(2) Data Pribadi yang bersifat spesifik

sebagaimana dimaksud pada ayat (1) huruf a
meliputi:
c. data dan informasi kesehatan;
d. data biometrik;
e. data genetika;
f. catatan kejahatan;
g. data anak;
h. data keuangan pribadi; dan/atau
i. data lainnya sesuai dengan ketentuan
peraturan perundang- undangan.
35
36
Slide Kominfo dipresentasikan oleh Hendri Sasmita Yudha
38
39
Kesehatan merupakan salah satu Sektor IIV

40
41
42
 Apa yang terjadi di organisasi kesehatan setelah diundangkannya regulasi
pelindungan data pribadi?

• Memahami regulasi dan menetapkan siapa yang akan

bertanggung jawab dalam implementasi regulasi PDP
• Melaksanakan analisis kesenjangan, mengukur kepatuhan thd
PDP
• Menetapkan tahapan implementasi, audit dan review
• Meningkatkan kesadaran (awareness) mengenai PDP di
tingkat pimpinan sampai ke staf serta implikasinya ke dalam
pekerjaan dan rutinitas organisasi
• Mengantisipasi perubahan SOP dan cara kerja di organisasi
kesehatan terkait dengan pengelolaan data pribadi
• Memiliki pedoman tata kelola informasi, merevisinya jika
sudah memiliki kerangka disesuaikan dengan regulasi PDP

https://www.itgovernance.co.uk/healthcare/gdpr
https://nltimes.nl/2019/07/16/hague-hospital-fined-eu460000-protecting-patients-privacy
https://www.gdprregister.eu/news/hospital-receives-gdpr-fine/
 Insiden yang sering dilaporkan ke Komisi Pelindungan
Data di Serbia yang terkait dengan kesehatan

Pengungkapan data Pengungkapan data

Insiden pada dokumen
kesehatan (khususnya
kertas) di faskes
Pengelolaan sampah
seseorang (khususnya pribadi ke media utk
dokumen yang memuat
tokoh publik/selebriti) tujuan tertentu (politik,
data pribadi
tanpa persetujuan mempermalukan)

Kewenangan
Kegagalan melindungi Akses yg tidak berhak,
Profiling seseorang, polisi/penegak hukum
akses data dari individu berlebihan atau tidak
terutama dari app dalam mengungkap
yang tidak berhak proporsional
data pribadi kesehatan

Pengungkapan orientasi
seksual tanpa
persetujuan

Marovic, Branko, and Vasa Curcin. "Impact of the European General Data Protection Regulation (GDPR) on Health Data Management in a European Union Candidate Country: A Case Study
of Serbia." JMIR Medical informatics 8.4 (2020): e14604.
Upaya penjaminan

49
 Komponen ISO 27001
1. Information Security Policies (Kebijakan Keamanan Informasi)
2. Organization of Information Security (Keamanan Informasi
Perusahaan)
3. Human Resource Security (Keamanan Sumber Daya Manusia)
4. Asset Management (Manajemen Aset)
5. Acces Control (Kontrol Akses)
6. Cryptographic Technology (Teknologi Kriptografi)
7. Physical and Environmental Security (Keamanan Fisik dan
Lingkungan)
8. Operations Security (Keamanan Operasi)
9. Communications Security (Keamanan Komunikasi)
10. System Acquisition, Development, and Maintenance (Akuisisi,
Pengembangan, dan Pemeliharaan Sistem)
11. Supplier Relationship (Hubungan dengan Supplier)
12. Incident Management (Manajemen Insiden)
13. Business Continuity/Disaster Recovery (Manajemen Bisnis
Berkelanjutan)
14. Compliance (Kepatuhan)
50
 Kerangka Keamanan (FCDO, 2021)
High Level Outcome Subkomponen Outcome Overview
1: Tata Kelola Keamanan Siber a: Kerangka Kerja Tata Kelola Bagian ini adalah untuk memastikan organisasi memiliki proses yang mendukung
b: Dokumen kebijakan utama dan memelihara keamanan siber yang efektif. Meskipun ini adalah bagian pertama,
c: Individu yang bertanggung jawab atas hasilnya secara efektif mendukung bagian kerangka kerja lainnya.
keamanan siber
d: Kontak dengan otoritas yang tepat
e: Pengelolaan Penyedia Jasa
f: Kepatuhan dan privasi

2: Sumber Daya Manusia a: Pelatihan dan kesadaran Memastikan setiap orang yang menggunakan platform dan memproses data pasien
b: Pengamanan lingkungan kerja memahami perilaku apa yang diharapkan dari mereka, dan bahwa mereka
memahami cara memastikan lingkungan tempat mereka bekerja juga melindungi
data pasien

3: Perlindungan Data Pasien a: Pengelolaan aset Kerahasiaan yang tepat sangat penting untuk sistem telemedicine dan layanan
b: Identifikasi data kesehatan. Hasil ini bertujuan untuk memastikan organisasi memiliki proses untuk
c: Pengendalian akses mengidentifikasi dan mengelola tempat data disimpan dan bagaimana data
diproses

4: Implementasi Pertahanan a: Pengamanan aset Setelah mengetahui di mana data disimpan, organisasi perlu memastikan bahwa
Siber b: Pengamanan data data tersebut dilindungi dari aktivitas berbahaya, dan bahwa layanan dapat terus
c: Memastikan ketersediaan beroperasi sesuai kebutuhan
d: Pengembangan Software yang Aman

5: Deteksi dan Respon a: Deteksi aktivitas berbahaya Deteksi dan respon insiden merupakan komponen penting dari keamanan siber.
Terhadap Insiden b: Respon terhadap insiden Hasil ini mengharuskan organisasi untuk mendeteksi aktivitas berbahaya (malicious)
c: Pemulihan insiden dan didokumentasikan, diuji, serta rencana respon insiden
 Kerangka Keamanan Siber
1. Identifikasi
2. Proteksi
3. Deteksi
4. Respon
5. Pemulihan

Sumber: NIST (National Institute of Science and Technology)

 Kerangka etis dan Legal
Hukum yang ada
• UU PDP, UU Kesehatan, UU
ITE
• Ketentuan spesik: minimisasi
data, persyaratan enkripsi,
dan kewajiban
pemberitahuan pelanggaran.
• Kewajiban hukum bagi
penyedia: tanggung jawab
penyedia layanan kesehatan,
pengolah data, dan pihak lain
yang terlibat dalam
penanganan data pasien
Standar etis
• Prinsip Panduan: otonomi,
beneficence, non-
maleficence, dan keadilan.
• Dilema Etis: konflik antara
privasi individu dan
kepentingan kesehatan publik
• Peran Komite Etik dan
Kebijakan Institusional:
dalam membimbing
penggunaan data pasien yang
tepat, dan dalam
menyelesaikan konflik etis
dan memastikan
akuntabilitas.
Informed consent dan hak
pasien
• Informed consent sampai ke
tanda tangan elektronik
• Hak pasien untuk mengakses
informasi mereka,
53
mengoreksi ketidakakuratan,
dan memiliki sebagian
kontrol atas bagaimana data
tersebut digunakan dan
dibagikan.
• Pemberdayaan pasien
• Interaksi antara pemilik data,
pengendali data dan
pemroses data
 Enkripsi data dan komunikasi yang aman
• Prinsip: mengubah data menjadi kode untuk mencegah akses yang
tidak sah
• Berbagai metode tersedia
• Protokol untuk menjamin integritas dan kerahasiaan data dalam proses
transmisi

Pengendalian akses dan otentikasi

Pengendalian teknis•• Setiap individu diatur peran dan aksesnya
Mekanisme otentikasi (2FA, biometrik)
• Pemantauan dan pencatatan

Audit keamanan secara berkala

• Tujuan dan lingkup audit
• Prosedur: internal/eksternal, penetration testing, review kebijakan
keamana
• Frekuensi dan waktu: sesuai dengan regulasi/pedoman dari industry
• Hasil dan perbaikan berkelanjutan
55
 Kebijakan organisasi
Program pelatihan dan
kesadaran
Kebutuhan: risiko dan praktik
terbaik untuk semua anggota
organisasi
Muatan: mengenai ancaman, cyber
hygiene, regulasi, alat keamanan
Frekuensi
Mengukur keberhasilan
Kebijakan dan prosedur
keamanan
Penetapan kebijakan:peran,
tanggung jawab dan prosedur
pengamanan sistem/data di
organisasi
Isi dan lingkup: pengendalian
akses, enkripsi, penanganan
insiden, strategi pemulihan
Kepatuhan: konsistensi,
penegakkan dan audit reguler
Pembaruan dan revisi
Rencana tanggapan insiden
Menjadikan tanggap insiden
sebagai budaya
Komponen: identifikasi risiko,
kerentanan, insiden, eskalasi,
prosedur sampai pemulihan
Koordinasi dan kolaborasi:
pengguna, TI, hukum, humas,
pimpinan
Pengujian dan evaluasi
56
Nasution, Indeks KAMI, Paparan BSSN (2021)
Nasution, Indeks KAMI, Paparan BSSN (2021)
Nasution, Indeks KAMI, Paparan BSSN (2021)
Nasution, Indeks KAMI, Paparan BSSN (2021)
Nasution, Indeks KAMI, Paparan BSSN (2021)
Nasution, Indeks KAMI, Paparan BSSN (2021)
Nasution, Indeks KAMI, Paparan BSSN (2021)
Komponen MIRM (Manajemen Informasi dan Rekam
Medik) di Standar Nasional Akreditasi Rumah Sakit
 Implikasi UU PDP
Pejabat/Petugas Pelindungan Data Pribadi (Data Protection Officer)

• Pengendali Data Pribadi dan Prosesor Data Pribadi wajib menunjuk pejabat
atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi dengan
tugas paling sedikit (ps 53):
a. menginformasikan dan memberikan saran kepada Pengendali Data Pribadi atau Prosesor Data Pribadi
agar mematuhi ketentuan dalam Undang-Undang ini;
b. memantau dan memastikan kepatuhan terhadap Undang-Undang ini dan kebijakan Pengendali Data
Pribadi atau Prosesor Data Pribadi;
c. memberikan saran mengenai penilaian dampak Pelindungan Data Pribadi dan memantau kinerja
Pengendali Data Pribadi dan Prosesor Data Pribadi; dan
d. berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data
Pribadi.
• Ketentuan lebih lanjut mengenai pejabat atau petugas yang melaksanakan
fungsi Pelindungan Data Pribadi diatur dalam Peraturan Pemerintah (ps 54).
https://www.futurelearn.com/info/courses/protecting-health-data/0/steps/39633
 Fungsi
1. Merencanakan program kerja
pelindungan data pribadi
2. Mengelola program kerja
pelindungan data pribadi
3. Menjaga keberlangsungan
pelindungan data pribadi
4. Merespon permintaan
informasi dan insiden kegalan
pelindungan data pribadi

68
 Panduan kesiapan RS
terhadap kejadian
insiden TI

https://www.massgeneral.org/assets/mgh/pdf/emergency-medicine/downtime-toolkit.pdf
Tim penilaian dan respon downtime (Downtime Assessment
and Response Team)
 Downtime Planning and Response Team (DART)

• A diverse team of subject matter experts from both IT departments and clinical teams that
Clinical Downtime Committee collaborate to improve planning for scheduled downtime events

Downtime Assessment and • This team exists to support IT Leadership during unplanned downtime events by conducting a
rapid assessment of the scope of an unplanned downtime event and developing a response to
Response Team (DART) mitigate operational impacts

The Initial Downtime • a smaller subgroup of DART to help identify when there is an issue that requires assessment and
response
Assessment Team(iDART)
Incident Management Team • a multi-disciplinary, hospital-wide response structure; used to respond to all hazards (e.g.,
downtimes, blizzards, utilities failure, mass casualty events, etc.)
(IMT)
• It is possible a significant unplanned downtime event could impact patient safety to the extent
Hospital Incident Command that the event requires activation of the hospital’s Emergency Operations Plan
 Agenda briefing saat penanganan insiden (1)

Identify the response
team
Representatives from
Information Systems
Representation from
Emergency Preparedness
Representatives from critical
patient care and operational
areas
Appropriate level of
leadership involvement
Update from IS subject
matter experts
Understand the scope of the
issue
Discuss the cause of the
issue
Timeframe for resolution
Evaluate business Address patient safety
impact concerns
Incorporate patient safety
representatives and patient
safety data into response
planning
 Agenda briefing saat penanganan insiden (2)

Set response Communication Assign priority tasks to Establish time/place

objectives strategy appropriate for next briefing
individuals
Patient census and patient
flow
Staffing
Downtime tools (paper
forms, failsafe reports)
Planning ahead for
reconciliation and recovery
Mutu pelayanan kesehatan
di era digital

77
 Perspektif mutu pelayanan kesehatan
Memanfaatkan data
untuk peningkatan
mutu yankes
berkelanjutan
platform digital mendukung
program mutu berkelanjutan
yg efektif dan efisien melalui
ketersediaan data
Peran dan semakin
berkembangnya data
analytics
Perlu sistem keamanan yang
handal untuk menjamin
pengelolaan data tidak
mengabaikan privasi
Keseimbangan antara
keamanan dan
aksesibilitas data
Kebutuhan/kenyamanan vs
risiko keamanan
79
Pentingnya Risiko dan potensi
interoperabilitas teknologi disruptif
Kemampuan berbagai Potensi: AI, IOT, EMR/EHR,
sistem/perangkat utk saling Cloud, Blockchain dll
bertukar/komunikasi tanpa Risiko keamanan: kerentanan
kendala atas serangan siber, ancaman
Interoperabel dan aman bagi privasi
data pasien yang berpindah Strategi mitigasi
lintas platform/perangkat
Perlunya standar (protokol,
data, kematangan digital,
infrastruktur dan kepatuhan)
Interoperabilitas manusia
dan organisasi

Strategi keamanan yang
komprehensif
Holistik: etik, teknis, kebijakan: dari
enkripsi sampai dengan literasi
pengguna.
Kepatuhan terhadap regulasi
Penilaian dan manajemen risiko
Rekomendasi
Pemantauan dan
peningkatan berkelanjutan
Pemantauan secara real time
Audit keamanan berkala
Adaptif: budaya, peningkatan
berkelanjutan, adaptasi terhadap
ancaman dan teknologi baru, serta
praktik terbaik di industri
Melibatkan semua
pemangku kepentingan:
pemerintah, yankes, mitra
teknologi
Pemerintah: mengikuti persyaratan
hukum dan berpartisipasi dalam
inisiatif untuk peningkatan keamanan
siber bidang kesehatan
Penyelenggara pelayanan kesehatan:
koordinasi, komunikasi dan kerja sama
Mitra teknologi: inovasi, keahlian dan
solusi
80
Penutup: menuju masa depan pelayanan kesehatan berbasis
digital yang aman dan inovatif

Digital atau ditinggal; regulasi yang semakin ketat, teknologi semakin cepat
melaju

Platform digital menawarkan potensi tetapi juga risiko

Saatnya penyedia pelayanan kesehatan menjadi pemain inti dalam kemajuan

teknologi dengan menjalin kolaborasi dengan berbagai pemangku
kepentingan. Pada saat yang sama menguatkan kapasitas organisasi (kerangka
etikolegal, teknis dan kebijakan) untuk beradaptasi dan memanfaatkan sistem
digital dengan aman tanpa meninggalkan integritas dan kepercayaan yang
sudah dibangun. 81
Terima Kasih