Oleh D.R. Tirtasujana
Pernahkah Anda sadari bahwa ketika Anda (atau keluarga Anda) berobat ke sebuah rumah sakit, atau sarana pelayanan kesehatan lain seperti puskesmas, klinik, praktek dokter, dll, banyak data-data pribadi yang Anda berikan dan tersimpan di rumah sakit tersebut? Bukan hanya data diri, tetapi juga informasi terkait riwayat kesehatan atau penyakit (rekam medis / medical record) yang tentunya bersifat sangat pribadi dan Anda tidak ingin orang lain mengetahuinya.
Contoh di atas baru membahas data dan informasi tentang Anda atau keluarga Anda sebagai seorang pasien saja. Coba bayangkan juga bahwa sebuah sarana pelayanan kesehatan pasti menangani banyak sekali pasien. Dengan begitu, data dan informasi penting yang dikelola pun menjadi sangat banyak.
Pertanyaan berikutnya, “Apakah data dan informasi tersebut pasti aman?”
Aman di sini, termasuk juga dikelola dengan baik. Misal, disimpan dan dipelihara secara baik, dijaga dari kerusakan, mudah diakses ketika dibutuhkan, isinya tidak berubah, terbatas pada orang-orang tertentu saja yang boleh melihat, dan sebagainya. Jadi data-data tersebut terlindung dari berbagai risiko seperti rusak, hilang, bocor (atau bahkan dibocorkan), dll.
Jika Anda adalah bagian dari pengelola rumah sakit atau fasilitas kesehatan, maka sudah menjadi tanggung jawab Anda untuk memastikan hal ini. Secara peraturan, jika merujuk kepada Undang-Undang No. 29 Tahun 2004 Pasal 47 ayat 1 dan 2, maka rekam medis (sebagai salah satu informasi terpenting di dalam pelayanan kesehatan) harus disimpan dan dijaga kerahasiaannya oleh dokter atau dokter gigi dan pimpinan sarana pelayanan kesehatan. Apalagi, isi dari rekam medis adalah milik pasien, sebagai pelanggan dari sebuah sarana layanan kesehatan.
Apakah mudah memastikan keamanan informasi seperti ini? Tentu saja tidak.
Sarana pelayanan kesehatan yang berbeda mungkin memiliki fasilitas dan cara pengelolaan informasi yang berbeda. Ada yang masih mengandalkan cara manual (hard copy), ada juga yang memiliki fasilitas pengelolaan data secara elektronik (komputerisasi) dengan aplikasi/perangkat lunak tertentu.
Bagi yang memiliki fasilitas pengelolaan secara elektronik pun, ada yang sudah mengintegrasikan data untuk seluruh rumah sakit secara total, tetapi banyak pula yang memiliki aplikasi/perangkat lunak sendiri-sendiri di tiap unit sehingga belum terintegrasi.
Lalu, bagaimana cara mengelola keamanan informasi ini secara efektif?
Pada dasarnya, apapun bentuk pengelolaan informasinya, baik secara manual atau elektronik, prinsip keamanan infomasinya tetap sama. Agar pengamanan informasi bisa efektif, perlu dilakukan penerapan Sistem Manajemen Keamanan Informasi (Information Security Management System).
Untuk itu, Anda bisa merujuk ke standar yang secara umum digunakan sebagai pedoman untuk penerapan Sistem Manajemen Keamanan Informasi, yaitu ISO 27001:2013, yang berlaku secara internasional. Standar ini berisi persyaratan untuk menyusun, menerapkan, memelihara, dan meningkatkan Sistem Manajemen Keamanan Informasi yang bisa digunakan di jenis industri apapun.
Kabar baik bagi industri kesehatan, karena Organisasi Internasional untuk Standarisasi (ISO) telah memikirkan bagaimana caranya agar rumah sakit (atau fasilitas kesehatan lain) lebih efektif dalam menerapkan hal ini. Mengingat industri kesehatan memiliki karakteristik khusus, maka ISO menerbitkan pedoman yang lebih spesifik khusus untuk industri kesehatan, yaitu ISO 27799:2016 (Manajemen Keamanan Informasi di Bidang Kesehatan). Dengan demikian, sarana pelayanan kesehatan bisa lebih mudah memastikan keamanan informasi milik pasien.
Ada beberapa tujuan yang bisa dicapai dengan diterapkannya ISO 27799 ini, antara lain:
- Menjaga Confidentiality, Integrity, Availability (CIA)
Kerahasiaan, Integritas, dan Ketersediaan dari informasi adalah sangat penting. Dalam hal ini, termasuk keaslian, akuntabilitas, dan kemampuan audit (data/informasi bisa diaudit dengan mudah). Perlu sistem yang disusun dengan baik disertai dengan disiplin dalam implementasi yang konsisten, monitoring secara berkala, dan perbaikan/perkembangan terus-menerus untuk menjaga konsistensi dari penerapannya.
- Menjaga kerahasiaan informasi kesehatan pribadi dan integritas data
Jaminan adanya kerahasiaan informasi bisa membuat pasien atau keluarga pasien menjadi lebih nyaman dan menghilangkan kekhawatiran adanya kebocoran informasi rekam medis ke pihak-pihak yang tidak berkepentingan. Data yang terintegrasi dengan baik akan memudahkan bagi pihak yang berkepentingan untuk mengakses saat dibutuhkan.
- Membantu mencegah kesalahan dalam praktik medis yang mungkin terjadi akibat kegagalan menjaga integritas informasi kesehatan
Tanpa perlu diberikan contoh pun Anda sudah bisa membayangkan bahwa kesalahan dalam praktik medis bisa berakibat fatal. Sangat fatal. Terutama bagi pasien. Mengakses rekam medis yang salah bisa membuat tindakan medis yang diberikan ke pasien menjadi berbeda dari yang seharusnya. Penerapan ISO 27799 bisa melindungi sarana pelayanan kesehatan dari kejadian fatal semacam ini.
- Memastikan kesinambungan pelayanan medis tetap terjaga
Seorang pasien mungkin memiliki riwayat medis yang panjang. Keandalan dalam penyimpanan dan kemudahan akses informasi medis tersebut akan membantu membuat si pasien mendapatkan perawatan yang berkelanjutan sesuai dengan perkembangan kondisi kesehatannya, meskipun misalnya berganti-ganti dokter atau fasilitas kesehatan.
Melengkapi hal-hal yang telah dibahas di atas, terdapat beberapa manfaat juga yang bisa dipetik dari penerapan standar ini, antara lain:
- Memenuhi persyaratan undang-undang dan peraturan perlindungan data yang melindungi hak privasi pasien
- Menjaga akuntabilitas individu dan organisasi
- Mendukung penerapan manajemen risiko yang sistematis dalam organisasi kesehatan
- Mengurangi biaya operasional fasilitas kesehatan melalui penerapan teknologi
Sebagai tambahan informasi, tanpa harus Anda baca detil atau pahami sekarang, berikut ini adalah beberapa informasi kesehatan yang harus dilindungi menurut ISO 27799:
- Informasi kesehatan pribadi
- Pseudonymized data yang berasal dari informasi kesehatan pribadi
- Data statistik dan penelitian, termasuk data anonim yang diperoleh dari informasi kesehatan pribadi dengan menghapus data yang diidentifikasi secara pribadi.
- Pengetahuan klinis/medis (misalnya data tentang reaksi obat yang merugikan)
- Data tentang profesional kesehatan, staf, dan sukarelawan
- Informasi terkait surveilans kesehatan masyarakat
- Data jejak audit, yang dihasilkan oleh sistem informasi kesehatan, yang berisi informasi kesehatan pribadi atau data pseudonim yang berasal dari informasi kesehatan pribadi, atau yang berisi data tentang tindakan pengguna terkait informasi kesehatan pribadi.
- Data keamanan sistem untuk sistem informasi kesehatan, termasuk data kontrol akses dan data konfigurasi sistem terkait sistem keamanan lainnya, untuk sistem informasi kesehatan.
Nah, jika Anda sebagai pengelola sarana pelayanan kesehatan, Anda pasti sudah mulai terpikir risiko apa atau poin-poin mana yang di fasilitas Anda masih belum memadai dan perlu ditingkatkan terkait hal-hal yang telah kita bahas di atas. Tinggal sekarang Anda rencanakan kapan dan langkah apa yang perlu Anda lakukan selanjutnya setelah memahami pentingnya Sistem Manajemen Keamanan Informasi pada organisasi yang Anda kelola.
Bagi Anda sebagai pasien atau keluarga pasien, semoga menjadi tambahan pemahaman akan pentingnya menjaga data dan informasi Anda dengan aman di sebuah fasilitas layanan kesehatan. Jika kerahasiaan dan keamanan data adalah penting bagi Anda, hal ini bisa juga menjadi salah satu pertimbangan dalam memilih layanan kesehatan yang ingin Anda kunjungi.
Terakhir, sudah tahukah Anda fasilitas kesehatan mana saja yang telah menerapkan Standar Sistem Manajemen Keamanan Informasi seperti ini?