Untuk Teguh.docx

BAB III PENGATURAN REKAM MEDIS ELEKTRONIK DI INDONESIA DAN AMERIKA Bab ini secara garis besar akan membahas mengenai kewajiban hukum perlindungan data pribadi pasien dalam bentuk informasi elektronik dalam suatu sistem elektronik yang diatur dalam peraturan perundang - undangan di Indonesia dan peraturan - peraturan tingkat federal dalam hukum Amerika Serikat. Adapun kewajiban perlindungan yang dibahas adalah mengenai aspek privasi, kerahasiaan, dan keamanannya. Oleh karena aspek privasi dan kerahasiaan merupakan hal yang sangat terkait dan sulit untuk dipisahkan, pembahasannya akan disatukan menjadi pembahasan privasi. A. Kewajiban Hukum dalam Peraturan Perundang - Undangan di Indonesia

Peraturan Perundang - Undangan di Indonesia dapat dikatakan belum ada yang mengatur secara khusus dan spesifik mengenai data pasien yang berupa informasi elektronik. Namun aspek - aspek pengaturannya dapat ditemukan dalam beberapa peraturan perundang undangan yang terkait dengan data pasien yang berupa informasi elektronik. Dalam penelitian ini peraturan perundang - undangan yang digunakan adalah Perlindungan dalam bentuk pemberian pertanggungjawaban disini tidak hanya terbatas pada faktor privasi atau terbebasnya data untuk terbuka dengan cara dan tujuan apapun tanpa persetujuan pemilik data saja, namun perlindungan data juga berarti pengamanan terhadap sistem elektronik dimana data disimpan dan digunakan untuk dapat berjalan sebagaimana mestinya. Dalam penelitian ini akan dibahas peraturan perundang - undangan dalam lingkup kesehatan serta peraturan perundang - undangan dalam lingkup sistem dan informasi elektronik, yang mengatur mengenai perlindungan data pribadi.

1. Undang - Undang Nomor 11 tahun 2008 dan Undang - Undang Nomor 19 tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE)

Dalam UU ITE, mengenai masalah privasi terhadap data pribadi pasien diatur dalam ketentuan Pasal 26 ayat (1) UU ITE, yang menyatakan kecuali ditentukan lain oleh Peraturan Perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan. Ayat (2) kemudian menyatakan setiap orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan UndangUndang ini. Penjelasan Pasal 26 Ayat (1) menerangkan bahwa dalam pemanfaatan Teknologi Informasi, perlindungan data pribadi merupakan salah satu bagian dari hak pribadi (privacy rights). Hak pribadi dijelaskan dalam bagian penjelasan pasal 26 mengandung pengertian sebagai berikut: a. Hak pribadi merupakan hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan. b. Hak pribadi merupakan hak untuk dapat berkomunikasi dengan Orang lain tanpa tindakan memata-matai. c. Hak pribadi merupakan hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang. Dalam hal ini, UU ITE sudah mengatur beberapa aspek perlindungan data pribadi yaitu mengenai persetujuan, dimana seseorang yang menggunakan data pribadi seseorang harus mendapatkan persetujuan dari pemilik data tersebut terlebih dahulu. Kemudian dalam perubahan UU ITE, terdapat tambahan pengaturan yang harus ditaati bagi penyelenggara sistem elektronik yang mengelola data pribadi, yaitu Setiap Penyelenggara Sistem Elektronik wajib menghapus Informasi Elektronik dan/atau Dokumen Elektronik yang tidak relevan yang berada di bawah kendalinya atas permintaan dari pemilik data berdasarkan suatu penetapan pengadilan. Selain itu, Setiap Penyelenggara Sistem Elektronik juga diwajibkan untuk menyediakan mekanisme penghapusan Informasi Elektronik dan/ atau Dokumen Elektronik yang sudah tidak relevan.1 Mengenai aspek keamanan, Pengaturan UU ITE dalam pasal 15 mewajibkan setiap penyelenggara sistem elektronik untuk menyelenggarakan Sistem Elektroniknya secara andal dan aman serta beroperasi sebagaimana mestinya. Andal maksudnya memiliki kebutuhan

1

Pasal 26 ayat (3) dan (4) Undang - Undang No. 19 Tahun 2016 tentang Perubahan atas Undang - Undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik

sesuai dengan penggunanya, aman dalam konteks sistem elektronik tersebut terlindungi secara fisik dan non fisik, serta beroperasi sebagaimana mestinya berarti Sistem Elektronik memiliki kemampuan sesuai dengan spesifikasinya. Kemudian bentuk konkrit dari kewajiban hukum dalam pasal 15 diperjelas dalam Pasal 16 ayat (1) UU ITE yang menyatakan bahwa suatu sistem elektronik yang diselenggarakan penyelenggara sistem elektronik harus minimal dapat menampilkan kembali Informasi Elektronik dan/atau Dokumen Elektronik secara utuh sesuai dengan masa retensi yang ditetapkan dengan Peraturan Perundang-undangan; dapat melindungi ketersediaan, keutuhan, keotentikan, kerahasiaan, dan keteraksesan Informasi Elektronik dalam Penyelenggaraan Sistem Elektronik tersebut; dapat beroperasi sesuai dengan prosedur atau petunjuk dalam Penyelenggaraan Sistem Elektronik tersebut; dilengkapi dengan prosedur atau petunjuk yang diumumkan dengan bahasa, informasi, atau simbol yang dapat dipahami oleh pihak yang bersangkutan dengan Penyelenggaraan Sistem Elektronik tersebut; Serta memiliki mekanisme yang berkelanjutan untuk menjaga kebaruan, kejelasan, dan kebertanggungjawaban prosedur atau petunjuk. Kewajiban hukum dalam hal privasi dan keamanan data juga secara tidak langsung dapat dilihat dalam pengaturan pasal 30 sampai 33 serta pasal 35 UU ITE yang mengatur mengenai perbuatan yang dilarang. Dalam hal ini UU ITE secara tegas melarang setiap orang untuk melakukan akses secara melawan hukum kepada data milik Orang lain melalui sistem elektronik untuk memperoleh informasi dengan cara menerobos sistem pengaman. Selain itu juga secara tegas UU ITE menyatakan bahwa penyadapan (interception) adalah termasuk perbuatan yang dilarang kecuali dilakukan oleh pihak yang memiliki kewenangan untuk itu dalam rangka upaya hukum. Kemudian, setiap orang juga dilarang dengan cara apapun untuk membuka informasi milik orang lain dengan tujuan apapun bahkan jika data yang sifatnya rahasia sampai dapat terbuka kepada publik. Lebih jauh, perlindungan terhadap data tidak hanya mengatur akses pengungkapan data saja, tetapi juga apabila data dapat dibuka dan diubah dengan cara apapun (manipulasi, perubahan, pernghilangan, pengrusakan) sehingga seolah-olah data tersebut menjadi data otentik. Terlepas dari perbuatan yang terkait secara langsung dengan akses tanpa hak kepada data yang bisa saja menyerang keamanan sistem elektronik, UU ITE juga menyatakan melarang setiap tindakan yang mengakibatkan sistem elektronik menjadi terganggu yang secara sistematis berarti juga dapat mengakibatkan terganggunya akses data bagi pemiliknya. a. Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggara Sistem dan Transaksi Elektronik (PP PSTE)

PP PSTE selain juga mengatur mengenai aspek privasi dan keamanan data dan sistem elektronik yang mengelola data, juga mengatur mengenai aspek - aspek yang terkait dengan keandalan dan dapat beroperasinya suatu sistem elektronik, yaitu mengenai pendaftaran sistem elektronik; Perangkat Keras yang digunakan dalam sistem elektronik; Perangkat Lunak; tenaga ahli yang akan mengelola sistem elektronik; mengenai tata kelola;

Mengenai sistem

pengamanan; Adanya kewajiban melakukan Sertifikasi Kelaikan Sistem Elektronik; dan pengawasan yang dilakukan stakeholder - stakeholder terkait. Dalam peraturan ini juga dikenalkan mengenai klasifikasi penyelenggara sistem elektronik. Penyelenggara suatu sistem elektronik dapat dibedakan menjadi penyelenggara sistem elektronik untuk pelayanan publik dan umum atau nonpelayanan publik. Terkait dengan aspek privasi, dalam pasal 15 ayat (1) PP PSTE diatur kewajiban perlindungan data pribadi oleh penyelenggara sistem elektronik, yaitu penyelenggara sistem elektronik wajib : a. Menjaga rahasia, keutuhan, dan ketersediaan Data Pribadi yang dikelolanya; b. Menjamin bahwa perolehan, penggunaan, dan pemanfaatan Data Pribadi berdasarkan persetujuan pemilik Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan c. Menjamin penggunaan atau pengungkapan data dilakukan berdasarkan persetujuan dari pemilik Data Pribadi tersebut dan sesuai dengan tujuan yang disampaikan kepada pemilik Data Pribadi pada saat perolehan data. Kemudian dalam ayat (2) pasal tersebut juga diatur kewajiban untuk melakukan notifikasi, dimana jika terjadi kegagalan dalam perlindungan rahasia Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut. Kemudian terkait dengan aspek keamanan, keamanan sistem elektronik tidak dapat dipisahkan dari aspek - aspek lainnya yang saling terkait dengan keamanan sistem elektronik tersebut sehingga juga akan dibahas. Terkait dengan pendaftaran, Penyelenggara Sistem Elektronik untuk pelayanan publik wajib melakukan pendaftaran sebelum sistem elektronik digunakan untuk publik. Sedangkan bagi nonpelayanan publik tidak wajib namun dapat melakukan pendaftaran.2 Dalam konteks tata kelola, penyelenggara sistem elektronik wajib menjamin setiap komponen dan keterpaduan seluruh Sistem Elektronik beroperasi sebagaimana mestinya. serta

2

Ibid, Pasal 5

wajib menjamin adanya:3 perjanjian tingkat layanan; perjanjian keamanan informasi terhadap jasa layanan Teknologi Informasi yang digunakan; dan keamanan informasi dan sarana komunikasi internal yang diselenggarakan. Kemudian penyelenggara sistem elektronik juga wajib untuk menerapkan manajemen risiko terhadap kerusakan atau kerugian yang ditimbulkan.4 Selain itu, Penyelenggara Sistem Elektronik juga wajib memiliki kebijakan tata kelola, prosedur kerja pengoperasian, dan mekanisme audit yang dilakukan berkala terhadap Sistem Elektronik. Dalam hal sistem elektronik yang digunakan untuk kepentingan publik, wajib menerapkan tata kelola yang baik dan akuntabel, yang minimal harus memenuhi persyaratan berikut: a. tersedianya prosedur atau petunjuk dalam Penyelenggaraan Sistem Elektronik yang didokumentasikan dan/atau diumumkan dengan bahasa, informasi, atau simbol yang dimengerti oleh pihak yang terkait dengan Penyelenggaraan Sistem Elektronik tersebut; b. adanya mekanisme yang berkelanjutan untuk menjaga kebaruan dan kejelasan prosedur pedoman pelaksanaan; c. adanya kelembagaan dan kelengkapan personel pendukung bagi pengoperasian Sistem Elektronik sebagaimana mestinya; d. adanya penerapan manajemen kinerja pada Sistem Elektronik yang diselenggarakannya untuk memastikan Sistem Elektronik beroperasi sebagaimana mestinya; dan e. adanya rencana menjaga keberlangsungan Penyelenggaraan Sistem Elektronik yang dikelolanya. f.

Serta pengaturan - pengaturan lainnya yang ditentukan

Instansi Pengawas dan

Pengatur Sektor terkait di industry masing - masing. Selain itu, bagi sistem elektronik yang ditujukan untuk pelayanan publik, wajib membuat rencana keberlangsungan kegiatan untuk menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya. Kemudian juga Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menempatkan pusat data dan pusat pemulihan bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan, dan penegakan kedaulatan negara terhadap data warga negaranya. 5

3

Pasal 12 ayat (1) dan (2) Peraturan Pemerintah No. 82 tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik 4 Ibid., pasal 13 5 Ibid, pasal 17 ayat (1) dan (2)

Dalam hal Perangkat Keras, Adapun saat ini dalam PP PSTE dijelaskan bahwa Penyelenggara Sistem Elektronik memiliki kewajiban untuk memastikan netralitas teknologi, memiliki kebebasan memilih dalam penggunaan Perangkat Keras, serta perangkat keras yang digunakan oleh Penyelenggara Sistem Elektronik harus : a. memenuhi aspek interkonektivitas dan kompatibilitas dengan sistem yang digunakan; Adapun Yang dimaksud dengan “interkonektivitas” adalah kemampuan untuk terhubung satu sama lain sehingga bisa berfungsi sebagaimana mestinya, yang dalam hal ini termasuk juga kemampuan interoperabilitas. b. memperoleh sertifikat kelaikan dari Menteri; c. mempunyai layanan dukungan teknis, pemeliharaan, dan purnajual dari penjual atau penyedia; d. memiliki referensi pendukung dari pengguna lainnya bahwa Perangkat Keras tersebut berfungsi sesuai dengan spesifikasinya; e. memiliki jaminan ketersediaan suku cadang paling sedikit 3 (tiga) tahun; f. memiliki jaminan kejelasan tentang kondisi kebaruan; dan g. memiliki jaminan bebas dari cacat produk. Adapun dalam hal perangkat lunak, Perangkat Lunak yang digunakan oleh Penyelenggara Sistem Elektronik untuk pelayanan publik wajib:6 a. terdaftar pada kementerian yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika; b. terjamin keamanan dan keandalan operasi sebagaimana mestinya; dan c. sesuai dengan ketentuan peraturan perundang-undangan. Setiap orang yang bekerja di lingkungan penyelenggaraan Sistem Elektronik berkewajiban mengamankan dan melindungi sarana dan prasarana Sistem Elektronik atau informasi yang disalurkan melalui Sistem Elektronik. Dalam hal ini, Penyelenggara Sistem Elektronik wajib menyediakan, mendidik, dan melatih personel yang bertugas dan bertanggung jawab terhadap pengamanan dan perlindungan sarana dan prasarana Sistem Elektronik.7

6 7

Ibid, pasal 7 Ibid., pasal 28

Mengenai Pengamanan sistem elektronik, penyelenggara sistem elektronik wajib melakukan pengamanan terhadap Sistem Elektronik.8 Penyelenggara Sistem Elektronik wajib menyediakan rekam jejak audit terhadap seluruh kegiatan Penyelenggaraan Sistem Elektronik. Rekam jejak audit digunakan untuk keperluan pengawasan, penegakan hukum, penyelesaian sengketa, verifikasi, pengujian, dan pemeriksaan lainnya. Kemudian untuk menentukan bahwa sistem elektronik ini laik, termasuk sudah memenuhi kewajiban - kewajiban yang diberikan dalam peraturan ini, dilakukan mekanisme sertifikasi, yaitu sertifikasi kelaikan sistem elektronik. Sertifikasi Kelaikan Sistem Elektronik adalah suatu rangkaian proses pemeriksaan dan pengujian yang dilakukan oleh institusi yang berwenang dan berkompeten untuk memastikan suatu Sistem Elektronik berfungsi sebagaimana mestinya. Untuk penyelenggara sistem elektronik untuk kepentingan publik wajib untuk melakukan sertifikasi ini. Kemudian jika sistem elektronik akan difungsikan untuk melakukan suatu transaksi elektronik juga terdapat sertifikasi yang dinamakan sertifikasi keandalan, sama seperti sertifikasi kelaikan elektronik, untuk penyelenggara sistem elektrronik untuk kepentingan publik yang melakukan transaksi elektronik wajib mendapatkan sertifikat keandalan ini.

b. Peraturan Menteri Komunikasi Dan Informatika (PERMEN) Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik Berdasarkan pemberian kewenangan dari PP PSTE (pada pasal 15) kepada menteri terkait pembuatan peraturan perundang - undangan yang menyangkut mengenai perlindungan data pribadi secara lebih detail Kementerian KOMINFO kemudian menerbitkan Peraturan Menteri Komunikasi Dan Informatika (PERMENKOMINFO) Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik. Pengertian Data pribadi diatur dalam peraturan ini adalah setiap keterangan yang benar dan nyata yang melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.9 Dalam peraturan ini menganut aspek privasi

8 9

pasal 19 Peraturan Pemerintah No. 82 tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik PERMENKOMINFO Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik

sekaligus juga keamanan. Adapun dijelaskan bahwa Perlindungan data pribadi harus sesuai dengan asas - asas perlindungan data pribadi yang baik, yang terdiri dari:10 a. penghormatan terhadap Data Pribadi sebagai privasi; b. Data Pribadi bersifat rahasia sesuai Persetujuan dan/atau berdasarkan ketentuan peraturan perundang-undangan; c. berdasarkan Persetujuan; dimana Penyelenggara Sistem Elektronik wajib menyediakan formulir persetujuan dalam Bahasa Indonesia untuk meminta Persetujuan dari Pemilik Data Pribadi yang dimaksud.11 d. relevansi dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, dan penyebarluasan; e. kelaikan Sistem Elektronik yang digunakan; f. iktikad baik untuk segera memberitahukan secara tertulis kepada Pemilik Data Pribadi atas setiap kegagalan perlindungan Data Pribadi; g. ketersediaan aturan internal pengelolaan perlindungan Data Pribadi; h. tanggung jawab atas Data Pribadi yang berada dalam penguasaan Pengguna; i. kemudahan akses dan koreksi terhadap Data Pribadi oleh Pemilik Data Pribadi; j. keutuhan, akurasi, dan keabsahan serta kemutakhiran Data Pribadi. Berdasarkan asas - asas tersebut, kemudian melahirkan adanya hak dan kewajiban perlindungan data pribadi dalam setiap transaksi elektronik yang dilakukan para pihak yang terdiri dari para pihak seperti pemilik data pribadi, pengguna, serta penyelenggara sistem elektronik. Pemilik Data Pribadi adalah individu yang padanya melekat Data Perseorangan Tertentu pada data pribadi. Sedangkan Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain. Kemudian Pengguna Sistem Elektronik yang selanjutnya disebut Pengguna adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang memanfaatkan barang, jasa, fasilitas, atau informasi yang disediakan oleh Penyelenggara Sistem Elektronik.

10

Pasal 2 ayat (2) PERMENKOMINFO Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik 11 Ibid., Pasal 6

Adapun dalam pengaturan ini dijelaskan Pemilik Data Pribadi berhak: a. atas kerahasiaan Data Pribadinya; b. mengajukan pengaduan dalam rangka penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadinya oleh Penyelenggara Sistem Elektronik kepada Menteri; c. mendapatkan akses atau kesempatan untuk mengubah atau memperbarui Data Pribadinya tanpa menganggu sistem pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; d. mendapatkan akses atau kesempatan untuk memperoleh historis Data Pribadinya yang pernah diserahkan kepada Penyelenggara Sistem Elektronik sepanjang masih sesuai dengan ketentuan peraturan perundang-undangan; dan e. meminta pemusnahan Data Perseorangan Tertentu miliknya dalam Sistem Elektronik yang dikelola oleh Penyelenggara Sistem Elektronik, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan. Terkait dengan hak dari pemilik data pribadi tersebut, maka bagi pengguna sistem elektronik serta penyelenggara sistem elektronik harus melakukan kewajiban - kewajiban yang telah ditetapkan. Adapun kewajiban bagi pengguna antara lain :12 a. menjaga kerahasiaan Data Pribadi yang diperoleh, dikumpulkan, diolah, dan dianalisisnya; b. menggunakan Data Pribadi sesuai dengan kebutuhan Pengguna saja; c. melindungi Data Pribadi beserta dokumen yang memuat Data Pribadi tersebut dari tindakan penyalahgunaan; dan d. bertanggung jawab atas Data Pribadi yang terdapat dalam penguasaannya, baik penguasaan secara organisasi yang menjadi kewenangannya maupun perorangan, jika terjadi tindakan penyalahgunaan. Sedangkan penyelenggara sistem elektronik berkewajiban untuk:13 a. melakukan sertifikasi Sistem Elektronik yang dikelolanya sesuai dengan ketentuan peraturan perundang-undangan;

12

Ibid., Pasal 27 Ibid., Pasal 28

13

b. menjaga kebenaran, keabsahan, kerahasiaan, keakuratan dan relevansi serta kesesuaian dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan Data Pribadi; c. memberitahukan secara tertulis kepada Pemilik Data Pribadi jika terjadi kegagalan perlindungan rahasia Data Pribadi dalam Sistem Elektronik yang dikelolanya, dengan ketentuan pemberitahuan sebagai berikut: 1. harus disertai alasan atau penyebab terjadinya kegagalan perlindungan rahasia Data Pribadi; 2. dapat dilakukan secara elektronik jika Pemilik Data Pribadi telah memberikan Persetujuan untuk itu yang dinyatakan pada saat dilakukan perolehan dan pengumpulan Data Pribadinya; 3. harus dipastikan telah diterima oleh Pemilik Data Pribadi jika kegagalan tersebut mengandung potensi kerugian bagi yang bersangkutan; dan 4. pemberitahuan tertulis dikirimkan kepada Pemilik Data Pribadi paling lambat 14 (empat belas) hari sejak diketahui adanya kegagalan tersebut; d. memiliki aturan internal terkait perlindungan Data Pribadi yang sesuai dengan ketentuan peraturan perundang-undangan; hal ini dilakukan sebagai bentuk tindakan pencegahan untuk menghindari terjadinya kegagalan dalam perlindungan Data Pribadi yang dikelolanya.

14

Penyusunan aturan internal harus mempertimbangkan aspek

penerapan teknologi, sumber daya manusia, metode, dan biaya serta mengacu pada ketentuan peraturan perundang-undangan terkait. 15 Terkait dengan aspek sumber daya manusia Tindakan pencegahan lainnya untuk menghindari terjadinya kegagalan dalam perlindungan Data Pribadi yang dikelolanya harus dilakukan oleh setiap Penyelenggara Sistem Elektronik, paling sedikit berupa kegiatan:16 meningkatkan kesadaran sumber daya manusia di lingkungannya untuk memberikan perlindungan Data Pribadi dalam Sistem Elektronik yang dikelolanya; dan mengadakan pelatihan pencegahan kegagalan perlindungan Data Pribadi dalam Sistem Elektronik yang dikelolanya bagi sumber daya manusia di lingkungannya.

14

Ibid., Pasal 5 ayat (2) Ibid., Pasal 5 ayat (3) 16 Ibid., Pasal 5 ayat (4) 15

e. menyediakan rekam jejak audit terhadap seluruh kegiatan penyelenggaraan Sistem Elektronik yang dikelolanya; f. memberikan opsi kepada Pemilik Data Pribadi mengenai Data Pribadi yang dikelolanya dapat/atau tidak dapat digunakan dan/atau ditampilkan oleh/pada pihak ketiga atas Persetujuan sepanjang masih terkait dengan tujuan perolehan dan pengumpulan Data Pribadi; g. memberikan akses atau kesempatan kepada Pemilik Data Pribadi untuk mengubah atau memperbarui Data Pribadinya tanpa menganggu sistem pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; h. memusnahkan Data Pribadi sesuai dengan ketentuan dalam Peraturan Menteri ini atau ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing Instansi Pengawas dan Pengatur Sektor untuk itu; dan i. menyediakan narahubung (contact person) yang mudah dihubungi oleh Pemilik Data Pribadi terkait pengelolaan Data Pribadinya. Adapun perlindungan data pribadi dalam Sistem Elektronik mencakup perlindungan atau pembatasan dalam aktivitas perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, dan penyebarluasan.17 Dalam setiap aktivitas - aktivitas tersebut, haruslah memenuhi asas - asas perlindungan data yang baik serta hak dan kewajiban para pihak terkait. Pengaturan perlindungan ini, secara detail adalah sebagai berikut: 1. Dalam aktivitas Perolehan dan pengumpulan Perolehan dan pengumpulan Data Pribadi oleh Penyelenggara Sistem Elektronik harus dibatasi pada informasi yang relevan dan sesuai dengan tujuannya serta harus dilakukan secara akurat. Instansi Pengawas dan Pengawas Sektor dalam hal ini dapat menentukan informasi yang relevan dan sesuai dengan tujuannya.18 Perolehan dan pengumpulan Data Pribadi oleh Penyelenggara Sistem Elektronik wajib dilakukan berdasarkan Persetujuan atau berdasarkan ketentuan peraturan perundang-undangan. Persetujuan tersebut dapat memberikan pernyataan Data Perseorangan Tertentu pemilik data pribadi bersifat rahasia. Apabila pernyataan tersebut tidak ada, Dalam hal persetujuan perolehan dan pengumpulan tersebut tidak termasuk

17 18

Ibid., Pasal 2 ayat (1) Ibid., Pasal 7 ayat (1) dan (2)

Persetujuan atas pengungkapan kerahasiaan Data Pribadi maka: setiap Orang yang melakukan perolehan dan pengumpulan Data Pribadi dan Penyelenggara Sistem Elektronik harus menjaga kerahasiaan Data Pribadi tersebut. Hal ini juga berlaku terhadap Data Pribadi yang dinyatakan rahasia sesuai dengan ketentuan peraturan perundang-undangan.19 Data Pribadi yang diperoleh dan dikumpulkan secara tidak langsung harus diverifikasi .20 Data Pribadi yang diperoleh dan dikumpulkan secara langsung harus diverifikasi kebenarannya kepada pemilik data pribadi. Sedangkan yang diperoleh secara tidak langsung harus diverifikasi berdasarkan hasil olahan berbagai sumber data. Sumber data tersebut harus memiliki dasar hukum yang sah.21 Penyelenggara Sistem Elektronik juga harus menyediakan pilihan dalam Sistem Elektronik untuk Pemilik Data Pribadi, yaitu dalam hal: a. kerahasiaan atau ketidakrahasiaan Data Pribadi. Pilihan untuk Pemilik Data Pribadi terhadap kerahasiaan atau ketidakrahasiaan tidak berlaku jika peraturan perundang-undangan telah secara tegas menyatakan Data Pribadi yang secara khusus untuk beberapa elemennya dinyatakan bersifat rahasia.22 b. perubahan, penambahan, atau pembaruan Data Pribadi.23 Dalam sistem elektronik harus terdapat pilihan bagi pemilik data pribadi untuk melakukan perubahan, penambahan, atau pembaruan Data Pribadi.24 Kemudian Sistem Elektronik yang digunakan untuk menampung perolehan dan pengumpulan Data Pribadi harus:25 a. memiliki kemampuan interoperabilitas dan kompatibilitas. Interoperabilitas merupakan kemampuan Sistem Elektronik yang berbeda untuk dapat bekerja secara terpadu. Sedangkan Kompatibilitas merupakan kesesuaian Sistem Elektronik yang satu dengan Sistem Elektronik yang lainnya. Serta; b. menggunakan perangkat lunak (software) yang legal. 2. pengolahan dan penganalisisan Data Pribadi hanya dapat diolah dan dianalisis sesuai kebutuhan Penyelenggara Sistem Elektronik yang telah dinyatakan secara jelas saat memperoleh dan mengumpulkannya.26 Data

19

Ibid., Pasal 9 ayat (2), (3), (4) Ibid., Pasal 9 ayat (1) 21 Ibid., Pasal 10 ayat (1), (2), (3) 22 Ibid., Pasal 7 ayat (3) 23 Ibid., Pasal 8 ayat (1) dan (2) 24 Ibid., Pasal 7 ayat (4) 25 Ibid., Paal 11 26 Ibid., Pasal 12 ayat (1), dan (2) 20

Pribadi yang diolah dan dianalisis harus Data Pribadi yang telah diverifikasi keakuratannya. 27 Pengolahan dan penganalisisan Data Pribadi dilakukan berdasarkan Persetujuan. Hal ini tidak berlaku jika Data Pribadi yang diolah dan dianalisis tersebut berasal dari Data Pribadi yang telah ditampilkan atau diumumkan secara terbuka oleh Sistem Elektronik untuk pelayanan publik.28 3. Penyimpanan Data Pribadi yang disimpan dalam Sistem Elektronik harus Data Pribadi yang telah diverifikasi keakuratannya.29 Penyimpanan Data Pribadi dalam Sistem Elektronik harus dilakukan sesuai dengan ketentuan mengenai prosedur dan sarana pengamanan Sistem Elektronik.30 Kemudian juga terdapat kewajiban dimana bentuk data yang tersimpan haruslah yang sudah terenkripsi.

31

Data Pribadi wajib disimpan paling singkat 5 (lima) tahun, atau

sesuai dengan ketentuan peraturan perundang-undangan yang mengatur kewajiban jangka waktu penyimpanan Data Pribadi pada masing-masing Instansi Pengawas dan Pengatur Sektor.32 Dalam keadaan Pemilik Data Pribadi tidak lagi menjadi Pengguna, Penyelenggara Sistem Elektronik wajib menyimpan Data Pribadi tersebut sesuai batas waktu sebagaimana dimaksud terhitung sejak tanggal terakhir Pemilik Data Pribadi menjadi Pengguna.33 Jika waktu penyimpanan Data Pribadi telah melebihi batas waktu sebagaimana dimaksud, Data Pribadi dalam Sistem Elektronik dapat dihapuskan kecuali Data Pribadi tersebut masih akan dipergunakan atau dimanfaatkan sesuai dengan tujuan awal perolehan dan pengumpulannya. Jika Pemilik Data Pribadi meminta penghapusan Data Perseorangan Tertentu miliknya, permintaan penghapusan tersebut dilakukan sesuai dengan ketentuan peraturan perundang-undangan.34 Dalam hal penyelenggara sistem elektronik adalah untuk kepentingan publik, pusat data35 (data center) dan pusat pemulihan bencana36 (disaster recovery center) Penyelenggara

27

Ibid., Pasal 14 Ibid., Pasal 13 29 Ibid., Pasal 15 ayat (1) 30 Ibid., Pasal 18 ayat (1) 31 Ibid., Pasal 15 ayat (2) 32 Ibid., Pasal 15 ayat (3) 33 Ibid., Pasal 16 34 Ibid., Pasal 19 dan pasal 20 35 Yang dimaksud dengan pusat data adalah suatu fasilitas yang digunakan untuk menempatkan Sistem Elektronik dan komponen terkaitnya untuk keperluan penempatan, penyimpanan, dan pengolahan data. 36 Pusat pemulihan bencana (disaster recovery center) merupakan suatu fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi-fungsi penting Sistem Elektronik yang terganggu atau rusak akibat bencana yang disebabkan oleh alam dan/atau manusia. 28

Sistem Elektronik yang digunakan untuk proses perlindungan Data Pribadi wajib ditempatkan dalam wilayah negara Republik Indonesia.37 4. Dalam aktivitas Penampilan, pengumuman, pengiriman, serta penyebarluasan Menampilkan, mengumumkan, mengirimkan, menyebarluaskan, dan/atau membuka akses Data Pribadi dalam Sistem Elektronik antar Penyelenggara Sistem Elektronik, antar Penyelenggara Sistem Elektronik dan Pengguna, atau antar Pengguna. hanya dapat dilakukan:38 a. atas Persetujuan kecuali ditentukan lain oleh ketentuan peraturan perundangundangan; dimana persetujuan yang dimaksud harus sesuai dengan tujuan perolehan, pengumpulan, pengolahan, dan/atau penganalisisan Data Pribadi.39 dan b. setelah diverifikasi keakuratan dan kesesuaian dengan tujuan perolehan dan pengumpulan Data Pribadi tersebut. Mengenai pengiriman Data Pribadi yang dikelola oleh Penyelenggara Sistem Elektronik pada instansi pemerintah dan pemerintahan daerah serta masyarakat atau swasta yang berdomisili di dalam wilayah negara Republik Indonesia ke luar wilayah negara Republik Indonesia harus:40 a. berkoordinasi dengan Menteri atau pejabat/lembaga yang diberi wewenang untuk itu. Pelaksanaan koordinasi berupa: 1) melaporkan rencana pelaksanaan pengiriman Data Pribadi, paling sedikit

memuat nama jelas negara tujuan, nama jelas subjek

penerima, tanggal pelaksanaan,dan alasan/tujuan pengiriman; 2) meminta advokasi, jika diperlukan; dan 3) melaporkan hasil pelaksanaan kegiatan. b. menerapkan ketentuan peraturan perundang-undangan mengenai pertukaran Data Pribadi lintas batas negara. Untuk keperluan proses penegakan hukum, Penyelenggara Sistem Elektronik wajib memberikan Data Pribadi yang yang relevan dan sesuai dengan kebutuhan penegakan hukum

37

Ibid., pasal 17 Ibid., Pasal 21 ayat (1) 39 Pasal 24 ayat (1) dan (2) 40 Pasal 22 ayat (1) 38

Yang terdapat dalam Sistem Elektronik atau Data Pribadi yang dihasilkan oleh Sistem Elektronik atas permintaan yang sah dari aparat penegak hukum berdasarkan ketentuan peraturan perundang-undangan.41 5. Terkait dengan Pemusnahan Pemusnahan Data Pribadi dalam Sistem Elektronik hanya dapat dilakukan jika:42 a. telah melewati ketentuan jangka waktu penyimpanan Data Pribadi dalam Sistem Elektronik berdasarkan Peraturan Menteri ini atau sesuai dengan ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing Instansi Pengawas dan Pengatur Sektor untuk itu; atau b. atas permintaan Pemilik Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan. Pemusnahan harus menghilangkan sebagian atau keseluruhan dokumen terkait Data Pribadi, termasuk yang elektronik maupun nonelektronik yang dikelola oleh Penyelenggara Sistem Elektronik dan/atau Pengguna sehingga Data Pribadi tersebut tidak dapat ditampilkan kembali dalam Sistem Elektronik kecuali Pemilik Data Pribadi memberikan Data Pribadinya yang baru. Penghilangan sebagian atau keseluruhan berkas dilakukan berdasarkan Persetujuan atau sesuai dengan ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing sektor untuk itu.43

c. PERMENKOMINFO Nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi PP PSTE Pasal 20 ayat (2), menyatakan bahwa Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian. Kemudian ketentuan ayat (4) menjelaskan bahwa mengenai ketentuan dalam ayat (2) tersebut akan dibuat peraturan lebih lanjut oleh menteri, dan akhirnya diwujudkan dalam peraturan tentang sistem manajemen pengamanan informasi ini. Peraturan ini mengatur mengenai kewajiban bagi penyelenggara sistem elektronik untuk pelayanan publik untuk menerapkan suatu sistem pengamanan. Adapun kegiatan -

41

Pasal 23 ayat (1) dan (2) Pasal 25 ayat (1) 43 Pasal 25 ayat (2) dan (3) 42

kegiatan yang termasuk ke dalam lingkup pelayanan publik adalah kegiatan atau rangkaian kegiatan dalam rangka pemenuhan kebutuhan pelayanan sesuai dengan peraturan perundangundangan bagi setiap warga negara dan penduduk atas barang, jasa, dan/atau pelayanan administratif yang disediakan oleh penyelenggara pelayanan publik.44 Adapun pihak - pihak yang dapat dikatakan sebagai penyelenggara pelayanan publik antara lain:45 a. institusi penyelenggara negara yang terdiri dari lembaga negara dan/atau lembaga pemerintahan dan/atau Satuan Kerja Penyelenggara di lingkungannya; b. korporasi berupa Badan Usaha Milik Negara dan/atau Badan Usaha Milik Daerah dan/atau Satuan Kerja Penyelenggara di lingkungannya; c. lembaga independen yang dibentuk berdasarkan Undang-Undang dan/atau Satuan Kerja Penyelenggara di lingkungannya; atau d. badan hukum lain yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara. Peraturan ini mengatur mengenai penerapan Sistem Manajemen Pengamanan Informasi berdasarkan asas Risiko. Berdasarkan asas resiko tersebut Sistem elektronik dalam lingkup pelayanan publik, terkait penggunaannya dapat dibedakan menjadi Sistem Elektronik strategis, Sistem Elektronik tinggi, serta Sistem Elektronik rendah. Sistem elektronik strategis adalah Sistem Elektronik yang berdampak serius terhadap kepentingan umum, Pelayanan Publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara. Sistem elektronik tinggi yaitu Sistem Elektronik yang berdampak terbatas pada kepentingan sektor dan/atau daerah tertentu. Sedangkan sistem elektronik rendah adalah sistem elektronik yang tidak termasuk kedalam kedua jenis sistem tersebut. Adapun penentuan suatu sistem elektronik termasuk dalam kategori mana, ditentukan berdasarkan penilaian sendiri, berdasarkan indikator - indikator yang ditentukan berdasarkan lampiran Formulir Pernyataan Kategori Sistem Elektronik dalam PERMENKOMINFO Nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi yang dapat dilihat dalam lampiran penelitian ini, yaitu antara lain : 1. Nilai investasi sistem elektronik yang terpasang ([A] Lebih dari Rp.30 Miliar, [B] Lebih dari Rp.3 Miliar s/d Rp.30 Miliar, [C] Kurang dari Rp.3 Miliar)

44 45

Pasal 1 angka 4 PERMENKOMINFO Nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi Ibid, pasal 3

2. Total anggaran operasional tahunan yang dialokasikan untuk pengelolaan Sistem Elektronik ([A] Lebih dari Rp.10 Miliar, [B] Lebih dari Rp.1 Miliar s/d Rp.10 Miliar, [C] Kurang dari Rp.1 Miliar") 3. Memiliki kewajiban kepatuhan terhadap Peraturan atau Standar tertentu ([A] Peraturan atau Standar nasional dan internasional, [B] Peraturan atau Standar nasional, [C] Tidak ada Peraturan khusus) 4. Menggunakan algoritma khusus untuk keamanan informasi dalam Sistem Elektronik ([A] Algoritma khusus yang digunakan Negara, [B] Algoritma standar publik, [C] Tidak ada algoritma khusus) 5. Jumlah pengguna Sistem Elektronik ([A] Lebih dari 5.000 pengguna, [B] 1.000 sampai dengan 5.000 pengguna, [C] Kurang dari 1.000 pengguna) 6. Data pribadi yang dikelola Sistem Elektronik ([A] Data pribadi yang memiliki hubungan dengan Data Pribadi lainnya, [B] Data pribadi yang bersifat individu dan/atau data pribadi yang terkait dengan kepemilikan badan usaha, [C] Tidak ada data pribadi) 7. Tingkat klasifikasi/kekritisan Data yang ada dalam Sistem Elektronik, relatif terhadap ancaman upaya penyerangan atau penerobosan keamanan informasi ([A] Sangat Rahasia, [B] Rahasia dan/ atau Terbatas, [C] Biasa) 8. Tingkat kekritisan proses yang ada dalam Sistem Elektronik, relatif terhadap ancaman upaya penyerangan atau penerobosan keamanan informasi ([A] Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak langsung pada layanan publik, [B] Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak tidak langsung, [C] Proses yang tidak berdampak bagi kepentingan orang banyak) 9. Dampak dari kegagalan Sistem Elektronik ([A] Tidak tersedianya layanan publik berskala nasional atau membahayakan pertahanan keamanan negara, [B] Tidak tersedianya layanan publik atau proses penyelenggaraan negara dalam 1 provinsi atau lebih, [C] Tidak tersedianya layanan publik atau proses penyelenggaraan negara dalam 1 kabupaten/kota atau lebih) 10. Potensi kerugian atau dampak negatif dari insiden ditembusnya keamanan informasi Sistem Elektronik (sabotase, terorisme) ([A] Menimbulkan korban jiwa, [B] Terbatas

pada kerugian finansial, [C] Mengakibatkan gangguan operasional sementara (tidak membahayakan dan merugikan finansial)) Kemudian dari penilaian tersebut akan didapatkan hasil yang menyatakan apakah sistem elektronik yang dilakukan penilaian tersebut adalah sistem elektronik strategis, tinggi, atau rendah. Jika sistem elektroniknya adalah kategori sistem elektronik strategis, maka harus menerapkan standar SNI ISO/IEC 27001 dan ketentuan pengamanan yang ditetapkan oleh Instansi Pengawas dan Pengatur Sektornya. Untuk Sistem Elektronik tinggi harus menerapkan standar SNI ISO/IEC 27001. Kemudian untuk sistem elektronik rendah harus menerapkan pedoman Indeks Keamanan Informasi (Indeks KAMI). Mengenai tenaga - tenaga atau sumber daya manusia yang bertanggung jawab langsung dengan keberlangsungan sistem elektronik, dapat menggunakan Tenaga Ahli internal dan/atau Tenaga Ahli eksternal . Tenaga ahli yang digunakan oleh Penyelenggara Sistem Elektronik harus memiliki kompetensi di bidang Sistem Elektronik atau Teknologi Informasi. wajib memiliki sertifikat keahlian. Tenaga ahli yang dimaksud disini adalah tenaga yang memiliki pengetahuan dan keterampilan khusus dalam bidang Sistem Elektronik yang dapat dipertanggungjawabkan secara akademis maupun praktis. Penyelenggaraan Sistem Elektronik yang bersifat strategis harus menggunakan tenaga ahli berkewarganegaraan Indonesia. Dalam hal belum terdapat tenaga ahli berkewarganegaraan Indonesia, Penyelenggara Sistem Elektronik dapat menggunakan tenaga ahli asing.46 Penyelenggara Sistem Elektronik harus mengajukan permohonan kepada Direktur Jenderal paling lambat 14 (empat belas) hari kerja sebelum perjanjian kerja ditandatangani. Permohonan juga harus dilengkapi dengan dokumen sebagai berikut: a. manajemen risiko terkait penggunaan Tenaga Ahli asing; dan b. biodata Tenaga Ahli asing yang paling sedikit memuat pengalaman kerja. Kemudian Direktur Jenderal menetapkan Tenaga Ahli asing paling lambat 14 (empat belas) hari kerja setelah permohonan dinyatakan lengkap.47

46 47

Ibid., Pasal 10 dan 11 Pasal 9 PERMENKOMINFO Nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi

Adapun pengimplementasian manajemen pengamanan ini akan diawasi melalui mekanisme sertifikasi, yang mana adalah wajib bagi Penyelenggara Sistem Elektronik strategis dan Penyelenggara Sistem Elektronik tinggi. Sedangkan bagi sistem elektronik rendah adalah tidak wajib, namun penyelenggara sistem elektronik rendah wajib untuk melaporkan penilaian sistem elektroniknya setiap tahun minimal satu kali yang dilakukan berdasarkan penilaian mandiri dengan pedoman indeks keamanan informasi tersebut. Bagi penyelenggara sistem elektronik strategis dan tinggi tersebut yang sudah tersertifikasi akan mendapatkan sertifikat manajemen pengamanan informasi oleh lembaga sertifikasi yang berlaku selama tiga tahun dan harus diperpanjang paling lambat tiga bulan sebelum masa berlaku berakhir. Terhadap sistem yang telah disertifikasi tersebut, lembaga sertifikasi akan melakukan audit minimal satu tahun sekali. Apabila ternyata sistem elektronik tidak menerapkan standar yang telah ditetapkan, Lembaga Sertifikasi wajib mencabut Sertifikat Sistem Manajemen Pengamanan Informasi terkait, dan melaporkannya ke Menteri KOMINFO paling lambat dua hari setelah pencabutan.48

2. Kewajiban Hukum dalam Undang - Undang No. 36 tahun 2009 tentang Kesehatan Pada undang - undang kesehatan terdapat pengaturan yang mengatur mengenai aspek privasi, yaitu pada pasal 8 yang menyatakan bahwa Setiap orang berhak memperoleh informasi tentang data kesehatan dirinya termasuk tindakan dan pengobatan yang telah maupun yang akan diterimanya dari tenaga kesehatan. Pengaturan ini mengandung aspek privasi dalam hal pengungkapan data dimana si pemilik data berhak untuk memperoleh informasi mengenai kesehatannnya sendiri. Kemudian pengaturan privasi lainnya, pada pasal 57 ayat (1) UU Kesehatan yang menyatakan Setiap orang berhak atas rahasia kondisi kesehatan pribadinya yang telah dikemukakan kepada penyelenggara pelayanan kesehatan. Pengaturan ini mengandung suatu kewajiban bagi penyelenggara pelayanan kesehatan untuk merahasiakan kondisi kesehatan pribadi seseorang yang telah diberikan layanan kesehatan olehnya. Selanjutnya dalam Pasal 57 ayat (2) diatur mengenai ketentuan pengecualian atas rahasia kondisi kesehatan pribadi yang tidak berlaku dalam hal: perintah undang-undang; perintah pengadilan; izin yang bersangkutan; kepentingan masyarakat; atau kepentingan orang tersebut.

48

Pasal 9, 10, 19, 20, 21 dan 22 PERMENKOMINFO Nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi

a. Kewajiban Hukum dalam Peraturan Pemerintah Nomor 46 tahun 2014 tentang sistem informasi kesehatan Untuk menyelenggarakan upaya kesehatan yang efektif dan efisien diperlukan informasi kesehatan yang diselenggarakan dalam suatu sistem informasi kesehatan yang dapat bekerja secara lintas sektor.49 Berdasarkan hal tersebut maka disusun Peraturan Pemerintah Nomor 46 tahun 2014 tentang sistem informasi kesehatan. Peraturan ini selain mengatur mengenai data dan informasi kesehatan secara luas, juga mengatur mengenai sistem elektronik yang digunakan pada sektor - sektor kesehatan seperti sistem informasi kesehatan dalam tingkat nasional, tingkat daerah, serta pada fasilitas pelayanan kesehatan seperti rumah sakit. Dalam peraturan ini juga terdapat aspek privasi dan keamanan terhadap data pribadi pasien. pasal 63 ayat (1) melarang setiap orang menyebarluaskan Data dan Informasi Kesehatan kepada publik berupa : 1. salinan kartu pengguna Fasilitas Pelayanan Kesehatan atau bukti identitas lain; 2. riwayat kesehatan; 3. tagihan dan bukti pembayaran biaya penggunaan Fasilitas Pelayanan Kesehatan; 4. hasil pemeriksaan diagnostic berupa foto rontgen, pemindaian, analisa laboratorium; 5. data dan informasi terkait kegiatan penelitian, meliputi: data identitas subyek penelitian, baik individu, kelompok individu/masyarakat; 6. data dan informasi hasil penelitian dan/atau kajian yang apabila dibuka untuk umum akan merugikan subyek, meresahkan masyarakat dan/atau mengancam keamanan negara; 7. data dan informasi hasil penelitian yang secara etika atau hasil kesepakatan dengan subyek penelitian bersifat rahasia atau dirahasiakan; 8. dan telah mendapat persetujuan tertulis dari orang yang bersangkutan atas Data dan Informasi Kesehatan dirinya; Larangan sebagaimana dimaksud pada ayat (1) tidak berlaku apabila:

49

Pasal 168 UU No 36 tahun 2009 tentang kesehatan

1. telah mendapat persetujuan tertulis dari orang yang bersangkutan atas Data dan Informasi Kesehatan dirinya; 2. dilakukan untuk memenuhi permintaan institusi untuk keperluan penelitian sesuai dengan ketentuan 3. peraturan perundang-undangan; dan/atau 4. dilakukan untuk kepentingan penegakan hukum sesuai dengan ketentuan peraturan perundangundangan. Mengenai aspek keamanan yang menyangkut juga mengenai kelaikan sistem, Pengelolaan Sistem Informasi Kesehatan nasional, provinsi, kabupaten/kota, dan Fasilitas Pelayanan Kesehatan menggunakan perangkat Sistem Informasi Kesehatan yang harus menyesuaikan dengan kebutuhan dan perkembangan teknologi informasi serta menghormati hak atas kekayaan intelektual sesuai dengan ketentuan peraturan perundang-undangan. Perangkat yang digunakan pada Sistem Informasi Kesehatan terdiri atas perangkat keras dan perangkat lunak. Perangkat keras terdiri atas elektronik dan nonelektronik.50 Kemudian terkait dengan sumber daya manusia yang mengelola di lingkungan fasilitas pelayanan kesehatan, pada fasilitas pelayanan kesehatan tingkat ketiga seperti rumah sakit harus dibentuk suatu unit struktural atau unit fungsional tersendiri yang mengelola sistem informasi kesehatan tersebut. Untuk menjaga keamanan dan kerahasiaan Informasi Kesehatan, setiap pengelola Informasi Kesehatan harus: a. melakukan pemeliharaan, penyimpanan, dan penyediaan cadangan Data dan Informasi Kesehatan secara teratur; dan b. membuat sistem pencegahan kerusakan Data dan Informasi Kesehatan Kemudian juga terdapat pengaturan khusus terkait dengan sistem elektronik pada rekam medis elektronik. Dijelaskan bahwa setiap Fasilitas Pelayanan Kesehatan harus mengoperasikan sendiri sistem elektronik rekam medis miliknya. Sistem elektronik rekam medis ini harus mampu interkonektivitas dengan Sistem Elektronik Kesehatan dan sistem elektronik lainnya. Namun Sistem elektronik rekam medis ini tidak boleh terintegrasi dengan sistem elektronik rekam medis Fasilitas Pelayanan Kesehatan lain.51

50 51

Pasal 46 Peraturan Pemerintah No 46 tahun 2014 tentang Sistem Informasi Kesehatan Pasal 40 Peraturan Pemerintah No 46 tahun 2014 tentang Sistem Informasi Kesehatan

3. Kewajiban Hukum dalam Undang - Undang No. 44 tahun 2009 Rumah Sakit Aspek privasi dan keamanan data pasien dalam Undang - Undang rumah sakit dapat dilihat dalam Pasal 32 Dalam UU rumah sakit mengatur diantaranya Hak bagi pasien untuk mendapatkan privasi dan kerahasiaan penyakit yang diderita termasuk data - data medisnya serta memperoleh keamanan dan keselamatan dirinya selama dalam perawatan di Rumah Sakit. Kemudian pasal 38 menjelaskan Setiap Rumah Sakit harus menyimpan rahasia kedokteran. Rahasia kedokteran hanya dapat dibuka untuk kepentingan kesehatan pasien, untuk pemenuhan permintaan aparat penegak hukum dalam rangka penegakan hukum, atas persetujuan pasien sendiri, atau berdasarkan ketentuan peraturan perundangundangan dan juga apabila Pasien dan/atau keluarga yang menuntut Rumah Sakit dan menginformasikannya melalui media massa sebagaimana diatur dalam pasal 44. Terkait dengan hak pasien tersebut, rumah sakit memiliki beberapa kewajiban yang sekiranya dapat memenuhi hak pasien tersebut. Pasal 29 menyatakan rumah sakit memiliki kewajiban seperti memberi pelayanan kesehatan yang aman, bermutu, antidiskriminasi, dan efektif dengan mengutamakan kepentingan pasien sesuai dengan standar pelayanan Rumah Sakit, yang terdiri dari Standar Prosedur Operasional, standar pelayanan medis, dan standar asuhan keperawatan. Dalam hal ini, SOP rumah sakit tersebut dapat diatur sedemikian rupa sehingga memenuhi aspek perlindungan privasi, dan keamanan data pasien. Selain itu rumah sakit juga wajib memiliki sistem pencegahan kecelakaan dan penanggulangan bencana, dalam hal ini Rumah Sakit dibangun serta dilengkapi dengan sarana, prasarana dan peralatan yang dapat difungsikan serta dipelihara sedemikian rupa untuk mendapatkan keamanan, mencegah kebakaran/bencana dengan terjaminnya keamanan, kesehatan dan keselamatan pasien, petugas, pengunjung, dan lingkungan Rumah Sakit. Pengaturan ini dapat dijadikan dasar sebagai kewajiban menyelenggarakan pengamanan terkait dengan data pasien. Kewajiban lainnya adalah menyusun dan melaksanakan peraturan internal Rumah Sakit (hospital by laws), dimana Yang dimaksud dengan peraturan internal Rumah Sakit (Hospital bylaws) adalah peraturan organisasi Rumah Sakit (corporate bylaws) dan peraturan staf medis Rumah Sakit (medical staff bylaw) yang disusun dalam rangka menyelenggarakan tata kelola perusahaan yang baik (good corporate governance) dan tata kelola klinis yang baik (good clinical governance). Dalam peraturan staf medis Rumah Sakit (medical staff bylaw) antara lain diatur kewenangan klinis (Clinical Privilege). Adanya kewajiban menerapkan regulasi -

regulasi internal ini juga dapat dimanfaatkan untuk mengimplementasikan aspek - aspek perlindungan data pasien.

a. Kewajiban Hukum dalam Peraturan Menteri Kesehatan Nomor 82 tahun 2012 tentang Sistem Informasi Manajemen Rumah Sakit (SIMRS) khusus untuk sistem informasi kesehatan sarana pelayanan kesehatan rumah sakit, Peraturan Menteri Kesehatan Nomor 82 tahun 2012 mengenai Sistem Informasi Manajemen Rumah Sakit (SIMRS) mewajibkan untuk Rumah Sakit menyelenggarakan SIMRS dan melaksanakan pengembangan SIMRS tersebut. Penyelenggaraan SIMRS ini dapat menggunakan aplikasi dengan kode sumber terbuka (open source) yang disediakan oleh Kementerian Kesehatan atau menggunakan aplikasi yang dibuat oleh Rumah Sakit yang harus memenuhi persyaratan - persyaratan yang ditetapkan.52 Adapun kewajiban yang terkait dengan perlindungan data adalah kewajiban penyelenggaraan SIMRS yang harus memenuhi unsur keamanan terhadap sistem elektronik tersebut secara fisik, jaringan dan sistem aplikasi.53 Adapun yang termasuk kewajiban terhadap Keamanan fisik antara lain, yaitu adanya Kebijakan hak akses pada ruang data center/server serta keharusan adanya Kebijakan penggunaan hak akses komputer untuk user pengguna. Kemudian dalam hal keamanan jaringan, diatur sebagai berikut : 1. Keamanan jaringan (network security) dalam jaringan komputer sangat penting dilakukan untuk memonitor akses jaringan dan mencegah penyalahgunaan sumber daya jaringan yang tidak sah. Tugas keamanan jaringan dikontrol oleh administrator jaringan. 2. Segi-segi keamanan didefinisikan sebagai berikut: a. Informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang. b. Informasi hanya dapat diubah oleh pihak yang memiliki wewenang. c. Informasi tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan. d. Pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu.

52

Pasal 2, 3, dan 4 Peraturan Menteri Kesehatan Nomor 82 tahun 2012 mengenai Sistem Informasi Manajemen Rumah Sakit 53 Ibid, pasal 7

e. Pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan. Kemudian yang dimaksud keamanan aplikasi adalah sebagai berikut: 1. Keamanan aplikasi harus mendukung dan mengimplementasikan protokol keamanan dalam melakukan transfer data (seperti: SSL, TLS) 2. Aplikasi harus memungkinkan masing-masing user dapat didentifikasikan secara unik, baik dari segi nama dan perannya. 3. Akses melalui metode akses remote dapat berfungsi dengan baik melalui aplikasi client (yaitu melalui VPN, modem, wireless, dan sejenisnya). 4. Aplikasi dapat berfungsi dengan baik pada software anti-virus yang digunakan saat ini. Kemudian dalam penyelenggaraan SIMRS harus dilaksanakan oleh Sumber daya manusia yang kompeten dan terlatih.54 Dalam hal ini Rumah Sakit harus memiliki unit/instalasi informasi dan teknologi yang terdiri dari Kepala Instalasi SIMRS , dan Staf informasi dan teknologi Fungsional . Adapun staf yang dimaksud adalah yang memiliki kualifikasi dalam bidang: Staf Analis System, Staf Programmer, Staf Hardware ,dan Staff Maintanance Jaringan. Mengenai kerangka kerja dari sumber daya manusia tersebut, diatur dalam Peraturan bahwa direkomendasikan menggunakan kerangka kerja yang best practice seperti cobit.

4. Undang - Undang No. 36 tahun 2014 tentang Tenaga Kesehatan Dalam UU Tenaga Kesehatan, pasal 58 ayat (1) mengatur bahwa tenaga kesehatan wajib memberikan pelayanan kesehatan sesuai dengan Standar Profesi, Standar Pelayanan Profesi, Standar Prosedur Operasional, dan etika profesi serta kebutuhan kesehatan Penerima Pelayanan Kesehatan; serta wajib untuk menjaga kerahasiaan kesehatan Penerima Pelayanan Kesehatan. Selain itu, Pasal 66 ayat (1) juga mengatur bahwa Setiap Tenaga Kesehatan dalam menjalankan praktik berkewajiban untuk mematuhi Standar Profesi, Standar Pelayanan Profesi, dan Standar Prosedur Operasional. Kebijakan menangani standar profesi, standar pelayanan profesi, SOP dari tempat dia bekerja, dan etika profesi pada dasarnya pasti mengamanatkan perlindungan privasi, kerahasiaan dan keamanan bagi pasien, sehingga 54

Ibid, pasal 8

ketentuan ini juga dapat termasuk sebagai pengaturan yang mengatur aspek privasi, kerahasiaan, dan keamanan dari pasien. Kemudian kewajiban menjaga rahasia dari pasien ini kembali diatur dalam pasal 73 ayat (1), dimana Setiap Tenaga Kesehatan dalam melaksanakan pelayanan kesehatan wajib menyimpan rahasia kesehatan penerima pelayanan kesehatan. Yang dimaksud rahasia kesehatan penerima pelayanan kesehatan disini bisa dikatakan sebagai data pasien.

Undang - Undang No. 29 tahun 2004 tentang Praktik Kedokteran Kemudian khusus mengenai tenaga kesehatan berupa tenaga medis (dokter, dokter spesialis, dokter gigi), hak dan kewajibannya juga diatur secara khusus dalam Undang - undang tentang Praktik Kedokteran. Pasal 45 Undang - Undang Praktik Kedokteran mengatur setiap tindakan kedokteran yang akan dilakukan oleh dokter atau dokter gigi terhadap pasien harus mendapat persetujuan. Persetujuan sebagaimana dimaksud diberikan setelah pasien mendapat penjelasan secara lengkap, yang sekurang - kurangnya mencakup: diagnosis dan tata cara tindakan medis; tujuan tindakan medis yang dilakukan; alternatif tindakan lain dan risikonya; risiko dan komplikasi yang mungkin terjadi; dan prognosis terhadap tindakan yang dilakukan. Persetujuan oleh pasien terhadap tindakan dokter kemudian akan membuat pasien secara tidak langsung mengungkapkan hal - hal mengenai kesehatan pasien kepada dokter. Hal ini akan membuat dokter kemudian memiliki kewajiban untuk merahasiakan segala sesuatu yang diketahuinya tentang pasien, bahkan juga setelah pasien itu meninggal dunia.55 Dalam hal ini data mengenai pasien tersebut hanya dapat dibuka untuk hal - hal tertentu saja, yaitu dalam hal kepentingan kesehatan pasien, memenuhi permintaan aparatur penegak hukum dalam rangka penegakan hukum, permintaan pasien sendiri, atau berdasarkan ketentuan perundang - undangan.56

a. Kewajiban Hukum dalam Peraturan Menteri Kesehatan (PMK) No. 36 tentang Rahasia Kedokteran

55 56

Pasal 51 UU no 29 tahun 2004 tentang praktik kedokteran Ibid, pasal 48 ayat (1) dan (2)

Apabila dilihat dari informasi - informasi yang dikandungnya, rahasia kedokteran juga dapat dikatakan merupakan bagian dari data pribadi, yaitu data atau informasi mengenai perseorangan terkait suatu individu yang bersifat pribadi. Rahasia kedokteran maupun data pribadi berkaitan erat dengan hak Asasi Manusia khususnya hak atas privasi. Dalam hal ini, perlindungan terhadap kerahasiaan dalam rahasia kedokteran maupun data pribadi merupakan salah satu pemenuhan dari hak privasi. Dalam Peraturan Menteri Kesehatan mengenai Rahasia Kedokteran, dijelaskan bahwa kewajiban menyimpan rahasia kedokteran wajib dilakukan semua pihak yang terlibat dalam pelayanan kedokteran dan/atau dalam penggunaan data dan informasi mengenai pasien, bahkan setelah pasien tersebut meninggal dunia.57 Adapun rahasia kedokteran hanya dapat diungkapkan dan digunakan secara terbatas dalam hal :58 a. kepentingan pasien Adapun yang termasuk kepentingan pasien diantaranya untuk kepentingan pemeliharaan kesehatan, pengobatan, penyembuhan, dan perawatan pasien; serta untuk keperluan administrasi, pembayaran asuransi atau jaminan pembiayaan kesehatan. Pengungkapan terkait dengan kepentingan kesehatan, pengobatan, penyembuhan, dan perawatan pasien harus dilakukan dengan persetujuan dari pasien baik secara tertulis maupun dalam sistem elektronik. Apabila pasien tidak cakap, persetujuan dapat diberikan oleh keluarga terdekat atau pengampunya. Sedangkan pengungkapan terkait keperluan administrasi, pembayaran asuransi atau jaminan pembiayaan kesehatan dinyatakan tekah diberikan pada saat pendaftaran pasien di fasilitas pelayanan kesehatan.59 b. Memenuhi Permintaan Aparatur Penegak Hukum Dalam Rangka Penegakan Hukum Permintaan terhadap Rahasia kedokteran dapat diberikan pada proses penyelidikan, penyidikan, penuntutan, dan sidang pengadilan melalui pemberian data dan informasi berupa visum et repertum, keterangan ahli, keterangan saksi, dan/atau ringkasan medis, yang harus dilakukan secara tertulis dari pihak yang berwenang. Keseluruhan rekam medis juga dapat diberikan apabila terdapat perintah pengadilan atau dalam sidang pengadilan menginginkan

57

Pasal 4 ayat (1), (2), (3) Peraturan Menteri Kesehatan Republik Indonesia Nomor 36 Tahun 2012 Tentang Rahasia Kedokteran 58 Ibid, Pasal 5 ayat (1), dan (2) 59 Ibid, Pasal 6 ayat (1), (2), (3), (4), (5)

demikian.60 Dalam hal terdapat pihak pasien yang mengajukan gugatan terkait pelayanan kesehatan yang diterimanya kepada tenaga kesehatan dan/atau fasilitas pelayanan kesehatan, maka pihak yang digugat tersebut berhak untuk membuka rahasia kedokteran dalam rangka pembelaannya dalam sidang pengadilan.61 c. Permintaan Pasien Sendiri Pengungkapan berdasarkan permintaan pasien sendiri dapat dilakukan dengan pemberian data dan informasi kepada pasien baik secara lisan maupun tertulis. Adapun keluarga terdekat dapat memperoleh data dan informasi mengenai kesehatan pasien, kecuali dinyatakan sebaliknya. Pernyataan mengenai keluarga tidak dapat mengakses data dan informasi pasien harus dinyatakan pasien pada waktu penerimaan pasien.62 d. Berdasarkan Ketentuan Peraturan - Perundang - Undangan Dilakukan tanpa persetujuan pasien dalam rangka kepentingan penegakan etik atau disiplin, serta kepentingan umum. Dalam rangka kepentingan penegakan etik atau disiplin pengungkapan disyaratkan harus mendapatkan permintaan tertulis dari Majelis Kehormatan Etik Profesi atau Majelis Kehormatan Disiplin Kedokteran Indonesia.63 Kemudian kepentingan umum yang dimaksud dalam peraturan adalah terkait dengan audit medis, ancaman kejadilan luar biasa atau wabah penyakit menular, penelitian kesehatan untuk kepentingan negara, pendidikan atau penggunaan informasi yang akan berguna di masa yang akan datang, dan ancaman keselamatan orang lain secara individual atau masyarakat, dengan tanpa membuka identitas pasien terkait. Dikecualikan pada ancaman kejadian luar biasa atau wabah penyakit menular dan ancaman keselamatan orang lain secara individual atau masyarakat, identitas pasien dapat dibuka kepada institusi atau pihak yang berwenang untuk melakukan tindak lanjut sesuai dengan ketentuan peraturan perundang - undangan.64 Pengungkapan rahasia kedokteran dilakukan oleh penanggung jawab pelayanan pasien. Adapun penanggung jawab ini diantaranya adalah ketua tim dalam hal pasien ditangani/dirawat secara tim, atau ketika ketua tim berhalangan pengungkapan dapat dilakukan anggota tim yang telah ditunjuk. Kemudian apabila penanggung jawab tersebut tidak ada, pihak pimpinan 60

Ibid, pasal 7 ayat (1), (2), (3), (4) Ibidm pasal 14 62 Ibid, pasal 8 ayat (1), (2), (3) 63 Ibid, pasal 9 ayat (1), (2), (3) 64 Ibid, pasal 9 ayat (4), (5), (6) 61

fasilitas pelayanan kesehatan dapat juga berwenang membuka rahasia kedokteran. Pengungkapan harus didasarkan pada data dan informasi yang benar dan dapat dipertanggungjawabkan.

b. Kewajiban Hukum dalam PMK No. 269 tahun 2008 tentang Rekam Medis Rekam medis wajib dibuat oleh dokter, dokter gigi, atau tenaga kesehatan secara tertulis, lengkap dan jelas atau secara elektronik atau menggunakan teknologi informasi. Dalam hal ini, dokter, dokter gigi dan/atau tenaga kesehatan tertentu bertanggung jawab atas catatan dan/atau dokumen yang dibuat pada rekam medis. Sedangkan sarana pelayanan kesehatan diwajibkan untuk menyediakan fasilitas yang diperlukan untuk penyelenggaraan rekam medis.65 Adapun kepemilikan rekam medis dalam hal berkasnya adalah milik sarana pelayanan kesehatan, sedangkan isinya yang dalam bentuk ringkasan rekam medis merupakan milik pasien. Berdasarkan hal ini, maka pasien atau keluarga pasien yang berhak dapat meminta ringkasan rekam medis ini untuk dicatat atau dicopy.66 Rumah sakit wajib menyimpan rekam medis pasien rawat inap dalam jangka waktu lima tahun terhitung sejak tanggal terakhir pasien berobat atau dipulangkan. Setelah lewat jangka waktu lima tahun, rekam medis dapat dimusnahkan kecuali dokumen mengenai ringkasan pulang dan dokumen persetujuan pemberian mediknya. Ringkasan pulang dan persetujuan tindakan medic tersebut harus disimpan dalam jangka waktu sepuluh tahun sejak dibuatnya dokumen - dokumen tersebut.67 Penyimpanan dokumen - dokumen tersebut dilaksanakan oleh petugas yang ditunjuk oleh pimpinan pelayanan kesehatan. Sedangkan pada sarana pelayanan kesehatan non rumah sakit, disimpan sekurang - kurangnya untuk jangka waktu dua tahun terhitung sejak pasien berobat. Informasi tentang identitas, diagnosis, riwayat penyakit, riwayat pemeriksaan, dan riwayat pengobatan dalam rekam medis dapat dibuka untuk kepentingan kesehatan pasien, untuk memenuhi permintaan aparatur penegak hukum dalam rangka atas perintah pengadilan, dalam hal permintaan dan/atau persetujuan pasien sendiri, berdasarkan permintaan

65

Pasal 2, 6, dan 7 Peraturan Menteri Kesehatan Nomor 269 tahun 2008 tentang Rekam medis Ibid, pasal 12 ayat (1), (2), (3), dan (4) 67 Ibid, pasal 8 ayat (1), (2), dan (3) 66

institusi/lembaga berdasarkan ketentuan perundang - undangan, serta untuk kepentingan penelitian, pendidikan, dan audit medis dengan tanpa menyebutkan identitas pasien.68 Permintaan terhadap rekam medis diajukan kepada pimpinan sarana pelayanan kesehatan secara tertulis. Mengenai isi dari rekam medis, hanya dapat dijelaskan oleh dokter yang merawat pasien dengan izin tertulis dari pasien atau berdasarkan peraturan perundang undangan. Berdasarkan pemanfaatannya, pengungkapan terhadap rekam medis dapat dilakukan dengan syarat - syarat tertentu. Dalam hal penggunaan rekam medis untuk keperluan pendidikan dan penelitian, apabila menyebutkan identitas pasien harus mendapat persetujuan secara tertulis dari pasien atau ahli warisnya dan harus dijaga kerahasiaannya. Persetujuan pasien tidak diperlukan apabila pendidikan dan penelitian dalam rangka kepentingan negara.69

Kewajiban Hukum Perlindungan Data Pribadi Pasien Rumah Sakit di Indonesia dapat dijelaskan sebagai berikut.

B. Pengaturan Hukum Perlindungan Data Pribadi di Amerika Serikat Dalam konstitusi Amerika Serikat meskipun tidak secara spesifik dijelaskan adanya hak atas privasi, namun dalam konstitusi secara implisit dijelaskan pentingnya hak atas privasi. Hak atas privasi ini dapat dilihat pada amandemen ke-9, sebagai berikut. “the enumeration in the constitution of certain rights shall not be construed to deny or disparage others retained by the people.” Amandemen ini berasal dari perkembangan di peradilan serta berdasarkan ajaran doktrin - doktrin seperti ajaran privasi Warren dan Brandeis. Kemudian juga pada amandemen sebelumnya, amandemen keempat menyatakan, “the right of people to be secure in the persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated; and no warrants shall issue, but on probably cause, supported by oath pr affirmation, and particularly describing the place to be searched, and the person or thing to be seized.” Dalam 68 69

Ibid, pasal 10 Ibid, pasal 13 ayat (1), (2), dan (3)

perkembangannya kemudian dikenal ukuran - ukuran dalam privasi yang dinamakan sebagai ekspektasi yang layak atau wajar terhadap privasi (reasonable expectation of privacy). Adapun ukuran yang digunakan untuk menentukan ekspektasi yang layak terhadap privasi adalah70 1. Orang tersebut menunjukan ekspektasi terhadap privasi secara actual, misalnya saat kita masuk kedalam kamar tidur kita, kita berekspektasi bahwa kamar tidur kita ini adalah tertutup untuk orang - orang. Atau terhadap komputer atau ponsel genggam, tentunya kita memliki ekspektasi tertentu bahwa barang - barang tersebut hanya boleh diakses oleh kita sendiri 2. Masyarakat mengenali ekspektasi terhadap privasi tersebut, selain ekspektasi kita sendiri terhadap apa yang kita anggap privasi, apabila masyarakat juga memiliki ekspektasi yang demikian, maka sudah memenuhi unsur ekspektasi yang layak atau wajar terhadap privasi. Berdasarkan ketentuan konstitusi tersebut, maka dalam setiap kegiatan yang akan bersinggungan dengan privasi seseorang akan diatur dalam suatu peraturan perundang undangan. Dalam konteks perlindungan data pribadi, AS tidak seperti negara - negara dalam European Union (EU), tidak memiliki undang - undang yang mengatur spesfik mengenai data pribadi. Namun AS memiliki pengaturan - pengaturan khusus terhadap data - data pribadi dalam industri tertentu.71 Meskipun cakupan data yang dilindungi tidak luas, namun cakupan perlindungannya sebenarnya sudah cukup komperhensif. Adapun peraturan perundang undangan ini misalnya:72 1. Privacy act 197473 Undang - undang ini membatasi pengungkapan dan pemakaian data yang dikelola oleh pemerintah federal. Undang - undang ini memberikan hak kepada warga negara Amerika untuk mengetahui informasi mana yang mengenai mereka yang digali pemerintah, untuk melihat dan mengkopi informasi tersebut, untuk memperbaiki informasi tersebut, dan untuk membatasi kontrol terhadap pengungkapan ke pihak ketiga. 2. Video Privacy Protection Act

70

Hlm. 365 buku us Lisa J Sotto dan Aaron P Simpson, Getting The Deal Through Data Protection and Privacy 2015, Law Business Rearch Ltd, United Kingdom, 2014, hlm. 208 72 hlm. 369 buku US 73 5 USC 552a (1974) 71

Undang - undang ini bertujuan untuk melindungi data - data konsumen yang menggunakan jasa rental video. Undang - undang ini melarang pengelola rental video untuk membuka informasi pelanggannya mengenai video apa yang dipinjam oleh pelanggannya tersebut. 3. Electronic Communications Privacy Act Undang - undang ini melarang adanya intersepsi dalam komunikasi menggunakan perangkat elektronik dan mengatur mengenai perlindungan terhadap komunikasi tersebut. 4. Fair and Accurate Credit Transaction act of 2003 (FACTA) Undang - undang ini menngatur setiap penyelenggara kartu kredit untuk menjalankan ukuran - ukuran yang sesuai untuk mencegah adanya pengungkapan informasi yang tidak sesuai. 5. Gramm-Leach-Bliley Act (GLB Act) GLB Act sebenarnya adalah undang - undang yang mengatur mengenai stakeholder stakeholder dibidang keuangan. Namun dalam undang - undang ini juga terdapat pengaturan privasi terhadap konsumen dari institusi keuangan ini. Pengaturan tersebut umumnya mengatur mengenai larangan pengungkapan informasi pribadi dan informasi financial konsumennya terhadap pihak ketiga. 6. Health Insurance Portability and Accountability Act (HIPAA Act) HIPAA sebenarnya merupakan undang - undang yang mengatur mengenai kesehatan, teknologi kesehatan, serta mengenai asuransi kesehatan di AS. Selain itu dalam Undang - undang ini juga diamanatkan adanya suatu perlindungan terhadap informasi dan data kesehatan seseorang. Mengenai HIPAA akan dibahasi lebih lanjut pada bagian selanjutnya. Selain itu sumber pengaturan privasi lainnya adalah konstitusi - konstitusi pada negara bagian di Amerika. Sebagaimana diketahui bahwa Amerika Serikat (AS) adalah negara federasi yang terdiri dari beberapa negara bagian. Negara - negara bagian (states) ini terkadang memiliki pengaturan hukum tersendiri yang lebih ketat dibandingkan pengaturan federal (pengaturan hukum negara AS). Seperti misalnya dalam hal privasi terhadap data kesehatan perorangan, meskipun sudah diatur dalam undang - undang HIPAA namun negara bagian tetap memiliki kewenangan untuk membuat peraturan tersendiri yang terkadang lebih ketat dari pengaturan HIPAA tersebut. Dalam penelitian ini hanya akan dibahas mengenai pengaturan dalam HIPAA act.

1. Kewajiban Hukum Perlindungan Informasi Kesehatan Individual dalam HIPAA Act

Health Insurance Portability and Accountability Act (Public Law No. 104-191) diundangkan pertama kali pada 21 Agustus 1996. Undang - Undang ini diundangkan dengan tujuan untuk mengatur mengenai asuransi kesehatan dan pelayanan kesehatan, megatur mengenai kecurangan - kecurangan dalam yang terjadi dalam asuransi kesehatan serta pelayanan

kesehatan,

mempromosikan

penggunaan

akun

simpanan

untuk

medis,

meningkatkan akses dan jangkauan pelayanan dalam jangka panjang, serta untuk mempermudah adminstrasi dari asuransi kesehatan dan serta tujuan - tujuan lainnya, yang termasuk juga adanya pengaturan akan pentingnya privasi terhadap data dan informasi kesehatan individu.Data dan informasi tersebut dalam HIPAA dikenal sebagai Protected Health Information, yaitu “ information, including demographic data, that relates to: • the individual’s past, present or future physical or mental health or condition, • the provision of health care to the individual, or • the past, present, or future payment for the provision of health care to the individual, and that identifies the individual or for which there is a reasonable basis to believe can be used to identify the individual.”74 Dalam pengertian tersebut terlihat bahwa yang dimaksud dan termasuk dalam kategori informasi kesehatan individu perorangan adalah informasi mengenai kesehatan(baik fisik maupun mental) seseorang, dari masa lampau, saat ini, dan kemudian; informasi mengenai pelayanan kesehatan yang diberikan kepada seorang individu; informasi mengenai pembiayaan terhadap pelayanan kesehatan yang dilakukan di masa lalu, sekarang dan masa depan oleh individu; serta informasi - informasi yang dapat mengidentifikasi individu atau informasi yang dapat dipercaya dapat mengidentifikasikan individu tertentu. HIPAA tidak berlaku bagi informasi kesehatan yang tidak menerangkan suatu individu tertentu seperti misalnya agregat data. HIPAA juga tidak berlaku bagi informasi kesehatan yang digunakan

74

General Provisions 45 C.F.R. § 160.103

entitas diluar dari Covered entites dan Business Associatesnya. Covered entity atau pihak pihak yang harus tunduk kepada ketentuan dalam regulasi - regulasi HIPAA diantaranya 1. Health Care Provider Orang atau organisasi yang memberikan pelayanan kesehatan, atau yang dibayar untuk memberikan pelayanan kesehatan. Health Care provider ada yang berbentuk organisasi atau institusi, seperti misalnya rumah sakit. Atau yang berbentuk non-institusional atau perorangan seperti dokter, dokter gigi, atau tenaga kesehatan lainnya.75 2. Health Plan Individu atau kelompok yang melayani pembayaran biaya kesehatan seseorang. Yang termasuk dalam Health Plan antara lain, pihak asuransi kesehatan, kesehatan gigi, kesehatan mata, atau pemberi asuransi resep dokter, organisasi - organisasi jaminan kesejahteraan sosial di Amerika seperti Medicaid dan Medicare, Asuransi kesehatan pekerja yang bersifat swasta maupun publik, dan juga pihak asuransi yang sponsori oleh pemerintah dan gereja.76 3. Health Care Clearinghouses Adalah pihak yang memproses informasi - informasi menjadi standar yang telah ditetapkan.77 Selain itu juga terdapat pihak ketiga dari covered entity, yang dikenal sebagai Business Associate.78 Business Associate yaitu perorangan atau institusi yang bukan merupakan tenaga kerja dari covered entity yang melakukan fungsi - fungsi dan aktivitas atas nama covered entity atau memberikan pelayanan tertentu terhadap covered entity yang terkait dengan penggunaan atau pengungkapan data pasien, misalnya dalam hal pengajuan klaim pasien, analisis data, penagihan(misalnya pihak bank), atau dalam hal pengulasan pemanfaatan. Business Associate ditentukan oleh HIPAA hanya pihak - pihak yang terkait dengan bidang legal, aktuaria, pihak yang melakukan akunting, jasa konsultasi, jasa pengagregasi data, manajemen, adminsitrasi, akreditasi, atau yang melakukan jasa finansial.79 Dalam hal ini pembahasan akan memfokuskan pada covered entity health care provider saja.

75

Ibid., 45 C.F.R. §§ 160.102, 160.103 Ibid., 77 HIPAA Privacy Rule 45 C.F.R. § 160.103 78 Ibid., 79 United States Office for Civil Right HIPAA Compliance Assistance,Summary of the HIPAA Privacy Rule, Office for Civil Rights: United States, 2003, hlm. 4 76

Seperti pada undang - undang lainnya di AS, ketentuan - ketentuan dalam undang undang ini secara terpisah kemudian dikodifikasi dalam suatu kodifikasi (United States Codes) 42 mengenai Kesehatan dan Kesejahteraan Publik (Public Health and Welfare).80 Mengenai privasi terhadap data dan informasi kesehatan individu, Dalam section 264 HIPAA dijelaskan:81 SEC. 264. RECOMMENDATIONS WITH RESPECT TO PRIVACY OF CERTAIN HEALTH INFORMATION “(a) IN GENERAL.--Not later than the date that is 12 months after the date of the enactment of this Act, the Secretary of Health and Human Services shall submit to the Committee on Labor and Human Resources and the Committee on Finance of the Senate and the Committee on Commerce and the Committee on Ways and Means of the House of Representatives detailed recommendations on standards with respect to the privacy of individually identifiable health information. b) SUBJECTS FOR RECOMMENDATIONS.--The recommendations under subsection (a) shall address at least the following: (1) The rights that an individual who is a subject of individually identifiable health information should have. (2) The procedures that should be established for the exercise of such rights. (3) The uses and disclosures of such information that should be authorized or required. c) REGULATIONS.-(2) IN GENERAL.--If legislation governing standards with respect to the privacy of individually identifiable health information transmitted in connection with the transactions described in section 1173(a) of the Social Security Act (as

80

Peraturan perundang - undangan di Amerika Serikat sudah menerapkan kodifikasi, baik pada tingkat act atau undang - undang maupun pada tingkat rules. Act (atau di AS dikenal sebagai Public Law) dikodifikasi dalam suatu United States Codes. Kodifikasi pada tingkat act ini dibagi menjadi 51 titles dan salah satunya adalah titles 42 mengenai Public Health and Welfare. Kemudian setiap title dapat dibagi menjadi beberapa chapter atau bab yang dalam chapter tersebut memuat section - section(biasanya disingkat sec.) atau pasal - pasal terkait. United States Codes dapat diakses secara online dalam website https://www.gpo.gov/fdsys/granule/USCODE-2010-title42/USCODE-2010-title42-chap7-subchapXI-partAsec1301 81 Section 264 HIPAA Act 1996

added by section 262) is not enacted by the date that is 36 months after the date of the enactment of this Act, the Secretary of Health and Human Services shall promulgate final regulations containing such standards not later than the date that is 42 months after the date of the enactment of this Act. Such regulations shall address at least the subjects described in subsection (b). (3) PREEMPTION.--A regulation promulgated under paragraph (1) shall not supercede a contrary provision of State law, if the provision of State law imposes requirements, standards, or implementation specifications that are more stringent than the requirements, standards, or implementation specifications imposed under the regulation. (d) CONSULTATION.--In carrying out this section, the Secretary of Health and Human Services shall consult with-(1) the National Committee on Vital and Health Statistics established under section 306(k) of the Public Health Service Act (42 U.S.C. 242k(k)); and (2) (2) the Attorney General.” Pengaturan ini mengamanatkan Secretary of Health and Human Services (HHS) (Secretary berarti kepala Departemen di Amerika Serikat) untuk membuat peraturan terkait dengan perlindungan privasi informasi kesehatan individu apabila dalam waktu 36 bulan setelah HIPAA diundangkan, tidak dibuat peraturan terkait oleh legislator. Dalam pembuatannya tersebut harus berkonsultasi dengan pihak - pihak seperti jaksa agung atau komite nasional mengenai statistic kesehatan. Diatur juga bahwa pengaturan yang dibuat oleh Kepala Departemen kesehatan tersebut tidak berarti bersifat lebih tinggi atau harus diutamakan dibandingkan dengan pengaturan negara bagian apabila pengaturan dalam negara bagian tersebut lebih kuat dari pengaturan yang dibuat oleh Kepala Departemen HHS. Kemudian berdasarkan ketentuan ini, Kepala Departemen HHS membuat HIPAA Privacy Rules pada tanggal 28 Desember 2000, yang kemudian diamandemen beberapa kali hingga terakhir 14 Agustus 2002.82

82

HIPAA Compliance Assistance, Office of Civil Rights Health and Human Services : Privacy Brief Summary Of The Hipaa Privacy Rule

Kemudian pada 20 Februari 2003, Kepala Departemen HHS mendapatkan amanat untuk membuat pengaturan keamanan data yang diatur dalam kodifikasi undang - undang atau United States Codes 42 section 1320 d-2 pada bagian (d) sebagai berikut: (d)Security standards for health information (1)Security standards The Secretary shall adopt security standards that— (A)take into account— (i) the technical capabilities of record systems used to maintain health information; (ii) the costs of security measures; (iii) the need for training persons who have access to health information; (iv) the value of audit trails in computerized record systems; and (v) the needs and capabilities of small health care providers and rural health care providers (as such providers are defined by the Secretary); and (B) ensure that a health care clearinghouse, if it is part of a larger organization, has policies and security procedures which isolate the activities of the health care clearinghouse with respect to processing information in a manner that prevents unauthorized access to such information by such larger organization. (2)Safeguards Each person described in section 1320d–1(a) (Covered Entites dan Business Associates) of this title who maintains or transmits health information shall maintain reasonable and appropriate administrative, technical, and physical safeguards— (A) to ensure the integrity and confidentiality of the information; (B) to protect against any reasonably anticipated— (i) threats or hazards to the security or integrity of the information; and (ii) unauthorized uses or disclosures of the information; and (C) otherwise to ensure compliance with this part by the officers and employees of such person.

Berdasarkan ketentuan ini, maka dibuatlah Security Rule HIPAA yang mengatur mengenai perlindungan informasi kesehatan individu elektronik yang dibuat, diterima, digunakan, maupun dikelola oleh Covered entity. Security Rule mensyaratkan adanya perlindungan secara adminstratif, fisik, dan teknis yang cukup untuk menjamin kerahasiaan, keutuhan, dn keamanan dari informasi kesehatan individu elektronik.83 Kemudian Privacy Rules dan Security Rules dimasukan kedalam kodifikasi peraturan federal (Code of Federal Regulation)84 ke-45 mengenai Kesejahteraan Publik (Public Welfare) part 164 mengenai Security and Privacy. Pada tahun 2009 terdapat perubahan yang signifikan terhadap peraturan - peraturan dalam HIPAA. Berawal dari undang - undang Recovery and Reinvesment Act (ARRA) yang diundangkan pada zaman presiden Obama pada tanggal 17 Februari 2009. Meskipun fokus dari ARRA adalah mengenai kemudahan - kemudahan dalam hal pajak dan investasi, namun adanya ARRA juga membuat perubahan yang signifikan terhadap aspek - aspek tertentu dalam bidang pelayanan kesehatan. Pengaturan HITECH dalam hal data kesehatan seseorang adalah dengan adanya kewajiban untuk memaki electronic health record yang mana akan menimbulkan isu - isu hukum baru lagi khususnya terhadap privasi dan keamanan informasi kesehatan. Title XIII dari ARRA yang dinamakan Health Information Technology and Clinical Health Act (HITECH Act) menyatakan pemerintahan federal menganggarkan $22 Miliar dolar untuk mendukung penggunaan teknologi informasi kesehatan. HITECH juga mengatur mengenai pentingnya privasi dan keamanan terhadap data, yang diatur dalam Subtitle D HITECH. Pengaturan HITECH ini kemudian membawa perubahan yang signifikan terhadap pengaturan pengaturan keamanan dan privasi informasi kesehatan individu yang sebelumnya telah diatur oleh HIPAA. Beberapa pengaturan yang signifikan tersebut diamanatkan dalam section 13401 - 13424 Subtitle D HITECH sebagai berikut: Subtitle D—Privacy PART 1—IMPROVED PRIVACY PROVISIONS AND SECURITY PROVISIONS Sec. 13401. Application of security provisions and penalties to business associates of covered entities; annual guidance on security provisions.

83

https://www.hhs.gov/hipaa/for-professionals/security/index.html?language=es diakses 23 Mei 2017 pukul 06:20 84 Seperti pada undang - undang yang dikodifikasi (United States Code) pengaturan rule juga dikodifikasi dalam suatu code of federal regulation (CFR). Code of federal regulation dapat diakses secara online dalam website https://www.ecfr.gov

Sec. 13402. Notification in the case of breach. Sec. 13403. Education on health information privacy. Sec. 13404. Application of privacy provisions and penalties to business associates of covered entities. Sec. 13405. Restrictions on certain disclosures and sales of health information; accounting of certain protected health information disclosures; access to certain information in electronic format. Sec. 13406. Conditions on certain contacts as part of health care operations. Sec.13407. Temporary breach notification requirement for vendors of personal health records and other non-HIPAA covered entities. Sec. 13408. Business associate contracts required for certain entities. Sec. 13409. Clarification of application of wrongful disclosures criminal penalties. Sec. 13410. Improved enforcement. Sec. 13411. Audits. PART 2—RELATIONSHIP TO OTHER LAWS; REGULATORY REFERENCES; EFFECTIVE DATE; REPORTS Sec. 13421. Relationship to other laws. Sec. 13422. Regulatory references. Sec. 13423. Effective date. Sec. 13424. Studies, reports, guidance. Adanya pengaturan ini membuat HHS kemudian mengundangkan rule baru terkait dengan notifikasi apabila terjadi kegagalan atau breach dalam perlindungan data, yang kemudian oleh HHS diundangkan HIPAA Breach Notification Rule yang dapat diakses dalam part 164 CFR 45. Selain itu, pengaturan baru tersebut juga memberikan peran lebih bagi business associates dimana business associates juga diharuskan untuk memenuhi standar standar keamanan serta dapat diberikan sanksi apabila tidak memenuhi standar - standar

keamanan. Kemudian terkait dengan sanksi undang - undang tersebut juga mensyaratkan adanya improvisasi terhadap penegakan HIPAA. Tambahan lainnya adalah adanya pembatasan pengungkapan data terhadap aktivitas - aktivitas tertentu. Perubahan terakhir adalah pada awal 2013 dimana diundangkan HIPAA Omnibus Rule yang membawa perubahan terhadap rules rules sebelumnya. a. Kewajiban Hukum Perlindungan Informasi Kesehatan Individu dalam HIPAA Privacy Rule Tujuan utama dari adanya privacy rule adalah unruk menjelaskan dan membatasi pengungkapan dan penggunaan PHI dari setiap orang. Adapun PHI atau Protected Health Record adalah istilah HIPAA untuk informasi kesehatan individu, yaitu informasi mengenai kesehatan(baik fisik maupun mental) seseorang, dari masa lampau, saat ini, dan kemudian; informasi mengenai pelayanan kesehatan yang diberikan kepada seorang individu; informasi mengenai pembiayaan terhadap pelayanan kesehatan yang dilakukan di masa lalu, sekarang dan masa depan oleh individu; serta informasi - informasi yang dapat mengidentifikasi individu atau informasi yang dapat dipercaya dapat mengidentifikasikan individu tertentu.85 Privacy rule melindungi semua informasi terkait baik yang berbentuk kertas, elektronik, maupun yang menggunakan media lainnya. Privacy rule dalam hal ini tidak berlaku terhadap data kesehatan dari tenaga kerja covered entity yang dipegang olehnya (sebagai bagaian dari rangkaian ketenagakerjaan), serta tidak berlaku juga bagi informasi kesehatan individu yang sudah diolah sehingga tidak menampilkan kepemilikan atau keterkaitan dari data tersebut kepada individu.86 Secara umum, covered entity tidak menggunakan atau membuka PHI dari seseorang kecuali, diizinkan (tanpa melalui otorisasi) atau dibutuhkan oleh privacy rule; atau jika pemilik dari PHI yang merupakan subjek dari PHI telah memberikan otorisasi atau persetujuan secara tertulis untuk itu.87 Adapun secara umum covered entity hanya dapat membuka PHI seseorang dalam hal permintaan langsung dari pemilik data, dan dalam hal permintaan oleh HHS untuk kepentingan investigasi pemenuhan privacy rule ataupun untuk melakukan enforcement.88 1. Penggunaan dan Pengungkapan yang Tidak Membutuhkan Otorisasi

85

General Provisions 45 C.F.R. § 160.103 Privacy Rule 45 C.F.R. §§ 164.502(d)(2), serta 164.514(a) dan (b) 87 Privacy Rule 45 C.F.R. § 164.502(a). 88 Privacy Rule 45 C.F.R. § 164.502(a)(2) 86

Covered Entity diizinkan, tapi tidak diwajibkan, untuk membuka dan menggunakan Protected Health Information (PHI) tanpa otorisasi, atau pemberian wewenang secara tertulis, dari individu pemilik data untuk tujuan - tujuan atau situasi berikut:89 1. Untuk Individu Pemilik Data Covered entity dapat mengungkapkan PHI kepada seseorang yang merupakan subjek dari informasi dalam PHI tersebut. 2. Untuk Pengobatan, Pembayaran, dan aktivitas - aktivitas pelayanan kesehatan lainnya90 Covered entity dapat mengungkapkan dan menggunakan PHI milik seseorang Untuk Pengobatan, Pembayaran, dan aktivitas - aktivitas pelayanan kesehatan lainnya dari orang tersebut. Dalam hal ini consent atau persetujuan tertulis dari pemilik data diatur dalam Privacy rule adalah bersifat opsional. 3. Pemakaian dan Pengungkapan dalam Keadaan dimana dimungkinkan meminta persetujuan informal individu Pemilik Data Dalam hal ini persetujuan yang dimaksud adalah persetujuan secara informal, yang didapat dengan cara bertanya langsung kepada individu secara langsung, atau berdasarkan keadaan yang jelas memberi individu kesempatan untuk menyetujui, atau menolak. Misalnya, pengungkapan terhadap anggota keluarga dari individu pemilik data.91 Dalam keadaan dimana pemilik data tidak mampu untuk bertindak, atau dalam situasi darurat, covered entity tetap dapat menggunakan atau mengungkapkan PHI tersebut, hanya berdasarkan keputusan yang dibuat secara professional, pengungkapan dan penggunaan PHI tersebut merupakan pilihan yang terbaik bagi pemilik data. Kemudian situasi lainnya misalnya saat di fasilitas pelayanan kesehatan ada yang menanyakan kondisi atau letak kamar dari pasien pemilik data, disaat pemilik data tidak dapat untuk dimintakan persetujuan secara informal, maka covered entity dapat mengungkapkan kondisi dari pasien dan letak kamar pasien pemilik data tersebut. 89

Privacy Rule 45 C.F.R. § 164.502(a)(1). Dijelaskan dalam rule yang termasuk kegiatan pengobatan (treatment) adalah Ketentuan, koordinasi, atau pengelolaan pelayanan kesehatan dan Layanan terkait untuk perorangan oleh satu atau lebih penyedia layanan kesehatan, Termasuk konsultasi antara penyedia layanan kesehatan pasien dan dalam hal rujukan pasien antar penyedia layanan kesehatan. Kemudian yang termasuk dalam pembayaran (Payment) antara lain kegiatan Health Plan untuk mendapatkan premi, Menentukan atau memenuhi tanggung jawab untuk cakupan dan penyediaan tunjangan, Dan memberikan atau mendapatkan penggantian untuk perawatan kesehatan yang dikirim ke individu dan dan kegiatan penyedia layanan kesehatan untuk mendapatkan pembayaran atau pembayaran Penggantian biaya kesehatan atas penyediaan pelayanan kesehatan bagi seorang individu. 91 Privacy Rule 45 C.F.R. § 164.510(b). 90

4. Penggunaan dan Pengungkapan yang bersifat insidental Dalam hal ini yang termasuk penggunaan dan pengungkapan yang bersifat incidental adalah penggunaan dan pengungkapan yang terjadi diluar penggunaan dan pengungkapan yang sah menurut HIPAA, namun covered entity sudah menunjukan upaya perlindungan yang layak atau sesuai, dan informasi yang terungkap tersebut sudah dibatasi berdasarkan prinsip “minimum necessary” yang diwajibkan oleh privacy rule.92 5. Untuk Kepentingan Umum dan Bermanfaat bagi publik Terdapat 12 tujuan dan alasan pengungkapan dan penggunaan berdasarkan kepentingan ini, yaitu diantaranya:93 a. Diwajibkan Hukum, termasuk ketentuan negara bagian b. Aktivitas Kesehatan Publik Demi kesehatan publik, covered entity dapat membuka kepada: Otoritas Kesehatan Publik yang diakui oleh hukum yang memerlukan informasi untuk mencegah atau mengontrol suatu penyakit atau Atau otoritas pemerintah lainnya yang berwenang menerima laporan tentang pelecehan dan pengabaian anak; subjek hukum dari pengaturan Adminstrasi Makanan dan Obat - Obatan (FDA) untuk tujuan pelaporan, pengecekan produk, maupun penarikan produk; dan dalam hal terdapat wabah penyakit menular. c. Kepada Korban Pelecehan dan Korban kekerasan Dalam Rumah tangga d. Kegiatan Pengawasan Kesehatan baik yang dilakukan berdasarkan ketentuan hukum federal maupun negara bagian e. Kepentingan Peradilan Termasuk Peradilan Administratif f. Tujuan Penegakan Hukum Dengan kondisi - kondisi : memang diwajibkan hukum (termasuk perintah pengadilan, panggilan pengadilan) dan permintaan administratif; untuk mengidentifikasikan atau menemukan tersangka, buronan, saksi, ataupun orang hilang; Sebagai tanggapan atas Permintaan resmi dari penegak hukum untuk informasi tentang korban atau korban yang dicurigai sebagai tersangka; jika terjadi suatu kematian yang dipercaya diakibatkan oleh suatu aktivitas criminal; dan jika covered entity menganggap bahwa PHI tersebut dapat menjadi bukti bahwa terjadi tindakan criminal ditempat kejadian tersebut.

92 93

Privacy Rule 45 C.F.R. §§ 164.502(a)(1)(iii) Privacy Rule 45 C.F.R. § 164.512

g. Individu yang meninggal Covered entity dapat mengungkapkan PHI kepada kepala pemakaman jika diperlukan, serta kepada ahli forensik untuk mengidentifikasikan mayat dari orang tersebut, menjelaskan penyebab kematiannya, atau melaksanakan fungsi lain yang diperbolehkan oleh hukum. h. Dalam kegiatan penyumbangan organ - organ, mata, atau jaringan tubuh i. Riset Untuk kepentingan riset, Privacy rule memberikan covered entity izin untuk menggunakan dan mengungkapkan tanpa perlu otorisasi dari pemilik data asalkan covered entity memperoleh : persetujuan dari j. Ancaman yang serius terhadap kesehatan atau keamanan k. Dalam pelaksanaan fungsi pemerintah l. Dalam hal pemberian kompensasi bagi tenaga kerja 6. Limited Data Set untuk Kepentingan Riset, kesehatan publik, atau tindakan - tindakan pelayanan kesehatan lainnya Yang dimaksud Limited Data Set adalah PHI yang informasi tertentu didalamnya yang mengidentifikasikan individu dan keluarganya, atau status ketenagakerjaannya telah dihapus. Data jenis ini dapat diungkapkan dan dipakai dengan terlebih dahulu membuat perjanjian penggunaan data yang berisi janji untuk melindungi informasi - informasi dari PHI yang sudah di limitasi tersebut.94 2. Penggunaan dan Pengungkapan yang harus melalui Otorisasi Otorisasi tersebut harus menjelaskan secara spesifik informasi mana yang akan digunakan atau dibuka, pihak - pihak yang akan membuka dan menerima informasi tersebut, jangka waktu, dan Semua otorisasi harus dibuat dalam bahasa yang jelas.95 Adapun yang termasuk tindakan - tindakan yang harus melalui otorisasi antara lain: 1. Dalam hal pengungkapan dan penggunaan untuk kepentingan penggunaan asuransi jiwa 2. Pengungkapan dan penggunaan hasil tes fisik dan tes medis oleh perusahaan dalam rangka ketenagakerjaan

94 95

Privacy Rule 45 C.F.R. § 164.514(e) Privacy Rule 45 CFR § 164.532

3. Pengungkapan kepada perusahaan farmasi untuk kepentingan marketingnya 4. Dalam hal catatan psikoterapi, kecuali digunakan sebagai pengobatan dan terapi pemilik data, untuk kepentingan covered entity di persidangan, dalam hal investigasi dari HHS, kepada badan pengawas kesehatan, ataupun hal - hal lainnya yang diwajibkan oleh hukum.96 3. Penerapan Prinsip Minimum Necessary Aspek sentral dari Privacy rule adalah adanya prinsip “minimum necessary” dimana covered entity harus menggunakan upaya yang proporsional dalam penggunaan dan pengungkapan data serta hanya memohon isi data dan informasi yang relevan saja dalam melaksanakan tujuan atau kegiatan yang memerlukan data dan informasi kesehatan individu tersebut.97 Jadi jika prinsip ini diaplikasikan, misalnya dalam hal permintaan informasi rekam medis untuk tujuan tertentu, covered entity tidak dapat meminta semua isi rekam medis tersebut, kecuali memang covered entity dapat menunjukan bahwa tujuan penggunaannya tersebut secara proporsional menyatakan covered entity memang membutuhkan semua isi rekam medis tersebut. Prinsip “minimum necessary tidak berlaku dalam keadaan - keadaan berikut:98 1. Pengungkapan oleh atau atas permintaan penyedia pelayanan kesehatan untuk kepentingan pengobatan 2. Pengungkapan untuk individu yang merupakan subjek dari informasi tersebut atau kepada kuasa atau wali dari individu tersebut 3. Penggunaan dan Pengungkapan yang harus menggunakan otorisasi 4. Pengungkapan kepada HHS untuk kepentingan investigasi karena adanya suatu komplain 5. Penggunaan dan pengungkapan yang diwajibkan oleh hukum 6. Penggunaan dan pengungkapan untuk pemenuhan persyaratan oleh rules - rules lain dalam HIPAA 7. Jika pihak - pihak seperti pejabat publik tertentu, professional seperti advokat maupun auditor, business associate, peneliti, ataupun covered entity lain melakukan permintaan PHI kepada suatu covered entity, covered entity dapat 96

Privacy Rule 45 C.F.R. § 164.501 Privacy Rule 45 C.F.R. §§ 164.502(b) dan 164.514 (d) 98 HIPAA Compliance Assistance, Office of Civil Rights Health and Human Services : Privacy Brief Summary Of The Hipaa Privacy Rule 97

mengabulkan berdasarkan prinsip “minimum necessary” dengan melihat secara proporsional keperluan terhadap informasinya, dan memberikan informasi yang relevan saja. Dalam hal penggunaan dalam lingkup internal covered entity itu sendiri, covered entity harus mengembangkan dan mengimplementasikan kebijakan dan prosedur yang membatasi akses dan penggunaan PHI berdasarkan lingkup kerja dari masing - masing tenaga kerja. Prosedur dan kebijakan ini harus secara jelas menjelaskan mengenai tenaga kerja tersebut, apa peran dari tenaga kerja tersebut, tenaga kerja mana yang membutuhkan akses dan memiliki kewenangan untuk mengakses PHI. Covered Entity juga harus mengimpelementasikan prosedur dan kebijakan mengenai pengelolaan data secara rutin, pengungkapan berulang maupun mengenai permintaan untuk pengungkapan. Hal ini untuk membatasi pengungkapan PHI hanya dilakukan berdasarkan prinsip “minimum necessary” dimana PHI hanya dibuka dan digunakan untuk memenuhi suatu tujuan atau alasan PHI tersebut dibutuhkan. Untuk penggunaan dan pengungkapan khusus yang tidak bersifat rutin covered entity harus mengembangkan criteria - criteria informasi yang harus dibuka untuk membatasi pengungkapan informasi terbatas hanya pada tujuan dari penggunaannya. 4. Kewajiban Melakukan Pengumuman (Notice) mengenai Praktik Privasi Covered entity harus menyediakan pengumuman atau pemberitahuan yang berisi elemen - elemen tertentu, mengenai praktik perlindungan privasinya.99 Pengumuman tersebut harus menjelaskan cara - cara dimana covered entity dapat menggunakan dan membuka suatu PHI. Pengumuman juga harus menyebutkan kewajiban covered entity untuk melindungi privasi, menyediakan pengumuman mengenai praktik privasi, dan kepatuhan terhadap hal - hal dalam pengumuman tersebut. Pengumuman juga harus menjelaskan hak - hak individu perorangan termasuk hak untuk melakukan komplain kepada HHS dan covered entity jika mereka merasa hak privasinya telah dicederai. Dalam pengumuman juga harus dimasukan kontak yang dapat dihubungi untuk menanyakan mengenai informasi lebih jauh dan melakukan komplain. Covered entity dalam hal ini harus bertindak sesuai dengan isi pengumumannya itu.

99

Privacy Rule 45 C.F.R. §§ 164.520(a) dan (b)

5. Hak Akses bagi Pemilik data

Kecuali dalam keadaan tertentu, pemilik data dan informasi kesehatan memiliki hak untuk melihat kembali maupun mengkopi PHI miliknya.100 Pengecualian terjadi dalam hal PHI berupa catatan psikoterapi, kompilasi informasi yang digunakan untuk kepentingan pengadilan, hasil laboratorium yang tidak diperkenankan untuk diakses, atau informasi yang dipegang oleh laboratorium riset tertentu. Namun covered entity juga berwenang untuk melarang akses terhadap informasi - informasi yang tidak dilarang, misalnya jika tenaga kesehatan menentukan akses terhadap informasi tersebut dapat membahayakan pemilik data. Dalam keadaan terkait, pemilik data harus diberikan hak untuk membantah dengan berdasarkan opini dari tenaga kesehatan lain yang telah berlisensi.

6. Hak Pemilik Data Untuk Melakukan Pengubahan

Privacy rule memberikan pemilik data hak untuk memerintahkan covered entities mengubah isi PHI miliknya yang dikelola oleh covered entity jika informasi tersebut tidak akurat atau tidak lengkap.101 Dalam hal covered entity menerima permintaan terkait, covered entity harus membuat perubahan dengan usaha yang wajar dengan melihat kepentingan dari pemilik data dan kemungkinan dapat merugikan pihak ketiga. Jika covered entity menolak permintaan pengubahan, covered entity harus memberikan penolakan secara tertulis dan memberikan pemilik data hak untuk memberikan ketidaksetujuan akan hal tersebut.

7 Hak atas Dokumentasi terhadap Pengungkapan - Pengungkapan yang dilakukan

100 101

Privacy Rule 45 C.F.R. § 164.524 Privacy Rule 45 C.F.R. § 164.526

Pemilik data memiliki hak untuk mengetahui pengungkapan - pengungkapan yang dilakukan oleh covered entity atau business associates dari covered entity.102 Dalam hal ini, pemilik data dapat meminta covered entity untuk melakukan pencatatan. Covered entity harus melakukan pencatatan terhadap pengungkapan - pengungkapan yang terjadi maksimal selama 6 tahun sejak dimintakan oleh pemilik data. Namun ada juga pengungkapan - pengungkapan yang tidak perlu untuk dicatat seperti : 1. Pengungkapan untuk pengobatan, pembayaran, dan kegiatan pelayanan kesehatan lainnya 2. Pengungkapan untuk pemilik data dan kuasa atau walinya 3. Pengungkapan untuk memberitahukan kepada kerabat sesorang mengenai pelayanan kesehatan serta pembayaran pelayanan kesehatan seseorang, untuk bantuan bencana, ataupun untuk kepentingan arsip 4. Pengungkapan yang sudah diotorisasi 5. Terhadap data dan informasi yang sudah mengalami limited data set 6. Untuk keamanan nasional dan kepentingan intelijen 7. Untuk kepentingan lembaga pemasyarakatan atau penegakan hukum untuk tujuan tertentu mengenai narapidana atau individu dalam tahanan yang sah 8. Terjadi insiden pengungkapan dan penggunaan yang tidak diizinkan

8 Permintaan untuk melakukan Pembatasan Pemilik data memiliki hak untuk mengajukan permintaan kepada covered entity untuk membatasi penggunaan atau pengungkapan PHI untuk kepentingan pengobatan, pembayaran, dan tindakan pelayanan kesehatan lainnya, membatasi pengungkapan terhadap seseorang yang terlibat dalam pelayanan kesehatan maupun pembayarann pelayanan kesehatan pemilik data, atau meminta pembatasan terhadap pengungkapan untuk memberitahu anggota keluarga atau lainnya mengenai kondisi umum dari pemilik data, lokasi, maupun kematian dari pemilik data. Dalam hal ini covered entity tidak memiliki kewajiban untuk menyetujui permintaan pembatasan.103

102 103

Privacy Rule 45 C.F.R. § 164.528 Privacy Rule 45 C.F.R. § 164.522(a).

9. Pemenuhan Kebutuhan akan Komunikasi yang Konfidensial Covered Entity harus mengizinkan pemilik data dalam hal pemilik data meminta cara lain atau ditempat lain selain yang biasanya covered entitiy lakukan dalam menerima komunikasi mengenai PHI miliknya.104 Misalnya, covered entity menginformasikan mengenai perkembangan kesehatan pemilik data melalui nomor telepon yang ditentukan pemilik data, atau jika biasanya melalui telepon dapat dimintakan dikirim melalui email saja.

10. Pengaturan Kontrak dengan Business Associate Jika Covered Entity menggunakan jasa atau hal - hal lainnya yang tidak berkaitan dengan ketenagakerjaan (hubungan kontraktual dalam konteks kerjasama) Privacy rule mewajibkan untuk menambahkan ketentuan - ketentuan perlindungan informasi dalam perjanjian atau kontrak tersebut. Dalam kontrak tersebut, covered entity harus memaksakan business associate untuk menerapkan perlindungan - perlindungan dalam hal business associate menggunakan PHI yang dikelola oleh covered entity.105 Covered entity juga harus memastikan dalam perjanjian bahwa business associate yang menggunakan atau mengungkapakan PHI, tidak menggunakan atau mengungkapkan PHI dengan tujuan - tujuan yang dilarang dalam rule.106

11. Kewajiban - kewajiban Administratif Covered entity harus mengembangkan dan mengimplementasikan prosedur dan kebijakan privasi secara tertulis yang sesuai dengan ketentuan privacy rule.107 Covered entity juga diwajibkan untuk mengadakan personil khusus yang mengatur mengenai privasi yang bertugas mengembangkan dan mengimplementasikan kebijakan dan prosedur privasinya, serta menyediakan kontak seseorang atau kontak dari kantor yang bertanggung jawab menerima

104

Privacy Rule 45 C.F.R. § 164.522(b) Privacy Rule 45 C.F.R. §§ 164.502(e), 164.504(e) 106 HHS menyediakan model kontrak dengan business associate yang dapat diakses dalam website HHS https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreementprovisions/index.html diakses 26 Mei 2017 pukul 11:00 107 Privacy Rule 45 C.F.R. § 164.530(i) 105

komplain dan menyediakan informasi mengenai praktik privasi dari covered entity.108 Kemudian tenaga kerja dari covered entity harus dilatih oleh covered entity dalam hal kebijakan dan prosedur privasi sesuai dengan fungsi dari tenaga kerja tersebut. Covered entity juga harus menerapkan sanksi terhadap tenaga kerjanya tersebut apabila ada yang melanggar ketentuan kebijakan dan prosedur privasi ataupun pelanggaran terhadap privacy rule.109 Dalam hal ini covered entity harus melakukan mitigasi pada setiap keadaan membahayakan yang diketahui ditimbulkan atas pengungkapan atau penggunaan PHI oleh tenaga kerjanya atau business associatesnya.110 Covered entity juga harus mengadakan safeguards adminstratif, teknis, dan fisik secara proporsional dan layak untuk mencegah tindakan kesengajaan ataupun ketidaksengajaan penggunaan atau pengungkapan PHI yang melanggar Privacy rule. Dalam hal ini safeguards tersebut diatur dalam ketentuan security rule.111

b. Perlindungan Keamanan Informasi Kesehatan Individu dalam HIPAA Security Rule Security rule yang diatur dalam Part Code of Federal Regulation 45 bagian 164 mengenai Privacy and Security, subbagian C mengenai Security Standards For The Protection Of Electronic Protected Health Information, Secara umum menentukan Covered Entitties dan Business Associatesnya (berdasarkan amandemen HITECH act section 13401

Business

associates juga diwajibkan untuk memenuhi security rule dan dalam kontraknya dengan covered entity terkait dengan penggunaan PHI harus dicantumkan mengenai hal ini) wajib untuk melakukan hal - hal berikut :112 1. Menjamin kerahasiaan, keutuhan, dan ketersediaan semua protected health Information (PHI) elektronik yang dibuat, diterima, dikelola, dan dtransmisikan oleh mereka. 2. Melindungi terhadap ancaman - ancaman yang dapat diptediksikan atau bencana terhadap keamanan atau keutuhan PHI. 3. Melindungi terhadap penggunaan atau pengungkapan PHI yang tidak diperlukan atau diijinkan sebagaimana ditentukan dalam privacy rule

108

Privacy Rule 45 C.F.R. § 164.530(a) Privacy Rule 45 C.F.R. § 164.530 (b), dan (e) 110 Privacy Rule 45 C.F.R. § 164.530(f) 111 Privacy Rule 45 C.F.R. § 164.530(c) 112 Security Rule 45 C.F.R. § 164.306 109

4. Menjamin tenaga - tenaga kerja dari covered entity memenuhi ketentuan dalam rules ini Adapun dalam rule ditentukan standar - standar yang wajib diterapkan untuk menghormati PHI elektronik. Standar - standar tersebut terdiri dari beberapa safeguards yaitu administrative safeguards, physical safeguards, dan technical safeguards, dimana ukuran aman yang ditentukan dalam rules ini adalah apabila sudah memastikan penerapan administrative, physical, dan technical safeguards tersebut secara proporsional. Administrative safeguards adalah tindakan administratif, kebijakan dan prosedur, untuk mengelola pemilihan, pengembangan, implementasi dan perawatan keamanan PHI elektronik, serta pengelolaan terhadap hal - hal yang harus dilakukan untuk melindungi keamanan dari PHI elektronik.113 Sedangkan Physical safeguards adalah ukuran, prosedur, dan kebijakan yang terkait dengan hal -hal fisik, untuk melindungi sistem informasi yang terkait dengan PHI elektronik serta bangunan dan perlengkapan terkait terhadap bencana alam dan tindakan masuk tanpa izin.114 Kemudian Technical safeguards adalah kebijakan dan prosedur terkait dengan teknologi yang digunakan untuk melindungi dan mengontrol akses dari PHI elektronik.115 Covered entities dan business associates dapat menggunakan cara - cara kemanan tertentu sepanjang dapat mengimplementasikan standard dan spesifikasi yang diatur dalam rule ini, dengan melihat :116 

Ukuran, kompleksitas, dan kapabilitas dari covered entity dan business associate



Kapabilitas keamanan Infrastruktur teknis, perangkat keras, dan perangkat lunak



Biaya



Kemungkinan dan potensi resiko terhadap PHI elektronik

Adapun dalam security rules covered entity dan business associate diberikan fleksibilitas dalam menentukan implementasi, atau semacam self assessment terhadap kondisi dari kelembagaannya masing - masing, dalam menentukan implementasi mana yang dianggap perlu untuk diterapkan dengan melihat pertimbangan - pertimbangan diatas. Dalam hal ini, ada implementasi yang bersifat kewajiban (required)117 dan ada juga yang bersifat pilihan (addressable). Bersifat pilihan maksudnya adalah tergantung terhadap organisasi yang 113

Security Rule 45 C.F.R. § 164.304 Ibid., 115 Ibid., 116 Security Rule 45 C.F.R. § 164.306 (b)(2) 117 Security Rule 45 C.F.R. § 164.306(2) 114

mengelola PHI apakah memerlukan implementasi tersebut terhadap perlindungan PHI. Apabila dirasa suatu implementasi dalam rules tersebut tidak perlu diterapkan, maka covered entity dan business associate wajib membuat dokumen yang menerangkan alasan mengapa tidak perlu menerapkan implementasi tersebut atau bila diperlukan dapat menerapkan standar alternative yang sesuai dengan organisasi tersebut.118

c. Kewajiban Hukum dalam Breach Notification Rule Pengaturan mengenai notifikasi diatur dalam Part 164 Code Of Federal Regulation 45 Subpart sendiri yaitu Subpart D mengenai Notification in the case of Breach of Unsecured Protected Health Information berdasarkan wewenang yang diberikan dalam HITECH Act Section 13402 mengenai Notification In The Case Of Breach. Yang dimaksud dengan kegagalan perlindungan data atau Breach dijelaskan sebagai berikut: § 164.402 Definitions. As used in this subpart, the followingterms have the following meanings: Breach means the acquisition, accessuse, or disclosure of protected health information in a manner not permitted under subpart E of this partwhich compromises the security or privacy of the protected health information. Apabila diterjemahkan maka yang dimaksud dengan breach adalah perolehan, penggunaan, atau pengungkapan PHI yang tidak sesuai dengan ketentuan subpart E (Privacy rule) yang melanggar keamanan atau privasi dari PHI. Pengaturan ini secara umum menjelaskan bahwa covered entity yang mengelola PHI, apabila menemukan terjadi kegagalan dalam perlindungan datanya, harus memberitahukan atau memberikan notifikasi terhadap pemilik data yang terkait dengan data yang gagal dilindungi tersebut serta pemilik data yang belum diketahui apakah gagal untuk dilindungi juga namun dipercaya telah gagal dilindungi. Business Associate dalam hal ini apabila menemukan terjadinya kegagalan perlindungan data terhadap data dibawah naungannya, harus memberitahukan kepada covered entity. Pemberitahuan tersebut harus berisi identifikasi tiap data individu yang mengalami atau dipercaya mengalami kegagalan perlindungan data. Yang

118

Security Rule 45 C.F.R. § 164.306 (3)(i)(ii)

dimaksud dengan menemukan dalam hal ini adalah ditemukan pada saat pertama kali diketahui oleh covered entity atau business associate. Covered entity dan business associate dianggap mengetahui apabila kegagalan perlindungan data tersebut sudah diketahui umum. Notifikasi atau pemberitahuan tersebut harus diberitahukan dalam waktu tidak lebih dari 60 hari setelah kegagalan perlindungan data tersebut ditemukan. Notifikasi dibuat secara tertulis dengan mengirim surat yang dapat secara elektronik ke alamat terakhir yang diketahui, atau melalui telepon, atau bisa juga dengan memposting di website milik para pihak dalam jangka waktu 90 hari, dengan menyediakan kontak yang dapat dihubungi. Adapun pemberitahuan tersebut paling sedikit memuat: 1. Penjelasan singkat mengenai apa yang terjadi, tanggal terjadinya kegagalan perlindungan data, serta tanggal ditemukannya kegagalan tersebut; 2. Data pasien apa yang gagal untuk dilindungi tersebut (misalnya, nama lengkapnya, tempat/tanggal lahir, alamat); 3. Langkah - langkah yang harus dilakukan pemilik data terhadap potensi kerugian akibat terjadinya kegagalan perlindungan data; 4. Penjelasan singkat mengenai langkah - langkah selanjutnya yang akan dilakukan terkait dengan kegagalan perlindungan data tersebut. 5. Kontak yang dapat dihubungi.119 Kemudian diatur dalam rule ini, jika kegagalan perlindungan data yang terjadi melibatkan lebih dari 500 data seseorang dalam jurisdiksi negara bagian tertentu, covered entity harus melakukan pemberitahuan kepada media yang beroperasi dalam jurisdiksi tersebut. Jangka waktunya sama dengan pemberitahuan kepada individu, yaitu tidak lebih dari 60 hari sejak ditemukan. Isi dari pemberitahuan kurang lebih sama dengan isi pemberitahuan untuk individual.120 Kemudian covered entity juga diwajibkan untuk memberitahukan kepada HHS melalui mekanisme posting breach dalam website HHS, Apabila kegagalan perlindungan data yang terjadi melibatkan 500 atau lebih individu. Jika kegagalan perlindungan data yang terjadi melibatkan kurang dari 500 individu, covered entity harus membuat dokumentasi mengenai

119 120

Section § 164.404 Breach Notification Rule Section § 164.406 Breach Notification Rule

kegagalan perlindungan data yang terjadi, setiap tahunnya harus melaporkan kepada HHS melalui mekanisme dalam website HHS.121 Dalam hal terdapat penegakan hukum terhadap covered entity atau business associate, jika pemberitahuan yang dilakukan dirasa mengganggu proses penegakan hukum tersebut, rule ini memberikan kewajiban bagi covered entity maupun business associate untuk mengehentikan atau menghentikan sementara pemberitahuan tersebut.

121

Section § 164.408 Breach Notification Rule