Keamanan Data Pasien di Rumah Sakit: Panduan Lengkap Sesuai UU PDP dan Permenkes 24/2022

Ringkasan: Data kesehatan pasien termasuk kategori data spesifik (sensitif) menurut UU PDP No. 27/2022, yang mewajibkan rumah sakit menerapkan perlindungan berlapis dengan sanksi denda hingga 2% dari pendapatan tahunan. Artikel ini membahas 7 lapisan keamanan wajib — dari enkripsi dan RBAC hingga incident response — dilengkapi checklist kepatuhan untuk akreditasi KARS/SNARS dan pelajaran dari insiden kebocoran data e-HAC 2021. Panduan praktis ini membantu manajemen RS membangun fondasi keamanan data yang sesuai regulasi dan melindungi kepercayaan pasien.

---

Mengapa Keamanan Data Pasien adalah Prioritas Utama RS

Rumah sakit menyimpan beberapa jenis data paling sensitif yang ada — riwayat penyakit, diagnosis, hasil laboratorium, resep obat, riwayat operasi, bahkan informasi genetik. Jika data ini bocor atau disalahgunakan, dampaknya bukan hanya kerugian finansial, tetapi juga kehancuran kepercayaan pasien yang membutuhkan waktu bertahun-tahun untuk dibangun kembali.

Data Kesehatan dalam Perspektif Regulasi

Dalam hierarki perlindungan data, data kesehatan menempati posisi tertinggi:

1. UU PDP No. 27/2022 mengklasifikasikan data kesehatan sebagai data spesifik (Pasal 4 ayat 2) — setara dengan data biometrik, data genetika, dan data orientasi seksual
2. Permenkes 24/2022 Pasal 35 secara spesifik mengatur keamanan rekam medis elektronik
3. HIPAA (standar internasional) menempatkan Protected Health Information (PHI) sebagai data yang memerlukan safeguard paling ketat
4. GDPR mengkategorikan data kesehatan sebagai special category data yang memerlukan legal basis tersendiri

Insiden Nyata: Kebocoran Data e-HAC 2021

Pada Agustus 2021, peneliti keamanan siber dari vpnMentor menemukan bahwa database aplikasi electronic Health Alert Card (e-HAC) milik Kemenkes terekspos secara publik. Data yang bocor mencapai 720 GB, meliputi:

• Data pribadi 1,3+ juta pengguna
• Nama lengkap, tanggal lahir, nomor KTP
• Hasil tes COVID-19
• Data rumah sakit tempat tes dilakukan
• Foto dan informasi perjalanan

Meskipun Kemenkes mengklaim tidak ada penyalahgunaan data, insiden ini menjadi wake-up call bagi seluruh fasilitas kesehatan di Indonesia tentang pentingnya keamanan data.

Pelajaran dari insiden e-HAC:

• Database yang tidak terproteksi (exposed Elasticsearch server) tanpa autentikasi
• Tidak ada monitoring akses abnormal
• Respons yang lambat — butuh berminggu-minggu untuk menutup akses setelah dilaporkan
• Dampak reputasi yang signifikan bagi institusi kesehatan pemerintah

---

Kerangka Regulasi Keamanan Data RS di Indonesia

UU PDP No. 27/2022: Ketentuan Utama untuk RS

UU Perlindungan Data Pribadi yang disahkan pada Oktober 2022 memiliki implikasi langsung bagi rumah sakit:

Klasifikasi Data

Jenis Data di RS	Klasifikasi UU PDP	Tingkat Perlindungan
Nama, alamat, telepon pasien	Data umum	Standar
Nomor KTP, BPJS	Data umum	Standar
Diagnosis dan riwayat penyakit	Data spesifik (kesehatan)	Tinggi
Hasil laboratorium dan radiologi	Data spesifik (kesehatan)	Tinggi
Resep dan riwayat obat	Data spesifik (kesehatan)	Tinggi
Data genetik/genomik	Data spesifik (genetika)	Sangat tinggi
Sidik jari/biometrik untuk akses	Data spesifik (biometrik)	Sangat tinggi
Catatan psikiatri	Data spesifik (kesehatan)	Sangat tinggi

Kewajiban RS sebagai Pengendali Data

Berdasarkan UU PDP, RS sebagai pengendali data pribadi wajib:

1. Memiliki dasar pemrosesan yang sah (Pasal 20) — untuk RS, dasar utamanya adalah pelayanan kesehatan dan kepentingan vital subjek data
2. Menunjuk DPO (Data Protection Officer) jika memproses data dalam skala besar (Pasal 53)
3. Melakukan DPIA (Data Protection Impact Assessment) untuk pemrosesan berisiko tinggi
4. Memberitahu subjek data dalam 3x24 jam jika terjadi kebocoran (Pasal 46)
5. Menyimpan data sesuai ketentuan — rekam medis: 25 tahun rawat inap, 5 tahun rawat jalan
6. Menghapus data jika tidak lagi diperlukan atau subjek data meminta (dengan pengecualian rekam medis)

Sanksi UU PDP

Jenis Pelanggaran	Sanksi Pidana	Sanksi Administratif
Mengumpulkan data secara melawan hukum	Penjara maks 5 tahun + denda maks Rp5 miliar	Peringatan tertulis
Mengungkapkan data spesifik ilegal	Penjara maks 5 tahun + denda maks Rp5 miliar	Penghentian sementara kegiatan pemrosesan
Menggunakan data orang lain secara ilegal	Penjara maks 5 tahun + denda maks Rp5 miliar	Penghapusan data pribadi
Membuat data palsu	Penjara maks 6 tahun + denda maks Rp6 miliar	Denda administratif maks 2% dari pendapatan tahunan

Sanksi denda 2% dari pendapatan tahunan adalah ancaman yang sangat material bagi RS — untuk RS dengan pendapatan Rp100 miliar per tahun, denda bisa mencapai Rp2 miliar.

Permenkes 24/2022 Pasal 35: Keamanan Rekam Medis

Pasal 35 Permenkes 24/2022 secara spesifik mengatur bahwa fasilitas pelayanan kesehatan harus menjamin:

1. Kerahasiaan (confidentiality) — hanya pihak berwenang yang dapat mengakses
2. Keutuhan (integrity) — data tidak boleh diubah secara tidak sah
3. Ketersediaan (availability) — data harus dapat diakses saat dibutuhkan untuk pelayanan
4. Keamanan fisik dan digital — ruang server terkunci, akses terbatas, dan sistem monitoring
5. Audit trail — setiap akses dan perubahan data tercatat

---

7 Lapisan Keamanan Wajib untuk Rumah Sakit

Lapisan 1: Enkripsi Data (At Rest dan In Transit)

Enkripsi at rest — data yang disimpan di database dan storage:

• Database rekam medis harus dienkripsi menggunakan AES-256 atau setara
• Backup data harus dienkripsi dengan kunci terpisah dari data produksi
• File attachment (foto, scan dokumen) harus dienkripsi di storage
• Kunci enkripsi harus dikelola secara terpisah (key management)

Enkripsi in transit — data yang dikirim antar sistem:

• Seluruh komunikasi harus menggunakan TLS 1.2 atau lebih tinggi
• API antar modul SIMRS harus melalui HTTPS
• VPN untuk akses remote ke sistem RS
• Enkripsi end-to-end untuk data yang dikirim ke SATUSEHAT dan VClaim

Implementasi praktis:

• Pastikan sertifikat SSL/TLS selalu valid dan di-renew otomatis
• Nonaktifkan protokol lama (TLS 1.0, TLS 1.1, SSL)
• Gunakan certificate pinning untuk aplikasi mobile RS

Lapisan 2: Role-Based Access Control (RBAC)

RBAC memastikan setiap pengguna hanya bisa mengakses data sesuai perannya:

Role	Akses Data
Dokter poli tertentu	Rekam medis pasien yang sedang ditangani di poli tersebut
Perawat	Data vital sign, catatan keperawatan, order dokter
Farmasi	Resep, riwayat obat, informasi alergi
Laboratorium	Order lab, hasil pemeriksaan, specimen tracking
Kasir/billing	Data billing, jaminan, tarif — BUKAN data klinis
Manajemen	Dashboard agregat — BUKAN detail rekam medis individual
Admin IT	Akses teknis sistem — BUKAN konten rekam medis
Coder/casemix	Resume medis, kode diagnosis, data klaim

Prinsip RBAC yang harus diterapkan:

• Least privilege — berikan akses minimal yang dibutuhkan untuk bekerja
• Separation of duties — admin IT tidak boleh bisa mengubah data klinis
• Time-based access — akses darurat (break-the-glass) dengan audit ketat
• Regular review — review hak akses setiap 3 bulan, cabut akses pegawai yang resign

Lapisan 3: Audit Trail Komprehensif

Setiap akses dan perubahan data harus tercatat secara immutable:

Data yang harus dicatat dalam audit trail:

• Siapa yang mengakses (user ID, nama, role)
• Kapan mengakses (timestamp dengan presisi detik)
• Data apa yang diakses (nomor RM, modul, field)
• Dari mana mengakses (IP address, device, lokasi)
• Aksi apa yang dilakukan (view, create, update, delete, print, export)

Retensi audit trail:

• Minimal 5 tahun untuk audit trail operasional
• Disimpan terpisah dari database utama agar tidak bisa dimanipulasi
• Audit trail itu sendiri harus terproteksi dari perubahan (write-once, append-only)

Review berkala:

• Analisis pola akses abnormal (akses di luar jam kerja, volume akses tidak wajar)
• Deteksi unauthorized access attempt
• Laporan audit trail untuk kebutuhan akreditasi

Lapisan 4: Backup dan Disaster Recovery

Kehilangan data rekam medis bisa mengancam keselamatan pasien. Strategi backup yang wajib:

Aturan 3-2-1:

• 3 salinan data (1 produksi + 2 backup)
• 2 jenis media penyimpanan berbeda (server + external storage/cloud)
• 1 salinan di lokasi berbeda (offsite atau cloud)

Recovery Point Objective (RPO):

• Data transaksional (pendaftaran, order, billing): RPO < 1 jam
• Data klinis (rekam medis, hasil lab): RPO < 15 menit
• Data master (pasien, dokter, tarif): RPO < 24 jam

Recovery Time Objective (RTO):

• Sistem kritis (pendaftaran, farmasi, IGD): RTO < 4 jam
• Sistem penting (lab, radiologi, billing): RTO < 8 jam
• Sistem pendukung (reporting, analytics): RTO < 24 jam

Testing:

• Uji restore backup minimal setiap 3 bulan
• Simulasi disaster recovery minimal setiap 6 bulan
• Dokumentasikan hasil testing dan perbaikan yang diperlukan

Lapisan 5: Firewall dan Network Security

Jaringan RS harus dirancang dengan prinsip defense-in-depth:

Segmentasi jaringan:

• Pisahkan jaringan SIMRS dari jaringan Wi-Fi pasien/pengunjung
• Pisahkan jaringan server dari jaringan workstation
• Isolasi jaringan untuk perangkat medis (IoT)
• DMZ untuk server yang diakses dari internet (web service, Aplicare)

Firewall rules:

• Block semua traffic by default, allow hanya yang diperlukan
• Restrict akses ke database hanya dari application server
• Monitoring traffic anomaly secara real-time

Endpoint protection:

• Antivirus/anti-malware pada setiap workstation
• Patch management yang disiplin (update OS dan aplikasi)
• Disable USB drive pada workstation yang mengakses data sensitif
• Enkripsi full-disk pada laptop yang digunakan di luar RS

Lapisan 6: Two-Factor Authentication (2FA)

Username dan password saja tidak cukup untuk melindungi akses ke data pasien:

Implementasi 2FA:

• Wajib untuk semua akses ke SIMRS dan RME
• Pilihan faktor kedua: OTP via SMS/WA, authenticator app (Google Authenticator, Microsoft Authenticator), atau biometrik (fingerprint)
• Session timeout: auto-logout setelah 15 menit idle untuk workstation, 5 menit untuk mobile
• Lock account setelah 5x percobaan gagal login

Rekomendasi berdasarkan role:

• Dokter: fingerprint + PIN (cepat dan praktis di sela pelayanan)
• Admin: authenticator app + password
• Remote access: VPN + 2FA wajib
• Akses darurat (break-the-glass): requires supervisor approval + full audit trail

Lapisan 7: Incident Response Plan

Meskipun sudah menerapkan 6 lapisan di atas, insiden tetap bisa terjadi. RS harus memiliki rencana respons:

Tim Incident Response:

• Incident Commander (biasanya Direktur atau Wakil Direktur)
• Tim IT / Security
• Legal / Compliance
• Komunikasi / Humas
• DPO (Data Protection Officer)

Prosedur ketika terjadi insiden:

1. Deteksi dan Identifikasi (0-1 jam)
• Identifikasi jenis insiden (kebocoran, ransomware, unauthorized access)
• Tentukan scope dan severity
• Aktifkan tim incident response

1. Containment (1-4 jam)
• Isolasi sistem yang terdampak
• Preserve evidence untuk forensik
• Aktifkan sistem backup jika perlu

1. Eradication (4-24 jam)
• Identifikasi root cause
• Tutup vulnerability yang dieksploitasi
• Pastikan tidak ada backdoor tersisa

1. Recovery (24-72 jam)
• Restore sistem dari clean backup
• Verifikasi integritas data
• Monitor ketat selama 72 jam pertama

1. Notifikasi (wajib dalam 3x24 jam per UU PDP)
• Notifikasi ke subjek data yang terdampak
• Laporan ke Lembaga PDP (setelah terbentuk)
• Koordinasi dengan BSSN jika diperlukan

1. Post-Mortem (7-14 hari)
• Analisis akar masalah
• Dokumentasi lessons learned
• Update kebijakan dan prosedur

---

DPO (Data Protection Officer): Peran dan Tanggung Jawab

Kapan RS Wajib Menunjuk DPO?

Berdasarkan UU PDP Pasal 53, pengendali data wajib menunjuk DPO jika:

• Pemrosesan data dilakukan dalam skala besar
• Aktivitas inti melibatkan pemrosesan data spesifik secara teratur dan sistematis

RS hampir selalu memenuhi kedua kriteria ini — sehingga penunjukan DPO bisa dianggap wajib untuk sebagian besar RS.

Tugas DPO di RS

1. Memberikan saran kepada manajemen RS tentang kewajiban perlindungan data
2. Memantau kepatuhan terhadap UU PDP dan kebijakan internal
3. Memberikan saran terkait DPIA (Data Protection Impact Assessment)
4. Menjadi kontak antara RS dengan Lembaga PDP dan subjek data
5. Melatih staf tentang kesadaran perlindungan data
6. Menangani permintaan subjek data (akses, koreksi, penghapusan)

Kualifikasi DPO

• Memahami hukum dan praktik perlindungan data
• Memahami operasional dan teknologi RS
• Mampu berkomunikasi dengan manajemen dan staf teknis
• Independen — tidak boleh menerima instruksi terkait tugasnya
• Bisa dari internal RS atau pihak ketiga (konsultan)

---

Checklist Keamanan Data untuk Akreditasi KARS/SNARS

Standar akreditasi KARS (SNARS) memiliki standar MIRM (Manajemen Informasi dan Rekam Medis) yang mencakup aspek keamanan data:

Checklist Kepatuhan

• ☐ Kebijakan keamanan data tertulis dan disosialisasikan ke seluruh staf
• ☐ RBAC terimplementasi — setiap user memiliki hak akses sesuai role
• ☐ Audit trail aktif dan di-review berkala
• ☐ Enkripsi diterapkan pada data at rest dan in transit
• ☐ Backup dilakukan secara reguler dan di-test restore-nya
• ☐ 2FA aktif untuk akses ke sistem rekam medis
• ☐ Firewall dan network segmentation terkonfigurasi
• ☐ Antivirus/anti-malware aktif dan ter-update di semua workstation
• ☐ Incident response plan terdokumentasi dan disimulasikan
• ☐ DPO atau penanggung jawab keamanan data ditunjuk
• ☐ Training keamanan data dilakukan minimal 1x per tahun
• ☐ Perjanjian kerahasiaan ditandatangani seluruh staf
• ☐ Akses fisik ke server room terkontrol (kartu akses, CCTV)
• ☐ Disposal media penyimpanan sesuai standar (data wiping/destruction)
• ☐ Log akses ke ruang server dan ruang rekam medis tercatat

---

Ancaman Keamanan Data yang Sering Terjadi di RS

1. Ransomware

Serangan ransomware terhadap fasilitas kesehatan meningkat pesat secara global. RS menjadi target karena:

• Data kesehatan sangat berharga
• RS tidak bisa menghentikan operasional — tekanan untuk membayar tebusan tinggi
• Banyak RS masih menggunakan sistem lama yang rentan

Mitigasi: backup yang terpisah dari jaringan utama, patch management yang disiplin, email filtering, dan training staf tentang phishing.

2. Insider Threat

Ancaman dari dalam seringkali lebih berbahaya karena pelaku sudah memiliki akses:

• Staf yang mengakses rekam medis pasien tanpa keperluan klinis (curiosity browsing)
• Staf yang menjual data pasien
• Staf yang resign dan membawa data

Mitigasi: RBAC ketat, monitoring akses abnormal, exit procedure yang mencabut semua akses, dan perjanjian kerahasiaan.

3. Phishing dan Social Engineering

Pelaku menyamar sebagai pihak tepercaya untuk mendapatkan kredensial:

• Email palsu yang mengaku dari Kemenkes atau BPJS
• Telepon yang meminta password untuk "maintenance sistem"
• USB drive berisi malware yang ditinggalkan di area RS

Mitigasi: training kesadaran keamanan untuk seluruh staf, email filtering, dan kebijakan bahwa password tidak pernah diminta via telepon atau email.

4. Perangkat Medis yang Tidak Aman

Banyak perangkat medis terhubung ke jaringan RS tetapi tidak memiliki fitur keamanan memadai:

• Monitor pasien, infusion pump, ventilator yang terhubung jaringan
• Firmware yang jarang di-update
• Default password yang tidak diganti

Mitigasi: network segmentation untuk perangkat medis, monitoring traffic, dan koordinasi dengan vendor perangkat untuk patch keamanan.

---

Keamanan Data dalam Konteks CDSS

Salah satu concern utama RS dalam mengadopsi teknologi AI untuk keputusan klinis adalah keamanan data pasien. Apakah data diagnosis, resep, dan catatan SOAP pasien aman saat diproses oleh sistem AI?

Clinical Decision Support System (CDSS) dari MedMinutes dirancang dengan prinsip privacy-by-design:

• Pemrosesan 100% di browser — data klinis diproses secara lokal di perangkat pengguna, tidak dikirim ke server eksternal
• Zero data retention — tidak ada data pasien yang disimpan oleh sistem CDSS
• 4 modul terintegrasi: SOAP Extraction, ICD-10 AI, Drug Interaction Check, dan AI Resume Medis — semuanya berjalan tanpa mengirim data keluar dari lingkungan RS

Dengan arsitektur ini, RS mendapatkan manfaat AI untuk mendukung keputusan klinis tanpa mengorbankan keamanan dan privasi data pasien — sepenuhnya sejalan dengan UU PDP dan Permenkes 24/2022.

Pelajari Lebih Lanjut tentang CDSS MedMinutes

---

FAQ

Apa sanksi bagi rumah sakit yang mengalami kebocoran data pasien?

Berdasarkan UU PDP No. 27/2022, RS yang mengalami kebocoran data bisa dikenakan sanksi administratif berupa denda hingga 2% dari pendapatan tahunan, peringatan tertulis, penghentian sementara pemrosesan data, hingga penghapusan data. Secara pidana, jika kebocoran terjadi karena kelalaian yang disengaja, ancaman penjara mencapai 5-6 tahun dengan denda hingga Rp6 miliar. Selain sanksi hukum, dampak reputasi berupa turunnya kepercayaan pasien seringkali lebih merugikan dalam jangka panjang.

Apakah cloud/SaaS aman untuk menyimpan data rekam medis pasien?

Cloud bisa aman untuk data rekam medis jika memenuhi beberapa syarat: (1) Data center berlokasi di Indonesia sesuai ketentuan UU PDP tentang transfer data lintas batas, (2) Vendor cloud memiliki sertifikasi keamanan (ISO 27001, SOC 2), (3) Enkripsi diterapkan baik at rest maupun in transit, (4) RS tetap menjadi pengendali data — vendor hanya sebagai prosesor, (5) Kontrak mencantumkan klausul keamanan, audit right, dan data portability. Kuncinya bukan cloud vs on-premise, melainkan apakah standar keamanan dipenuhi di manapun data disimpan.

Bagaimana cara memulai program keamanan data di RS yang belum memiliki?

Langkah-langkah memulai: (1) Tunjuk penanggung jawab keamanan data atau DPO, (2) Lakukan assessment kondisi keamanan saat ini — identifikasi gap terhadap UU PDP dan Permenkes 24/2022, (3) Prioritaskan implementasi berdasarkan risiko: mulai dari RBAC dan enkripsi sebagai fondasi, (4) Buat kebijakan keamanan data tertulis, (5) Lakukan training awareness untuk seluruh staf, (6) Implementasi audit trail dan monitoring, (7) Siapkan incident response plan, (8) Review dan tingkatkan secara berkala. Budget awal yang realistis untuk RS menengah berkisar Rp100-300 juta untuk tahun pertama.

Berapa lama data rekam medis harus disimpan?

Berdasarkan Permenkes 24/2022: rekam medis rawat inap harus disimpan minimal 25 tahun sejak tanggal terakhir pasien berobat, sedangkan rawat jalan minimal 5 tahun. Setelah melewati masa retensi, rekam medis bisa dimusnahkan dengan prosedur yang terdokumentasi. Penting dicatat bahwa data ringkasan medis (resume) harus disimpan selamanya. Dalam konteks digital, RS harus memastikan format penyimpanan tetap bisa dibaca selama masa retensi — migrasi format harus direncanakan.

---

Referensi

1. Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi. Lembaran Negara Republik Indonesia.
2. Kementerian Kesehatan RI. (2022). _Peraturan Menteri Kesehatan Nomor 24 Tahun 2022 tentang Rekam Medis_. Jakarta: Kemenkes RI.
3. vpnMentor. (2021). _Report: Indonesian Government's COVID-19 App Exposes Over 1 Million People in Massive Data Leak_. https://www.vpnmentor.com/blog/report-ehac-indonesia-leak/
4. BSSN. (2023). _Pedoman Keamanan Siber untuk Sektor Kesehatan_. Jakarta: Badan Siber dan Sandi Negara.
5. KARS. (2022). _Standar Nasional Akreditasi Rumah Sakit (SNARS) Edisi 1.1 — Standar MIRM_. Jakarta: KARS.
6. ISO. (2022). _ISO 27001:2022 — Information Security Management Systems_. International Organization for Standardization.
7. NIST. (2023). _Cybersecurity Framework for Healthcare_. National Institute of Standards and Technology.
8. WHO. (2022). _Protecting Patient Data: A Guide for Health Facilities_. Geneva: World Health Organization.