Daftar Isi 10 bagian
Ringkasan: 8 EP, 3 Substandar, dan Apa yang Berubah
TL;DR
Inti yang perlu diketahui dalam 60 detik
MRMIK 2 adalah kelompok standar keamanan data pada Standar Akreditasi Rumah Sakit (KMK No. HK.01.07/MENKES/1596/2024). Kelompok ini terdiri dari 3 substandar — MRMIK 2 (pelatihan staf), MRMIK 2.1 (kontrol akses, kerahasiaan, integritas), MRMIK 2.2 (perlindungan dari hilang, curi, rusak) — dengan total 8 elemen penilaian (EP).
Yang berubah dari KMK 1128/2022 ke KMK 1596/2024: struktur 3 substandar dipertahankan, namun KMK 1596 mempertegas kewajiban 3 lokasi penyimpanan (server di RS, backup rutin, cloud/backup di luar RS) dan secara eksplisit menyebut Rekam Medis Elektronik di MRMIK 5 — efek samping: RS yang masih paper-only akan kesulitan memenuhi MRMIK 2.1 EP b (audit log) dan MRMIK 2.2 EP a.
Bukti utama yang harus disiapkan: SK Direktur tentang akses data, matriks RBAC, audit log RME 90 hari terakhir, SPO penanganan insiden, rekap incident 12 bulan, dan bukti pelatihan tahunan staf. Estimasi waktu persiapan dossier: 2–4 minggu untuk RS yang sudah punya RME aktif, 6–8 minggu untuk RS yang baru migrasi.
Cross-reference regulasi: UU 17/2023 Pasal 4(1)(i) dan Pasal 177(1), UU 27/2022 PDP Pasal 4(2)(c), Permenkes 24/2022 Pasal 8 (rekam jejak elektronik wajib).
Perubahan KMK 1128 ke KMK 1596 yang Sering Disalah-pahami
KMK 1128/2022 telah dicabut sejak 4 Oktober 2024 (Diktum KELIMA KMK 1596/2024). Banyak template SPO dan dokumen MRMIK yang masih beredar di internet merujuk ke KMK 1128 — pastikan dokumen rumah sakit Anda mengganti referensi regulasi ke KMK 1596/2024 sebelum visitasi. Lihat perbandingan lengkap KMK 1128 vs 1596 →
MRMIK 2 — Pelatihan & Integrasi Data Klinis
MRMIK 2 berisi 2 elemen penilaian yang memastikan staf rumah sakit memahami prinsip pengelolaan informasi dan bahwa data klinis serta non klinis terintegrasi dalam satu kerangka. Standar ini menjadi prasyarat substantif untuk MRMIK 2.1 dan 2.2 — tidak ada gunanya memiliki sistem keamanan canggih jika staf belum dilatih cara memakainya.
EP a — Bukti Pelatihan Staf
EP 2.aRumah sakit memiliki bukti pelatihan kepada Profesional Pemberi Asuhan (PPA), pimpinan, kepala unit, dan staf tentang prinsip pengelolaan dan penggunaan sistem informasi sesuai peran masing-masing.
Bukti yang dapat disiapkan:
- Sertifikat pelatihan setiap staf yang ditandatangani oleh fasilitator dan Bagian SDM rumah sakit
- Materi pelatihan (presentasi, modul) yang diversioning per tahun — minimal 1 sesi pelatihan per staf per tahun
- Daftar hadir (signed) atau log kehadiran digital dari platform e-learning
- Hasil evaluasi pre-test dan post-test yang menunjukkan peningkatan pemahaman
- Atestasi tanda tangan Code of Conduct kerahasiaan data oleh seluruh staf
EP b — Integrasi Data Klinis dan Non Klinis
EP 2.bRumah sakit melakukan integrasi data klinis (rekam medis, hasil laboratorium, radiologi, farmasi) dan non klinis (admisi, billing, SDM, inventori) ke dalam Sistem Informasi Kesehatan internal maupun ke pelaporan nasional (SIRS Online, RS Online, SatuSehat).
Bukti yang dapat disiapkan:
- Diagram alur data yang menunjukkan integrasi antar modul klinis dan non klinis
- Bukti kepatuhan pelaporan SIRS Online dan integrasi SatuSehat (screenshot dashboard)
- Daftar antar muka (interface) sistem informasi yang aktif — misal antara RME, sistem laboratorium, dan farmasi
- Notulen rapat Komite RM atau Komite TIK yang membahas integrasi data dalam 12 bulan terakhir
Cross-reference Regulasi
Untuk EP a dan b, bukti pelatihan dan integrasi data juga memenuhi UU 17/2023 Pasal 4(1)(i) tentang hak pasien atas kerahasiaan data, serta UU 27/2022 PDP Pasal 26 yang mewajibkan pengendali data pribadi (rumah sakit) memberikan pelatihan pelindungan data kepada personel yang menangani data pribadi.
MRMIK 2.1 — Kontrol Akses, Kerahasiaan, Integritas Data
MRMIK 2.1 adalah substandar yang paling sering jadi titik fokus surveyor karena bukti yang diminta bersifat operasional dan dapat didemonstrasikan secara langsung di hadapan tim survei. Total ada 3 elemen penilaian (a, b, c) yang harus dipenuhi secara berurutan: regulasi, monitoring, dan tindakan.
EP a — Proses Kontrol Akses
EP 2.1.aRumah sakit menetapkan proses pemberian, perubahan, dan pencabutan hak akses ke data rekam medis dan informasi kesehatan yang berbasis peran (Role-Based Access Control / RBAC) dengan kredensial unik per pengguna.
Komponen wajib pada EP 2.1.a meliputi: matriks RBAC yang menetapkan peran terhadap jenis aksi (read, create, update, delete, export, print) per modul, kebijakan kata sandi (panjang minimum, kompleksitas, rotasi), session timeout, autentikasi multi faktor (MFA) untuk peran sensitif (admin sistem, ekspor data agregat), dan SOP onboarding serta offboarding akun untuk staf baru maupun staf yang keluar.
EP b — Monitoring Kepatuhan
EP 2.1.bRumah sakit melakukan pemantauan kepatuhan terhadap kerahasiaan, keamanan, dan integritas data, yang dibuktikan dengan audit log lengkap dan laporan review berkala oleh Komite Rekam Medis bersama Tim IT.
Audit log yang disusun untuk EP 2.1.b harus mencatat 6 atribut minimum per aksi: user_id, timestamp, IP address, action_type, object_id, dan status aksi (sukses atau gagal). Permenkes 24/2022 Pasal 8 ayat (1) huruf c menegaskan bahwa RME wajib memiliki rekam jejak elektronik untuk seluruh aktivitas.
EP c — Sanksi Pelanggaran
EP 2.1.cRumah sakit memiliki prosedur sanksi internal terhadap pelanggaran kerahasiaan, keamanan, atau integritas data oleh staf. Bukti minimum: SK Direktur tentang sanksi, prosedur disipliner (Berita Acara Pemeriksaan / BAP), dan rekap insiden 12 bulan terakhir beserta tindak lanjutnya.
Bukti yang Harus Disiapkan untuk MRMIK 2.1
| EP | Jenis Bukti | Format | Penanggung Jawab | Frekuensi Update |
|---|---|---|---|---|
| 2.1.a | SK Direktur tentang akses data RME | Dokumen PDF + tanda tangan basah/TTE | Direktur, didukung Komite RM | Tahunan / saat ada perubahan |
| 2.1.a | Matriks RBAC (peran × aksi × modul) | Tabel Excel / dashboard RME | Komite RM + Tim IT | Per kuartal |
| 2.1.a | Konfigurasi password policy & MFA | Screenshot + dokumen konfigurasi | Tim IT | Saat ada perubahan |
| 2.1.a | SOP onboarding/offboarding akun staf | Dokumen SPO | Bagian SDM + Tim IT | Tahunan |
| 2.1.b | Audit log RME 90 hari terakhir | CSV / dashboard interaktif | Tim IT | Real-time, review bulanan |
| 2.1.b | Laporan review kepatuhan akses | PDF + notulen rapat Komite | Komite RM | Bulanan |
| 2.1.c | SK sanksi pelanggaran kerahasiaan | Dokumen PDF | Direktur | Tahunan / saat ada perubahan |
| 2.1.c | Rekap insiden 12 bulan + BAP | Tabel + lampiran BAP | Komite RM + Bagian SDM | Bulanan, kumulatif tahunan |
MRMIK 2.2 — Perlindungan Data dari Hilang, Curi, dan Rusak
MRMIK 2.2 adalah substandar yang melindungi data dari risiko fisik dan teknis: kebakaran ruang server, pencurian perangkat, kerusakan media penyimpanan, serangan ransomware, atau kegagalan sistem yang menyebabkan korupsi data. Total 3 EP (a, b, c) yang menggambarkan siklus penyimpanan, monitoring, dan perbaikan.
EP a — Penyimpanan Aman di 3 Lokasi
EP 2.2.aRumah sakit memastikan data rekam medis tersimpan di minimal 3 lokasi: (1) server di rumah sakit, (2) backup data rutin (harian atau berkala), dan (3) cloud atau backup di luar rumah sakit.
Persyaratan 3 lokasi penyimpanan ini secara eksplisit ditegaskan di Maksud dan Tujuan MRMIK 5 KMK 1596/2024 (hal. 161) dan menjadi rujukan operasional untuk pemenuhan MRMIK 2.2 EP a. Untuk RME yang dihosting cloud, lokasi 1 dan 3 dapat sekaligus terpenuhi oleh penyedia layanan, namun lokasi 2 (backup rutin yang dapat diakses RS) tetap harus eksplisit.
Bukti yang dapat disiapkan:
- Dokumen arsitektur penyimpanan (diagram lokasi server, backup, cloud)
- Bukti backup harian (screenshot dashboard backup, log schedule)
- Dokumen kontrak/PKS penyedia cloud yang mencantumkan SLA ketersediaan dan retensi data
- Bukti uji restore backup dalam 12 bulan terakhir — ini sering jadi temuan minor surveyor
- Standar fisik ruang server (kontrol akses, suhu, kelembapan, pemadam kebakaran)
EP b — Monitoring dan Evaluasi Keamanan
EP 2.2.bRumah sakit melakukan monitoring dan evaluasi keamanan data secara berkala, mencakup hasil audit internal, verifikasi security headers, dan vulnerability scan pada sistem yang melayani akses RME dari luar jaringan internal.
Bukti yang dapat disiapkan:
- Laporan audit keamanan internal minimal 1 kali per tahun
-
Bukti verifikasi security headers (HSTS, CSP,
X-Frame-Options, X-Content-Type-Options) — dapat ditunjukkan via
output
curl -Iatau hasil scan keamanan - Hasil vulnerability scan dari pihak internal atau eksternal terhadap aplikasi RME
- Sertifikasi atau surat verifikasi dari penyedia infrastruktur cloud (ISO 27001, SOC 2, atau setara) — jika menggunakan cloud
EP c — Tindakan Perbaikan
EP 2.2.cRumah sakit menindak lanjuti hasil monitoring dan evaluasi melalui siklus PDCA (Plan, Do, Check, Act) sehingga setiap temuan keamanan dianalisis akar penyebab dan diperbaiki dengan target waktu yang terukur.
Contoh tindakan perbaikan yang umum: peningkatan enkripsi koneksi (HTTP ke HTTPS dengan TLS 1.2+), penerapan rotasi kata sandi otomatis, perbaikan backup yang gagal, peningkatan kontrol akses ruang server fisik, atau pelatihan ulang staf IT setelah insiden.
Bukti yang Harus Disiapkan untuk MRMIK 2.2
| EP | Jenis Bukti | Format | Penanggung Jawab | Frekuensi Update |
|---|---|---|---|---|
| 2.2.a | Diagram arsitektur 3 lokasi penyimpanan | Dokumen PDF / image | Tim IT | Saat perubahan arsitektur |
| 2.2.a | Log backup harian RME | Screenshot dashboard / CSV | Tim IT | Harian, review bulanan |
| 2.2.a | Bukti uji restore backup | Berita Acara Uji Restore | Tim IT + Komite RM | Minimal 1× per tahun |
| 2.2.b | Laporan audit keamanan internal | Dokumen PDF + lampiran | Komite Mutu / SPI | Tahunan |
| 2.2.b | Hasil verifikasi security headers | Screenshot / log curl | Tim IT | Per kuartal |
| 2.2.b | Hasil vulnerability scan | Laporan PDF | Tim IT atau pihak ketiga | Tahunan |
| 2.2.c | PDCA log tindakan perbaikan | Tabel + lampiran bukti | Komite Mutu | Bulanan |
Tanggung Jawab Backup E-Klaim
Untuk modul E-Klaim BPJS dan modul lain yang dihosting di infrastruktur rumah sakit, tanggung jawab backup berada pada Tim IT Rumah Sakit. Penyedia RME pihak ketiga hanya bertanggung jawab atas modul yang dihosting di sisi mereka. Pastikan pembagian tanggung jawab ini eksplisit di PKS dan SLA antara rumah sakit dan vendor.
Audit Log RME — Apa yang Wajib Dicatat?
Audit log adalah jantung pemenuhan MRMIK 2.1 EP b. Surveyor yang berpengalaman akan meminta demonstrasi langsung di hadapan tim survei, contoh permintaan: "tampilkan log akses dr. X pada periode 1–15 April 2026" atau "tunjukkan riwayat perubahan pada rekam medis pasien Y". Persiapkan dashboard yang dapat memfilter audit log per pengguna, per tanggal, dan per jenis aksi.
8 Jenis Aksi yang Wajib Dicatat
| Jenis Aksi | Deskripsi | Kewajiban Pencatatan |
|---|---|---|
| login | Pengguna masuk ke sistem RME (sukses dan gagal) | Wajib — termasuk attempt yang gagal |
| logout | Pengguna keluar dari sistem (manual atau timeout) | Wajib |
| view | Pengguna membuka rekam medis pasien tertentu | Wajib — termasuk view riwayat |
| create | Pembuatan entri baru (CPPT, resep, hasil lab) | Wajib |
| update | Modifikasi entri yang sudah ada | Wajib — simpan nilai sebelum dan sesudah |
| delete | Penghapusan / soft delete entri | Wajib — soft delete (tidak hard delete) |
| export | Ekspor data ke file (PDF, CSV, Excel) | Wajib — penting untuk forensik PDP |
| Cetak dokumen rekam medis | Wajib bila feasible secara teknis |
Struktur Minimum Entri Audit Log
Setiap entri audit log minimal mencatat 6 atribut. Berikut contoh entri dalam format JSON yang dapat menjadi rujukan saat menyusun spesifikasi audit log RME rumah sakit Anda:
// Contoh entri audit log MRMIK 2.1 EP b { "timestamp": "2026-04-29T08:42:17+07:00", "user_id": "dr.budi@rsxyz.id", "user_role": "DPJP_Rawat_Inap", "ip_address": "10.10.20.45", "action_type": "view", "object_type": "rekam_medis", "object_id": "RM-2026-00184729", "status": "success", "reason": "clinical_review", "session_id": "sess_e8c2..." }
Retensi Audit Log
KMK 1596/2024 dan Permenkes 24/2022 tidak menyebut angka eksplisit untuk retensi audit log. Berdasarkan praktik di 50+ RS klien MedMinutes, retensi minimum yang aman adalah 5 tahun, sejalan dengan retensi rekam medis berkas inti pada Permenkes 24/2022. Untuk insiden keamanan yang masih dalam proses investigasi atau berkaitan dengan medikolegal, audit log terkait kasus disimpan sampai kasus dinyatakan selesai oleh otoritas yang berwenang.
Permenkes 24/2022 Pasal 8 ayat (1) huruf c menegaskan bahwa RME wajib memiliki rekam jejak elektronik untuk seluruh aktivitas. Tidak adanya audit log atau audit log yang tidak lengkap adalah salah satu temuan yang paling sering muncul dalam visitasi MRMIK.
Checklist Persiapan Visitasi MRMIK 2 (8 EP)
Gunakan checklist berikut sebagai daftar periksa final minimal 4 minggu sebelum jadwal visitasi. Tandai status setiap EP, lokasi penyimpanan dokumen, dan tanggal review terakhir. Cetak dan tempel di ruang Komite MRMIK selama masa persiapan.
| Status | EP | Bukti | Lokasi Simpan | Tanggal Review |
|---|---|---|---|---|
| ☐ | 2.a | Sertifikat & daftar hadir pelatihan tahunan | Folder SDM / sistem e-learning | |
| ☐ | 2.b | Diagram alur integrasi data klinis dan non klinis | Folder Komite MRMIK | |
| ☐ | 2.1.a | SK Direktur akses data + matriks RBAC | Folder SK Direktur + dashboard RME | |
| ☐ | 2.1.a | Konfigurasi password policy & MFA | Dokumentasi Tim IT | |
| ☐ | 2.1.b | Audit log 90 hari + laporan review bulanan | Sistem RME (live) + arsip Komite | |
| ☐ | 2.1.c | SK sanksi + rekap insiden + BAP | Folder Bagian SDM | |
| ☐ | 2.2.a | Diagram 3 lokasi penyimpanan + log backup | Dokumentasi Tim IT | |
| ☐ | 2.2.a | Berita Acara uji restore backup | Folder Komite MRMIK | |
| ☐ | 2.2.b | Laporan audit keamanan + verifikasi security headers | Folder Komite Mutu | |
| ☐ | 2.2.c | PDCA log tindakan perbaikan 12 bulan | Folder Komite Mutu |
5 Temuan Surveyor MRMIK 2 yang Paling Sering
Berdasarkan agregat anonim pendampingan persiapan akreditasi di lebih dari 50 rumah sakit klien MedMinutes (2024–2026), berikut 5 temuan paling sering pada kelompok MRMIK 2, beserta solusi konkret yang dapat disiapkan dalam 2–4 minggu.
Temuan 1: Audit Log Tidak Lengkap atau Tidak Dapat Difilter
Pola temuan: Sistem RME mencatat sebagian aksi (misalnya hanya login dan create), namun tidak mencatat view, export, atau print. Saat surveyor minta "tampilkan log akses dr. X minggu lalu", dashboard tidak dapat memfilter per pengguna.
Solusi: Aktifkan audit log untuk 8 jenis aksi (lihat tabel di bagian sebelumnya), tambahkan filter pencarian per pengguna, per tanggal, dan per jenis aksi pada dashboard audit log, dan latih PIC IT cara melakukan demonstrasi cepat di depan surveyor.
Temuan 2: Matriks RBAC Tidak Diupdate Setelah Rotasi Staf
Pola temuan: Daftar pengguna RME masih berisi staf yang sudah pindah unit atau bahkan resign, dengan akses penuh yang seharusnya sudah dicabut. Surveyor menemukan ketidaksesuaian saat membandingkan daftar pengguna aktif dengan daftar SDM aktif.
Solusi: Susun SOP onboarding/offboarding akun yang melibatkan Bagian SDM dan Tim IT. Tetapkan SLA pencabutan akses maksimal 1×24 jam setelah staf resign atau pindah unit. Lakukan rekonsiliasi daftar pengguna RME dengan daftar SDM aktif setiap kuartal.
Temuan 3: Password Policy Belum Di-enforce di Sistem
Pola temuan: SK Direktur menyatakan kata sandi minimal 8 karakter dengan kombinasi huruf, angka, dan simbol, namun konfigurasi RME masih menerima kata sandi 4 karakter angka. Surveyor menemukan bahwa kebijakan dokumen tidak tercermin pada sistem.
Solusi: Aktifkan validasi kata sandi pada level sistem RME sesuai kebijakan, terapkan rotasi kata sandi berkala (misalnya 90 hari), aktifkan MFA untuk peran sensitif, dan dokumentasikan konfigurasi sistem yang sesuai dengan SK Direktur sebagai bukti silang.
Temuan 4: Backup Belum Diuji Restore
Pola temuan: Tim IT memiliki backup harian dan backup mingguan ke cloud, namun saat surveyor bertanya "kapan terakhir Anda menguji restore?", tidak ada jawaban atau tidak ada Berita Acara Uji Restore. Backup yang tidak pernah diuji restore adalah backup yang tidak diketahui kondisinya.
Solusi: Lakukan uji restore backup minimal 1 kali per tahun, pada lingkungan staging atau sandbox. Dokumentasikan hasil uji dalam Berita Acara Uji Restore yang ditandatangani Tim IT dan disaksikan Komite MRMIK. Sertakan waktu mulai, waktu selesai, dan integritas data hasil restore.
Temuan 5: SOP Insiden Keamanan Belum Disosialisasikan
Pola temuan: Dokumen SPO Penanganan Insiden Keamanan Data ada, namun saat surveyor bertanya kepada staf perawat di nurse station "kalau Anda melihat akun teman dipakai oleh orang lain, apa yang Anda lakukan?", staf tidak tahu prosedurnya. Dokumen yang tidak tersosialisasi sama dengan dokumen yang tidak ada di mata surveyor.
Solusi: Sosialisasikan SPO Insiden Keamanan dalam pelatihan tahunan staf, tempel ringkasan prosedur (1 halaman) di nurse station dan ruang Tim IT, lakukan simulasi insiden minimal 1 kali per tahun, dan dokumentasikan daftar hadir sosialisasi sebagai bukti silang ke MRMIK 2 EP a.
Bagaimana MedMinutes Membantu Pemenuhan MRMIK 2
MedMinutes adalah platform Rekam Medis Elektronik dan Integration Hub yang dirancang khusus untuk rumah sakit Indonesia yang sedang menyiapkan akreditasi dan integrasi SatuSehat. Untuk kelompok standar MRMIK 2, beberapa fitur yang relevan:
- Audit log built-in yang mencatat 8 jenis aksi (login, logout, view, create, update, delete, export, print) dengan dashboard filter per pengguna, tanggal, dan jenis aksi — siap demonstrasi langsung di hadapan surveyor.
- Matriks RBAC bawaan dengan template peran yang umum di rumah sakit Indonesia (DPJP, Perawat, Petugas Admisi, Petugas Rekam Medis, Apoteker, Bagian Keuangan) yang dapat dikustomisasi per rumah sakit.
-
Verifikasi security headers pada seluruh domain
yang melayani akses RME (dapat diverifikasi via
curl -I) dan kebijakan TLS 1.2+ untuk seluruh koneksi. - Skill mrmik-docs untuk evidence PDF yang membantu Komite MRMIK mengompilasi dossier per EP dari data live sistem — sehingga dossier yang diserahkan ke surveyor konsisten dengan apa yang dapat didemonstrasikan langsung.
MedMinutes telah dipakai oleh 50+ rumah sakit di 8+ provinsi untuk persiapan akreditasi, termasuk RST Bhakti Wira Tamtama (Pusansiad) dan jaringan YAKKUM. Kami fokus pada lapisan RME dan integrasi data klinis — bukan SIMRS — sehingga dapat melengkapi sistem informasi yang sudah ada di rumah sakit Anda.
Pembagian Tanggung Jawab yang Jelas
Dalam pemenuhan MRMIK 2.2, kami memegang prinsip pembagian tanggung jawab yang jelas: lapisan aplikasi RME dan Integration Hub adalah tanggung jawab MedMinutes; lapisan infrastruktur cloud (sertifikasi ISO 27001, SOC 2) adalah tanggung jawab penyedia cloud; sedangkan backup E-Klaim dan modul yang dihosting di sisi rumah sakit adalah tanggung jawab Tim IT rumah sakit. Pembagian ini eksplisit di PKS dan SLA.
Diskusi Persiapan Visitasi
Butuh pendampingan menyiapkan dossier MRMIK 2 untuk RS Anda?
Tim MedMinutes dapat membantu Komite MRMIK rumah sakit Anda menyiapkan bukti 8 EP secara terstruktur dalam 2–4 minggu. Diskusi awal melalui WhatsApp tanpa biaya.
Diskusi via WhatsAppFAQ — 10 Pertanyaan Sering Diajukan
Apa itu MRMIK 2 dalam akreditasi rumah sakit?
MRMIK 2 adalah salah satu standar dalam Manajemen Rekam Medis dan Informasi Kesehatan pada Standar Akreditasi Rumah Sakit (KMK No. HK.01.07/MENKES/1596/2024) yang mengatur pelatihan staf tentang prinsip pengelolaan informasi serta integrasi data klinis dan non klinis. MRMIK 2 memiliki 2 elemen penilaian (a dan b).
Berapa total elemen penilaian di MRMIK 2 termasuk MRMIK 2.1 dan 2.2?
Total ada 8 elemen penilaian: MRMIK 2 dengan 2 EP (a, b), MRMIK 2.1 dengan 3 EP (a, b, c), dan MRMIK 2.2 dengan 3 EP (a, b, c). Ketiganya membentuk satu kelompok standar tentang keamanan, kerahasiaan, dan perlindungan data rekam medis.
Apa bukti utama untuk MRMIK 2.1 EP a tentang kontrol akses?
Bukti utama meliputi: (1) SK Direktur tentang regulasi akses data rekam medis, (2) matriks RBAC yang memetakan peran ke jenis aksi (read, write, delete, export), (3) konfigurasi password policy dan session timeout pada RME, (4) bukti aktivasi MFA untuk peran sensitif, dan (5) daftar pengguna aktif beserta peran dan unit.
Bagaimana cara membuat audit log untuk MRMIK 2.1 EP b?
Audit log minimal mencatat 6 atribut per aksi: user_id, timestamp (UTC+7), IP address, action_type (login/logout/view/create/update/delete/export/print), object_id, dan status (sukses atau gagal). Permenkes 24/2022 Pasal 8 mewajibkan rekam jejak elektronik untuk seluruh aktivitas pada RME. Komite RM melakukan review minimal bulanan.
Apakah RME berbasis kertas (paper) bisa lulus MRMIK 2?
Sangat sulit. KMK 1596/2024 MRMIK 5 secara eksplisit menyebut Rekam Medis Elektronik (sebelumnya KMK 1128/2022 masih netral paper/elektronik). Selain itu Permenkes 24/2022 mewajibkan seluruh fasyankes menyelenggarakan RME terintegrasi SatuSehat paling lambat 31 Desember 2023. Rumah sakit yang masih paper akan kesulitan memenuhi MRMIK 2.1 EP b (audit log) dan MRMIK 2.2 EP a (3 lokasi penyimpanan).
Berapa lokasi penyimpanan data minimal di MRMIK 2.2?
MRMIK 2.2 EP a (yang juga ditegaskan di maksud dan tujuan MRMIK 5 KMK 1596/2024 hal. 161) mensyaratkan minimal 3 lokasi penyimpanan: (1) server di rumah sakit, (2) backup data rutin, dan (3) cloud atau backup di luar rumah sakit. Pemenuhan 3 lokasi ini memitigasi risiko kehilangan data akibat bencana fisik di server utama.
Apa konsekuensi jika MRMIK 2 tidak terpenuhi saat visitasi?
Tergantung jenis temuan: (1) recommendation dapat diperbaiki dalam waktu 6 bulan tanpa menurunkan tingkat akreditasi, (2) minor finding mengurangi skor namun masih dapat lulus tingkat tertentu, (3) major finding dapat menurunkan tingkat akreditasi bahkan menyebabkan tidak lulus. Selain itu, ketidakpatuhan terhadap UU 27/2022 PDP berisiko sanksi administratif. Permenkes 24/2022 Pasal 47 mengatur sanksi bertingkat dari teguran tertulis sampai pencabutan izin berusaha.
Apakah surveyor akan meminta melihat audit log secara langsung saat visitasi?
Ya, sangat sering. Berdasarkan pengalaman pendampingan akreditasi di lebih dari 50 RS, surveyor MRMIK biasanya meminta demonstrasi langsung: tampilkan log akses pengguna tertentu pada periode tertentu, tampilkan riwayat koreksi rekam medis pasien tertentu, atau tunjukkan log ekspor data 30 hari terakhir. Persiapkan dashboard yang dapat memfilter audit log per pengguna, per tanggal, dan per jenis aksi.
Berapa lama retensi audit log RME yang direkomendasikan?
KMK 1596/2024 dan Permenkes 24/2022 tidak menyebut angka eksplisit untuk retensi audit log, namun praktik terbaik di rumah sakit klien MedMinutes adalah minimal 5 tahun, sejalan dengan retensi rekam medis berkas inti pada Permenkes 24/2022. Untuk insiden keamanan yang masih dalam proses investigasi atau berkaitan dengan medikolegal, audit log terkait disimpan sesuai kebutuhan kasus.
Apa beda MRMIK 2 dengan UU 27/2022 tentang Pelindungan Data Pribadi?
MRMIK 2 adalah standar akreditasi yang mengatur tata kelola keamanan data RME di rumah sakit. UU 27/2022 PDP adalah undang-undang yang mengatur pelindungan data pribadi seluruh warga negara, termasuk data kesehatan sebagai data pribadi spesifik (Pasal 4 ayat 2 huruf c). Keduanya saling melengkapi: pemenuhan MRMIK 2 sekaligus menjadi bukti kepatuhan UU 27/2022 di domain rekam medis. Setiap dossier MRMIK 2 sebaiknya merujuk silang ke kedua regulasi tersebut.
Sumber & Regulasi Rujukan
- Keputusan Menteri Kesehatan No. HK.01.07/MENKES/1596/2024 tentang Standar Akreditasi Rumah Sakit (4 Oktober 2024) — bab MRMIK halaman 147–171. JDIH Kemkes: jdih.kemkes.go.id
- Peraturan Menteri Kesehatan No. 24 Tahun 2022 tentang Rekam Medis (Pasal 8 — rekam jejak elektronik wajib). peraturan.bpk.go.id
- Undang-Undang No. 17 Tahun 2023 tentang Kesehatan (Pasal 4(1)(i) hak pasien atas kerahasiaan, Pasal 177(1) kewajiban fasyankes menyimpan rahasia kesehatan).
- Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (Pasal 4(2)(c) data kesehatan = data pribadi spesifik).
- Komisi Akreditasi Rumah Sakit (KARS) — daftar regulasi resmi. kars.or.id
Disusun oleh Choirunnisa Hapsari, Co-Founder MedMinutes. Verifikasi langsung dari PDF KMK No. HK.01.07/MENKES/1596/2024 halaman 147–171 (bab MRMIK). ORCID: 0009-0001-3048-0776.