Kerahasiaan Medis Dijual Murah

SURABAYA – Kerahasiaan medis telah lama dihargai sebagai etika mulia dalam profesi kesehatan. Namun di era digital, etika ini terganggu bukan oleh pelanggaran sumpah Hipocrates tetapi oleh sistem yang menyediakannya yaitu rumah sakit telah menjadi mesin digital data pasien yang bocor dimana Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) menyatakan harus melindungi informasi pribadi sensitif seperti informasi kesehatan.

Rekam Medis Elektronik (EMR), yang seharusnya meningkatkan efisiensi layanan, justru membuka pintu baru bagi kejahatan siber. Data pasien, mulai dari diagnosis hingga riwayat medis, tidak lagi terkunci dalam lemari arsip; data tersebut ditransmisikan dalam jaringan yang terfragmentasi, seringkali tanpa tingkat keamanan teknis yang sesuai dengan prinsip keamanan (integritas dan kerahasiaan) dalam Pasal 5 ayat (1) huruf f General Data Protection Regulation (GDPR). Namun digitalisasi yang dipromosikan sebagai kemajuan sebenarnya adalah resep untuk pelanggaran privasi yang paling penting.

Pertanyaannya bukan apakah kebocoran akan benar-benar terjadi tetapi kapan dan seberapa parah itu akan terjadi. UU PDP secara eksplisit memperlakukan data kesehatan sebagai data pribadi sensitif yang harus diperlakukan dengan standar perlindungan yang lebih tinggi, dengan pengendali data bertanggung jawab atas keamanan teknis dan organisasi.

Dalam terminologi GDPR, data medis diklasifikasikan sebagai kategori khusus data pribadi yang hanya boleh diproses dengan dasar hukum yang ketat dan perlindungan ekstra. Ini adalah perubahan hukum dalam arti yang sangat nyata.

Hukum kerahasiaan seharusnya tidak hanya menjadi tanggung jawab etis individu pekerja kesehatan tetapi harus menjadi tanggung jawab hukum institusional berdasarkan risiko. Fasilitas kesehatan adalah pengendali data di bawah UU PDP yang harus mengambil langkah-langkah teknis secara organisasi untuk melindungi data pribadi dari pemrosesan yang tidak sah, kebocoran, dan akses ilegal sesuai dengan prinsip "perlindungan data melalui desain dan secara default" dalam Pasal 25 GDPR.

Namun dalam praktiknya banyak rumah sakit masih beroperasi dengan pola pikir analog di dunia digital. Investasi dalam keamanan siber selalu dianggap sebagai biaya dan bukan kewajiban hukum. Kurangnya sistem enkripsi, kontrol akses yang longgar, dan audit keamanan hampir menjadi formalitas, yang bertentangan dengan prinsip keamanan pemrosesan dalam Pasal 32 GDPR yang memerlukan pseudonimisasi, enkripsi, dan mekanisme pemulihan data yang andal. Di dunia ini, kebocoran data bukanlah kecelakaan; mereka hanyalah konsekuensi logis.

Peraturan Menteri Kesehatan tentang rekam medis dan sistem informasi rumah sakit, di sisi lain, memerlukan tugas administratif dan teknis, tetapi sangat sering direduksi menjadi daftar periksa dokumenter dan bukan tingkat keamanan minimum yang nyata. Lebih mengkhawatirkan, ada ilusi kepatuhan.

Banyak rumah sakit berpikir mereka dilindungi dengan memiliki kebijakan tertulis untuk perlindungan data tetapi tidak dengan implementasi teknis. UU PDP tidak lebih dari dokumen administratif, bukan standar operasional yang hidup. Ini adalah bentuk kepatuhan semu yang berbahaya, karena secara de facto mengurangi hak konstitusional atas privasi menjadi sekadar prosedur birokrasi.

Dengan demikian, pendekatan semacam itu tidak dapat lagi ditoleransi. Tanggung jawab tidak hanya harus menjadi "kewajiban perawatan" tetapi "kewajiban keamanan" dalam masyarakat kontemporer. UU PDP membuka pintu untuk sanksi berat  yaitu  sanksi administratif dan konsekuensi pidana ketika data pribadi individu dirugikan dan dalam konteks data medis yang dapat mencakup diskriminasi, pemerasan,  pengucilan sosial.

Namun penegakan hukum tidak bergerak maju; tanggung jawab pidana korporat  untuk rumah sakit dan penyedia sistem kesehatan digital praktis tidak terdengar. Kita berada dalam paradoks klasik: digitalisasi semakin cepat dan regulasi serta penegakan hukum tidak mengejar.

Negara mempromosikan digitalisasi layanan kesehatan tetapi gagal menempatkan pondasi keamanan dengan terus-menerus mempraktikkan aturan terbaik global, seperti GDPR yang menempatkan keamanan sebagai prinsip inti dan bukan hanya lampiran teknis. Jika dibiarkan, rumah sakit tidak akan lagi menjadi tempat perlindungan tetapi lebih sebagai titik rentan peretasan data pribadi. Pasien datang untuk perawatan tetapi juga berisiko datanya diperdagangkan.

Kebocoran data medis bukan hanya insiden teknis tetapi juga kegagalan struktural oleh negara dan fasilitas kesehatan untuk menghormati kewajiban konstitusional dan yuridis dalam menjaga martabat manusia melalui informasi paling pribadi dari semua tubuh dan riwayat medis.

Di Indonesia, kerahasiaan medis akan terus dijual murah di pasar data gelap tanpa adanya perubahan mendasar UU PDP dan mengimplementasikannya secara ketat oleh Menteri Kesehatan serta harmonisasi dengan prinsip-prinsip GDPR.

***

*) Oleh : Fransiscus Nanga Roka, Fakultas Hukum Universitas 17 Agustus 1945 Surabaya dan Pimpinan Law Firm Victorious Indonesia.

*) Tulisan Opini ini sepenuhnya adalah tanggungjawab penulis, tidak menjadi bagian tanggungjawab redaksi timesindonesia.co.id

*) Kopi TIMES atau rubik opini di TIMES Indonesia  untuk umum. Panjang naskah maksimal 4.000 karakter atau sekitar 600 kata. 

*) Sertakan nama penulis, profesi beserta Foto diri dan nomor telepon yang bisa dihubungi.

*) Naskah dikirim ke https://kopi.times.co.id/

*) Redaksi berhak tidak menayangkan opini yang dikirim.

Simak breaking news dan berita pilihan TIMES Indonesia langsung dari WhatsApp-mu!
Klik 👉 Channel TIMES Indonesia
Pastikan WhatsApp kamu sudah terpasang.