Langsung ke konten utama

DPO-as-a-Service

DPO-as-a-Service untuk rumah sakit dan penyedia layanan kesehatan Indonesia

Ringkasnya

Mengapa rumah sakit dan klinik di Indonesia hampir selalu wajib menunjuk DPO menurut UU PDP, dan apa yang dicakup DPO-as-a-Service tanpa perekrutan penuh waktu.

Data protection officer

Rumah sakit dan klinik jarang punya kesempatan untuk mempertanyakan apakah mereka butuh DPO. Pasal 4 ayat 2 UU PDP mengklasifikasikan data kesehatan sebagai data pribadi spesifik, dan pemrosesan data pribadi spesifik dalam skala besar adalah salah satu dari tiga pemicu penunjukan yang dipenuhi kebanyakan penyedia layanan kesehatan bahkan sebelum pertanyaan itu diajukan. Yang tersisa untuk diputuskan adalah bagaimana peran itu disediakan sumber dayanya. Halaman ini membahas mengapa kewajiban tersebut berlaku khusus bagi kesehatan dan apa yang dicakup DPO-as-a-Service untuk rumah sakit atau grup klinik. Untuk cara kerja layanan ini secara umum, lihat halaman DPO-as-a-Service kami.

Mengapa penunjukan bukan pilihan bagi rumah sakit

Data kesehatan tidak butuh argumen terpisah untuk dianggap sensitif. UU PDP membuat klasifikasi itu eksplisit, dan regulator rumah sakit sendiri menambahkan lapisan kewajiban kedua di atasnya.

Dua aturan pada rekam yang sama

UU PDP mewajibkan perlindungan lebih kuat dan notifikasi pelanggaran dalam 3x24 jam untuk data pribadi spesifik seperti rekam pasien. Permenkes 24/2022 secara terpisah mewajibkan kontrol akses, jejak audit, dan enkripsi pada rekam medis elektronik yang sama. DPO harus menjaga keduanya tetap konsisten, bukan memperlakukannya sebagai kotak centang terpisah.

SATUSEHAT dan alur data pihak ketiga

Setiap sistem EMR rumah sakit wajib bertukar data dengan platform nasional SATUSEHAT, dan sebagian besar juga berbagi data dengan BPJS Kesehatan untuk pemrosesan klaim. Setiap koneksi itu adalah alur data yang harus dipetakan dan dipertanggungjawabkan DPO sesuai aturan UU PDP tentang pemrosesan dan pengungkapan.

Tenggat pelanggaran yang mulai berjalan saat perawatan terganggu

Serangan ransomware pada EMR rumah sakit sekaligus merupakan keadaan darurat klinis dan pelanggaran data pribadi. Tenggat notifikasi UU PDP 3x24 jam mulai berjalan saat rumah sakit masih fokus pada perawatan pasien, dan justru di saat itulah peran koordinasi DPO paling penting.

Sanksi yang terikat pada pendapatan

Sanksi UU PDP bisa mencapai 2 persen dari pendapatan tahunan, angka yang sangat berbeda bagi grup rumah sakit dibanding denda tetap. Menata penunjukan dan program pelindungan data dengan benar bukan sekadar urusan administratif pada skala itu.

Apa yang dicakup DPO-as-a-Service untuk rumah sakit

Program pelindungan data yang selaras dengan UU PDP dan Permenkes 24/2022Pemetaan alur data SATUSEHAT dan BPJS KesehatanPlaybook notifikasi pelanggaran dan koordinasi dengan SOCTinjauan data vendor dan perangkat medisPelaporan ke manajemen dan dewan
Memastikan pemicu penunjukan dan menetapkan cakupan peranMemetakan alur data lintas EMR, SATUSEHAT, dan BPJS KesehatanMenyusun playbook notifikasi pelanggaran dan berkoordinasi dengan SOC saat insiden berlangsungMelapor ke manajemen dan menjadi penghubung dengan otoritas

3x24 jam

Tenggat UU PDP untuk menotifikasi subjek data dan otoritas setelah pelanggaran data pribadi (UU 27/2022, Pasal 46)

2%

Sanksi administratif maksimum sebagai persentase pendapatan tahunan untuk pelanggaran UU PDP (UU 27/2022)

Bagaimana ini selaras dengan aturan Permenkes dan SATUSEHAT

Peran DPO berada di samping kewajiban Permenkes rumah sakit, bukan menggantikannya. Permenkes 24/2022 mengatur keamanan rekam medis elektronik dan interoperabilitas SATUSEHAT; UU PDP mengatur pelindungan data pribadi secara spesifik, dan keduanya tumpang tindih pada rekam yang sama tanpa saling menggantikan. Untuk pemicu penunjukan umum, checklist untuk memastikan apakah Anda membutuhkannya, dan proses langkah demi langkah, lihat halaman kami tentang apa itu DPO menurut UU PDP, apakah Anda butuh DPO, dan cara menunjuk DPO, yang membahas struktur mandat secara umum dan berlaku sama bagi rumah sakit seperti organisasi lainnya.

Jika Anda ingin memastikan apakah rumah sakit atau grup klinik Anda memenuhi pemicu penunjukan dan seperti apa DPO terkelola bagi organisasi Anda, tim kami dapat menyusun langkah pertama yang konkret.

Referensi

  1. 1.Republik Indonesia, UU No. 27 Tahun 2022 (UU PDP)
  2. 2.Kementerian Kesehatan, Permenkes No. 24 Tahun 2022 tentang Rekam Medis

Ditinjau oleh Tyas Suci, ISMS & Compliance Consultant

Pertanyaan umum

Hampir selalu, ya. Pasal 4 ayat 2 UU PDP mengklasifikasikan data kesehatan sebagai data pribadi spesifik, dan pemrosesan data pribadi spesifik dalam skala besar adalah salah satu dari tiga pemicu kewajiban penunjukan menurut Pasal 53. Rumah sakit atau klinik yang menjalankan sistem rekam medis elektronik untuk populasi pasiennya memenuhi pemicu itu sebagai hal yang wajar, bukan pengecualian. Untuk pemicu umum dan cara memeriksa apakah organisasi Anda memenuhinya, lihat halaman kami tentang [apa itu DPO menurut UU PDP](/id/solutions/what-is-a-dpo-under-uu-pdp) dan [checklist kebutuhan DPO](/id/solutions/do-you-need-a-dpo-uu-pdp).

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.