DPO-as-a-Service
DPO-as-a-Service untuk rumah sakit dan penyedia layanan kesehatan Indonesia
Ringkasnya
Mengapa rumah sakit dan klinik di Indonesia hampir selalu wajib menunjuk DPO menurut UU PDP, dan apa yang dicakup DPO-as-a-Service tanpa perekrutan penuh waktu.
Rumah sakit dan klinik jarang punya kesempatan untuk mempertanyakan apakah mereka butuh DPO. Pasal 4 ayat 2 UU PDP mengklasifikasikan data kesehatan sebagai data pribadi spesifik, dan pemrosesan data pribadi spesifik dalam skala besar adalah salah satu dari tiga pemicu penunjukan yang dipenuhi kebanyakan penyedia layanan kesehatan bahkan sebelum pertanyaan itu diajukan. Yang tersisa untuk diputuskan adalah bagaimana peran itu disediakan sumber dayanya. Halaman ini membahas mengapa kewajiban tersebut berlaku khusus bagi kesehatan dan apa yang dicakup DPO-as-a-Service untuk rumah sakit atau grup klinik. Untuk cara kerja layanan ini secara umum, lihat halaman DPO-as-a-Service kami.
Mengapa penunjukan bukan pilihan bagi rumah sakit
Data kesehatan tidak butuh argumen terpisah untuk dianggap sensitif. UU PDP membuat klasifikasi itu eksplisit, dan regulator rumah sakit sendiri menambahkan lapisan kewajiban kedua di atasnya.
Dua aturan pada rekam yang sama
UU PDP mewajibkan perlindungan lebih kuat dan notifikasi pelanggaran dalam 3x24 jam untuk data pribadi spesifik seperti rekam pasien. Permenkes 24/2022 secara terpisah mewajibkan kontrol akses, jejak audit, dan enkripsi pada rekam medis elektronik yang sama. DPO harus menjaga keduanya tetap konsisten, bukan memperlakukannya sebagai kotak centang terpisah.
SATUSEHAT dan alur data pihak ketiga
Setiap sistem EMR rumah sakit wajib bertukar data dengan platform nasional SATUSEHAT, dan sebagian besar juga berbagi data dengan BPJS Kesehatan untuk pemrosesan klaim. Setiap koneksi itu adalah alur data yang harus dipetakan dan dipertanggungjawabkan DPO sesuai aturan UU PDP tentang pemrosesan dan pengungkapan.
Tenggat pelanggaran yang mulai berjalan saat perawatan terganggu
Serangan ransomware pada EMR rumah sakit sekaligus merupakan keadaan darurat klinis dan pelanggaran data pribadi. Tenggat notifikasi UU PDP 3x24 jam mulai berjalan saat rumah sakit masih fokus pada perawatan pasien, dan justru di saat itulah peran koordinasi DPO paling penting.
Sanksi yang terikat pada pendapatan
Sanksi UU PDP bisa mencapai 2 persen dari pendapatan tahunan, angka yang sangat berbeda bagi grup rumah sakit dibanding denda tetap. Menata penunjukan dan program pelindungan data dengan benar bukan sekadar urusan administratif pada skala itu.
Apa yang dicakup DPO-as-a-Service untuk rumah sakit
3x24 jam
Tenggat UU PDP untuk menotifikasi subjek data dan otoritas setelah pelanggaran data pribadi (UU 27/2022, Pasal 46)
2%
Sanksi administratif maksimum sebagai persentase pendapatan tahunan untuk pelanggaran UU PDP (UU 27/2022)
Bagaimana ini selaras dengan aturan Permenkes dan SATUSEHAT
Peran DPO berada di samping kewajiban Permenkes rumah sakit, bukan menggantikannya. Permenkes 24/2022 mengatur keamanan rekam medis elektronik dan interoperabilitas SATUSEHAT; UU PDP mengatur pelindungan data pribadi secara spesifik, dan keduanya tumpang tindih pada rekam yang sama tanpa saling menggantikan. Untuk pemicu penunjukan umum, checklist untuk memastikan apakah Anda membutuhkannya, dan proses langkah demi langkah, lihat halaman kami tentang apa itu DPO menurut UU PDP, apakah Anda butuh DPO, dan cara menunjuk DPO, yang membahas struktur mandat secara umum dan berlaku sama bagi rumah sakit seperti organisasi lainnya.
Jika Anda ingin memastikan apakah rumah sakit atau grup klinik Anda memenuhi pemicu penunjukan dan seperti apa DPO terkelola bagi organisasi Anda, tim kami dapat menyusun langkah pertama yang konkret.
Referensi
Ditinjau oleh Tyas Suci, ISMS & Compliance Consultant
Pertanyaan umum
Hampir selalu, ya. Pasal 4 ayat 2 UU PDP mengklasifikasikan data kesehatan sebagai data pribadi spesifik, dan pemrosesan data pribadi spesifik dalam skala besar adalah salah satu dari tiga pemicu kewajiban penunjukan menurut Pasal 53. Rumah sakit atau klinik yang menjalankan sistem rekam medis elektronik untuk populasi pasiennya memenuhi pemicu itu sebagai hal yang wajar, bukan pengecualian. Untuk pemicu umum dan cara memeriksa apakah organisasi Anda memenuhinya, lihat halaman kami tentang [apa itu DPO menurut UU PDP](/id/solutions/what-is-a-dpo-under-uu-pdp) dan [checklist kebutuhan DPO](/id/solutions/do-you-need-a-dpo-uu-pdp).
Terkait
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.