UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi mengatur mengenai data kesehatan atau medis seseorang. Sehingga, perlu pengelolaan secara khusus bagi institusi kesehatan menjaga data pribadi seseorang.
Peneliti dari Pusat Kebijakan dan Manajemen Kesehatan (PKMK) Universitas Gadjah Mada (UGM) Anis Fuad berpendapat bahwa institusi kesehatan perlu belajar dari contoh kasus negara lain terkait penerapan atau implementasi Undang-Undang Pelindungan Data Pribadi (UU PDP).
“Sudah banyak panduan, contoh-contoh dari negara lain. Saatnya kita ikuti, kita follow up, kita adaptasi agar bisa menjadi panduan teknis untuk kita sendiri,” kata Anis dalam webinar “Mengawal Kebijakan Keamanan Siber dan Pelindungan Data Pribadi Kesehatan” diikuti secara virtual di Jakarta, Senin (31/10) lalu.
Baca Juga:
- UU PDP: Kominfo Siapkan Standar Profesi DPO
- Diskusi Hukumonline 2022: Babak Baru dan Implementasi UU PDP
- Bedah UU PDP: Akademisi Ingatkan Pentingnya Negara Lindungi Data Pribadi
Dia mengatakan sejumlah negara sudah menerapkan General Data Protection Regulation (GDPR) yang dimulai di Eropa dalam beberapa tahun terakhir. Organisasi kesehatan di sejumlah negara juga mengadaptasi GDPR dalam praktik-praktik pelayanan kesehatan mereka.
“Jadi mereka yang pertama mulai dari melihat regulasi eksisting apa saja, di-assess apakah ada tumpang tindihnya dan lain-lain, kemudian dibuat panduan agar PDP bisa berjalan,” ujar Anis.
Menurut dia, belajar dari organisasi kesehatan yang menerapkan GDPR, pelaksanaan analisis kesenjangan dan pengukuran kepatuhan terhadap PDP perlu dilakukan apabila aturan PDP hendak diimplementasikan di fasilitas kesehatan atau faskes.
Setelah implementasi, kata dia, langkah selanjutnya yaitu membangun kesadaran mengenai PDP pada semua pihak, menyesuaikan SOP yang ada di faskes, serta memiliki pedoman tata kelola informasi yang dapat diterapkan jika sudah disepakati, direvisi jika diperlukan, dan jika ada regulasi baru akan diperbaiki.
“Kita juga perlu belajar ke negara lain, bukan hanya Eropa tetapi juga Singapura. Di Singapura, mereka memiliki UU Personal Data Protection dan kemudian punya komisi atau lembaga yang mengatur tentang kebijakan perlindungan data pribadi, dan kemudian mereka membuat panduan PDP di sektor kesehatan,” kata Anis.
Dia menjelaskan panduan PDP untuk sektor kesehatan di Singapura juga memuat bagaimana mereka membuat persetujuan (consent) dari pasien, bagaimana tujuan mengumpulkan data, bagaimana kewajiban faskes melakukan notifikasi terkait dengan data, bagaimana aturan tentang akses dan kewajiban mengoreksi data apabila terdapat data yang keliru, bagaimana tentang hak, dan seterusnya.
“Nah ini dibuat oleh sektor kesehatan. Kita belum sampai ke sana,” tutur Anis.
Ia mengemukakan, di Irlandia, organisasi profesi kesehatan membuat panduan GDPR bagi sektor kesehatan. Sementara di Inggris, kalangan profesi membuat inisiatif poster yang berisi pesan-pesan untuk meningkatkan kesadaran kepada pasien terkait PDP yang ditunjukkan di praktik dokter mandiri.
Di sisi lain, Anis mengingatkan Indonesia juga perlu belajar dari insiden-insiden pelindungan data karena ketidakhati-hatian dalam pengelolaan data, contohnya kasus rumah sakit di Portugal yang didenda oleh komisi pelindungan data pribadi karena melakukan praktik berisiko dan kasus rumah sakit di Belanda yang terkena denda karena data selebriti yang bocor.
Selain itu, komisi pelindungan data di Serbia juga mencatat sejumlah insiden yang sering dilaporkan terkait sektor kesehatan seperti pengelolaan sampah dokumen yang memuat data pribadi, kegagalan melindungi akses data dari individu yang tidak berhak, dan sebagainya.
“Ini yang saya kira perlu kita antisipasi. Nanti ketika UU PDP berlaku, ada potensi beberapa catatan yang kemudian kita lihat di negara lain, misalnya di Serbia ada sejumlah report tentang insiden yang terjadi di sektor kesehatan. Itu yang harus kita antisipasi,” kata Anis.