Jutaan data dan informasi kesehatan milik penduduk Indonesia kembali bocor. Akhir Agustus lalu, sekitar 1,3 juta data pengguna aplikasi Health Alert Card (eHAC) buatan Kementerian Kesehatan Indonesia yang memuat data Covid-19 dibobol. Belum diketahui siapa pelakunya.
Tiga bulan sebelumnya, data milik 279 juta warga Indonesia yang dikumpulkan bertahun-tahun oleh Badan Pengelola Jaminan Sosial Kesehatan juga bocor. Data itu diperjualbelikan di raidforum.com dan sampai saat ini masih dalam penyelidikan. Jika angka ini benar, akan menjadi rekor baru kasus kebocoran data kesehatan terbesar di dunia.
Dua kasus ini saja menandakan bahwa tingkat keamanan data di Indonesia sangat lemah. Padahal, data kesehatan merupakan data pribadi yang bersifat spesifik, sensitif, dan rahasia, yang harus dilindungi.
Saat data kesehatan yang begitu kompleks didigitalkan dan dipindahkan melintasi batas-batas organisasi dan sistem kesehatan, maka kita dihadapkan pada pertanyaan besar tentang bagaimana tingkat keamanan dan kerahasiaan data kesehatan di Indonesia. Juga apa yang menjadi prioritas pemerintah dan kita untuk meningkatkan keamanannya.
Tren Kasus Kebocoran Data Meningkat
Masalah keamanan data menjadi semakin serius karena tren pembobolan data makin meningkat. Secara global dari 2005 hingga 2019, jumlah total individu yang telah terkena dampak pelanggaran data kesehatan ada sekitar 249 juta. Dari jumlah tersebut, lebih dari setengahnya terjadi dalam kurun waktu lima tahun terakhir.
Kasus terbesar bocornya data kesehatan terjadi pada 2015. Data peserta milik perusahaan asuransi kesehatan Amerika Serikat, Anthem Inc dibobol dengan jumlah peserta terdampak lebih 78 juta orang.
AS memiliki sistem dan kebijakan perlindungan data kesehatan yang lebih baik dengan adanya Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA). UU ini mewajibkan pembuatan standar nasional untuk melindungi informasi kesehatan pasien yang sensitif agar tidak diungkapkan tanpa persetujuan atau sepengetahuan pasien. Walau demikian, sistem di sana juga tak terlepas dari rawannya pembobolan data kesehatan.
Sebuah laporan menyatakan telah lebih dari 2.100 pelanggaran data layanan kesehatan telah terjadi di AS sejak 2009, mayoritas (30%) terjadi di rumah sakit. Trennya juga terus meningkat. Pada 2009, di AS hanya ada 18 kasus tapi pada 2020 ada 642 kasus.
Biro Penyidik Federal (FBI) dan Kementerian Kesehatan pada oktober 2020 lalu bahkan telah mengeluarkan pernyataan resmi bersama memperingatkan bahwa kejahatan terkait keamanan siber ke depan akan semakin banyak menyerang dunia pelayanan kesehatan.
Di Indonesia, kasus pembobolan data kesehatan bukan hal yang baru. Pada 2020, data 230 ribu pasien Covid-19 di Indonesia diduga telah dicuri dan dijual di RaidForums. Alamat forum dark web itu kini telah diblokir pemerintah.
Pada 2017, dua rumah sakit nasional terjangkit program jahat jenis ransomware bernama “WannaCry” yang mengunci data sistem informasi rumah sakit dan meminta tebusan.
Dampak Kebocoran Data Kesehatan
Bagi fasilitas pelayanan kesehatan, bocornya data pribadi pasien selain membuat kerugian ekonomi juga akan mengganggu jalannya pelayanan serta membuat nama baik dan kepercayaan publik menjadi rusak. Bagi pasien, beberapa dampak negatif bisa terjadi.
Bocornya data pribadi seperti tanggal lahir, nama ibu kandung, nomor telepon, alamat, hingga email pribadi dapat digunakan oleh pihak tidak bertanggung jawab untuk melakukan kejahatan. Misalnya, membongkar kata kunci (password), mengakses pinjaman online, profiling untuk target politik atau iklan di media sosial, membobol layanan keuangan hingga sasaran telemarketing.
Jika data kondisi dan riwayat penyakit bocor, potensi kerugian yang dihadapi pemilik data tidak hanya menyangkut persoalan ekonomi tapi dapat menyangkut kerugian sosial budaya hingga keamanan.
Seseorang dapat kehilangan pekerjaan, atau bahkan terusir dari lingkungan tempat tinggal mereka jika jenis informasi kesehatan sensitif menjadi pengetahuan publik. Misalnya, pengungkapan bahwa seseorang terinfeksi HIV atau jenis infeksi menular seksual lainnya dapat menyebabkan isolasi sosial dan dampak lain yang berbahaya secara psikologis.
Motif Ekonomi dan Kemudahan
Menurut laporan terbaru Data Breach Investigations terbitan perusahaan telekomunikasi Verizon AS, pelaku pembobolan data kesehatan di fasilitas pelayanan kesehatan tidak hanya pihak luar fasilitas pelayanan kesehatan. Pihak internal juga membobol data, dengan persentase mencapai 39% dari total kasus.
Faktor ekonomi menjadi motif utama para pelaku (91%). Bagi para pembobol, data kesehatan dianggap lebih mudah untuk dicuri dan jauh lebih berharga dibandingkan data non-kesehatan seperti data kartu kredit.
Nilai ekonomi ini bahkan disebutkan 60 kali lebih berharga. Hal ini karena banyaknya informasi individu yang ada di dalam sebuah data kesehatan.
Ketika pasien mengakses layanan kesehatan, data detail seperti alamat, tanggal lahir, telepon, nama orang tua (penanggung), nomor kependudukan dan asuransi, kartu kredit, riwayat pengobatan dan lainnya diminta dan disimpan dalam data kesehatan pasien. Tidak seperti kartu kredit yang bisa ditutup setiap saat, data kesehatan bersifat lebih permanen.
Prioritas yang Harus Segera Diselesaikan
Agar kasus data bocor tidak terus berulang, pemerintah Indonesia setidaknya perlu fokus pada tiga level utama yakni kebijakan, organisasi pelayanan kesehatan, dan masyarakat.
Saat ini Indonesia belum memiliki Undang-Undang Perlindungan Data Pribadi.
Berbagai kebijakan dan aturan masih tersebar di setidaknya di 32 UU dan regulasi yang berbeda-beda. Kesenjangan di antara regulasi-regulasi tersebut mengganggu penegakkan hukumnya.
Bahkan untuk data kesehatan yang saat ini perkembangannya mulai tumbuh ke arah digitalisasi seperti pelayanan telemedicine, pemerintah belum memiliki peraturan khusus mengenai sistem keamanan dan kerahasiaannya.
Oleh karena itu pemerintah dan DPR sebaiknya segera mempercepat dan mengesahkan RUU Perlindungan Data Pribadi. Ini penting agar UU ini menjadi dasar bagi para regulator di tingkat pusat dan daerah hingga fasilitas pelayanan kesehatan untuk membuat aturan turunannya yang bersifat lebih teknis untuk melindungi data digital kesehatan.
Pada tingkatan organisasi, selain meningkatkan kemampuan keamanan sistem dan keterampilan sumber daya manusia, penanggung jawab organisasi harus meningkatkan kesadaran akan pentingnya keamanan data kesehatan.
Saat ini kesadaran untuk melindungi data pribadi masih rendah baik itu di tingkatan organisasi dan individu. Berdasarkan riset Fortinet, sebagian rumah sakit bahkan tidak menyadari bahwa sistem teknologi informasinya pernah atau sedang diserang.
Sebuah survei di Amerika pada 2020 menemukan bahwa para penanggung jawab teknologi informasi di fasilitas pelayanan kesehatan menghadapi masalah rendahnya anggaran yang diberikan kepada mereka untuk menjaga keamanan sistem. Alokasi dana untuk keamanan siber hanya sekitar 3-6% dari anggaran teknologi informasi, sementara sisanya dikhususkan untuk adopsi teknologi baru.
Pada tingkatan individu, sebuah survei pada 2017 dari Mastel dan Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) menemukan bahwa 79% responden di Indonesia merasa keberatan ketika data pribadi mereka dipindahkan tanpa izin.
Namun yang menjadi persoalan adalah banyak masyarakat justru tidak mempelajari atau memahami kebijakan kerahasiaan, termasuk bagian syarat dan kondisi yang berhubungan dengan penggunaan data pribadi.
Survei lain terkait penggunaan media sosial juga menunjukkan temuan yang menarik. Sebuah survei persepsi publik pada pertengahan Juli lalu menemukan bahwa belum semua orang membaca kebijakan privasi pada saat mereka mengakses media sosial tersebut, apalagi memahami isi dari kebijakan tersebut.
Jadi, tanpa adanya penguatan kebijakan, peningkatan kemampuan dan kesadaran organisasi pelayanan kesehatan hingga peningkatan pengetahuan dan kesadaran masyarakat, kebocoran data kesehatan mungkin akan tetap terjadi.
Catatan Redaksi:
Katadata.co.id menerima tulisan opini dari akademisi, pekerja profesional, pengamat, ahli/pakar, tokoh masyarakat, dan pekerja pemerintah. Kriteria tulisan adalah maksimum 1.000 kata dan tidak sedang dikirim atau sudah tayang di media lain. Kirim tulisan ke opini@katadata.co.id disertai dengan CV ringkas dan foto diri.