HIPAA (Health Insurance Portability and Accountability Act)

HIPAA adalah regulasi kesehatan di Amerika Serikat yang disahkan tahun 1996. Fokus utamanya adalah melindungi kerahasiaan, keamanan, dan integritas data kesehatan pribadi pasien (Protected Health Information / PHI).

Apa itu GDPR?

GDPR adalah regulasi perlindungan data pribadi di Uni Eropa yang berlaku sejak 25 Mei 2018. Regulasi ini menggantikan aturan sebelumnya (Data Protection Directive 1995) dan berlaku untuk semua organisasi yang mengolah data warga UE, baik organisasi tersebut berada di Eropa maupun di luar Eropa.

Tujuan utamanya:

  • Melindungi privasi individu.

  • Memberi kontrol penuh kepada warga UE atas data pribadinya.

  • Menetapkan standar global bagi perusahaan yang memproses data pribadi.

Prinsip Utama GDPR

GDPR menetapkan 7 prinsip dasar dalam pemrosesan data:

  1. Lawfulness, fairness, transparency – data diproses secara sah, adil, dan transparan.

  2. Purpose limitation – hanya digunakan untuk tujuan yang jelas.

  3. Data minimization – hanya data yang benar-benar dibutuhkan boleh dikumpulkan.

  4. Accuracy – data harus akurat dan selalu diperbarui.

  5. Storage limitation – data tidak boleh disimpan lebih lama dari yang diperlukan.

  6. Integrity & confidentiality – data harus aman (enkripsi, kontrol akses, dsb).

  7. Accountability – organisasi bertanggung jawab penuh atas pemrosesan data.

Hak Individu dalam GDPR

Warga UE memiliki hak khusus atas data pribadinya:

  • Hak akses → mengetahui data apa saja yang dikumpulkan.

  • Hak perbaikan → memperbaiki data yang salah.

  • Hak untuk dihapus (Right to be forgotten) → meminta penghapusan data.

  • Hak portabilitas data → memindahkan data dari satu penyedia layanan ke layanan lain.

  • Hak membatasi pemrosesan → data tidak boleh digunakan lebih dari tujuan tertentu.

  • Hak menolak (opt-out) → menolak pemrosesan tertentu, misalnya untuk marketing.

Sanksi GDPR

  • Denda hingga €20 juta atau 4% dari omzet global tahunan (mana yang lebih besar).

  • Bisa dikenakan tuntutan perdata oleh individu korban kebocoran.

  • Bisa diberikan sanksi tambahan berupa larangan pengolahan data.

Contoh Kasus Besar:

  • British Airways (2019): didenda £183 juta karena kebocoran data 500.000 pelanggan.

  • Marriott Hotels (2019): didenda £99 juta karena kebocoran data 339 juta tamu.

Poin penting HIPAA:

  1. Privacy Rule – mengatur bagaimana data pasien boleh dikumpulkan, digunakan, dan dibagikan.

  2. Security Rule – mewajibkan adanya langkah teknis, administratif, dan fisik untuk melindungi data elektronik (e-PHI).

  3. Breach Notification Rule – mewajibkan institusi melaporkan insiden kebocoran data kepada pasien dan otoritas.

  4. Enforcement Rule – mengatur sanksi jika terjadi pelanggaran, berupa denda hingga jutaan dolar.

HIPAA umumnya berlaku untuk rumah sakit, klinik, laboratorium, perusahaan asuransi kesehatan, dan vendor teknologi kesehatan yang memproses data pasien.

Standar Keamanan Internasional

Selain HIPAA, ada beberapa standar keamanan informasi internasional yang sering dijadikan acuan:

  1. ISO/IEC 27001

    • Standar global untuk Sistem Manajemen Keamanan Informasi (ISMS).

    • Menekankan manajemen risiko, kebijakan keamanan, kontrol teknis, dan audit berkala.

  2. ISO/IEC 27799

    • Spesifik untuk keamanan informasi kesehatan.

    • Melengkapi HIPAA di tingkat global dengan panduan praktik terbaik melindungi data medis.

  3. GDPR (General Data Protection Regulation – Uni Eropa)

    • Regulasi perlindungan data pribadi di Uni Eropa.

    • Mengatur hak individu (hak untuk mengakses, menghapus, membatasi pemrosesan data), termasuk data kesehatan.

  4. NIST Cybersecurity Framework (AS)

    • Panduan dari National Institute of Standards and Technology.

    • Mencakup identifikasi, perlindungan, deteksi, respons, dan pemulihan insiden keamanan siber.

  5. HL7 & FHIR (Fast Healthcare Interoperability Resources)

    • Bukan standar keamanan, tapi standar interoperabilitas data kesehatan.

    • Biasanya dipadukan dengan protokol keamanan (enkripsi, autentikasi) agar data antar sistem medis bisa bertukar dengan aman.

Apakah ada Hukuman yang diterima jika data pasien bocor terkait HIPAA? Ya, ada hukuman serius jika terjadi kebocoran data kesehatan di bawah regulasi HIPAA. Hukuman bisa berupa denda administratif maupun sanksi pidana tergantung pada tingkat kelalaian dan niat dari pelanggaran tersebut.

Jenis Hukuman dalam HIPAA

  1. Denda Administratif (Civil Penalties)

    • Tier 1: Kelalaian tidak disadari – denda mulai dari USD 100 – 50.000 per pelanggaran.

    • Tier 2: Kelalaian yang seharusnya bisa dicegah – denda USD 1.000 – 50.000 per pelanggaran.

    • Tier 3: Kesengajaan tapi ada usaha memperbaiki – denda USD 10.000 – 50.000 per pelanggaran.

    • Tier 4: Kesengajaan tanpa usaha memperbaiki – denda hingga USD 1,5 juta per tahun per kategori pelanggaran.

  2. Sanksi Pidana (Criminal Penalties)

    • Menggunakan data pasien untuk keuntungan pribadi/komersial secara ilegal bisa dikenakan hukuman penjara hingga 10 tahun.

  3. Breach Notification

    • Wajib memberitahukan pasien yang terdampak, dan melapor ke Department of Health and Human Services (HHS).

    • Jika lebih dari 500 orang terdampak, kebocoran wajib diumumkan ke publik dan media.

Contoh Kasus Nyata di AS

  1. Anthem Inc. (2015)

    • Salah satu perusahaan asuransi kesehatan terbesar di AS.

    • Kebocoran data sekitar 78,8 juta pasien akibat serangan siber.

    • Data bocor: nama, tanggal lahir, nomor jaminan sosial, alamat, email.

    • Denda HIPAA: USD 16 juta (terbesar dalam sejarah HIPAA).

  2. Premera Blue Cross (2019)

    • Kebocoran data 10,4 juta orang akibat serangan hacker.

    • Data medis, finansial, dan pribadi pasien terekspos.

    • Denda HIPAA: USD 6,85 juta.

  3. University of California, Los Angeles Health (UCLA Health) (2011)

    • Pegawai secara tidak sah mengakses data rekam medis selebriti (misalnya Britney Spears dan Farrah Fawcett).

    • UCLA Health didenda USD 865.000.

    • Beberapa staf terlibat dikenakan hukuman pidana (penjara) karena akses ilegal.

  4. Memorial Healthcare System (2017)

    • Data 115.143 pasien diakses secara tidak sah oleh pegawai dan digunakan untuk penipuan identitas.

    • Denda HIPAA: USD 5,5 juta.

Perbandingan Hukuman HIPAA vs GDPR

Aspek HIPAA (AS) GDPR (Uni Eropa)
Jenis Regulasi Undang-undang federal khusus kesehatan (data medis & asuransi) Regulasi umum perlindungan data pribadi (termasuk data kesehatan sebagai special category data)
Pihak yang Diatur Covered Entities (rumah sakit, klinik, asuransi, vendor IT kesehatan) & Business Associates Semua organisasi (publik & swasta) yang mengolah data warga UE
Jenis Hukuman – Denda administratif (tier 1–4)
– Hukuman pidana (penjara hingga 10 tahun jika terbukti sengaja menyalahgunakan data)		 – Denda administratif
– Larangan pengolahan data
– Sanksi tambahan (tuntutan perdata, kompensasi korban)
Besaran Denda USD 100 – 50.000 per pelanggaran
– Maksimum USD 1,5 juta/tahun per kategori
– Rekor tertinggi: USD 16 juta (Anthem Inc., 2015)		 – Hingga €20 juta atau 4% dari pendapatan global tahunan (mana yang lebih besar)
– Contoh: British Airways didenda £183 juta (2019)
Kewajiban Lapor – Wajib melapor ke pasien & HHS (Department of Health and Human Services)
– Jika >500 orang terdampak, wajib umumkan ke publik/media		 – Wajib melapor ke otoritas perlindungan data dalam 72 jam
– Harus memberi tahu individu terdampak jika berisiko tinggi
Hak Individu – Tidak sekuat GDPR, lebih fokus pada perlindungan & akses data medis – Hak akses, hak dilupakan (right to be forgotten), hak portabilitas data, hak membatasi pemrosesan
Fokus Utama Perlindungan data kesehatan pasien Perlindungan semua data pribadi (dengan perlakuan ekstra untuk data sensitif, termasuk kesehatan)