Mengapa Keamanan Data Layanan Kesehatan Menuntut Perhatian Khusus
Organisasi layanan kesehatan mengelola sebagian dari data pribadi paling sensitif yang ada: riwayat medis, informasi genetik, catatan kesehatan mental, riwayat penggunaan zat, data kesehatan seksual, dan informasi finansial yang terkait dengan asuransi kesehatan. Data ini tunduk pada perlindungan regulasi spesifik di hampir setiap yurisdiksi — dan menjadi target bernilai tinggi bagi pelaku kejahatan siber. Layanan kesehatan merupakan industri yang paling banyak mengalami pelanggaran data dalam Verizon 2023 Data Breach Investigations Report untuk tahun keempat berturut-turut.
Ketika fasilitas layanan kesehatan mengadopsi perangkat AI, mereka tidak sekadar membuat keputusan pembelian teknologi. Mereka memperluas perimeter data mereka — menciptakan titik-titik baru tempat data klinis yang sensitif diproses, dikirimkan, dan berpotensi disimpan oleh pihak ketiga. Tim IT rumah sakit memikul tanggung jawab untuk memastikan bahwa perluasan ini tidak menimbulkan risiko keamanan yang tidak dapat diterima.
Artikel ini adalah panduan praktis tentang pertanyaan keamanan yang paling penting saat menilai vendor AI layanan kesehatan.
Lanskap Regulasi
Sebelum menilai kontrol keamanan tertentu, penting untuk memahami konteks regulasinya:
Indonesia: UU PDP (Undang-Undang Perlindungan Data Pribadi)
Undang-Undang Perlindungan Data Pribadi Indonesia (UU No. 27/2022) mulai berlaku pada tahun 2022 dan memuat ketentuan khusus untuk kategori data pribadi yang bersifat sensitif, di mana data kesehatan termasuk salah satunya. Organisasi layanan kesehatan beserta vendor teknologinya yang memproses data pasien Indonesia harus mematuhi persyaratan UU PDP, termasuk hak subjek data, pembatasan tujuan, dan pembatasan transfer lintas batas.
Singapura: PDPA dan Pedoman MOH
Personal Data Protection Act Singapura dan Health IT Security Framework (HITSF) dari Kementerian Kesehatan menetapkan persyaratan untuk penanganan data kesehatan yang berlaku bagi vendor teknologi yang melayani institusi layanan kesehatan Singapura.
Hong Kong: PDPO dan Pedoman Hospital Authority
Personal Data (Privacy) Ordinance Hong Kong dan kebijakan keamanan IT dari Hospital Authority mengatur pemrosesan data kesehatan di SAR. Transfer data lintas batas diatur, dengan pembatasan khusus atas data yang keluar dari yurisdiksi Hong Kong.
Standar ISO
Standar internasional menyediakan kerangka kerja yang netral terhadap vendor untuk penilaian keamanan. Yang paling relevan bagi vendor AI layanan kesehatan adalah ISO 27001 (Sistem Manajemen Keamanan Informasi), ISO 27701 (Manajemen Informasi Privasi), ISO 13485 (Manajemen Mutu Alat Kesehatan, untuk sistem AI yang memenuhi kualifikasi sebagai alat kesehatan), dan ISO 9001 (Sistem Manajemen Mutu).
Micromeet — AI for governed healthcare. AI menyusun draf. Dokter yang memutuskan. Lihat benchmark publik kami →
Pertanyaan Keamanan Utama untuk Vendor AI
1. Arsitektur Pemrosesan Data
Di mana data klinis diproses? Pemrosesan berbasis cloud memunculkan pertanyaan kedaulatan — penyedia cloud mana, di wilayah mana, di bawah yurisdiksi mana. Opsi on-premise menghilangkan risiko cloud tetapi memunculkan kebutuhan infrastruktur lokal. Arsitektur hibrida berupaya menyeimbangkan keduanya.
Pertanyaan utamanya: Apakah vendor menawarkan opsi penerapan on-premise atau cloud regional? Jika cloud, di wilayah geografis mana data diproses? Jaminan residensi data apa yang ditawarkan secara kontraktual?
2. Minimalisasi dan Retensi Data
Apakah sistem AI memerlukan akses ke seluruh rekam medis pasien, atau hanya bidang spesifik yang dibutuhkan untuk fungsinya? Minimalisasi data — hanya memproses data yang benar-benar dibutuhkan — mengurangi paparan. Demikian pula, kebijakan retensi data yang jelas (berapa lama vendor menyimpan data apa pun yang mereka proses?) dan prosedur penghapusan yang aman merupakan hal yang esensial.
3. Standar Enkripsi
Data saat transit harus dienkripsi menggunakan TLS 1.3 atau lebih tinggi. Akses ke kunci enkripsi harus dikontrol dan diaudit. Mintalah vendor untuk merinci standar enkripsi mereka untuk transmisi data serta jaminan residensi data mereka.
4. Kontrol Akses
Siapa di dalam organisasi vendor yang dapat mengakses data pasien? Kontrol akses berbasis peran, autentikasi multifaktor untuk staf vendor, dan peninjauan akses berkala merupakan ekspektasi standar. Untuk penerapan yang sangat sensitif, arsitektur zero-knowledge (di mana vendor memproses data tanpa mampu membacanya) merupakan standar tertinggi.
5. Log Audit
Log audit yang lengkap dan anti-perubahan (tamper-proof) atas semua peristiwa akses data merupakan persyaratan regulasi di sebagian besar yurisdiksi dan kebutuhan praktis untuk investigasi insiden. Pastikan bahwa vendor menyediakan log audit kepada organisasi layanan kesehatan — bukan sekadar menyimpannya secara internal.
6. Respons Insiden
Bagaimana prosedur respons insiden vendor? Seberapa cepat pelanggan organisasi layanan kesehatan diberi tahu mengenai insiden keamanan? UU PDP Indonesia mewajibkan pemberitahuan kepada pihak terkait dalam waktu 14 hari setelah pelanggaran data pribadi; PDPA Singapura memiliki persyaratan pemberitahuan wajib dalam 3 hari untuk pelanggaran yang signifikan. SLA respons insiden vendor harus selaras dengan jangka waktu regulasi yang berlaku.
7. Penilaian Pihak Ketiga
Sertifikasi ISO 27001, laporan SOC 2 Type II, dan hasil pengujian penetrasi dari perusahaan keamanan pihak ketiga yang diakui memberikan validasi independen atas klaim keamanan vendor. Hal-hal ini sebaiknya diminta dan ditinjau, bukan sekadar diterima begitu saja.
Apa Arti ISO 27001 yang Sebenarnya
ISO 27001 sering dikutip sebagai kredensial keamanan oleh vendor teknologi, termasuk perusahaan AI layanan kesehatan. Penting untuk memahami secara tepat apa yang disertifikasinya dan apa yang tidak.
Sertifikasi ISO 27001 berarti bahwa organisasi telah menerapkan Sistem Manajemen Keamanan Informasi (ISMS) yang memenuhi persyaratan standar tersebut — termasuk proses penilaian risiko, kontrol keamanan, dan mekanisme perbaikan berkelanjutan — dan bahwa badan sertifikasi pihak ketiga yang terakreditasi telah mengaudit penerapan ini. Ini merupakan kredensial yang bermakna dan menunjukkan kematangan manajemen keamanan.
Sertifikasi itu tidak berarti bahwa organisasi tersebut tidak pernah mengalami insiden keamanan, bahwa semua kerentanan yang mungkin telah ditangani, atau bahwa ruang lingkup sertifikasi mencakup semua sistem yang dioperasikan organisasi. Dokumentasi ruang lingkup sertifikasi sebaiknya diminta untuk memahami secara persis apa yang tercakup.
Mengintegrasikan Penilaian Keamanan Vendor ke dalam Pengadaan
Bagi tim IT rumah sakit, pendekatan yang paling efektif adalah menyusun kuesioner keamanan terstandar untuk semua vendor teknologi layanan kesehatan — yang mencakup pertanyaan-pertanyaan di atas dan diselesaikan sebagai bagian dari proses pengadaan, bukan setelah penandatanganan kontrak. Organisasi seperti HIMSS (Healthcare Information and Management Systems Society) menerbitkan kerangka kerja penilaian keamanan vendor yang dapat diadaptasi untuk konteks regulasi lokal.
Penilaian keamanan bukanlah aktivitas sekali jalan. Peninjauan keamanan vendor secara tahunan, pemantauan advisori keamanan vendor, dan hak kontraktual untuk mengaudit kontrol keamanan vendor secara berkelanjutan merupakan praktik terbaik untuk mengelola risiko keamanan pihak ketiga sepanjang umur hubungan teknologi tersebut.
