Data Pasien Bukan Komoditas, Etika Digital Harus Jadi Prioritas

Di tengah euforia transformasi digital, sektor kesehatan menjadi salah satu yang paling cepat beradaptasi dengan teknologi baru. Rumah sakit kini memiliki sistem manajemen informasi canggih, aplikasi telemedisin kian menjamur, dan layanan berbasis cloud telah menggantikan banyak proses manual. Bahkan, tren hyper-personalized healthcare mulai berkembang—data pasien dikumpulkan secara masif untuk menciptakan layanan yang sangat disesuaikan dengan kebutuhan unik individu. Tapi di balik berbagai kemajuan itu, ada satu pertanyaan krusial yang sering terabaikan: apakah data pasien yang menjadi jantung dari semua sistem ini benar-benar aman dan dikelola secara etis?

Pertanyaan ini penting, karena data pasien bukanlah sekadar barisan angka atau catatan administratif. Ia menyimpan informasi paling pribadi, paling rentan, dan paling sensitif dari seorang manusia—tentang penyakitnya, kelemahannya, bahkan sejarah trauma dan pengobatan yang pernah ia jalani. Perlakuan terhadap data ini bukan hanya masalah teknis atau manajerial. Ini adalah persoalan etik, hukum, dan tanggung jawab profesional.

Dalam konteks kolaborasi antara fasilitas layanan kesehatan dan penyedia teknologi, tanggung jawab ini menjadi semakin kompleks. Teknologi memang memungkinkan efisiensi dan inovasi, tetapi tanpa kerangka kerja yang etis dan hukum yang jelas, data pasien berisiko menjadi komoditas. Maka, diperlukan kemitraan yang tidak hanya berorientasi pada produk atau sistem, tetapi juga berkomitmen pada pelindungan hak pasien sebagai inti dari setiap keputusan teknologi yang diambil.

Ketika Keamanan Data Dianggap Formalitas

Banyak fasilitas layanan kesehatan masih menganggap persoalan keamanan data selesai begitu kontrak kerja sama dengan vendor teknologi ditandatangani. MoU atau perjanjian kemitraan sering kali dijadikan tameng hukum, seolah cukup untuk melindungi dari risiko pelanggaran. Padahal, dalam praktik terbaik pengelolaan data digital, dokumen semacam itu hanyalah titik awal. Yang jauh lebih penting adalah kejelasan peran dan tanggung jawab melalui Data Processing Agreement (DPA) yang memuat detail teknis dan hukum: siapa yang berwenang mengakses, memproses, menyimpan, dan siapa yang harus bertanggung jawab bila terjadi insiden kebocoran data.

Masalahnya, DPA belum menjadi standar baku dalam banyak kerja sama TI kesehatan di Indonesia. Masih banyak praktik di lapangan di mana vendor menyimpan salinan data pasien untuk keperluan “pengembangan sistem” atau “pelatihan machine learning” tanpa persetujuan eksplisit dari pasien ataupun Fasyankes. Ini bukan hanya pelanggaran terhadap Undang-Undang Pelindungan Data Pribadi (UU PDP), tapi juga pelanggaran serius terhadap etika medis. UU PDP secara jelas menyatakan bahwa pemrosesan data tanpa dasar hukum sah dapat dikenai sanksi pidana hingga enam tahun penjara dan/atau denda hingga Rp6 miliar.

Namun, lebih dari sekadar hukuman, ancaman terbesar dari pengabaian ini adalah hilangnya kepercayaan publik. Ketika masyarakat mulai merasa data kesehatannya bisa diakses atau dipakai sembarangan, mereka akan enggan berbagi informasi yang sebenarnya penting bagi diagnosis dan perawatan. Di sinilah kredibilitas institusi kesehatan bisa runtuh, bukan karena sistemnya buruk, tapi karena tanggung jawab digital yang diabaikan. Tanpa perlindungan data yang kuat dan transparan, transformasi digital justru bisa menjadi bumerang bagi sektor kesehatan itu sendiri.

Kasus situs PeduliLindungi.id yang berubah menjadi laman judi online adalah cermin nyata betapa pentingnya kolaborasi berkelanjutan antar institusi dalam menjaga aset digital pasca-operasional. Ketika domain dibiarkan tanpa pengelolaan yang jelas setelah aplikasinya dihentikan, celah itu dimanfaatkan oleh pihak tak bertanggung jawab. Insiden ini bukan hanya soal teknis, tapi kegagalan komunikasi dan koordinasi antar para pihak baik pemerintah, penyedia layanan teknologi, maupun otoritas terkait. Artikel “Kasus PeduliLindungi.id: Tantangan Pengelolaan Aset Digital” di Cyberhub mengajak kita untuk memahami dinamika dan pelajaran dari kasus ini.

Inovasi Tidak Boleh Mengorbankan Hak Pasien

Kita tentu tidak anti-inovasi. Digitalisasi di sektor kesehatan telah membuka banyak peluang, mulai dari percepatan layanan, kemudahan akses pasien ke fasilitas kesehatan, hingga pengambilan keputusan medis yang lebih presisi karena berbasis data. Bahkan pengembangan Artificial Intelligence (AI) di bidang diagnosis dan prediksi penyakit sangat bergantung pada ketersediaan data pasien dalam jumlah besar. Namun, sebesar apa pun manfaatnya, inovasi tidak boleh dibangun di atas pelanggaran hak pasien. Di banyak negara, penggunaan data medis untuk keperluan teknologi canggih selalu diawali dengan proses anonymization, persetujuan eksplisit, dan pengawasan ketat oleh otoritas independen.

Sayangnya, praktik ideal tersebut belum menjadi standar universal. Indonesia perlu belajar dari berbagai kasus global yang menunjukkan bahwa pengabaian prinsip-prinsip dasar pelindungan data bisa berujung pada krisis kepercayaan. Salah satu contoh paling terkenal adalah skandal data di Inggris yang melibatkan NHS (National Health Service), di mana jutaan data rekam medis pasien dibagikan kepada perusahaan teknologi besar tanpa persetujuan yang memadai. Kasus ini memicu kemarahan publik, menuntut permintaan maaf nasional, dan memaksa pemerintah Inggris untuk merombak kebijakan data kesehatan secara menyeluruh.

Bayangkan jika skandal serupa terjadi di Indonesia, di tengah proses pemulihan kepercayaan masyarakat pasca-pandemi dan digitalisasi sistem layanan yang masih berjalan. Konsekuensinya tidak hanya soal hukum atau reputasi lembaga, tapi juga menyangkut keselamatan dan kenyamanan pasien yang bisa enggan membuka data penting untuk diagnosis karena takut disalahgunakan. Oleh karena itu, inovasi dalam layanan kesehatan digital harus dikawal dengan prinsip kehati-hatian, akuntabilitas, dan penghormatan penuh terhadap hak privasi pasien.

Praktik terbaik keamanan informasi kesehatan menekankan pelindungan menyeluruh terhadap data pasien dari akses tidak sah, pelanggaran data, dan serangan siber. Langkah-langkah seperti enkripsi, autentikasi multi-faktor, kontrol akses, dan pencadangan rutin menjadi dasar. Kepatuhan terhadap regulasi seperti UU PDP, GDPR, atau HIPAA juga penting. Untuk pemahaman lebih lanjut tentang implementasinya, simak artikel “Praktik Terbaik Keamanan Informasi Kesehatan di Era Digital” di Cyberhub.

UU PDP Bukan Sekadar Kepatuhan, Tapi Kompas Etika

Undang-Undang Pelindungan Data Pribadi (UU PDP) bukan sekadar alat hukum yang mengatur teknis pengelolaan data. Ia adalah kompas etika digital bagi seluruh sektor, terutama kesehatan, yang mengelola jenis data paling sensitif. Prinsip dasarnya sederhana namun kuat: data belongs to the subject. Artinya, data pribadi tetap menjadi milik individu, bahkan ketika disimpan dan diproses oleh institusi seperti rumah sakit atau laboratorium. Dengan logika ini, tidak ada alasan bagi institusi kesehatan—sekaya atau secanggih apa pun infrastrukturnya—untuk memperlakukan data pasien sebagai aset dagang atau properti internal.

UU PDP juga secara tegas membedakan peran Pengendali dan Prosesor Data Pribadi, mengharuskan adanya perjanjian tertulis yang transparan seperti Data Processing Agreement (DPA), serta menetapkan standar pelindungan teknis dan prosedural. Tidak hanya itu, jika terjadi insiden kebocoran data, rumah sakit maupun mitra teknologinya wajib melapor kepada otoritas dalam jangka waktu tertentu, dan memberikan notifikasi langsung kepada pasien yang terdampak. Ini adalah bentuk keadilan digital yang seharusnya menjadi standar etika baru dalam layanan kesehatan digital.

Namun, hukum saja tidak cukup. UU PDP bisa berubah menjadi "macan kertas" jika tidak didukung oleh kesadaran institusional dan penerapan nyata di lapangan. Setiap fasilitas pelayanan kesehatan perlu memiliki compliance officer yang memahami regulasi dan mampu mengintegrasikannya ke dalam operasional harian. Di sisi lain, peran Chief Information Officer (CIO) juga krusial—bukan hanya sebagai pengelola sistem teknologi, tetapi sebagai pemimpin dalam strategi keamanan siber yang terintegrasi dengan pelindungan data. CIO harus mampu menjembatani aspek teknis dan kebijakan secara strategis. Untuk pendalaman lebih lanjut, simak artikel "Peran CIO dalam Mitigasi Ancaman Siber di Rumah Sakit" di Cyberhub.

Sebagai bagian dari upaya pencegahan, audit keamanan data juga harus dilakukan secara berkala oleh pihak independen. Selain itu, sistem pelaporan internal perlu dirancang agar memungkinkan staf melaporkan potensi pelanggaran tanpa rasa takut atau risiko pembalasan. Privacy Impact Assessment (PIA) menjadi instrumen penting dalam konteks ini—sebuah proses untuk menilai dampak privasi dari sistem atau proyek baru dan mengidentifikasi langkah mitigasi sebelum masalah muncul. Untuk memahami penerapannya di sektor kesehatan, artikel "Menavigasi Privasi Data Kesehatan melalui PIA" di Cyberhub sangat layak dijelajahi.

Etika digital tidak muncul dari teks undang-undang, melainkan tumbuh dari budaya organisasi yang secara konsisten menempatkan hak pasien sebagai prioritas tertinggi. Tanpa komitmen etis tersebut, semua perangkat hukum dan teknis hanya akan menjadi formalitas belaka.

Kolaborasi Bukan Transaksi, Tapi Kemitraan Strategis

Di era digital, vendor teknologi informasi (TI) bukan sekadar pihak luar yang disewa untuk “memasang sistem”. Mereka adalah mitra strategis dalam membangun infrastruktur layanan kesehatan yang efektif dan aman. Namun, kemitraan ini tak bisa dijalankan seperti hubungan jual-beli biasa. Relasi antara fasilitas pelayanan kesehatan (fasyankes) dan vendor TI harus dibangun di atas kepercayaan, transparansi, dan pemahaman bersama tentang tanggung jawab etis. Mengelola data medis bukan hanya soal bandwidth, server, atau antarmuka pengguna—ini soal manusia. Vendor TI harus menyadari bahwa mereka ikut memegang kunci terhadap data yang menyangkut hidup dan martabat pasien.

Ada berbagai skema kerja sama yang lazim digunakan, mulai dari kemitraan strategis jangka panjang, proyek berbasis solusi spesifik, model langganan (Software as a Service), hingga pengembangan bersama (co-development). Masing-masing memiliki karakteristik, fleksibilitas, serta risiko berbeda terkait pelindungan data. Misalnya, model SaaS menawarkan efisiensi tinggi, tetapi menyimpan tantangan dalam kendali data karena server berada di luar institusi. Di sisi lain, co-development memberi peluang inovasi bersama, tapi membutuhkan kejelasan kepemilikan hak atas data dan produk akhir. Apa pun bentuknya, fondasinya harus sama: tidak ada toleransi terhadap pelanggaran hak privasi pasien.

Kemitraan strategis berarti kedua belah pihak duduk setara, bertukar pengetahuan, dan menetapkan komitmen bersama terhadap prinsip etika digital. Di sinilah pentingnya memiliki kontrak kerja sama yang tidak hanya memuat urusan teknis dan biaya, tetapi juga mencantumkan klausul Data Processing Agreement, audit berkala, protokol insiden keamanan, dan komitmen non-komersialisasi data pasien. Sebab, jika data pasien sampai dieksploitasi secara sepihak, maka kepercayaan publik runtuh bukan hanya kepada vendor, tapi juga kepada institusi kesehatan itu sendiri. Maka kolaborasi sejati di sektor ini bukan semata urusan teknologi, melainkan kemitraan yang mengedepankan pelindungan hak asasi digital warga negara.

Jangan Tunggu Skandal Besar

Indonesia memang belum menghadapi skandal besar soal kebocoran data pasien yang mengguncang publik seperti yang terjadi di Inggris, Australia, atau Amerika Serikat. Tapi itu bukan alasan untuk merasa aman. Justru, absennya kasus besar bisa berarti satu dari dua hal: sistem kita benar-benar kuat, atau pelanggaran terjadi secara senyap dan belum terungkap. Mengingat lemahnya sistem pelaporan dan minimnya transparansi dalam pengelolaan data di sektor kesehatan, kemungkinan kedua patut kita waspadai. Maka, alih-alih bersikap reaktif, Indonesia harus mengambil langkah proaktif—sebelum skandal meledak dan kepercayaan masyarakat hancur.

Langkah pertama ada di tangan pemerintah. Penunjukan otoritas pelindung data pribadi sesuai mandat UU PDP tak bisa lagi ditunda. Badan ini harus memiliki kewenangan tegas, sumber daya yang cukup, dan independensi untuk mengawasi praktik pengelolaan data oleh fasilitas layanan kesehatan dan vendor TI. Tak kalah penting, Fasyankes perlu didorong untuk menyusun kebijakan privasi internal yang jelas dan tegas—bukan sekadar dokumen formalitas, tapi panduan nyata yang ditaati seluruh staf. Pengawasan terhadap vendor TI juga harus diperketat: siapa yang mengakses data, untuk tujuan apa, dan sejauh mana pelindungan teknis serta hukum diterapkan.

Namun, pelindungan data tidak akan efektif tanpa keterlibatan masyarakat. Pasien berhak tahu dan bertanya: siapa yang menyimpan data saya? Apakah data ini akan dibagikan ke pihak ketiga? Bisa kah saya mencabut persetujuan jika merasa tidak nyaman? Kesadaran ini bukan sekadar urusan teknis—ini adalah bentuk partisipasi warga dalam menjaga hak digitalnya. Semakin kritis dan melek privasi pasien Indonesia, semakin kecil kemungkinan praktik penyalahgunaan data terjadi diam-diam. Jangan tunggu insiden besar untuk menyadari bahwa data pribadi adalah aset yang harus dijaga seperti halnya kesehatan itu sendiri.

Penutup: Data Pasien adalah Amanah

“Data pasien adalah amanah, bukan komoditas.” Kalimat ini bukan sekadar slogan, tetapi prinsip moral yang harus menjadi fondasi setiap sistem informasi kesehatan. Di balik setiap file digital atau rekam medis elektronik, ada individu yang sedang berjuang dengan penyakitnya, menggantungkan harapan pada sistem yang kita bangun. Mereka percaya bahwa data mereka akan digunakan untuk kebaikan—untuk penyembuhan, bukan untuk dieksploitasi. Kepercayaan itu rapuh, dan sekali dikhianati, sangat sulit dipulihkan.

Karena itu, semua pemangku kepentingan—rumah sakit, startup teknologi, pemerintah, regulator, hingga penyedia cloud—harus sadar bahwa mereka sedang mengelola sesuatu yang jauh lebih berharga dari sekadar angka. Teknologi hanyalah alat. Sistem enkripsi, firewall, atau artificial intelligence memang penting, tetapi tidak akan cukup jika etika dan integritas tidak menyertainya. Etika digital bukan urusan akademis, tapi tanggung jawab nyata yang harus diwujudkan dalam kebijakan, keputusan bisnis, dan praktik sehari-hari.

Kita tidak boleh menunggu sampai ada kebocoran besar, gugatan hukum, atau amarah publik baru kemudian bergerak. Momentum pengesahan UU PDP adalah kesempatan untuk memperbaiki tata kelola data sejak sekarang. Karena ketika kita melindungi data pasien dengan sungguh-sungguh, kita tidak hanya menjaga privasi—kita sedang menjaga harkat, martabat, dan kemanusiaan itu sendiri.