Halodoc Ungkap Strategi Keamanan Data di Era Kesehatan Digital

Transformasi digital di sektor kesehatan terus bergerak cepat seiring meningkatnya pemanfaatan teknologi digital dan Artificial Intelligence (AI). Namun, di balik berbagai peluang inovasi tersebut, tantangan perlindungan data pribadi dan keamanan informasi menjadi isu krusial yang tidak bisa diabaikan. Hal inilah yang mengemuka dalam ajang Smart Hospital Leadership Summit 2026, yang menghadirkan berbagai pemimpin dan praktisi teknologi kesehatan.

Salah satu narasumber yang hadir adalah Henriko Samosir, Director of Information Security Halodoc, platform layanan kesehatan digital yang dikenal memiliki standar keamanan data tinggi. Dalam paparannya, Henriko menekankan pentingnya pengelolaan privasi dan keamanan data sebagai fondasi utama ekosistem digital healthcare.

Menurut Henriko, data pribadi harus diperlakukan sebagai sesuatu yang sangat bernilai. Ia mengibaratkan data pribadi layaknya perhiasan berharga yang dititipkan oleh pengguna kepada sebuah organisasi. “Ketika seseorang menitipkan perhiasan berharga, kita tidak bisa menggunakannya sesuka hati. Ada tanggung jawab besar di sana,” ujarnya. Analogi tersebut menggambarkan bahwa data pribadi memiliki nilai tinggi dan jika data tersebut hilang, bocor, atau dicuri, dampaknya bisa sangat besar bagi organisasi, baik dari sisi reputasi maupun keberlangsungan bisnis.

Lebih lanjut, Henriko menjelaskan bahwa pengelolaan privasi dan keamanan data bukan hanya soal etika, tetapi juga kewajiban hukum. Indonesia telah memiliki Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) yang mengatur sanksi administratif hingga pidana bagi organisasi yang lalai melindungi data pribadi. Oleh karena itu, setiap pelaku di sektor kesehatan digital wajib memahami dan mematuhi regulasi tersebut.

Dalam lingkungan digital healthcare, kepatuhan terhadap standar keamanan juga menjadi semacam “tiket masuk” untuk menjalin kerja sama dengan pihak lain. Baik itu perusahaan e-commerce, telekomunikasi, hingga payment gateway, semuanya mensyaratkan standar keamanan dan privasi tertentu sebelum menjalin kemitraan. Tanpa pemenuhan persyaratan tersebut, peluang kolaborasi dapat tertutup.

Henriko memaparkan bahwa Halodoc menggunakan pendekatan berbasis empat domain utama dalam mengelola dan melindungi data pribadi. Domain pertama adalah Governance & Legal Basis, yang menjadi fondasi utama. Setiap data pribadi yang dikumpulkan harus memiliki dasar hukum yang jelas sesuai dengan UU PDP. Hal ini mencakup penetapan data controller dan data processor, kebijakan formal perlindungan data, penunjukan petugas perlindungan data (PDP Officer), pengelolaan vendor dan kontrak, serta pemenuhan hak subjek data.

Domain berikutnya berfokus pada keamanan dan pengendalian akses data. Tidak semua pihak dapat mengakses data pribadi, karena akses dibatasi berdasarkan peran dan kebutuhan kerja. Prinsip role-based access dan least-privilege diterapkan secara ketat, didukung teknologi enkripsi, autentikasi yang kuat, serta audit trail untuk memastikan setiap aktivitas akses dapat dilacak dan diawasi.

Lebih jauh, Henriko menekankan bahwa faktor manusia memegang peranan penting dalam perlindungan data. Teknologi saja tidak cukup jika tidak didukung oleh kesadaran sumber daya manusia. Oleh karena itu, diperlukan SOP yang jelas, pelatihan privasi dan keamanan secara berkala, aturan penanganan data, serta pengawasan terhadap vendor dan pihak ketiga.

Sementara itu, domain terakhir menyoroti kesiapan menghadapi insiden keamanan. Organisasi harus siap merespons jika terjadi kebocoran data, mulai dari rencana respons insiden, alur eskalasi internal yang jelas, penentuan tenggat notifikasi, hingga dokumentasi dan pelaporan kepada regulator. 

Henriko menegaskan bahwa keempat domain tersebut harus digerakkan oleh kebutuhan tata kelola yang kuat. Organisasi tidak hanya perlu mempertimbangkan sanksi hukum dari UU PDP, tetapi juga risiko lain seperti hilangnya kepercayaan pelanggan dan berkurangnya kemampuan untuk menjalin kerja sama dengan mitra strategis.

Pada akhirnya, keamanan dan privasi data bukan sekadar kewajiban, tetapi investasi jangka panjang bagi keberlanjutan ekosistem kesehatan digital.