24 Jul 2019 Gakken Editorial

Lima Langkah dalam Menjaga Data Pribadi Pasien

Perawatan kesehatan kian erat bergandengan tangan dengan perkembangan digital. Berbagai inovasi perawatan dan pengobatan pun lahir. Beberapa di antaranya adalah penyimpanan catatan elektronik dan penyimpanan cloud, serta telemedicine dan kecerdasan buatan, bersanding dengan berbagai teknologi kesehatan berbasis digital yang lain.

Namun, perkembangan yang terus berlangsung ini dan penggabungan teknologi dalam sistem kesehatan, mendesak pentingnya keamanan data layanan kesehatan. Bahkan, dengan teknologi yang secara signifikan menguntungkan sektor kesehatan, tetap memiliki beberapa kelemahan, dan salah satu kelemahan utama adalah tantangan dalam menjaga data pribadi pasien.

Saat ini, data layanan kesehatan tidak diragukan lagi berada dalam jenis informasi pribadi yang paling sensitive--jenis data yang paling dicari, sekaligus paling sering dilanggar. Catatan kesehatan secara bertahap menjadi target yang lebih menarik bagi peretas, sehingga membuat keamanan data pasien menjadi tugas yang semakin menantang.

Dengan pemikiran ini, untuk melindungi secara memadai data pasien dari penjahat dunia maya dan pelanggaran data, penyedia layanan kesehatan dan pemangku kepentingan terkait perlu menerapkan langkah-langkah keamanan yang komprehensif untuk melindungi data pasien dari risiko keamanan yang menjulang ini.

Di bawah ini adalah lima tips yang berguna untuk membantu sistem kesehatan dan rumah sakit dalam memperkuat dan meningkatkan keamanan data layanan kesehatan mereka dengan lebih baik. Praktik dan langkah-langkah keamanan ini bertujuan untuk membantu organisasi dan institusi kesehatan mengatasi risiko yang akan terjadi terhadap privasi data, mengimbangi ancaman yang terus berkembang, dan juga secara efektif melindungi informasi pribadi pasien.

Pelatihan mengenai Metode Keamanan Terbaik

"Elemen manusia" tetap menjadi salah satu ancaman keamanan terbesar di berbagai industri, termasuk perawatan kesehatan. Menurut statistik terbaru, sebagian besar pelanggaran keamanan merupakan konsekuensi dari faktor manusia. Kelalaian atau kesalahan “manusia” yang sederhana dapat mendatangkan malapetaka dan menghasilkan dampak yang mahal bagi penyedia layanan kesehatan.

Selain itu, meskipun hanya sedikit staf praktik yang secara langsung mencuri PHI (Protected Health Information), namun mereka dapat secara tidak sengaja memasukkan malware ke dalam jaringan yang terbuka terhadap serangan phishing email—salah satu teknik peretas.

Meskipun demikian, dalam banyak kasus, pelatihan keamanan dapat membantu mencegah jenis pelanggaran seperti itu. Pelatihan kesadaran keamanan tidak hanya melengkapi staf layanan kesehatan dengan pengetahuan penting yang diperlukan untuk membuat keputusan yang bijak, tetapi juga memastikan bahwa mereka menggunakan tindakan pencegahan yang sesuai saat menangani data pasien.

Penyedia layanan kesehatan dapat membeli pelatihan keamanan online HIPAA (Health Insurance Portability and Accountability Act) atau mendapatkan pelatihan dari organisasi medis dan rumah sakit lainnya secara gratis.

Penilaian Risiko Rutin

Para ahli merekomendasikan agar penyedia layanan kesehatan melakukan sesi penilaian risiko secara teratur untuk menentukan kerentanan sistem mereka. Dengan mengidentifikasi tautan yang lemah dalam sistem keamanan data, mereka dapat secara efektif mencegah berbagai masalah yang mungkin timbul. Aturan kepatuhan HIPAA memberi mandat kepada organisasi kesehatan untuk melakukan penilaian risiko keamanan setiap tahun atau ketika terjadi perubahan pada sistem elektronik.

Demikian pula, peneydia layanan kesehatan juga harus memprakarsai praktik-praktik tersebut untuk mematuhi kriteria MIPS (Merit-Based Incentive Payment System). Penyedia layanan kesehatan patut mempertimbangkan melakukan penilaian ini lebih dari satu kali setahun--mungkin bulanan atau tiga bulanan untuk tingkat keamanan yang lebih maksimal.

Kontrol Akses: Membatasi Akses ke Aplikasi dan Data

Mengontrol akses ke catatan kesehatan juga merupakan cara penting lainnya untuk meningkatkan keamanan data pasien secara keseluruhan. Bagaimana organisasi dapat melakukan ini? Dengan memastikan bahwa hanya personel yang disertifikasi dan penting, yang diberikan akses ke data sensitif. Ini mengurangi risiko pelanggaran data dan pencurian.

Ketika Anda menerapkan kontrol akses, Anda dapat secara efektif memperkuat keamanan data layanan kesehatan. Salah satunya membatasi akses ke aplikasi spesifik dan informasi pasien yang sensitif hanya untuk individu yang membutuhkan akses dalam melaksanakan tugas mereka.

Pembatasan akses memerlukan otentikasi pengguna dan ini memastikan bahwa pengguna yang berwenang hanya mendapatkan akses ke data layanan kesehatan yang dilindungi.

Otentikasi multi-faktor yang memberi mandat kepada pengguna untuk memverifikasi identitas mereka melalui dua atau lebih metode validasi adalah salah satu pendekatan yang paling direkomendasikan yang dapat digunakan.

Selain itu, bila memungkinkan, organisasi layanan kesehatan dapat melibatkan personel penting dalam otentikasi dua faktor, misalnya memasukkan teknologi pemindaian jempol dan retina, atau bisa juga mengadopsi sistem otentikasi seluler untuk semua staf dengan akses ke catatan sensitif dan kemudian mencatatnya ke dalam sistem keamanan.

Enkripsi

Enkripsi tidak diragukan lagi di antara metode perlindungan data yang paling efektif di semua industri, tidak hanya dalam perawatan kesehatan. Data, baik dalam proses atau telah disimpan, harus dienkripsi pada setiap perangkat dalam sistem. Ini termasuk komputer, ponsel, drive USB, tablet, dan laptop.

Enkripsi data memungkinkan organisasi layanan kesehatan dan pemangku kepentingan untuk meminimalkan kerentanan mereka terhadap pelanggaran data dan serangan dunia maya secara efektif. Enkripsi idealnya membuatnya lebih sulit (hampir mustahil) bagi seorang hacker untuk menguraikan data pasien pribadi bahkan jika mereka berhasil melanggar dan kemudian mendapatkan akses ke informasi.

Dalam rekomendasi yang diberikan oleh HIPAA, tidak disebutkan secara spesifik untuk mengadopsi pendekatan enkripsi data. Hal tersebut memberi keleluasaan bagi organisasi kesehatan dan pemangku kepentingan terkait dalam menentukan jenis metode enkripsi yang tepat, serta langkah-langkah lain yang diperlukan berdasarkan alur kerja dan kebutuhan instansi.

Mengadopsi Role-Based Access

Terakhir, membuat Role-Based Acces atau pembagian akses kepada pengguna sesuai dengan kebutuhan atau klasifikasi mereka. Banyak sistem biasanya akan memungkinkan layanan kesehatan untuk secara unik mengkonfigurasi perangkat lunak mereka kemudian membatasi tingkat sistem yang berbeda untuk personil yang berbeda.

Setiap anggota staf memiliki login atau kunci yang membatasi akses mereka hanya ke bagian dari program yang mereka butuhkan serta data terkait yang terbatas.

Misalnya, dalam sistem penyedia layanan kesehatan yang mencakup sistem manajemen praktik, resepsionis rumah sakit mungkin hanya perlu memanfaatkan aplikasi penjadwalan. Dalam kasus seperti itu, Role-Based Acces tidak memungkinkan individu untuk mendapatkan akses ke data keuangan atau ke data klinis.

Dengan pendekatan ini, penyedia layanan kesehatan dapat secara efektif meningkatkan privasi dan selanjutnya mencegah, misalnya, penggunaan PHI dalam melakukan penipuan. Terlebih lagi, di mana pengguna salah menaruh kata sandi atau dicuri, karena ia hanya memiliki akses terbatas ke sistem, itu membatasi kerusakan total yang dapat dimanfaatkan oleh penyusup.

***

Untuk secara efektif mengikuti risiko keamanan yang terus muncul, sangat penting bagi penyedia layanan kesehatan untuk meningkatkan keamanan dan perlindungan data mereka dengan beberapa pendekatan ini. Ini merupakan tambahan terhadap peraturan HIPAA serta inisiatif lainnya yang juga merupakan titik awal yang kuat untuk membangun sistem perlindungan data yang efektif dan menghindari konsekuensi yang merugikan.

Sumber:
  1. https://searchhealthit.techtarget.com/definition/HIPAA
  2. https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/
  3. https://healthitsecurity.com/news/healthcare-data-encryption-not-required-but-very-necessary
  4. https://thedoctorweighsin.com/update-your-cybersecurity-precautions-with-these-five-basic-steps/

Tips Kesehatan


24 Jul 2019 Gakken Editorial