Dalam HIPAA (Health Insurance Portability and Accountability Act), terdapat Security Rule yang secara khusus mengatur tentang standar dan kebijakan keamanan untuk rekam medis elektronik atau electronic Protected Health Information (ePHI). Tujuan utama dari Security Rule adalah untuk memastikan bahwa ePHI dijaga kerahasiaannya, integritasnya, dan ketersediaannya, serta mencegah akses yang tidak sah atau pelanggaran data.
Berikut adalah penjelasan tentang HIPAA Security Rule dan kaitannya dengan kebijakan standar aturan keamanan untuk rekam medis elektronik:
1. Tujuan HIPAA Security Rule:
HIPAA Security Rule memberikan pedoman kepada organisasi kesehatan, termasuk penyedia layanan kesehatan, perusahaan asuransi, dan entitas terkait lainnya, untuk melindungi ePHI yang mereka buat, simpan, dan kirimkan secara elektronik. Ini mencakup:
- Confidentiality (Kerahasiaan): Melindungi informasi dari akses yang tidak sah.
- Integrity (Integritas): Memastikan bahwa informasi tidak diubah atau dihapus secara tidak sah.
- Availability (Ketersediaan): Memastikan bahwa informasi tersedia saat dibutuhkan untuk perawatan pasien atau keperluan lainnya.
2. Kategori Pengamanan dalam HIPAA Security Rule:
Security Rule mengharuskan penerapan tiga kategori pengamanan (safeguards) yang berfokus pada administratif, fisik, dan teknis untuk melindungi ePHI:
a. Administrative Safeguards (Pengamanan Administratif)
Ini mencakup kebijakan dan prosedur yang mengarahkan personel organisasi untuk mengelola dan melindungi ePHI:
- Risk Analysis and Management: Melakukan analisis risiko secara berkala untuk mengidentifikasi potensi ancaman terhadap ePHI dan menerapkan kebijakan untuk memitigasi risiko tersebut.
- Security Management Process: Organisasi harus memiliki proses manajemen keamanan, seperti pengawasan akses dan pelatihan karyawan tentang cara melindungi informasi kesehatan elektronik.
- Workforce Security: Hanya individu yang berwenang yang boleh mengakses sistem yang berisi ePHI.
- Incident Response: Harus ada kebijakan untuk menangani insiden keamanan yang dapat menyebabkan pelanggaran terhadap ePHI.
b. Physical Safeguards (Pengamanan Fisik)
Ini terkait dengan perlindungan fisik perangkat yang digunakan untuk menyimpan dan memproses ePHI:
- Facility Access Controls: Membatasi akses fisik ke fasilitas dan perangkat yang menyimpan ePHI, seperti komputer, server, atau ruang arsip digital.
- Workstation Use: Kebijakan tentang cara kerja yang aman di workstation yang memiliki akses ke ePHI, seperti aturan untuk mengunci layar setelah tidak aktif (autologout).
- Device and Media Controls: Prosedur untuk mengamankan perangkat keras, termasuk penghapusan aman (secure disposal) ePHI dari media penyimpanan elektronik, seperti hard drive, USB, atau CD.
c. Technical Safeguards (Pengamanan Teknis)
Pengamanan teknis terkait dengan cara sistem elektronik melindungi ePHI dari akses atau modifikasi yang tidak sah:
- Access Control: Penggunaan identifikasi pengguna (user ID), password, dan multi-factor authentication (MFA) untuk memastikan bahwa hanya individu berwenang yang dapat mengakses ePHI.
- Encryption: ePHI harus dienkripsi saat disimpan atau dikirim melalui jaringan publik, untuk mencegah pencurian atau pengintaian (eavesdropping).
- Audit Controls: Sistem harus memiliki kemampuan untuk melacak dan mencatat siapa yang mengakses atau mengubah ePHI, dan kapan akses tersebut terjadi (audit trail).
- Integrity Controls: Mekanisme teknis untuk memastikan bahwa ePHI tidak dimodifikasi atau dirusak tanpa otorisasi.
- Person or Entity Authentication: Memastikan bahwa setiap orang atau entitas yang mengakses ePHI telah diidentifikasi dan diotentikasi dengan benar.
3. Prinsip Minimum Necessary:
HIPAA juga mewajibkan bahwa akses ke ePHI harus sesuai dengan prinsip minimum necessary, artinya hanya informasi yang diperlukan untuk keperluan tertentu yang boleh diakses atau dibagikan. Ini membantu mencegah eksposur berlebihan dari ePHI.
4. Contoh Penerapan dalam Rekam Medis Elektronik (EHR):
- Login User: Setiap staf medis yang mengakses sistem EHR harus menggunakan ID dan password unik, dengan pengaturan untuk autologout setelah periode tidak aktif tertentu.
- Audit Trail: Setiap perubahan dalam rekam medis pasien, seperti modifikasi diagnosis atau hasil tes laboratorium, harus dicatat dan dilacak untuk mengidentifikasi siapa yang melakukan perubahan tersebut.
- Enkripsi Data: Data pasien yang dikirimkan melalui email atau diakses secara jarak jauh harus dienkripsi untuk melindungi informasi dari pencurian data.
- Backup and Recovery: ePHI harus disimpan dengan mekanisme cadangan (backup) yang aman untuk mencegah kehilangan data akibat bencana atau serangan siber.
5. Konsekuensi Non-Kepatuhan:
Jika organisasi gagal mematuhi standar keamanan HIPAA, mereka bisa menghadapi denda besar dan tindakan hukum. Pelanggaran yang melibatkan kebocoran ePHI bisa dikenakan denda hingga jutaan dolar, tergantung pada tingkat kesalahan dan kerugian yang ditimbulkan.
Kesimpulan:
HIPAA Security Rule memastikan bahwa rekam medis elektronik (ePHI) dilindungi dari akses, modifikasi, atau transmisi yang tidak sah. Organisasi kesehatan harus menerapkan pengamanan administratif, fisik, dan teknis yang memadai untuk menjaga keamanan, kerahasiaan, dan integritas informasi kesehatan pribadi pasien. Tujuan utamanya adalah melindungi privasi pasien sambil memungkinkan kelancaran proses penyimpanan dan transmisi data dalam sistem elektronik.
Berikut tools yang bisa digunakan untuk menilai sendiri/self assessment terhadap standar HIPAA