Perusahaan asuransi kesehatan, Aetna, baru-baru ini mendapat kecaman karena berpotensi mengungkapkan status HIV ribuan pelanggan. Perusahaan tersebut rupanya mengirimkan surat berisi data mengenai pemesanan obat resep HIV menggunakan amplop dengan jendela berplastik jernih - yang isinya terlihat.

Perusahaan mengirimkan surat-surat tersebut pada tanggal 28 Juli 2017 kepada sekitar 12.000 orang; tapi tidak jelas berapa banyak dampaknya - mengingat hal tersebut tergantung bagaimana surat diposisikan di dalam amplop. Aetna sejak itu mengeluarkan sebuah pernyataan resmi yang berbunyi, "Kami dengan tulus meminta maaf kepada pihak yang terkena dampak merugikan. Kesalahan ini tidak dapat diterima, dan kami sedang melakukan tinjauan menyeluruh terhadap proses yang kami jalankan untuk memastikan hal seperti ini tidak terulang kembali."

Text visible through a small window on the envelopes, which Aetna mailed out to approximately 12,000 people, listed the patients’ names and suggested a change in how they would fill the prescription for their treatment for the virus. Photo credit: AIDS Law Project of Pennsylvanias
Text visible through a small window on the envelopes, which Aetna mailed out to approximately 12,000 people, listed the patients’ names and suggested a change in how they would fill the prescription for their treatment for the virus. Photo credit: AIDS Law Project of Pennsylvanias

Pusat Aksi Hukum di kota New York dan Proyek Hukum AIDS Pennsylvania telah mengirim sebuah surat "penghentian" kepada Aetna, yang menyatakan bahwa kebocoran data privasi tersebut menyebabkan "kerugian yang tak terhitung bagi pelanggan Aetna."

"Pelanggaran kebijakan privasi yang dilakukan Aetna merugikan orang-orang yang tetangga dan keluarganya mengetahui informasi kesehatan mereka," kata Sally Friedman, direktur hukum Pusat Aksi Hukum. "Mereka juga terkejut bahwa perusahaan asuransi kesehatan dapat mengabaikan hak privasi mereka."

Sayangnya, kebocoran dalam bidang kesehatan sering terjadi. Faktanya, industri kesehatan menempati urutan ke-9 dibandingkan dengan industri lain dalam hal keamanan data keseluruhan. Tahun ini, serangan ransomware global, WannaCry, mengungkapkan betapa sistem komputer rumah sakit tidak terlindungi penggunaannya.

Dampak global: Dua kebocoran informasi data kesehatan terbesar berkaitan dengan perusahaan asuransi kesehatan

Pada bulan Januari 2015, Anthem Blue Cross, salah satu perusahaan asuransi kesehatan terbesar di dunia, mengalami kebocoran data kesehatan terbesar dalam sejarah. Catatan 78,8 juta pasien dicuri, termasuk data sensitif seperti nama, alamat rumah, tanggal lahir, angka pendapatan dan nomor jaminan sosial. Bahkan data karyawan pun dilanggar.

Perusahaan meyakinkan pelanggan bahwa tidak ada data kesehatan yang diambil serta memberikan layanan pemantauan kredit dan perlindungan identitas gratis kepada mereka yang terkena dampaknya. Belum ada bukti bahwa data curian itu digunakan untuk melakukan kecurangan. Lebih dari 100 tuntutan hukum diajukan terhadap perusahaan tersebut dan pada tanggal 23 Juni 2017, diumumkan bahwa Anthem akan membayar USD115 juta - penyelesaian terbesar untuk kebocoran data.

Pada tahun 2012, seperti Aetna, Anthem juga menggunakan amplop dengan jendela sehingga nomor Jaminan Sosial Pelanggan dapat terlihat, mengkompromikan 33.000 pasien.

Termasuk kelompok yang sama; Tapi, perusahaan yang berbeda - Premera Blue Cross juga menghadapi serangan cyber massal, yang mengungkapkan informasi data medis dari 11 juta pelanggan. Serta nama, nomor dan tanggal lahir, nomor rekening bank, nomor jaminan sosial dan data klaim juga dicuri, enam minggu setelah masalah Anthem muncul.

Catatan karyawan dari beberapa perusahaan besar di Amerika seperti Amazon, Starbucks dan Microsoft juga dicuri. Dave Kennedy, kepala eksekutif perusahaan konsultan keamanan Teknologi Informasi, TrustedSec LLC berkomentar, "Catatan medis menggambarkan data pribadi tentang kehidupan dan prosedur medis seseorang. Mereka mengizinkan Anda melakukan penipuan medis secara mendalam. "Premera juga terkena sejumlah tuntutan hukum.

Apa kebijakan hukum yang ada?

Di Amerika Serikat, pelanggaran yang merugikan masyarakat dengan cara ini termasuk dalam kebijakan Asuransi dan Probabilitas Kesehatan, yang menetapkan denda sejumlah uang dan prosedur untuk penyelidikan dan dengar pendapat untuk setiap pelanggaran.

Hingga tahun 2013, Departemen Kesehatan dan Sumber Daya Manusia telah menyelidiki lebih dari 19.306 kasus. Sebagian besar ditangani dengan meminta perubahan dalam praktik privasi atau tindakan korektif, yang diminta hanya jika pemerintah menemukan ketidakpatuhan yang dilakukan perusahaan.

Di Inggris, Information Commissioner's Office (ICO) bertanggung jawab untuk memastikan informasi data terlindungi dan bila tidak, akan dilakukan suatu tindakan. Untuk pelanggaran serius, ada denda yang dapat mencapai GBP500.000, pemberitahuan kebijakan hukum, perintah 'berhenti sekarang' bagi individu atau kelompok di balik pelanggaran teridentifikasi, menindaklanjuti usaha bisnis setelah penuntutan pelanggaran dan pidana.

Meskipun perusahaan diminta untuk memberitahukan ICO tentang kebocoran data, mereka dapat melakukan audit tanpa surat perintah. Perusahaan asuransi juga berkewajiban untuk membangun dan memelihara sistem yang membantu melindungi data pribadi.

Di Indonesia kebijakan hukum mengenai perlindungan data pribadi yang tertuang dalam setidaknya 20 produk hukum seperti Rancangan Undang-Undang Tentang Perlindungan Data dan Informasi Pribadi dan Peraturan Menteri Komunikasi dan Informasi Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik. Menurut Ketua Umum Indonesia Cyber Law Community (ICLC), Teguh Arifiyadi, walaupun Indonesia telah memiliki kebijakan hokum tentang data pribadi, namun penerapannya masih menerapkan model yang terpisah dan terpecah-pecah.

Mereka juga dapat melayani pemberitahuan pelanggaran kebijakan hukum kepada organisasi - dan membimbing mereka pada langkah-langkah yang seharusnya mereka lakukan. Jika mereka mencurigai adanya kelompok atau individu yang melanggar, mereka dapat menyita komputer, dokumen dan peralatan dan menangkap orang dalam kasus tersebut dengan atau tanpa surat perintah. MIMS

Bacaan lain:
Tenaga kesehatan perlu meningkatkan keamanan digital dan meningkatkan kesadaran komunitas
Peneliti mengubah kode virus komputer menjadi DNA
Serangan 'WannaCry' bisa berubah menjadi malpraktek digital di rumah sakit, kata ahli hukum

Sumber:
https://kliklegal.com/ini-berbagai-peraturan-perlindungan-data-pribadi-di-indonesia/
http://www.npr.org/sections/thetwo-way/2017/08/25/546048615/aetna-mailer-accidentally-reveals-hiv-status-of-up-to-12-000-patients
https://www.statnews.com/2017/08/24/aetna-hiv-envelopes/
https://digitalguardian.com/blog/top-10-biggest-healthcare-data-breaches-all-time
https://www.wired.com/2015/02/breach-health-insurer-exposes-sensitive-data-millions-patients/ 
https://uk.reuters.com/article/us-anthem-cyber-settlement-idUKKBN19E2ML 
http://www.reuters.com/article/us-cyberattack-premera-idUSKBN0MD2FF20150318 
https://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act#Title_II:_Preventing_Health_Care_Fraud_and_Abuse.3B_Administrative_Simplification.3B_Medical_Liability_Reform 
http://www.nortonrosefulbright.com/knowledge/publications/127453/ten-things-to-know-about-data-protection-for-insurers-in-the-eu
http://thelawreviews.co.uk/edition/the-privacy-data-protection-and-cybersecurity-law-review-edition-3/1140170/malaysia