Selain pemilihan presiden dan legislatif, ada agenda penting lain pada tahun 2019. Pemerintah
menargetkan pencapaian jaminan kesehatan semesta (Universal Health Coverage atau UHC). Ini
ditandai dengan minimal 95% penduduk tercatat sebagai peserta BPJS Kesehatan.
Sejak tahun pertama Badan BPJS Kesehatan beroperasi, defisit keuangan terus berlanjut sebagai
topik yang banyak dibahas. Namun, publik juga harus diingatkan bahwa di luar hal itu, masih
ada persoalan lain yang perlu menjadi perhatian. Salah satu diantaranya adalah perlindungan data
pribadi peserta BPJS Kesehatan yang telah mencapai 215 juta orang pada 1 Januari 2019.
Dengan adanya kerja sama antara Kemendagri dan BPJS Kesehatan, data peserta program
Jaminan Kesehatan Nasional – Kartu Indonesia Sehat (JKN-KIS) terintegrasi dengan data
kependudukan melalui Nomor Induk Kependudukan (NIK). Jika tidak membawa kartu JKN-
KIS, peserta dapat terdaftar di fasilitas kesehatan tingkat pertama hanya dengan menunjukkan
KTP-el. Namun, ditemukannya buangan blangko KTP-el dan penjualannya di pasar gelap
maupun situs e-dagang pada akhir tahun lalu menimbulkan pertanyaan: amankah data kesehatan
pribadi dalam basis data BPJS-K?
Sebenarnya, penyalahgunaan penggunaan kartu identitas untuk mendapatkan layanan kesehatan
gratis telah terjadi sejak era Jamkesmas. Pada saat itu, sistem dan jaringan elektronik tidak
semaju dan berskala nasional seperti sekarang ini. Kini, ketika sistem elektronik menjadi andalan
utama dalam program JKN-KIS, risiko digital dan perlindungan data harus lebih diperkuat lagi.
Apalagi sektor kesehatan sangat intensif menggunakan dalam menggunakan data
kependudukan. BPJS Kesehatan setiap harinya mencatat 700 ribuan transaksi kesehatan dari
22 ribuan fasilitas kesehatan tingkat pertama (FKTP) dan lebih dari 2400 fasilitas kesehatan
rujukan tingkat lanjut (FKRTL). Kementerian Kesehatan menggunakan NIK untuk validasi
data yang diperoleh dari kunjungan ke setiap rumah oleh tenaga Puskesmas melalui Program
Indonesia Sehat dengan Pendekatan Keluarga (PIS-PK). Demikian juga, setiap data kesehatan
jamaah haji berbasis NIK tersimpan ke dalam sistem elektronik yang dapat diakses dari
Indonesia maupun dari Saudi Arabia.
UHC dan data pribadi
Jenis kesakitan tertentu berkaitan dengan citra diri dan stigma personal di mata masyarakat.
Pengungkapan profil kesehatan pribadi tanpa izin berpotensi menyebabkan diskriminasi
social. Mempertimbangkan sensitifnya data kesehatan, menjadi wajar kiranya untuk bertanya
sejauh manakah negara menjamin keamanan data kesehatan warganya?
Melalui UHC, hak asasi kesehatan seluruh warga bakal dijamin. Apakah UHC juga menjamin
hak asasi perlindungan data pribadi, termasuk data kesehatan di dalamnya? Perlindungan ini
untuk menjamin warga bahwa data individu tidak dibobol, diakses oleh yang tidak berhak,
dimanipulasi isinya sampai dengan dibagikan tanpa seizin yang punya kepada pihak lain tanpa
izin pengguna.
Untuk menjawab hal itu, nampaknya perlu belajar dari pengalaman negara tetangga, yaitu
Singapura. Pada bulan Juli 2018 lalu, basis data kesehatan milik pemerintah Singapura
dibobol peretas. Kurang lebih 1,5 juga rekam kesehatan warga dapat diakses oleh pihak yang
tidak berwenang. Data yang dapat diakses termasuk catatan kunjungan rawat jalan dan
pengobatan milik Perdana Menteri Lee Hsien Loong. Kejadian ini terjadi di suatu negara
maju dengan jumlah penduduk relatif kecil, infrastruktur teknologi yang merata serta tingkat
literasi yang baik. Oleh karena itu, risiko keamanan tersebut sangat mungkin terjadi di
Indonesia. Apalagi situasi di Indonesia jauh lebih kompleks.
Kaya data, minim regulasi
Nampaknya tidak ada lembaga di negeri ini yang seistimewa BPJS Kesehatan dalam
mengelola data pribadi. Selain mengumpulkan data pribadi yang bersifat umum (misalnya
nama lengkap, tanggal lahir, NIK dan lainnya), Badan tersebut juga mengumpulkan data
pribadi spesifik kesehatan, hubungan keluarga serta transaksi keuangan pembayaran iuran.
Sayangnya, regulasi yang menjamin perlindungan data pribadi dalam kaitannya dengan
program Jaminan Kesehatan Nasional tidak diatur secara spesifik.
Salah satu aplikasi andalan BPJS Kesehatan adalah PCare, layanan berbasis komputasi awan
yang digunakan oleh 22 ribuan FKTP. Melalui aplikasi ini, petugas di FKTP dapat mengakses
kesehatan individu asalkan mengetahui NIK atau Nomor Kartu BPJS Kesehatan. Untuk
mengupdate isi data, tidak harus melalui konfirmasi dengan peserta. Sehingga, bisa saja, tanpa
sepengetahuan peserta, transaksi kesehatan palsu ditambahkan ke dalam basis data elektronik
PCare. Praktek tidak terpuji (fraudulent access) tersebut baru dapat diketahui dan dilaporkan
oleh peserta jika mengakses app mobile JKN. Namun, hingga Oktober 2018 yang lalu baru 3
juta peserta JKN-KIS yang mengunduh app tersebut. Sebenarnya, dari ukuran app kesehatan,
jumlah tersebut merupakan prestasi karena hanya sedikit app kesehatan yang diunduh lebih
dari 500 ribu kali. Namun, dibandingkan dengan jumlah keseluruhan peserta BPJS, masih
sangat sedikit. Dalam konteks ini, notifikasi kepada pengguna setiap ada perubahan di basis
data personal perlu mempertimbangkan media komunikasi dengan cakupan yang lebih luas,
misalnya SMS atau email.
Oleh karena itu, pengaturan mengenai tanda tangan elektronik (digital signature) dan
implementasinya di sektor kesehatan menjadi urgen. Di sisi yang lain, jejak audit (audit trail)
juga perlu dilakukan kepada fasilitas kesehatan atau SDM kesehatan yang yang mengakses
data NIK secara berlebihan dan mencurigakan.
Kasus tersebut menjadi pelik karena petugas di FKTP bukanlah staf di BPJS Kesehatan. Di
sinilah letak perlunya tata kelola data kesehatan. BPJS Kesehatan wajib menyediakan sistem
elektronik yang aman, berintegritas, mudah digunakan dan bermanfaat. FKTP dan FKRTL
berkewajiban menggunakan sistem secara bertanggung jawab, konsisten dan akurat.
Perjanjian Kerja Sama antara BPJS Kesehatan dan FKTP/FKRTL wajib memuat secara rinci
hak dan kewajiban yang berkaitan dengan berbagai aspek pengelolaan data kesehatan.
Proses pengumpulan, kerahasiaan, privasi, pengolahan, akses, transfer serta penggunaan data
pribadi wajib disampaikan pada waktu informed consent kepada pasien. Ini melengkapi
prosedur standar untuk menyampaikan berbagai aspek yang perlu diketahui dan mendapatkan
persetujuan pasien, seperti prosedur medis, praktik klinis maupun penelitian. Pasien perlu
mendapatkan informasi secara jelas dan memberi persetujuan bahwasanya data pribadi akan
tersimpan tidak hanya di lingkungan FKTP/FTRTL, tetapi tersimpan di komputasi awan di
bawah kendali BPJS Kesehatan.
Menanti RUU Perlindungan Data Pribadi
Peraturan Menteri Kominfo nomor 20 tahun 2016 tentang Perlindungan Data Pribadi dalam
Sistem Elektronik tidak mengatur tentang data pribadi yang spesifik pada bidang kesehatan.
Harapan baiknya adalah Rancangan Undang-Undang Perlindungan Data Pribadi telah
disahkan dan masuk dalam RUU prioritas untuk dibahas pada tahun 2019.
Sembari menunggu pembahasan RUU tersebut, BPJS Kesehatan dan fasilitas pelayanan
kesehatan wajib menjamin integritas, keamanan, kerahasiaan, privasi, aksesibilitas serta
penggunaan data pribadi secara bertanggung jawab. Pengembangan pedoman dan petunjuk
teknis penjaminan data pribadi di pusat data BPJS Kesehatan yang mengacu kepada standar
keamanan internasional akan berkontribusi positif terhadap pencapaian UHC sekaligus
melindungi hak dasar warga atas perlindungan data pribadi.