Cyberthreat.id - Rumah Sakit Sentara di California, Amerika Serikat (AS), harus membayar sanksi denda 2,2 juta USD (Rp 31 miliar) atas pelanggaran regulasi Health Insurance Portability and Accountability Act (HIPAA).

Pelanggaran yang dimaksud adalah insiden kebocoran data tahun 2017 dimana terjadi kebocoran data Informasi Identifikasi Pribadi (Protected health information/PHI) milik pasien yang sebenarnya dilakukan oleh vendor sebagai pihak ketiga, tetapi RS Sentara sebagai pengolah dan pengguna data juga harus bertanggung jawab.

HIPAA adalah regulasi yang ditandatangani Presiden AS Bill Clinton tahun 1996 yang intinya adalah memodernisasi aliran informasi kesehatan. Menetapkan bagaimana PHI yang dikelola oleh industri asuransi kesehatan dan perawatan kesehatan harus dilindungi dari penipuan dan pencurian, serta harus memahami batasannya pada ruang lingkup kesehatan.

Kronologis kebocoran data dimulai tahun 2017 saat The United States Department of Health & Human Services (HHS) menerima keluhan dari masyarakat bahwa Rumah Sakit Sentara mengirim tagihan kepada pasien yang berisi data kesehatan pasien lain.

Namun, penyelidikan Kantor Hak Sipil (OCR) mengungkapkan bahwa perusahaan kesehatan (vendor) telah mengirimkan informasi kesehatan yang dilindungi PHI dari 577 pasien ke alamat yang salah.

"Pelanggaran terjadi karena vendor pihak ketiga yang mencetak dan mengirimkan tagihan organisasi," tulis laporan di Cyware Hacker News, Jumat (29 November 2019).

Insiden itu mengarah pada pemaparan PHI pasien yang termasuk nama, informasi akun, dan tanggal layanan hingga jumlah tagihan.

Di mana kesalahannya?

Awalnya, Rumah Sakit Sentara melaporkan bahwa insiden itu hanya mempengaruhi delapan orang pasien. Sistem elektronik kesehatan mengklaim bahwa pelanggaran PHI tidak terjadi karena pengungkapan yang tidak tepat, tidak mengandung diagnosa, informasi perawatan, atau data medis.

Menyusul insiden ini dianggap sebagai kegagalan berulang untuk memberikan informasi yang tepat tentang pelanggaran, OCR telah menerapkan tindakan tegas pada Rumah Sakit Sentara.

"Ketika penyedia layanan kesehatan secara terang-terangan gagal melaporkan pelanggaran seperti yang dipersyaratkan oleh hukum, mereka harus mendapatkan tindakan hukum yang tegas oleh OCR," kata Direktur OCR Roger Severino dalam sebuah pernyataan.

Investigasi OCR juga mengungkapkan RS Sentara gagal menerapkan perjanjian rekanan bisnis dengan Sentara Healthcare (yang termasuk bagian vendor). Perjanjian tersebut mencakup entitas yang melakukan layanan rekanan bisnis yang melibatkan penerimaan, pemeliharaan, pengungkapan PHI untuk entitas yang dilindungi anggotanya untuk sistem kesehatan.

Bagaimana tanggapan Sentara?

Pihak RS Sentara telah setuju untuk mengimplementasikan rencana aksi korektif/perbaikan termasuk membayar denda. Pejabat rumah sakit juga perlu mengembangkan, memelihara, dan merevisi kebijakan dan prosedur tertulis yang sesuai dengan HIPAA.