blanja.com
telkomsel halo
finnet KTM

Kolom Opini

Melihat efek GDPR bagi layanan kesehatan

05:15:15 | 19 May 2018
Melihat efek GDPR bagi layanan kesehatan
Ilustrasi
telkomtelstra januari - maret
Peraturan Perlindungan Data Umum Uni Eropa (GDPR) akan dimulai 25 Mei 2018, dan bisnis di seluruh dunia bersiap untuk undang-undang yang diperbarui.

GDPR berubah lebih dari kepatuhan data — ini mengubah cara bisnis beroperasi — memengaruhi cara dan waktu mereka berinteraksi dengan data penduduk Uni Eropa.

Salah satu industri yang akan dipegang dengan standar yang lebih tinggi adalah layanan kesehatan.

Industri layanan kesehatan dapat mengharapkan berbagai tantangan baru ketika datang untuk mengumpulkan dan melindungi data pribadi penduduk Uni Eropa.

Undang-undang baru ini bertujuan untuk membangun perlindungan informasi pribadi yang umum dan terkini, bekerja untuk memastikan bahwa data dilindungi di semua kegiatan pengolahan dan titik akhir.

Pemahaman
GDPR adalah perubahan mendasar dalam perlindungan data dan privasi seseorang. Sebelum undang-undang ini, data pribadi secara luas dilihat sebagai properti dari bisnis yang mengumpulkan dan menyimpan informasi.

Namun pada bulan Mei, data pribadi apa pun dari penduduk Uni Eropa akan dilihat sebagai milik individu, dan GDPR memberikan hak terkait akses dan penggunaan data mereka oleh organisasi.

Pada intinya, GDPR mendefinisikan hak individu yang terkait dengan perlindungan data. Hak-hak ini dapat dirangkum secara luas sebagai berikut:
1. Persetujuan yang Diinformasikan: Hak untuk diberi tahu dengan jelas mengapa data diperlukan dan bagaimana data itu akan digunakan. Persetujuan harus secara tegas diberikan dan dapat ditarik kapan saja.

2. Akses: Hak untuk mengakses, bebas biaya, semua data yang dikumpulkan, dan untuk mendapatkan konfirmasi tentang bagaimana prosesnya.

3. Koreksi: Hak untuk mengoreksi data jika tidak akurat.

4. Penghapusan dan Hak Untuk Dilupakan (RTBF): Hak untuk meminta penghapusan data seseorang.

5. Portabilitas Data: Hak untuk mengambil dan menggunakan kembali data pribadi, untuk kepentingan sendiri, di berbagai layanan yang berbeda.

GDPR juga memperkenalkan kewajiban baru pada organisasi untuk memberi tahu otoritas terkait dari setiap pelanggaran data pribadi yang kemungkinan akan mengakibatkan risiko terhadap "hak dan kebebasan individu".

Jika risiko tersebut dianggap 'tinggi', pemberitahuan juga harus diperluas ke subjek data yang terpengaruh. Notifikasi harus dibuat 'tanpa penundaan yang tidak perlu'dan jika memungkinkan, dalam 72 jam setelah penemuan acara.

Perhatikan, satu cara untuk memastikan bahwa pelanggaran tidak akan mengakibatkan risiko bagi pemilik data penduduk Uni Eropa adalah mengenkripsi semua data pribadi yang dikumpulkan.

Jika strategi ini dikejar, organisasi perlu mempertimbangkan kemampuan mereka untuk mendukung sejumlah besar lalu lintas yang dienkripsi saat transit dan saat istirahat.

GDPR bertindak sebagai sarana untuk melindungi data pribadi bagi penduduk Uni Eropa di seluruh dunia.

Ini berarti bahwa setiap bisnis atau organisasi yang memproses atau menyimpan data penduduk Uni Eropa tunduk pada aturan dan peraturan GDPR — terlepas dari apakah fasilitas perawatan kesehatan beroperasi secara fisik di negara-negara Uni Eropa.

Untuk organisasi kesehatan yang berbasis di Amerika Serikat, GDPR dapat dilihat sebagai perluasan peraturan Portabilitas Asuransi Kesehatan dan Akuntabilitas(HIPAA).

Mirip dengan perlindungan yang disediakan HIPAA untuk informasi kesehatan pribadi (PHI), GDPR memperluas gagasan dengan mengatur seluruh siklus hidup informasi pribadi, termasuk bagaimana pengumpulannya, diproses, disimpan, dan akhirnya dihancurkan.

Organisasi Kesehatan
Agar organisasi perawatan kesehatan mematuhi GDPR, ada sejumlah persyaratan, beberapa layanan kesehatan tertentu, yang harus dipatuhi.

Semua data pribadi," didefinisikan sebagai "setiap informasi yang berkaitan dengan orang yang diidentifikasi atau dapat diidentifikasi," harus dikumpulkan sesuai dengan Pasal 5 GDPR, yang berarti data harus:
Dikumpulkan untuk tujuan yang ditentukan, sah dan eksplisit dan tidak diproses dengan cara yang tidak sesuai dengannya.
Diproses secara sah, adil dan transparan.
Diproses untuk memastikan keamanan data yang tepat.
Adil, relevan dan terbatas pada apa yang diperlukan dalam kaitannya dengan tujuan yang diproses.
Akurat dan up to date.
Disimpan dalam bentuk yang memungkinkan identifikasi subyek data tidak lebih lama dari yang diperlukan untuk tujuan yang diproses.
Dikendalikan oleh pengontrol yang bertanggung jawab atas data dan mampu menunjukkan kepatuhan.

Seperti yang disebutkan sebelumnya, organisasi kesehatan memiliki seperangkat standar yang lebih spesifik untuk dipatuhi. Secara khusus, data pribadi tertentu — yang dikenal sebagai data genetika, data mengenai kesehatan dan data biometrik — tidak dapat diproses kecuali itu termasuk dalam kategori tertentu.

Sebelum kita masuk ke dalam kategori apa itu, kita harus mendefinisikan tiga jenis data pribadi yang terkait dengan perawatan kesehatan yang tunduk pada peraturan khusus.

A. Data genetik: data pribadi yang berkaitan dengan karakteristik genetik yang diturunkan atau diperoleh dari orang yang alami yang memberikan informasi unik tentang fisiologi atau kesehatan orang alami itu dan hasil itu, khususnya, dari analisis sampel biologis dari orang alami yang dipertanyakan.

Data yang menyangkut kesehatan:data pribadi yang berkaitan dengan kesehatan fisik atau mental orang secara alami, termasuk penyediaan layanan perawatan kesehatan, yang mengungkapkan informasi tentang status kesehatannya.

B. Data biometrik: data pribadi yang dihasilkan dari proses teknis spesifik yang berkaitan dengan karakteristik fisik, fisiologis atau perilaku dari orang yang alami, yang memungkinkan atau mengkonfirmasi identifikasi unik dari orang secara alami, seperti gambar wajah atau data daktiloskopi.

Sementara GDPR melarang pengumpulan data pribadi yang tidak perlu oleh organisasi kesehatan, ada beberapa pengecualian yang memungkinkan untuk pengumpulannya. Agar organisasi kesehatan dapat mengumpulkan data pribadi tertentu, pengumpulan harus jatuh ke dalam satu atau beberapa kategori berikut:

Data telah diberikan dengan persetujuan eksplisit dari pemilik
Pengolahan data diperlukan untuk "kepentingan vital" pasien / penyedia
Pengolahan diperlukan untuk tujuan pengobatan pencegahan atau pekerjaan
Data diperlukan untuk kebaikan kesehatan masyarakat

Hukuman
Kegagalan untuk mematuhi GDPR dapat berarti denda serius bagi organisasi kesehatan. Denda dihitung berdasarkan sejumlah faktor tetapi dapat berkisar hingga lebih dari 20 juta euro (US$24,8 juta) atau empat persen dari omset tahunan global.

Kata "lebih besar" di sini adalah penting. Jika kegagalan kepatuhan atau pelanggaran data ditemukan dan dihukum, jumlah yang menghasilkan lebih tinggi pada saat denda akan digunakan.

Ini berarti bahwa jika empat persen dari pendapatan global untuk organisasi kesehatan lebih tinggi dari 20 juta euro, dendanya akan berjumlah sama dengan empat persen dari pendapatan global.

Jika fasilitas kesehatan Anda harus memenuhi persyaratan GDPR musim semi ini, ada beberapa tindakan yang harus Anda ambil untuk membantu memastikan bahwa Anda siap:

Pertama, Anda harus mengaudit fasilitas Anda untuk menentukan data pribadi yang perlu ditata ulang untuk kepatuhan. Pastikan Anda menyertakan wawasan tentang data apa yang dikumpulkan, bagaimana pengumpulannya, dan tujuan untuk mengumpulkan data.

Kedua, pastikan bagaimana data diproses, disimpan, ditransfer, dan dibagikan di dalam / di luar fasilitas Anda. Atur dan gabungkan silo informasi yang mungkin untuk memastikan bahwa informasi yang diperlukan tidak hilang dalam proses atau teknologi yang diimplementasikan dengan buruk.

Setelah Anda mengaudit informasi yang dilindungi berdasarkan GDPR, Anda harus berinvestasi dalam mendidik dan melatih staf tentang persyaratan siklus hidup data yang direvisi; memperbarui prosedur untuk mengumpulkan, menggunakan, menyimpan, dan menghancurkan informasi pribadi. Selain itu, keamanan data dan tim privasi perlu dipersiapkan jika ada informasi yang diaudit atau diminta oleh penduduk Uni Eropa.

Selanjutnya, Anda harus meninjau kemampuan keamanan siber Anda. Tentukan apakah organisasi Anda mampu mendeteksi dan melaporkan pelanggaran data dalam waktu 72 jam yang dibutuhkan. Deteksi pelacak sangat sulit, bahkan untuk perusahaan terbesar. Bahkan, sebagian besar pelanggaran data terdeteksi oleh pihak ketiga - biasanya oleh pelanggan atau penegak hukum. Jika tidak bisa, Anda harus memperbarui kemampuan keamanan siber Anda untuk membantu melindungi organisasi Anda dari pelanggaran di seluruh ruang serangan.

Terakhir, Anda harus berkomitmen pada organisasi Anda untuk program keamanan siber berbasis risiko ketat yang ditandai dengan terus menilai siklus hidup data GDPR Anda yang relevan dan postur keamanan organisasi secara keseluruhan.

Meskipun kepatuhan tidak selalu berarti aman, mengingat denda berat yang terkait dengan GDPR, secara konsisten memeriksa kelemahan dalam organisasi Anda memastikan fondasi yang kuat untuk respon jika warga negara Uni Eropa meminta informasinya, mengajukan keluhan atau, skenario terburuk, jika data sensitif telah dilanggar.(*)

Ditulis oleh Jonathan Nguyen-Duy, Vice President, Strategy & Analytics at Fortinet

Artikel Terkait
Rekomendasi
Berita Pilihan
telkom solution travel
300x250-UNL5000-sahur.jpg
More Stories
telkom sigma
idul fitri 2018