Health Insurance Portability and Accountability Act (HIPAA)

HIPAA, atau singkatan dari  Health Insurance Portability and Accountability Act (Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan) adalah peraturan federal di Amerika Serikat yang ditetapkan untuk melindungi privasi informasi kesehatan pasien. HIPAA dibuat pada tahun 1996.

Peraturan ini mengatur bagaimana informasi kesehatan pasien yang disebut  protected health information (PHI) bisa digunakan dan dibagikan. PHI ini mencakup hal-hal seperti diagnosis medis, riwayat kesehatan, catatan perawatan, dan informasi lainnya yang bisa digunakan untuk mengidentifikasi pasien.

HIPAA mewajibkan pihak-pihak yang menangani informasi kesehatan pasien, seperti rumah sakit, dokter, dan perusahaan asuransi kesehatan, untuk melindungi kerahasiaan informasi tersebut. HIPAA juga memberikan pasien hak untuk mengakses informasi kesehatan mereka sendiri dan mengontrol bagaimana informasi tersebut digunakan.

Aturan Utama HIPAA

HIPAA memiliki beberapa aturan utama untuk melindungi informasi kesehatan pasien, antara lain:

1. Aturan Privasi

• Aturan privasi HIPAA mengatur bagaimana informasi kesehatan pasien dapat digunakan dan dibagikan.
• Pasien memiliki hak untuk:
  • Melihat dan mendapatkan salinan informasi kesehatan mereka.
  • Meminta agar informasi kesehatan mereka dikoreksi.
  • Membatasi bagaimana informasi kesehatan mereka digunakan dan dibagikan.
  • Mengajukan keluhan jika mereka merasa informasi kesehatan mereka tidak dilindungi dengan benar.

2. Aturan Keamanan

• Aturan keamanan HIPAA mengatur bagaimana informasi kesehatan pasien disimpan dan dilindungi dari akses yang tidak sah.
• Penyedia layanan kesehatan harus:
  • Melakukan penilaian risiko untuk mengidentifikasi potensi ancaman terhadap informasi kesehatan pasien.
  • Menerapkan langkah-langkah pengamanan untuk mengurangi risiko tersebut.
  • Memantau dan menguji langkah-langkah pengamanan secara teratur.

3. Aturan Transaksi Elektronik

• Aturan transaksi elektronik HIPAA menetapkan standar untuk pertukaran informasi kesehatan secara elektronik.
• Standar ini membantu memastikan bahwa informasi kesehatan pasien dapat dibagikan dengan aman dan efisien antara penyedia layanan kesehatan dan perusahaan asuransi.

Berikut beberapa contoh cara HIPAA melindungi informasi kesehatan pasien:

• Rumah sakit harus merahasiakan informasi kesehatan pasien dari orang lain yang tidak berhak untuk mengetahuinya.
• Dokter hanya boleh membagikan informasi kesehatan pasien dengan orang lain yang perlu mengetahuinya untuk memberikan perawatan.
• Perusahaan asuransi kesehatan tidak boleh menggunakan informasi kesehatan pasien untuk membuat keputusan tentang penjaminan atau premi tanpa persetujuan pasien.

Pasien dapat membantu melindungi informasi kesehatan mereka dengan:

• Meminta informasi tentang bagaimana informasi kesehatan mereka akan digunakan dan dibagikan.
• Membaca dan memahami kebijakan privasi penyedia layanan kesehatan mereka.
• Hanya memberikan informasi kesehatan mereka kepada orang yang perlu mengetahuinya.
• Melaporkan pelanggaran privasi HIPAA kepada Departemen Kesehatan dan Layanan Kemanusiaan Amerika Serikat (HHS).

Sumber informasi:

• https://www.hhs.gov/hipaa/for-professionals/privacy/index.html
• https://www.hhs.gov/hipaa/for-professionals/security/index.html
• [URL yang tidak valid dihapus]

Ringkasan Aturan Privasi HIPAA untuk Profesional

Informasi yang Dilindungi (PHI):

Informasi kesehatan individu yang dapat digunakan untuk mengidentifikasi mereka, termasuk:

• Data demografis: nama, alamat, tanggal lahir, nomor Jaminan Sosial.
• Riwayat kesehatan dan kondisi medis: alergi, penyakit kronis, riwayat imunisasi.
• Hasil tes dan diagnosa: tes darah, rontgen, hasil MRI.
• Informasi perawatan dan pengobatan: resep obat, catatan rawat inap, rencana perawatan.
• Pembayaran dan informasi asuransi: informasi tagihan, nama perusahaan asuransi, nomor polis.

Entitas Tertanggung:

• Penyedia Layanan Kesehatan: Dokter, rumah sakit, klinik, apotek, laboratorium, dan lainnya yang memberikan layanan kesehatan.
• Perusahaan Asuransi Kesehatan: Asuransi kesehatan, HMO, organisasi layanan kesehatan (HMO), dan lainnya yang menanggung biaya kesehatan.
• Clearinghouses: Pihak ketiga yang memproses informasi kesehatan secara elektronik, seperti perusahaan penagihan dan vendor teknologi kesehatan.

Aturan Privasi Utama:

• Penggunaan dan Pengungkapan PHI:
  • PHI hanya boleh digunakan dan dibagikan untuk tujuan perawatan, pembayaran, dan operasi kesehatan.
  • Persetujuan individu diperlukan untuk penggunaan atau pengungkapan PHI di luar tujuan tersebut.
  • Pengecualian untuk penggunaan dan pengungkapan PHI tanpa persetujuan:
    • Kesehatan masyarakat: untuk mencegah penyakit, melacak kontak, dan melaporkan kejadian kesehatan masyarakat.
    • Penegakan hukum: untuk investigasi kriminal dan proses hukum.
    • Penelitian: untuk penelitian kesehatan dengan persetujuan IRB (Institutional Review Board).
• Hak Individu:
  • Hak untuk mengakses PHI mereka:
    • Meminta salinan PHI dalam format yang mudah dibaca.
    • Meminta koreksi PHI yang tidak akurat atau tidak lengkap.
  • Hak untuk membatasi penggunaan dan pengungkapan PHI:
    • Membatasi penggunaan PHI untuk tujuan tertentu.
    • Meminta agar PHI tidak dibagikan dengan pihak ketiga tertentu.
  • Hak untuk mendapatkan akuntabilitas atas pengungkapan PHI:
    • Meminta daftar semua pengungkapan PHI mereka.
  • Hak untuk mengajukan keluhan:
    • Mengajukan keluhan ke entitas tertanggung atas pelanggaran aturan privasi.
    • Mengajukan keluhan ke Departemen Kesehatan dan Layanan Kemanusiaan Amerika Serikat (HHS).
• Kewajiban Entitas Tertanggung:
  • Melindungi privasi PHI dengan menerapkan langkah-langkah keamanan yang tepat.
  • Memberikan pemberitahuan privasi kepada individu tentang bagaimana PHI mereka digunakan dan dilindungi.
  • Melatih staf tentang aturan privasi dan bagaimana menangani PHI dengan benar.
  • Menegakkan kebijakan dan prosedur privasi secara konsisten.

Sanksi:

• Pelanggaran aturan privasi HIPAA dapat mengakibatkan denda dan hukuman perdata.
• Denda bervariasi tergantung pada tingkat pelanggaran dan jenis entitas yang melanggar.
• Hukuman perdata dapat mencakup ganti rugi dan ganti rugi punitatif.

Contoh Penerapan Aturan Privasi:

• Seorang dokter tidak boleh membagikan informasi kesehatan pasien dengan tetangganya tanpa persetujuan pasien.
• Rumah sakit harus merahasiakan informasi kesehatan pasien dari perusahaan asuransi tanpa persetujuan pasien.
• Seorang pasien memiliki hak untuk melihat catatan medis mereka dan meminta agar informasi yang tidak akurat diubah.
• Pasien dapat meminta agar informasi kesehatan mereka tidak digunakan untuk tujuan pemasaran.

Sumber Daya:

• Situs web HIPAA: https://www.hhs.gov/hipaa/index.html
• Ringkasan Aturan Privasi: http://repository.unika.ac.id/13294/5/12.60.0248%20Christina%20Thiveny%20Putrianti%20BAB%20IV.pdf
• Panduan Aturan Privasi: http://repository.unika.ac.id/13294/5/12.60.0248%20Christina%20Thiveny%20Putrianti%20BAB%20IV.pdf
• Portal Kepatuhan HIPAA: http://repository.unika.ac.id/13294/5/12.60.0248%20Christina%20Thiveny%20Putrianti%20BAB%20IV.pdf

Catatan:

• Ini hanya ringkasan singkat. Aturan privasi HIPAA kompleks dan memiliki banyak detail.
• Profesional kesehatan harus merujuk ke situs web HIPAA dan sumber daya lain untuk informasi lengkap.

Penting untuk dicatat bahwa aturan privasi HIPAA terus berkembang. Departemen Kesehatan dan Layanan Kemanusiaan Amerika Serikat (HHS) secara berkala mengeluarkan pedoman dan peraturan baru untuk memperbarui aturan privasi dan menanggapi perubahan dalam teknologi dan praktik kesehatan.

Profesional kesehatan harus selalu mengikuti perkembangan terbaru dalam aturan privasi HIPAA untuk memastikan kepatuhan.

RS Mematuhi HIPAA

Rumah sakit dapat menerapkan beberapa langkah untuk mematuhi aturan privasi HIPAA:

1. Mengembangkan program kepatuhan HIPAA:

• Tunjuk petugas privasi: Tetapkan seorang individu untuk memimpin program kepatuhan dan memastikan semua staf terlatih tentang HIPAA.
• Buat dan laksanakan kebijakan dan prosedur: Kembangkan kebijakan tertulis tentang cara menangani informasi kesehatan pasien (PHI) sesuai dengan HIPAA. Kebijakan ini harus mencakup penggunaan, penyimpanan, pengungkapan, dan pembuangan PHI.
• Melaksanakan pelatihan HIPAA: Latih semua staf rumah sakit tentang aturan privasi HIPAA, termasuk hak pasien dan kewajiban rumah sakit. Pelatihan ini harus dilakukan secara teratur dan didokumentasikan.

2. Melaksanakan langkah-langkah keamanan:

• Penilaian risiko: Lakukan penilaian risiko secara berkala untuk mengidentifikasi potensi ancaman terhadap PHI.
• Pengamanan fisik: Batasi akses ke area yang berisi PHI dan terapkan langkah-langkah keamanan fisik seperti lencana akses dan kamera keamanan.
• Pengamanan elektronik: Lindungi PHI elektronik dengan mengenkripsi data, menggunakan kata sandi yang kuat, dan membatasi akses ke sistem.
• Prosedur keamanan data: Terapkan prosedur untuk melacak dan memantau akses ke PHI, serta untuk mendeteksi dan merespons pelanggaran keamanan.

3. Memberikan pemberitahuan privasi kepada pasien:

• Berikan kepada pasien pemberitahuan tertulis yang menjelaskan bagaimana PHI mereka digunakan dan dilindungi. Pemberitahuan ini harus ringkas dan mudah dipahami.

4. Menangani permintaan pasien:

• Kembangkan prosedur untuk menanggapi permintaan pasien terkait PHI mereka. Ini termasuk permintaan untuk mengakses, mengoreksi, atau membatasi penggunaan PHI mereka.

5. Menegakkan kebijakan dan prosedur:

• Terapkan kebijakan dan prosedur privasi secara konsisten dan menegakkan pelanggaran. Ini mungkin termasuk tindakan disipliner untuk staf yang melanggar aturan privasi.

Sumber daya tambahan:

• https://www.hhs.gov/hipaa/for-professionals/index.html)
• https://compliancy-group.com/wp-content/uploads/2016/03/HIPAA-Compliance-Checklist.pdf

Catatan: Ini hanyalah beberapa langkah yang dapat diambil rumah sakit untuk mematuhi HIPAA. HIPAA adalah peraturan yang kompleks, dan rumah sakit harus berkonsultasi dengan penasihat hukum untuk memastikan kepatuhan penuh.

Sertifikasi HIPAA

Tidak ada sertifikasi resmi untuk kepatuhan HIPAA dari pemerintah AS. Namun, beberapa organisasi swasta menawarkan program sertifikasi yang menunjukkan bahwa suatu organisasi telah mengikuti praktik terbaik untuk kepatuhan HIPAA.

Beberapa program sertifikasi HIPAA yang terkenal:

• Sertifikasi Certified Information Privacy Professional (CIPP) dari International Association of Privacy Professionals (IAPP): Sertifikasi ini menunjukkan keahlian dalam privasi informasi dan kepatuhan terhadap peraturan privasi seperti HIPAA.
• Sertifikasi Certified HIPAA Professional (CHP) dari American Health Information Management Association (AHIMA): Sertifikasi ini dirancang untuk profesional kesehatan yang bekerja dengan PHI dan ingin menunjukkan keahlian mereka dalam kepatuhan HIPAA.
• Sertifikasi HIPAA Security Rule Compliance Certification dari Health Information Management Systems Society (HIMSS): Sertifikasi ini menunjukkan bahwa suatu organisasi telah menerapkan langkah-langkah keamanan yang sesuai untuk melindungi PHI sesuai dengan Aturan Keamanan HIPAA.

Meskipun sertifikasi HIPAA tidak diwajibkan oleh pemerintah AS, mendapatkan sertifikasi dapat menunjukkan kepada mitra bisnis, pasien, dan regulator bahwa suatu organisasi berkomitmen untuk melindungi PHI.

Berikut beberapa manfaat mendapatkan sertifikasi HIPAA:

• Meningkatkan kepercayaan dan kredibilitas: Sertifikasi menunjukkan bahwa organisasi Anda berkomitmen untuk melindungi PHI dan mematuhi HIPAA.
• Mengurangi risiko pelanggaran data: Sertifikasi membantu organisasi Anda mengidentifikasi dan mengatasi potensi kelemahan dalam keamanan data.
• Meningkatkan efisiensi operasi: Sertifikasi dapat membantu organisasi Anda menyederhanakan proses dan meningkatkan efisiensi dalam menangani PHI.
• Meningkatkan peluang bisnis: Sertifikasi dapat membantu Anda menarik mitra bisnis dan pelanggan yang menghargai privasi dan keamanan data.

Namun, penting untuk dicatat bahwa sertifikasi HIPAA tidak menjamin kepatuhan penuh terhadap peraturan. Organisasi harus terus memantau dan memperbarui program kepatuhan HIPAA mereka untuk memastikan kepatuhan yang berkelanjutan.

Sumber daya tambahan:

• https://www.hhs.gov/hipaa/for-professionals/security/index.html

Adakah Badan Sertifikasi HIPAA di Indonesia?

HIPAA adalah peraturan yang berlaku di Amerika Serikat, maka Indonesia tidak memiliki badan resmi untuk sertifikasi kepatuhan HIPAA.

Indonesia memiliki peraturan sendiri terkait privasi data kesehatan, yaitu UU Kesehatan dan Peraturan Menteri Kesehatan terkait Rekam Medis Elektronik (RME). Meskipun fungsinya mirip dengan HIPAA untuk melindungi privasi pasien, detail teknis dan regulasinya berbeda.

Beberapa rumah sakit atau lembaga kesehatan di Indonesia mungkin menawarkan program yang mengacu pada standar keamanan data seperti ISO 27001 atau mengikuti best practice terkait keamanan informasi kesehatan. Namun, ini inisiatif tersendiri dan bukan sertifikasi resmi terkait HIPAA.

—

Undang-Undang dan Peraturan Menteri Kesehatan terkait Rekam Medis Elektronik

Undang-Undang Kesehatan:

• UU No. 36 Tahun 2009 tentang Kesehatan
  • Pasal 47 ayat (1) menyebutkan bahwa rekam medis merupakan berkas yang wajib dibuat dan disimpan oleh tenaga kesehatan.
  • Pasal 48 ayat (1) menyebutkan bahwa rekam medis harus disimpan paling singkat 5 tahun.
  • Pasal 49 ayat (1) menyebutkan bahwa pasien berhak atas akses terhadap rekam medisnya.

Peraturan Menteri Kesehatan:

• Permenkes No. 269/Menkes/PER/III/2008 tentang Rekam Medis
  • Menetapkan standar dan tata cara pembuatan, pencatatan, penyimpanan, dan penggunaan rekam medis.
  • Menjelaskan hak dan kewajiban pasien dan tenaga kesehatan terkait rekam medis.
• Permenkes No. 24 Tahun 2022 tentang Rekam Medis
  • Mewajibkan penggunaan rekam medis elektronik (RME) di seluruh fasilitas pelayanan kesehatan (faskes) paling lambat 31 Desember 2023.
  • Menetapkan standar dan tata cara penyelenggaraan RME, termasuk aspek keamanan dan privasi data.
  • Mengatur hak dan kewajiban pasien dan faskes terkait RME.

Poin-poin penting terkait RME:

• RME harus terintegrasi dengan sistem informasi kesehatan di faskes.
• Faskes wajib menjaga keamanan dan kerahasiaan data RME.
• Pasien berhak mengakses dan mendapatkan salinan RME miliknya.
• Pasien dapat memberikan persetujuan untuk penggunaan RME-nya untuk tujuan penelitian dan pengembangan kesehatan.

Sumber informasi:

• https://peraturan.bpk.go.id/Details/38778/uu-no-36-tahun-2009
• https://www.regulasip.id/book/4974/read
• https://peraturan.bpk.go.id/Details/245544/permenkes-no-24-tahun-2022
• https://sehatnegeriku.kemkes.go.id/baca/umum/20220909/0841042/fasyankes-wajib-terapkan-rekam-medis-elektronik/
• https://ehealth.co.id/blog/post/permenkes-no-24-2022-faskes-wajib-rekam-medis-elektronik/

Catatan:

• Permenkes No. 24 Tahun 2022 mencabut Permenkes No. 269/Menkes/PER/III/2008.
• Faskes yang belum menerapkan RME pada tanggal 31 Desember 2023 akan dikenakan sanksi.

Semoga penjelasan ini membantu!