Pendekatan Bring your own Device (BYOD) merupakan praktik yang mulai banyak diterapkan di berbagai industri dalam beberapa tahun terakhir, termasuk industri kesehatan. Penerapan sistem ini telah menunjukkan banyak manfaat seperti meningkatkan produktifitas, efisiensi, serta alur kerja operasional tenaga medis. Pasalnya, para dokter dapat menggunakan gadget pribadi untuk mengakses data kesehatan yang diperlukan pada jaringan utama di rumah sakit dalam perawatan pasien. Meski demikian, segala manfaat ini juga diikuti dengan beberapa kekhawatiran. Ternyata pihak rumah sakit tidak bisa memiliki kendali penuh atas gadget tenaga medis sehingga sulit dalam menerapkan keamanan siber.
Pandemi Covid-19 juga turut serta mempengaruhi bagaimana pendekatan BYOD diterapkan di industri pelayanan kesehatan. Semakin banyak tenaga medis yang bekerja secara jarak jauh sehingga semakin membuka risiko keamanan data. Ketika tenaga medis menggunakan gadget dan jaringan yang tidak sepenuhnya aman menurut standar rumah sakit, maka tim IT perlu segera memperbarui sistem jaringan rumah sakit untuk mengakomodasi tenaga medis yang bekerja remote. Perlu dipertimbangkan juga agar tenaga medis mendapat latihan dalam serangan phising email yang membuat rumah sakit rentan mengalami serangan siber.
Kenyataannya, terjadi peningkatan pencurian data kesehatan di kuartal ketiga tahun 2020 dibandingkan kedua kuartal sebelumnya. Dan kegiatan pencurian data ini hampir selalu terjadi di industri kesehatan. Bahkan, beberapa rumah sakit dituntut agar segera menutup sistem jaringannya agar bisa menghentikan kegiatan kriminal siber ini. Memang tidak ada penelitian yang berhasil membuktikan bahwa sistem kerja BYOD di rumah sakit yang menyebabkan kriminal siber tersebut, tetapi sangat penting bagi pihak rumah sakit untuk memahami sekian banyak cara para kriminal siber berusaha membuka akses data rumah sakit, termasuk melalui gadget pribadi tenaga medis.
Informasi Kesehatan yang Perlu Dilindungi
Semua gadget bisa dengan mudah menyimpan data pasien yang umumnya bersifat sensitif. Tanpa pengamanan tingkat tinggi, pendekatan BYOD bisa dengan cepat menghasilkan masalah keamanan dalam industri pelayanan kesehatan. Perlu dipahami data pasien seperti apa yang dapat dikategorikan sebagai data yang bersifat sensitif.
Organisasi Health Insurance Portability and Accountability Act (HIPAA) telah menentukan peraturan mengenai keamanan data kesehatan yang mutlak harus dijaga, atau disebut dengan Protected Health Information (PHI). PHI digunakan untuk mendefinisikan tipe informasi pasien yang dilindungi secara hukum. PHI tidak hanya mencakup laporan medis, tetapi juga mencakup semua informasi yang bisa digunakan untuk mengidentifikasi pasien. Jadi ketika sebuah informasi tidak secara langsung menunjukan rekam medis seorang pasien, masih tetap bisa dianggap sebagai PHI. Bagaimanapun, tidak semua informasi medis pasti secara langsung dianggap sebagai PHI. Berikut adalah dua kategori PHI, yaitu informasi yang menjelaskan status pasien dan informasi yang menjelaskan rekam medis pasien.
Langkah Implementasi BYOD yang Aman di Rumah Sakit
Ketika dokter lebih senang melakukan konsultasi secara online, maka gadget pribadi yang digunakan harus diperbarui dengan perangkat lunak anti-malware yang bisa menjaga data medis dari risiko keamanan siber. Karena hanya dengan serangan email pada sebuah gadget seorang dokter sudah lebih dari cukup untuk mengakses seluruh jaringan keamanan di rumah sakit, jika tidak dijaga dengan baik. Akan lebih efisien untuk memastikan setiap gadget pribadi yang digunakan tenaga medis sudah mencakup perangkat lunak anti-malware yang ter-update daripada memenuhi permintaan kriminal siber seperti membayar uang tebusan sampai investasi pembersihan sistem rumah sakit.
Kekurangan ini masih dapat diatasi dengan diterapkannya strategi yang benar saat implementasi pendekatan BYOD. Berikut ini adalah beberapa tips bagaimana BYOD yang aman bisa diterapkan di rumah sakit.
1. Ketahui bahwa Privasi Pasien adalah Hal Penting
Rumah sakit memiliki peraturan ketat untuk menjaga kerahasiaan informasi pribadi pasien. Namun, memastikan hal ini menjadi jauh lebih sulit ketika rumah sakit mempersilahkan tenaga medis menggunakan gadget pribadi dalam bekerja. Sejak awal penerapan BYOD, pihak rumah sakit harus memastikan bahwa privasi merupakan perhatian utama. Kebijakan BYOD harus tersedia baik di atas kertas maupun secara online. Tenaga medis harus menandatangani pernyataan tentang pemahaman peraturan terkait BYOD. Selain itu, perlu dilakukan pelatihan kepada para tenaga medis sehingga mereka memahami apa manfaat dan risiko program tersebut.
2. Mewajibkan Tindakan Keamanan yang Umum
Banyak orang pada umumnya tidak menerapkan tindakan pengamanan yang paling umum bagi gadget masing-masing. Oleh karena itu, rumah sakit perlu menerapkan agar para tenaga medis harus memasang firewall, enkripsi, dan kode pengamanan pada gadget yang digunakan. Langkah pengamanan ini sangat penting sehingga tim IT juga wajib membantu tenaga medis untuk memastikan keamanan gadget telah terpenuhi. Selain itu, tim IT juga berperan penting dalam memastikan bahwa LAN di rumah sakit tersedia secara meluas namun di saat yang sama tetap memiliki tingkat keamanan tinggi. Langkah pengamanan ini harus sesuai dengan undang-undang, namun juga tidak sampai menghalangi akses para tenaga medis.Tim IT rumah sakit bisa merealisasikan metode distribusi konfigurasi aplikasi yang ter-update dari jarak jauh dengan bahasa pemrograman Over-the-Air (OTA).
3. Memiliki Rencana Pengamanan Gadget Hilang atau Dicuri
Kehilangan gadget pribadi adalah kehilangan besar. Kehilangan ini bisa menjadi semakin mengkhawatirkan ketika gadget tersebut juga menyimpan rekam medis pasien, data keuangan rumah sakit, atau informasi medis yang sensitif lainnya. Oleh karena itu, rumah sakit harus memiliki rencana pengamanan untuk menangani gadget pribadi yang hilang atau dicuri setelah tersambung dengan jaringan komputer internal rumah sakit. Bekerja sama dengan tim IT, rumah sakit harus menerapkan rencana untuk menghapus data di gadget pribadi secara remote ketika hal ini terjadi.
4. Mengevaluasi Kembali Peraturan BYOD
BYOD bukan program yang “sekali-pasang-selesai”. Ketika tenaga medis meng-update gadget dengan model yang terbaru, maka pihak rumah sakit bekerjasama dengan tim IT harus memastikan bahwa peraturan dan panduan BYOD juga selalu diperbarui. Setiap terjadi perubahan besar, maka tenaga medis harus kembali mendapatkan pelatihan agar bisa mengikuti peraturan rumah sakit tentang penerapan BYOD. Beberapa contoh perubahan yang perlu dilakukan secara berkala seperti jenis gadget yang sudah tidak bisa dipakai atau website yang tidak boleh diakses.
5. Langkah Penghapusan ketika Dokter Resign
Selain itu, tim IT rumah sakit harus menyiapkan program untuk mengahapus data penting dari gadget pribadi tenaga medis. Hal ini penting agar ketika tenaga medis tersebut berhenti bekerja di rumah sakit terkait, maka data pasien tidak ikut terbawa bersama gadget pribadi tersebut. Ini menjadi alasan mengapa pihak rumah sakit perlu memetakan semua gadget yang digunakan tenaga medis untuk keperluan rumah sakit.
Rumah sakit harus selalu melindungi informasi kesehatan pasien yang terdapat di dalam semua gadget para tenaga medis, maka diperlukan sebuah aturan yang dapat membatasi tata cara penggunaan gadget pribadi di lingkungan rumah sakit. Walaupun memberikan manfaat luar biasa bagi operasional rumah sakit, pendekatan BYOD tetap harus dijalankan dengan baik dan benar untuk menghindari kejadian kriminal siber. Oleh karena itu, rumah sakit harus paham langkah langkah yang perlu diambil untuk menjaga keamanan data pasien.