Tumpahan data baru menyoroti risiko catatan kesehatan online

Hingga baru-baru ini, file medis milik hampir 300.000 warga California tersimpan tanpa aman di Internet agar dapat dilihat oleh seluruh dunia.

Ada formulir asuransi, nomor jaminan sosial, dan catatan dokter. Di antara berkas-berkas tersebut terdapat rangkuman yang menguraikan secara rinci tentang patah jari seorang sopir truk, patah tulang rusuk seorang pekerja pemeliharaan, dan kisah seorang pria yang mengalami disfungsi seksual.

Di saat ancaman peretasan komputer meningkat, insiden ini memberikan gambaran yang mengkhawatirkan mengenai risiko privasi seiring dengan bergeraknya negara ini ke era di mana informasi medis sensitif setiap orang Amerika akan didigitalkan.

Pencatatan elektronik dapat menurunkan biaya, memangkas birokrasi dan pada akhirnya menyelamatkan nyawa. Pemerintah menawarkan bonus kepada pengguna awal dan mengancam denda serta pemotongan pembayaran kepada penyedia layanan kesehatan yang menolak perubahan.

Namun tidak ada biaya tersembunyi dalam modernisasi.

“Ketika ada yang tidak beres, bisa saja terjadi hal yang salah,” kata Beth Gives, direktur lembaga nirlaba Privacy Rights Clearinghouse, yang melacak pelanggaran data. “Bahkan sistem yang dirancang paling baik pun tidak aman. … Kasus ini adalah contoh yang baik tentang bagaimana elemen manusia adalah mata rantai terlemah.”

Konsultan Hukum Medis California Selatan, yang mewakili dokter dan rumah sakit yang meminta pembayaran dari pasien kompensasi pekerja, memasang catatan tersebut di situs web yang diyakini hanya dapat digunakan oleh karyawan, kata pemiliknya, Joel Hecht.

Data pribadi tersebut ditemukan oleh Aaron Titus, seorang peneliti di Identity Finder yang kemudian memberi tahu perusahaan Hecht dan The Associated Press. Dia menemukannya melalui pencarian di Internet, sebuah taktik umum untuk menemukan informasi pribadi yang diposting di situs yang tidak aman.

Data tersebut “tersedia bagi siapa saja di dunia yang memiliki setengah otak dan akses ke Google,” kata Titus.

Titus mengatakan perusahaan Hecht gagal menggunakan dua teknik dasar yang bisa melindungi data – mengharuskan kata sandi dan menginstruksikan mesin pencari untuk tidak mengindeks halaman. Dia menyebut pelanggaran tersebut “mungkin merupakan kasus kebodohan”.

Salah satu pasien yang terkena dampak adalah Paul Thompson, yang mengetahui pelanggaran tersebut dari Titus.

Tukang listrik dari Sugarloaf, California, mengalami cedera bahu empat tahun lalu saat bekerja memasang kabel di bioskop multipleks. Perusahaan asuransinya menolak klaimnya, sehingga menimbulkan perselisihan yang berkepanjangan. Dia akhirnya tenang.

Thompson mengatakan cederanya merupakan “jalan yang panjang dan menyakitkan”.

Karena tidak mampu membiayai operasi di AS untuk memperbaiki rotator cuffnya yang robek, ia membayar perusahaan pariwisata medis yang seharusnya menjadwalkan prosedur yang lebih murah di Kosta Rika. Namun, perusahaan tersebut bangkrut dan Thompson mengatakan dia kehilangan hampir $7.300.

Selain itu, mengungkap informasi pribadinya merupakan penghinaan terakhir.

‘Saya benar-benar muak dengan segalanya,’ katanya, menyebut perpisahan itu sebagai ‘satu lagi pukulan di perut.’

Thomson khawatir peretas mungkin mengetahui informasinya secara online dan menandainya sebagai penipu keuangan di masa depan. Dia menghubungi banknya dan menyiapkan peringatan penipuan dengan agen pelaporan kredit.

Dia mengatakan prospek semua catatan kesehatan menjadi elektronik – yang diwajibkan oleh undang-undang federal pada tahun 2014 – “sangat menakutkan bagi saya.”

Ketika kesalahan terjadi, dampaknya bisa lebih serius daripada pelanggaran alamat email atau nomor kartu kredit pada umumnya.

Di tangan yang salah, catatan kesehatan dapat digunakan untuk pemerasan dan penghinaan publik. Informasi tersebut juga dapat digunakan oleh perusahaan asuransi untuk menaikkan tarif, atau oleh pemberi kerja untuk menolak pelamar kerja.

Biasanya data pribadi yang terbongkar merupakan akibat dari peretasan jaringan oleh peretas atau pencurian perangkat komputer. Kadang-kadang ini bisa menjadi kasus sederhana dimana seseorang salah menangani informasi.

Kebocoran semakin mungkin terjadi seiring dengan semakin banyaknya data yang dikirimkan melalui jaringan industri kesehatan yang semakin saling terhubung.

Lusinan perusahaan dapat diberi wewenang untuk menangani rekam medis seseorang. Semakin jauh lokasi data dari penyedia layanan kesehatan, semakin lemah mekanisme penegakan hukum untuk memastikan bahwa data tersebut dilindungi.

Persis seperti itulah yang terjadi di perusahaan Hecht. “Kebijakan dan prosedur keamanan internal kami tidak diikuti,” kata Hecht. “Ketika kami diberitahu, kami mengambil langkah segera untuk memperbaiki situasi dan mengambil langkah jangka panjang untuk memastikan hal itu tidak terjadi lagi.”

Perusahaan tersebut telah memasukkan informasi tersebut ke dalam kata sandi, sebuah pendekatan yang memiliki risiko keamanan tersendiri.

Hecht menolak menjelaskan lebih rinci tentang bagaimana informasi tersebut bisa sampai ke internet. Dia mengatakan banyak nomor Jaminan Sosial dan rincian dasar tentang cedera yang dialami orang-orang merupakan bagian dari database yang dikumpulkan perusahaannya dari informasi yang dikirim secara teratur oleh negara.

Patricia Ortiz, juru bicara Divisi Kompensasi Pekerja negara bagian, mengatakan catatan dokter dan dokumentasi lain dalam kasus seperti itu tersedia untuk umum, namun harus diminta satu per satu.

Negara bagian berhenti memasukkan nomor Jaminan Sosial ke dalam file tersebut pada tahun 2008; data yang terbuka berasal dari file lama.

Ortiz mengatakan begitu informasi kompensasi pekerja lepas dari kendali negara, keamanannya menjadi tanggung jawab penerima.

California, seperti kebanyakan negara bagian, memiliki undang-undang yang mewajibkan perusahaan untuk memberi tahu konsumen ketika informasi mereka dilanggar. Hecht tidak membalas telepon dari AP untuk meminta informasi terbaru tentang berapa banyak pasien yang telah diberitahu.

Pelanggaran data medis berskala besar telah meningkat dalam beberapa tahun terakhir.

Salah satu kasus terbesar, data kesehatan pemerintah dibobol pada tahun 2006 ketika sebuah laptop yang berisi data 26,5 juta veteran dicuri dari rumah seorang pegawai pemerintah. Peralatan komputer ditemukan, dan FBI mengatakan file sensitif tidak diakses.

Tahun ini, hard drive yang berisi riwayat kesehatan, informasi keuangan, dan nomor Jaminan Sosial dari 1,9 juta pelanggan asuransi Health Net hilang dari kantor. Regulator negara bagian telah meluncurkan penyelidikan terhadap prosedur keamanan Health Net.

Perusahaan yang berbasis di California menolak berkomentar, mengatakan insiden tersebut masih dalam penyelidikan.

Insiden terbaru ini “membuka mata, dan kita akan semakin membuka mata,” kata Jim Dempsey, pakar keamanan dan kebijakan publik di Pusat Demokrasi dan Teknologi.

Ketika kasus kesalahan penanganan data menjadi lebih umum, pejabat pemerintah mungkin memerlukan kontrol yang lebih besar terhadap kebijakan keamanan perusahaan yang memiliki akses terhadap catatan layanan kesehatan yang saat ini tidak diatur.

“Ini harus menjadi peringatan bagi perusahaan: reputasi Anda dipertaruhkan, dan Anda juga menghadapi tindakan penegakan hukum jika Anda tidak memperhatikan keamanan data yang Anda kumpulkan dan proses,” kata Dempsey.