021-7997973 | Hotline 08111211504

Tanggung Jawab Hukum Rumah Sakit atas Kebocoran Data Pasien

02 June 2026inBERITA
Share
tanggung jawab hukum rumah sakit

Transformasi digital di sektor kesehatan telah mengubah cara rumah sakit mengelola layanan kesehatan. Salah satu perubahan paling menonjol adalah implementasi Rekam Medis Elektronik (RME) yang memungkinkan penyimpanan, pengolahan, dan pertukaran data pasien secara lebih cepat dan efisien. Digitalisasi ini memberikan berbagai manfaat, mulai dari peningkatan kualitas pelayanan kesehatan, hingga kemudahan koordinasi antar tenaga medis. Namun di balik manfaat tersebut, muncul risiko baru berupa kebocoran data (data breach) yang dapat mengancam privasi pasien dan menimbulkan konsekuensi hukum yang serius bagi rumah sakit.

Karena itu, rumah sakit memiliki kewajiban hukum untuk menjamin keamanan data yang dikelolanya, dan kegagalan dalam melakukannya dapat berujung pada tanggung jawab perdata, administratif, maupun pidana. Lalu, sejauh mana tanggung jawab hukum rumah sakit ketika terjadi kebocoran data? Simak pembahasan lebih lanjut dalam artikel berikut ini!

 

Rumah Sakit sebagai Pengendali Data Pribadi Pasien Wajib Menjamin Keamanan Rekam Medis Elektronik

 

Jika mengacu pada hukum perlindungan data pribadi, rumah sakit pada prinsipnya bertindak sebagai pengendali data pribadi (data controller) karena menentukan tujuan dan melakukan pengendalian terhadap pemrosesan data pasien. Oleh sebab itu, rumah sakit memikul tanggung jawab utama untuk memastikan bahwa seluruh proses pengumpulan, penyimpanan, penggunaan, pengungkapan, hingga pemusnahan data kesehatan dilakukan secara aman dan sesuai dengan ketentuan peraturan perundang-undangan.

Kewajiban tersebut memperoleh dasar hukum yang kuat dalam Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Pasal 35 UU PDP mewajibkan Pengendali Data Pribadi untuk melindungi dan memastikan keamanan data pribadi yang diproses, termasuk melalui langkah-langkah teknis dan operasional guna mencegah akses tidak sah, pengungkapan, perubahan, atau penghancuran data. 

Kewajiban serupa juga ditegaskan dalam Pasal 4 ayat (1) huruf i Undang-Undang Nomor 17 Tahun 2023 tentang Kesehatan (UU Kesehatan) bahwa, “Setiap Orang berhak memperoleh kerahasiaan data dan informasi Kesehatan pribadinya”. Ketentuan ini menunjukkan bahwa perlindungan data kesehatan bukan sekadar kewajiban administratif, melainkan bagian dari hak fundamental pasien yang harus dijamin oleh fasilitas pelayanan kesehatan, salah satunya rumah sakit.

Selain itu, kewajiban penyelenggaraan Rekam Medis Elektronik secara eksplisit diatur dalam Pasal 3 ayat (1) Peraturan Menteri Kesehatan Nomor 24 tahun 2022 tentang Rekam Medis (Permenkes 24/2022) yang menyatakan bahwa setiap fasilitas pelayanan kesehatan wajib menyelenggarakan Rekam Medis Elektronik. Sejalan dengan kewajiban tersebut, Pasal 25 ayat (2) Permenkes 24/2022 menegaskan bahwa fasilitas pelayanan kesehatan bertanggung jawab atas hilang, rusak, pemalsuan, dan/atau penggunaan dokumen rekam medis oleh pihak yang tidak berhak. 

Lebih lanjut, Pasal 30 Permenkes 24/2022 mengharuskan fasilitas pelayanan kesehatan menerapkan pengaturan hak akses terhadap data rekam medis elektronik berdasarkan prinsip keamanan data dan informasi. Pengaturan ini mencerminkan penerapan prinsip least privilege access, yaitu pemberian akses hanya kepada pihak yang benar-benar membutuhkan data tersebut dalam menjalankan tugasnya.

Dengan demikian, keberadaan sistem Rekam Medis Elektronik harus dipandang sebagai instrumen yang menuntut tingkat tanggung jawab hukum yang lebih tinggi, bukan sekadar alat administrasi pelayanan kesehatan.

Baca juga : Kewajiban Rumah Sakit dalam Melindungi Data Genetik Pasien

 

Tanggung Jawab Rumah Sakit dalam Kasus Kebocoran Data Pasien

 

Ketika terjadi kebocoran data (data breach), konsekuensi yang dihadapi rumah sakit tidak berhenti pada gangguan operasional atau kerugian reputasi semata. Mengacu pada kerangka hukum di Indonesia, kebocoran data pribadi pasien berpotensi menimbulkan berbagai bentuk pertanggungjawaban hukum secara simultan. Simak penjelasan berikut:

  • Tanggung Jawab Perdata

Pasien yang mengalami kerugian akibat kebocoran data dapat mengajukan gugatan perdata terhadap rumah sakit berdasarkan ketentuan Pasal 1365 Kitab Undang-Undang Hukum Perdata (KUHPerdata) mengenai Perbuatan Melawan Hukum (PMH). Pasal tersebut menyatakan bahwa setiap perbuatan melawan hukum yang menimbulkan kerugian kepada orang lain mewajibkan pihak yang menimbulkan kerugian tersebut untuk memberikan ganti rugi.

Berkaitan dengan kebocoran data, kerugian pasien tidak selalu berupa kerugian finansial. Penyalahgunaan data kesehatan dapat menyebabkan kerugian immateriil berupa pelanggaran privasi, diskriminasi, pencemaran nama baik, hingga tekanan psikologis. Oleh karena itu, pasien memiliki dasar hukum untuk menuntut kompensasi apabila dapat dibuktikan bahwa kebocoran data terjadi akibat kelalaian rumah sakit dalam memenuhi kewajiban pengamanan data.

UU PDP juga memberikan hak kepada subjek data pribadi untuk mengajukan gugatan dan memperoleh ganti rugi atas pelanggaran pemrosesan data pribadi yang merugikan dirinya.

  • Tanggung Jawab Administrasi

Selain gugatan perdata, rumah sakit juga berpotensi dikenakan sanksi administratif berdasarkan UU PDP. Selain gugatan perdata, rumah sakit juga berpotensi dikenakan sanksi administratif berdasarkan UU PDP. Pasal 57 UU PDP mengatur bahwa pelanggaran terhadap kewajiban perlindungan data pribadi dapat dikenakan sanksi administratif berupa:

  1. Peringatan tertulis;
  2. Penghentian sementara kegiatan pemrosesan data pribadi;
  3. Penghapusan atau pemusnahan data pribadi; dan/atau
  4. Denda administratif.¹

Sanksi administratif tersebut dapat berdampak signifikan terhadap operasional rumah sakit, terutama apabila regulator menilai bahwa terdapat kegagalan sistemik dalam penerapan tata kelola perlindungan data pribadi.

Lebih jauh, kewajiban notifikasi insiden kebocoran data juga merupakan bagian penting dari rezim kepatuhan UU PDP. Pengendali Data Pribadi wajib menyampaikan pemberitahuan kepada subjek data dan otoritas terkait apabila terjadi kegagalan perlindungan data pribadi sesuai ketentuan yang berlaku.

  • Tanggung Jawab Pidana

Dalam kondisi tertentu, kebocoran data dapat berkembang menjadi perkara pidana. Salah satu dasar hukum yang relevan adalah Pasal 32 ayat (1) Undang-Undang Nomor 1 Tahun 2024 tentang Perubahan Kedua atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) yang melarang setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengubah, memindahkan, mentransfer, menyembunyikan, atau membuka informasi elektronik milik pihak lain.

Apabila kebocoran data terjadi karena tindakan peretasan, pencurian data, atau akses ilegal terhadap sistem elektronik rumah sakit, pelaku dapat dikenakan sanksi pidana berdasarkan ketentuan UU ITE maupun UU PDP.

Selain pelaku eksternal, risiko pidana juga dapat muncul apabila terdapat keterlibatan pihak internal yang dengan sengaja mengungkapkan atau memperjualbelikan data pasien tanpa dasar hukum yang sah. Dalam situasi tertentu, pengurus atau pihak yang memiliki tanggung jawab pengendalian sistem dapat turut dimintai pertanggungjawaban apabila terbukti melakukan pembiaran atau kelalaian serius yang menyebabkan terjadinya pelanggaran hukum.

Oleh karena itu, data breach tidak lagi dapat dipandang sebagai sekadar masalah teknologi informasi. Dalam perspektif hukum, data breach merupakan risiko kepatuhan (compliance risk) yang dapat memicu berbagai bentuk tuntutan hukum sekaligus.

 

Rumah Sakit Perlu Menerapkan Cyber Security dan Compliance untuk Mengurangi Risiko Kebocoran Data

 

Meningkatnya ancaman serangan siber terhadap sektor kesehatan menuntut rumah sakit untuk mengubah pendekatan keamanan informasi dari yang bersifat reaktif, menjadi preventif dan berbasis manajemen risiko.

  • Membangun Kerangka Cyber Security yang Terintegrasi

Menerapkan enkripsi data, multi-factor authentication (MFA), vulnerability assessment, penetration testing, backup data, serta monitoring keamanan secara berkala.

  • Memperkuat Aspek Compliance dan Tata Kelola

Memastikan kepatuhan terhadap UU PDP, UU Kesehatan, Permenkes 24/2022, serta melibatkan manajemen, divisi hukum, unit kepatuhan, dan tenaga kesehatan dalam perlindungan data pasien.

  • Menyusun Kebijakan Internal yang Komprehensif

Mengatur klasifikasi data, hak akses, pelaporan insiden, retensi data, penggunaan vendor pihak ketiga, serta prosedur respons terhadap insiden keamanan siber.

  • Meningkatkan Awareness dan Pelatihan SDM

Melakukan pelatihan keamanan informasi secara berkala untuk meminimalkan risiko human error, seperti phishing atau pengungkapan data kepada pihak yang tidak berwenang.

  • Melakukan Due Diligence terhadap Vendor Teknologi

Rumah sakit perlu melakukan due diligence terhadap seluruh vendor teknologi yang terlibat dalam pengelolaan data kesehatan. Penggunaan cloud services, aplikasi telemedicine, sistem manajemen rumah sakit, dan platform digital lainnya harus disertai evaluasi keamanan dan klausul kontraktual yang memadai mengenai perlindungan data pribadi.

Pada akhirnya, “investasi” dalam cyber security dan compliance bukan lagi sekadar biaya operasional, melainkan bentuk mitigasi risiko hukum dan reputasi yang sangat penting bagi keberlangsungan bisnis rumah sakit.

 

Penutup

 

Perkembangan Rekam Medis Elektronik dan digitalisasi layanan kesehatan telah meningkatkan efisiensi pelayanan sekaligus memperbesar tanggung jawab hukum rumah sakit dalam melindungi data pasien. Sebagai pengendali data pribadi, rumah sakit memiliki kewajiban hukum untuk menjamin keamanan, kerahasiaan, integritas, dan ketersediaan data kesehatan yang berada dalam penguasaannya.

Apabila terjadi kebocoran data, rumah sakit dapat menghadapi konsekuensi hukum yang luas, mulai dari gugatan perdata, sanksi administratif berdasarkan UU PDP, hingga potensi pertanggungjawaban pidana berdasarkan ketentuan UU ITE maupun peraturan perundang-undangan lainnya. Oleh karena itu, penerapan cyber security yang kuat dan program compliance yang efektif bukan lagi pilihan, melainkan kebutuhan yang tidak dapat ditunda dalam era layanan kesehatan digital.***

 

Daftar Hukum:

  • Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). 
  • Undang-Undang Nomor 17 Tahun 2023 tentang Kesehatan (UU Kesehatan).
  • Peraturan Menteri Kesehatan Nomor 24 tahun 2022 tentang Rekam Medis (Permenkes 24/2022).
  • Kitab Undang-Undang Hukum Perdata (KUHPerdata).
  • Undang-Undang Nomor 1 Tahun 2024 tentang Perubahan Kedua atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE).

 

Referensi:

  • Danuwijaya, Alicia A. P. (2026). Ancaman Siber pada Bidang Kesehatan. RS UI. (Diakses pada 5 Juni 2026 pukul 09.45 WIB).
  • Setiyanta, Pentadi Teguh & Monica Puspa Dewi. (2025). Tanggung Jawab Rumah Sakit Terhadap Keamanan Data Pribadi pada Rekam Medis di Indonesia. J-LEE Journal of Law, Economics, and English, Vol. 7(2), Desember 2025. (Diakses pada 5 Juni 2026 pukul 10.14 WIB).

About Author

Akmal

Akmal

Written by Akmal, part of the SIP Law Firm team delivering insights and updates on the latest legal developments.

Read Profile →

More on this category

We are here to help

Get in touch now to let us know how we can help you. Connect with our LinkedIn and subscribe to our newsletter to stay updated with our latest updates.

Contact Us
Connect on LinkedIn