Mengapa Privacy Data Pasien Krusial
Data pasien adalah kategori "data pribadi sensitif" di UU PDP — bersama data finansial dan biometrik. Pelanggaran bisa kena denda hingga 2% dari pendapatan tahunan klinik. Plus, kepercayaan pasien rusak permanen kalau ada data leak.
Risk Areas pada AI CS
- Data in transit: chat dari pasien ke server platform
- Data at rest: storage di server platform dan klinik
- Data processing: saat AI memproses chat untuk generate balasan
- Data sharing: kalau platform integrasi dengan vendor lain
- Akses internal: siapa saja di klinik yang bisa lihat chat pasien
Standar Compliance yang Dibutuhkan
1. Enkripsi
- In transit: HTTPS/TLS 1.2+
- At rest: AES-256 untuk database
- WhatsApp sendiri sudah E2E encrypted di sisi WA
2. Access Control
- Login dengan password kuat + 2FA
- Role-based access (RBAC)
- Audit log: siapa akses data pasien kapan
3. Data Residency
- Server di Indonesia / ASEAN preferred untuk compliance UU PDP
- Cross-border data transfer harus ada justifikasi
4. Retention Policy
- Hapus chat lama otomatis (misal > 1 tahun)
- Pasien punya hak minta hapus data kapan saja
- Backup juga harus di-purge sesuai policy
5. Consent Management
- Pasien diberi tahu di awal chat: data dipakai untuk apa
- Pasien explicit consent untuk processing
- Pasien bisa withdraw consent kapan saja
Checklist Memilih Platform AI CS Klinik
- ✅ Server di Indonesia atau ASEAN
- ✅ Enkripsi at-rest dan in-transit
- ✅ Compliance UU PDP explicit di kontrak
- ✅ Audit log accessible ke klinik
- ✅ Role-based access control
- ✅ Retention policy yang configurable
- ✅ Data export untuk pasien (sesuai hak akses UU PDP)
- ✅ Data deletion process (max 7 hari)
- ✅ Tidak pakai data klinik untuk training model generic
- ✅ Backup terenkripsi
- ✅ Insurance / liability protection
Best Practice Internal Klinik
Akses Dashboard
- Resepsionis: lihat chat administratif, tidak lihat detail medis
- Dokter: lihat pasien mereka sendiri
- Admin/Manajemen: lihat aggregate data, tidak per individu kecuali butuh
Training Staff
- Awareness UU PDP
- SOP handling data pasien
- Apa yang boleh dan tidak diceritakan
Apa yang Pasien Harus Tahu
Disclose di awal interaksi:
Halo! Sebelum kita lanjut, mohon dipahami: 🔒 Data yang kakak share akan tersimpan aman di sistem klinik kami. 📋 Data dipakai untuk: - Pelayanan medis - Komunikasi appointment - Catatan rekam medis 🚫 Data TIDAK akan dibagikan ke pihak ketiga tanpa persetujuan kakak. ✅ Kakak punya hak akses dan minta data dihapus kapan saja (balas "HAK SAYA" untuk info lengkap).
Skenario Emergency: Data Breach
Kalau terjadi breach, klinik wajib:
- Notify Kominfo dalam 3x24 jam
- Notify pasien yang terdampak ASAP
- Investigate root cause
- Implement remediation
- Public disclosure jika perlu
Cost vs Risk
Platform yang serius compliance UU PDP biasanya lebih mahal Rp500rb-Rp2jt/bulan dibanding platform abal-abal. Tapi cost breach bisa Rp100jt+ (denda + reputasi). ROI compliance jelas positif.
Audit Tahunan
Lakukan audit tahunan:
- Cek policy masih relevant
- Test data deletion request
- Review access log
- Update consent form jika ada perubahan