Siapa yang Lihat Rekam Medismu? Tidak Ada yang Tahu, Termasuk Kemenkes ( Kurangnya Transparansi dan Audit )

🔀 Read in English 🇬🇧

Selamat Datang di Hajriah Fajar: Hidup Sehat & Cerdas di Era Digital

Siapa yang Lihat Rekam Medismu? Tidak Ada yang Tahu, Termasuk Kemenkes

Pernah nggak sih lo ke puskesmas, isi data nama lengkap, alamat, NIK, lalu diminta tanda tangan digital pakai stylus yang kayak gagang sendok? Nah, setelah itu... lo nggak pernah tahu data itu ngendap di mana, siapa yang bisa buka, atau bahkan, siapa yang iseng ngintip. Dan yang lebih kocaknya, kadang petugasnya juga nggak tahu.

Salah satu teman gue, admin rumah sakit swasta kecil, pernah cerita: “Mas, aku kan bisa akses semua data pasien, sampe diagnosa HIV segala. Tapi aku sebenernya cuma dikasih password buat cetak label obat.” Lo bayangin tuh akses levelnya kayak tukang parkir yang dikasih kunci brankas.

Lucunya lagi, pas kami tanya ke pihak integrator SATUSEHAT, mereka bilang, “Iya nanti ada audit trail-nya kok. Tapi belum aktif untuk fasyankes level kecil.” Jadi gimana? Data jalan terus, log-nya tidur?

Masalah audit trail ini tuh kayak CCTV yang dipasang tapi kabelnya belum disambung ke monitor. Lo kira aman, padahal yang ngawasin nggak ada. Sistem jalan, tapi siapa yang lihat siapa—itu misteri.

Gue sempat ngecek juga beberapa dokumentasi API SATUSEHAT. Memang ada endpoint untuk log dan audit. Tapi pas gue ngobrol sama developer RS daerah, mereka bilang: “Kita nggak aktifin itu, soalnya log-nya makan storage dan bikin lambat sistem.” Lah, demi performa, privasi dikorbankan? Tergelitik ya.

Ini bukan cuma soal teknis. Ini soal kepercayaan. Bayangin lo pernah konseling psikiatri atau skrining HIV, dan data itu bisa diakses admin gudang yang lagi iseng ngecek NIK siapa yang paling sering datang. Ngeri? Banget. Tapi sayangnya, real.

Lalu sistem rekam medis di negara berkembang seringkali dibangun tanpa governance audit yang jelas. Sementara di OECD, bahkan request read only pun wajib terekam lengkap. Kita? Kadang baru sadar ada yang akses setelah bocor di Twitter.

Dan parahnya, belum ada kewajiban publikasi insiden pelanggaran data di Indonesia. Jadi kalau datamu bocor, kamu nggak akan pernah tahu—bahkan mungkin Kemenkes pun nggak tahu. Karena sistemnya nggak nyatet siapa yang nyolong.

Entah kenapa, privasi itu dianggap kemewahan, bukan standar. Padahal rekam medis itu bisa lebih pribadi dari isi chat WhatsApp. Tapi sampai hari ini, belum ada transparansi berapa banyak akses tak sah yang terjadi. Nggak ada portal pelaporan. Nggak ada email notifikasi.

Mungkin ini saatnya kita mulai tanya: siapa aja sih yang bisa lihat rekam medisku? Dan kalau sistem bilang “kami menjaga data Anda dengan baik”, kita patut balas: “Boleh saya lihat log-nya?”

Welcome to Hajriah Fajar: Living Smart & Healthy in the Digital Age

Who Accessed Your Medical Records? No One Knows, Not Even the Ministry

Have you ever visited a clinic, filled in your full name, NIK, address, and then signed with a stylus that feels like a noodle spoon? Then you walk out… and have no idea where that data ends up, who sees it, or even who *shouldn’t* be seeing it. The best part? Sometimes not even the staff knows.

A friend of mine, an admin in a small private hospital, once said: “Mas, I can access all patient records, even HIV diagnoses. But officially I only need the password to print drug labels.” That’s like giving the parking attendant the master key to the vault.

Even more amusing, when we asked someone from the SATUSEHAT integration team, they replied: “Yeah, there will be audit trails. But it’s not active yet for smaller clinics.” So… data flows freely, but the logs are napping?

Audit trails are like CCTV cameras — except someone forgot to plug them into the monitor. You think someone’s watching, but nope. The system moves, but who’s watching whom? Nobody knows.

I’ve looked into some SATUSEHAT API documentation. Yes, there are endpoints for logs and audits. But when I asked a dev at a regional hospital, he said: “We turned it off. The logs eat up storage and slow everything down.” So… for performance, you sacrifice privacy? Yikes.

This isn’t just a technical issue. It’s about trust. Imagine you visited a psychiatrist or got an HIV screening, and your data is accessible to a bored warehouse admin browsing NIKs for fun. Creepy? Absolutely. But real? Sadly, yes.

Medical data systems in developing countries often lack proper audit governance. In OECD countries, even a simple read-only request must be fully logged. Us? We often find out someone accessed our data… when it leaks on Twitter.

And the worst part? There’s no legal obligation to report data breaches in Indonesia. So if your data leaks, you’ll never know — maybe not even the Ministry. Because the system doesn’t log who took what.

Privacy is still seen as a luxury, not a standard. Medical records are sometimes more personal than your WhatsApp chat history. Yet, we have no transparency on how many unauthorized access events have occurred. No public reporting portal. No email alerts.

Maybe it's time to ask: who exactly can see my medical record? And when the system says “We protect your data,” we should politely respond: “Can I see the logs?”