RUU data kesehatan Singapura mewajibkan pengaturan pemberian informasi

Untuk memastikan pengungkapan dan pemberian data, Kementerian Kesehatan dapat memberlakukan denda hingga $1 juta atas ketidakpatuhan.

Singapura telah menjaga repositori pusat untuk catatan kesehatan pasien sejak 2011. Namun, National Electronic Health Record (NEHR) hanya memiliki partisipasi 15% oleh penyedia swasta per Oktober 2023.

Untuk mendorong pembagian data di antara penyedia layanan kesehatan, pemerintah memperkenalkan Undang-Undang Informasi Kesehatan (HIB) yang akan membuat membagikan data kesehatan menjadi wajib.

"Kementerian Kesehatan telah mengidentifikasi bahwa kebutuhan kesehatan akan menjadi lebih kompleks dengan bertambahnya usia penduduk. Ini akan melibatkan lebih banyak warga Singapura mengalami kondisi kronis, harus mengunjungi berbagai lembaga kesehatan, dan bergantung pada beberapa penyedia layanan kesehatan. MOH mengharapkan bahwa sistem kesehatan Singapura akan menjadi lebih beragam, karena terus berkembang untuk memenuhi berbagai tuntutan dari populasi," kata Lim Ren Jun, principal dan co-lead dari Grup Industri Layanan Kesehatan & Ilmu Kehidupan di Baker McKenzie Wong & Leow, kepada Singapore Business Review.

"Membagikan informasi kesehatan kunci pasien antara penyedia layanan kesehatan akan membantu memfasilitasi penyampaian perawatan yang lebih lancar dan lebih baik," tambah Lim.

Zhen Guang Lam, senior associate di Clyde & Co Clasis Singapore, memiliki pandangan yang serupa, mengatakan: "Repositori pusat untuk catatan kesehatan pasien memiliki potensi besar untuk merevolusi penyampaian layanan kesehatan, karena tidak hanya meningkatkan efisiensi dan koordinasi di antara profesional kesehatan, tetapi juga memberdayakan pasien dengan kontrol yang lebih besar atas data kesehatan mereka sendiri."

"Pertukaran informasi yang lancar di seluruh ekosistem kesehatan dapat menyebabkan diagnosis yang lebih akurat, intervensi yang tepat waktu, dan pada akhirnya, hasil yang lebih baik bagi pasien," kata Lam.

Pengungkapan data kesehatan di NEHR akan menghilangkan pengulangan deklarasi pasien tentang riwayat medis mereka kepada berbagai profesional kesehatan, dan menghemat waktu. Ini juga akan membebaskan sumber daya di pihak penyedia layanan kesehatan karena mereka tidak perlu meminta pasien untuk memberikan informasi tersebut, kata Lim.

"Dengan memiliki akses ke satu set data kesehatan pasien yang umum, para profesional kesehatan pada akhirnya akan dapat membuat keputusan yang lebih baik untuk kepentingan pasien mereka," tambah Lam.

Tugas dan tanggung jawab

RUU yang diperkenalkan berlaku untuk semua penyedia layanan kesehatan yang berlisensi, termasuk penyedia layanan kesehatan digital yang menawarkan layanan telemedis, pengguna yang disetujui yang dapat mengakses informasi kesehatan di NEHR, dan perantara data.

Mereka yang tercakup dalam  RUU memiliki tanggung jawab untuk membagikan informasi kesehatan tertentu seperti demografi pasien, diagnosis medis atau alergi, dan obat-obatan.

Mereka juga diwajibkan untuk mematuhi persyaratan keamanan siber dan keamanan data, termasuk memberi tahu MOH dalam waktu dua jam jika terjadi pelanggaran data atau insiden keamanan siber.

"Penyedia layanan kesehatan mungkin harus memeriksa dan mempertimbangkan dengan cermat apakah mereka mematuhi persyaratan keamanan siber dan keamanan data karena persyaratan yang ketat yang akan diterapkan dalam HIB," kata Lim dari Baker McKenzie.

"Dari segi operasional, penyedia layanan kesehatan perlu mengimplementasikan proses untuk mematuhi persyaratan pemberitahuan insiden wajib ini," tambahnya.

Akses

Profesional kesehatan yang berwenang memiliki akses ke data di NEHR. Profesional kesehatan yang tidak berwenang atau penyedia layanan kesehatan yang tidak berlisensi juga dapat diberikan akses ke repositori pusat sebagai "pengguna yang disetujui," tetapi mereka hanya akan diberikan akses ke "informasi yang relevan yang diperlukan bagi mereka untuk memberikan perawatan kepada pasien," kata Lam dari Clyde & Co.

Apoteker ritel termasuk dalam kategori penyedia layanan kesehatan yang tidak berlisensi ini. "Apoteker ritel mungkin diberikan akses terbatas ke catatan obat dan alergi sehingga mereka dapat menandai interaksi yang tidak aman antara obat yang sudah dikonsumsi oleh pasien, dengan obat lain yang mungkin ingin dibeli oleh pasien," kata Lam.

"Secara umum, data NEHR harus digunakan hanya untuk penyediaan perawatan pasien dan bukan untuk tujuan non-kesehatan. Secara khusus, RUU akan secara tegas melarang penggunaan data untuk menilai kesesuaian seseorang," tambah Lam.

Sementara itu, hak akses ke informasi kesehatan sensitif hanya akan diberikan kepada praktisi medis berdasarkan peran khusus mereka dalam penyampaian layanan kesehatan kepada pasien. "Seorang praktisi medis tidak diizinkan untuk mengakses informasi kesehatan sensitif pasien yang tidak mereka berikan perawatan atau di mana akses tersebut tidak diperlukan untuk memberikan perawatan kepada pasien," kata Lam.

Informasi kesehatan sensitif merujuk pada data yang dapat menyebabkan stigma atau diskriminasi, jelaskan Lam.

Oleh karena itu, informasi kesehatan sensitif memiliki persyaratan tambahan untuk diakses, termasuk kontrol akses administratif seperti mekanisme penguncian ganda "untuk memastikan profesional kesehatan membuat keputusan yang sadar saat menilai informasi tersebut," kata Lam.

Menurut RUU yang diusulkan, pasien juga dapat memiliki hak untuk menempatkan pembatasan akses pada data NEHR mereka, kata Lim.

Data yang dilindungi oleh pasien juga dapat diakses selama keadaan darurat medis atau jika diperlukan oleh undang-undang yang ditetapkan.

Namun, pasien mungkin tidak dapat "menyesuaikan pembatasan akses; misalnya, membatasi akses hanya kepada dokter atau institusi tertentu, atau bidang data tertentu," kata Lim.

Sanksi

Penyedia layanan kesehatan yang gagal mematuhi RUU tersebut dapat menghadapi beberapa sanksi.

RUU yang diusulkan bermaksud memberi MOH kekuatan untuk memberlakukan sanksi keuangan hingga $1 juta (US$743.000) atau 10% dari omzet tahunan organisasi, mana yang lebih tinggi, yang sesuai dengan rezim sanksi Undang-Undang Perlindungan Data Pribadi (PDPA) untuk ketidakpatuhan, menurut Lim.

MOH juga akan memiliki kekuatan umum untuk "memberikan arahan kepada entitas untuk memperbaiki ketidakpatuhan dengan HIB. Arahan ini termasuk menghentikan akses dan pengumpulan informasi kesehatan yang tidak sah di NEHR; menghancurkan semua informasi kesehatan yang dikumpulkan secara tidak sah; menghentikan pembagian informasi kesehatan yang tidak sah lebih lanjut di bawah kerangka pemberian data; dan mematuhi persyaratan keamanan siber dan keamanan data.

"Dalam kasus yang lebih kompleks yang melibatkan insiden keamanan siber dan pelanggaran data, MOH telah mengindikasikan bahwa akan bekerja dengan Badan Keamanan Siber dan Komisi Perlindungan Data Pribadi untuk memberikan sanksi yang tepat di bawah berbagai Undang-Undang," kata Lim.

"Selain dari sanksi terhadap entitas yang berlisensi, HIB juga bermaksud untuk memperkenalkan tindakan pidana untuk mempertanggungjawabkan individu yang secara mengerikan memperlakukan informasi kesehatan yang dikendalikan oleh entitas HIB," tambahnya.