Udin Apriliansyah.
Agusta Dian Ellina.
Rahmania Ambarika : Manajemen Risiko Terkait Keamanan A.
Evaluasi Manajemen Risiko Terkait Keamanan Data Rekam Medis Elektronik Di Rumah Sakit Mata Undaan Surabaya Evaluation Of Risk Management Related To Electronic Medical Record Data Security At Undaan Hospital Surabaya Udin Apriliansyah1.
Agusta Dian Ellina2.
Rahmania Ambarika3
1,2,3
Universitas STRADA Indonesia .
-mail: udinapriliansyah@gmail.
Perum Western Village C5-16 Surabay.
ABSTRAK Transformasi digital di sektor kesehatan membawa tantangan baru terhadap keamanan data pasien, khususnya dalam penggunaan sistem Rekam Medis Elektronik (RME).
Penelitian ini bertujuan mengevaluasi efektivitas manajemen risiko keamanan data pasien di RS Mata Undaan Surabaya dan memberikan rekomendasi perbaikannya.
Metode yang digunakan adalah kualitatif dengan pendekatan fenomenologi, melalui wawancara mendalam terhadap 12 informan dan 3 triangulator, observasi non-partisipatif, serta telaah dokumen.
Analisis dilakukan secara tematik dan diperkuat dengan pendekatan Failure Mode and Effect Analysis (FMEA) pada 20 subproses.
Hasil menunjukkan kelemahan dalam kebijakan formal, hak akses, autentikasi, dan pelaporan insiden.
FMEA
mengidentifikasi sepuluh subproses dengan nilai RPN tinggi.
Rekomendasi mencakup pembentukan kebijakan tertulis, autentikasi berlapis, pembatasan akses berbasis peran, pelatihan rutin, dan uji restore backup.
Penelitian ini menekankan pentingnya pendekatan terintegrasi dalam membangun sistem keamanan RME yang tangguh dan berkelanjutan Kata kunci : Keamanan data, rekam medis elektronik, manajemen risiko.
FMEA, rumah
ABSTRACT
Digital transformation in the healthcare sector brings new challenges to patient data security, particularly in the use of the Electronic Medical Record (EMR) system.
This study aims to evaluate the effectiveness of patient data security risk management at Undaan Eye Hospital Surabaya and provide recommendations for improvement.
The method used was qualitative with a phenomenological approach, through in-depth interviews with 12 informants and 3 triangulators, non-participatory observation, and document review.
The analysis was done thematically and strengthened with the Failure Mode and Effect Analysis (FMEA) approach on 20 subprocesses.
Results showed weaknesses in formal policies, access rights, authentication, and incident reporting.
FMEA identified ten subprocesses with high RPN values.
Recommendations include the establishment of written policies, layered authentication, role-based access restrictions, regular training, and test restore backups.
This research emphasizes the importance of an integrated approach in building a resilient and sustainable EMR security system.
Keywords: Data security, electronic medical record, risk management.
FMEA, hospital Jurnal Manajemen Kesehatan Yayasan RS.
Dr.
Soetomo Vol.
11 No.
2 Oktober 2025 : 368-380
PENDAHULUAN
Transformasi digital dalam sektor pelayanan kesehatan telah membawa perubahan signifikan dalam manajemen informasi pasien, salah satunya dengan adopsi sistem Rekam Medis Elektronik (RME).
RME memungkinkan penyimpanan, pengelolaan, dan pertukaran data medis pasien secara efisien dan real-time di berbagai unit pelayanan kesehatan (Cita et al.
, 2.
Namun, seiring dengan meningkatnya ketergantungan terhadap sistem digital, muncul pula tantangan baru terkait perlindungan data, khususnya menyangkut aspek keamanan, kerahasiaan, dan integritas data pasien.
Isu ini menjadi semakin penting karena data medis tergolong sebagai data pribadi yang sangat sensitif dan wajib dilindungi.
Dalam konteks hukum di Indonesia, perlindungan terhadap data pribadi, termasuk data kesehatan, telah diatur secara spesifik dalam Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), yang menegaskan bahwa pengendali data wajib menjamin keamanan informasi dari risiko kebocoran, kehilangan, atau penyalahgunaan oleh pihak tidak berwenang.
Dalam praktiknya, berbagai risiko yang melekat pada sistem RME seperti kebocoran data, serangan malware, penyalahgunaan hak akses, hingga kegagalan sistem .
ystem failur.
dapat menimbulkan dampak serius tidak hanya bagi individu pasien, tetapi juga terhadap reputasi rumah sakit dan kepercayaan publik terhadap layanan kesehatan digital (Hatton et al.
, 2.
Beberapa studi internasional menunjukkan bahwa sistem informasi kesehatan di negara berkembang sering kali belum dibarengi dengan kesiapan manajerial dan teknis yang memadai.
Penelitian Ayatollahi, mengungkap bahwa rumah sakit di negara berkembang cenderung menerapkan kebijakan keamanan informasi yang reaktif, tanpa sistem evaluasi berkelanjutan atau strategi mitigasi risiko yang terdokumentasi dengan baik (Ayatollahi & Shagerdi, 2.
Studi tersebut juga menekankan pentingnya sinergi antara teknologi, prosedur, dan sumber daya manusia sebagai elemen utama keberhasilan sistem keamanan informasi.
Di Indonesia, tantangan serupa juga muncul.
Penelitian Pujihastuti .
menyatakan bahwa tingkat kesadaran staf terhadap keamanan digital masih rendah, dan diseminasi kebijakan keamanan belum berjalan optimal (Pujihastuti, 2.
Hal ini menyebabkan lemahnya kepatuhan terhadap prosedur standar yang berujung pada peningkatan potensi insiden pelanggaran data.
Observasi awal peneliti di Rumah Sakit Mata Undaan Surabaya mengindikasikan adanya celah-celah serius dalam pengelolaan risiko keamanan data.
Tiga insiden yang cukup mencolok yaitu downtime sistem pada tahun 2018, kejadian gagal simpan data pada tahun 2023, serta kebakaran ruang server pada awal 2024 menunjukkan belum matangnya sistem mitigasi risiko dan kesiapan Udin Apriliansyah.
Agusta Dian Ellina.
Rahmania Ambarika : Manajemen Risiko Terkait Keamanan A.
infrastruktur rumah sakit dalam menghadapi gangguan teknis.
Dampak dari insiden tersebut tidak hanya bersifat teknis, namun juga memengaruhi kesinambungan pelayanan dan ketepatan informasi dalam pengambilan keputusan klinis (Tamin & Hendrik, 2.
Menyikapi hal tersebut, berbagai kerangka kerja keamanan data seperti ISO/IEC 27001 telah banyak digunakan sebagai acuan standar internasional dalam menyusun kebijakan dan prosedur keamanan informasi.
Di samping itu, pendekatan Failure Mode and Effect Analysis (FMEA) yang umum diterapkan dalam manajemen risiko klinis juga mulai banyak diadaptasi untuk mengevaluasi potensi kegagalan pada sistem informasi digital, termasuk sistem RME (Carlson, 2.
FMEA memungkinkan identifikasi titiktitik lemah dalam alur proses, penilaian tingkat risiko berdasarkan severity, occurrence, dan detectability, serta penyusunan prioritas mitigasi yang sistematis.
Sayangnya, integrasi pendekatan manajemen risiko seperti FMEA dalam konteks keamanan data RME di Indonesia masih belum banyak ditemukan, khususnya yang berbasis pada pengalaman pengguna sistem dan wawancara mendalam lintas fungsi (WeAoe et al.
, 2.
Penelitian ini memiliki nilai kebaruan karena tidak hanya menilai aspek teknis dari sistem keamanan data RME, melainkan juga menelaah dimensi kebijakan, operasional, budaya kerja, dan kesiapan sumber daya manusia di lingkungan rumah sakit (Ikawati, 2.
Dengan menggunakan pendekatan kualitatif fenomenologis, penelitian ini menggali pengalaman nyata pengguna sistem RME, triangulasi dari manajer TI, vendor, dan tim percepatan RME, serta memperkuat analisis dengan pendekatan evaluasi risiko menggunakan FMEA terhadap 20 subproses utama.
Pendekatan ini diharapkan mampu memberikan gambaran menyeluruh tentang efektivitas manajemen risiko yang telah diterapkan, serta mengidentifikasi celah-celah sistemik yang perlu segera diperbaiki (Melisa et al.
, 2.
Tujuan dari penelitian ini adalah untuk mengevaluasi efektivitas penerapan manajemen risiko keamanan data pasien dalam sistem RME di Rumah Sakit Mata Undaan Surabaya.
Fokus evaluasi mencakup lima aspek utama, yaitu sejauh mana sistem manajemen risiko diterapkan, kelemahan yang masih ada, efektivitas pengendalian yang sudah dilakukan, langkah mitigasi terhadap potensi insiden, serta menyusun rekomendasi perbaikan yang praktis dan aplikatif untuk meningkatkan ketahanan sistem keamanan data pasien di era digital.
Jurnal Manajemen Kesehatan Yayasan RS.
Dr.
Soetomo Vol.
11 No.
2 Oktober 2025 : 368-380
METODE
Penelitian ini menggunakan metode kualitatif dengan desain fenomenologi, yang bertujuan untuk mengeksplorasi pengalaman, pemahaman, dan praktik para pengguna serta pengelola sistem Rekam Medis Elektronik (RME) dalam konteks keamanan data pasien di Rumah Sakit Mata Undaan Surabaya (WeAoe et al.
, 2.
Penelitian dilaksanakan di RS Mata Undaan Surabaya pada periode Januari hingga April 2025.
Informan terdiri dari 12 responden utama yang merupakan pengguna sistem RME dari berbagai unit, serta 3 triangulator kunci, yakni manajer TI, vendor RME, dan ketua tim percepatan RME.
Pemilihan informan dilakukan dengan teknik purposive sampling berdasarkan keterlibatan langsung dalam pengelolaan dan penggunaan sistem.
Teknik pengumpulan data dilakukan melalui wawancara mendalam dengan panduan semi-terstruktur, observasi non-partisipatif terhadap aktivitas penggunaan sistem, serta studi dokumentasi kebijakan dan insiden keamanan data.
Analisis data dilakukan secara tematik dengan pendekatan induktif, yang mencakup proses transkripsi, pengkodean, kategorisasi, dan identifikasi tema utama yang muncul (Budiman et al.
Untuk memperkuat validitas, dilakukan triangulasi sumber, metode, dan waktu, serta pemeriksaan keabsahan data melalui member check dan diskusi antar peneliti.
Evaluasi risiko juga dilengkapi dengan pendekatan Failure Mode and Effect Analysis (FMEA) terhadap 20 subproses sistem RME, yang digunakan untuk mengidentifikasi titik rawan dan memprioritaskan mitigasi berdasarkan nilai Risk Priority Number (RPN).
Penyajian data dilakukan secara naratif dan didukung tabel serta matriks risiko untuk memperjelas temuan lapangan secara sistematis (Jones et al.
, 2.
Penelitian ini telah mendapat Surat Keterangan kelaiakan Etik/ Ethical Clearance dari Komite Etik Penelitian Kesehatan Universitas STRADA Indonesia Nomor:
0523443/EC/KEPK/I/04/2025.
HASIL
Subjek dalam penelitian ini terdiri dari 12 informan utama yang merupakan pengguna sistem Rekam Medis Elektronik (RME) di Rumah Sakit Mata Undaan Surabaya, dengan latar belakang profesi yang beragam, mulai dari tenaga medis, petugas administrasi, hingga staf manajemen rekam medis.
Selain itu, triangulasi data dilakukan dengan melibatkan tiga informan kunci yaitu Manajer Teknologi Informasi, vendor penyedia sistem RME, serta Ketua Tim Percepatan RME (Sittig & Singh, 2.
Para Udin Apriliansyah.
Agusta Dian Ellina.
Rahmania Ambarika : Manajemen Risiko Terkait Keamanan A.
informan dipilih berdasarkan keterlibatan aktif mereka dalam implementasi dan pengelolaan sistem keamanan data RME.
Hasil penelitian menunjukkan bahwa penerapan manajemen risiko di RS Mata Undaan belum sepenuhnya sistematis.
Praktik pengendalian lebih banyak bersifat teknis dan adaptif, seperti pembatasan hak akses, penggunaan akun individu, dan backup data Namun, belum terdapat kebijakan institusional formal dan terdokumentasi yang mengatur secara menyeluruh langkah-langkah manajemen risiko informasi.
Pengetahuan staf masih terbatas pada prinsip dasar keamanan digital, sementara implementasi prosedur seperti logout dan pengawasan akun belum berjalan optimal (Asih et al.
, 2.
Penelitian mengidentifikasi empat kelemahan utama dalam sistem keamanan data: .
tidak meratanya diseminasi kebijakan keamanan informasi.
praktik penggunaan akun bersama dan lemahnya budaya pelaporan insiden.
keterbatasan infrastruktur teknologi seperti kapasitas server dan kecepatan akses saat beban tinggi.
belum adanya mekanisme monitoring risiko secara berkala.
Hal ini menunjukkan sistem belum mengadopsi pendekatan closed-loop dalam siklus manajemen risiko (Budiman et al.
, 2.
Pengendalian risiko telah dilakukan melalui tiga pendekatan: teknis .
ole-based access control, firewall, antiviru.
, operasional .
encatatan manual saat downtim.
, dan preventif .
ackup dua kali sehar.
Namun efektivitasnya masih terbatas karena minimnya audit teknis dan tidak adanya indikator evaluatif.
Pengendalian yang dilakukan belum terintegrasi dalam sistem mutu atau strategi jangka panjang.
Peneliti menilai, strategi pengendalian saat ini lebih bersifat reaktif ketimbang proaktif (Neng Sari Rubiyanti.
Berdasarkan analisis Failure Mode and Effect Analysis (FMEA) terhadap 20 subproses yang terkait dengan keamanan data dalam sistem Rekam Medis Elektronik (RME), penelitian ini menemukan bahwa terdapat tiga subproses dengan nilai Risk Priority Number (RPN) tertinggi yang memerlukan perhatian khusus dalam strategi mitigasi risiko.
Ketiga subproses tersebut adalah: .
pengaturan hak akses yang terlalu luas, .
belum diterapkannya autentikasi ganda .
ulti-factor authentication atau MFA), dan .
potensi kesalahan input data pasien.
Ketiga aspek ini dinilai memiliki dampak signifikan terhadap integritas, kerahasiaan, dan ketersediaan data pasien apabila tidak ditangani dengan baik (Carlson, 2.
Hak akses yang terlalu luas berisiko membuka Jurnal Manajemen Kesehatan Yayasan RS.
Dr.
Soetomo Vol.
11 No.
2 Oktober 2025 : 368-380 celah bagi penyalahgunaan informasi, terutama jika pengguna sistem dapat mengakses data di luar tanggung jawab atau wewenangnya.
Tanpa adanya pembatasan berbasis peran yang ketat .
ole-based access contro.
, potensi pelanggaran privasi dan kebocoran data menjadi lebih tinggi (Endah Wardani et al.
, 2.
Berikut hasil perhitungan nilai RPN dari analisis FMEA disajikan pada Tabel 1, untuk menunjukkan subproses dengan tingkat prioritas risiko tertinggi yang dapat menjadi dasar pengambilan keputusan dalam strategi mitigasi ke depan.
Tabel 1.
Subproses dengan Nilai RPN Tertinggi berdasarkan Analisis FMEA Modus Kegagalan Potensial Penentuan hak akses sesuai peran .
olebased acces.
Penggunaan .
assword / MFA) Input data pasien oleh tenaga medis/admin Akses dan pembacaan data oleh pengguna Pengamanan fisik ruang kses terbatas, proteksi Deteksi akses dan pelaporan Monitoring log Efek Potensial dari Kegagalan Pengguna mengakses data yang bukan Risiko pembobolan akun meningkat jika diketahui orang Kesalahan rekam pada diagnosis atau tindakan Pengguna lain bisa akses data pasien tanpa otorisasi Penyebab Potensial dari Tidak dilakukan konfigurasi rolebased access secara spesifik Pengendalian yang sudah ada Saat Ini SPO Keamanan Data Dan Informasi.
Juknis Rekam Medis Elektronik Sistem hanya RPN SPO Keamanan Data Dan Informasi Kurang ada validasi setelah input Juknis Rekam Medis Elektronik Login masih tidak dilogout SPO Keamanan Data Dan Informasi.
Juknis RME
SPO
Pemeliharaan Server.
SPO Keamanan Ruang Server (Akse.
SPO Keamanan Data Dan Informasi SPO Keamanan Data Dan Potensi sabotase, perangkat, dan modifikasi sistem Ruang server tidak dikunci atau tidak dijaga Kejadian login ilegal tidak segera diketahui atau Aktivitas tidak diketahui, insiden bisa Tidak ada fitur sistem untuk akses abnormal Tidak ada jawab khusus.
Udin Apriliansyah.
Agusta Dian Ellina.
Rahmania Ambarika : Manajemen Risiko Terkait Keamanan A.
Modus Kegagalan Potensial Efek Potensial dari Kegagalan Penyebab Potensial dari monitoring pasif Tidak ada jawab khusus, monitoring pasif Jadwal tidak dicek rutin, proses otomatis gagal tanpa Pengendalian yang sudah ada Saat Ini RPN SPO Keamanan Data Dan SPO Downtime system tidak terjadwal.
SPO Sistem Terjadwal SPO Keamanan Data Dan Informasi.
Juknis Rekam Medis Elektronik SOP Restore Data Base Saat dibutuhkan.
Belum ada 4 3 4 file backup tidak dapat digunakan pemulihan data dengan cepat Keterangan: S = Severity/ Dampak.
O = Occurance/ Probabilitas.
D = Detection/ Deteksi Monitoring log Backup data secara berkala oleh tim TI Pembuatan akun dan otorisasi pengguna baru Pengujian pemulihan data .
estore tes.
Aktivitas tidak diketahui, insiden bisa Kehilangan data jika terjadi kerusakan sistem Orang tidak berhak bisa memperoleh akses ke sistem RME Tidak ada pengguna dari Manajer Meskipun rumah sakit telah melakukan beberapa upaya mitigasi seperti backup data secara otomatis, penggunaan SOP keamanan, dan pelatihan awal kepada staf baru, namun langkah-langkah tersebut belum sepenuhnya menjangkau permasalahan yang bersifat sistemik dan teknis.
Beberapa kebijakan belum diformalkan secara menyeluruh, dan pelatihan berkala atau simulasi insiden belum dijalankan secara sistematis (Simanjuntak et al.
, 2.
Oleh karena itu, ketiga subproses ini menjadi prioritas untuk intervensi, baik melalui penguatan kebijakan internal, peningkatan teknologi keamanan, maupun peningkatan kompetensi dan kesadaran staf terhadap pentingnya perlindungan data pasien.
Penguatan pada aspek-aspek ini akan secara langsung berkontribusi terhadap peningkatan ketahanan sistem RME dan perlindungan informasi kesehatan yang lebih Rekomendasi difokuskan pada lima aspek utama: .
penyusunan kebijakan formal dan SOP berbasis risiko.
peningkatan kapasitas infrastruktur dan penggunaan cloud terenkripsi.
pelatihan rutin berbasis studi kasus nyata.
integrasi hak akses dengan sistem kepegawaian secara otomatis.
pembentukan tim keamanan Jurnal Manajemen Kesehatan Yayasan RS.
Dr.
Soetomo Vol.
11 No.
2 Oktober 2025 : 368-380 informasi lintas unit.
Pendekatan ini bertujuan memperkuat resiliensi organisasi dan memastikan bahwa keamanan data menjadi bagian dari budaya kerja, bukan sekadar tanggung jawab teknis.
PEMBAHASAN
Permasalahan keamanan data dalam sistem Rekam Medis Elektronik (RME) tidak hanya berkutat pada kekuatan teknologi informasi yang digunakan, tetapi juga mencerminkan sejauh mana kesiapan institusi dalam menerapkan prinsip manajemen risiko secara komprehensif (Tasbihah & Yunengsih, 2.
Berdasarkan penerapan metode Failure Mode and Effect Analysis (FMEA), penelitian ini mengidentifikasi tiga subproses dengan nilai Risk Priority Number (RPN) tertinggi yang menuntut perhatian segera, yakni pengaturan hak akses pengguna, belum digunakannya autentikasi ganda .
ulti-factor authenticatio.
, serta kesalahan input data pasien (Carlson, 2.
Permasalahan hak akses yang terlalu luas menunjukkan bahwa prinsip least privilege belum sepenuhnya dijalankan.
Idealnya, setiap pengguna hanya memiliki akses terbatas sesuai perannya dalam sistem.
Namun, temuan di lapangan memperlihatkan bahwa beberapa pengguna masih dapat mengakses data yang tidak termasuk dalam lingkup tanggung jawabnya.
Hal ini menimbulkan risiko terhadap pelanggaran privasi dan kebocoran data pasien, dan mencerminkan lemahnya pengendalian administratif.
Panduan ISO/IEC 27001 secara eksplisit menyebutkan bahwa pengendalian akses berbasis peran .
ole-based access contro.
merupakan elemen fundamental dalam membangun sistem keamanan informasi yang andal.
Temuan ini juga sejalan dengan penelitian Mukharram, yang menyimpulkan bahwa lemahnya pembatasan akses merupakan faktor pemicu utama terjadinya insiden pelanggaran data pribadi di sektor kesehatan (Mukharram et al.
, 2.
Risiko kedua berkaitan dengan belum digunakannya autentikasi ganda dalam proses login pengguna.
Saat ini, sistem RME di RS Mata Undaan hanya menggunakan autentikasi satu faktor, yaitu kombinasi nama pengguna dan kata sandi.
Padahal, pendekatan autentikasi ganda atau multi-factor authentication (MFA) telah diakui sebagai salah satu strategi pertahanan paling efektif dalam menghadapi serangan siber, terutama untuk melindungi data sensitif seperti rekam medis.
Ayatollahi et al.
menegaskan bahwa MFA dapat secara signifikan mengurangi risiko akses tidak sah karena mempersempit peluang penyalahgunaan kredensial yang bocor (Ayatollahi & Shagerdi.
Ketidakhadiran MFA menunjukkan belum optimalnya pendekatan defense in Udin Apriliansyah.
Agusta Dian Ellina.
Rahmania Ambarika : Manajemen Risiko Terkait Keamanan A.
depth dalam desain sistem informasi yang diterapkan.
Risiko ketiga adalah masih terjadinya kesalahan input data oleh tenaga medis atau Kesalahan ini umumnya bersumber dari tidak adanya mekanisme verifikasi data setelah entri dilakukan, kurangnya pelatihan berkala, serta tekanan beban kerja.
Temuan ini sejalan dengan hasil penelitian Kim yang menyebutkan bahwa kesalahan input sering kali disebabkan oleh faktor non-teknis seperti kelelahan staf, keterbatasan pelatihan, dan minimnya protokol validasi (Kim et al.
, 2.
Dalam jangka panjang, kesalahan entri data dapat mengganggu pengambilan keputusan medis dan menurunkan kualitas Selain ketiga risiko tersebut, hasil penelitian juga menunjukkan belum adanya sistem deteksi dini .
arly warning syste.
seperti pemantauan log aktivitas secara real-time atau sistem alert otomatis terhadap aktivitas mencurigakan.
Sistem saat ini lebih bersifat reaktif, di mana insiden baru ditangani setelah terjadi, bukan dicegah sejak dini.
Kondisi ini menandakan bahwa prinsip deteksi dan respons cepat sebagaimana dianjurkan dalam ISO/IEC 27035 belum sepenuhnya diimplementasikan secara menyeluruh.
Aspek lain yang tidak kalah penting adalah belum dilakukannya uji pemulihan data .
estore tes.
secara terjadwal.
Walaupun proses backup telah berjalan secara otomatis dua kali sehari, ketidakpastian terhadap validitas file cadangan akan terus menjadi potensi risiko, terutama ketika terjadi insiden besar seperti kerusakan server.
Sittig dan Singh .
menyatakan bahwa organisasi yang tidak secara aktif menguji sistem cadangannya cenderung mengalami hambatan besar dalam proses pemulihan saat bencana digital Dengan kata lain, disaster recovery plan yang tidak teruji justru berpotensi menambah beban saat insiden berlangsung (Darmiani et al.
, 2.
Dari sintesis berbagai temuan dan referensi di atas, terlihat bahwa manajemen risiko keamanan data di RS Mata Undaan Surabaya masih bersifat parsial dan belum dibingkai dalam pendekatan holistik yang menggabungkan kebijakan, teknologi, prosedur, serta kesadaran individu.
Penelitian Pujihastuti .
menegaskan pentingnya kolaborasi antara struktur kebijakan dan pemahaman pengguna sebagai pilar keberhasilan sistem keamanan data rumah sakit (Pujihastuti, 2.
Dalam konteks ini, pendekatan adaptif dan pembelajaran berkelanjutan dari setiap insiden menjadi sangat penting dalam membangun ketahanan sistem jangka panjang.
Penelitian tetapi juga mengintegrasikan analisis mendalam terhadap dimensi kebijakan, operasional, sumber daya manusia, dan budaya kerja melalui pendekatan kualitatif fenomenologis yang Jurnal Manajemen Kesehatan Yayasan RS.
Dr.
Soetomo Vol.
11 No.
2 Oktober 2025 : 368-380 melibatkan pengguna langsung, manajer TI, vendor, dan tim percepatan RME.
Selain itu, penelitian ini mengadaptasi metode Failure Mode and Effect Analysis (FMEA), yang umumnya digunakan dalam konteks klinis, untuk mengidentifikasi dan memprioritaskan risiko pada sistem informasi digital, khususnya RME, dengan menganalisis 20 subproses utama (Carlson, 2.
Hal ini menghasilkan identifikasi titik kritis yang spesifik dan rekomendasi mitigasi yang aplikatif, seperti perlunya autentikasi ganda, pembatasan hak akses berbasis peran, serta uji pemulihan data yang terjadwal, yang belum banyak diterapkan atau terdokumentasi dalam studi serupa di Indonesia.
Dengan demikian, penelitian ini tidak hanya mengisi celah literatur tetapi juga menawarkan kerangka evaluasi yang holistik dan relevan bagi pengembangan tata kelola keamanan data RME di institusi kesehatan lokal.
Meskipun penelitian ini bersifat kualitatif dan belum dilengkapi audit teknis seperti penetration testing, kontribusinya tetap signifikan, terutama dalam mengidentifikasi area kritis yang memerlukan perbaikan.
Penelitian lanjutan disarankan untuk mengadopsi pendekatan kuantitatif atau simulasi teknis guna mengukur efektivitas kontrol secara lebih objektif dan terstandarisasi.
Refleksi terhadap hasil ini menunjukkan bahwa rumah sakit tidak hanya perlu berinvestasi dalam teknologi, tetapi juga dalam edukasi pengguna, pengembangan kebijakan, dan perencanaan kontinjensi yang teruji secara sistematik.
Penelitian ini diharapkan dapat menjadi landasan awal bagi pembentukan kebijakan keamanan informasi yang lebih kuat, kontekstual, dan sesuai dengan dinamika layanan kesehatan digital di Indonesia.
Studi ini memiliki beberapa keterbatasan, ruang lingkup metodologi yang bersifat kualitatif sehingga temuan tidak dapat digeneralisasi secara luas, ketiadaan audit teknis mendalam seperti penetration testing atau simulasi serangan siber yang dapat mengonfirmasi kerentanan secara empiris, serta fokus pada satu rumah sakit sehingga temuan mungkin tidak mewakili kondisi seluruh institusi kesehatan dengan karakteristik Selain itu, data yang dikumpulkan sangat bergantung pada wawancara dan persepsi subjek penelitian, yang berpotensi mengandung bias subjektivitas, serta tidak mencakup evaluasi menyeluruh terhadap semua aspek teknis seperti konfigurasi jaringan, enkripsi data, atau keamanan fisik secara detail.
Meskipun menggunakan FMEA untuk analisis risiko, penghitungan Risk Priority Number (RPN) juga bergantung pada penilaian peneliti yang dapat dipengaruhi oleh interpretasi dan pengalaman subjek.
Udin Apriliansyah.
Agusta Dian Ellina.
Rahmania Ambarika : Manajemen Risiko Terkait Keamanan A.
SIMPULAN
Berdasarkan hasil penelitian dengan pendekatan kualitatif dan metode FMEA, disimpulkan bahwa pengelolaan risiko keamanan data pada sistem Rekam Medis Elektronik (RME) di Rumah Sakit Mata Undaan Surabaya masih memerlukan penguatan signifikan, terutama karena adanya kesenjangan dalam tiga pilar utama: kebijakan, prosedur, dan teknologi.
Identifikasi risiko mengungkap sepuluh titik kritis, dengan tiga risiko utama berupa hak akses yang terlalu luas, tidak digunakannya autentikasi ganda, dan kesalahan input data, yang disebabkan oleh lemahnya deteksi dini dan tidak adanya prosedur insiden yang baku.
Meskipun beberapa kontrol teknis seperti firewall dan antivirus telah diterapkan, pengendalian non-teknis seperti pelatihan berkelanjutan dan simulasi penanganan insiden masih kurang.
Sebagai tindak lanjut, diperlukan pembentukan tim manajemen risiko digital, pengembangan sistem pelaporan insiden realtime, penerapan autentikasi ganda, log audit aktif, serta restore testing yang terjadwal untuk memperkuat ketahanan sistem secara strategis dan berkelanjutan.
UCAPAN TERIMA KASIH
Penulis mengucapkan terima kasih kepada Direksi dan Manajemen serta karyawan Rumah Sakit Mata Undaan telah mengizinkan kami untuk mendapat data penelitian, serta saran dan bimbingan dari dosen pembimbing dalam proses penelitian.
DAFTAR PUSTAKA