LNO STRATEGIC INTELLIGENCE
Healthcare Governance & Compliance Series • Q4 2025
CONFIDENTIAL - For Executive Leadership Only
Governance Partner
Pada Mei 2021, sistem BPJS Kesehatan mengalami kebocoran data 279 juta penduduk Indonesia—termasuk nama, NIK, alamat, nomor telepon, dan data gaji. Investigasi BSSN mengonfirmasi penyebab utama: infrastruktur teknologi kedaluwarsa dan tata kelola data yang lemah. Insiden ini bukan anomali—sepanjang 2023, sektor kesehatan Indonesia mencatat rata-rata 2 insiden kebocoran data per hari.
Kini, dengan kewajiban integrasi SATUSEHAT (PMK 24/2022) dan enforcement penuh UU PDP sejak 17 Oktober 2024, rumah sakit menghadapi perfect storm: kewajiban operasional yang mendesak (konektivitas RME) versus liability hukum yang eksponensial (data pribadi spesifik).
📊 GLOBAL BENCHMARK (Sophos Healthcare Cybersecurity Report 2024)
Precedent lokal: RS Dharmais dan RS Harapan Kita Jakarta lumpuh akibat serangan ransomware WannaCry (2017), dengan sistem IT offline selama berhari-hari. Tanpa governance yang teraudit, insiden serupa kini membawa konsekuensi hukum tambahan berupa sanksi UU PDP.
⚠️ REGULATORY EXPOSURE
2%
dari Pendapatan Tahunan
Sanksi administratif maksimal bagi Pengendali Data Pribadi (RS) yang gagal melindungi Data Pribadi Spesifik (data medis).
UU No. 27 Tahun 2022, Pasal 57 • Berlaku penuh sejak 17 Okt 2024
📐 SKENARIO FINANSIAL
RS Tipe B (Revenue Rp 80M/tahun)
Rp 1,6 Miliar
Potensi denda UU PDP
RS Tipe A (Revenue Rp 250M/tahun)
Rp 5 Miliar
Potensi denda UU PDP
💡 LNO VALUE PROPOSITION
"Biaya engagement LNO untuk ISO 27799 readiness assessment + governance framework design = 3-8% dari potensi denda. ROI tertinggi di compliance market."
Diagnostic tool berbasis ISO 27799:2016 dan assessment LNO terhadap 23 RS Tipe B/C di Jawa-Bali (Q2-Q3 2025). 87% berada di Level 1-2 (zona merah) saat kewajiban RME sudah mandatory.
| Level | Status | Karakteristik | Legal Risk |
|---|---|---|---|
| Level 1 | CRITICAL | Tidak ada kebijakan tertulis pengamanan data; RME vendor-dependent tanpa audit trail; Tidak ada CISO/PIC Keamanan Data. | Sangat Tinggi |
| Level 2 | HIGH RISK | Kebijakan ada tapi tidak ter-enforce; Backup dilakukan manual & tidak terenkripsi; Staff belum trained on data protection. | Tinggi |
| Level 3 | REACTIVE | SOP keamanan data ada & disosialisasikan; Incident response plan tersedia (belum tested); Audit internal 1x/tahun. | Sedang |
| Level 4 | MANAGED | ISO 27001 certified atau dalam proses; ISMS established; Regular penetration testing; SIEM monitoring 24/7. | Rendah |
| Level 5 | OPTIMIZED | ISO 27799 compliant; AI-powered threat detection; Regular third-party audits; Cyber insurance coverage active. | Minimal |
Kecepatan adopsi teknologi RME (didorong regulasi) versus kematangan governance keamanan data. Area merah = zona liability eksponensial.
Avg. Time to Detect Breach
197 hari
IBM Cost of Data Breach Report 2024 (Healthcare avg)
RS dengan CISO/DPO Dedicated
18%
LNO Survey - RS Tipe B/C Indonesia (n=23, 2025)
Total Cost of Healthcare Breach
USD 11M
Global average (Ponemon Institute 2024) - tertinggi di semua industri
UU PDP Enforcement Start Date
17 Okt '24
2-year transition period selesai - sanksi aktif
Legal, Regulatory & Technical References:
[1] UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi — Pasal 4 (Definisi Data Pribadi Spesifik), Pasal 35 (Kewajiban Pengendali Data), Pasal 57 (Sanksi Administratif). Enforcement penuh dimulai 17 Oktober 2024.
[2] Permenkes No. 24 Tahun 2022 tentang Rekam Medis — Pasal 3: Kewajiban implementasi RME bagi seluruh Fasilitas Pelayanan Kesehatan. Interoperabilitas dengan platform SATUSEHAT wajib untuk RS Tipe A/B (Q1 2025).
[3] ISO 27799:2016 — Health Informatics: Information Security Management in Health using ISO/IEC 27001. Standar internasional untuk keamanan informasi kesehatan, spesifik untuk SIMRS.
[4] Kebocoran Data BPJS Kesehatan (Mei 2021) — 279 juta records bocor; investigasi BSSN mengkonfirmasi infrastruktur IT kedaluwarsa dan lemahnya tata kelola. Belum ada sanksi signifikan karena UU PDP belum berlaku.
[5] Sophos State of Ransomware in Healthcare 2024 — 67% organisasi kesehatan global terkena ransomware; recovery cost USD 2.57M/incident. Indonesia masuk zona high-risk (BSSN Report 2025).
[6] WannaCry Ransomware Attack on Indonesian Hospitals (2017) — RS Harapan Kita & RS Dharmais lumpuh; sistem IT offline berhari-hari; belum ada framework response formal saat itu.
[7] IBM Cost of a Data Breach Report 2024 & Ponemon Institute Healthcare Cybersecurity Study — Healthcare remains most expensive sector for breaches globally (USD 11M avg total cost).