Perusahaan Asuransi Jiwa Terkena Denda Pinalti Rp. 30 Milyar

Pencurian Data Pelanggan Perusahaan Asuransi Jiwa

Sebuah perusahaan asuransi jiwa di haruskan membayar denda penyelesaian pelanggaran USD 2.200.000 atau hampir setara Rp. 30 Milyar. Mereka terkena denda oleh HIPAA (Health Insurance Portability and Accountability Act) setelah USB drive yang berisi informasi elektronik kesehatan lebih dari 2.200 orang yang dilindungi (ePHI) telah dicuri dari departemen TI.

Sebagai bagian dari perjanjian 11 Januari, Perusahaan Asuransi Jiwa dari Puerto Rico (MAPFRE) juga menandatangani rencana aksi perbaikan dengan Departemen Kesehatan dan Layanan Kemanusiaan di Amerika Serikat (OCR).

Pencurian Data Pelanggan Perusahaan Asuransi Jiwa

MAPFRE, anak perusahaan dari konglomerat perusahaan asuransi jiwa multinasional yang berbasis di Spanyol, menawarkan asuransi kematian, kecacatan, kesehatan, kendaraan dan asuransi lainnya di Puerto Rico dan Kepulauan Virgin AS.

Peneliti menggambarkan kurangnya urgensi pada bagian dari MAPFRE dalam menjaga informasi kesehatan yang dilindungi seperti yang dipersyaratkan oleh peraturan keamanan dan privasi HIPAA, mengakibatkan pencurian perangkat penyimpanan portabel yang berisi nama, tanggal lahir dan nomor Jaminan Sosial.

Penyelidikan OCR mengungkapkan ketidakpatuhan perusahaan asuransi jiwa tersebut dengan Peraturan HIPAA. Khususnya pada kegagalan untuk melakukan analisis risiko dan melaksanakan rencana manajemen risiko, bertentangan dengan pernyataan sebelumnya, serta kegagalan untuk menyebarkan enkripsi atau ukuran alternatif setara pada laptop dan media penyimpanan removable sampai 1 September. Perusahaan asuransi jiwa tersebut juga gagal untuk melaksanakan atau tertunda menerapkan langkah-langkah perbaikan lain yang sebelumnya telah mereka sampaikan ke OCR.

Pihak Berwenang Mengindikasi Bahwa Jumlah Pinalti Mungkin Lebih Tinggi

Dengan jumlah resolusi ini, OCR mengimbangi potensi pelanggaran Peraturan HIPAA dengan bukti yang diberikan oleh MAPFRE. Pelanggaran yang melibatkan 2.209 orang terjadi pada tanggal 5 Agustus 2011, dan dilaporkan OCR 55 hari kemudian.

Penyelidik Federal menuduh mereka menemukan bukti bahwa perusahaan asuransi jiwa tersebut:

  • gagal melakukan pencegahan resiko yang diperlukan dan penilaian kerentanan untuk menguji “kerahasiaan, integritas, dan ketersediaan” di bawah kendali mereka,
  • tidak melaksanakan langkah-langkah keamanan yang sesuai,
  • mengabaikan untuk menerapkan kesadaran keamanan yang diperlukan dan program pelatihan bagi para pekerja.

Entitas tidak hanya harus membuat penilaian untuk menjaga data nasabah, mereka harus bertindak atas penilaian mereka juga.

Belajar Dari Kasus Kebocoran Keamanan di Perusahaan Asuransi Jiwa

Apa yang dapat kita petik dari kasus ini adalah pentingnya penerapan kepatuhan untuk menjaga keamanan data. Hal ini berlaku untuk seluruh jenis bisnis, tidak hanya pada sebuah perusahaan asuransi jiwa saja. Seperti halnya pada sebuah sistem informasi restoran banyak cabang dimana selain data pelanggan, resep juga harus terjaga. Keamanan data selain untuk menjaga privasi individu, juga untuk menjaga kelangsungan bisnis.

Selain perlu melakukan Audit Teknologi Sistem Informasi, perusahaan juga harus menempatkan data di negara tempat mereka beroperasi. Sehingga, selain pelanggaran dapat di cegah, juga jika terjadi pelanggaran maka pihak berwenang dapat memproses kasus tersebut. Jika data di simpan di luar negeri, maka tentunya ini akan mempersulit penanganan kasus pencurian data. Oleh karena itu, di Indonesia sudah saatnya peraturan kedaulatan data di tegakkan di tahun 2017 ini.

Sebuah USB Flash Disk dapat mendatangkan malapetaka bisnis jika berisi data penting dan di curi orang. Sebetulnya, perusahaan dapat mengantisipasi hal ini dengan menggunakan penyimpanan cloud. Layanan cloud yang di gunakan tentunya harus memiliki enterprise grade terutama dari segi keamanan.

Disamping itu, data yang di keluarkan harus di enkripsi, sehingga tidak dapat digunakan tanpa aplikasi sah dari perusahaan. Sehingga, jika ada kebocoran data maka dapat mudah dilacak siapa orang dalam yang menjadi penyebab. (MSP/I)