- Menurut saya hashing saja tidak cukup untuk melindungi data pasien dikarenakan hash tidak menyembunyikan makna data, hanya mengubah bentuknya menjadi pola tetap yang sebenarnya bisa ditebak jika datanya umum atau tersedia di luar sistem.
Bisa kita ambil contoh begini : Jika Rumah sakit menyimpan nomor KTP pasien dalam bentuk hash, terlihat aman kan? Tapi jika ada orgluar yang punya daftar nomor KTP pasien dari sumber publik, dia bisa meng-hash semua nomor itu satu per- satu dan membandingkannya.
Logikanya seperti ini : Kamu menyembunyikan nama orang lain dengan menuliskannya dalam kode rahasia, tapi kalau kode itu selalu sama untuk nama yang sama, orang lain bisa dengan mudah menebak siapa dibalik kode itu jika mereka punay daftar nama aslinya.
Begitu hasnya cocok, identitas pasien bisa langsung di ketahui. Selain itu hashing tidak menyembunyikan pola data. Jadi hashing hanya melindungi data di permukaan bukan melindungi makna atau keterkaitan data.
2. A. Hash Lebih tepat digunakan daripada enkripsi
Skenario :
Sebuah aplikasi rumah sakit membuat sistem login pasien menggunakan email dan password. Password disimpan di database dalam bentuk hash, bukan enkripsi.
Alasan (versi logika) :
Hash cocok karena password tidak perlu dibuka lagi oleh sistem. Disini sistem hanya perlu membandingkan hasil hash dari input pengguna dengan hash yang tersimpan, Kalaiu kita memakai enkripsi , artinya password bisa di deskripsi (dibuka kembali) , itu justru beresiko kalau sistem bocor. Hash seperti sidik jari cukup buat membandingkan, tapi tidak bisa dikembalikan ke bentuk aslinya.
B. Enkripsi lebih tepat digunakan daripada hash
Skenario :
Dokter ingin mengakses rekam medis pasien melalui platform digital. Semua data medis disimpan dalam bentuk terenkripsi agar bisa dibuka kembali oleh dokter yang berwenang.
Alasan versi Logika :
Enskripsi cocok karena datanya perlu dibika kembali (dibaca ulang). Kalau data medis di hash, maka hasilnya yang keluar hanya angka yang tidak bisa dipulihkan, dokter tidak bisa membaca rekam medis pasien. Enkripsi ibarat menyimpan file di dalam brankas yang bisa di buka dengan kinci tertentu. Sementara hash itu seperti menghancurkan kertas menjadi serpihan tidak bisa dikembalikan.
3. Contoh :

Baris ini rentan teridentifikasi penjelasan logis nya adalah :
– Kecocokan email yang di hash “(email_a)” muncul di bari 1 & 3 , ini memberi petunjuk bahwa kedua baris tersebut milik org yang sama . Jika penyerang punya daftar email publik misalnya akun pendaftaran klinik lain, forum pasien, atau kebocoran email sebelumnya. mereka bisa menghash daftar itu dan mencocokan ke (email_a) ->identitas terkuak.
– Tanggal dan jenis prosedur yang jarang misal : pemasangan stent pada 3 okt 2025 + usia 65 th sangant spesifik. Jika seseorang memposting di media sosial “ayahku pasang stent 3 oktober 2025 di RS X, penyerang bisa padankan postingan itu dengan baris 1.
– Informasi yang tampak “tidak sensitif” seprti usia, tanggal dan poli.
4. Strategi defense-in-depth saya dimulai dari lapisan identitas: setiap nomor identitas dan email tidak hanya di-hash tetapi diberi salt unik per-record agar tidak bisa dicocokkan lewat rainbow table, lalu ditambah pepper rahasia di tingkat aplikasi yang disimpan di HSM/keystore terpisah sehingga walau database bocor, hash tetap tidak dapat direkonstruksi; untuk seluruh alur klinis, sistem menggunakan pseudonymization/tokenization: aplikasi operasional hanya melihat “PatientToken-XYZ” sementara tabel pemetaan ke identitas asli disimpan di layanan terisolasi dengan kunci akses berbeda dan rate-limit ketat. Akses internal mengikuti least privilege berbasis RBAC/ABAC dan just-in-time: dokter hanya dapat membuka data pasien yang sedang ditangani, peneliti hanya melihat dataset ter-pseudonym, dan permintaan “break-glass” saat darurat wajib alasan, persetujuan, serta kadaluarsa otomatis. Semua aksi sensitif—login, query, ekspor, dan pembukaan kunci—ditulis ke audit log append-only yang ditandatangani secara kriptografis dan disimpan pada media WORM, dipantau real-time untuk anomali agar setiap penyalahgunaan dapat ditelusuri. Di tingkat tata kelola data, saya terapkan data minimization: hanya kumpulkan atribut yang benar-benar diperlukan untuk layanan klinis, ringkas atau generalisasi nilai yang tak perlu (misalnya kelompok usia dan rentang tanggal kunjungan untuk analitik), tetapkan TTL/retensi pendek untuk data mentah, serta sediakan jalur aman untuk anonimisasi permanen. Kombinasi salt/pepper yang kuat, pseudonymization terisolasi, kontrol akses ketat, audit-logging yang tahan rusak, dan disiplin minimisasi data membuat penyerang harus menembus beberapa dinding sekaligus sebelum identitas pasien dapat kembali ditebak.
5. Menurut saya pribadi, kebocoran hash data kesehatan jauh lebih berbahaya daripada kebocoran hash password biasa, karena yang dipertaruhkan bukan cuma akses akun, tapi martabat dan kepercayaan seseorang sebagai manusia.
Kalau hash password bocor, dampaknya masih bisa “teknis” — orang tinggal ganti password, aktifkan autentikasi ganda, dan selesai. Tapi kalau hash data kesehatan bocor, meski datanya “ter-enkripsi satu arah”, informasi di baliknya bisa tetap ditebak lewat pola, tanggal, atau konteks kunjungan. Dan begitu identitas pasien bisa dikaitkan dengan penyakit tertentu, aib atau stigma sosial bisa muncul, apalagi untuk kasus sensitif seperti HIV, gangguan mental, atau penyakit reproduksi.
Dari sisi etika, ini bukan sekadar pelanggaran privasi, tapi pelanggaran kepercayaan yang paling mendasar antara pasien dan lembaga kesehatan. Pasien datang ke rumah sakit dengan harapan data pribadinya dijaga sebaik mungkin. Jika data itu bocor, meskipun hanya dalam bentuk hash, mereka akan merasa dikhianati. Dalam konteks sosial, bocornya informasi kesehatan bisa berdampak pada pekerjaan, hubungan sosial, bahkan pernikahan seseorang — karena masyarakat sering kali menilai tanpa memahami konteks medis.
Dari sisi reputasi, pasien yang terekspos bisa merasa malu, terisolasi, dan kehilangan rasa aman terhadap sistem kesehatan. Sementara lembaga yang lalai melindungi data tersebut akan kehilangan kepercayaan publik secara besar-besaran. Sekali kepercayaan itu hilang, sulit untuk dibangun kembali, karena orang akan berpikir: “Kalau rahasia saya saja tidak aman di sana, kenapa saya harus berobat di situ?”