Selain RUU Perlindungan Data Pribadi, Infrastruktur Keamanan Siber Juga Berperan Krusial
Rentetan kasus kebocoran data pribadi di sistem layanan publik pemerintahan memberikan pelajaran bahwa bukan hanya Undang-Undang Data Pribadi yang harus disiapkan, tetapi juga infrastruktur sistem keamanan siber.
Oleh
Mediana
·4 menit baca
JAKARTA, KOMPAS — Rentetan kasus kebocoran data pribadi di sistem layanan publik semakin menguatkan pentingnya otoritas perlindungan data pribadi yang independen dalam pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi. Sembari menunggu regulasi itu disahkan, upaya pencegahan dan kuratif kebocoran data pribadi tetap bisa dilakukan.
Sebelumnya, vpnMentor, laman pengulas perangkat lunak layanan yang memungkinkan pengguna untuk mengakses laman pribadi melalui server jaringan pribadi (virtual private network/VPN), memublikasikan hasil temuan kebocoran data di aplikasi eHAC yang dikelola Kementerian Kesehatan. Kebocoran data ini mengekspos seluruh informasi infrastruktur di sekitar eHAC, identitas dan tipe penumpang pesawat terbang, rumah sakit, hingga hasil tes Covid-19.
Temuan kebocoran data pribadi pada aplikasi eHAC ini pertama kali diketahui vpnMentor pada 15 Juli 2021. Mereka berusaha menginformasikan kepada Kementerian Kesehatan pada 21 Juli dan 26 Juli 2021, tetapi tidak ditanggapi. Tindak lanjut dan penanggulangan kebocoran data aplikasi eHAC baru dilakukan vpnMentor sebulan kemudian, yakni 24 Agustus 2021, ketika vpnMentor menginformasikan temuannya kepada Badan Siber dan Sandi Negara (BSSN).
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar, saat dihubungi pada Rabu (1/9/2021) di Jakarta, berpendapat, rentetan kasus kebocoran data pribadi yang terjadi, terutama di sektor layanan publik, semakin mengukuhkan pentingnya otoritas perlindungan data pribadi yang independen. Keberadaan otoritas independen diyakini mampu mendorong kepatuhan sektor layanan publik terhadap prinsip-prinsip pemrosesan data pribadi yang baik.
Mereka berusaha menginformasikan kepada Kementerian Kesehatan pada 21 Juli dan 26 Juli 2021, tetapi tidak ditanggapi.
Pembahasan RUU Perlindungan Data Pribadi mengalami jalan buntu karena pemerintah menginginkan otoritas perlindungan data pribadi di bawah Kementerian Komunikasi dan Informatika (Kemkominfo). Sementara DPR merasa otoritas perlindungan data pribadi harus independen.
”Kalau otoritas perlindungan data pribadi independen, kami melihat pengawasan, penanganan, dan pemberian sanksi atas kebocoran data akan fair,” ujar Wahyudi.
Untuk kondisi Indonesia sekarang, sesuai Undang-Undang (UU) Nomor 19 Tahun 2016 tentang Perubahan atas UU Informasi dan Transaksi Elektronik, sanksi atas kebocoran data meliputi sanksi administratif, sanksi perdata, dan sanksi pidana. Kemkominfo melalui Peraturan Menkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi hanya memberikan sanksi administratif.
Terkait sanksi perdata, warga yang merasa dirugikan karena menjadi korban kebocoran data pribadi bisa menyampaikan gugatan hukum. Dalam konteks kebocoran data di sistem layanan publik, gugatan hukum ganti rugi materil dapat disampaikan atas nama warga negara, tetapi mesti melalui proses panjang pengurusan bukti kerugian. Walau demikian, Wahyudi berpendapat bahwa gugatan hukum itu bisa disampaikan dalam wujud desakan agar Undang-Undang Perlindungan Data Pribadi segera diketuk.
Mengenai sanksi pidana, dia menjelaskan bahwa pemberian sanksinya bergantung pada hasil investigasi kebocoran data di sistem layanan publik pemerintahan. Kemkominfo dan BSSN selama proses investigasi bisa menemukan adanya unsur pidana atau tidak.
Dalam konteks kebocoran data di sistem layanan publik, gugatan hukum ganti rugi materil dapat disampaikan atas nama warga negara, tetapi mesti melalui proses panjang pengurusan bukti kerugian.
”Kejadian selama ini, hasil investigasi kebocoran data jarang diungkap ke publik. Apalagi, kasus kebocorannya di sistem layanan publik pemerintahan,” kata Wahyudi.
Pencegahan
Secara terpisah, advokat teknologi informasi Danny Kobrata berpendapat, dugaan kasus kebocoran data eHAC menunjukkan sudah saatnya lembaga pemerintahan sekarang serius membenahi sistem keamanan siber yang digunakan. Sejumlah regulasi yang ada sebenarnya sudah mewajibkan lembaga pemerintahan untuk memenuhi standar keamanan tertentu, seperti ISO 27001.
”Saat ini perlu diinvestigasi seberapa cukup aman sistem keamanan siber yang digunakan oleh lembaga layanan publik pemerintahan dalam menyimpan data pribadi masyarakat,” ucap Danny.
Menurut dia, Indonesia juga membutuhkan ketegasan dalam penegakan hukum atas kasus-kasus kebocoran data. Lembaga pengawasan/penegakan hukum yang sudah ada bisa dioptimalkan. Kalaupun tidak cukup efektif, Indonesia perlu memikirkan format lain untuk pengawasan ataupun penegakan hukum atas kasus kebocoran data.
Pada Selasa (31/8/2021) malam, Juru Bicara Kemkominfo Dedy Permadi mengatakan, Kemkominfo dan BSSN telah bertemu dengan Kemenkes. Selain akan menginvestigasi kasus eHAC, Kemkominfo dan BSSN juga telah menyampaikan beberapa poin untuk ditindaklanjuti Kemenkes. Sebagai contoh, pengawasan keamanan sistem elektronik, tanggung jawab hukum, kepatuhan terhadap ketentuan perlindungan data pribadi, dan pencegahan insiden yang lebih besar.
”Dugaan insiden kebocoran data pribadi ini tidak memengaruhi keamanan data pada aplikasi eHAC yang terintegrasi dengan aplikasi PeduliLindungi. Sebab, penyimpanan data-data aplikasi PeduliLindungi telah dilakukan di Pusat Data Nasional,” kata Dedy.
Dedy menambahkan, masyarakat atau pihak terkat yang mengalami kasus pelanggaran data pribadi dapat mengadu ke pengendaliaptika@kominfo.go.id. Seluruh pengelola dan wali data diharapkan serius meningkatkan perbaikan perlindungan data pribadi masyarakat, mulai dari aspek tata kelola hingga sumber daya manusia.