Kebocoran Terus Berulang, RUU Perlindungan Data Pribadi Mendesak Disahkan
Kebocoran data pribadi milik jutaan penduduk Indonesia terus berulang. Sementara Rancangan Undang-Undang Perlindungan Data Pribadi yang diyakini dapat mencegah kebocoran data tak kunjung disahkan.
Oleh
IQBAL BASYARI
·4 menit baca
JAKARTA, KOMPAS — Terus berulangnya kebocoran data pribadi milik jutaan penduduk Indonesia menunjukkan lemahnya sistem perlindungan keamanan. Rancangan Undang-Undang tentang Perlindungan Data Pribadi pun mendesak disahkan untuk mencegah kebocoran serta penggunaan data pribadi oleh pihak-pihak yang tak bertanggung jawab.
Dalam dua tahun terakhir ditemukan sejumlah kasus kebocoran data pribadi yang merugikan jutaan penduduk Indonesia. Kebocoran itu tidak hanya menyerang lembaga swasta, seperti Tokopedia, Bhinneka.com, Kreditplus, dan RedDoorz, tetapi juga data milik lembaga pemerintah, seperti Komisi Pemilihan Umum.
Kebocoran data pribadi terbaru ditemukan pada situs forum peretas, Raids Forum, 12 Mei lalu. Diperkirakan ada sekitar 279 juta data pribadi penduduk Indonesia yang diperjualbelikan. Dokumen data pribadi yang dijual akun Kotz di forum tersebut diduga berasal dari data Badan Penyelenggara Jaminan Sosial Kesehatan (BPJS) Kesehatan. Data yang jumlahnya lebih dari seluruh penduduk Indonesia tahun 2020 itu dijual seharga 0,15 bitcoin atau setara Rp 84 juta.
Sebelumnya, pada April 2021, data sekitar 150.000 pengguna media sosial Facebook di Indonesia juga bocor dan disebarluaskan di sebuah situs peretas amatir. Data yang dijual berisikan nama lengkap, nomor telepon, tanggal lahir, jenis, pekerjaan, dan alamat e-mail.
Bahkan, sepanjang tahun 2020, setidaknya terjadi lima kali kebocoran data pribadi yang sempat menjadi perhatian publik. Beberapa di antaranya data 91 juta pengguna dan 7 juta penjual di situs e-dagang Tokopedia yang diduga bocor dan dijual di pasar gelap. Kemudian data 2,3 juta pemilih pada Pemilihan Umum 2014 yang diduga berasal dari KPU.
Menteri Komunikasi dan Informatika Johnny G Plate kepada Kompas, Jumat (21/5/2021), mengatakan, pihaknya telah menginvestigasi sampel data pribadi yang beredar sejak 20 Mei 2021. Data sampel yang ditemukan tidak berjumlah 1 juta seperti klaim penjual, tetapi hanya 100.002 data.
Kementerian Kominfo menemukan bahwa sampel data diduga kuat identik dengan data BPJS Kesehatan. Hal tersebut didasarkan pada data noka (nomor kartu), kode kantor, data keluarga/data tanggungan, dan status pembayaran yang identik dengan data BPJS Kesehatan.
”Hari ini (Jumat) Kementerian Kominfo memanggil direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor untuk proses investigasi secara lebih mendalam,” kata Johnny.
Dari hasil pemanggilan tersebut, lanjutnya, BPJS Kesehatan segera memastikan dan menguji ulang data pribadi yang diduga bocor. Investigasi yang dilakukan tim internal BPJS Kesehatan akan selalu dikoordinasikan dengan Kementerian Kominfo serta Badan Siber dan Sandi Negara.
”Langkah-langkah pengamanan data akan dilakukan BPJS untuk memitigasi risiko kebocoran data pribadi yang lebih luas,” ujar Johnny.
Untuk mencegah penyebaran data lebih luas, Kementerian Kominfo telah mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut. Dari hasil identifikasi, terdapat tiga tautan yang menyebarkan data pribadi tersebut, yakni bayfiles.com, mega.nz, dan anonfiles.com. ”Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown, sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera,” ucapnya.
Sesuai dengan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik serta Peraturan Menkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, penyelenggara sistem elektronik (PSE) wajib melaporkan kepada Kementerian Kominfo pada kesempatan pertama saat sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi.
”PSE juga wajib menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi, dalam hal diketahui bahwa terjadi kegagalan perlindungan data pribadi,” ujar Johnny.
Payung hukum
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar mengatakan, bocornya data pribadi itu juga menunjukkan pentingnya payung hukum untuk melindungi data pribadi. Rancangan Undang-Undang Perlindungan Data Pribadi (PDP) yang saat ini masih dalam proses pembahasan Dewan Perwakilan Rakyat dan pemerintah mendesak untuk segera disahkan.
Kekosongan hukum perlindungan data pribadi yang komprehensif telah memunculkan sejumlah permasalahan dalam tata kelola perlindungan data, baik pada sektor publik, termasuk di dalamnya kementerian/lembaga, maupun sektor privat.
”Keberadaan UU Perlindungan Data Pribadi akan mengatur secara lebih jelas kewajiban pengendali dan pemroses data pribadi, termasuk di dalamnya badan publik—lembaga negara dan sektor swasta,” ujar Wahyudi.
Ketua Panitia Kerja RUU PDP Komisi I DPR Abdul Kharis Almasyhari mengatakan, kalangan parlemen berharap RUU tersebut bisa segera disahkan. Namun, hingga kini, pembahasan belum bisa dilanjutkan karena masih menunggu keputusan perpanjangan pembahasan dari Badan Musyawarah DPR.
”RUU PDP sudah masuk Program Legislasi Nasional Prioritas 2021, tetapi sampai hari ini belum ditetapkan perpanjangan sehingga Komisi I DPR belum bisa melanjutkan pembahasan,” kata politikus dari Fraksi Partai Keadilan Sejahtera itu.
Direktur Indonesia Parlementary Center (IPC) Ahmad Hanafi mengatakan, preseden kebocoran data pribadi yang terus berulang bisa jadi landasan yang kuat untuk segera mengesahkan RUU ini. Apalagi, melindungi data pribadi masyarakat merupakan upaya untuk menjaga keamanan data nasional.
”Bamus DPR harus segera menetapkan perpanjangan pembahasan RUU PDP karena pembahasan RUU ini sudah melebihi batas waktu yang ditetapkan tata tertib sehingga membutuhkan persetujuan pimpinan,” ujar Hanafi.
Menurut dia, UU PDP sudah menjadi kebutuhan mendesak sehingga DPR harus segera menyetujuinya untuk disahkan. Kebocoran data yang terus berulang dan menyasar jutaan penduduk Indonesia tidak boleh dianggap remeh karena dapat mengganggu stabilitas negara.