MPR Minta Pemerintah Usut Dugaan Kebocoran Data 279 Juta Penduduk
Data 279 juta penduduk Indonesia bocor dan diperjualbelikan dalam forum peretas, Raids Forum. Pemerintah didesak menyelidiki dengan tuntas kebocoran data penduduk yang diduga berasal dari daftar anggota BPJS Kesehatan.
Oleh
RINI KUSTIASIH/IQBAL BASYARI
·4 menit baca
JAKARTA, KOMPAS — Ketua Majelis Permusyawaratan Rakyat Bambang Soesatyo mendesak pemerintah untuk menginvestigasi secara tuntas dugaan kebocoran data 279 juta penduduk Indonesia. Kebocoran data pribadi itu menunjukkan tidak kuatnya perangkat hukum keamanan siber di Indonesia.
”Kementerian Komunikasi dan Informatika bersama perangkat Polri, seperti Bareskrim dan Direktorat Tindak Pidana Siber, serta Badan Siber dan Sandi Negara (BSSN) harus menginvestigasi secara tuntas dugaan kebocoran data 279 juta penduduk Indonesia yang dijual di forum peretas, Raids Forum, 12 Mei lalu,” kata Bambang saat dihubungi dari Jakarta, Jumat (21/5/2021).
Merujuk pada analisis pakar digital forensik, Ruby Alamsyah, dari satu juta sampel data yang diteliti menunjukkan adanya kecenderungan data itu memuat informasi pribadi peserta jaminan sosial kesehatan. Hal itu dibuktikan dengan adanya informasi ”nama penanggung” dan ”nomor kartu”, seperti formulir jaminan sosial kesehatan yang dikelola BPJS Kesehatan.
Menurut Bambang, kebocoran data tersebut bukanlah persoalan kecil. Sebab, di era teknologi informasi saat ini, data merupakan kekayaan nasional yang patut dijaga. Masih adanya kebocoran data pribadi menunjukkan perangkat hukum keamanan siber Indonesia tidak kuat.
”Kedaulatan terhadap data menunjukkan kedaulatan sebuah bangsa. Bahkan, Presiden Joko Widodo menegaskan data adalah new oil, lebih berharga dari minyak,” ujarnya.
Juru Bicara Menteri Komunikasi dan Informatika Dedy Permadi, saat dikonfirmasi mengenai kasus kebocoran data 279 juta penduduk Indonesia, mengatakan, pihaknya masih akan mendalami kasus tersebut.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar meminta agar Kemenkominfo segera meminta BPJS Kesehatan memberikan informasi lebih lanjut perihal jumlah data pribadi penduduk yang terdampak. Selain itu, BPJS Kesehatan juga perlu menginformasikan data apa saja yang bocor sekaligus langkah-langkah apa saja yang telah diambil untuk menangani dan mencegah terulangnya insiden kebocoran data pribadi.
”BPJS Kesehatan dan kementerian terkait harus mengevaluasi dan meningkatkan kebijakan internal mengenai tata kelola perlindungan dan keamanan data yang sesuai dengan prinsip-prinsip perlindungan data pribadi serta keamanan siber,” ujarnya.
BSSN juga perlu menginvestigasi secara mendalam insiden kebocoran data yang jumlahnya setara dengan jumlah penduduk Indonesia tersebut. Hasil dari investigasi itu nantinya bisa menjadi bahan rekomendasi penggunaan sistem keamanan yang andal dalam pemanfaatan data kependudukan oleh BPJS Kesehatan.
Kekosongan hukum
Di sisi lain, bocornya data pribadi itu juga menunjukkan pentingnya akselerasi pengesahaan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) yang saat ini masih dalam proses pembahasan bersama antara Dewan Perwakilan Rakyat dan Pemerintah.
”Kekosongan hukum perlindungan data pribadi yang komprehensif telah memunculkan sejumlah permasalahan dalam tata kelola perlindungan data, baik pada sektor publik, termasuk di dalamnya kementerian/lembaga, maupun sektor privat,” kata Wahyudi.
Ia menilai, peraturan perlindungan data pribadi saat ini belum secara spesifik menjamin hak-hak subyek data, termasuk langkah-langkah yang dilakukan ketika terjadi kebocoran data pribadi. Situasi ini dapat dilihat dari ketidakjelasan proses notifikasi (kebocoran), ketidakjelasan proses penanganan, ketidakjelasan proses investigasi, ketidakjelasan pembagian tanggung jawab dalam penanganan, ketidakjelasan mekanisme komplain, dan ketidakjelasan proses penyelesaian.
”Akibatnya, insiden serupa terus berulang karena ketiadaan proses pengungkapan yang tuntas dan akuntabel dari setiap insiden sebagai upaya untuk mencegah terjadinya insiden serupa di masa mendatang,” tutur Wahyudi.
Kondisi tersebut kian diperparah dengan kuatnya sektoralisme pengaturan perlindungan data pribadi yang berlaku di Indonesia. Studi ELSAM pada 2020 mengidentifikasi sedikitnya terdapat 46 undang-undang sektoral yang materinya terkait dengan data pribadi. Adapun sektor yang terkait adalah sektor kependudukan, kesehatan, teknologi informasi dan komunikasi, perdagangan, serta keuangan dan perbankan.
”Ironisnya, berbagai legislasi sektoral tersebut belum ada rumusan definisi data pribadi dan jenis data pribadi yang seragam dan memadai,” katanya.
Keberadaan UU Perlindungan Data Pribadi, menurut Wahyudi, akan mengatur secara lebih jelas kewajiban pengendali dan pemroses data pribadi, termasuk di dalamnya badan publik—lembaga negara dan sektor swasta.
Secara umum, badan publik yang bertindak sebagai pengendali data memiliki kewajiban untuk menjaga infrastruktur keamanan data pribadi pengguna layanannya yang meliputi penerapan pseudonimitas dan enkripsi data pribadi. Selain itu, juga memberikan jaminan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan.
Kewajiban lain lembaga pengendali data adalah memulihkan ketersediaan dan akses ke data pribadi dalam waktu yang tepat saat terjadi insiden fisik atau teknis seperti kebocoran data. Pengendali data pun wajib menerapkan proses pemantauan dan evaluasi secara teratur serta audit terhadap efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan data. Selain itu, juga memastikan setiap pengendali dan pemroses data pribadi menyediakan fungsi data protection officer yang memiliki wewenang dan tanggung jawab dalam pengelolaan data pribadi sesuai dengan prinsip perlindungannya.