Masyarakat Permasalahkan Pemerintah Tak Cermat Kelola Data Pribadi
Masyarakat sipil yang tergabung dalam Periksa Data menduga ada pelanggaran hukum yang dilakukan sejumlah institusi pemerintah yang sebabkan data peserta BPJS Kesehatan diduga bocor.
Oleh
Kurnia Yunita Rahayu
·5 menit baca
JAKARTA, KOMPAS — Sekelompok masyarakat sipil berencana menggugat Kementerian Komunikasi dan Informatika, Badan Siber dan Sandi Negara, serta Badan Penyelenggara Jaminan Sosial Kesehatan atas dugaan pelanggaran dalam penanganan kasus kebocoran data pribadi peserta BPJS Kesehatan. Ketiga lembaga dinilai melanggar asas dasar dalam pengelolaan data serta tata kelola pemerintahan yang baik.
Periksa Data, komunitas pemuda pemerhati hak sipil dan teknologi, mengirimkan kajian dugaan pelanggaran hukum ke Kementerian Komunikasi dan Informatika (Kominfo), Badan Siber dan Sandi Negara (BSSN), dan Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan pada Kamis (17/6/2021). Hal itu merupakan upaya administratif sebelum melayangkan gugatan perbuatan melawan hukum atas ketiga instansi tersebut dalam menangani kebocoran data pribadi yang dikelola BPJS Kesehatan pada Mei lalu. Dugaan tersebut didasarkan pada prinsip tata kelola data (data governance) dan tata kelola pemerintahan yang baik (good governance).
Pada Mei lalu, akun Kotz memasarkan data pribadi penduduk yang identik dengan data milik BPJS Kesehatan di situs forum peretas Raid Forums. Kotz mengklaim memiliki data 279 juta penduduk dengan sampel 1 juta data.
Pegiat Periksa Data, Teguh Aprianto, dalam konferensi pers daring Kamis sore, menduga, BPJS Kesehatan lalai mengelola data karena tidak membuat sistem keamanan yang optimal. Sebelumnya, BPJS Kesehatan mengklaim sudah memiliki sistem pengamanan yang terstandar. Hal itu dibuktikan dengan kepemilikan sertifikat ISO 27001.
Menurut dia, kepemilikan sertifikat ISO 27001 tidak bisa dijadikan klaim jaminan sistem keamanan pengelolaan data. Lembaga yang sudah mengantongi sertifikat itu semestinya mengawasi sistem keamanan secara berkala. Dengan sistem keamanan berkala, indikasi peretasan seharusnya bisa dideteksi.
Jika indikasi akses ilegal tidak terdeteksi, infrastruktur keamanan sistem pengelolaan data (lembaga) itu buruk. Jika infrastrukturnya baik, akan ada pemberitahuan ke admin jika ada akses ilegal. (Teguh)
Sebab, peretasan untuk mengambil 279 juta data pribadi penduduk membutuhkan waktu lama. Dengan supercomputer, kata Teguh, pelaku membutuhkan waktu beberapa jam. Sementara itu, jika pelaku menggunakan komputer standar, ia membutuhkan waktu beberapa hari.
”Artinya, jika indikasi akses ilegal tidak terdeteksi, infrastruktur keamanan sistem pengelolaan data (lembaga) itu buruk. Jika infrastrukturnya baik, akan ada pemberitahuan ke admin jika ada akses ilegal,” ujar Teguh.
Ia melanjutkan, pengelola data juga semestinya mengantisipasi kebocoran data dengan mengenkripsinya. Dengan enkripsi, kalaupun peretasan terjadi, data yang bocor bukanlah data asli karena sudah diacak dan dikonversi sedemikian rupa. Namun, pada sampel yang dijual di Raid Forums, data terpampang dengan jelas.
Teguh menduga, tidak ada enkripsi yang dilakukan oleh BPJS Kesehatan. Hal itu bertentangan dengan Peraturan Menkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Pada Pasal 15 Ayat (2) Permenkominfo No 20/2016, dijelaskan bahwa data pribadi yang disimpan dalam sistem elektronik harus dalam bentuk data terenkripsi.
Namun, kata Teguh, pada sampel yang dijual di Raid Forums, data terpampang dengan jelas. Itu berarti, proses enkripsi tidak dilakukan.
Ari Sembiring, pegiat Periksa Data, mengatakan, ketiga lembaga itu juga telah melanggar tiga asas tata kelola pemerintahan yang baik. ”Dari sisi good governance telah melanggar asas kecermatan, keterbukaan, dan pelayanan yang baik,” ujarnya.
Ia melanjutkan, pelanggaran asas kecermatan yang dimaksud terjadi karena penjualan data pribadi yang diduga milik peserta BPJS Kesehatan di situs forum peretas Raid Forums sejak 12 Mei 2021. Namun, pemerintah baru merespons setelah kabar tersebut beredar di media sosial. Hingga lebih dari satu bulan kebocoran terjadi, baik Kominfo, BSSN, maupun BPJS Kesehatan pun belum pernah memberikan klarifikasi yang jelas terkait benar atau tidaknya kebocoran dan jumlah data yang bocor.
Menurut Ari, setiap lembaga justru terkesan saling lempar tanggung jawab atas permasalahan ini. Kominfo meminta publik mencari kejelasan di BSSN, sedangkan BSSN menyatakan menunggu pernyataan BPJS Kesehatan. Sementara itu, BPJS Kesehatan berdalih proses ini tengah ditangani Badan Reserse Kriminal (Bareskrim) Polri sehingga informasi terkait bermuara di Bareskrim, pihak yang tidak terkait langsung dengan pengelolaan data.
”Ini membingungkan bagi publik. Publik (yang menjadi korban) harus meminta pertanggungjawaban kepada siapa,” kata Ari.
Periksa Data mendesak Kominfo, BSSN, dan BPJS Kesehatan mengakui telah gagal melindungi data pribadi penduduk. Sistem kerja dan fungsi lembaga terkait perlindungan data pribadi juga perlu ditinjau ulang.
Oleh karena itu, Periksa Data mendesak Kominfo, BSSN, dan BPJS Kesehatan mengakui telah gagal melindungi data pribadi penduduk. Sistem kerja dan fungsi lembaga terkait perlindungan data pribadi juga perlu ditinjau ulang.
Ari melanjutkan, pemerintah sebaiknya segera menyusun cetak biru perlindungan data pribadi. Hal itu bisa dipelajari dari sejumlah negara yang telah mendesain standar perlindungan data pribadi warganya secara komprehensif.
Diberitakan sebelumnya, rancangan perlindungan data pribadi telah disusun dalam Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP). RUU tersebut sudah dibahas oleh pemerintah dan DPR sejak September 2020. Pembahasannya terhenti pada April 2021 karena terbentur masa reses. Karena sudah lewat dua masa sidang, kelanjutan pembahasannya harus diputuskan pimpinan DPR melalui rapat Badan Musyawarah (Bamus). Namun hingga saat ini, Bamus belum memutuskan kelanjutan pembahasan.
Secara substansi, pembahasan juga mandek karena pemerintah dan DPR belum menyepakati tentang pembentukan otoritas perlindungan data. Pemerintah ingin agar otoritas berada di bawah Kominfo, sedangkan DPR berpendapat, otoritas itu harus dibuat secara independen.
Penyidikan atas dugaan kebocoran data BPJS Kesehatan terus berlanjut. Direktur Tindak Pidana Siber Bareskrim Polri Brigadir Jenderal (Pol) Slamet Uliandi mengatakan, pihaknya saat ini tengah menguji digital forensik sejumlah perangkat milik BPJS Kesehatan.
Ekstraksi data
Sementara itu, penyidikan atas dugaan kebocoran data BPJS Kesehatan terus berlanjut. Direktur Tindak Pidana Siber Bareskrim Polri Brigadir Jenderal (Pol) Slamet Uliandi mengatakan, pihaknya saat ini tengah menguji digital forensik sejumlah perangkat milik BPJS Kesehatan. ”Kami juga sedang mengekstrak data untuk mencocokkan, apakah data yang dijual (di Raid Forums) itu sesuai dengan data milik BPJS Kesehatan,” ujarnya.
Sebelumnya, polisi sudah memeriksa 15 saksi yang berasal dari pihak pejabat BPJS Kesehatan, vendor penyedia teknologi informasi di BPJS Kesehatan, dan BSSN.
Penyidik juga sudah menemukan profil akun Kotz yang memasarkan data pribadi penduduk tersebut di BPJS Kesehatan. Profil yang dimaksud termasuk akun aset kripto yang dimiliki Kotz.
Selain itu, penyidik telah mengirim permohonan penyitaan peladen atau server BPJS Kesehatan ke Pengadilan Negeri Surabaya, Jawa Timur. Sebab, peladen yang dimaksud berada di Surabaya.