NIK Presiden Jokowi Dibiarkan Terekspos di Situs KPU
Tereksposnya NIK warga di daring, termasuk NIK Presiden, disebabkan pengendali data belum menerapkan prinsip perlindungan data yang semestinya. Sementara pembahasan RUU Perlindungan Data Pribadi juga masih buntu.
JAKARTA, KOMPAS — Kebocoran data terus terjadi. Tidak berakhir di kebocoran data di aplikasi e-HAC beberapa waktu lalu, kini publik juga kembali ramai dengan beredarnya nomor induk kependudukan para calon presiden dan wakil presiden dalam Pemilu 2019 di media sosial. Komisi Pemilihan Umum mengatakan publikasi data itu telah seizin masing-masing kandidat.
Nomor induk kependudukan (NIK) para calon presiden dan wakil presiden Pemilu 2019 itu itu ditampilkan dalam laman infopemilu2.kpu.go.id. NIK Presiden Joko Widodo dan Wapres Ma’ruf Amin, serta kandidat pesaingnya, yang sekarang menjadi anggota kabinet, Menteri Pertahanan Prabowo Subianto dan Menteri Pariwisata Sandiaga Uno, dengan mudah diakses melalui mesin pencarian di internet. Padahal, NIK seseorang merupakan bagian dari data pribadi seseorang yang semestinya dilindungi oleh negara.
Menanggapi tereksposnya NIK para kandidat presiden dan wapres dalam Pemilu 2019, Ketua Komisi Pemilihan Umum (KPU) Ilham Saputra mengatakan, institusinya telah memegang prinsip-prinsip perlindungan data pribadi. ”Pada prinsipnya KPU RI dalam menjalankan tahapan pencalonan memegang prinsip-prinsip perlindungan data pribadi. Dalam konteks pencalonan Presiden Pemilu 2019, untuk publikasi syarat calon, KPU meminta persetujuan tertulis dari masing-masing pasangan calon,” ujarnya, Jumat (3/9/2021).
Sesuai Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang perlindungan data pribadi dalam sistem elektronik, pengolahan hingga penampilan data pribadi harus melalui persetujuan pemilik data pribadi. Sementara Rancangan Undang-undang Perlindungan Data Pribadi sampai saat ini belum juga tuntas dibahas di Dewan Perwakilan Rakyat. Di dalam rancangan itu diatur bahwa pengendali data saat melakukan pemrosesan data pribadi
wajib menjaga kerahasiaan data pribadi.
Baca juga: Pakar Duga Data Pribadi Sebagian Penduduk yang Terekspos Kian Lengkap
Fenomena data pribadi warga negara yang minim perlindungan ini, menurut Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar, dikarenakan pengendali data belum menerapkan prinsip-prinsip perlindungan data yang semestinya.
Menurut dia, data pribadi adalah data yang dapat merujuk atau mengidentifikasikan seseorang secara langsung. Dalam pengertian ini, NIK adalah data pribadi yang dapat secara langsung merujuk kepada identitas seorang warga negara. Pada posisi ini, NIK semestinya merupakan data yang harus dirahasiakan atau dienkripsikan, dan tidak boleh dipampangkan begitu saja di depan umum, dan bisa diakses siapa saja.
”Seharusnya, memang NIK itu hanya dapat diketahui oleh instansi tertentu yang diberi kewenangan oleh undang-undang, atau oleh pihak lain yang memang seizin pemilik data. Tetapi, itu bukan berarti NIK itu bisa diketahui oleh umum, dan bebas diakses. Sebab, data NIK itu akan merujuk kepada identitas seseorang secara langsung,” katanya.
Memang NIK itu hanya dapat diketahui oleh instansi tertentu yang diberi kewenangan oleh undang-undang, atau oleh pihak lain yang memang seizin pemilik data. Tetapi, itu bukan berarti NIK itu bisa diketahui oleh umum, dan bebas diakses. Sebab, data NIK itu akan merujuk kepada identitas seseorang.
Problem tereksposnya NIK kandidat capres dan cawapres dalam Pemilu 2019 ialah karena konsep data pribadi belum dipahami sedalam itu oleh instansi-instansi publik, termasuk pemilik data itu sendiri. Ketentuan yang mengatur soal data pribadi itu juga belum ada sehingga NIK seolah-olah tidak terlindungi, dan bebas diakses oleh publik dengan dasar telah memperoleh izin dari pemilik data.
Pada awal Agustus lalu pun sudah ada contoh risiko digunakannya NIK warga oleh pihak lain yang menyebabkan warga tersebut nyaris kehilangan haknya memperoleh pelayanan kesehatan. Hal itu dialami Wasit Ridwan, warga Kabupaten Bekasi, yang nyaris gagal memperoleh pelayanan vaksinasi Covid-19 karena NIK miliknya telah digunakan warga asing untuk memperoleh vaksin Covid-19.
Baca juga: NIK Dipakai Warga Asing, Wasit Ridwan Sempat Gagal Vaksin
Menurut Wahyudi, di banyak negara kartu tanda penduduk (KTP) tidak lagi berisi NIK atau social security number karena melalui NIK itulah warga negara mengakses segala fasilitas. Di Indonesia, NIK juga telah dijadikan dasar dalam mengakses fasilitas negara, misalnya dalam pencatatan vaksinasi. Jika NIK seseorang terekspos, dengan mudah pihak lain bisa mengakses sertifikat vaksin orang tersebut sebab angka di dalam NIK itulah yang dijadikan dasar penerbitasn sertifikat vaksin.
”Kalau orang tahu NIK presiden dan nomor telepon presiden, sudah bisa dia buka sertifikat vaksinasi presiden. Sampai sejauh itu dampaknya,” katanya.
Ke depan, menurut Wahyudi, sosialisasi mengenai data pribadi ini harus lebih ditingkatkan, dan dibuat aturan yang jelas untuk melindungi data pribadi warga negara.
Prinsip-prinsip itu, lanjut Wahyudi, semestinya diatur di dalam suatu payung hukum yang kuat, seperti undang-undang. Namun problemnya, UU PDP yang ditunggu-tunggu itu belum ada kepastian pembahasannya sampai sekarang.
Kalaupun belum ada aturan yang kuat, Indonesia sebenarnya bisa menggunakan UU yang ada dulu, yaitu UU Transaksi dan Informasi Elektronik (ITE). Di dalam UU ITE itu diatur kewenangan Kementerian Komunikasi dan Informatika (Kominfo) dan Badan Siber dan Sandi Negara (BSSN) untuk menginvestigasi kebocoran data. Namun, dalam beberapa peristiwa kebocoran data, hasil investigasi dari Kominfo dan BSSN ini tidak pernah dipublikasikan, sehingga publik ataupun pengendali data tidak bisa mengetahui celah keamanan datanya di mana.
”Apakah kebocoran itu terjadi karena human error, atau kelemahan sistem, atau serangan siber dari luar, itu kan mestinya disampaikan hasil evaluasi dan rekomendasinya kepada pengendali data. Dengan demikian, pengendali data dapat belajar dari hasil evaluasi itu. Tujuannya ialah peristiwa yang sama terulang, dan menumbuhkan kesadaran di antara pengendali data untuk mengamankan sistem siber dan pengelolaan data mereka,” ujar Wahyudi.
Solusi jangka panjangnya ialah dengan membentuk UU PDP. Namun, di tengah masih buntunya pembahasan RUU itu antara pemerintah dan DPR, sebaiknya ada upaya evaluasi dan pemberian rekomendasi hasil investigasi dari Kominfo dan BSSN kepada pengendali data. Harapannya, pengendali data belajar dari pengalaman itu, serta meningkatkan sistem keamanan data mereka untuk mencegah berulangnya kebocoran data pribadi warga.
Baca juga: Data Pribadi 2,3 Juta Penduduk Indonesia Bocor
Kepala Lembaga Riset Keamanan dan Komunikasi (Communication and Information System Security Research/CISSReC) Pratama Persadha mengatakan, rendahnya kesadaran pengendali data dalam menerapkan prisip-prinsip keamanan data itu juga tergambar dari lambatnya respons institusi pengendali data dalam menghadapi kebocoran data. Dalam kebocoran data di aplikasi e-HAC yang dikelola Kemenkes, misalnya, respons kementerian lambat sekalipun telah dua kali dilapori oleh vpnMentor, suatu laman pengulas perangkat lunak.
”Respons baru ada saat vpnMentor menghubungi BSSN pada 22 Agustus, dan pada 24 Agustus server eHAC yang bocor di takedown. Seharunya saat 16 Juli Kemenkes pertama kali mendapatkan laporan, mereka bergerak menghubungi vendor dan juga tim IT mereka memeriksa, lalu bersama men-takedown (melumpuhkan) server,” katanya.
Kejadian seperti ini, menurut Persadha, kerap terjadi di lembaga negara ataupun institusi bisnis yang memiliki anggaran besar di sektor keamanan data melalui unit teknologi informasi (TI) mereka. Salah satu solusi ke depannya ialah dengan membentuk UU PDP. Keberadaan regulasi itu akan memberikan daya ikat kepada lembaga negara maupun institusi swasta untuk menguatkan keamanan pada sistem informasinya.
Kejadian seperti ini, menurut Persada, kerap terjadi di lembaga negara ataupun institusi bisnis yang memiliki anggaran besar di sektor keamanan data melalui unit teknologi informasi (TI) mereka. Salah satu solusi ke depannya ialah dengan membentuk UU PDP.
Dengan kasus yang sama seperti ini, lanjut Persadha, di masa depan dengan UU PDP sebuah instansi bisa dikenai ganti rugi dan tuntutan, jika tidak mengindahkan laporan dan ternyata sistem yang dibangun juga sangat lemah. Celah itu bisa dilihat dari lemahnya protokol keamanan dan ketiadaan teknologi enkripsi sehingga semua datanya bisa diambil dan diekspos dengan bebas.
”Data pribadi semakin seksi dan semakin mahal. Apalagi aplikasi e-HAC ini data pribadi orang yang melakukan perjalanan keluar masuk Indonesia. Data yang ada di sana data orang-orang yang kira-kira secara ekonomi sebagian besar mampu. Data ini bisa disalahgunakan, misalnya untuk telemedicine dan telemarketing palsu,” ucapnya.
Keteledoran
Dihubungi terpisah, anggota Komisi I yang juga Wakil Ketua Fraksi Partai Keadilan Sejahtera (PKS), Sukamta, mengatakan, berulangnya kebocoran data ini menunjukkan keteledoran pemerintah. ”Baru Senin kemarin kami rapat dengan Kominfo, kami ingatkan soal keamanan data pribadi warga dalam aplikasi peduli lindungi. Pak Menteri dengan semangat meyakinkan soal pengelolaan keamanan data yang hebat dan dijamin tidak bocor, dalam eHac. Kenyataannya bobol lagi, ini kan konyol. Sementara selama ini kasus kebocoran data yang sudah pernah terjadi, tidak jelas penanganannya seakan menguap dan dilupakan. Jika seperti ini terus yang terjadi, masyarakat sangat dirugikan,” ujarnya.
Baca juga: Ironi dari DPR, Minta Kebocoran Data Diatasi, tetapi RUU Perlindungan Data Pribadi Digantung
Lebih lanjut, Sukamta meminta pemerintah melakukan proses audit terhadap semua sistem penyimpanan data serta mendorong kerja sama terpadu antarpengelola data ataupun ahli TI supaya kebocoran data tidak terus berulang dan merugikan masyarakat. ”Jangan sampai ada pembiaran soal keamanan data. Kominfo dan BSSN harus proaktif melakukan audit sistem keamanan data secara berkala. Di Indonesia ada banyak ahli TI yang mestinya bisa dilibatkan untuk memperkuat pengamanan data,” katanya.
Namun, sampai saat ini belum ada jadwal pembahasan kembali RUU PDP di DPR. Sukamta mengatakan, penuntasan pembahasan RUU PDP itu akan tergantung pada komitmen pemerintah. Saat ini, baik pemerintah maupun DPR belum mendapatkan titik temu terkait dengan pembahasan RUU tersebut. DPR menginginkan agar lembaga pengawas PDP bersifat independen dan berada di bawah presiden langsung, tetapi pemerintah menginginkan lembaga itu di bawah Kominfo.