Tekno & Sains
·
10 Juni 2021 12:28
·
waktu baca 3 menit

Menyoal Kebocoran Data Pemerintah

Konten ini diproduksi oleh Claudio Faldo M
Menyoal Kebocoran Data Pemerintah (167508)
Data Protection / Source: Shutterstock
Narasi publik terkait ancaman kebocoran data pribadi selama ini terlalu difokuskan pada perusahaan-perusahaan internet besar (big tech), tetapi luput pada keamanan data yang dikelola pemerintah.
ADVERTISEMENT
Belakangan terdapat beberapa kasus kebocoran data oleh pemerintah yang perlu mendapat perhatian: kebocoran data warga yang terdiri dari nomor KK dan NIK oleh Pemkab Magelang pada situs "open data" miliknya, dan kebocoran 279 juta data kependudukan di sebuah forum online, yang ditengarai berasal dari BPJS Kesehatan. Keduanya saat ini dalam tahap penyelidikan oleh kepolisian.
Masyarakat barangkali lebih bersimpati terhadap kebocoran atau eksploitasi data pribadi oleh perusahaan-perusahaan internet besar di dunia, walaupun kebocoran data oleh pemerintah sebetulnya bukan hal yang asing terjadi.
Pandangan tersebut dapat dimengerti, menimbang pengumpulan data yang dilakukan oleh pemerintah dan swasta memiliki sifat dan tujuan yang berbeda.
Data pribadi yang disampaikan kepada swasta seringkali bersifat lebih personalized (data geolokasi, riwayat pencarian, pembelian barang, dsb), sedangkan data pada pemerintah sifatnya lebih generic (data kependudukan, penghasilan, riwayat pajak, dan lain-lain).
ADVERTISEMENT
Pemanfaatan data oleh swasta dilakukan dalam rangka peningkatan layanan dan monetisasi. Sedangkan pada pemerintah untuk memperoleh akses pelayanan publik dan kebutuhan dasar.
Hal ini yang kemudian menyebabkan kebocoran data oleh swasta menjadi lebih sensitif, karena data yang diserahkan seakan lebih "pribadi."
Namun, kondisi tersebut bukan berarti menghilangkan kewajiban pemerintah dalam melindungi data yang dikelolanya dan menjadikan kebocoran data pemerintah suatu kewajaran. Keduanya membutuhkan perhatian yang sama besarnya.

Rezim Pengaturan

Rancangan Undang-Undang Perlindungan Data Pribadi telah masuk ke dalam Prolegnas tahun 2020 dan berlanjut di tahun ini.
Berdasarkan naskah draft tersebut, badan publik dan instansi penyelenggara negara telah tercakup dalam ruang lingkup pengaturan dan secara garis besar telah diatur kewajiban pengelola data serta hak pemilik data pribadi.
ADVERTISEMENT
Beberapa pendalaman perlu dilakukan pada tingkat Undang-Undang maupun aturan turunan Peraturan Pemerintah nantinya, di antaranya terkait tugas dan fungsi otoritas perlindungan data pribadi, pengecualian hak pemilik data, serta mekanisme ganti rugi.
Bagaimana dengan pengenaan sanksi terkait kebocoran data oleh pemerintah? Independensi pemerintah menjadi dipertanyakan menimbang pemberi sanksi dan penyelenggaraan perlindungan data pribadi dijalankan oleh Menkominfo, ditambah tidak adanya komisi independen yang mengawasi.

Kehati-hatian dalam Demokratisasi Data

Demokratisasi data mulai gencar dilakukan oleh swasta dan pemerintah. Pemanfaatan data secara siloed (terpusat dan terisolasi) perlahan beralih kepada sistem manajemen data yang sifatnya integratif. Dalam konteks swasta, hal ini kemudian mempercepat pengambilan keputusan dengan data yang dapat diandalkan oleh lintas unit bisnis.
Pendekatan ini juga mulai dikembangkan oleh pemerintah, melalui berbagai inisiatif open data atau portal data terpadu dalam kerangka smart government yang ditujukan meningkatkan partisipasi dan pengawasan publik serta pemanfaatan antar instansi.
ADVERTISEMENT
Namun yang perlu diperhatikan adalah bagaimana tata kelola (governance) dari sistem tersebut mampu meminimalisasi risiko kebocoran data pribadi. Beberapa hal yang dapat dilakukan, di antaranya:
1. Setiap instansi yang memperoleh, menyimpan, mengelola, dan mentransmisikan data pribadi dalam skala tertentu diwajibkan untuk menerapkan dan berpedoman pada prosedur keamanan dan standar ISO 27001 terkait Sistem Manajemen Keamanan Informasi, dengan audit yang dilaksanakan secara rutin.
2. Upaya penanganan dan pengelolaan data hendaknya diimbangi dengan peningkatan postur anggaran keamanan siber yang memadai. Anggaran tersebut dapat digunakan untuk membangun kapabilitas SDM dan infrastruktur untuk pengelolaan sistem dan proteksi terhadap ancaman eksternal seperti serangan siber.
3. Perlu dilakukan pula identifikasi risiko dalam hubungan antar stakeholders guna memitigasi risiko kebocoran data, baik secara internal terkait pemberian dan kewenangan akses, maupun secara eksternal misalnya dalam penggunaan pihak ketiga (kontraktor atau vendor) pengelolaan sistem informasi suatu instansi.
ADVERTISEMENT
Pada tataran personal, individu yang memberikan informasi pribadi tentang dirinya menjadi sangat rapuh (vulnerable) di hadapan penerima informasi. Individu memberi kepercayaannya agar informasi yang diberikan dapat dilindungi atau digunakan hanya untuk peruntukannya.
Sehingga perlindungan data pribadi perlu dilakukan bagi setiap instansi yang mengelola dan memanfaatkannya. Bukan hanya pada pelaku swasta, tanggung jawab yang sama perlu dijalankan dengan baik oleh penyelenggara negara.