Tentang KamiPedoman Media SiberKetentuan & Kebijakan PrivasiPanduan KomunitasPeringkat PenulisCara Menulis di kumparanInformasi Kerja SamaBantuanIklanKarir
2025 © PT Dynamo Media Network
Version 1.103.0
PerbesarADVERTISEMENT
Lagi-lagi kabar bocornya data pribadi penduduk Indonesia mulai dari NIK, nama lengkap, sama KTP mencuat ke publik. Seorang hacker memperdagangkannya di sebuah forum internet.
ADVERTISEMENT
Apa yang semestinya dilakukan mencegah kebocoran itu terulang?
Ada kekhawatiran data pribadi itu dipakai untuk hal yang buruk, oleh pelaku kriminal. Atau bisa saja dimanfaatkan pihak asing untuk pemetaan.
Karena itu menurut Direktur Eksekutif ELSAM, Wahyudi Djafar, terus berulangnya insiden kebocoran data pribadi ini, memperlihatkan semakin pentingnya akselerasi pengesahan RUU Pelindungan Data Pribadi (RUU PDP), yang saat ini masih dalam proses pembahasan bersama antara DPR dengan Pemerintah.
"Kekosongan hukum pelindungan data pribadi yang komprehensif telah memunculkan sejumlah permasalahan dalam tata kelola pelindungan data, baik pada sektor publik, termasuk di dalamnya kementerian/lembaga, maupun sektor privat," beber dia, Jumat (21/5).
Wahyudi menjelaskan, peraturan pelindungan data pribadi saat ini juga belum secara spesifik menjamin hak-hak dari subjek data, termasuk juga langkah-langkah ketika terjadi insiden kebocoran data pribadi.
ADVERTISEMENT
Situasi ini dapat dilihat dari ketidakjelasan proses notifikasi (kebocoran), ketidakjelasan proses penanganan, ketidakjelasan proses investigasi, ketidakjelasan pembagian tanggung jawab dalam penanganan, ketidakjelasan mekanisme komplain, dan ketidakjelasan proses penyelesaian.
"Akibatnya, insiden serupa terus berulang, karena ketiadaan proses pengungkapan yang tuntas dan akuntabel dari setiap insiden, sebagai upaya untuk mencegah terjadinya insiden serupa di masa mendatang," beber dia.
Belum lagi, kondisi tersebut kian diperparah dengan kuatnya sektoralisme pengaturan pelindungan data pribadi yang saat ini berlaku di Indonesia. Studi ELSAM pada 2020 mengidentifikasi sedikitnya terdapat 46 undang-undang sektoral yang materinya terkait dengan data pribadi, baik sektor kependudukan, kesehatan, teknologi informasi dan komunikasi, perdagangan, maupun keuangan dan perbankan.
"Sayangnya dari berbagai legislasi sektoral tersebut belum didapatkan rumusan definisi data pribadi dan jenis data pribadi yang seragam dan memadai," tutur dia.
ADVERTISEMENT
Sebagai contoh problem definisi data pribadi dalam UU Administrasi Kependudukan, yang mengkualifikasikan data pribadi hanya terbatas pada data pribadi yang spesifik, sedangkan elemen data kependudukan lainnya, dikatakan sebagai data kependudukan, bukan bagian dari data pribadi yang tunduk pada instrumen dan mekanisme perlindungan data.
Wahyudi memberi contoh dalam konteks kebocoran data kependudukan, menilik kejadian kebocoran data pribadi penduduk di Korea Selatan pada tahun 2014, pada saat itu terdapat sekitar 20 juta data pribadi penduduk Korea Selatan, termasuk presiden Korea Selatan saat itu, Park Geun-hye, menjadi korban pencurian data pribadi dari tiga perusahaan kartu kredit.
"Maraknya kasus pencurian data pribadi dan identitas tersebut bahkan menyebabkan Pemerintah Korea Selatan mempertimbangkan untuk memberikan nomor identitas baru untuk setiap warga negaranya, dengan estimasi biaya mencapai miliaran dolar," urai dia.
ADVERTISEMENT
Wahyudi membeberkan, menyadari kerentanan dan dampak negatif yang tinggi dari kebocoran data kependudukan ini, negara-negara yang mengalami kebocoran data kependudukan yang masif, seperti Ekuador, mempercepat pengesahan undang-undang pelindungan data pribadi yang komprehensif di negaranya.
"Artinya, insiden kebocoran data pribadi kependudukan merupakan satu peristiwa yang serius dengan risiko tinggi, mengingat data kependudukan merupakan alat identifikasi dan otentifikasi utama tiap penduduk, dalam mendapatkan layanan baik dari negara maupun sektor swasta," tegasnya,
Keberadaan UU Perlindungan Data Pribadi akan mengatur secara lebih jelas kewajiban pengendali dan pemroses data pribadi, termasuk juga di dalamnya badan publik—lembaga negara, dan sektor swasta.
Secara umum, badan publik yang bertindak sebagai pengendali data memiliki kewajiban untuk menjaga infrastruktur keamanan data pribadi pengguna layanannya, yang meliputi:
ADVERTISEMENT
(1) penerapan pseudonimitas dan enkripsi data pribadi,
(2) memberikan jaminan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan,
(3) memiliki kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi dalam waktu yang tepat (tidak menunda-nunda) dalam hal terjadi insiden fisik atau teknis (i.e. kebocoran data),
(4) menerapkan proses pemantauan dan evaluasi secara teratur serta audit terhadap efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan data (termasuk menerapkan privacy by design dan data protection impact assessments (DPIAs));
(5) Memastikan setiap pengendali dan pemroses data pribadi menyediakan fungsi data protection officer yang memiliki wewenang dan tanggung jawab dalam pengelolaan data pribadi sesuai dengan prinsip perlindungannya.
ADVERTISEMENT
Menimbang situasi di atas, terutama dalam situasi kekosongan hukum pelindungan data pribadi yang komprehensif saat ini, Lembaga Studi dan Advokasi Masyarakat (ELSAM) merekomendasikan hal-hal berikut:
1. Kementerian Komunikasi dan Informatika segera meminta kepada pihak BPJS Kesehatan untuk memberikan informasi lebih lanjut perihal jumlah data pribadi penduduk yang terdampak, data apa saja yang bocor, dan langkah-langkah apa saja yang telah diambil oleh BPJS Kesehatan untuk menangani dan mencegah terulangnya insiden kebocoran data pribadi;
2. BPJS Kesehatan dan kementerian terkait lainnya mengevaluasi sekaligus meningkatkan kebijakan internal terkait tata kelola pelindungan data dan keamanan data, yang sesuai dengan prinsip-prinsip pelindungan data pribadi dan keamanan siber;
ADVERTISEMENT
3. Kementerian Komunikasi dan Informatika, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur dalam PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, juga Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, untuk mengambil langkah dan tindakan terhadap pengendali data selaku penyelenggara sistem dan transaksi elektronik, termasuk mitigasi dan langkah pemulihannya;
4. Badan Siber dan Sandi Negara (BSSN) melakukan proses investigasi secara mendalam atas terjadinya insiden ini, untuk kemudian dapat memberikan rekomendasi penggunaan sistem keamanan yang andal dalam pemanfaatan data kependudukan oleh BPJS Kesehatan, sebagai bagian dari keamanan sistem pemerintahan berbasis elektronik;
5. DPR dan Pemerintah untuk segera mempercepat proses pengesahan RUU Pelindungan Data Pribadi, dengan tetap menjamin partisipasi aktif seluruh pemangku kepentingan, sekaligus juga kualitas substansinya. Akselerasi ini penting mengingat banyaknya peristiwa dan insiden terkait dengan eksploitasi data pribadi, oleh karenanya, materi yang dihasilkan nantinya juga harus dapat menjawab berbagai permasalahan di atas.
ADVERTISEMENT
