Data Mahasiswa UNDIP Bocor: RUU Pelindungan Data Pribadi Penting Segera Disahkan

Siaran Pers ELSAM

Data Mahasiswa UNDIP Bocor: RUU Pelindungan Data Pribadi Penting Segera Disahkan

Awal tahun 2021 kembali dikejutkan dengan informasi insiden kebocoran data pribadi mahasiswa Universitas Diponegoro (UNDIP), Semarang, yang terungkap pada Selasa, 5 Januari 2021. Sebagaimana dilansir Cyberthreat.id (5/1), lebih dari 125 ribu data mahasiswa UNDIP mulai dari angkatan 2010 sampai dengan 2017 dikabarkan bocor. Termasuk data nama lengkap, jurusan, jalur masuk universitas, tanggal lahir, nomor ponsel, alamat tempat tinggal, kota asal, asal sekolah, status perkawinan, nama orang tua, pekerjaan orang tua, penghasilan orang tua, dan pendidikan orang tua. Insiden ini mengingatkan insiden serupa yang terjadi di Malaysia pada 2019 lalu, ketika data pribadi mahasiswa dari berbagai universitas di Malaysia mengalami kebocoran massif.

Melihat dari ruang lingkup data pribadi yang bocor, dampak terhadap hak atas privasi mahasiswa UNDIP akan sangat tinggi, mengingat bahwa data-data tersebut merupakan data pribadi yang lumrah digunakan untuk kebutuhan verifikasi identitas (i.e. sektor perbankan, keuangan, dan berbagai layanan lainnya), sehingga rentan disalahgunakan untuk  pencurian identitas atau peretasan akun. Lebih lanjut lagi, kebocoran data pribadi dikabarkan terjadi karena lemahnya sistem keamanan data pribadi yang diimplementasikan oleh pihak UNDIP, dimana “Password mahasiswa yang bocor tersebut hanya dienkripsi dengan metode hash MD5 yang sangat mudah untuk didekripsi dengan menggunakan tools online”.

Dari insiden kebocoran data pribadi ini, Lembaga Studi dan Advokasi Masyarakat (ELSAM) menilai semakin pentingnya akselerasi pembahasan RUU Pelindungan Data Pribadi (RUU PDP). Sebelumnya, RUU PDP ditargetkan disahkan pada akhir 2020, namun pada akhirnya prosesnya harus diperpanjang hingga 2021, mengingat ketidakefektifan proses pembahasan selama pandemi COVID-19. Tidak adanya UU PDP yang komprehensif hari ini, telah berdampak pada berbagai permasalahan ketidakpastian hukum dalam pelindungan data pribadi, terutama terkait dengan kejelasan kewajiban pengendali dan prosesor data, hak-hak subjek data, serta penanganan ketika terjadi insiden kebocoran data.

Sejauh ini, meski ada sedikitnya 46 undang-undang di Indonesia yang materinya terkait dengan data pribadi, namun belum ada kesamaan definisi data pribadi dan jenis data pribadi. Termasuk juga ketidakselarasan prinsip-prinsip dalam perlindungan data; ketidakjelasan dasar hukum pemrosesan data; ketidaksatuan pengaturan pemrosesan data; ketidakjelasan pengaturan perihal kewajiban pengendali dan prosesor data; kekosongan jaminan perlindungan hak-hak subjek data; dan ketiadaan lembaga independen yang berfungsi sebagai regulator, pengendali, dan pengawas, termasuk penyelesaian sengketa. Lebih jauh, sebagai akibat dari kekosongan hukum ini, pengendali data belum sepenuhnya menjalankan kewajiban sebagai pengendali data, termasuk tindakan yang harus diambil ketika terjadi kebocoran data pribadi.

Dalam konteks keamanan data pribadi, pengendali data memiliki kewajiban untuk menjaga infrastruktur keamanan data pribadi pengguna layanannya, yang meliputi: (1) penerapan pseudonimitas dan enkripsi data pribadi, (2) pemberian jaminan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan, (3) memiliki kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi dalam waktu yang tepat (tidak menunda-nunda) dalam hal terjadi insiden fisik atau teknis (i.e. kebocoran data), (4) penerapan proses pemantauan dan evaluasi secara teratur serta audit terhadap efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan (termasuk menerapkan Privacy by Design dan Data Protection Impact Assessments (DPIAs)).

Lebih jauh, kekosongan hukum pelindungan data pribadi yang komprehensif juga telah memunculkan sejumlah permasalahan dalam penanganan kebocoran data pribadi. Permasalahan ini mengemuka khususnya terkait dengan ketidakjelasan proses notifikasi, ketidakjelasan proses penanganan, ketidakjelasan proses investigasi, ketidakjelasan pembagian tanggung jawab dalam penanganan, ketidakjelasan mekanisme komplain, dan ketidakjelasan proses penyelesaian.

Dengan terus berulangnya insiden kebocoran data pribadi, dan terus meningkatnya risiko insiden tersebut pada masa mendatang, tanpa pernah dilakukan penanganan secara tuntas, ELSAM menekankan beberapa hal berikut ini:

  1. Kementerian Komunikasi dan Informatika, meminta kepada pihak UNDIP untuk memberikan informasi lebih lanjut terkait jumlah data mahasiswa yang terdampak, ruang lingkup data pribadi yang bocor, dan langkah-langkah apa saja yang telah diambil oleh pihak UNDIP untuk menangani dan mencegah terulangnya insiden kebocoran data pribadi mahasiswa UNDIP;
  2. Badan Siber dan Sandi Negara (BSSN) melakukan proses investigasi secara mendalam atas terjadinya insiden ini, untuk kemudian dapat memberikan rekomendasi penggunaan sistem keamanan yang handal dalam pengelolaan data mahasiswa, sebagai bagian dari keamanan sistem pemerintahan berbasis elektronik;
  3. Kementerian Komunikasi dan Informatika, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, untuk mengambil langkah dan tindakan terhadap pengendali data selaku penyelenggara sistem dan transaksi elektronik, termasuk mitigasi dan memastikan pemulihan bagi para subjek data;
  4. Menjelang pembukaan masa persidangan DPR pada 11 Januari 2021 mendatang, DPR dan Pemerintah perlu menyiapkan strategi untuk mengakselerasi proses pembahasan RUU Pelindungan Data Pribadi; dan
  5. Mahasiswa UNDIP yang datanya bocor, untuk mengambil tindakan-tindakan pencegahan untuk mengamankan akun, seperti penggantian password, menyalakan fitur autentikasi 2 langkah (2FA), dst.

Jakarta, 6 Januari 2021

Lembaga Studi dan Advokasi Masyarakat (ELSAM)

Untuk informasi lebih lanjut silahkan menghubungi Wahyudi Djafar (Direktur Eksekutif ELSAM), telp: 081382083993, atau Alia Yofira (Peneliti ELSAM), telp: 081217015759.