Dugaan Kebocoran 279 Juta Data Pribadi Penduduk: Makin Pentingnya Akselerasi Pengesahan RUU Pelindungan Data Pribadi

Siaran Pers ELSAM

 Dugaan Kebocoran 279 Juta Data Pribadi Penduduk:
Makin Pentingnya Akselerasi Pengesahan RUU Pelindungan Data Pribadi

Tepat satu tahun setelah Daftar Pemilih Tetap (DPT) dikabarkan bocor pada Mei 2020, dugaan kebocoran data pribadi penduduk kembali terulang. Pada 12 Mei 2021, 279 juta data pribadi penduduk dilaporkan bocor dan dijual di Raid Forums, sebuah forum hacker, oleh akun bernama kotz. Data tersebut berisi nama lengkap, KTP, nomor telepon, email, NID, dan alamat. Lebih dari itu, 20 juta data pribadi diantaranya, dilengkapi dengan foto pribadi penduduk. Kotz juga memberikan sampel data sebanyak satu juta secara cuma-cuma dengan memberikan tiga tautan link beserta kata sandi yang diperlukan. Ia juga memberikan keterangan bahwa data yang dimilikinya termasuk data pribadi penduduk yang telah meninggal dunia. Sebuah akun Twitter, @Br__AM dengan melampirkan tangkapan layar percakapannya bersama akun Telegram kotz, menyebutkan bahwa data yang dimiliki kotz bersumber dari BPJS Kesehatan. Mengenai insiden kebocoran data pribadi ini, Kepala Humas BPJS Kesehatan, Iqbal Anas Ma’ruf, menegaskan bahwa saat ini sedang dilakukan penelusuran lebih lanjut guna memastikan apakah data yang bocor tersebut berasal dari BPJS Kesehatan atau bukan.

Terus berulangnya insiden kebocoran data pribadi ini, memperlihatkan semakin pentingnya akselerasi pengesahan RUU Pelindungan Data Pribadi (RUU PDP), yang saat ini masih dalam proses pembahasan bersama antara DPR dengan Pemerintah. Kekosongan hukum pelindungan data pribadi yang komprehensif telah memunculkan sejumlah permasalahan dalam tata kelola pelindungan data, baik pada sektor publik, termasuk di dalamnya kementerian/lembaga, maupun sektor privat. Peraturan pelindungan data pribadi saat ini juga belum secara spesifik menjamin hak-hak dari subjek data, termasuk juga langkah-langkah ketika terjadi insiden kebocoran data pribadi. Situasi ini dapat dilihat dari ketidakjelasan proses notifikasi (kebocoran), ketidakjelasan proses penanganan, ketidakjelasan proses investigasi, ketidakjelasan pembagian tanggung jawab dalam penanganan, ketidakjelasan mekanisme komplain, dan ketidakjelasan proses penyelesaian. Akibatnya, insiden serupa terus berulang, karena ketiadaan proses pengungkapan yang tuntas dan akuntabel dari setiap insiden, sebagai upaya untuk mencegah terjadinya insiden serupa di masa mendatang.

Kondisi tersebut kian diperparah dengan kuatnya sektoralisme pengaturan pelindungan data pribadi yang saat ini berlaku di Indonesia. Studi ELSAM (2020) mengidentifikasi sedikitnya terdapat 46 undang-undang sektoral yang materinya terkait dengan data pribadi, baik sektor kependudukan, kesehatan, teknologi informasi dan komunikasi, perdagangan, maupun keuangan dan perbankan. Sayangnya dari berbagai legislasi sektoral tersebut belum didapatkan rumusan definisi data pribadi dan jenis data pribadi yang seragam dan memadai. Termasuk juga materinya belum selaras dengan prinsip-prinsip dalam perlindungan data; ketidakjelasan dasar hukum pemrosesan data; ketidaksatuan pengaturan pemrosesan data; ketidakjelasan pengaturan perihal kewajiban pengendali dan pemroses data; kekosongan jaminan perlindungan hak-hak subjek data; dan ketiadaan lembaga yang secara khusus berfungsi sebagai regulator, pengendali, dan pengawas, termasuk penyelesaian sengketa perlindungan data. Sebagai contoh problem definisi data pribadi dalam UU Administrasi Kependudukan, yang mengualifikasikan data pribadi hanya terbatas pada data pribadi yang spesifik, sedangkan elemen data kependudukan lainnya, dikatakan sebagai data kependudukan, bukan bagian dari data pribadi yang tunduk pada instrumen dan mekanisme perlindungan data.

Dalam konteks kebocoran data kependudukan, menilik kejadian kebocoran data pribadi penduduk di Korea Selatan pada tahun 2014, pada saat itu terdapat sekitar 20 juta data pribadi penduduk Korea Selatan, termasuk presiden Korea Selatan saat itu, Park Geun-hye, menjadi korban pencurian data pribadi dari tiga perusahaan kartu kredit. Maraknya kasus pencurian data pribadi dan identitas tersebut bahkan menyebabkan Pemerintah Korea Selatan mempertimbangkan untuk memberikan nomor identitas baru untuk setiap warga negaranya, dengan estimasi biaya mencapai miliaran dolar. Menyadari kerentanan dan dampak negatif yang tinggi dari kebocoran data kependudukan ini, negara-negara yang mengalami kebocoran data kependudukan yang masif, seperti Ekuador, mempercepat pengesahan undang-undang pelindungan data pribadi yang komprehensif di negaranya. Artinya, insiden kebocoran data pribadi kependudukan merupakan satu peristiwa yang serius dengan risiko tinggi, mengingat data kependudukan merupakan alat identifikasi dan otentifikasi utama tiap penduduk, dalam mendapatkan layanan baik dari negara maupun sektor swasta.

Keberadaan UU Perlindungan Data Pribadi akan mengatur secara lebih jelas kewajiban pengendali dan pemroses data pribadi, termasuk juga  di dalamnya badan publik—lembaga negara, dan sektor swasta. Secara umum, badan publik yang bertindak sebagai pengendali data memiliki kewajiban untuk menjaga infrastruktur keamanan data pribadi pengguna layanannya, yang meliputi: (1) penerapan pseudonimitas dan enkripsi data pribadi, (2) memberikan jaminan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan, (3) memiliki kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi dalam waktu yang tepat (tidak menunda-nunda) dalam hal terjadi insiden fisik atau teknis (i.e. kebocoran data), (4) menerapkan proses pemantauan dan evaluasi secara teratur serta audit terhadap efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan data (termasuk menerapkan privacy by design dan data protection impact assessments (DPIAs)); (5) Memastikan setiap pengendali dan pemroses data pribadi menyediakan fungsi data protection officer yang memiliki wewenang dan tanggung jawab dalam pengelolaan data pribadi sesuai dengan prinsip pelindungannya.

Menimbang situasi di atas, terutama dalam situasi kekosongan hukum pelindungan data pribadi yang komprehensif saat ini, Lembaga Studi dan Advokasi Masyarakat (ELSAM) merekomendasikan hal-hal berikut:

  1. Kementerian Komunikasi dan Informatika segera meminta kepada pihak BPJS Kesehatan untuk memberikan informasi lebih lanjut perihal jumlah data pribadi penduduk yang terdampak, data apa saja yang bocor, dan langkah-langkah apa saja yang telah diambil oleh BPJS Kesehatan untuk menangani dan mencegah terulangnya insiden kebocoran data pribadi;
  2. BPJS Kesehatan dan kementerian terkait lainnya mengevaluasi sekaligus meningkatkan kebijakan internal terkait tata kelola pelindungan data dan keamanan data, yang sesuai dengan prinsip-prinsip pelindungan data pribadi dan keamanan siber;
  3. Kementerian Komunikasi dan Informatika, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur dalam PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, juga Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, untuk mengambil langkah dan tindakan terhadap pengendali data selaku penyelenggara sistem dan transaksi elektronik, termasuk mitigasi dan langkah pemulihannya;
  4. Badan Siber dan Sandi Negara (BSSN) melakukan proses investigasi secara mendalam atas terjadinya insiden ini, untuk kemudian dapat memberikan rekomendasi penggunaan sistem keamanan yang handal dalam pemanfaatan data kependudukan oleh BPJS Kesehatan, sebagai bagian dari keamanan sistem pemerintahan berbasis elektronik;
  5. DPR dan Pemerintah untuk segera mempercepat proses pengesahan RUU Pelindungan Data Pribadi, dengan tetap menjamin partisipasi aktif seluruh pemangku kepentingan, sekaligus juga kualitas substansinya. Akselerasi ini penting mengingat banyaknya peristiwa dan insiden terkait dengan eksploitasi data pribadi, oleh karenanya, materi yang dihasilkan nantinya juga harus dapat menjawab berbagai permasalahan di atas.

Jakarta, 20 Mei 2021

Lembaga Studi dan Advokasi Masyarakat (ELSAM)

Untuk informasi lebih lanjut silahkan menghubungi Wahyudi Djafar (Direktur Eksekutif ELSAM), telp: 081382083993, Lintang Setianti (Peneliti ELSAM), telp: 085711624684, atau Shevierra Danmadiyah (Peneliti ELSAM), telp: 081236325338