Kebocoran Databases e-HAC: Pentingnya Otoritas Independen untuk Memastikan Kepatuhan Sektor Publik dalam Pelindungan Data Pribadi

Siaran Pers Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP)

Kebocoran Databases e-HAC: Pentingnya Otoritas Independen untuk Memastikan Kepatuhan Sektor Publik dalam Pelindungan Data Pribadi

Menanggapi kasus-kasus kebocoran data pribadi yang marak terjadi pada sektor publik, seperti kasus kebocoran data pribadi pengguna BPJS Data Kesehatan, dan ditambah lagi kasus baru kebocoran databases e-HAC, Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP) melalui siaran pers ini menyerukan pentingnya otoritas pelindungan data pribadi (OPDP) yang independen. Keberadaan otoritas ini penting guna mendorong kepatuhan sektor publik terhadap prinsip-prinsip pemrosesan data pribadi yang baik. Terkait dengan tujuan tersebut, KA-PDP memberikan beberapa rekomendasi terkait materi dan proses pembahasan RUU Pelindungan Data Pribadi (PDP), juga regulasi teknis implementasinya, belajar dari respon terhadap sejumlah insiden kebocoran data pribadi yang terjadi.

Kaitannya dengan kasus kebocoran databases e-HAC, pada 30 Agustus 2021, sebuah situs pengulas perangkat lunak VPN, vpnMentor, mempublikasikan hasil temuan terkait terjadinya kebocoran data aplikasi e-HAC yang dikelola oleh Kementerian Kesehatan (Kemenkes). Merespons kebocoran ini, Selasa, 31 Agustus 2021, Anas Ma’ruf, Kepala Pusat Data dan Informasi Kemenkes, menyampaikan bahwa kebocoran data terjadi pada aplikasi e-HAC lama, yang sudah tidak digunakan lagi sejak Juli 2021.[1] Temuan adanya kebocoran data pribadi databases aplikasi e-HAC ini pertama kali diketahui vpnMentor pada 15 Juli 2021. Mereka berusaha menginformasikan kepada Kemenkes pada 21 dan 26 Juli 2021, tetapi tidak ditanggapi. Tindak lanjut dan penanggulangan kebocoran data aplikasi e-HAC baru dilakukan 1 bulan kemudian, pada 24 Agustus 2021, ketika vpnMentor menginformasikan temuannya kepada Badan Siber dan Sandi Negara (BSSN).

Lebih lanjut lagi, vpnMentor menyampaikan kebocoran data aplikasi e-HAC terjadi karena “pengembang aplikasi gagal dalam mengimplementasikan protokol privasi data yang memadai”.[2] Tak hanya kebocoran data dari subjek data individu, kebocoran ini menurut vpnMentor juga turut mengungkap “keseluruhan infrastruktur e-HAC, termasuk rekaman pribadi dari berbagai rumah sakit dan pejabat Indonesia yang menggunakan aplikasinya”. Adapun ruang lingkup data pribadi yang bocor mencakup: data hasil tes Covid-19 (termasuk ke dalam kategori data sensitif), data akun e-HAC, data rumah sakit, data pribadi pengguna e-HAC (NIK/paspor, nama lengkap, nomor telp, tanggal lahir, jenis kelamin, alamat, nama orang tua, dst), dan data petugas pengelola e-HAC.

Keseluruhan proses pengumpulan, pemrosesan, dan penyimpanan data pribadi dalam aplikasi e-HAC masuk ke dalam ruang lingkup penyelenggaraan sistem informasi kesehatan dan sistem elektronik. Hal itu sebagaimana diatur PP No. 46/2014 tentang Sistem Informasi Kesehatan (PP SIK), PP No. 71/2019 (PP PSTE), dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo 20/2016). Mengacu pada peraturan tersebut, setiap pemrosesan data pribadi harus sesuai dengan prinsip pelindungan data pribadi, termasuk kewajiban memastikan keamanan data pribadi. Selain itu, dalam hal keamanan sistemnya, e-HAC juga tunduk pada Perpres No. 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik (Perpres SPBE), yang secara teknis operasionalnya telah diatur dalam Peraturan BSSN No. 4/2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik (Peraturan BSSN 4/2021).

Pertama, PP SIK secara tegas mengatur bahwa pengamanan informasi kesehatan dilakukan untuk menjamin agar informasi kesehatan 1) tetap tersedia dan terjaga keutuhannya; dan 2) terjaga kerahasiaannya untuk informasi kesehatan yang bersifat tertutup.[3] Untuk menjaga keamanan dan kerahasiaan informasi kesehatan, Kementerian Kesehatan RI selaku pengelola informasi kesehatan, berkewajiban untuk 1) melakukan pemeliharaan, penyimpanan, dan penyediaan cadangan data dan informasi kesehatan secara teratur; dan 2) membuat sistem pencegahan kerusakan data dan informasi kesehatan.[4]

Kedua, PP PSTE dan Permenkominfo 20/2016 juga secara tegas mengatur bahwa pemrosesan data pribadi harus dilakukan dengan “melindungi keamanan Data Pribadi dari kehilangan, penyalahgunaan, akses dan pengungkapan yang tidak sah, serta pengubahan atau perusakan Data Pribadi.[5] dan penyelenggara sistem elektronik wajib “menjaga kerahasiaan data pribadi”.[6] Selain itu, subjek data juga memiliki hak untuk mendapatkan pemberitahuan secara tertulis dalam hal terjadinya kebocoran data pribadi.[7] Kewajiban Kemenkes RI untuk melakukan pemusnahan data pribadi dalam databases aplikasi e-HAC juga penting untuk digarisbawahi, khususnya mengingat pernyataan Kemenkes RI yang menyatakan bahwa kebocoran data terjadi pada aplikasi e-HAC yang sudah tidak digunakan lagi.[8]

Ketiga, Perpres SPBE telah secara khusus mengatur pengembangan aplikasi umum dan aplikasi khusus oleh pemerintah, termasuk juga sistem keamanannya, yang menjadi salah satu prinsip penting di dalamnya. Pada aspek keamanan, setiap aplikasi pemerintah harus memastikan confidentiality, integrity, dan availability dari sistemnya, juga mekanisme pengendalian keamanan lainnya. Aspek-aspek itu yang kemudian diturunkan sebagai standar teknis dan prosedur keamanan aplikasi pemerintah, yang diatur dalam Pasal 25-29 Peraturan BSSN 4/2021, dengan salah satu tujuannya memastikan fungsi proteksi data (Pasal 27 (7)). Peraturan ini juga mengatur tindakan minimal yang harus dilakukan ketika terjadi insiden keamanan, juga kewajiban untuk melakukan audit keamanan secara berkala.

Meskipun demikian, baik PP SIK, PP PSTE, Permenkominfo 20/2016, Perpres SPBE, dan Peraturan BSSN 4/2021, dapat dikatakan belum memberikan pelindungan yang komprehensif terhadap data pribadi warga negara. Mengingat berbagai peraturan tersebut belum sepenuhnya mengadopsi prinsip-prinsip perlindungan data pribadi, dan cenderung tumpang tindih satu sama lain, sebagaimana sektoralisme pengaturan pelindungan data hari ini. Salah satu aspek yang masih nihil dalam regulasi sektoral saat ini adalah kewajiban pengendali data (Kemenkes RI), untuk memastikan bahwa pemroses data (pengembang aplikasi e-HAC) telah mengimplementasikan upaya-upaya teknis dan organisasional untuk mengamankan data pribadi yang diprosesnya. Selain itu, hak-hak dari subjek data (pengguna aplikasi), termasuk mekanisme pemulihan ketika terjadi pelanggaran juga belum terakomodir dengan baik.

Luputnya pengintegrasian prinsip-prinsip pelindungan data pribadi dalam pengembangan dan operasionalisasi aplikasi e-HAC, khususnya terkait dengan kewajiban memastikan sistem keamanan yang kuat, menunjukan semakin pentingnya akselerasi pembahasan RUU Pelindungan Data Pribadi (RUU PDP). Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP) memandang, tidak adanya UU PDP yang komprehensif telah berdampak pada berbagai permasalahan ketidakpastian hukum dalam pelindungan data pribadi, terutama terkait dengan kejelasan kewajiban pengendali dan pemroses data, pelindungan hak-hak subjek data, serta penanganan ketika terjadi insiden kebocoran data. Oleh karena itu, KA-PDP menekankan sejumlah rekomendasi berikut ini:

    1. Badan Siber dan Sandi Negara (BSSN) melakukan proses investigasi secara mendalam atas terjadinya insiden keamanan ini, untuk kemudian dapat memberikan rekomendasi sistem keamanan yang handal dalam pengelolaan sistem informasi kesehatan di Indonesia;
    2. Kementerian Komunikasi dan Informatika, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No. 71/2019 dan Permenkominfo No. 20/2016, untuk mengambil langkah dan tindakan terhadap pengendali dan pemroses data selaku penyelenggara sistem dan transaksi elektronik, termasuk mitigasi, dan langkah pemulihan bagi subjek datanya;
    3. Kementerian Kesehatan dan pihak terkait lainnya, melakukan evaluasi sekaligus meningkatkan kebijakan internal terkait pelindungan data, juga audit keamanan secara berkala, untuk memastikan kepatuhan dengan prinsip-prinsip pelindungan data pribadi dan keamanan siber;
    4. DPR dan Pemerintah segera mempercepat proses pembahasan dan pengesahan RUU Pelindungan Data Pribadi, dengan tetap menjamin partisipasi aktif seluruh pemangku kepentingan, sekaligus juga kualitas substansinya. Akselerasi ini penting mengingat banyaknya insiden terkait dengan eksploitasi data pribadi, yang juga kian memperlihatkan pentingnya pembentukan otoritas pengawas yang independen, guna menjamin efektivitas implementasi dan penegakan UU PDP nantinya.

 

Jakarta, 31 Agustus 2021

Koalisi Advokasi Pelindungan Data Pribadi: ELSAM, AJI Indonesia, ICT Watch, PUSKAPA UI, ICJR, LBH Jakarta, AJI Jakarta, LBH Pers, Yayasan TIFA, Imparsial, HRWG, YLBHI, Forum Asia, Kemudi, Pamflet, Medialink, IPC, ICW, Perludem, SAFEnet, IKI, PurpleCode, Kemitraan, IAC, YAPPIKA-Action Aid, IGJ, Lakpesdam PBNU, ICEL, PSHK.

Untuk informasi lebih lanjut silakan menghubungi Wahyudi Djafar (Direktur Eksekutif ELSAM), telp: 081382083993, Alia Yofira (Peneliti ELSAM), telp: 081217015759.

 

[1] “Keterangan Pers: Penggunaan eHAC Melalui Peduli Lindungi”, 2021, https://www.youtube.com/watch?v=rcnVfxvKuSY.

[2] “Report: Indonesian Government’s Covid-19 App Accidentally Exposes Over 1 Million People in Massive Data Leak”, 2021, https://www.vpnmentor.com/blog/report-ehac-indonesia-leak/.

[3] Pasal 23, PP SIK.

[4] Pasal 24 ayat (2) PP 46/2014.

[5] Pasal 14 ayat (1) huruf e, PP PSTE.

[6] Pasal 28, Permenkominfo 20/2016.

[7] Pasal 14 ayat (5) dan Pasal 14 ayat (1) huruf f, PP PSTE.

[8]  Pasal 14 ayat (1) huruf g, PP PSTE; Pasal 28, Permenkominfo 20/2016.