Data Kesehatan Bocor Lagi, RUU Pelindungan Data Pribadi Perlu Segera Disahkan

Koalisi Advokasi Pelindungan Data Pribadi (KA‐PDP) mendesak perlunya Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) untuk segera disahkan. Hal ini menyusul kebocoran data kesehatan yang kembali terjadi baru-baru ini.

“Akselerasi pembahasan RUU Pelindungan Data Pribadi menjadi penting disegerakan, untuk menghadirkan rujukan instrumen perlindungan yang komprehensif, sehingga mampu meminimalisir terus berulangnya insiden kebocoran data pribadi,” kata KA-PDP dikutip dari keterangan tertulis yang didapat Asumsi.co, Jumat (7/1/2022).

Data apa yang bocor: Seperti diberitakan sebelumnya, data pasien Covid‐19 milik Kementerian Kesehatan (Kemenkes), yang ditengarai berasal dari 6 juta rekam medis pasien diduga bocor dan diperjualbelikan di situs RaidForum.

Sampel dokumen data pribadi dan rekam medis pasien tersebut berjumlah setidaknya 720 GB, dengan keterangan dokumen “Centralized Server of Ministry of Health of Indonesia” (server terpusat Kemenkes). Data yang bocor mencakup data identitas pasien seperti alamat rumah, tanggal lahir, nomor ponsel, NIK hingga rekam medis.

Undang-Undang saat ini: Menurut KA-PDP, sebenarnya saat ini sudah ada instrumen perundangan yang dapat menjadi rujukan awal untuk mengidentifikasi tingkat kepatuhan dari pengendali dan pemroses data.

Sebut saja PP No. 46/2014 tentang Sistem Informasi Kesehatan (PP SIK), PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE), dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo 20/2016). Kemenkes juga tunduk pada Perpres No. 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik (Perpres SPBE).

“Kendati demikian, keseluruhan instrumen di atas, dapat dikatakan belum cukup memberikan pelindungan yang komprehensif terhadap setiap pemrosesan data pribadi warga negara. Mengingat berbagai peraturan tersebut belum sepenuhnya mengadopsi prinsip‐prinsip perlindungan data pribadi, dan cenderung tumpang tindih satu sama lain, yang berakibat pada ketidakpastian perlindungan,” tulis KA-PDP.

Pemerintah tidak siap: Menurut KA-PDP, beberapa aspek yang masih nihil dalam pengaturan saat ini, antara lain adalah terkait dengan perlindungan data sensitif, kejelasan perlindungan hak‐hak subjek data, termasuk mekanisme pemulihan ketika terjadi pelanggaran.

Tantangan besar lainnya dalam penanganan kasus kebocoran data pribadi di sektor publik selama ini, adalah hampir tidak ditemukan adanya suatu proses investigasi yang dilakukan secara akuntabel.

“Fakta tersebut sesungguhnya menunjukkan ketidaksiapan pemerintah dalam menyelesaikan berbagai insiden kebocoran data pribadi, yang terus‐menerus berulang,” tulisnya.

Perlu dipercepat: Supaya kejadian serupa tidak kembali terulang, Koalisi Advokasi Pelindungan Data Pribadi mendorong adanya akselerasi pembahasan RUU Pelindungan Data Pribadi.

Hal ini demi menghadirkan rujukan instrumen perlindungan yang komprehensif, sehingga mampu meminimalisir terus berulangnya insiden kebocoran data pribadi. Guna memastikan efektivitas dalam implementasinya nanti, legislasi ini juga penting menghadirkan adanya otoritas pelindungan data pribadi yang independen, yang mampu bekerja secara fair dan adil.

“Tanpa adanya otoritas PDP yang independen, tentunya sulit untuk mencapai tujuan dari perlindungan data pribadi, sebagaimana diamanatkan oleh Pasal 28G ayat (1) UUD 1945,” tulis KA-PDP.

Empat rekomendasi: Mengingat besarnya pemrosesan data pribadi warga negara yang dilakukan oleh institusi publik, baik di tingkat pusat maupun daerah, juga ketidaksiapan mereka dalam kepatuhan terhadap perlindungan data pribadi KA‐PDP menekankan sejumlah rekomendasi:

1. Badan Siber dan Sandi Negara (BSSN) melakukan proses investigasi secara mendalam atas terjadinya insiden keamanan ini, untuk kemudian dapat memberikan rekomendasi sistem keamanan yang handal dalam pengelolaan sistem informasi kesehatan di Indonesia;
2. Kementerian Komunikasi dan Informatika, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No. 71/2019 dan Permenkominfo No. 20/2016, untuk mengambil langkah dan tindakan terhadap pengendali dan pemroses data selaku penyelenggara sistem dan transaksi elektronik, termasuk mitigasi, dan langkah pemulihan bagi subjek datanya;
3. Kementerian Kesehatan dan pihak terkait lainnya, melakukan evaluasi sekaligus meningkatkan kebijakan internal terkait pelindungan data, juga audit keamanan secara berkala, untuk memastikan kepatuhan dengan prinsip‐prinsip pelindungan data pribadi dan keamanan siber;
4. DPR dan Pemerintah segera mempercepat proses pembahasan dan pengesahan RUU Pelindungan Data Pribadi, dengan tetap menjamin partisipasi aktif seluruh pemangku kepentingan, sekaligus juga kualitas substansinya. Selain itu, rentetan insiden penyalahgunaan data pribadi, termasuk yang melibatkan institusi publik, kian memperlihatkan pentingnya pembentukan otoritas pelindungan data pribadi yang independen, guna menjamin efektivitas implementasi dan penegakan UU PDP nantinya.

Baca Juga:

​Enam Juta Data Pasien di Server Kemenkes Bocor dan Diperjualbelikan

​Fitur Add Yours Instagram Berisiko Ungkap Identitas Personal

​Menanti Keseriusan Penanganan Kasus Peretasan dan Disahkannya RUU PDP