RUU Perlindungan Data Pribadi Molor, Data Terus Bocor
Rancangan Undang Undang Perlindungan Data Pribadi (PDP) sampai saat ini masih terus ditarik ulur di DPR. Padahal, RUU ini patut segera disahkan mengingat sangat rawan dan rentannya peretasan atas data pribadi. Sementara di Indonesia sendiri, payung hukum atas perlindungan data pribadi masih belum begitu baik.
Dalam diskusi daring bertajuk “Tarik-Ulur RUU PDP: Perdebatan Otoritas PDP Independen dan Pengganjalnya” yang digelar oleh Perkumpulan Elsam, Teguh Aprianto, Konsultan Keamanan Siber yang juga aktif di Tim Periksa Data menyebut kalau saat ini penanganan kebocoran data masih jauh panggang dari api. Alih-alih diinvestigasi, kasus kebocoran data yang terjadi selama ini lebih sering disanggah.
Dalam kasus bocornya data peserta BPJS Kesehatan awal tahun lalu misalnya, pihak terkait mulai dari BPJS, Kominfo, dan BSSN seolah gagap mengambil tindakan. Sanggahan lantas dilancarkan untuk membuat seolah semuanya baik-baik saja. Para pihak justru merilis informasi yang keliru seperti menyebut data yang bocor hanya ratusan ribu, meski faktanya mencapai jutaan.
Tidak sampai di situ, saat publik seperti Tim Periksa Data mengeluarkan faktanya, Kominfo masih juga berkelit dengan menyebut meski data yang bocor bukan ratusan ribu, tetapi perlu investigasi lebih lanjut untuk mengetahui jumlah totalnya.
“Ini publik dibuat bingung. Hal ini tidak hanya dilakukan Kominfo. Tetapi juga BPJS sendiri yang menyebut data yang ditawarkan di forum online ‘menyerupai’ data BPJS Kesehatan. Sementara Polri merilis penyataan yang tak kalah aneh yakni ‘diduga keras’. Ini hanya eufimisme bahasa birokrasi saja,” kata Teguh.
Padahal, dengan langkah seperti ini, tata kelola data yang problematik jelas terlihat. Menurut Teguh, dari kejadian BPJS Kesehatan ada beberapa asas perlindungan data pribadi yang dilanggar. Sayangnya, tidak ada satu pernyataan dari BPJS Kesehatan terkait pengakuan telah terjadinya kebocoran data pada sistem.
“Dan tidak dapat ditemukan standar prosedur yang digunakan oleh BPJS Kesehatan yang disampaikan kepada publik, khususnya pemilik data yang bocor. Lebih lanjut tidak ditemukan pemberitahuan atas digunakannya vendor-vendor oleh BPJS Kesehatan kepada publik. Artinya, publik tidak pernah mengetahui ada kemungkinan terjadinya perpindahan data mereka ke tangan lain selain BPJS kesehatan,” kata dia.
Kerugian Lebih dari Rp600 Triliun
Teguh menyebut, BPJS Kesehatan bukan tidak punya metode fungsi pengawasan yang baku. Mereka mestinya mematuhi fungsi Pengawasan berdasarkan ISO/IEC 27001:2013 yang mereka miliki. Namun masalahnya, ini tidak diaplikasikan secara maksimal.
“Yang jadi masalah, BPJS, Kominfo dan BSSN enggak terlalu ketat. Malah enggak jelas arahannya. Berarti ada masalah di situ. Belum lagi biasanya baru bertindak setelah rame. Tidak ada fungsi pencegahannya. Padahal pengawasan dilakukan dengan tujuan agar bisa mencegah,” ucap dia.
Ia menambahkan, total kerugian akibat kebocoran 279 juta data penduduk dalam kasus BPJS Kesehatan yakni lebih dari Rp600 Triliun. Mengingat data yang bocor adalah data hampir seluruh penduduk Indonesia.
“Selain itu kerugian immateril karena masyarakat Indonesia mengalami kekhawatiran, ketakutan, dan rasa tidak aman mengingat data ini sangat berkaitan dengan setiap sendi kehidupan masyarakat Indonesia,” kata dia.
Ardi Sutedja, Ketua Indonesia Cyber Security Forum menuturkan seberapa canggih sebuah teknologi, tidak akan menutup kepentingan dari ancaman kebocoran. Kuncinya adalah seberapa ketat pengawasan dan seberapa siap saat menghadapi kebocoran itu. Soalnya, sekali data itu bocor, maka akan sulit menanggulanginya.
“Maka kita harus sama-sama membangun kesadaran dan ada punishment (kepada pengelola data) jika terjadi kebocoran data,” kata Ardi.
Menurut dia, Indonesia sangat rentan menjadi target kebocoran data. Dengan 190 juta lebih pengguna internet aktif, Indonesia adalah negara nomor dua setelah Jepang yang punya angka tertinggi dalam hal kejahatan elektronik seperti penipuan dan hoaks. Berdasarkan data yang ia himpun, tahun 2019 terjadi sebanyak 3300 kasus peretasan menggunakan malware yang dilaporkan DitpidSiber Polri.
“Tahun 2020, Indonesia juga menjadi negara teratas Asia Tenggara yang menjadi sasaran serangan phising yang ditujukan kepada UMKM. Tahun 2020 terdapat 159 serangan web dafacement yang dilaporkan kepada BSSN. Inilah fakta-fakta yang terjadi di negara kita,” kata Ardi.
Jangan Nanti-Nanti
Saat ini, situasinya juga tak berubah. Di tahun 2021 saja ada 10 kementerian lembaga yang kena retas. Padahal ada kerugian finansial yang sangat besar saat data bocor.
Saat hendak menyiapkan diri untuk melawan kejahatan pencurian data, Indonesia masih menghadapi banyak tantangan, di antaranya kesenjangan SDM, kurangnya investasi, akuntabilitas, dan pendekatan yang beragam juga baru.
Oleh karena itu, disahkannya RUU PDP adalah satu jalan untuk mengurai satu per satu sejumlah kendala dan ancaman tadi. Arif tidak mengkritik lambannya pembahasan RUU PDP. Namun, sudah semestinya semua pihak ikut ambil bagian dan mendorong agar RUU yang penting ini tidak lagi ditunda-tunda.
“Karena ini urgent. Meski tidak sempurna, harus kita dorong terus. Tidak bisa dinanti-nanti lagi. Harus ada kesadaran kalau yang kita hadapi itu adalah sesuatu yang sangat menakutkan,” kata Ardi.
Sementara itu, Pengajar Fakultas Hukum Universitas Padjadjaran Sinta Dewi Rosadi berpendapat, salah satu yang menjadi batu sandungan dari lambatnya pengesahan RUU PDP adalah perbedaan pandangan mengenai kedudukan otoritas lembaga pengawas. Di satu sisi, ada keinginan membuat lembaga independen baru. Namun di sisi lain, ada juga yang ingin menempatkan otoritas lembaga pengawas data pribadi di bawah pemerintah untuk sementara.
Menanggapi ini, Sinta menilai perlunya kompromi. Menurut dia tidak masalah jika RUU PDP menempatkan otoritas lembaga pengawas data pribadi di bawah pemerintah untuk sementara. Yang terpenting saat ini adalah RUU PDP segera disahkan. Soalnya, RUU itu dinilai telah menggantung terlalu lama.
“Kalau memang ini tidak berhasil dicapai kesepakatan, mungkin secara bertahap. Artinya sekarang yang terbaik adalah mungkin ada di pemerintah sendiri,” kata Sinta.
Meski demikian, kita juga perlu melihat kasus ke depan. Apabila perkembangannya dinamis, bukan tidak mungkin kemudian dibentuk komisi yang lebih independen.
Soalnya, otoritas pengawas yang ideal merupakan lembaga baru yang independen. Dengan begitu penindakan kasus kebocoran data pribadi bisa berjalan lebih adil. Apalagi, dari 143 negara yang memiliki UU PDP, hanya 10 negara yang lembaganya ada di bawah otoritas pemerintah.
“Pilihan lain bergabung dengan otoritas yang sudah ada, sedangkan yang paling rendah berada di bawah eksekutif. Sebenarnya masih banyak isu-isu lain dalam RUU PDP yang semestinya sudah dibahas tetapi terhambat karena masih adanya perbedaan pendapat soal kedudukan otoritas pengawas. Ini enggak selesai-selesai. 2014 sudah 6 tahun dan memang akhirnya isi dari pasal-pasal regulasi di dalam RUU PDP juga kan belum semua sesuai,” kata Sinta.
Baca Juga:
