Mengapa Indonesia Membutuhkan UU Pelindungan Data Pribadi?

Katadata/Joshua Siringo Ringo
Ilustrasi. Undang-Undang Perlindungan Data Pribadi.
Penulis: Andrea Lidwina
Editor: Sorta Tobing
31/5/2021, 12.42 WIB

Sebanyak 279 juta data penduduk Indonesia bocor dan diperjualbelikan di situs dark web Raid Forums. Akun penjualnya mengklaim data itu berisi NIK (Nomor Induk Kependudukan), nama, alamat, nomor telepon, e-mail, bahkan 20 juta data memiliki foto pribadi. Pembeli bisa menguji kelengkapan data itu dari 100.002 sampel secara gratis, sebelum membeli seluruh data senilai 0,15 per bitcoin (Rp 70-80 juta).

Juru Bicara Kementerian Komunikasi dan Informatika Dedy Permadi dalam siaran pers pada 21 Mei 2021 mengatakan data yang bocor diduga kuat identik dengan milik BPJS Kesehatan. Pihak kepolisian masih melakukan pemeriksaan terhadap sistem informasi lembaga asuransi terbesar di Indonesia itu, sementara Kemenkominfo telah memutus akses ke tautan unduh data dan memblokir Raid Forums.

Singapura juga pernah mengalami kasus kebocoran data serupa. Melansir The Straits Times, sebanyak 1,5 juta data pasien SingHealth, institusi kesehatan terbesar di Negara Singa, diakses dan disalin secara ilegal pada 2018. Data itu terdiri dari nama, alamat, jenis kelamin, ras, dan tanggal lahir, sedangkan diagnosis dan catatan kesehatan pasien tidak diretas. SingHealth menghubungi seluruh pasien yang telah menggunakan fasilitas dan layanannya untuk memberi tahu soal kebocoran data mereka.

Akibat kasus ini, SingHealth harus membayar denda sebesar S$ 250 ribu (Rp 2-3 miliar) sebagai pemilik data pasien yang bocor. Bahkan, Integrated Health Information System (IHiS) sebagai pengelola sistem informasi sektor kesehatan Singapura didenda lebih besar lagi, yakni S$ 750 ribu (Rp 8-9 miliar).

Notifikasi kebocoran data dan denda dalam kasus SingHealth merupakan kewajiban dan konsekuensi organisasi yang diatur dalam Personal Data Protection Act (PDPA). Aturan ini memberikan masyarakat hak terhadap data pribadi dan penggunaannya. PDPA juga memperkuat komitmen organisasi untuk melindungi data masyarakat dari peretasan dan kebocoran.

Pentingnya Data Pribadi

Tak seperti Singapura, Indonesia belum—dan tampaknya masih akan lama—memiliki aturan tersebut. Berdasarkan daftar Program Legislasi Nasional (Prolegnas) Prioritas DPR 2021, RUU Pelindungan Data Pribadi ada di urutan ke-23 dari total 33 RUU. Aturan yang diusulkan pemerintah pada 17 Desember 2019 itu kini masih dalam pembicaraan tingkat I. Rapat terakhir pun dilaksanakan pada 8 April lalu.

Kebocoran data BPJS Kesehatan bukan kasus pertama di Indonesia. Tahun lalu, sebanyak 2,3 juta data pribadi pemilih pada Pemilu 2014, milik Komisi Pemilihan Umum (KPU), bocor di situs dark web. Data pengguna beberapa e-commerce pun diretas dan diperjualbelikan hingga puluhan juta rupiah. Namun, ketiadaan aturan pelindungan data pribadi menyebabkan belum ada tindakan tegas dari pemerintah terhadap instansi-instansi tersebut.

Kasus-kasus semacam itu sangat merugikan masyarakat. Data pribadi yang bocor bisa disalahgunakan oleh pihak lain, seperti melakukan pinjaman online atas nama pemilik data. Akibatnya, pelaku bisa memperoleh sejumlah uang, sedangkan pemilik data akan ditagih oleh debt collector untuk membayar utang tersebut. Kebocoran data berupa nomor telepon dan e-mail juga menyebabkan pemilik data menerima pesan dan telepon yang mengganggu atau dari pihak yang tak diinginkan.

Terlebih, belum semua masyarakat Indonesia memiliki kesadaran atas pentingnya data pribadi. Hasil survei Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) pada periode 2019 hingga kuartal II-2020 menunjukkan sebanyak 57,8% responden merasa aman menyebarkan data pribadinya di internet. Tak hanya itu, memberikan fotokopi KTP dan kartu keluarga di kantor pemerintahan juga bisa berakibat sama seperti masalah-masalah yang terjadi pada kasus kebocoran data dari organisasi.

“Pemerintah seharusnya tidak perlu fotokopi KTP dan kartu keluarga untuk mengurangi tercecernya data,” kata pendiri Drone Emprit Ismail Fahmi kepada Katadata.co.id, 28 Mei 2021.

Kasus peretasan dan kebocoran data lantas menyebabkan kerugian materiil. Laporan Cost of a Data Breach yang dirilis International Business Machines (IBM) pada Agustus 2020 menyebutkan total kerugiannya rata-rata sebesar US$ 3,86 juta secara global. Biaya itu dibutuhkan untuk mendeteksi kebocoran pada sistem informasi, memperbaiki reputasi, ganti rugi pemilik data yang terdampak, dan memperkuat sistem informasi untuk mencegah terulangnya kejadian serupa.

pencurian data ecommerce (Katadata)

Perlunya Aturan Perlindungan Data Pribadi

Melihat kerugian yang timbul dari kasus peretasan dan kebocoran data, Ismail mengatakan instansi-instansi di Indonesia perlu memiliki tata kelola data (data governance) dan menjalankannya dengan baik. Tata kelola ini terdiri dari tiga aspek, yakni sumber daya manusia, teknologi, dan proses.

Pertama, sumber daya manusia yang bertugas perlu punya kapasitas yang memadai untuk mengelola dan menjaga keamanan data. Kedua, teknologi—server database dan software—harus diperbarui secara berkala guna menutup celah-celah kebocoran.

Ketiga, instansi perlu membuat prosedur dalam proses tata kelola data. Prosedur ini akan mengatur pengecekan sistem informasi secara rutin, juga tindakan yang harus dilakukan saat terjadi kebocoran data. “Ini akan otomatis mendeteksi pengambilan data atau adanya proses yang aneh karena banyak sekali data yang diambil,” kata Ismail.

Selain itu, Indonesia perlu segera punya aturan pelindungan data pribadi. Aturan tersebut harus mencakup pemberian hak pada pemilik data untuk memberikan, mengubah, dan menghapus datanya. Mereka juga berhak mengetahui tujuan dari penggunaan data itu. Pengendali data lantas bertanggung jawab untuk memberikan informasi pada pemilik data mengenai data yang diambil dan pilihan tindakan terhadap pengambilan data itu.

Peneliti PR2Media Engelbertus Wendratama dalam tulisannya di The Conversation (2021) mengatakan aturan pelindungan data pribadi di Indonesia juga harus mampu melindungi penduduk ketika haknya dilanggar oleh instansi tertentu. “Dalam relasi kuasa yang tidak imbang itu, warga bisa saja dirugikan dengan besarnya potensi pelanggaran yang dilakukan perusahaan-perusahaan besar,” tulisnya.

Pemerintah atau otoritas yang nantinya berwenang pun harus tegas memberikan sanksi bagi instansi yang melakukan pelanggaran. Pemberian denda dalam jumlah besar, seperti pada kasus SingHealth di Singapura, bisa menjadi contoh tepat untuk meningkatakan keamanan sistem informasi dan kehati-hatian pengendali data.