“Pemerintah seharusnya tidak perlu fotokopi KTP dan kartu keluarga untuk mengurangi tercecernya data,” kata pendiri Drone Emprit Ismail Fahmi kepada Katadata.co.id, 28 Mei 2021.
Kasus peretasan dan kebocoran data lantas menyebabkan kerugian materiil. Laporan Cost of a Data Breach yang dirilis International Business Machines (IBM) pada Agustus 2020 menyebutkan total kerugiannya rata-rata sebesar US$ 3,86 juta secara global. Biaya itu dibutuhkan untuk mendeteksi kebocoran pada sistem informasi, memperbaiki reputasi, ganti rugi pemilik data yang terdampak, dan memperkuat sistem informasi untuk mencegah terulangnya kejadian serupa.
Perlunya Aturan Perlindungan Data Pribadi
Melihat kerugian yang timbul dari kasus peretasan dan kebocoran data, Ismail mengatakan instansi-instansi di Indonesia perlu memiliki tata kelola data (data governance) dan menjalankannya dengan baik. Tata kelola ini terdiri dari tiga aspek, yakni sumber daya manusia, teknologi, dan proses.
Pertama, sumber daya manusia yang bertugas perlu punya kapasitas yang memadai untuk mengelola dan menjaga keamanan data. Kedua, teknologi—server database dan software—harus diperbarui secara berkala guna menutup celah-celah kebocoran.
Ketiga, instansi perlu membuat prosedur dalam proses tata kelola data. Prosedur ini akan mengatur pengecekan sistem informasi secara rutin, juga tindakan yang harus dilakukan saat terjadi kebocoran data. “Ini akan otomatis mendeteksi pengambilan data atau adanya proses yang aneh karena banyak sekali data yang diambil,” kata Ismail.
Selain itu, Indonesia perlu segera punya aturan pelindungan data pribadi. Aturan tersebut harus mencakup pemberian hak pada pemilik data untuk memberikan, mengubah, dan menghapus datanya. Mereka juga berhak mengetahui tujuan dari penggunaan data itu. Pengendali data lantas bertanggung jawab untuk memberikan informasi pada pemilik data mengenai data yang diambil dan pilihan tindakan terhadap pengambilan data itu.
Peneliti PR2Media Engelbertus Wendratama dalam tulisannya di The Conversation (2021) mengatakan aturan pelindungan data pribadi di Indonesia juga harus mampu melindungi penduduk ketika haknya dilanggar oleh instansi tertentu. “Dalam relasi kuasa yang tidak imbang itu, warga bisa saja dirugikan dengan besarnya potensi pelanggaran yang dilakukan perusahaan-perusahaan besar,” tulisnya.
Pemerintah atau otoritas yang nantinya berwenang pun harus tegas memberikan sanksi bagi instansi yang melakukan pelanggaran. Pemberian denda dalam jumlah besar, seperti pada kasus SingHealth di Singapura, bisa menjadi contoh tepat untuk meningkatakan keamanan sistem informasi dan kehati-hatian pengendali data.
