Mudahnya perusahaan-perusahaan yang memiliki data nasabah dibobol membuat desakan agar pemerintah segera menerbitkan undang-undang terkait perlndungan data pribadi menguat. Nantinya, data juga tidak boleh dibagikan dengan alasan apapun jika memang tidak diizinkan oleh pemilik.
Oleh Syarif Fadilah
Kebocoran data nasabah cukup masif terjadi di Indonesia. Lemahnya perlindungan pemerintah dan masih rendahnya literasi masyarakat terhadap perlindungan data pribadi memperparah kasus yang tidak hanya merugikan ratusan orang, namun hingga ratusan juta nasabah.
Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan menjadi lembaga yang mencatat kasus kebocoran data nasabah paling besar, yakni mencapai 279 data nasabah yang terjadi pada Mei 2021. Meskipun pihak BPJS Kesehatan belum menerima hal ini karena jumlah peserta BPJS Kesehatan saat ini lebih kecil, yakni 224,8 juta jiwa, namun perusahaan tetap akan menelusuri lebih lanjut perkara kasus ini.
Belum tuntas kasus BPJS Kesehatan, data 2 juta nasabah asuransi, yakni BRI Life diduga bocor dan dijual secara online oleh oknum. Berita ini mencuat melalui cuitan satu akun Twitter bernama Under The Breach. Akun itu menuliskan adanya oknum yang menjual data pribadi yang penting milik BRI Life. Ia juga menuliskan oknum memiliki video berdurasi 30 menit tentang sejumlah data sebesar 250 GB yang mereka peroleh. Akun ini juga membagikan tangkapan layar mengenai sejumlah data yang diduga milik nasabah BRI Life mulai dari KTP hingga rekam medis.
Pihak BRI Life menemukan bukti bahwa pelaku kejahatan siber melakukan intrusi ke dalam sistem BRI Life Syariah. Namun sistem ini terpisah dari pusat sistem BRI Life.
Kepala Divisi Sekretariat Perusahaan Asuransi BRI Life Ade Ahmad Nasution mengatakan, jumlah data di sistem BRI Life Syariah kurang dari 25 ribu pemegang polis syariah individu. Namun, data tersebut tak berkaitan dengan data BRI Life maupun grup BRI lain. “Karenanya, kejadian ini tidak memberikan dampak pada data nasabah BRI maupun grup BRI lain,” ungkap Ade dalam keterangan resmi.
Kemudian, kasus kebocoran data nasabah juga menimpa platform keuangan dan pinjaman online KreditPlus. Selain itu, terdapat pula kebocoran data 230 ribu pasien Covid-19 di Indonesia; 2,3 juta data KPU; 1,2 juta konsumen Bhinneka; 13 juta akun Bukalapak; hingga 91 juta akun Tokopedia.
Pengamat Digital Forensik Rubi Alamsyah menjelaskan, tren kebocoran data nasabah ini disebabkan oleh empat hal. Pertama adalah dari sisi regulasi yang tidak secara tegas memberikan sanksi pada pelaku. Kedua, pengamanan data pengguna yang belum menjadi prioritas perusahaan.
Selanjutnya, adanya kesalahan dari pihak ketiga juga mendorong terjadinya kebocoran data, dan yang terakhir adalah keamanan teknologi informasi yang tidak memadai sehingga terjadi kebocoran data. Akibatnya, terjadi praktik phishing (penipuan), malware (penyusupan virus), dan lain sebagainya.
Kebocoran data ini, lanjut Rubi sangat merugikan nasabah. Pasalnya, data seperti kata sandi atau password yang terbongkar dan data pribadi lain digunakan untuk mengakses pinjaman online (pinjol), menjadi bahan untuk target politik atau iklan di media sosial atau diperjualbelikan untuk telemarketing.
Oleh karena itu, untuk mengantisipasi kebocoran data, pengguna disarankan untuk tidak sembarangan memberikan data kependudukan seperti KTP, tidak menggunakan kata sandi yang sama di tiap akun, dan selalu menerapkan Two Factor Authentication (TFA).
Kehadiran Undang-Undang
Sementara itu, Bhima Yudhistira Adhinegara, Direktur Center of Economic and Law Studies (Celios) mengatakan, hal utama yang perlu diperhatikan oleh regulator dalam memasuki era digital ini adalah keamanan dan kerahasiaan data nasabah. Hal ini yang sebelumnya kurang diperhatikan sehingga banyak terjadi penyalahgunaan data nasabah di industri financial technology (fintech).
“Melihat fakta itu maka sudah seharusnya para pemangku kebijakan memikirkan solusi. Salah satu solusinya adalah kehadiran Undang-Undang Perlindungan Data Pribadi. Meskipun itu juga tidak menjamin akan hilangnya kejahatan pembobolan data,” kata Bhima yang sebelumnya pernah menjadi peneliti di Indef ini.
Senada, Anggota Komisi I DPR RI Sukamta juga menyebut penyelesaian Rancangan Undang-Undang tentang Perlindungan Data Pribadi (RUU PDP) menjadi sangat krusial karena regulasi tersebut akan menjadi titik tolak berbagai aturan teknis terkait keamanan data digital. Keamanan data digital ini, menurut dia tidak hanya terkait perlindungan data warga negara Indonesia. Namun sistem yang akan membuat berbagai pihak merasa nyaman dan aman melakukan transaksi elektronik di Indonesia.
Sejauh ini, Sukamta mengungkapkan, DPR telah mendorong pemerintah untuk segera membahas RUU PDP. Namun, dia berpendapat, pemerintah masih bersikukuh mengenai Lembaga Pengawas Data Pribadi yang harus ada di bawah kementerian.
“Dalam pembahasan di Panja sudah sangat jelas, lembaga ini sangat strategis, independen, dan kapasitasnya beyond Kemenkominfo (Kementerian Informasi dan Informatika) tentu akan berfungsi secara optimal saat berada di bawah koordinasi Presiden secara langsung,” kata dia kepada Antara belum lama ini.
Mengutip kajian Fakultas Hukum Universitas Padjajaran, sampai saat ini, ada sekitar 25 negara yang memiliki undang-undang mengenai perlindungan data pribadi. Salah satunya adalah Inggris yang menempatkan undang-undang perlindungan data pribadi pada The Data Protection Act 1998. Dalam undang-undang tersebut disebutkan bahwa adanya suatu badan pelaksana, yaitu The Data Protection Commissioner yang berwenang untuk mengawasi semua pengguna data yang menguasai data pribadi.
Sementara itu, di Indonesia badan komisioner ini tidak disebutkan dalam aturan manapun. Badan komisioner ini dianggap penting sebagai pihak yang melakukan pengawasan terhadap data atau informasi yang digunakan dalam berbagai transaksi yang berlangsung di media online.
Selain itu, perlindungan terhadap hak privasi individu juga disebutkan dalam ketentuan Data Protection Act 1998. Dalam undang-undang itu, subjek bisa mendapatkan informasi tentang pengolahan data pribadinya dan untuk mencegah beberapa jenis pengolahan data yang berlangsung bila dianggap akan membahayakan kepentingannya.
Perlindungan terhadap data pribadi di Inggris bersifat kuat dan tegas. Aturan ini bahkan melarang data pribadi ditransfer ke negara di luar Eropa kecuali apabila negara yang bersangkutan dapat menjamin perlindungan data yang sama. Inggris tidak akan membuka atau memberikan data yang mereka miliki kepada negara lain dengan tujuan apapun meski dengan cara yang sah dihadapan hukum, jika negara tersebut tidak memiliki undang-undang yang mengatur secara spesifik tentang perlindungan data pribadi.
Berkaitan dengan hal ini pemerintah Indonesia juga belum menjadikan poin transfer data ke negara lain menjadi salah satu hal yang penting untuk dibicarakan. Padahal hal tersebut dapat menjawab tantangan dan kesempatan dalam era ekonomi digital saat ini yang cakupannya bahkan luas sampai pada level transaksi internasional.
Menanggapi mengenai hal ini, Menteri Komunikasi dan Informatika Johnny G. Plate mengatakan, RUU PDP merupakan hal yang mendesak untuk dilakukan. Pasalnya, Indonesia adalah salah satu negara terbesar dari segi jumlah penduduk di Indonesia.
Kemenkominfo juga membuka ruang diskusi dengan berbagai pihak untuk membahas substansi RUU PDP. Namun memang menurut Kasubdit Tata Kelola Perlindungan Data Pribadi Direktorat Tata Kelola Ditjen Aplikasi Informatika Kementerian Kominfo, Hendri Sasmita Yudha ada beberapa hal yang menjadi kendala. Hal ini terutama berkaitan dengan kelanjutan pembahasan bersama DPR RI yang terhambat di tengah pandemi Covid-19. Namun, pembahasan secara virtual tetap dilakukan.
“Mudah-mudahan dengan kembalinya kita menuju new normal ini beberapa langkah-langkah strategis bisa kita tempuh, dan tentunya pemerintah siap untuk melakukan pembahasan RUU PDP dengan DPR dalam waktu segera,” imbuh dia dalam keterangan resmi.
Di samping menyiapkan RUU PDP, lanjut Hendri, dalam konteks pengawasan terhadap perlindungan data pribadi juga tetap dijalankan sebagaimana mestinya. Menurutnya ada beberapa regulasi di sektor Kominfo yakni PP Nomor 71 Tahun 2019, UU ITE maupun Permen Kominfo Nomor 20 Tahun 2016 yang bisa digunakan untuk menangani beberapa kasus-kasus yang belakangan ini muncul.***
