Bisnis.com, JAKARTA - Tahun 2022 baru berjalan kurang dari 10 hari, akan tetapi masyarakat Indonesia sudah dikejutkan lagi dengan kasus kebocoran data pribadi. Pada Kamis (6/1/2022), publik dibuat heboh dengan temuan data pasien Covid-19 milik Kementerian Kesehatan (Kemenkes).
Tidak hanya data pribadi pasien, data yang dijual bebas di situs RaidForum itu juga meliputi rekam medis pasien yang dikumpulkan dari berbagai rumah sakit. Jumlah pasien yang datanya ditemukan bocor mencapai 6 juta pasien dengan ukuran mencapai 720GB.
Kasus ini tentu saja menambah daftar panjang kasus kebocoran data yang terjadi di Tanah Air. Kasus baru muncul di tengah ketidakjelasan upaya penyelesaian kasus-kasus sebelumnya.
Hal ini makin menegaskan bahwa Rancangan Undang-Undang (RUU) sudah sangat dibutuhkan keberadaannya. Seperti diketahui, RUU tersebut sudah molor dari target penyelesaiannya yang seharusnya selesai pada 2020 lalu.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar bersama Koalisi Advokasi Perlindungan Data Pribadi (KA-PDP) menyebut akselerasi pembahasan RUU PDP mendesak dilakukan. Sebab, instrumen hukum terkait yang ada saat ini belum mampu memberikan perlindungan komprehensif.
"Berbagai peraturan tersebut belum sepenuhnya mengadopsi prinsip-prinsip perlindungan data pribadi, dan cenderung tumpang tindih satu sama lain yang berakibat pada ketidakpastian perlindungan," katanya melalui keterangan tertulis, Jumat (7/1/2022).
Baca Juga
Beberapa aspek yang belum dipenuhi dalam instrumen hukum tersebut antara lain terkait perlindungan data sensitif, kejelasan perlindungan, kejelasan perlindungan hak-hak subyek data, termasuk mekanisme pemulihan ketika terjadi pelanggaran.
Tantangan lainnya dalam penanganan kasus kebocoran data pribadi di sektor publik selama ini adalah hampir tidak ditemukan adanya proses investigasi yang dilakukan secara akuntabel.
"Fakta tersebut sesungguhnya menunjukkan ketidaksiapan pemerintah dalam menyelesaikan berbagai insiden kebocoran data pribadi yang terus-menerus berulang," tegasnya.
Nantinya, ketika RUU PDP disahkan dibutuhkan pula otoritas perlindungan data yang independen. Tanpa adanya otoritas independen, akan sulit melakukan pengawasan mengingat besarnya pemrosesan data pribadi yang dilakukan oleh institusi publik.
Chairman Communication & Information System Security Research Center) Pratama Dahlian Persadha menilai Indonesia dianggap rawan peretasan atau serangan siber. Sebab, kesadaran akan keamanan siber masih dianggap rendah, terlebih dengan tidak adanya aturan yang secara khusus mengatur hal tersebut.
"Yang terpenting dibutuhkan UU PDP yang isinya tegas dan ketat seperti di Eropa. Ini menjadi faktor utama, banyak peretasan besar di tanah air yang menyasar pencurian data pribadi, katanya kepada Bisnis, Jumat (7/1).
Tanpa UU PDP yang kuat, menurutnya para pengelola data pribadi baik lembaga negara maupun swasta tidak akan bisa dimintai pertanggungjawaban lebih jauh. Mereka juga tidak akan bisa dipaksa untuk meningkatkan teknologi, SDM dan keamanan sistem informasinya.
"Sebaiknya penguatan sistem dan SDM harus ditingkatkan, adopsi teknologi utamanya untuk pengamanan data juga perlu dilakukan," tuturnya.
Merespon temuan kebocoran data pasien Covid-19 Kemenkes, Juru Bicara Kementerian Komunikasi dan Informatika (Kemkominfo) menyebut pihaknya akan berkoordinasi dengan pihak terkait, termasuk Badan Siber dan Sandi Negara (BSSN). Proses penelusuran masih dilakukan sesuai dengan aturan perundang-undangan yang berlaku.
Kemkominfo juga meminta seluruh penyelenggara sistem elektronik (PSE) baik publik maupun privat yang mengelola data pribadi untuk secara serius memperhatikan kelayakan dan keandalan pemrosesan data pribadi.
[Pemrosesan data pribadi] yang dilakukan oleh PSE terkait baik dari aspek teknologi, tata kelola, dan sumber daya manusia," katanya pada Kamis (7/1).
Kementerian Kominfo meminta seluruh penyelenggara sistem elektronik (PSE) baik publik maupun privat yang mengelola data pribadi untuk secara serius memperhatikan kelayakan dan keandalan pemrosesan data pribadi yang dilakukan oleh PSE terkait baik dari aspek teknologi, tata kelola, dan sumber daya manusia.
Terkait dengan RUU PDP, belum lama ini Menteri Komunikasi dan Informatika Johnny G. Plate menyebut RUU PDP ditargetkan rampung tahun ini. Beleid tersebut diketahui masih dalam tahap pembahasan antara Kemkominfo dan DPR RI.
Pembahasan RUU PDP cukup pelik lantaran Kemkominfo dan DPR belum sepakat untuk otoritas yang mengawasi penegakan perlindungan data pribadi.
Anggota Komisi I DPR RI Christina Aryani mengungkapkan lambatnya penyelesaian RUU PDP terjadi karena ketidakseriusan pemerintah yang dalam hal ini adalah Kemkominfo. Menurutnya, Kemkominfo selama ini tidak menjalin komunikasi yang baik dengan DPR RI.
"Pemerintah melalui Menkominfo berkali-kali memberikan RUU PDP bersama kami, tetapi hanya sebatas statement di media. Tidak ada keseriusan," katanya kepada Bisnis, Jumat (7/1/2022).
Pakar keamanan siber dari Vaksincom Alfons Tanujaya menyebut pengamanan data yang sifatnya sensitif seharusnya tidak hanya cukup dilakukan dari sisi perlindungan terhadap penyanderaan data dengan mengenkripsi (ransomware). Data tersebut juga harus dilindungi dari aksi pemerasan (extortion ware).
'Dimana jika korbannya tetap tidak mau membayar karena memiliki backup data, maka data yang berhasil diretas diancam untuk disebarkan ke publik jika pengelola data tidak membayar uang tebusan yang diminta," katanya pada Jumat (7/1/2022).
Adapun, langkah antisipasi yang harus dilakukan adalah mengenkripsi data yang ada di peladen (server). Sehingga, ketika data berhasil diretas tetap tidak bisa dibuka atau diketahui isinya untuk kemudian disalahgunakan atau disebarluaskan.