Publik kembali dihebohkan dengan temuan masyarakat tentang kebocoran data yang berisi informasi penting seputar kependudukan. Kali ini data tersebut disinyalir bersumber dari BPJS Kesehatan – termasuk didasarkan pada sampel data yang kini sudah diperjual-belikan di pasar gelap, strukturnya identik dengan basis data kelolaan BPJS Kesehatan, terdiri dari Nama, NIK, No. Kartu, No. Telp, Email, NPWP, Gaji, dll.
Ini bukan kali pertama, sebelumnya pertengahan tahun lalu ramai diperbincangkan jutaan data kependudukan yang berasal dari Daftar Pemilih Tetap Pemilu 2014. Jika merujuk pada klasifikasi data dalam Peraturan Pemerintah, maka data yang bocor tersebut masuk dalam kategori “data elektronik strategis”, level tertinggi yang bahkan peletakan servernya pun tidak boleh di luar Indonesia.
Menanggapi hal ini, BPJS Kesehatan dan pemerintah [dalam hal ini diwakili Kominfo] menyatakan sedang melakukan penelusuran dan pendalaman.
Bahaya penyalahgunaan
Jika kemudahan yang dihadirkan dari layanan digital itu bagai pisau bermata dua, ancaman penyalahgunaan data dapat menjadi salah satu ujung negatifnya. Dampaknya bisa dirasakan secara langsung oleh masyarakat. Misalnya digunakan untuk pemalsuan identitas, melakukan transaksi finansial digital secara ilegal, atau dipelajari guna menemukan pola-pola tertentu untuk tujuan buruk.
Faktanya masih banyak celah di berbagai layanan digital yang saat ini banyak digunakan oleh konsumen Indonesia. Seperti kurang ketatnya sistem verifikasi dari berbagai platform – ada kejadian orang mencetak kartu identitas palsu dengan NIK dan nama yang mungkin benar untuk melewati proses e-KYC dengan swafoto KTP. Untungnya beberapa pengembang kini mulai meningkatkan sekuriti seperti dengan mengimplementasikan tanda tangan digital berbasis biometrik.
Dengan sifatnya yang strategis, jelas data itu harusnya memiliki sistem keamanan dan privasi yang tinggi. Idealnya juga menjadi hak masyarakat untuk mendapatkan perlindungan dari data-data terkait dirinya. Karena sudah terjadi, lantas siapa yang harus bertanggung jawab? Apa langkah represif yang harus dilakukan?
Pertanyaan ini sekarang masih cukup sulit dicari jawabannya. Berangkat dari pengalaman sebelumnya, kami tidak pernah mendengar bagaimana tindak lanjut [sanksi] pemerintah terhadap kebocoran data konsumen yang sempat mencederai beberapa layanan digital dengan pengguna masif di Indonesia, padahal di dalamnya juga terdapat berbagai data penting terkait identitas pengguna. Pasalnya memang tidak ada satu pun kewajiban hukum yang bisa dikenakan karena regulasinya belum ada.
Apa kabar UU PDP?
Kabarnya, masih belum juga selesai. Rancangan beleid yang masuk dalam Program Legislasi Nasional Prioritas 2021 sempat dikatakan rampung sebelum lebaran tahun ini, nyatanya masih belum juga selesai.
Berdasarkan draf per Desember 2019, regulasi tersebut memuat 72 pasal dan 15 bab mengatur tentang definisi data pribadi, jenis, hak kepemilikan, pemrosesan, pengecualian, pengendali dan prosesor, pengiriman, lembaga berwenang yang mengatur data pribadi, dan penyelesaian sengketa. Selain itu, mengatur kerja sama internasional hingga sanksi yang dikenakan atas penyalahgunaan data pribadi.
Dari analisis kami berbincang dengan narasumber, kala itu memang masih banyak potensi celah yang masih mengancam hak privasi data pribadi – dengan harapan draf tersebut kini telah disempurnakan. Padahal jika disahkan banyak hak konsumen yang akan difasilitasi lewat aturan, misalnya pengguna boleh meminta perusahaan pengelola data untuk menghapus datanya dan tidak menggunakan lagi [termasuk untuk kepentingan komersial].
Termasuk denda dengan nominal sangat besar yang konon akan dijadikan kewajiban hukum kepada penyelenggara sistem elektronik apabila terbukti data konsumennya bocor. Diharapkan langkah ini memaksa pengembang untuk menaruh perhatian lebih kepada strategi dan langkah preventif dalam mengamankan data-data penting mereka.
Lalu dengan rentetan kasus yang terus terjadi, masihkah regulator ingin menunda-nunda pengesahan Undang-Undang Perlindungan Data Pribadi? Dua ratus juta lebih data kependudukan di pasar gelap harusnya menjadi sebuah tamparan keras bagi pihak-pihak terkait.
Masyarakat hanya bisa pasrah?
Sayangnya di kondisi tertentu: IYA. Apa yang bisa kita lakukan untuk memberikan perlindungan lebih kepada data BPJS Kesehatan. Bahkan, untuk aplikasi yang dikembangkan perusahaan digital, langkah-langkah yang mungkin bisa diambil baru seputar rutin mengganti kata sandi, mengaktifkan autentikasi dua faktor, atau memperhatikan kredibilitas layanan. Belum ada mekanisme formal yang dijalankan untuk permintaan penghapusan data atau sejenisnya.
Keadaan ini benar-benar menjadikan urgensi penegakan UU PDP makin krusial. Perlindungan hukum akan menjadi payung penting yang memberikan kenyamanan kepada masyarakat atas data-data yang mereka miliki. Karena data satu orang pun memiliki nilai yang sangat mahal dan harus dilindungi hak-hak privasinya.
–
Gambar Header: Depositphotos.com