Database pribadi milik masyarakat lagi-lagi mengalami kebocoran. Kali ini data pribadi masyarakat yang menggunakan aplikasi e-HAC milik Kementerian Kesehatan yang menampung data telusur Covid-19. Database tersebut berisi identitas lengkap seseorang yang hendak bepergian.
Data yang bocor dan bisa diraih dari database e-HAC ini diantaranya merupakan data pribadi pengguna aplikasi, antara lain nama, nomor KTP, paspor, foto profil yang dilampirkan dalam eHAC, detail hotel pengguna, hingga detail waktu akun tersebut dibuat. Karena itu, pentingnya otoritas independen yang memastikan kepatuhan sektor publik dalam perlindungan data pribadi (PDP).
Anggota Komisi I DPR, Sukamta menilai pemerintah seringkali teledor memberikan perlindungan terhadap data pribadi lantaran peritiswa kebocoran data pribadi kerapkali terjadi. Seperti bocornya 279 data peserta BPJS Kesehatan. Padahal, komisi tempatnya bernaung baru menggelar rapat dengan pihak Kementerian Komunikasi dan Informatika (Kemenkominfo).
“Baru Senin kemarin kami rapat dengan Kemenkominfo, kami ingatkan soal keamanan data pribadi warga dalam aplikasi PeduliLindungi. Pak Menteri dengan semangat meyakinkan soal pengelolaan keamanan data yang hebat dan dijamin tidak bocor, dalam e-HAC. Kenyataannya bobol lagi, ini kan konyol,” ujar Sukamta melalui keterangan tertulisnya, Rabu (1/9/2021). (Baca Juga: Aplikasi eHAC Diduga Bocor, KA-PDP Dorong Keberadaan Otoritas PDP Independen)
Dia melihat kasus kebocoran data yang pernah terjadi tak jelas penangananya, menguap. Korbannya, masyarakat yang tentu mengalami kerugian. Selain kerugian ekonomi, boleh jadi berefek pada keamanan. Semestinya pasca terjadi insiden serupa, pemerintah menyiapkan secara matang sistem pencegahan perlindungan data pribadi masyarakat. “Karena pemerintah yang bertanggung jawab penuh dengan data pribadi masyarakat yang dikumpulkan dan dikelolanya.”
Anggota Panitia Kerja Rancangan Undang-Undang (Panja RUU) Perlindungan Data Pribadi ini meminta pemerintah mengaudit semua sistem penyimpanan data. Serta mendorong kerja sama terpadu antar pengelola data maupun ahli teknologi dan informatika (IT) supaya kebocoran data tidak berulang dan merugikan masyarakat.
Sukamta meminta pihak Kemenkominfo dan Badan Siber dan Sandi Negara (BSSN) harus proaktif mengaudit sistem keamanan data secara berkala. Apalagi di Indonesia memiliki banyak ahli IT yang dapat dilibatkan dalam memperkuat pengamanan data. Karena itu, pemerintah penting segera melanjutkan pembahasan bersama DPR dan mengesahkan RUU PDP menjadi UU.
“Mau ditunda sampai kapan lagi? Ini semakin semrawut pengelolaan keamanan data digital kita. Perlu ada regulasi yang kuat untuk mendorong terbentuknya ekosistem keamanan digital,” ujar politisi Partai Keadilan Sejahtera (PKS) itu.
Pengaturan sistem elektronik
Sementara, Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP) menyerukan pentingnya otoritas perlindungan data pribadi yang independen. Anggota Koalisi, Wahyudi Djafar mengatakan keberadaan otoritas penting segera diwujudkan dalam mendorong kepatuhan sektor publik terhadap prinsip pemrosesan data pribadi yang baik. Menurutnya, keseluruhan proses pengumpulan, pemrosesan, dan penyimpanan data pribadi dalam aplikasi e-HAC masuk dalam lingkup penyelenggaraan sistem informasi kesehatan dan sistem elektronik.
Pengaturan ini diatur dalam tiga peraturan. Pertama, Peraturan Pemerintah (PP) No.46 Tahun 2014 tentang Sistem Informasi Kesehatan (PP SIK). Aturan tersebut mengatur pengamanan informasi kesehatan yang dilakukan dalam menjamin agar informasi kesehatan tetap tersedia dan terjaga keutuhannya. Kemudian terjaga kerahasiaanya bagi informasi kesehatan yang bersifat tertutup.
Menurutnya, dalam menjaga keamanan dan kerahasiaan informasi kesehatan, Kemenkes sebagai pengelola informasi kesehatan, berkewajiban melakukan pemeliharaan, penyimpanan, dan penyediaan cadangan data dan informasi kesehatan secara teratur. Serta membuat sistem pencegahan kerusakan data dan informasi kesehatan.
Kedua, PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE), dan Permenkominfo No.20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Beleid ini mengatur pemrosesan data pribadi mesti dilakukan dengan “melindungi keamanan Data Pribadi dari kehilangan, penyalahgunaan, akses dan pengungkapan yang tidak sah, serta pengubahan atau perusakan Data Pribadi”.
Sementara penyelenggara sistem elektronik wajib “menjaga kerahasiaan data pribadi”. Selain itu, subjek data pun memiliki hak mendapatkan pemberitahuan secara tertulis dalam hal terjadinya kebocoran data pribadi. Nah, kewajiban Kemenkes memusnahkan data pribadi dalam databases aplikasi e-HAC juga penting. “Khususnya mengingat pernyataan Kemenkes RI yang menyatakan kebocoran data terjadi pada aplikasi e-HAC yang sudah tidak digunakan lagi,” katanya.
Ketiga, dalam keamanan sistemnya, e-HAC tunduk pada Peraturan Presiden (Perpres) No.95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik yang secaara teknis operasionalnya diatur dalam Peraturan BSSN No. 4 Tahun 2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik.
Menurutnya, dalam Perpres 95/2018 mengatur pengembangan aplikasi umum dan aplikasi khusus oleh pemerintah. Termasuk sistem keamanannya, yang menjadi salah satu prinsip penting di dalamnya. Pada aspek keamanan, setiap aplikasi pemerintah harus memastikan confidentiality, integrity, dan availability dari sistemnya, serta mekanisme pengendalian keamanan lainnya.
Aspek-aspek itu yang kemudian diturunkan sebagai standar teknis dan prosedur keamanan aplikasi pemerintah, yang diatur dalam Pasal 25-29 Peraturan BSSN 4/2021. Tujuannya antara lain memastikan fungsi proteksi data. Peraturan ini juga mengatur tindakan minimal yang harus dilakukan ketika terjadi insiden keamanan, juga kewajiban untuk melakukan audit keamanan secara berkala.
“Mengacu pada peraturan tersebut, setiap pemrosesan data pribadi harus sesuai dengan prinsip pelindungan data pribadi, termasuk kewajiban memastikan keamanan data pribadi,” katanya.
Wahyudi yang juga Direktur Eksekutif Elsam itu melanjutkan, kendati sejumlah aturan mulai PP 46/2014, PP 71/2019, Permenkominfo 20/2016, dan Perpres 95/2018 yang berlaku dan memuat prinsip perlindungan data pribadi, namun belum memberi pelindungan komprehensif terhadap data pribadi warga negara. Sebab, berbagai peraturan itu belum sepenuhnya mengadopsi prinsip-prinsip perlindungan data pribadi. Bahkan cenderung tumpang tindih satu sama lain, sebagaimana sektoralisme pengaturan pelindungan data hari ini.
Salah satu aspek yang masih nihil dalam regulasi sektoral saat ini adalah kewajiban pengendali data dalam memastikan pemroses data (pengembang aplikasi e-HAC) telah mengimplementasikan upaya-upaya teknis dan organisasional untuk mengamankan data pribadi yang diprosesnya. Selain itu, hak-hak dari subjek data (pengguna aplikasi), termasuk mekanisme pemulihan ketika terjadi pelanggaran juga belum terakomodir dengan baik.
Dia menilai luputnya pengintegrasian prinsip-prinsip pelindungan data pribadi dalam pengembangan dan operasionalisasi aplikasi e-HAC, khususnya terkait kewajiban memastikan sistem keamanan yang kuat, menunjukan semakin pentingnya akselerasi pembahasan RUU Pelindungan Data Pribadi. Koalisi, kata Wahyudi, menilai ketiadaan UU PDP yang komprehensif berdampak pada berbagai permasalahan ketidakpastian hukum dalam pelindungan data pribadi.
Seperti diberitakan, Kepala Pusat Data dan Informasi Kemenkes, Anas Ma’ruf membenarkan adanya dugaan kebocoran data pribadi pengguna aplikasi e-HAC Kemenkes. Dugaan kebocoran data terjadi pada aplikasi e-HAC yang lama, bukan pada e-HAC yang terintegrasi dengan aplikasi PeduliLindungi.
Menurutnya, aplikasi e-HAC sudah lama tak lagi digunakan sejak 2 Juli 2021. Kemenkes dan Kemenkominfo sedang menginvestigasi terkait kebocoran data tersebut. Kasus dugaan kebocoran data e-HAC kali pertama ditemukan peneliti keamanan siber dari VPN Mentor pada aplikasi e-HAC pada 15 Juli lalu. Data sebanyak 1,3 juta pengguna e-HAC ditengarai bocor. Ukuran data tersebut mencapai 2 GB.