Dugaan Kebocoran Data Kemenkes, RUU PDP Penting Segera Disahkan
Terbaru

Dugaan Kebocoran Data Kemenkes, RUU PDP Penting Segera Disahkan

Untuk menghadirkan rujukan instrumen perlindungan yang komprehensif, sehingga mampu meminimalisir terus berulangnya insiden kebocoran data pribadi.

Oleh:
Mochamad Januar Rizki
Bacaan 5 Menit
Ilustrasi: HOL
Ilustrasi: HOL

Insiden kebocoran data pribadi yang dialami oleh instansi publik kembali terjadi. Kali ini, data yang diduga bocor dan dijual bebas di situs RaidForum adalah data pasien Covid‐19 milik Kementerian Kesehatan (Kemenkes), yang ditengarai berasal dari 6 juta rekam medis pasien. Kabar yang muncul pada 6 Januari 2022 tersebut, menyebutkan bahwa sampel dokumen data pribadi dan rekam medis pasien tersebut berjumlah setidaknya 720 GB, dengan keterangan dokumen "Centralized Server of Ministry of Health of Indonesia" (server terpusat Kemenkes).

Data pribadi tersebut mencakup data identitas pasien (mencakup alamat rumah, tanggal lahir, nomor ponsel, NIK) dan rekam medis (mencakup anamnesis atau data keluhan utama pasien, diagnosis dengan kode ICD 10 atau pengkodean diagnosis internasional, pemeriksaan klinis, ID rujukan, pemeriksaan penunjang, hingga rencana perawatan). Atas insiden tersebut, pihak Kemenkes mengaku sedang melakukan asesmen permasalahan dan mengevaluasi sistemnya.

Kejadian tersebut mendapat sorotan dari Koalisi Advokasi Perlindungan Data Pribadi. Direktur Eksekutif Lembaga Studi Advokasi Masyarakat (ELSAM) yang merupakan bagian dari koalisi menyampaikan keseluruhan pemrosesan data pribadi pasien Covid‐19 oleh Kemenkes merupakan bagian dari ruang lingkup penyelenggaraan sistem informasi kesehatan yang menggunakan sistem elektronik. (Baca: Poin-poin yang Perlu Diperhatikan Penegak Hukum Akses Data Pribadi Warga)

Oleh karenanya, terdapat beberapa instrumen hukum yang dapat dirujuk dalam kasus a quo, khususnya PP No. 46/2014 tentang Sistem Informasi Kesehatan (PP SIK), PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE), dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo 20/2016).

Mengacu pada berbagai peraturan tersebut, setiap pemrosesan data pribadi harus sesuai dengan prinsip pelindungan data pribadi, termasuk kewajiban memastikan keamanan data pribadi. Selain itu, dalam hal keamanan sistemnya, Kemenkes juga tunduk pada Perpres No. 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik (Perpres SPBE). Secara teknis operasionalnya telah diatur dalam Peraturan BSSN No. 4/2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik (Peraturan BSSN 4/2021). 

Wahyudi menerangkan beberapa peraturan perundang‐undangan tersebut dapat menjadi rujukan awal untuk mengidentifikasi tingkat kepatuhan dari pengendali dan pemroses data, dalam hal ini adalah Kemenkes, terhadap kewajiban pelindungan data pribadi. Dari proses itu setidaknya akan dapat diketahui penyebab dari terjadinya kebocoran, dengan melihat mekanisme kepatuhan mana saja yang tidak diindahkan dalam pemrosesan data pribadi. Selain tentunya melalui langkah‐langkah investigasi teknis keamanan siber lainnya, maupun kemungkinan terjadinya human error dalam pemrosesannya.

“Proses tersebut juga sekaligus menjadi acuan awal untuk menentukan dampak risiko yang mungkin terjadi pada subjek data, langkah‐langkah mitigasi yang harus dilakukan oleh pengendali dan pemroses data, untuk menghentikan kebocoran, serta tingkat pelanggaran yang dilakukan,” jelas Wahyudi, Senin (10/1)

Halaman Selanjutnya:
Tags:

Berita Terkait