Firma hukum Mossack Fonseca, yang pernah masuk jajaran top tier versi lembaga pemeringkat The Legal 500, ambruk setelah gagal mengamankan kerahasiaan data para kliennya dalam skandal Panama Papers. Setidaknya, ada tiga pelajaran berharga bagi bisnis jasa layanan hukum di Indonesia.
Mossack Fonseca akhirnya menyatakan tidak mampu lagi beroperasi. Dilansir dari laman The Guardian, firma hukum internasional yang pernah memiliki puluhan cabang di berbagai negara ini menyatakan pihaknya mengalami ‘kerusakan yang tak bisa diperbaiki’ akibat kemunduran reputasi, memburuknya keuangan firma, pemberitaan media serta perlakuan beberapa otoritas di Panama yang tidak menguntungkan, Rabu(14/3) lalu.
Firma hukum berusia 40 tahun yang didirikan tahun 1977 oleh advokat Jerman, Jürgen Mossack, ini adalah firma hukum terbesar ke-4 di dunia untuk layanan jasa hukum perusahaan offshore saat skandal Panama Papers terkuak April 2016.
Dalam laporan Reuters saat itu, founding partner, Ramon Fonseca menyatakan mereka telah menjadi korban hacking pada pangkalan data Mossack Fonseca. Ironis, Mossack Fonseca yang menerima beragam penghargaan lembaga pemeringkat internasional ini sebelumnya membanggakan sertifikasi mereka untuk standar ISO 9001:2008 soal jaminan mutu dan keamanan informasi klien dengan layanan enkripsi Secure Socket Layer (SSL) dari VeriSign.
“Informasimu tidak akan pernah lebih aman dibandingkan dengan berada dalam portal klien Mossack Fonseca,” begitu kurang lebih jargon mereka. Janji manis ini tak terbukti saat 11.5 juta dokumen berhasil dibuka dan dipublikasikan dalam Panama Papers April 2016 silam.
Kepercayaan klien terhadap pengacaranya adalah modal penting, yang harus diikuti dengan sikap sang advokat menjaga rahasia sang klien. Rahasia itu bahkan perlu tetap dijaga hingga berakhirnya hubungan pemberian jasa. Firma hukum yang gagal memenuhinya tak ubahnya tengah menggali kuburnya sendiri.
(Baca: Kepercayaan Klien adalah Modal Vital Jasa Hukum Advokat)
Terlepas dari penilaian soal pelanggaran hukum dalam praktik yang dijalankan Mossack Fonseca berdasarkan Panama Papers, isu perlindungan kerahasiaan data pribadi bagi firma hukum terbukti sangat serius. Sebuah firma hukum internasional ternama dengan upaya perlindungan data serius pun harus jatuh melalui cyber attack. Berikut tiga pelajaran penting bagi kantor hukum.
1.Tingkatkan Literasi Kemanan Digital dan Perlindungan Data Pribadi
Di era digital, di mana beragam korespondensi advokat-klien dan dokumen dalam layanan firma hukum disimpan dalam bentuk elektronik, firma hukum yang ingin bertahan dalam persaingan pasar jasa layanan hukum perlu lebih waspada soal cyber security.
Hal ini diungkapkan oleh Rapin Mudiardjo, advokat dengan salah satu spesialisasi Telekomunikasi dan Teknologi Informasi, kepada hukumonline, Jumat (16/3). Rapin yang juga pendiri dan peneliti ICT Watch ini mengingatkan bahwa kalangan advokat Indonesia perlu lebih memperhatikan aspek perlindungan kerahasiaan data klien di tengah semakin kompleksnya teknologi informasi.
“Sebenarnya sudah dikunci dengan UU Advokat. Pasal 19 jelas mewajibkan soal wajib merahasiakan segala sesuatu yang diketahui atau diperoleh dari kliennya karena hubungan profesinya, kecuali ditentukan lain oleh undang-undang,” katanya.
Namun sebagai salah satu pengurus Dewan Pimpinan Nasional Perhimpunan Advokat Indonesia (DPN Peradi), Rapin mengakui isu cyber security dalam perlindungan kerahasiaan data klien belum mendapat perhatian serius bagi dunia advokat Indonesia.
Sayang sekali Peradi sendiri belum memiliki program sosialisasi atau himbauan soal cyber security dalam perlindungan kerahasiaan data pribadi klien bagi para anggotanya. “Masih seperti bumi dan langit. Belum sampai kesana,” ujarnya.
Pasal 19: (1) Advokat wajib merahasiakan segala sesuatu yang diketahui atau diperoleh dari Kliennya karena hubungan profesinya, kecuali ditentukan lain oleh Undang-undang. (2) Advokat berhak atas kerahasiaan hubungannya dengan Klien, termasuk perlindungan atas berkas dan dokumennya terhadap penyitaan atau pemeriksaan dan perlindungan terhadap penyadapan atas komunikasi elektronik Advokat. Penjelasan Pasal 19 Cukup jelas. |
Rapin menyoroti soal perlindungan data pribadi memang belum cukup jelas dalam sistem hukum Indonesia saat ini. Perlindungan data pribadi baru sedikit disinggung dalam UU No.11 Tahun 2008 tentang Informasi dan Transaksi Elektronik jo. UU No.19 Tahun 2016 (UU ITE).
Belum ada satu undang-undang khusus soal perlindungan data pribadi, apalagi yang mengatur hingga sanksi tegas pemidanaan. Hingga tahun 2016 baru ada Peraturan Menteri Komunikasi dan Informatika (Permenkominfo) yang sedikit menambal kekosongan hukum tersebut.
Kerahasiaan klien dalam hubungan profesional dengan advokatnya memang sudah diwajibkan dalam UU No.18 Tahun 2003 tentang Advokat (UU Advokat), namun tidak ada kejelasan soal akibat hukum melanggarnya ataupun regulasi turunan secara operasional. “Iya negara lucu ini, dalam penegakan hukum masih abu-abu,” tambahnya.
Meskipun demikian, firma hukum yang ingin mengokohkan kredibilitas tentu harus proaktif terus meningkatkan keamanan sistem informasi mereka guna melindungi kerahasiaan data pribadi klien. Dengan atau tanpa keberadaan regulasi, kepuasan dan kepercayaan klien menjadi hal penting untuk diprioritaskan.
Rapin mengusulkan berbagai kantor hukum melakukan pelatihan-pelatihan untuk memberikan pemahaman kepada para pegawainya soal keamanan digital dan perlindungan data pribadi yang berkaitan dengan kerahasiaan klien. Mulai dari lawyer, paralegal, hingga staf penunjang administrasi. Hal ini telah disebutkan pula dalam Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.
Pasal 5 (4) Tindakan pencegahan lainnya untuk menghindari terjadinya kegagalan dalam perlindungan Data Pribadi yang dikelolanya harus dilakukan oleh setiap Penyelenggara Sistem Elektronik, paling sedikit berupa kegiatan: a. meningkatkan kesadaran sumber daya manusia di lingkungannya untuk memberikan perlindungan Data Pribadi dalam Sistem Elektronik yang dikelolanya; dan b. mengadakan pelatihan pencegahan kegagalan perlindungan Data Pribadi dalam Sistem Elektronik yang dikelolanya bagi sumber daya manusia di lingkungannya. |
Iqsan Sirie, praktisi hukum perlindungan data pribadi yang juga advokat di firma hukum Assegaf Hamzah & Partners (AHP), saat dihubungi secara terpisah mengakui bahwa masalah literasi perlindungan data pribadi dan keamanan digital pun masih belum maksimal di Eropa, tempat di mana gagasan itu bermula.
“Di sana dimulai sejak sekitar 1995, sudah 20 tahun lebih belum maksimal sampai sekarang. Mungkin Indonesia butuh waktu yang cukup lama juga,” ujarnya.
2. Miliki SOP Internal Manajemen Keamanan Informasi
Iqsan mengatakan kantor hukum sudah semestinya memiliki Standar Operasional dan Prosedur (SOP) soal manajemen keamanan informasi kliennya. Meskipun belum ada regulasi yang tegas mengatur soal perlindungan data pribadi, kode etik dan prinsip bisnis jasa layanan hukum menuntut perlindungan kerahasiaan data klien terjaga dengan baik.
Lebih jauh lagi, UU Advokat pun sudah menegaskan kewajiban tersebut. Walaupun tidak ada kejelasan sanksi hukum apa bagi pelanggarannya dalam UU tersebut. “Idealnya mereka punya SOP internal perlindungan data pribadi klien,” katanya.
Jika mengacu pada beberapa Permenkominfo seperti Permenkominfo No. 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi dan Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik, soal adanya SOP semacam itu telah diwajibkan bagi Penyelenggara Sistem Elektronik.
Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik Pasal 5: (1) Setiap Penyelenggara Sistem Elektronik harus mempunyai aturan internal perlindungan Data Pribadi untuk melaksanakan proses sebagaimana dimaksud dalam Pasal 3. (2) Setiap Penyelenggara Sistem Elektronik harus menyusun aturan internal perlindungan Data Pribadi sebagai bentuk tindakan pencegahan untuk menghindari terjadinya kegagalan dalam perlindungan Data Pribadi yang dikelolanya. (3) Penyusunan aturan internal sebagaimana dimaksud pada ayat (1) dan ayat (2) harus mempertimbangkan aspek penerapan teknologi, sumber daya manusia, metode, dan biaya serta mengacu pada ketentuan dalam Peraturan Menteri ini dan peraturan perundang-undangan lainnya yang terkait.
Permenkominfo No. 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi Pasal 7: (1) Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik strategis harus menerapkan standar SNI ISO/IEC 27001 dan ketentuan pengamanan yang ditetapkan oleh Instansi Pengawas dan Pengatur Sektornya. (2) Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik tinggi harus menerapkan standar SNI ISO/IEC 27001. (3) Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik rendah harus menerapkan pedoman Indeks Keamanan Informasi. (4) Ketentuan mengenai pedoman Indeks Keamanan Informasi sebagaimana dimaksud pada ayat (3) diatur dalam Peraturan Menteri. |
Lebih lanjut, Iqsan menggarisbawahi UU ITE menyebutkan kewajiban perlindungan data pribadi oleh Penyelenggara Sistem Elektronik dengan definisi yang kurang spesifik. “Banyak pihak ragu apakah mereka termasuk Penyelenggara Sistem Elektronik atau bukan,” katanya.
Pertanyaan penting yang mungkin mengganjal adalah apakah sebuah firma hukum termasuk dalam kategori Penyelenggara Sistem Elektronik dalam UU ITE?
Kepala Sub-Direktorat Penyidikan dan Penindakan pada Direktorat Keamanan Informasi Kementerian Komunikasi dan Informatika (Kemenkominfo), Teguh Arifiyadi, mengatakan kepada hukumonline bahwa selama subjek hukum menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik dilakukan, maka adalah Penyelenggara Sistem Elektronik.
PP tentang Penyelenggaraan Sistem dan Transaksi Elektronik | UU tentang Informasi dan Transaksi Elektronik |
Pasal 1 1.Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik. 4.Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain. | Pasal 1 5. Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik. 6. Penyelenggaraan Sistem Elektronik adalah pemanfaatan Sistem Elektronik oleh penyelenggara negara, Orang, Badan Usaha, dan/atau masyarakat. 6a. Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik, baik secara sendiri-sendiri maupun bersama-sama kepada pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain. |
Atas dasar ini, maka ketentuan perlindungan data pribadi yang berlaku bagi sementara ini pada Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik juga mengikat bagi firma hukum sepanjang melakukan pemanfaatan Sistem Elektronik.
Di antara SOP internal yang diusulkan baik oleh Iqsan maupun Rapin adalah tidak menggunakan layanan sistem informasi gratisan di internet serta memiliki server internal khusus untuk berkorespondensi dan penyimpanan data klien.
Rapin bahkan menyarankan ada pusat data internal yang dibangun tanpa terhubung ke internet agar lebih aman dari peretasan. “Datanya dipilah saja mana yang harus tetap disimpan dalam bentuk dokumen elektronik di server kantor hukum, mana yang tidak usah disimpan,” katanya.
Sementara Iqsan mengingatkan prinsip purpose specification dalam mengumpulkan data dari klien, “Inti dari prinsip itu harus jelas secara spesifik tujuannya penggunaannya nanti untuk apa”.
Dengan prinsip ini, sejak awal kantor hukum memiliki SOP soal informasi apa yang diperlukan dari klien dengan kejelasan tujuan penggunaannya dalam layanan jasa hukum yang diberikan dan bagaimana penyimpanannya.
3. Buat Kesepakatan Jelas Soal Upaya Perlindungan Data Klien
Hal terakhir menurut Iqsan yang bisa diupayakan oleh kantor hukum adalah membuat kesepakatan upaya perlindungan kerahasiaan data klien di awal kontrak kerja. “Di Eropa dan Amerika misalnya, memang dalam kontrak kerja ada lampiran yang banyak antara lain soal kesepakatan upaya perlindungan data klien,” jelasnya.
Sayang sekali di Indonesia belum terbiasa untuk memperjelas sejak awal langkah-langkah perlindungan data klien macam apa yang dijanjikan oleh kantor hukum. Jika pun dituangkan dalam kontrak biasanya bersifat umum.
(Baca: Pelajaran dari Paradise Paper, Perlindungan Data Klien di Firma Hukum Mengkhawatirkan)
Menurutnya, langkah ini bisa menjadi jaminan kepastian sejak awal antara kedua pihak termasuk jika kelak ada permasalahan kebocoran data akibat peretasan. Batas pertanggungjawaban dan akibat yang harus ditanggung kantor hukum diperjelas sejak awal kepada klien agar tak menjadi masalah tambahan kelak. Setidaknya kantor hukum tidak terbelit masalah akibat janji manis perlindungan data klien yang gagal dipenuhi.