Kebocoran Data, Salah Siapa?
Ilustrasi oleh Disrupto
Masalah kebocoran data di Indonesia sudah bukan sekali dua kali terjadi. Mulai dari data KPU, Tokopedia, hingga data pasien Covid-19 pernah mengalami kebocoran. Kasus kebocoran data terakhir bisa dibilang yang terbesar dengan bocornya 279 juta data penduduk, termasuk data penduduk yang sudah meninggal. Data penduduk yang disebarkan di forum hacker ini mencakup elemen nama lengkap, nomor KTP, tanggal lahir, nomor telepon, alamat tinggal dan surel, serta foto masing-masing individu.
Penyebab Kebocoran Data
Diduga, data yang bocor berasal dari BPJS. Walaupun pihak BPJS belum menyatakan konfirmasi. Menurut Shevierra Danmadiyah, peneliti lembaga studi dan advokasi masyarakat, ELSAM, selama ini setiap kali ada kasus pencurian data, pemerintah belum cepat tanggap melakukan tindakan nyata. Ini diikuti dengan rancangan undang-undang perlindungan data pribadi yang belum disahkan.
Masalah kebocoran data dari BPJS itu sendiri memang bukan unsur kesengajaan, melainkan ada peretas yang mencuri data. Akan tetapi, tata kelola data di BPJS itu sendiri harus diteliti lebih dalam. Sebuah instansi seharusnya memiliki strategi preventif untuk melindungi data yang bisa membantu analisis dan identifikasi data sehingga meminimalkan risiko kebocoran data.
Photo by Tima Miroshnichenko from Pexels
Shevierra menjelaskan, “Secara komprehensif, kita belum memiliki legislasi yang menerangkan hak dari subjek data dan kewajiban dari pengendali pemroses data serta apa yang bisa dilakukan jika terjadi kebocoran data. Ini bisa jadi salah satu alasan instansi gagap saat terjadi kebocoran data. Kalau dipetakan kembali, sekarang memang Kominfo yang memiliki kewenangan dan paling mengerti bagaimana mitigasi yang harus dilakukan. Sementara instansi seperti BPJS dan yang lainnya masih gagap bagaimana mereka harus bersikap.”
Bahaya Kebocoran Data Pribadi
Shevierra menerangkan bahwa data pribadi dapat mengidentifikasi diri seseorang secara langsung. Misalnya data nama dan nomor telepon yang bisa berujung pada penipuan. Sekalipun tidak merugikan secara material, tapi aspek psikologi orang tersebut bisa terpengaruh. Seperti iklan yang langsung masuk ke nomor telepon, media sosial, atau alamat surel. Mungkin iklan tersebut efeknya tidak secara langsung, tapi lama kelamaan bisa mengganggu psikologis.
Penanganan Kebocoran Data
Utamanya, pemerintah sebaiknya untuk mengatur undang-undang yang dapat melindungi data pribadi rakyat. Berkaca pada Estonia, mereka memiliki proyek pengumpulan data dengan sistem yang memiliki pengelolaan data yang baik. Pemerintah punya peran penting dalam menjamin keamanan terhadap pribadi. “Alangkah baiknya dibuat dulu sistem yang aman jadi ketika masyarakat awam ingin memasukan data pribadi pada satu aplikasi, mereka tidak akan khawatir. Memang masalah ini kompleks tapi dalam beberapa tahun mendatang kita pasti akan dihadapkan dengan ini karena sekarang saja semuanya sudah serba digital”, Shevierra menambahkan.
Photo courtesy of Pixabay
Selain itu, yang tidak kalah penting dilakukan adalah memberikan literasi digital masyarakat. Misalnya dengan memberikan imbauan untuk tidak memberikan data yang sifatnya opsional. Jadi meminimalisir pemberian data. Jika informasi sifatnya tidak wajib diberikan, tidak perlu diisi. Misalnya kalau tidak ditanya data spesifik lokasi, bisa ditulis: Jakarta, Indonesia. Tidak perlu mencantumkan alamat lengkap secara detail. Ini adalah salah satu hal kecil yang bisa dilakukan individu.Sebagai rakyat, kita juga harus tahu hak-hak kita sebagai subjek data yang meliputi:
Hak atas informasi
Hak untuk mengakses
Hak untuk menolak
Hak atas pemindahan data
Hak untuk meralat, memblokir, dan menghapus
Hak atas pemulihan yang efektif
Hak atas kompensasi
Relevansi Terhadap Dibangunnya Pusat Data
Ada atau tidak adanya pusat data, sebenarnya yang terpenting adalah perlindungan data pribadi itu sendiri karena sudah seharusnya ada prinsip-prinsip perlindungan data pribadi yang harus dipatuhi yaitu:
Prinsip keabsahan dan transparansi
Prinsip batasan tujuan
Prinsip akuntabilitas
Prinsip akurasi
Prinsip minimalisasi data
Prinsip retensi/penyimpanan
Prinsip kerahasiaan dan keamanan
“Sayangnya, di indonesia belum ada aturan khusus yang mengatur itu. Jadi sebenarnya lebih baik undang-undangnya diresmikan dulu. Baru setelah itu menjalankan proyek pembangunan pusat data. Sebenarnya tertuang dalam peraturan dari Kominfo nomor 20 tahun 2016 tentang perlindungan data pribadi. Tapi kalau kita lihat hirarki aturannya, belum memiliki daya ikat yang kuat”, papar Shevierra lagi.
Jika belum ada undang-undang yang kuat atas perlindungan data, pengumpulan data yang berpusat di satu tempat bisa memberikan akses koneksi antara satu data ke data lainnya. Jika seluruh data pribadi individu terkumpul lengkap, identitasnya bisa terungkap jelas dan jelas ini bisa jadi berbahaya bagi individu tersebut.