Cyberthreat.id - Bocornya basis data pada aplikasi Health Alert Card (eHAC) yang dikelola Kementerian Kesehatan yang terjadi setelah pembobolan data peserta BPJS Kesehatan, menunjukkan rentannya pengelolaan data pribadi oleh pemerintah. Karena itu, kehadiran otoritas indendepen untuk perlindungan data pribadi dinilai kian mendesak.

Hal itu disampaikan sejumlah organisasi yang tergabung dalam Koalisi Advokasi Perlindungan Data Pribadi (KA-PDP) dalam keterangan tertulisnya, Selasa(31 Agustus 2021).

KA-PDP beranggotakan sejumlah Lembaga Swadaya Masyarakat (LSM) dan organisasi profesi seperti ELSAM, Aliansi Jurnalis Independen (AJI) Indonesia, ICT Watch, PUSKAPA UI, ICJR, LBH Jakarta, AJI Jakarta, LBH Pers, Yayasan TIFA, Imparsial, HRWG, YLBHI, Forum Asia, Kemudi, Pamflet, Medialink, IPC, ICW, Perludem, SAFEnet, IKI, PurpleCode, Kemitraan, IAC, YAPPIKA-Action Aid, IGJ, Lakpesdam PBNU, ICEL, dan PSHK.

Seperti diketahui, pemerintah dan DPR RI belum merampungkan pembahasan RUU Perlindungan Data Pribadi yang telah dibahas kembali sejak awal 2019. Salah satu penyebab molornya pembahasan lantaran pemerintah dan DPR RI belum sepakat soal bentuk lembaga yang akan menjalankan ketentuan undang-undang itu.

Pemerintah yang diwakili Kementerian Komunikasi dan Informatika (Kominfo) bersikukuh agar otoritas pelaksananya berada di bawah lembaga itu. Sementara DPR mayoritas ingin dibentuk lembaga independen yang dapat menindak lembaga pemerintah yang lalai dalam menjaga data pribadi warga Indonesia. (Lihat: Mengapa Kominfo Ingin Lembaga Perlindungan Data Pribadi di Bawah Pemerintah?).

Menurut KA-PDP, otoritas idependen dibutuhkan untuk memastikan kepatuhan lembaga publik dalam pelindungan data pribadi. Terlebih, dalam tahun ini saja, terjadi sejumlah kebocoran data pribadi milik masyarakat Indonesia seperti kasus jual beli data peserta BPJS Kesehatan, BRI Life, dan database eHAC yang dibiarkan terbuka dan dapat diakses siapa saja di internet.

Dalam kasus kebocoran data aplikasi eHAC, KA-PDP merujuk pada laporan vpnMentor yang menyebut dapat mengakses database di aplikasi eHAC pada 15 Juli 2021. Kemudian mereka berusaha menginformasikan kepada Kementerian Kesehatan pada 21 dan 26 Juli 2021, tetapi tidak mendapat tanggapan dari Kemenkes.

Tindakan mitigasi baru dilakukan sebulan setelahnya, itu pun setelah vpnMentor melaporkan temuannya kepada Badan Siber dan Sandi Negara (BSSN) pada 24 Agustus 2021.

Menurut vpnMentor, kebocoran data aplikasi eHAC terjadi karena, "Pengembang aplikasi gagal dalam mengimplementasikan protokol privasi data yang memadai".

Data pengguna yang bocor itu mencakup: data hasil tes COVID-19 (termasuk ke dalam kategori data sensitif), data akun eHAC, data rumah sakit, data pribadi pengguna eHAC (NIK/paspor, nama lengkap, nomor telpon, tanggal lahir, jenis kelamin, alamat, nama orang tua, dst), dan data petugas pengelola e-HAC.

Menurut KA-PDP, pemrosesan dan penyimpan data pribadi dalam aplikasi e-HAC masuk dalam ruang lingkup penyelenggaraan sistem informasi kesehatan dan sistem elektronik. Hal itu diatur dalam PP No. 46/2014 tentang Sistem Informasi Kesehatan (PP SIK), PP No. 71/2019 (PP PSTE), dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo 20/2016).

"Mengacu pada peraturan tersebut, setiap pemrosesan data pribadi harus sesuai dengan prinsip perlindungan data pribadi, termasuk kewajiban memastikan keamanan data pribadi," kata KA-PDP.

Selain itu, dalam hal keamanan sistemnya, e-HAC juga tunduk pada Perpres No. 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik (Perpres SPBE), yang secara teknis operasionalnya telah diatur dalam Peraturan BSSN No. 4/2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik (Peraturan BSSN 4/2021).

Namun begitu, KA-PDP menilai aturan yang ada itu "dapat dikatakan belum memberikan pelindungan yang komprehensif terhadap data pribadi warga negara. Mengingat berbagai peraturan tersebut belum sepenuhnya mengadopsi prinsip-prinsip perlindungan data pribadi, dan cenderung tumpang tindih satu sama lain, sebagaimana sektoralisme pengaturan pelindungan data hari ini."

KA-PDP menambahkan, salah satu aspek yang belum diatur dalam regulasi sektoral saat ini adalah kewajiban pengendali data (Kemenkes RI) untuk memastkan bahwa pemroses data (pengembang aplikasi eHAC) telah menerapkan prinsip-prinsip perlindungan data yang benar.

Adapun pihak Kemenkes RI dalam keterangannnya kepada wartawan mengatakan kebocoran data itu terjadi karena kesalahan mitra pengembang aplikasi eHAC. (Lihat: Jutaan Data Pengguna Aplikasi eHAC Terekspose, Kemenkes Sebut Sumber Masalah dari Mitra ).

Karena itu, berkaca dari kasus eHAC, KA-PDP menilai percepatan pengesahan RUU Perlindungan Data Pribadi (RUU PDP) sudah sangat mendesak.

"KA-PDP memandang, tidak adanya UU PDP yang komprehensif telah berdampak pada berbagai permasalahan ketidakpastian hukum dalam pelindungan data pribadi, terutama terkait dengan kejelasan kewajiban pengendali dan pemroses data, pelindungan hak-hak subjek data, serta penanganan ketika terjadi insiden kebocoran data," pungkasnya.

Oleh karena itu, KA-PDP menekankan sejumlah rekomendasi berikut ini:

1. Badan Siber dan Sandi Negara (BSSN) melakukan proses investigasi secara mendalam atas terjadinya insiden keamanan ini, untuk kemudian dapat memberikan rekomendasi sistem keamanan yang handal dalam pengelolaan sistem informasi kesehatan di Indonesia;

2. Kementerian Komunikasi dan Informatika, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No. 71/2019 dan Permenkominfo No. 20/2016, untuk mengambil langkah dan tindakan terhadap pengendali dan pemroses data selaku penyelenggara sistem dan transaksi elektronik, termasuk mitigasi, dan langkah pemulihan bagi subjek datanya;

3. Kementerian Kesehatan dan pihak terkait lainnya, melakukan evaluasi sekaligus meningkatkan kebijakan internal terkait pelindungan data, juga audit keamanan secara berkala, untuk memastikan kepatuhan dengan prinsip-prinsip pelindungan data pribadi dan keamanan siber;

4. DPR dan Pemerintah segera mempercepat proses pembahasan dan pengesahan RUU Pelindungan Data Pribadi, dengan tetap menjamin partisipasi aktif seluruh pemangku kepentingan, sekaligus juga kualitas substansinya. Akselerasi ini penting mengingat banyaknya insiden terkait dengan eksploitasi data pribadi, yang juga kian memperlihatkan pentingnya pembentukan otoritas pengawas yang independen, guna menjamin efektivitas implementasi dan penegakan UU PDP nantinya.[]