Pengamat: UU PDP Absen, Swasta dan Lembaga Negara Sulit Dituntut Jika Data Bocor

Kasus ini merupakan dugaan kebocoran data pengguna yang ketiga kalinya sepanjang 2021 ini. Sebelumnya, kabar dugaan kebocoran data juga datang dari BRI Life Syariah pada Juli dan data kependudukan BPJS Kesehatan pada Mei 2021.

Terkait maraknya kasus dugaan kebocoran data di Indonesia selama 2021 ini, pakar keamanan siber dari lembaga riset nonprofit CISSReC, Pratama Persadha, mendesak agar Undang-Undang Perlindungan Data Pribadi (UU PDP) untuk segera dirampungkan.

"Kebocoran data seperti ini menjadikan RUU PDP harus terus dikebut. Apalagi data kesehatan ini semakin seksi di tengah pandemi," kata Pratama melalui pesan singkat kepada KompasTekno, Kamis (2/9/2021).

Absennya UU PDP di Indonesia, menurut Pratama, membuat lembaga negara dan swasta tetap "aman". Sebab, ketiadaan UU PDP di Indonesia membuat lembaga negara dan swasta tidak bisa dituntut saat mereka mengalami peretasan dan kebocoran data.

"Karena tidak ada UU PDP, jadi memang tidak ada kewajiban memenuhi standar keamanan tertentu," lanjut dia.

Meski kebocoran data bisa terjadi karena banyak faktor, Pratama meyakini, absennya UU PDP ini merupakan faktor utama yang memungkinkan terjadinya insiden kebocoran data di Indonesia di kemudian hari.

"Mengapa? Karena tidak ada kewajiban dari UU yang mengamanatkan bahwa lembaga negara dan swasta harus mempunyai keamanan sistem informasi yang sangat baik," kata Pratama.

Pratama tak memungkiri, tidak ada sistem informasi yang 100 persen benar-benar aman dari serangan siber.

Oleh karena itu, UU PDP perlu hadir untuk mendorong adopsi teknologi dan penguatan SDM agar menghasilkan ekosistem siber yang aman.

"Nah nanti bila terjadi kebocoran data akan dicek, apakah sistem sudah sesuai dengan amanat UU PDP, bila sudah dipenuhi semua tapi masih bocor maka lembaga penguasa data tersebut tidak salah," kata Pratama.

"Namun, jika terbukti lalai maka bisa dikenai tuntutan dan ganti rugi," imbuh dia.

Ada celah pada sistem mitra E-HAC

Dalam kasus E-HAC, belakangan Kepala Pusat Data dan Informasi Kemenkes, Anas Ma'ruf mengakui bahwa aplikasi E-HAC Kemenkes versi lama memang memiliki celah yang dapat menjadi sumber kebocoran data.

E-HAC versi lama yang dimaksud ialah aplikasi bernama E-HAC Indonesia, yang terpisah dengan layanan E-HAC di aplikasi PeduliLindungi.

Meski ada celah, Anas mengeklaim data-data pengguna aplikasi E-HAC versi lama itu tidak sampai bocor, serta tidak mengalir ke platform mitra E-HAC. 

"Memang ada celah yang kemudian digunakan oleh mitra dalam sistem informasinya. Dan itu berpotensi untuk terjadi kebocoran data," ujar Anas dalam konferensi pers pada Rabu (1/9/2021).

"Setelah itu, kami lakukan penutupan. Dan sampai saat ini hasil penelusuran kami, BSSN dan Direktorat Tindak Pidana Siber Bareskrim, maka belum ditemukan indikasi ke arah kebocoran data," lanjut dia.

Sementara itu, Juru Bicara Badan Siber dan Sandi Negara (BSSN) Anton Setiawan mengatakan, celah yang dimaksud adalah kondisi port dalam aplikasi yang dapat dimasuki oleh pihak-pihak yang tidak berwenang. Port sendiri merupakan pintu untuk transaksi data.

"Dan inilah yang dilakukan dan ditutup aksesnya," kata Anton. Dia melanjutkan, saat ini sebanyak 1,3 juta data masyarakat di aplikasi E-HAC itu tidak bocor.

Isi RUU PDP

Isi UU PDP sendiri, menurut anggota Komisi I DPR RI Fraksi Golkar, Bobby Rizaldy, nanti tidak hanya mengatasi masalah kebocoran data di platform digital.

"Yang banyak diperdebatkan di publik tentang UU PDP ini adalah platform digital. Padahal trafik di platform digital itu hanya bagian dari UU PDP," kata Bobby dalam program Sapa Indonesia KompasTV, pada Maret 2021.

Bobby berpendapat, UU PDP akan menjadi acuan untuk masalah data pribadi yang lebih luas, yang menyebabkan kerugian besar bagi negara. Ia menambahkan bahwa UU PDP nanti akan melindungi data publik yang ada rahasia negara.

"Jadi yang berbahaya itu bukan hanya soal platform komersil," kata Bobby.

"Karena yang kita atur ini bukan hanya perilaku konsumen melakukan jual-beli saja, tapi bagaimana (melindungi) data perbankannya, bagaimana nomor telepon bisa dilacak, bukan hanya soal data yang bocor-bocor di platfform, itu hanya sebagian kecil," jelasnya.

Di bawah Menteri Kominfo Rudiantara (2014-2019), draf UU PDP ini gagal masuk sebagai prioritas Program Legislasi Nasional (Prolegnas) 2018 karena beberapa faktor.

Setelah itu, RUU PDP telah diusulkan masuk dalam Prolegnas sejak tahun 2019 dan masuk kembali ke Prolegnas tahun 2020. RUU PDP kemudian kembali diusulkan masuk Prolegnas Prioritas 2021.

Dalam Rapat paripurna DPR RI pada Maret lalu, RUU PDP akhirnya masuk Program Legislasi Nasional (Prolegnas) Prioritas tahun 2021.

Ketika itu, anggota Komisi I DPR RI Fraksi Golkar menargetkan RUU PDP akan disahkan sebelum lebaran, Mei lalu.

Sayangnya belum sempat disahkan, pada Juni lalu, DPR RI justru memutuskan untuk memperpanjang masa pembahasan RUU PDP. Putusan itu muncul dari hasil rapat paripurna DPR RI ke-21 Masa Persidangan V Tahun Sidang 2020-2021, Selasa (22/6/2021).

Wakil Ketua DPR Sufmi Dasco Ahmad menilai, sebenarnya progres pembahasan RUU PDP di DPR ini sudah baik.

Namun, kata Dasco, perpanjangan pembahasan RUU PDP ini dinilai perlu karena DPR telah melihat dan mengevaluasi bahwa progres pembahasan pada perpanjangan sebelumnya sudah signifikan.

Karena itulah, ia menilai, sangat disayangkan apabila pembahasan terhadap RUU PDP ini justru dibatalkan atau tidak dilanjutkan.

Kendati demikian, ia tak ingin mengungkap berapa lama kedua RUU ini selesai.

"Tapi kalau berapa lamanya, kita belum bisa tahu, tapi maksimal ini satu masa sidang," kata Dasco.