Terkait Dugaan Kebocoran Data Pribadi, Mungkinkah BPJS Kesehatan Didenda? Ini Kata Pakar Hukum Siber
Ketua Cyber Law Center Fakultas Hukum Universitas Padjajaran, Sinta Dewi Rosadi. | Foto: dgcs-research.net
Cyberthreat.id – Kepala Cyber Law Center Fakultas Hukum Universitas Padjajaran, Shinta Dewi Rosadi, menilai regulasi yang ada di Indonesia saat ini masih belum cukup kuat untuk melindungi masyarakat jika terjadi kasus kebocoran data pribadi.
Hal itu, menurut Shinta, karena regulasi yang ada masih bersifat sektoral sehingga prinsip-prinsip perlindungan data pribadi tidak banyak diatur. Bahkan, soal klaim kerugian akibat kebocoran data juga tidak bisa dilakukan karena tidak sebutkan dalam regulasi.
“Sayangnya merujuk pada regulasi yang ada saat ini masih belum cukup kuat ya memberikan efek jera kepada penyelenggara sistem elektronik (PSE),” ujar Shinta kepada Cyberthreat.id, Selasa (25 Mei 2021).
Berita Terkait:
- Belum Akui Data Warga RI Diretas, BPJS Laporkan Kasusnya ke Bareskrim
- Dirjen Dukcapil Ingatkan Tiga Hal Mendasar tentang Data Pribadi Penduduk
- Tim BSSN Lacak Kemungkinan Backdoor di Sistem BPJS Kesehatan
Regulasi yang dimaksud Shinta yaitu Peraturan Pemerintah Nomor Nomor 71 tahun 2019 tentang Penyelenggaraan Sistem Transaksi Elektronik dan Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.
Dalam kedua regulasi itu, kata Shinta, tidak disebutkan secara jelas siapa yang harus bertanggung jawab jika terjadi kebocoran data.
Terkait dengan sanksi atau denda, jika terjadi kebocoran data, instansi hanya dapat dikenai oleh hukuman yang sifatnya administrasi. Ini karena Pasal 26 UU ITE tidak secara komprehensif mengatakan bahwa data pribadi dilindungi.
“Sehingga pihak yang dirugikan tidak dapat menuntut ganti rugi, dan PSE hanya dikenai hukuman minimal saja,” ujar Shinta.
Disinggung tentang kasus dugaan kebocoran data peserta BPJS Kesehatan, Shinta memandang, berdasarkan regulasi yang ada, BPJS Kesehatan tidak bisa dikenai denda atau bahka dikenai pidana.
Jika terbukti memang ada kelalaian dalam keamanan sistemnya, BPJS Kesehatan hanya akan dikenai sanksi adminsitrasi.
“Melihat [regulasi seperti] itu, kita sangat membutuhkan RUU PDP (Pelindungan Data Pribadi). Kalau nanti RUU PDP sudah disahkan, sanksinya ada pidana berat dan denda, selain sanksi admnistratif,” tutur Shinta.
Ia mengharapkan Kementerian Kominfo sebagai lembaga yang bertindak sebagai pengawas harus melakukan investigasi terkait dengan bagaimana kasus dugaan kebocoran data BPJS Kesehatan terjadi dan seperti apa dampaknya.
Selanjutnya, Kominfo juga wajib mempublikasikan hasil investigasi kepada masyarakat agar dapat menjadi pembelajaran berbagai pihak.
“Kita tahu kasus kebocoran data ini sudah berulang kali terjadi, dan berulang kali penangannya itu, lalu menghilang, tidak tahu ending-nya seperti apa,” Shinta menjelaskan.
Pada 2019, data 13 juta pengguna pasar daring Bukalapak dijual di dark web. Tahun berikutnya, giliran pesaingnya, Tokopedia mengalami kejadian serupa dengan jumlah lebih fantastis yaitu 91 juta data pengguna. Di tahun yang sama, data pengguna Bhinneka.com dan KreditPlus juga ditawarkan peretas di dark web.
Baca:
- CEO Bukalapak Akui Kebocoran Data 13 Juta Akun Pengguna Tahun Lalu
- Kominfo Pastikan Investigasi Kebocoran Data Pengguna Tokopedia Rampung, Apa Sanksinya?
Shinta menyarankan Kominfo untuk melakukan audit rutin terkait keamanan sistem PSE. Khususnya, bagi instansi yang mengumpulkan dan mengelola data pribadi masyarakat. Kominfo juga diminta untuk melaporkan hasil audit berbagai instansi tersebut dan bekerja sama dengan lembaga keamanan negara—dalam hal ini Badan Siber dan Sandi Negara—untuk memberikan rekomendasi keamanan kepada para pemilik sistem.
“Saya harap kominfo rutin memberikan informasi kepada masyarakat sampai hasil investigasi keluar,” ujarnya.
Ia berharap pemilik sistem juga rutin melakukan audit sehingga ketika terjadi pelanggaran data bisa langsung diketahui. Sebab, selama ini informasi pelanggaran data selalu diketahui setelah ada yang menjual di dark web, lalu viral di media sosial.
“Jika RUU PDP telah disahkan, perusahaan yang mengalami kebocoran data harus melaporkan terlebih dahulu kepada pengawas. Pengawas yang menginvestigasi, lalu mengonfirmasi dan mempublikasikan ke masyarakat, misal, supaya ganti password atau meningkatkan keamanan,” ujar dia.[]
Redaktur: Andi Nugroho
