Tanggapi Kebocoran Data eHAC, KA-PDP: Segera Sahkan RUU Pelindungan Data Pribadi

JAKARTA, KOMPAS.TV - Menanggapi kasus kebocoran data pribadi yang marak terjadi di sektor publik seperti kasus kebocoran data pribadi pengguna BPJS Data Kesehatan, dan yang terbaru kebocoran database eHAC, Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP) menyerukan pentingnya Otoritas Pelindungan Data Pribadi (OPDP) yang independen.

KA-PDP menganggap otoritas independen itu penting guna mendorong kepatuhan sektor publik terhadap prinsip-prinsip pemrosesan data pribadi yang baik.

Lebih lanjut, KA-PDP menilai luputnya pengintegrasian prinsip-prinsip pelindungan data pribadi dalam pengembangan dan operasionalisasi aplikasi e-HAC, khususnya terkait dengan kewajiban memastikan sistem keamanan yang kuat, menunjukkan semakin pentingnya akselerasi pembahasan RUU Pelindungan Data Pribadi (RUU PDP).

KA-PDP memandang tidak adanya UU PDP yang komprehensif telah berdampak pada berbagai permasalahan ketidakpastian hukum dalam pelindungan data pribadi. 

"Terutama terkait dengan kejelasan kewajiban pengendali dan pemroses data, pelindungan hak-hak subjek data, serta penanganan ketika terjadi insiden kebocoran data," tulis KA-PDP dalam rilis pers yang diterima KOMPAS.TV, Selasa (31/8/2021).

Baca Juga: Data Pengguna eHAC Bocor, Kemenkes Duga Terjadi di Pihak Mitra

KA-PDP mengutip laporan vpnMentor yang mengungkap adanya kebocoran data pada aplikasi eHAC pada 15 Juli 2021. Pihak vpnMentor berusaha menginformasikan kepada Kementerian Kesehatan pada 21 dan 26 Juli 2021, tetapi tidak ditanggapi.

Tindak lanjut dan penanggulangan kebocoran data aplikasi eHAC baru dilakukan 1 bulan kemudian, yaitu pada 24 Agustus 2021, ketika vpnMentor menginformasikan temuannya kepada Badan Siber dan Sandi Negara (BSSN).

Menurut vpnMentor, kebocoran data aplikasi eHAC terjadi karena, "Pengembang aplikasi gagal dalam mengimplementasikan protokol privasi data yang memadai".

Adapun data pengguna yang bocor itu mencakup: data hasil tes COVID-19 (termasuk ke dalam kategori data sensitif), data akun eHAC, data rumah sakit, data pribadi pengguna eHAC (NIK/paspor, nama lengkap, nomor telepon, tanggal lahir, jenis kelamin, alamat, nama orang tua, dst), dan data petugas pengelola e-HAC.

"Keseluruhan proses pengumpulan, pemrosesan, dan penyimpanan data pribadi dalam aplikasi eHAC masuk ke dalam ruang lingkup penyelenggaraan sistem informasi kesehatan dan sistem elektronik. Hal itu sebagaimana diatur PP No. 46/2014 tentang Sistem Informasi Kesehatan (PP SIK), PP No. 71/2019 (PP PSTE), dan Permenkominfo No 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo 20/2016)," papar KA-PDP.

KA-PDP memandang aturan yang ada itu dapat dikatakan belum memberikan pelindungan yang komprehensif terhadap data pribadi warga negara.

"Mengingat berbagai peraturan tersebut belum sepenuhnya mengadopsi prinsip-prinsip perlindungan data pribadi, dan cenderung tumpang tindih satu sama lain, sebagaimana sektoralisme pengaturan pelindungan data hari ini," terang KA-PDP.

KA-PDP menilai pengesahan RUU PDP sebagai keniscayaan yang perlu diwujudkan saat ini.

Baca Juga: Kemenkes Minta Warga Hapus Aplikasi eHAC Versi Lama usai Ada Laporan Data Bocor

Oleh karena itu, KA-PDP menekankan sejumlah rekomendasi berikut ini:

1. Badan Siber dan Sandi Negara (BSSN) melakukan proses investigasi secara mendalam atas terjadinya insiden keamanan ini, untuk kemudian dapat memberikan rekomendasi sistem keamanan yang andal dalam pengelolaan sistem informasi kesehatan di Indonesia;
2. Kementerian Komunikasi dan Informatika, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No. 71/2019 dan Permenkominfo No. 20/2016, untuk mengambil langkah dan tindakan terhadap pengendali dan pemroses data selaku penyelenggara sistem dan transaksi elektronik, termasuk mitigasi, dan langkah pemulihan bagi subjek datanya;
3. Kementerian Kesehatan dan pihak terkait lainnya, melakukan evaluasi sekaligus meningkatkan kebijakan internal terkait pelindungan data, juga audit keamanan secara berkala, untuk memastikan kepatuhan dengan prinsip-prinsip pelindungan data pribadi dan keamanan siber;
4. DPR dan Pemerintah segera mempercepat proses pembahasan dan pengesahan RUU Pelindungan Data Pribadi, dengan tetap menjamin partisipasi aktif seluruh pemangku kepentingan, sekaligus juga kualitas substansinya. Akselerasi ini penting mengingat banyaknya insiden terkait dengan eksploitasi data pribadi, yang juga kian memperlihatkan pentingnya pembentukan otoritas pengawas yang independen, guna menjamin efektivitas implementasi dan penegakan UU PDP nantinya.

KA-PDP terdiri dari beberapa lembaga, yakni: ELSAM, AJI Indonesia, ICT Watch, PUSKAPA UI, ICJR, LBH Jakarta, AJI Jakarta, LBH Pers, Yayasan TIFA, Imparsial, HRWG, YLBHI, Forum Asia, Kemudi, Pamflet, Medialink, IPC, ICW, Perludem, SAFEnet, IKI, PurpleCode, Kemitraan, IAC, YAPPIKA-Action Aid, IGJ, Lakpesdam PBNU, ICEL, PSHK.

Baca Juga: Jutaan Data Pribadi Pengguna Aplikasi eHAC Milik Kemenkes Dilaporkan Bocor