Koalisi Tegaskan Pentingnya Otoritas Perlindungan Data Pribadi Independen

Suara.com - Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP) menyerukan pentingnya otoritas pelindungan data pribadi (OPDP) yang independen.

“Keberadaan otoritas ini penting guna mendorong kepatuhan sektor publik terhadap prinsip-prinsip pemrosesan data pribadi yang baik,” kata Direktur Eksekutif ELSAM Wahyudi Djafar dalam keterangan tertulis yang diterima Antara di Jakarta, Selasa.

Pernyataan tersebut ia utarakan sebagai perwakilan dari KA-PDP guna menanggapi kasus-kasus kebocoran data pribadi yang marak terjadi pada sektor publik, seperti kasus kebocoran data pribadi pengguna BPJS Data Kesehatan, dan ditambah lagi kasus baru kebocoran database eHAC.

KA-PDP merupakan Koalisi Advokasi Pelindungan Data Pribadi yang terdiri dari ELSAM, AJI Indonesia, ICT Watch, PUSKAPA UI, ICJR, LBH Jakarta, AJI Jakarta, LBH Pers, Yayasan TIFA, Imparsial, HRWG, YLBHI, Forum Asia, Kemudi, Pamflet, Medialink, IPC, ICW, Perludem, SAFEnet, IKI, PurpleCode, Kemitraan, IAC, YAPPIKA-Action Aid, IGJ, Lakpesdam PBNU, ICEL, PSHK.

Terkait dengan tujuan mendorong kepatuhan sektor publik, KA-PDP memberikan beberapa rekomendasi terkait materi dan proses pembahasan RUU Perlindungan Data Pribadi (PDP), juga regulasi teknis implementasinya, belajar dari respon terhadap sejumlah insiden kebocoran data pribadi yang terjadi.

Pertama, KA-PDP mendorong agar DPR dan Pemerintah segera mempercepat proses pembahasan dan pengesahan RUU Pelindungan Data Pribadi, dengan tetap menjamin partisipasi aktif seluruh pemangku kepentingan, sekaligus juga kualitas substansinya.

Akselerasi ini penting mengingat banyaknya insiden terkait dengan eksploitasi data pribadi, yang juga kian memperlihatkan pentingnya pembentukan otoritas pengawas yang independen, guna menjamin efektivitas implementasi dan penegakan UU PDP nantinya.

Kemudian, KA-PDP juga memberi rekomendasi kepada Kementerian Komunikasi dan Informatika agar mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No. 71/2019 dan Permenkominfo No. 20/2016, untuk mengambil langkah dan tindakan terhadap pengendali dan pemroses data selaku penyelenggara sistem dan transaksi elektronik, termasuk mitigasi, dan langkah pemulihan bagi subjek datanya.

Terkait dengan kasus kebocoran database e-HAC, KA-PDP merekomendasikan kepada Badan Siber dan Sandi Negara (BSSN) untuk melakukan proses investigasi secara mendalam atas terjadinya insiden keamanan ini, untuk kemudian dapat memberikan rekomendasi sistem keamanan yang handal dalam pengelolaan sistem informasi kesehatan di Indonesia.

Baca Juga: Daftar Data-data Aplikasi eHAC yang Terekspose di Internet

Selanjutnya, KA-PDP merekomendasikan kepada Kementerian Kesehatan dan pihak terkait lainnya untuk melakukan evaluasi sekaligus meningkatkan kebijakan internal terkait pelindungan data, juga audit keamanan secara berkala, untuk memastikan kepatuhan dengan prinsip-prinsip pelindungan data pribadi dan keamanan siber.

Pada 30 Agustus 2021, sebuah situs pengulas perangkat lunak VPN yang bernama vpnMentor mempublikasikan hasil temuan terkait terjadinya kebocoran data aplikasi e-HAC yang dikelola oleh Kementerian Kesehatan (Kemenkes). Merespon kebocoran ini, pada hari Selasa, Kepala Pusat Data dan Informasi Kemenkes Anas Ma’ruf menyampaikan bahwa kebocoran data terjadi pada aplikasi e-HAC lama yang sudah tidak digunakan lagi sejak Juli 2021.

Lebih lanjut lagi, vpnMentor menyampaikan kebocoran data aplikasi e-HAC terjadi karena “pengembang aplikasi gagal dalam mengimplementasikan protokol privasi data yang memadai”. Tak hanya kebocoran data dari subjek data individu, kebocoran ini, menurut vpnMentor, juga turut mengungkap keseluruhan infrastruktur e-HAC, termasuk rekaman pribadi dari berbagai rumah sakit dan pejabat Indonesia yang menggunakan aplikasinya.

Adapun ruang lingkup data pribadi yang bocor mencakup data hasil tes COVID-19 (termasuk ke dalam kategori data sensitif), data akun e-HAC, data rumah sakit, data pribadi pengguna e-HAC (NIK/paspor, nama lengkap, nomor telp, tanggal lahir, jenis kelamin, alamat, nama orang tua, dst), dan data petugas pengelola e-HAC.

Menurut KA-PDP, luputnya pengintegrasian prinsip-prinsip pelindungan data pribadi dalam pengembangan dan operasionalisasi aplikasi e-HAC, khususnya terkait dengan kewajiban memastikan sistem keamanan yang kuat, menunjukan semakin pentingnya akselerasi pembahasan RUU PDP.

KA-PDP memandang, tidak adanya UU PDP yang komprehensif telah berdampak pada berbagai permasalahan ketidakpastian hukum dalam pelindungan data pribadi, terutama terkait dengan kejelasan kewajiban pengendali dan pemroses data, pelindungan hak-hak subjek data, serta penanganan ketika terjadi insiden kebocoran data. [Antara]