Jakarta (ANTARA) - Kasus BRI Life merupakan sebuah pengingat bagi pemerintah bahwa Indonesia membutuhkan Undang-Undang Pelindungan Data Pribadi (UU PDP).

Sebelumnya, diduga terjadi kebocoran data milik dua juta nasabah BRI Life yang diperjualbelikan di sebuah forum bernama RaidForums. Sebuah akun bernama Reckt sempat mengunggah (upload) sampel data yang dijual di dalam forum tersebut.

Harga penjualan dokumen database milik dua juta nasabah BRI Life bersama hasil pindai (scan) dokumen sebanyak lebih dari 463.000 lembar mencapai 7.000 dolar Amerika Serikat (AS) yang dibayarkan menggunakan bitcoin (uang elektronik).

Dugaan tersebut direspon dengan cepat oleh Kementerian Komunikasi dan Informatika (Kominfo) dan PT Asuransi BRI Life. Pasca melakukan investigasi dan berkoordinasi erat dengan Otoritas Jasa Keuangan (OJK), Badan Siber dan Sandi Negara (BSSN), dan Direktorat Tindak Pidana Ekonomi Khusus (Dittipideksus) Bareskrim Polri, PT Asuransi BRI Life lantas mengungkap hasil investigasi dugaan bocornya data nasabah.

Corporate Secretary BRI Life Ade Nasution menyatakan bahwa intrusi yang terjadi merupakan intrusi ke dalam sistem BRI Life Syariah yang terpisah dari sistem utama (core system) BRI Life. Di dalam sistem tersebut, terdapat tidak lebih dari 25 ribu pemegang polis Syariah individu.

Akan tetapi, pengungkapan hasil investigasi bukan merupakan akhir dari kasus kebocoran data nasabah milik BRI Life.

Data pribadi yang telah berhasil diakses oleh para peretas masih memiliki potensi untuk disalahgunakan. Direktur Eksekutif Information and Communication Technology (ICT) Institute Heru Sutadi pun menyatakan bahwa data yang telah bocor dapat digunakan sebagai identitas palsu atau menjadi target penawaran produk-produk tertentu.

Nasib para nasabah yang menjadi korban dari kebocoran data berada dalam posisi yang sangat riskan untuk menjadi korban penipuan.

Kasus serupa telah terjadi berulang kali di masa lalu. Salah satunya merupakan kebocoran data dari Badan Penyelenggaraan Jaminan Sosial (BPJS) yang, menurut Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar, belum terselesaikan dengan tuntas.

Baca juga: Anggota DPR: Penyelesaian RUU PDP krusial untuk aturan keamanan data

Lika-liku korban kebocoran data
Wahyudi Djafar menyatakan bahwa seseorang akan mengalami kesulitan ketika diminta untuk membuktikan bahwa dirinya merupakan korban dari kebocoran data.

Terdapat berbagai proses yang harus dilalui oleh korban dan salah satunya adalah melakukan investigasi forensik digital untuk memastikan kebenaran status subjek data yang mengajukan gugatan sebagai korban kebocoran data.

Kendala tersebut yang kemudian mengakibatkan penyelesaian kasus kebocoran data menjadi kurang akuntabel dan merugikan korban. Para subjek data yang mengalami kerugian akibat kebocoran data menjadi sulit untuk menuntut haknya, baik hak pemulihan maupun hak kompensasi.

Permasalahan tersebut, menurut Wahyudi, dapat diatasi dengan pembentukan lembaga Pengawas Data Pribadi. Lembaga tersebut akan menjadi solusi untuk membantu para korban, terlebih dalam proses verifikasi yang menyatakan kebenaran status subjek data sebagai korban kebocoran data.


Sebuah kunci yang dinanti-nanti
Wahyudi Djafar menyatakan bahwa langkah awal yang harus dilakukan oleh instansi (dalam hal ini BRI Life) kepada nasabah yang terkena dampak adalah memberi notifikasi atau peringatan tentang kebocoran data yang terjadi.

Adapun yang harus disampaikan dalam peringatan tersebut adalah risiko-risiko apa saja yang mungkin dihadapi oleh subjek data, serta langkah-langkah yang dapat dilakukan untuk mencegah risiko tersebut terjadi.

Kemudian, bila subjek data mengalami indikasi kerugian akibat kebocoran yang terjadi, dibutuhkan lembaga Pengawas Data Pribadi untuk memberi asistensi kepada subjek data terkait.

Subjek data dapat mengajukan pengaduan kepada lembaga Pengawas Data Pribadi terkait kerugian yang ia alami dan dugaan bahwa insiden tersebut diakibatkan oleh kasus kebocoran data. Setelah pengaduan tersebut diterima oleh lembaga Pengawas Data Pribadi, lembaga tersebut yang akan melakukan proses investigasi untuk memverifikasi status subjek data sebagai korban kebocoran data.

Apabila subjek data telah diverifikasi sebagai korban, maka korban dapat menggunakan hasil investigasi tersebut untuk menuntut hak pemulihan kepada instansi terkait. Hak pemulihan dapat dituntut melalui dua cara, yaitu melalui proses mediasi atau melalui proses pengadilan.

Wahyudi mengatakan bahwa lembaga Pengawas Data Pribadi dapat membantu kedua proses tersebut. Pada proses mediasi, lembaga Pengawas Data Pribadi dapat menyediakan hasil investigasi yang menunjukkan jumlah kerugian korban dan membantu subjek data untuk menuntut ganti rugi (dengan cara mediasi) ke instansi tempat insiden kebocoran data terjadi.

Pada proses pengadilan, lembaga Pengawas Data Pribadi dapat menyediakan data yang dibutuhkan oleh korban untuk mengajukan gugatan ganti rugi. Salah satu data yang akan membantu proses gugatan ialah verifikasi yang membuktikan bahwa subjek data merupakan korban kebocoran data yang mengalami kerugian.

Data-data yang dapat dipertanggungjawabkan kebenarannya akan mendatangkan akhir yang akuntabel pada berbagai kasus kebocoran data. Lembaga Pengawas Data Pribadi merupakan lembaga yang dibutuhkan untuk menuntaskan kasus penyalahgunaan serta kebocoran data yang marak terjadi di Indonesia.

Sayangnya, Indonesia harus menunggu kehadiran lembaga tersebut sedikit lebih lama daripada yang diharapkan.

Baca juga: Pengamat: UU PDP untuk tuntaskan kasus kebocoran data secara akuntabel

Independen atau di bawah Kominfo?
Pertanyaan tersebut merupakan sebuah perdebatan yang kini tengah berlangsung di antara para Panitia Kerja Rancangan Undang-Undang Perlindungan Data Pribadi (Panja RUU PDP). Keberadaan lembaga Pengawas Data Pribadi akan diatur di dalam RUU PDP yang kini berada dalam masa deadlock atau buntu.

Seluruh fraksi di DPR menyatakan dukungan mereka untuk membentuk lembaga Pengawas Data Pribadi yang bersifat independen dan bertanggung jawab langsung kepada presiden. Menurut anggota Komisi I DPR RI Bobby Adhityo Rizaldi, lembaga yang independen akan lebih sesuai dengan RUU PDP yang telah dirundingkan.

Apabila lembaga Pengawas Data Pribadi bersifat independen, maka lembaga tersebut dapat berfungsi dengan lebih efektif ketika melakukan pengawasan kepada lembaga publik maupun lembaga swasta. Hal ini selaras dengan RUU PDP, di mana di dalam RUU tersebut disebutkan bahwa RUU PDP dibuat untuk mengatur lembaga pengendali data publik dan swasta.

Sedangkan, apabila lembaga Pengawas Data Pribadi berada di bawah Kominfo, terdapat kemungkinan lembaga tersebut tidak akan bekerja dengan efektif ketika mengawasi lembaga publik. Hal tersebut diungkapkan oleh Bobby ketika menilai kesenjangan otoritas yang akan dimiliki oleh lembaga Pengawas Data Pribadi jika lembaga tersebut berada di bawah naungan Kominfo.

Menurut Bobby, bila Kominfo bersikeras untuk menetapkan lembaga tersebut berada di bawah naungan Kominfo, maka lebih baik aturan di dalam RUU PDP disesuaikan. Penyesuaian yang dimaksud berupa perubahan aturan dan menetapkan bahwa RUU PDP hanya mengatur lembaga pengendali data swasta.

Akan tetapi, perubahan tersebut akan mengurangi esensi dirumuskannya RUU PDP. Sebagian besar data pribadi masyarakat Indonesia bergulir di lembaga publik, seperti sektor perbankan, kesehatan, hingga administrasi negara. Seluruhnya diatur di direktorat jenderal (Dirjen) kementerian masing-masing.

Hingga saat ini, pembahasan terkait RUU PDP masih belum dilanjutkan. Perdebatan tentang status lembaga Pengawas Data Pribadi tak kunjung menemukan jalan tengah.

Panja RUU PDP harus segera melanjutkan pembahasan hingga tahap pengesahan sebelum kasus kebocoran data terjadi kembali.

Baca juga: Puan sebut perlu lembaga independen awasi perlindungan data pribadi

Editor: Joko Susilo
Copyright © ANTARA 2021