REPUBLIKA.CO.ID, JAKARTA -- Dosen Cyberlaw International Islamic University Malaysia Prof Sonny Zulhuda menanggapi soal bocornya data Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan. Dia pun mengungapkan skenario jika terjadi kebocoran data pribadi di sebuah lembaga seperti BPJS.
Dia mengatakan, jika RUU Perlindungan Data Pribadi (PDP) yang saat ini masih dibahas di DPR rampung, maka berdasarkan naskah yang dibahas per awal tahun 2020, akan ada kewajiban pelaporan atau pemberitahuan insiden kebocoran data. Atau dalam istilah norma internasional adalah “data breach notification”.
"Skenarionya begini, ketika tersinyalir indikasi kebocoran data dari manapun sumbernya, maka pihak pengendali/pengelola data akan diwajibkan menyampaikannya ke semua orang (pelanggan, pekerja, dan lain-lain) yang datanya berpotensi terdampak serta ke pihak berwajib sambil menunggu hasil investigasi menyeluruh," ujar Prof Sonny kepada Republika.co.id, Ahad (23/5).
Dia mengatakan, pelaporan ini tidak harus menunggu tersiarnya berita kebocoran di media massa. Tidak juga harus menanti sampai ada konfirmasi bahwa memang terjadi kebocoran data tersebut.
Menurut dia, indikasi kebocoran sudah cukup mengaktifkan kewajiban pelaporan ini di bawah UU PDP. "Pelaporan ini juga penting untuk memberikan peluang kepada setiap individu terdampak agar waspada dan mengambil tindakan pengamanan pribadi mengantisipasi kemungkinan penyerangan atau penyalahgunaan data mereka," ucapnya.
Dia mencontohkan, jika seseorang diberitahu bahwa data pribadinya di sebuah perusahaan terdampak peretasan, maka orang tersebut akan bersiap-siap mengganti password emailnya, PIN ATM-nya. Atau mengaktifkan keamanan berlapis bagi akun Internet banking, media sosial dan media cloud yang dipakai.
"Di berbagai undang-undang negara lain, kegagalan pengendali data dalam melakukan pelaporan ini merupakan kesalahan dan bisa dijatuhkan pidana (criminal offence). Di RUU PDP Indonesia, sanksi yang berlaku adalah sanksi administratif termasuk mengganti kerugian individu pemilik data dan membayar denda," kata Prof Sonny.
Uniknya, kata dia, dalam RUU PDP Indonesia kewajiban pemberitahuan ini bahkan diperluas kepada kepada masyarakat. Kewajiban tambahan ini berlaku jika kegagalan pelindungan data pribadi mengganggu pelayanan publik atau berdampak serius terhadap kepentingan masyarakat.
"Aturan ini pada akhirnya bertujuan menegakkan transparansi dalam pemrosesan data pribadi sehingga menjaga integritas dan sistem kepercayaan publik dalam konteks ekonomi digital kita," ujar Prof Sonny.
Sebelumnya, Kemkominfo memanggil Direksi BPJS Kesehatan pada Jumat (21/5) terkait dugaan kebocoran data 279 juta data pribadi penduduk Indonesia. Ini karena Kominfo menemukan sampel data yang bocor diduga kuat identik dengan data BPJS Kesehatan.
“Hari ini Kemkominfo melakukan pemanggilan terhadap Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor untuk proses investigasi secara lebih mendalam sesuai amanat PP 71 Tahun 2019,” kata Juru Bicara Kemkominfo, Dedy Permadi dalam keterangan tertulisnya, Jumat (21/5).