Kebocoran 279 Juta Data WNI, Siapa yang Harus Bertanggung Jawab?

Seperti dugaan kebocoran data peserta BPJS Kesehatan, Sinta menilai yang terjadi di Indonesia hampir memiliki pola yang serupa. Yakni, kebocoran data selalu diketahui dari pihak ketiga.

"Yang sekarang terjadi di Indonesia, ribut, setelah itu lupa, muncul lagi gitu... Lalu, oh itu hacker yang melakukan, padahal kalau dalam hukum perlindungan data pribadi dia harus melihat ke dalam dulu," ujarnya.

Menurutnya, institusi pengedali data juga harus diperiksa, apakah sudah melakukan perlingdungan secara maksimal atau belum. Seharusnya, kata Sinta, pengedali data mengetahui terlebih dulu adanya kebocoran data karena ibaratnya pemilik rumah.

"Kalau sudah terjadi kebocoran data, pengendali ini yang harus memberitahu kepada lembaga pengawasnya nanti ya, kemudian memberi tahu kepada user 'tolong password-nya diganti'," ujar Sinta.

Oleh karena itu, Sinta menilai saat ini perlu disahkan Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi (PDP). Sebab dalam RUU tersebut dituliskan siapa yang harus bertanggung jawab apabila terjadi kebocoran data.

"Kalau di RUU PDP itu ada diatur bahwa yang harus bertanggung jawab dalam kasus pengendalian data pribadi, pemerintah, swasta, dan perorangan," kata Sinta.

Menurutnya, keberadaan RUU PDP setelah disahkan akan membuat lembaga atau korporasi pengendali data pribadi lebih berhati-hati. Sebab, ada ancaman denda hingga pidana jika terjadi suatu kesalahan seperti kebocoran data.

"Jadi ini pelajaran buat semua orang, bahwa data ini sekarang sudah tidak bisa dianggap sebagai sesuatu hal yang sepele, karena sekarang masyarakat sudah makin paham," ujar Sinta.

"Dan nanti dengan adanya RUU PDP ini, kedudukan konsumen punya posisi yang kuat," tegasnya.

Namun, dengan aturan yang ada saat ini, Sinta mengatakan pihak BPJS Kesehatan tidak bisa didenda atau pidana dalam kasus kebocoran data. Paling mentok, jika terbukti bersalah, BPJS Kesehatan hanya akan diberi sanksi administrasi.

"Tidak bisa (dipidana), karena yang ada itu (sanksi) administrasi. Tapi kan bukan berarti (hanya sanksi) administrasi, oh santai saja, gak," ungkapnya.

Sebab, ia menegaskan apabila RUU PDP disahkan, semua pihak pengelola data harus bersiap. Karena, perlindungan data menyangkut sistem, sumber daya manusia hingga pola pikir pimpinan perusahaan agar peduli akan pentingnya data pribadi konsumen.

Sinta mengatakan respons Kominfo dalam kasus dugaan kebocoran data 279 juta di BPJS Kesehatan sudah baik. Akan tetapi, menurutnya Kominfo sebagai pengawas harus melakukan audit berkala terhadap lembaga atau korporasi pengelola data pribadi masyarakat.

Seperti, kata dia, audit keuangan yang dilakukan berkala oleh pihak ketiga. Audit keamanan pengelolaan data pribadi penting untuk mengetahui ada atau tidaknya kelemahan pada sistem yang dipergunakan.

"Nah itu sepertinya belum dilakukan secara konsisten, dan harusnya rutin kan. Dipilih saja, mana perusahaan-perusahaan yang mengelola data dengan jumlah yang besar saja, yang rentan," kata dia.

Selain itu, Kominfo pun harus mempublikasikan hasil auditnya. Sehingga masyarakat bisa menentukan sendiri pilihan terkait keamanan data pribadinya.

"Jadi publik itu tahu bahwa perusahaan ini bener atau enggak, karena itu masalah reputasi. Kalau tidak betul mengelolanya itu perusahaan terus menerus, terjadi kebocoran data, kan reputasi (turun) biarkan saja, nanti konsumen yang akan menentukan," pungkasnya.