New Year, New Data Breach: Kebocoran Data Kesehatan Terjadi Kembali, Bukti RUU PDP Penting Segera Disahkan

Mengawali pergantian tahun 2022, masyarakat Indonesia kembali disambut terjadinya kebocoran data pribadi yang dialami oleh instansi publik. Berulangnya kasus kebocoran data tersebut semakin memperjelas fakta bahwa institusi publik pada umumnya belum siap untuk mengaplikasikan seluruh prinsip pelindungan data pribadi. Kali ini, data yang diduga bocor dan dijual bebas di situs RaidForum adalah data pasien Covid-19 milik Kementerian Kesehatan (Kemenkes), yang ditengarai berasal dari 6 juta rekam medis pasien. Kabar yang menyeruak pada 6 Januari 2022 ini menyebutkan bahwa sampel dokumen data pribadi dan rekam medis pasien tersebut berjumlah setidaknya 720 GB, dengan keterangan dokumen "Centralized Server of Ministry of Health of Indonesia" (server terpusat Kemenkes). Data pribadi tersebut mencakup data identitas pasien (mencakup alamat rumah, tanggal lahir, nomor ponsel, NIK) dan rekam medis (mencakup anamnesis atau data keluhan utama pasien, diagnosis dengan kode ICD 10 atau pengkodean diagnosis internasional, pemeriksaan klinis, ID rujukan, pemeriksaan penunjang, hingga rencana perawatan).^[1] Atas insiden tersebut, pihak Kemenkes mengaku sedang melakukan asesmen permasalahan dan mengevaluasi sistemnya.^[2]

Keseluruhan pemrosesan data pribadi pasien Covid-19 oleh Kemenkes merupakan bagian dari ruang lingkup penyelenggaraan sistem informasi kesehatan yang menggunakan sistem elektronik. Oleh karenanya, terdapat beberapa instrumen hukum yang dapat dirujuk dalam kasus a quo, khususnya PP No. 46/2014 tentang Sistem Informasi Kesehatan (PP SIK), PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE), dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo 20/2016). Mengacu pada berbagai peraturan tersebut, setiap pemrosesan data pribadi harus sesuai dengan prinsip pelindungan data pribadi, termasuk kewajiban memastikan keamanan data pribadi. Selain itu, dalam hal keamanan sistemnya, Kemenkes juga tunduk pada Perpres No. 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik (Perpres SPBE), yang secara teknis operasionalnya telah diatur dalam Peraturan BSSN No. 4/2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik (Peraturan BSSN 4/2021).

Beberapa peraturan perundang-undangan tersebut dapat menjadi rujukan awal untuk mengidentifikasi tingkat kepatuhan dari pengendali dan pemroses data, dalam hal ini adalah Kemenkes, terhadap kewajiban pelindungan data pribadi. Dari proses itu setidaknya akan dapat diketahui penyebab dari terjadinya kebocoran, dengan melihat mekanisme kepatuhan mana saja yang tidak diindahkan dalam pemrosesan data pribadi.

Selain tentunya melalui langkah-langkah investigasi teknis keamanan siber lainnya, maupun kemungkinan terjadinya human error dalam pemrosesannya. Proses tersebut juga sekaligus menjadi acuan awal untuk menentukan dampak risiko yang mungkin terjadi pada subjek data, langkah-langkah mitigasi yang harus dilakukan oleh pengendali dan pemroses data, untuk menghentikan kebocoran, serta tingkat pelanggaran yang dilakukan. Lebih jauh berbagai instrumen di atas mengatur:

Pertama, PP SIK mengatur bahwa pengamanan informasi kesehatan dilakukan untuk menjamin agar informasi kesehatan: (1) tetap tersedia dan terjaga keutuhannya; dan (2) terjaga kerahasiaannya untuk informasi kesehatan yang bersifat tertutup.^[3] Kemudian untuk menjaga keamanan dan kerahasiaan informasi kesehatan, Kemenkes berkewajiban untuk: (1) melakukan pemeliharaan, penyimpanan, dan penyediaan cadangan data dan informasi kesehatan secara teratur; dan (2) membuat sistem pencegahan kerusakan data dan informasi kesehatan.^[4]

Kedua, PP PSTE dan Permenkominfo 20/2016 mengatur bahwa pemrosesan data pribadi harus dilakukan dengan “melindungi keamanan data pribadi dari kehilangan, penyalahgunaan, akses dan pengungkapan yang tidak sah, serta pengubahan atau perusakan data pribadi”,^[5] dan penyelenggara sistem elektronik wajib “menjaga kerahasiaan data pribadi”.^[6] Selain itu, subjek data juga memiliki hak untuk mendapatkan pemberitahuan secara tertulis dalam hal terjadinya kebocoran data pribadi.^[7]

Ketiga, Perpres SPBE mengatur dalam pengembangan aplikasi umum dan aplikasi khusus pemerintah, di dalamnya harus dipastikan sistem keamanannya, yang mencakup confidentiality, integrity, dan availability dari sistemnya, juga mekanisme pengendalian keamanan lainnya. Aspek-aspek itu yang kemudian diturunkan sebagai standar teknis dan prosedur keamanan aplikasi pemerintah, yang diatur dalam Pasal 25-29 Peraturan BSSN 4/2021, dengan salah satu tujuannya memastikan fungsi proteksi data.^[8] Peraturan ini juga mengatur tindakan minimal yang harus dilakukan ketika terjadi insiden keamanan, juga kewajiban untuk melakukan audit keamanan secara berkala.

Kendati demikian, keseluruhan instrumen di atas, dapat dikatakan belum cukup memberikan pelindungan yang komprehensif terhadap setiap pemrosesan data pribadi warga negara. Mengingat berbagai peraturan tersebut belum sepenuhnya mengadopsi prinsip-prinsip perlindungan data pribadi, dan cenderung tumpang tindih satu sama lain, yang berakibat pada ketidakpastian perlindungan. Beberapa aspek yang masih nihil dalam pengaturan saat ini, antara lain adalah terkait dengan perlindungan data sensitif, kejelasan perlindungan hak-hak subjek data, termasuk mekanisme pemulihan ketika terjadi pelanggaran. Tantangan besar lainnya dalam penanganan kasus kebocoran data pribadi di sektor publik selama ini, adalah hampir tidak ditemukan adanya suatu proses investigasi yang dilakukan secara akuntabel. Fakta tersebut sesungguhnya menunjukkan ketidaksiapan pemerintah dalam menyelesaikan berbagai insiden kebocoran data pribadi, yang terus-menerus berulang.

Berangkat dari persoalan itu, akselerasi pembahasan RUU Pelindungan Data Pribadi menjadi penting disegerakan, untuk menghadirkan rujukan instrumen perlindungan yang komprehensif, sehingga mampu meminimalisir terus berulangnya insiden kebocoran data pribadi. Selain itu, untuk memastikan efektivitas dalam implementasinya nanti, legislasi ini juga penting menghadirkan adanya otoritas pelindungan data pribadi yang independen, yang mampu bekerja secara fair dan adil. Tanpa adanya otoritas PDP yang independen, tentunya sulit untuk mencapai tujuan dari perlindungan data pribadi, sebagaimana diamanatkan oleh Pasal 28G ayat (1) UUD 1945. Apalagi mengingat besarnya pemrosesan data pribadi warga negara yang dilakukan oleh institusi publik, baik di tingkat pusat maupun daerah. Juga ketidaksiapan mereka dalam kepatuhan terhadap perlindungan data pribadi, yang nampak dari sejumlah insiden kebocoran data pribadi yang melibatkan institusi publik, seperti yang nampak salah satunya dari kasus ini. Oleh karena itu, KA-PDP menekankan sejumlah rekomendasi berikut ini:

1. Badan Siber dan Sandi Negara (BSSN) melakukan proses investigasi secara mendalam atas terjadinya insiden keamanan ini, untuk kemudian dapat memberikan rekomendasi sistem keamanan yang handal dalam pengelolaan sistem informasi kesehatan di Indonesia;
2. Kementerian Komunikasi dan Informatika, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No. 71/2019 dan Permenkominfo No. 20/2016, untuk mengambil langkah dan tindakan terhadap pengendali dan pemroses data selaku penyelenggara sistem dan transaksi elektronik, termasuk mitigasi, dan langkah pemulihan bagi subjek datanya;
3. Kementerian Kesehatan dan pihak terkait lainnya, melakukan evaluasi sekaligus meningkatkan kebijakan internal terkait pelindungan data, juga audit keamanan secara berkala, untuk memastikan kepatuhan dengan prinsip-prinsip pelindungan data pribadi dan keamanan siber;
4. DPR dan Pemerintah segera mempercepat proses pembahasan dan pengesahan RUU Pelindungan Data Pribadi, dengan tetap menjamin partisipasi aktif seluruh pemangku kepentingan, sekaligus juga kualitas substansinya. Selain itu, rentetan insiden penyalahgunaan data pribadi, termasuk yang melibatkan institusi publik, kian memperlihatkan pentingnya pembentukan otoritas pelindungan data pribadi yang independen, guna menjamin efektivitas implementasi dan penegakan UU PDP nantinya.

Jakarta, 7 Januari 2022

Koalisi Advokasi Pelindungan Data Pribadi: ELSAM, AJI Indonesia, ICT Watch, PUSKAPA UI, ICJR, LBH Jakarta, AJI Jakarta, LBH Pers, Yayasan TIFA, Imparsial, HRWG, YLBHI, Forum Asia, Kemudi, Pamflet, Medialink, IPC, ICW, Perludem, SAFEnet, IKI, PurpleCode, Kemitraan, IAC, YAPPIKA-Action Aid, IGJ, Lakpesdam PBNU, ICEL, PSHK.

Untuk informasi lebih lanjut silahkan menghubungi Wahyudi Djafar (Direktur Eksekutif ELSAM), telp: 081382083993, Alia Yofira (Peneliti ELSAM), telp: 081217015759, Shevierra Danmadiyah (Peneliti ELSAM), telp: 081236325338.

^[1] Lihat: "Data Pasien Covid-19 Milik Kemenkes Diduga Bocor Dijual di Raid Forum", dalam https://www.cnnindonesia.com/teknologi/20220106134626-185-743362/data-pasien-covid-19-milik-kemenkes-diduga-bocor-dijual-di-raid-forum.

^[2] Lihat: “Kemenkes Telusuri Dugaan Kebocoran Data 6 Juta Pasien Rumah Sakit”, dalam https://www.suara.com/tekno/2022/01/06/183439/kemenkes-telusuri-dugaan-kebocoran-data-6-juta-pasien-rumah-sakit?page=1.

^[3] Pasal 23 PP SIK.

^[4] Pasal 24 ayat (2) PP 46/2014.

^[5] Pasal 14 ayat (1) huruf e PP PSTE.

^[6] Pasal 28 Permenkominfo 20/2016.

^[7] Pasal 14 ayat (5) dan Pasal 14 ayat (1) huruf f PP PSTE.

^[8] Pasal 27 ayat (7) Peraturan BSSN 4/2021.