- The Hacker News
VIVA – Baru-baru ini akun DatabaseShopping, melalui forum komunitas hacker bernama RaidForums, mengaku menjual 230 ribu data pribadi terkait penanganan COVID-19 milik warga Indonesia. Celakanya, tidak hanya data yang bersifat umum, seperti nama, alamat, dan usia. Tapi termasuk data riwayat kesehatan, yang masuk kualifikasi data sensitif.
Insiden tersebut seperti melengkapi rentetan insiden kebocoran data pribadi yang terjadi sebelumnya di Indonesia. Pada 17 April 2020, Tokopedia mengalami kebocoran data pribadi pengguna mereka, setidaknya terhadap 12.115.583 akun.
Disusul tidak lama kemudian kebocoran data pribadi yang dialami oleh Bhineka.com oleh kelompok peretas ShinyHunters, yang mengklaim memiliki 1,2 juta data pengguna mereka. Data tersebut dijual senilai US$12 ribu atau setara Rp17,8 juta.
Sebelumnya, insiden kebocoran data pribadi juga dialami oleh platform e-commerce lainnya, Bukalapak, yang tercatat 12.957.573 akun pengguna platform tersebut diperjualbelikan. Kebocoran data pribadi tidak hanya terjadi pada sektor swasta.
Pada 21 Mei 2020, akun Twitter @underthebreach menyebutkan adanya penjualan 2 juta data pemilih. Penjual juga mengaku memiliki 200 juta data penduduk Indonesia, yang terdiri dari nama lengkap, alamat, nomor identitas, tanggal lahir, umur, status kewarganegaraan, dan jenis kelamin, yang berasal dari Daftar Pemilih Tetap (DPT) yang dikelola Komisi Pemilihan Umum (KPU).
Kebocoran DPT memiliki risiko yang sangat besar, karena DPT dibangun dari data kependudukan, yang terkoneksi dengan NIK dan NKK seseorang. Sementara NIK dan NKK adalah instrumen utama dalam verifikasi dan pengaksesan berbagai layanan, baik publik maupun swasta, seperti BPJS hingga layanan perbankan.
Untuk itu, Lembaga Studi dan Advokasi Masyarakat (Elsam) memandang semakin pentingnya percepatan proses pembahasan RUU Pelindungan Data Pribadi (RUU PDP).
Secara umum, beragam permasalahan dalam penanganan soal kebocoran data pribadi itu terjadi sebagai akibat dari sengkarut pengaturan perlindungan data di Indonesia, yang pada akhirnya berdampak pada adanya ketidakpastian hukum dalam perlindungan.
"Ketidakpastian hukum terjadi dikarenakan tidak adanya kesamaan definisi data pribadi dan jenis data pribadi. Lalu, ketidakselarasan prinsip-prinsip dalam perlindungan data, ketidakjelasan dasar hukum pemrosesan data, serta ketidaksatuan pengaturan pemrosesan data," demikian keterangan resmi Elsam, Senin, 22 Juni 2020.
Selanjutnya, ketidakjelasan pengaturan perihal kewajiban pengendali dan prosesor data, kekosongan jaminan perlindungan hak-hak subjek data; dan ketiadaan lembaga independen yang berfungsi sebagai regulator, pengendali, dan pengawas, termasuk penyelesaian sengketa, misalnya ketika terjadi kegagalan dalam perlindungan data.
Hal ini, menurut Elsam, tentu berdampak pada warga negara sebagai subjek data berada pada posisi tidak terlindungi dan rentan sejumlah aktivitas yang bersumber pada penyalahgunaan data pribadi, seperti korban penipuan dan pencurian identitas.
"Perlunya melakukan kembali penilaian risiko secara komprehensif terhadap seluruh teknologi dan sistem informasi yang digunakan dalam penanggulangan COVID-19, terutama berkaitan dengan data pribadi pasien dan pekerja medis, sehingga mampu melakukan perbaikan tata kelola data dalam sistem yang meningkatkan pelindungan data pribadi," jelas Elsam.
