Tulisan ini saya publikasi ulang dari artikel saya dengan judul yang sama di portal Manajemen TI pada 14 Maret 2018. Hal ini mengingat masih relevannya pertanyaan seputar topik ini hingga saat sekarang.  

WAKOOL.ID-- Beberapa waktu yang lalu masyarakat dihebohkan dengan keharusan setiap pelanggan seluler prabayar untuk melakukan registrasi SIM Card dengan mengirimkan nomor KTP dan nomor KK pada operator selulernya masing-masing. Masyarakat khawatir tentang keamanan data-data pribadinya dapat diakses oleh operator seluler mereka. Padahal pemerintah sudah menjamin bahwa yang dilakukan oleh operator pada data kependukan hanya proses matching saja, apakah No KTP yang dimasukkan sesuai dengan Nomor KK nya. Dus operator hanya bisa membaca data nomor KK saja, tidak bisa melihat data-data detail lainnya. Tapi, betapapun, hal ini sebenarnya menunjukkan indikasi positif terkait kesadaran keamanan data pribadi kita.

Ironisnya sebenarnya data-data pribadi kita itu tersebar dimana-mana.  Kita mau reservasi tiket, booking hotel, pesan taksi, belanja online, buka rekening, periksa kesehatan, dan banyak keperluan lain maka kita akan diminta data identitas pribadi kita. Baik itu berupa nama, alamat, tanggal lahir, nomor KTP, nomor telpon/ponsel, dan lain-lain. Alhasil saat ini data-data pribadi kita sudah tersebar dimana-mana. Kita jarang mempertanyakan bagaimana keamanan data-data pribadi yang kita berikan tersebut.

Belum lagi kalau kita melihat perusahaan raksasa-raksasa internet saat ini yang seringkali diam-diam mengambil data-data kita dan menggunakannya untuk kepentingan komersial mereka. Secara diam-diam perusahaan-perusahaan tersebut ada yang mengamati pola surfing kita, apa yang kita cari, kebiasaan-kebiasaan kita, dan lain-lain. Lalu dengan berbekal data-data tersebut dan analisisnya mereka manfaatkan untuk penyesuaian iklan yang tampil di layar kita. Facebook, misalnya, telah dituntut di berbagai negara terkait kasus ini. Di Spanyol, pengadilan memutuskan untuk menjatuhkan denda sebesar $1,44 juta pada Facebook karena mengumpulkan data-data ideologi dan kepercayaan religius pelanggannya, selera seks dan personal, dan lain-lain dari produk media sosialnya itu tanpa secara jelas memberinkan informasi untuk apa data-data tersebut akan mereka gunakan. Beberapa negara lain seperti Belgia, Canada, Austria dan lain-lain juga telah melakukan gugatan sejenis pada raksasa media sosial itu terkait pelanggaran penggunaan data personal yang diduga mereka lakukan.

(Baca juga: Arsitektur Keamanan Informasi: Apa dan Bagaimana?)

Kita sering dengan mudah memberikan data-data tersebut, sadar ataupun tidak sadar, kepada suatu pihak tanpa merasa harus memastikan apakah yang kita beri data tersebut dapat memastikan keamanan dari data pribadi kita. Seolah data-data tersebut tidak ada risiko dan nilainya. Padahal berbagai laporan dan studi menunjukkan bahwa fraud yang terjadi berbasis data identitas ini sudah menjadi epidemi. Javelin Strategy & Research dalam laporan studinya yang dirilis beberapa waktu lalu menunjukkan bahwa untuk pertama kalinya, di Amerika Serikat penyalah-gunaan data KTP disana (social security number) melampaui penyalah-gunaan data kartu kredit. Diperkirakan setidaknya 16,7 juta warga AS menjadi korban identity fraud ini pada 2017, atau naik 8 persen dibandingkan tahun 2016. Tragedi Equifax yang menghebohkan itu tentu turut berkontribusi pada angka ini. Equifax sendiri mengestimasikan tragedi tersebut berdampak pada 143 juta warga negara AS. Pembobol itu antara lain mencuri data nama, social security number, tanggal lahir, alamat, dan lisensi mengemudi.

Lebih jauh Javelin memperkirakan bahwa akan tercipta rekor baru lagi di 2018 terkait penyalah-gunaan (fraud) data identitas. Hal ini karena para penjahat itu kini sudah punya banyak amunisi baru untuk melakukan banyak hal yang mereka mau dengan data-data identitas yang ada di tangan mereka tersebut.

(Baca juga: Antara Membagi atau Merahasiakan Informasi)

Lingkup Data Pribadi

Permen Kominfo Nomor 20 Tahun 2016 mendefinisikan data pribadi dengan data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya. Sehingga data pribadi ini bisa mencakup data identitas (seperti nama, tanggal lahir, alamat, nomor KTP), data finansial (seperti rekening bank, asuransi), data kesehatan (seperti rekam medis, asuransi kesehatan), data alat pembayaran (seperti data kartu kredit dan debit), data kredensial online (seperti akun email, akun registrasi belanja online), data pendidikan (seperti ijazah, transkrip nilai), dan data-data lain yang merujuk pada pribadi seseorang sebagaimana definisi pada Permen Kominfo di atas.

Data-data tersebut jika jatuh ke tangan orang-orang yang tidak bertanggung-jawab dapat disalah-gunakan untuk melakukan berbagai kejahatan yang tak terbatas. Studi Javelin lebih lanjut juga mengemukakan bahwa fraud pembuatan akun baru melonjak sebesar 70 persen di 2017 yang diantaranya mereka gunakan untuk membuat akun nomor ponsel baru, akun pembayaran online baru, dan akun e-commerce. Data-data tersebut ternyata juga bisa dijual dan ada pasar khusus yang menjual-belikan data-data tersebut.

Tren melonjaknya kejahatan berbasis data pribadi ini bukan hanya terjadi di AS saja, tapi juga di berbagai belahan dunia. Cifas, organisasi pencegahan fraud yang berbasis di Inggris, menyatakan bahwa fraud berbasis identitas pribadi terus memecahkan rekor dari waktu ke waktu.

(Baca juga: Mengunjungi Kembali Manajemen Data)

Januari 2018 yang lalu, TribuneIndia melaporkan bahwa reporternya dapat memperoleh akses pada database berisi lebih dari semilyar penduduk India dengan harga 500 Rupee yang dibayarkan melalui Paytm. Dengan uang tersebut ia dapat memasukkan nomor UIDAI (NIK versi India) maka akan didapatkan nama, alamat, foto, nomor telpon, dan lain-lain. Lebih hebatnya lagi, dengan menambahkan bayaran sebesar 300 Rupee, maka sang reporter tersebut dapat mencetak kartu Aadhaar (KTP versi India). Dengan kartu tersebut maka ia pun berhak untuk mendapatkan berbagai fasilitas dan subsidi sebagai warga negara India. Demikian dilaporkan oleh TribuneIndia.

Belajar dari Eropa

Negara-negara yang tergabung dalam Uni Eropa telah mengeluarkan aturan umum terkait dengan perlindungan data pribadi ini, yang dikenal dengan General Data Protection Regulation (GDPR). Aturan ini diperkenalkan pada 2016 yang lalu dan akan mulai diberlakukan secara efektif pada Mei 2018 nanti.

GDPR melakukan harmonisasi terhadap sedikitnya 28 regulasi yang mengatur perlindungan data pada berbagai negara Uni Eropa. Untuk mengkoordinasikan penerapannya, dibentuk sebuah otoritas tunggal sebagai “one-stop shop” sehingga memudahkan organisasi atau perusahaan berurusan dengan Uni Eropa. Aturan ini berlaku untuk setiap organisasi baik komersial atau otoritas publik yang melakukan pengumpulan, penyimpanan atau pemrosesan data pribadi dari warga Uni Eropa. Regulasi ini juga memungkinkan terpisahnya organisasi penanggung-jawab (data controller) dan organisasi pemrosesan data (data processor). Sehingga GDPR dapat menjangkau penyedia layanan pemrosesan data yang ditugaskan oleh organisasi penanggung-jawabnya. Dalam penerapannya, GDPR juga menuntut banyak organisasi untuk menunjuk seorang Data Protection Officer (DPO) yang bertanggung-jawab memantau kepatuhan pada regulasi ini.

Tak kalah pentingnya adalah adanya denda pelanggaran hingga 4% dari perputaran uang global atau 20 juta Euro, atau salah satu antara keduanya yang lebih besar nilainya. Hal ini yang membuat organisasi dan perusahaan di berbagai dunia yang melakukan pengumpulan, penyimpanan, atau pemrosesan data pribadi warga Uni Eropa menjadi harus sangat serius untuk melakukan berbagai inisiatif untuk mematuhi regulasi tersebut.

Bagaimana Pengamanan Data Pribadi di Indonesia?

Berdasarkan studi yang dilakukan oleh ELSAM, sedikitnya ada 30 UU di Indonesia yang berkaitan dengan perlindungan data pribadi. Sayangnya UU tersebut saling tumpang-tindih (overlapping) satu dengan lainnya. Kita dapat belajar dari bagaimana GDPR bisa menjadi regulasi tunggal yang menyatukan 28 negara anggotanya. Seharusnya lebih mudah bagi kita mengharmonisasikan regulasi-regulasi yang banyak tumpang tindih dalam lingkup satu negara kita ini.

Indonesia adalah salah satu dari sedikit negara di dunia yang belum punya UU untuk perlindungan Data Pribadi. Memang ada Permen Kominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Hanya saja aturan tersebut kurang memiliki kekuatan dan lebih bersifat internal untuk memastikan operator telekomunikasi yang menyimpan data pribadi pelanggannya dengan baik. Sehingga sangat urgen untuk ditingkatkan menjadi Undang-Undang. Hanya saja sayangnya RUU Perlindungan Data Pribadi ternyata belum masuk menjadi prioritas karena tidak masuk dalam daftar Prolegnas Prioritas 2018.

Hal yang juga sangat mengkhawatirkan adalah pengumpulan data pribadi dalam skala nasional seperti KTP elektronik belum didukung aturan yang jelas dalam perlindungan data pribadi yang dikumpulkannya. Peraturan Presiden Nomor 67 Tahun 2011, yang menjadi basis dari penerapan KTP elektronik itu sama sekali tidak berbicara mengenai penjaminan keamanan data-data pribadi yang dikelolanya itu. Pengelolaan data KTP elektronik ini juga masih menyisakan sejumlah misteri. Kalau masalah hukum dari KTP elektronik ini sedang gencar ditangani oleh KPK, maka siapa yang akan mengurus pemastian keamanan data-data yang dikelolanya? Regulasinya pun belum ada dan belum menjadi prioritas untuk dituntaskan tahun ini. Mudah-mudahan kehebohan registrasi SIM Card –yang sebenarnya kurang relevan itu—setidaknya dapat mendorong kesadaran untuk percepatan perbaikan perlindungan data pribadi di negeri ini. Semoga.[mti/picture:thejakartapost]

Penulis: Umar Alhabsyi, ST, MT, CISA, CRISC.