RUU Perlindungan Data Pribadi & Kebocoran Data Presiden Di Pedulilindungi

 

RUU Perlindungan Data Pribadi & Kebocoran Data Presiden Di Pedulilindungi

Sebelum menjelaskan RUU Perlindungan Data Pribadi (RUU PDP), Saya akan menjelaskan terlebih dahulu bocornya data Presiden RI di Pedulilindungi menurut salah satu pakar. Perlu jadi catatan bahwa Saya tidak membahas mengenai jenis vaksin dan efek sampingnya serta yang berkaitan dengan kopit karena hal ini tentu sudah banyak yang membahasnya dan juga topik mengenai ini memang sensitif serta rentan disusupi oleh yang ngakunya sebagai TS padahal bisa saja buzzeRp atau agen. Namun untuk kali ini mau tidak mau Saya membahasnya karena kelangsungan hidup rakyat sedang terancam. Langsung saja Saya masuk ke topiknya.

Pakar digital forensik Ruby Alamsyah menjelaskan terdapat dua kesalahan dari peristiwa ini, yaitu NIK Jokowi ditampilkan di laman Komisi Pemilihan Umum (KPU) sebagai calon presiden sejak pemilu hingga 3 September.

"Situs KPU sejak tahun 2019 menampilkan informasi pribadi Calon Presiden, salah satunya pak Jokowi. Dan NIK beliau ditampilkan secara lengkap," ungkap Ruby pada Kompas.com, Sabtu (4/9/2021).

Dari pantauan Ruby, NIK Jokowi ditampilkan secara utuh di situs KPU sejak 2019 sampai Jumat (3/9/2021) sore pukul 16.00 WIB.

Kesalahan kedua terdapat pada fitur Pedulilindungi. Ruby menjelaskan fitur yang digunakan Pedulilindungi kurang aman, karena metode verifikasinya hanya menggunakan 5 item yang informasinya bisa didapatkan dengan mudah oleh orang lain.

Adapun lima item tersebut, yaitu:
Nama
NIK
Tanggal Lahir
Tanggal Faks
Jenis Faks

Ruby mengatakan, lima pertanyaan verifikasi pada PeduliLindungi tersebut kurang tepat dan aman.

Terlebih, data seorang publik figur apalagi seorang presiden, data-data tersebut sudah atau mudah diketahui masyarakat, kecuali NIK.

"Mestinya pemerintah bisa dengan tegas dan bijak mengakui kesalahan di fitur Periksa Sertifikat sebelumnya, yang malah menjadikan titik tersebut titik masuk bocornya data Sertifikat Faks pak Jokowi," tegas Ruby.

Selain itu, menurut Ruby, pemerintah perlu segera mengkaji ulang dan mengubah metode yang digunakan untuk memverifikasi data di fitur Periksa Sertifikat, jika tetap akan digunakan.

Dia menambahkan, semestinya jika pertanyaan verifikasinya hanya 5 item tersebut, data sertifikat para pejabat publik di-exclude oleh sistem Pedulilindungi.

Dengan begitu, masyarakat tidak mudah mencoba fitur periksa sertifikat dengan menggunakan data pejabat publik yang sudah terbuka umum di internet.

Terkait hal itu, menurut Ruby, pemerintah sudah melakukannya. Saat ini masyarakat sudah tidak bisa mengakses data sertifikat faks kopit para pejabat publik di Pedulilindungi.

Jika ingin mengubah metode verifikasinya, Ruby menyarankan kepada pemerintah untuk membuat metode verifikasi yang lebih aman.

Caranya dengan meminta data yang hanya diketahui oleh peminta.

"Salah satu contohnya, menggunakan verifikasi menggunakan OTP ke nomor HP peminta yang sesuai dengan data di database penerima faks," kata Ruby.

Mengubah metode verifikasi menjadi lebih aman ini adalah hal yang urgen, menurut Ruby.

"Kenapa? Karena setelah kasus ini viral, tidak hanya data pejabat publik, data masyarakat umum yang pernah bocor NIK nya di kasus-kasus kebocoran sebelumnya (BPJS, Tokopedia, Bukalapak, dan lain-lain), tidak menutup kemungkinan masyarakat bisa menjadi korban seperti pak Jokowi," pungkas dia.

Verifikasi OTP memang sudah umum. Tetapi sebenarnya kejadian kebocoran data ini dimanfaatkan lebih jauh agar bukan hanya verifikasi OTP saja yang di-sahkan melainkan juga verifikasi biometrik (retina mata dan sidik jari) serta tanda tangan digital. Lama² kalau verifikasi biometrik dan tanda tangan digital tidak efektif, bukan tidak mungkin bakal sampai ke arah mandatori chip.

Direktur Jenderal Kependudukan dan Pencatatan Sipil (Dukcapil) Kementerian Dalam Negeri Zudan Arif Fakrulloh menyarankan aplikasi Pedulilindungi menggunakan autentikasi dua faktor bagi pengguna untuk mengakses informasi ihwal kesehatan.

"Saran saya untuk PeduliLindungi perlu two factors authentication (2FA). Jadi tidak hanya dengan NIK (nomor induk kependudukan) saja, bisa dengan biometrik atau tanda tangan digital (pengguna)," ujar Zudan, Jumat, 3 September 2021.

Autentikasi lebih dari satu tersebut perlu digunakan karena PeduliLindungi dapat diakses oleh siapa saja. Sehingga, ia menyatakan, data informasi NIK masyarakat dapat diketahui dengan mudah. "PeduliLindungi bisa dibuka oleh siapa pun, di Google banyak NIK yang terbuka dan NIK kita beredar saat mengurus apa pun karena (masyarakat) sering meninggalkan fotokopi KTP dan KK (kartu keluarga)," kata Zudan.

Jika dilihat penjelasan Ruby diatas mengenai NIK Jokowi yang sudah ada dalam situs KPU pada tahun 2019, hal tersebut menjadi pertanyaan besar bagi Saya dan juga yang mewanti² mandatori chip. Pertanyaannya adalah mengapa NIK presiden ada di situs KPU hingga 3 September 2021 dan tujuannya untuk apa? Kemudian aplikasi Pedulilindungi ini seperti diisyaratkan agar datanya memang tidak aman sebagaimana yang disampaikan oleh Ruby tersebut mengenai verifikasi dari aplikasi tersebut dan selain itu di halaman Syarat Penggunaan pada situs pedulilindungi tersebut diatur pembatasan tanggung jawab, yaitu (poin pentingnya saja yang Saya kutip):
a. Pemerintah Republik Indonesia dan PT Telekomunikasi Indonesia, Tbk tidak bertanggung jawab atas:
• Pemerintah Republik Indonesia dan PT Telekomunikasi Indonesia, Tbk. tidak bertanggung jawab atas setiap kerugian yang timbul yang diakibatkan karena adanya pelanggaran atau akses tidak sah terhadap PeduliLindungi, termasuk namun tidak terbatas pada hal-hal ataupun fitur yang terdapat dalam PeduliLindungi yang dilakukan oleh Pengguna dengan cara yang bertentangan dengan Ketentuan ini maupun ketentuan hukum yang berlaku di wilayah Republik Indonesia.
• Segala kerusakan atau kerugian Pengguna dan/ atau Pelanggan apapun yang dihasilkan dari penggunaan informasi yang diperoleh dari Situs Pihak Ketiga yang terhubung dengan PeduliLindungi.
b. Pemerintah Republik Indonesia dan PT Telekomunikasi Indonesia, Tbk. tidak menjamin bahwa PeduliLindungi tidak akan terganggu, tepat waktu, aman, bebas dari kesalahan atau bebas dari virus atau kode invasif ataupun hal-hal yang merusak lainnya.

Lihat, artinya apa? Pembatasan tanggung jawab diciptakan agar aplikasi tersebut tetap bakal dipakai sekalipun data² di aplikasi tersebut sekalipun memang terancam tidak aman. Lama² jika aplikasi tersebut dipakai dan diteruskan sedangkan ancaman² bocornya data pada aplikasi tersebut tidak bisa diatasi, ini akan membahayakan data² jutaan lebih rakyat Indonesia yang memakai aplikasi tersebut. Bahkan Presiden Jokowi sendiri telah mengatakan bahwa kini data lebih berharga dari minyak. Menurutnya, data adalah jenis kekayaan baru bangsa kita, kini data lebih berharga dari minyak. Karena itu kedaulatan data harus diwujudkan hak warga negara atas data pribadi harus dilindungi.

Kejadian bocornya data pada aplikasi E-Hac dan juga data Presiden di Pedulilindungi membuat beberapa pihak mendorong agar RUU PDP ini sah menjadi UU. Sebenarnya Saya setuju saja dengan RUU PDP ini namun mengapa dalam Pasal 3 ayat (3) RUU PDP tersebut mengatur data pribadi yang bersifat spesifik meliputi data genetika dan data biometrik? Sejak kapan kedua data tersebut menjadi data identitas pribadi? Biar lebih paham, Kita akan melihat penjelasan lebih rinci mengenai kedua data ini dalam RUU tersebut.

Dalam Rancangan Penjelasan RUU PDP Pasal 3 ayat (3) huruf b, Yang dimaksud dengan “data biometrik” yaitu data yang berkaitan dengan fisik, fisiologis, atau karakteristik perilaku individu yang memungkinkan identifikasi unik terhadap individu, seperti gambar wajah atau data daktiloskopi. Data biometrik juga menjelaskan pada sifat keunikan dan/atau karakteristik seseorang yang harus dijaga dan dirawat, termasuk namun tidak terbatas pada:
1) rekam sidik jari;
2) retina mata; dan
3) sampel DNA.

Retina mata dan sidik jari pasti sudah umum ketika anak berusia 17 tahun keatas membuat E-KTP. Sebenarnya yang Saya permasalahkan bukan data biometrik yang meliputi sidik jari atau retina mata tetapi sampel DNA yang dikatakan merupakan data spesifik tersebut. Jika tujuan sampel DNA ini dikatakan untuk permasalahan yang berkaitan dengan tes DNA dsb, menurut Saya tidak ada masalah. Tetapi yang mengerikannya adalah bagaimana jika sampel DNA yang disimpan itu harus sesuai dengan ketentuan yang mereka tetapkan dalam arti bahwa sampel DNA yang ada pada tubuh seseorang harus (dianggap) murni?

Sedangkan mengenai data genetika menurut Penjelasan RUU PDP Pasal 3 ayat (3) huruf c, Yang dimaksud dengan “data genetika” yaitu semua data jenis apapun mengenai karakteristik suatu individu yang diwariskan atau diperoleh selama perkembangan prenatal (kehamilan) awal. Selama ini data genetika belum tergolong sebagai data pribadi Kita yang diurus dan harus disertakan dalam berbagai bidang administrasi negara ataupun lain² secara umumnya. Bahkan saat mencalonkan diri menjadi Presiden RI pun tidak disyaratkan penyertaan data genetika selain penyertaan salah satu data untuk bisa jadi presiden yaitu kemampuan kesehatan jasmani dan rohani.

Memang dalam RUU PDP tidak tertulis diwajibkan untuk menyertakan data biometrik (khusus sampel DNA kecuali jika ada yang penting² saja) dan juga data genetika. Namun Saya mengkhawatirkan bahwa RUU ini bisa menjadi pasal karet bagi orang yang mempunyai DNA dan data genetikanya yang tidak sesuai dengan yang mereka harapkan dan mereka akan menuduh bahwa DNA dan juga genetikanya itu palsu (padahal sebenarnya bisa saja DNA dan genetikanya murni tapi mereka salah menduganya dengan menganggap seolah² itu tidaklah normal). Seperti Pasal 64 ayat (1) RUU PDP yang menyebutkan bahwa "Setiap Orang yang dengan sengaja memalsukan Data Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain atau yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 54 ayat (1) dipidana dengan pidana penjara paling lama 6 (enam) tahun atau pidana denda paling banyak Rp60.000.000.000,00 (enam puluh miliar rupiah)." Jadi bagi yang mempunyai data sampel DNA dan genetikanya tersebut dianggap palsu, siap² untuk penjara selama 6 tahun atau denda Rp 60 Miliar.

Sekian dulu. Moga² Kita semua mempunyai DNA dan juga genetika yang murni karena hakiki dari kehidupan adalah jangan merubah apa yang sudah Tuhan tetapkan dalam tubuh Kita.

Sumber:
1. https://m.liputan6.com/bisnis/read/4039223/jokowi-kini-data-lebih-berharga-dari-minyak
2. https://pedulilindungi.id/syarat-ketentuan
3. https://nasional.tempo.co/read/1502034/nik-jokowi-tersebar-kemendagri-minta-pedulilindungi-pakai-2fa
4. https://www.kompas.com/tren/read/2021/09/04/120000765/pakar--data-jokowi-bocor-bukan-karena-diretas-tapi-fitur-pedulilindungi-tak?page=all


Post a Comment

أحدث أقدم