Kerahasiaan tersebut termasuk data pribadi kliennya dan data-data lainnya yang bukan merupakan data pribadi namun bersifat rahasia (misalnya rahasia dagang), yang diketahui dan diperoleh dari kliennya. “Sayangnya, UU Advokat tidak mengatur lebih jauh bagaimana dan seberapa jauh mereka harus berupaya dalam melindungi kerahasiaan data,” terang Iqsan.
Belum lagi menerapkan ISO 27001 dan ketentuan Permenkominfo Perlindungan Data Pribadi tersebut membutuhkan investasi yang cukup besar baik waktu maupun biaya. Disamping juga memberikan kewajiban yang sangat berat dan banyak. “Paket aturan ini menitikberatkan pada penyelenggaraan sistem elektronik, yang menjadi persoalan besar adalah apakah lawfirm bisa dikategorikan sebagai penyelenggara sistem elektronik?” kata Iqsan melalui keterangan tertulisnya dari Belanda kepada hukumonline.
Iqsan memahami bahwa tidak semua firma hukum memiliki daya dukung yang cukup untuk bisa memenuhi standar ISO 27001 dan Permenkominfo Perlindungan Data Pribadi. Apalagi memang tidak ada daya paksa hukum dari kedua rezim standardidasi tersebut untuk membuat firma hukum menjalankannya. Wajar jika minim firma hukum yang mau menundukkan diri soal standardisasi keamanan informasi ini.
Berbeda dengan banyak firma hukum di luar negeri yang menurut Iqsan sudah menerapkan standar sistem keamanan informasi internasional terbitan ISO. “Saya tahu di Indonesia, ada beberapa lawfirm yang telah menerapkan standar ISO (antara lain, ABNP, LSM, LGS), namun ISO yang diterapkan bukan terkait sistem keamanan informasi,” tambahnya.
Teguh Arifiyadi mengakui sebenarnya ada batasan Permenkominfo Perlindungan Data Pribadi. Pada dasarnya penerapan ISO 27001 sebagai standar internasional hanya wajib bagi penyelenggara sistem elektronik dengan kriteria strategis dan beresiko tinggi. Lampiran Permenkominfo tersebut menyediakan daftar self assestment untuk dinilai sendiri. “Kalau tidak jujur kemudian ada yang buktikan dia beresiko (tinggi), ada resiko konsekuensi hukum yang dia tanggung,” katanya.
Jika melihat hal tersebut, nampaknya firma hukum dengan skala kecil dan menengah bisa saja untuk saat ini menutup mata atas Permenkominfo Perlindungan Data Pribadi dan ISO 27001. Sementara firma hukum besar dengan klien multinasional memiliki tantangan untuk semakin mengokohkan kredibilitas mereka. Namun yang terpenting, menjaga kepercayaan dan kepentingan hukum klien sebaik mungkin adalah hal mutlak untuk dijunjung tinggi oleh profesi hukum.
Untuk itu, Teguh Arifiyadi mengusulkan agar resiko soal perlindungan data pribadi ini diperjanjikan dengan jelas dalam perjanjian perdata yang mengikat firma hukum dengan klien. “Kebanyakan tidak diatur detail, hanya dinyatakan tidak boleh membuka atau memberikan data kepada pihak lain, soal data bocor atau mekanisme perlindungannya tidak pernah diatur detil antara klien dengan firma hukum,” tutupnya.