Masyarakat kembali dibuat khawatir dengan kasus kebocoran data pribadi, setelah adanya dugaan kebocoran data di Direktorat Kependudukan dan Pencatatan Sipil (Dukcapil), Kementerian Dalam Negeri (Kemendagri). Kebocoran data tersebut terungkap dari adanya penjualan sedikitnya 337.225.465 data di situs breachforums.vc, yang diunggah pada Jumat (14/7) lalu.
Dalam unggahan tersebut juga diberikan sejumlah sampel data, mulai dari nama, NIK, nomor KK, tanggal lahir, alamat, nama ayah, nama ibu, NIK ayah, NIK ibu, nomor akta lahir/nikah, dll., yang jumlahnya tidak kurang dari 71 log data. Termasuk juga data kelahiran anak dan data perkawinan anak, yang merupakan bagian dari data sensitif/spesifik, mengacu pada UU No.27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).
Atas dugaan adanya kebocoran data pribadi di Dukcapil Kemendagri tersebut, Lembaga Studi dan Advokasi Masyarakat (Elsam) menekankan agar Kemendagri segera melakukan investigasi internal untuk mengidentifikasi sumber kegagalan pelindungan; menganalisis informasi yang berkaitan dengan insiden selanjutnya; memprioritaskan penanganan insiden berdasarkan tingkat dampak yang terjadi; mendokumentasikan bukti insiden yang terjadi; mengurangi dampak risiko; dan memberikan notifikasi sebagaimana diwajibkan Pasal 46 UU PDP.
Baca juga:
- 8 Prinsip Hak Privasi dalam Aturan Pelindungan Data Pribadi
- Membandingkan Isi UU Pelindungan Data Pribadi di Indonesia dengan Negara Lain
Kemendagri juga perlu melakukan peninjauan kembali standar pelindungan data pribadi dalam pengelolaan SIAK dengan mengacu pada UU PDP sebagai standar tertinggi pelindungan data pribadi, tidak semata-mata berdasarkan pada UU Adminduk. “Sebab, dengan SIAK terpusat, sebagai tindak lanjut dari pengembangan single identity bagi warga negara, maka risiko dan bencana yang mungkin terjadi juga semakin besar,” kata Wahyudi Djafar selaku Direktur Eksekutif Elsam dalam keterangan persnya, Rabu (19/7).
Kemudian, pengguna layanan akses data kependudukan (5300 lebih institusi), mengubah mekanisme atau kombinasi data dalam proses autentikasi konsumen/penerima layanan, untuk mencegah risiko penyalahgunaan layanan dari pihak yang sebenarnya bukan pemilik identitas (pencuri identitas).
Elsam juga meminta Kemenkominfo melaksanakan kewenangan pengawasan yang dimilikinya sesuai Pasal 35 PP No. 71/2019, termasuk terhadap PSE publik, dengan melakukan proses investigasi untuk mengidentifikasi penyebab kegagalan pelindungan data; kerugian baik pada pengendali, prosesor, maupun subjek data, serta mengumumkan informasi laporan hasil investigasi secara akuntabel.