Modal utama profesi hukum dalam berhubungan dengan kliennya adalah kepercayaan (trust). Dengan reputasi kepercayaan tinggi, firma hukum bisa meraup honorarium tak terbatas selama klien bersedia membayar. Klien dan seluruh datanya penting bagi kantor hukum. Karena itu pula, sudah semestinya firma hukum mengupayakan kerahasiaan data digital tentang kliennya terjamin. Misalnya dengan upaya penerapan ISO 27001 dan melalui regulasi perlindungan data pribadi.
Di era digital, perlindungan data pribadi data pribadi masih rentan. Faktanya firma hukum skala internasional pun tak luput dari pembobolan data klien. Apalagi firma hukum yang sistem penyimpanan informasinya tidak bagus. Ingat, jika dapat dibuktikan ada kelalaian, firma hukum bisa saja digugat klien yang merasa dirugikan.
Sukses dengan kehebohan ‘Panama Papers’ di tahun 2016 lalu, International Consortium of Investigative Journalist (ICIJ) dan koran asal Jerman Süddeutsche Zeitung kembali merilis hasil investigasi dugaan praktek penyembunyian aset dan penghindaran pajak para konglomerat dunia. Informasi itu diperoleh tim investigasi melalui data klien milik firma hukum. Jika sebelumnya kehebohan ‘Panama Papers’ bersumber dari dokumen para klien firma hukum bernama Mossack Fonseca & Co. (MF) yang berada di Republik Panama, kali ini data klien dari firma hukum Appleby di Bermuda yang beredar. Penelusuran hukumonline menunjukkan pada tahun 2013 juga pernah terjadi kebocoran data klien firma hukum asal Singapura, Portcullis TrustNet.
(Baca juga: Panama Papers Hingga Offshore Leaks, Skandal yang Melibatkan Law Firm)
Appleby menyatakan bahwa sistem keamanan informasi mereka telah berjalan dengan baik tanpa ada kebocoran. Menolak tuduhan kebocoran data, Appleby merasa pusat penyimpanan data digital mereka telah diretas. “We wish to reiterate that our firm was not the subject of a leak but of a serious criminal act and our systems were accessed by an intruder who deployed the tactics of a professional hacker” tulisnya dalam laman resmi mereka.
Ahli keamanan siber CISSReC (Communication & Information System Security Research Center), Pratama Dahlian Persadha menjelaskan kepada hukumonline, Rabu(8/11) lalu, klaim telah menjadi korban hacking adalah cara paling umum penyelenggara sistem elektronik untuk berkelit dari tanggung jawab. “Tidak bisa bilang bahwa itu gara-gara hacking sebelum melakukan audit digital forensic terlebih dahulu,” ujar pria yang pernah 15 tahun berkarier di sebuah lembaga negara.
Dalam konteks Indonesia, Pratama mengingatkan, tingkat literasi keamanan informasi masyarakat secara umum masih rendah. Oleh karena itu tanggung jawab terbesar justru ada pada penyelenggara sistem elektronik. “Sebenarnya kesalahan yang paling fatal adalah penyedia layanan tersebut,” tegasnya.
Kantor hukum, kata Pratama, harusnya sudah memiliki standar sistem keamanan informasi digital yang baik. Namun ia melihat kemungkinan terbesar yang terjadi saat ini firma hukum hanya sekadar membeli aplikasi perangkat lunak untuk pengamanan. Padahal menurutnya hal tersebut masih jauh dari standar pengamanan yang memadai. “Di Amerika itu ada satu undang-undang yang mewajibkan semua penyedia layanan keamanan informasi tidak boleh menjual sistem kemanan di luar Amerika sebelum National Security Agency (NSA) dari Amerika bisa menembus sistemnya atau punya kunci masternya. Jangan pernah percaya(aplikasi pihak ketiga), harus mandiri,” lanjutnya.
Menurutnya, kondisi lebih parah ketika firma hukum justru menyimpan data klien dengan teknologi cloud gratisan. Layanan cloud secara jelas memindahkan data kepada penyimpanan yang disediakan pihak ketiga. Sekalipun memiliki klaim sertifikasi internasional, bagi Pratama jasa cloud berbayar sekalipun tidak pernah benar-benar aman. APalagi yang gratisan. “Sekarang ini saya yakin banyak firma hukum di Indonesia menggunakan cloud gratisan, entah itu dropbox atau GDrive, kalau sudah ngomong gratisan, sudah wassalam sajalah,” tandasnya.
Kepala Sub-Direktorat Penyidikan dan Penindakan pada Direktorat Keamanan Informasi Kementerian Komunikasi dan Informatika (Kemenkominfo), Teguh Arifiyadi, mengatakan masih ada kelemahan hukum di Indonesia tentang perlindungan data pribadi. “Tergantung data yang disimpan, apakah data itu menurut undang-undang harus dilindungi dengan konteks pidana atau tidak,” ujarnya kepada hukumonline.
Perlindungan data pribadi dari segi pemidanaan di Indonesia terbatas hanya jika diatur oleh undang-undang tertentu. Misalnya UU Perbankan, UU Administrasi Kependudukan, dan UU Kesehatan. Dengan kata lain, belum ada satu undang-undang khusus soal perlindungan data pribadi. Jika tidak diatur pemidanaannya, hubungan hukum perlindungan data pribadi kembali pada perjanjian perdata antara klien dengan penyedia jasa soal kerahasiaan informasi klien. Tanggung jawab penyedia jasa hanya sejauh yang diperjanjikan.
(Baca juga: KPK Pelajari Nama-Nama di Panama Papers)
Meskipun begitu, Teguh menambahkan regulasi turunan UU No.11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) telah menentukan apa yang harus dilakukan ketika terjadi kegagalan dalam melakukan perlindungan terhadap data. “Ada PP No. 82 Tahun 2012, SOP tidak detil tetapi beberapa kewajiban yang harus dilakukan ketika terjadi kegagalan dalam perlindungan data pribadi,” katanya.
Pasal 15
|
Selain PP No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE), sebetulnya juga telah diterbitkan Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (Permenkominfo Perlindungan Data Pribadi).
Pratama dan Teguh sependapat sebuah firma hukum wajib melakukan upaya maksimal untuk melindungi data pribadi klien yang mereka simpan. Khususnya dalam bentuk dokumen digital yang rentan dari peretasan. Menurut Teguh, setiap firma hukum yang melakukan penyimpanan informasi klien dalam data center atau cloud pada dasarnya tengah melakukan penyelenggaraan atau pengoperasian sistem elektronik. Oleh karena itu, bagi Teguh PP PSTE dan Permenkominfo Perlindungan Data Pribadi juga mengikat bagi firma hukum. “Bukan konteks lawfirm dari sisi badan hukum, tapi dalam konteks dia menyelenggarakan atau mengoperasikan sistem elektronik,” ujar Teguh.
PP No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik | Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik |
BAB I KETENTUAN UMUM Pasal 1 1.Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik. 4.Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain. | BAB I KETENTUAN UMUM Pasal 1 1.Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya. 5.Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik. 6. Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain. |
Seperti halnya Pratama, Teguh mengatakan setiap penyedia jasa dengan sistem elektronik yang menyimpan data klien tidak bisa berkelit begitu saja dengan klaim telah diretas. Setiap data yang diduga diambil lewat peretasan harus dibuktikan lebih dahulu dengan IT audit hingga audit digital forensic.
“Klaim itu statement dalam konteks komunikasi, konteks hukum yang dibenarkan adalah hasil audit terhadap sistem melalui IT audit. Nanti kesimpulan hasil audit digital forensic yang akan membuktikan ada kejahatan atau tidak,” lanjutnya.
Lagi-lagi Teguh pun mengingatkan soal layanan cloud gratisan. “Kalau cloud gratisan lebih rumit lagi, karena biasanya ada klausula bahwa kehilangan atau kerusakan data bukan menjadi tanggung jawab penyelenggara cloud,” imbuhnya.
Jika hasilnya menunjukkan ada kelalaian soal upaya perlindungan data, maka terbuka lebar peluang gugatan hukum oleh klien. Oleh karena itu keduanya menilai penerapan ISO 27001 bisa menjadi bukti iktikad baik. Atau sekurang-kurangnya firma hukum bisa mengikatkan diri pada petunjuk Permenkominfo Perlindungan Data Pribadi.
ISO 27001 merupakan suatu standar Internasional dalam menerapkan sistem manajemen kemanan informasi atau lebih dikenal dengan Information Security Management Systems (ISMS). Sasarannya untuk mengelola dan mengendalikan risiko keamanan informasi dan melindungi kerahasiaan (confidentiality), integritas (integrity) serta ketersediaan (availability) informasi.
Iqsan Sirie, praktisi hukum perlindungan data pribadi yang juga advokat di firma hukum Assegaf Hamzah & Partners menilai, usulan-usulan tersebut sangat baik dan sesuai dengan kewajiban profesi advokat. Kewajiban itu berdasarkan UU Advokat untuk menjaga kerahasiaan klien.
Kerahasiaan tersebut termasuk data pribadi kliennya dan data-data lainnya yang bukan merupakan data pribadi namun bersifat rahasia (misalnya rahasia dagang), yang diketahui dan diperoleh dari kliennya. “Sayangnya, UU Advokat tidak mengatur lebih jauh bagaimana dan seberapa jauh mereka harus berupaya dalam melindungi kerahasiaan data,” terang Iqsan.
Belum lagi menerapkan ISO 27001 dan ketentuan Permenkominfo Perlindungan Data Pribadi tersebut membutuhkan investasi yang cukup besar baik waktu maupun biaya. Disamping juga memberikan kewajiban yang sangat berat dan banyak. “Paket aturan ini menitikberatkan pada penyelenggaraan sistem elektronik, yang menjadi persoalan besar adalah apakah lawfirm bisa dikategorikan sebagai penyelenggara sistem elektronik?” kata Iqsan melalui keterangan tertulisnya dari Belanda kepada hukumonline.
Iqsan memahami bahwa tidak semua firma hukum memiliki daya dukung yang cukup untuk bisa memenuhi standar ISO 27001 dan Permenkominfo Perlindungan Data Pribadi. Apalagi memang tidak ada daya paksa hukum dari kedua rezim standardidasi tersebut untuk membuat firma hukum menjalankannya. Wajar jika minim firma hukum yang mau menundukkan diri soal standardisasi keamanan informasi ini.
Berbeda dengan banyak firma hukum di luar negeri yang menurut Iqsan sudah menerapkan standar sistem keamanan informasi internasional terbitan ISO. “Saya tahu di Indonesia, ada beberapa lawfirm yang telah menerapkan standar ISO (antara lain, ABNP, LSM, LGS), namun ISO yang diterapkan bukan terkait sistem keamanan informasi,” tambahnya.
Teguh Arifiyadi mengakui sebenarnya ada batasan Permenkominfo Perlindungan Data Pribadi. Pada dasarnya penerapan ISO 27001 sebagai standar internasional hanya wajib bagi penyelenggara sistem elektronik dengan kriteria strategis dan beresiko tinggi. Lampiran Permenkominfo tersebut menyediakan daftar self assestment untuk dinilai sendiri. “Kalau tidak jujur kemudian ada yang buktikan dia beresiko (tinggi), ada resiko konsekuensi hukum yang dia tanggung,” katanya.
Jika melihat hal tersebut, nampaknya firma hukum dengan skala kecil dan menengah bisa saja untuk saat ini menutup mata atas Permenkominfo Perlindungan Data Pribadi dan ISO 27001. Sementara firma hukum besar dengan klien multinasional memiliki tantangan untuk semakin mengokohkan kredibilitas mereka. Namun yang terpenting, menjaga kepercayaan dan kepentingan hukum klien sebaik mungkin adalah hal mutlak untuk dijunjung tinggi oleh profesi hukum.
Untuk itu, Teguh Arifiyadi mengusulkan agar resiko soal perlindungan data pribadi ini diperjanjikan dengan jelas dalam perjanjian perdata yang mengikat firma hukum dengan klien. “Kebanyakan tidak diatur detail, hanya dinyatakan tidak boleh membuka atau memberikan data kepada pihak lain, soal data bocor atau mekanisme perlindungannya tidak pernah diatur detil antara klien dengan firma hukum,” tutupnya.