Kebocoran Data BPJS Kesehatan: Lemahnya Perlindungan Data Pribadi Oleh Rasti Apriliani Staf Literasi dan Penulisan LK2 FHUI
Badan penyelenggara jaminan sosial kesehatan atau BPJS Kesehatan adalah sebuah lembaga yang bertanggung jawab untuk menyelenggarakan jaminan kesehatan nasional untuk seluruh rakyat Indonesia. BPJS Kesehatan dipercaya oleh masyarakat sebagai lembaga yang dapat menyelenggarakan hak peserta untuk dapat memperoleh pelayanan kesehatan yang dapat dijangkau oleh masyarakat. Peserta BPJS Kesehatan berhak mendapatkan pelayanan kesehatan perorangan yang mencakup promotif, preventif, kuratif dan rehabilitatif termasuk pelayanan obat, alat kesehatan dan bahan medis habis pakai sesuai kebutuhan medis yang diperlukan.1 Karena manfaat yang ditawarkan begitu banyak, masyarakat pun banyak yang menjadi peserta BPJS Kesehatan. Tercatat bahwa peserta BPJS Kesehatan pada akhir tahun 2020 berjumlah 222,46 juta orang.2 Jumlah tersebut
tidak dapat dikatakan sedikit, mengingat jumlah peserta tersebut
merupakan jumlah peserta program Jaminan Kesehatan Nasional yang menjangkau hampir seluruh penjuru negeri Indonesia.
1
Nur Rohmi Aida, “Apa Saja Manfaat BPJS Kesehatan? Ini Daftarnya,”https://www.kompas.com/tren /read/2021/04/24/102500665/apa-saja-manfaat-jadi-peserta-bpjs-kesehatan-ini-daftarnya?page=all, diakses pada tanggal 26 Mei 2021. 2 Wibi Pangestu Pratama, “Jumlah Peserta BPJS Kesehatan Merosot 1,64 Juta Orang, Kenapa Ya?,” https://finansial.bisnis.com/read/20210113/215/1342316/jumlah-peserta-bpjs-kesehatan-merosot-164-juta-orangkenapa-yanansial.bisnis.com/read/20210113/215/1342316/jumlah-peserta-bpjs-kesehatan-merosot-164-juta-orangkenapa-ya, diakses pada tanggal 26 Mei 2021.
BPJS Kesehatan juga menawarkan tata cara pendaftaran yang mudah bagi para calon peserta yang ingin bergabung. Calon peserta yang ingin bergabung dapat mengunjungi laman BPJS Kesehatan, lalu mengisi formulir yang berisikan data diri calon peserta. Calon peserta mengisikan formulir sesuai dengan jenis pekerjaan calon peserta. Formulir terbagi atas Formulir 1 untuk pekerja yang bekerja pada bidang Jasa Konstruksi, Formulir 1 PU, Formulir 1A, Formulir 1B, Formulir PMI. Dalam formulir tersebut berisikan data diri lengkap mulai dari KTP dan KK, nomor NPWP, alamat tempat tinggal tanpa surat keterangan domisili, serta nomor HP. Selain itu, calon peserta juga harus mengisi gaji perbulan yang tertera dalam kolom formulir. Data pribadi tersebut harus diisikan di dalam formulir secara jujur dan apa adanya, tidak boleh ada data yang diisikan secara palsu. Berkaitan dengan data pribadi yang diisi oleh peserta BPJS Kesehatan pada saat mendaftar, ternyata belum lama ini diketahui bahwa data pribadi peserta BPJS Kesehatan bocor dan bahkan diperjualbelikan dalam situs Raidforums. Data pribadi peserta BPJS Kesehatan yang bocor mencapai 279 juta data3. Menurut Pasal 58 ayat 2 UU Nomor 24 tahun 2013 tentang Administrasi Kependudukan, data pribadi meliputi: a. nomor KK; b. NIK; c. nama lengkap; d. jenis kelamin; e. tempat lahir; f. tanggal/bulan/tahun lahir; g. golongan darah; h. agama/kepercayaan; i. status perkawinan; j. status hubungan dalam keluarga; k. cacat fisik dan/atau mental; l. pendidikan terakhir; m. jenis pekerjaan; n. NIK ibu kandung; o. nama ibu kandung; p. NIK ayah; q. nama ayah; r. alamat sebelumnya; s. alamat sekarang; t. kepemilikan akta kelahiran/surat kenal lahir; u. nomor akta kelahiran/nomor surat kenal lahir; v. kepemilikan akta perkawinan/buku nikah; w. nomor akta perkawinan/buku nikah; x. tanggal perkawinan; y. kepemilikan akta perceraian; z. nomor akta perceraian/surat cerai; aa tanggal perceraian; bb. cc. dd. ee. sidik jari; iris mata; tanda tangan; dan elemen data lainnya yang merupakan aib seseorang. Dalam mengisi formulir pendaftaran calon peserta wajib mengisi informasi dasar yang meliputi data pribadi. Secara langsung setelah peserta mengisi formulir tersebut, data pribadi calon peserta dipegang oleh BPJS Kesehatan. Jelas, hal tersebut merupakan salah satu permasalahan yang tidak dapat disepelekan oleh masyarakat. Kebocoran data pribadi dapat membawa akibat yang besar pada diri seseorang. Kebocoran data pribadi dapat disalahgunakan oleh oknum yang tidak bertanggung jawab yang
3
Fajar Pebrianto, “Kebocoran Data 279 Juta WNI, Kominfo Blokir Raid Forum,”https://bisnis.tempo.co/re ad/1464996/kebocoran-data-279-juta-wni-kominfo-blokir-raid-forum/full&view=ok, diakses pada tanggal 26 Mei 2021.
mana data pribadi tersebut dapat digunakan sebagai modus kejahatan online. Menurut Pakar Keamanan dari Vaksincom, Alfons Tanujaya, dengan adanya data pribadi yang bocor memungkinkan orang untuk melakukan pinjaman online menggunakan KTP orang lain, orang bisa memalsukan KTP dan memalsukan diri sebagai yang bersangkutan, ini juga akan mengarah kepada pembajakan WhatsApp dengan berkedok untuk meminjam uang, pencurian saldo dompet digital, dan lain-lain.4 Selain itu, data pribadi juga dapat digunakan sebagai penipuan berbasis rekayasa sosial hal tersebut disampaikan oleh pakar dari Analis media sosial Drone Emprit and Kernels Indonesia, Ismail Fahmi.5 Lebih lanjut, menurut Hasil kajian Pusat Studi Masyarakat Digital Universitas Gadjah Mada (UGM), penipuan berbasis rekayasa sosial dapat saja berupa pesan hingga call forwarding yang diawali dengan kalimat menyenangkan atau menyedihkan yang dikirimkan oleh penipu untuk mengambil hati atau simpati.6 Tidak sampai disitu saja, data pribadi juga dapat dimanfaatkan untuk kepentingan bisnis. Hal tersebut dikatakan oleh Pemerhati keamanan siber sekaligus staff engagement and learning specialist di Engage Media, Yerry Niko Borang bahwa kebocoran data pribadi dapat dimanfaatkan perusahaan untuk mengidentifikasi sasaran pasar mereka.7 Apalagi kebocoran data pribadi peserta BPJS Kesehatan sangat erat kaitannya dengan dunia kesehatan. Yerry mencontohkan, dari data kesehatan misalnya, dapat diketahui penyakit yang dominan dan obat apa yang paling banyak dikonsumsi. Dengan adanya kebocoran data juga dapat menurunkan kepercayaan masyarakat terhadap BPJS Kesehatan. Hal tersebut disebabkan oleh dampak yang ditimbulkan oleh kebocoran data yang sangat merugikan masyarakat. Data pribadi peserta BPJS Kesehatan seharusnya dijaga dengan baik oleh BPJS Kesehatan selaku badan yang bertanggung jawab untuk melindungi data pribadi peserta. Masyarakat akan menjadi enggan dan minat masyarakat untuk mendaftar program
Tim DetikInet, “Ini Bahaya Data BPJS Bocor Bagi Masyarakat dan Tips Antisipasinya,”https://inet.detik.com/security/d-5577671/ini-bahaya-data-bpjs-bocor-bagi-masyarakat-dan-tipsantisipasinya, diakses pada tanggal 26 Mei 2021. 5 CNN Indonesia, “Pakar: Orang RI Tak Tahu Bahaya dari Kebocoran Data Tokopedia,” https://w ww.cnnindonesia.com/teknologi/20200505155313-185-500333/pakar-orang-ri-tak-tahu-bahaya-dari-kebocorandata-tokopedia, diakses pada tanggal 26 Mei 2021. 6 Putri Zakia Salsabila, “Teknologi Makin Maju, Penipuan dengan Rekayasa Sosial Pun Berubah,” https://tekno.kompas.com/read/2020/02/28/20200047/teknologi-makin-maju-penipuan-dengan-rekayasa-sosial-punberubah?page=all, diakses pada tanggal 26 Mei 2021. 7 Rosy Dewi Arianti Saptoyo, “Bahaya Kebocoran Data yang Diduga dari Laman BPJS, Ini Kata Ahli IT,” https://www.kompas.com/tren/read/2021/05/21/201500565/bahaya-kebocoran-data-yang-diduga-dari-laman-bpjsini-kata-ahli-it?page=all, diakses pada tanggal 26 Mei 2021. 4
pelayanan kesehatan BPJS Kesehatan akan menurun. Masyarakat menjadi skeptis dan dikhawatirkan tidak memempercakan BPJS Kesehatan. Hak mengenai perlindungan data pribadi masyarakat dijamin oleh konstitusi dalam Pasal 28G UUD 1945 yang menyatakan bahwa “Setiap orang berhak atas perlindungan atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.”8 Dalam pasal tersebut secara jelas menyatakan setiap orang berhak atas perlindungan diri pribadi yang mana juga disebutkan kembali dalam UU No. 12 tahun 2005 bahwa pemerintah memiliki kewajiban untuk melindungi privasi dan data pribadi warga negaranya.9 Selain itu, regulasi yang mengatur tentang data pribadi juga terdapat dalam Pasal 1 poin 22 UU No. 23 tahun 2014 (perubahan UU No. 23 tahun 2006) yang menyatakan bahwa data pribadi sebagai data perseorangan yang harus disimpan, dirawat dan dijaga kebenaran serta dilindungi kerahasiaannya.10 Lalu, dalam Pasal 79 dan 85 UU Adminduk, juga disebutkan bahwa negara memiliki kewajiban untuk menyimpan dan memberikan perlindungan atas data pribadi penduduk tersebut yang kemudian menunjuk menteri sebagai penanggung jawab hak akses data pribadi warga negara.11 Dengan mempertimbangkan banyak kerugian yang akan diterima oleh peserta BPJS Kesehatan terkait dengan kebocoran data, apakah kebocoran data dapat dituntut secara hukum? Kebocoran data pribadi dapat dituntut secara perdata. Pasal yang digunakan adalah Pasal 1365 Kitab Undang-undang Hukum Perdata (KUH Perdata). Dalam pasal tersebut menyatakan bahwa setiap perbuatan yang melanggar hukum (PMH) dan membawa kerugian kepada orang lain, mewajibkan orang yang menimbulkan kerugian itu karena kesalahannya untuk menggantikan kerugian tersebut. Kemudian, lebih lanjut mengenai larangan untuk menyebarkan data pribadi dan sanksi kepada siapa saja yang melanggar ada dalam UU ITE. Hal tersebut karena diatur dalam Pasal 30 UU ITE ayat 1 hingga 3 yang menyatakan bahwa setiap orang dilarang dengan sengaja dan tanpa hak atau melawan hukum untuk mengakses Komputer dan/atau Sistem Elektronik milik Orang 8
Indonesia, Undang-Undang Dasar 1945, Ps. 28G. Indonesia, Pengesahan International Covenant on Civil and Political Rights (Kovenan Internasional Tentang Hak-Hak Sipil dan Politik ,Undang-Undang No. 12 tahun 2005. 10 Indonesia, Undang-Undang tentang Administrasi Kependudukan, Undang-Undang No. 23 tahun 2014, Ps. 79. 11 Ibid,. Ps. 85 9
lain dengan cara apapun, dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik, dan dengan cara apapun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan.12 Setiap orang yang melanggar Pasal 30 ayat 1 sesuai dengan ketentuan yang ada pada Pasal 46 ayat 1 akan didenda Rp 600 juta.13 Sementara itu bagi yang melanggar Pasal 30 ayat 2 dan 3 sesuai dengan ketentuan yang ada pada Pasal 46 ayat 2 dan ayat 3 akan didenda Rp 700 juta dan Rp 800 juta14. Salah satu kasus kebocoran data yang digugat adalah kasus kebocoran data pengguna Tokopedia. Tokopedia digugat oleh Komunitas Konsumen Indonesia karena kebocoran data senilai Rp100 Miliar15. Gugatan tersebut didaftarkan ke Pengadilan Negeri Jakarta Pusat (PN Jakpus. Menurut Ketua Komunitas Konsumen Indonesia, David Tobing, Tokopedia selaku penyelenggara sistem elektronik perbelanjaan online seharusnya menjaga dan melindungi data pribadi pengguna. Selain itu, David Tobing, menambahkan bahwa kominfo selaku pengawas dalam penyelenggaraan sistem elektronik harus bertanggung jawab dalam menjaga serta melindungi data pribadi. Dengan demikian, data pribadi yang erat kaitannya dengan informasi penting seseorang . kebocoran data bukanlah hal yang kecil, tetapi sebuah hal besar yang memberikan dampak kepada masyarakat. Oleh karena itu, dibutuhkan peraturan yang secara khusus mengatur tentang data pribadi. Hal ini bertujuan agar kejahatan yang menyangkut data pribadi, seperti pembocoran data pribadi, pembobolan data pribadi, dan lain-lain dapat ditindak dengan sanksi yang tegas. Selain itu, dengan adanya sebuah peraturan yang mengatur tentang data pribadi, pengumpulan data pribadi oleh institusi pemerintahan dan swasta akan menjadi komprehensif.16 Tak lupa, hal ini juga bertujuan untuk memberikan perlindungan data pribadi warga negara sesuai dengan apa yang diamanatkan melalui konstitusi dan undang-undang. Terakhir, sistem pengamanan data pribadi
12
Indonesia, Undang-Undang tentang Informasi dan Transaksi Elektronik, Undang-Undang No. 11 tahun 2008, Ps. 30 ayat (1). 13 Ibid., Ps. 30 ayat (2) s.d. (3). 14 Ibid.,Ps. 46 ayat (2) s.d. (3). 15 Roy Franedya, “91 Juta Data Pengguna Bocor, Tokopedia Digugat Rp 100 M”, https: //www.cnbcindonesia.com/tech/20200507083340-37-156876/91-juta-data-pengguna-bocor-tokopedia-digugat-rp100-m, diakses pada tanggal 27 Mei 2021. 16 Wahyu Djafar, “Hukum Perlindungan Data Pribadi di Indonesia: Lanskap, Urgensi, dan Kebutuhan Pembaruan,” https://law.ugm.ac.id/wp-content/uploads/sites/1043/2019/08/Hukum-Perlindun gan-Data-Pribadi-diIndonesia-Wahyudi-Djafar.pdf, diakses pada tanggal 27 Mei 2021.
juga seharusnya diperbaiki agar dapat mencegah oknum-oknum yang ingin melakukan pembobolan data dan kejahatan lain yang menyangkut dengan data pribadi seseorang.
DAFTAR PUSTAKA
Peraturan Perundang-Undangan: Indonesia. Undang-Undang Dasar 1945. Ps. 28G. Indonesia. Pengesahan International Covenant on Civil and Political Rights (Kovenan Internasional Tentang Hak-Hak Sipil dan Politik). Undang-Undang No.12 tahun 2005. Indonesia. Undang-Undang tentang Administrasi Kependudukan. Undang-Undang No.23 tahun 2014. Ps. 79 dan 85. Indonesia. Undang-Undang tentang Informasi danTransaksi Elektronik. Undang-Undang No. 11 tahun 2008. Ps. 30 ayat (1) s.d. (3). Indonesia. Undang-Undang tentang Informasi danTransaksi Elektronik. Undang-Undang No. 11 tahun 2008. Ps. 46 ayat (1) s.d. (3).
Internet: Aida.
Nur Rohmi. “Apa Saja Manfaat BPJS Kesehatan? Ini Daftarnya.”https://www.kompas.com/tren/read/2021/04/24/102500665/apa-saja-manfaatjadi-peserta-bpjs-kesehatan-ini-daftarnya?page=all. Diakses pada tanggal 26 Mei 2021.
CNN Indonesia. “Pakar: Orang RI Tak Tahu Bahaya dari Kebocoran Data Tokopedia.” https://www.cnnindonesia.com/teknologi/20200505155313-185-500333/pakar-orang-ritak-tahu-bahaya-dari-kebocoran-data-tokopedia. Diakses pada tanggal 26 Mei 2021. Djafar. Wahyu. “Hukum Perlindungan Data Pribadi di Indonesia: Lanskap, Urgensi, dan Kebutuhan Pembaruan.” https://law.ugm.ac.id/wp-content/uploads/sites/1043/2019/08/HukumPerlindun gan-Data-Pribadi-di-Indonesia-Wahyudi-Djafar.pdf. Diakses pada tanggal 27 Mei 2021. Franedya. Roy. “91 Juta Data Pengguna Bocor, Tokopedia Digugat Rp 100 M. ”https: //www.cnbcindonesia.com/tech/20200507083340-37-156876/91-juta-data-penggunabocor-tokopedia-digugat-rp-100-m. Diakses pada tanggal 27 Mei 2021. Pebrianto. Fajar. “Kebocoran Data 279 Juta WNI, Kominfo Blokir Raid Forum.” https://bisnis.tempo.co/read/1464996/kebocoran-data-279-juta-wni-kominfo-blokir-raidforum/full&view=ok. Diakses pada tanggal 26 Mei 2021.
Pratama. Wibi Pangestu. “Jumlah Peserta BPJS Kesehatan Merosot 1,64 Juta Orang, Kenapa Ya?.” https://finansial.bisnis.com/read/20210113/215/1342316/jumlah-p eserta-bpjskesehatan-merosot-164-juta-orang-kenapa-ya. Diakses pada tanggal 26 Mei 2021. Salsabila. Putri Zakia Salsabila. “Teknologi Makin Maju, Penipuan dengan Rekayasa Sosial Pun Berubah.” https://tekno.kompas.com/read/2020/02/28/20200047/tekn ologi-makin-majupenipuan-dengan-rekayasa-sosial-pun-berubah?page=all. Diakses pada tanggal 26 Mei 2021. Saptoyo. Rosy Dewi Arianti. “Bahaya Kebocoran Data yang Diduga dari Laman BPJS, Ini Kata Ahli IT.” https://www.kompas.com/tren/read/2021/05/21/201 500565/bahaya-kebocorandata-yang-diduga-dari-laman-bpjs-ini-kata-ahli-it?page=all. Diakses pada tanggal 26 Mei 2021. Tim DetikInet. “Ini Bahaya Data BPJS Bocor Bagi Masyarakat dan Tips Antisipasinya.” https://inet.detik.com/security/d-5577671/ini-bahaya-data-bpjs-bocor-bagi-masyarakatdan-tips-antisipasinya. Diakses pada tanggal 26 Mei 2021.