Alami Kebocoran Massif Data Pribadi Peserta, BPJS Kesehatan Hendak Digugat

Di tengah belum adanya kejelasan dari Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan tentang dugaan kebocoran data milik peserta, peneliti keamanan siber Teguh Aprianto mengumumkan rencana untuk menggugat lembaga tersebut. 

Melalui Twitter, Teguh mengajak masyarakat untuk bersama-sama berkontribusi dalam gugatan itu lewat Periksa Data. “Saya dan tim @periksadata sedang menyiapkan gugatan terkait bocornya 279 juta data BPJS Kesehatan & ingin mengajak teman-teman semua untuk ikut ambil sikap,” tulisnya.

Periksa Data sendiri merupakan sebuah situs yang digawangi oleh delapan orang dari beberapa latar belakang seperti pegiat perlindungan data, praktisi litigasi, peneliti hukum dan pengamat kebijakan publik. Situs itu bertujuan untuk membantu masyarakat memeriksa apakah ada data pribadi mereka, misalnya alamat dan Nomor Induk Kependudukan (NIK), yang bocor.

Dugaan bahwa ada 279 data milik penduduk Indonesia, baik yang masih hidup maupun meninggal, bocor dari sistem BPJS Kesehatan pertama kali muncul pada bulan lalu. Sejumlah orang di Twitter mengunggah tangkapan layar akun bernama Kotz di forum online RaidForums. Ia mengklaim memiliki ratusan juta data itu, dan menawarkan satu juta diantaranya secara cuma-cuma untuk membuktikan keaslian. Beberapa menyebut asalnya dari BPJS Kesehatan.

Saat insiden ini pertama kali mengemuka, M. Iqbal selaku Kepala Humas BPJS Kesehatan mengatakan kepada VICE lembaganya “mengerahkan tim khusus untuk sesegera mungkin melacak dan menemukan sumbernya”. VICE mencoba menghubungi Iqbal untuk menanyakan perkembangan dari kerja tim itu, tetapi tidak mendapat tanggapan hingga artikel ini dilansir.

Salah satu anggota tim Periksa Data, Arie Sembiring, mengungkap bahwa proses gugatan dimulai pada Jumat (11/6) dengan mengajukan upaya administratif terlebih dulu. Ada tiga pihak yang digugat dalam kasus ini yaitu BPJS Kesehatan, Badan Siber dan Sandi Negara (BSSN), dan Kementerian Komunikasi dan Informatika (Kominfo).

“Gugatannya adalah Perbuatan Melawan Hukum oleh Penguasa,” kata Arie saat diwawancara VICE. 

Berdasarkan Pasal 1365 Kitab Undang-undang Hukum Perdata, Perbuatan Melawan Hukum didefinisikan sebagai “tiap perbuatan melanggar hukum, yang membawa kerugian kepada orang lain, mewajibkan orang yang karena salahnya menerbitkan kerugian itu, mengganti kerugian tersebut”. Dalam hal ini, penguasa yang dimaksud adalah tiga lembaga yang digugat.

Ada sejumlah tuntutan yang akan disampaikan oleh Periksa Data. Arie menyebutkan beberapa diantaranya adalah “menyampaikan pengakuan salah, permohonan maaf, dan pernyataan tanggung jawab terhadap seluruh kerugian yang timbul akibat terjadinya kebocoran data pribadi kepada masyarakat Indonesia di media massa arus utama nasional sebanyak tiga kali periode, yang satu kali periodenya 10 hari kerja”. 

Selain itu, pemerintah juga dituntut “menyampaikan kepada masyarakat tentang upaya Data Governance dengan salah satu jalannya adalah menyampaikan tentang langkah koordinatif apa yang dirancang antara kementerian atau lembaga diantaranya BPJS-Kominfo-BSSN”.

Juru Bicara Kominfo Dedy Permadi mengatakan dalam keterangan pers pada Mei lalu bahwa dari analisis lembaganya, ada sebanyak 100.002 data yang bocor. Ini berbeda dengan klaim Kotz sebelumnya. 

“Kominfo menemukan bahwa sampel data diduga kuat identik dengan data BPJS Kesehatan,” kata Dedy. “Hal tersebut didasarkan pada data Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan status pembayaran yang identik dengan data BPJS Kesehatan.”

Selain memanggil Direksi BPJS Kesehatan untuk dimintai keterangan, Kominfo juga memblokir tiga situs yang diidentifikasi melakukan jual-beli data pribadi yaitu bayfiles.com, mega.nz, dan anonfiles.com.

Direktur Utama BPJS Kesehatan Ali Ghufron Mukti sempat menuturkan bahwa ada kemungkinan peretasan terhadap sistem pengelola data peserta. “Walaupun BPJS Kesehatan sudah melakukan sistem pengamanan sesuai standar yang berlaku, tapi masih dimungkinkan terjadinya peretasan, mengingat sangat dinamisnya dunia peretasan,” ucapnya.

Meski begitu, belum ada pemberitahuan kepada para peserta BPJS Kesehatan mengenai situasi terkini mengenai perlindungan data mereka. Padahal, menurut Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan Peraturan Menkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, penyelenggara sistem elektronik (PSE) wajib memberitahukan secara tertulis kepada pemilik data pribadi ketika ada kegagalan perlindungan data pribadi.

Di kesempatan terpisah, Kepala Biro Penerangan Masyarakat (Karopenmas) Mabes Polri Brigjen Pol Rusdi Hartono menegaskan investigasi masih berlangsung terhadap lima vendor swasta yang menyediakan perangkat keras dan lunak kepada BPJS Kesehatan untuk mengelola data-data pribadi peserta. Sebelumnya, ada saksi-saksi dari BPJS dan BSSN yang turut diperiksa.

“Masih terus diperiksa oleh penyidik tentang hal tersebut, tapi ini diduga keras terjadi kebocoran data peserta BPJS Kesehatan,” ucap Rusdi tanpa merinci lebih lanjut. Polisi juga belum mengumumkan perkembangan terbaru hingga Juni 2021 terkait kasus kebocoran data peserta BPJS Kesehatan.