Data pribadi bocor, Kominfo panggil BPJS Kesehatan

Insiden ratusan juta data penduduk Indonesia yang bocor dan menghebohkan Twitter diduga kuat berasal dari data yang dihimpun BPJS Kesehatan. Hal ini diumumkan oleh juru bicara Kementerian Komunikasi dan Informatika (Kemenkominfo) Dedy Permadi, setelah melakukan investigasi sejak 20 Mei, pada sampel data pribadi yang beredar.

Investigasi menemukan, akun bernama Kotz yang menjual data pribadi di Raid Forums, berperan sebagai reseller. Jumlah data yang ditemukan Kominfo hanya sebanyak 100.002, berbeda dari klaim penjual yang mengatakan 1 juta data.

Kominfo juga menemukan, sampel data pribadi diduga kuat berasal dari instansi BPJS Kesehatan. Sebab, memiliki struktur data identik dengan data BPJS, meliputi Noka (Nomor kartu), Kode kantor, Data Keluarga/ Data Tanggungan, dan status Pembayaran.

Sejauh ini, terdapat 3 tautan yang teridentifikasi sebagai halaman untuk mengunduh data pribadi tersebut, yaitu bayfiles.com, mega.nz, dan anonfiles. Dua dari tautan itu sudah di-takedown, sementara anonfiles.com masih diupayakan Kemenkominfo.

Menindaklanjuti kasus ini, Kominfo hari ini (21/5) melakukan pemanggilan terhadap Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor, untuk proses investigasi lebih lanjut. Sementara, Penyelenggara Sistem Elektronik (PSE) yang bersangkutan diwajibkan melapor kepada Kominfo dan pihak berwenang lain, serta menyampaikan pemberitahuan kepada pemilik data yang menjadi korban kegagalan perlindungan data ini.

“Sesuai dengan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, PSE (Penyelenggara Sistem Elektronik) yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi wajib untuk melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain. Selain itu, PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi, dalam hal diketahui bahwa terjadi kegagalan perlindungan data pribadi,” jelas Dedy..

BPJS Kesehatan sebelumnya menyatakan telah memastikan secara konsisten keamanan data peserta BPJS Kesehatan dilindungi sebaik-baiknya dengan big data kompleks yang tersimpan di server mereka. BPJS Kesehatan mengatakan, sistem keamanannya ketat dan berlapis, sehingga menjamin kerahasiaan data tersebut, termasuk data peserta JKN-KIS. 

BPJS Kesehatan juga mengklaim, jumlah peserta layanan kesehatan perusahaan hanya 224,4 juta jiwa. Ini berbeda dengan jumlah data yang bocor yang dikabarkan mencapai total 279 juta.