Data masyarakat Indonesia hanya berlindung di bawah payung hukum Peraturan Pemerintah (PP) Nomor 71 tahun 2019. Namun, PP ini belum cukup dan hanya berperan sebagai peraturan transisional. Peraturan yang lebih komprehensif amat dibutuhkan. Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP), yang telah terdengar suaranya sejak 2019 dan dijadikan prioritas pada 2020, belum disahkan hingga kini.Â
Menteri Kemenkominfo, Johnny Plate, mengaku terhalangi pandemi Covid-19. Realitas di baliknya lebih keruh; pengesahan RUU PDP menghadapi berbagai hambatan. Christina Aryani, anggota Komisi I DPR, menyatakan bahwa terdapat kericuhan antara DPR dan Kemenkominfo. DPR menginginkan komisi perlindungan data yang independen, sedangkan Kemenkominfo menginginkan komisi tersebut terintegrasi dengan pemerintah. DPR juga memprotes bahwa segregasi data (klasifikasi data yang dapat diakses pihak ketiga) belum dibahas.
Selain RUU PDP, Kemenkominfo juga mengeluarkan Peraturan Menteri Komunikasi dan Informatika No. 5 Tahun 2020 (Permenkominfo 5/2020) yang memicu pertanyaan berbagai pihak. Permen ini membahas Penyelenggara Sistem Elektronik (PSE) Lingkup Privat yang ada di Indonesia. PSE diwajibkan mendaftar kepada Kemenkominfo enam bulan setelah Permen keluar.Â
Semua layanan harus tunduk pada sistem yang sama. Kejanggalan tidak berhenti di sana.  PSE harus memberi pemerintahan akses pada sistem dan data kapanpun diminta atas alasan pengawasan. Terdapat pula  pasal yang ambigu, seperti ketentuan informasi dan dokumen elektronik yang dilarang dalam Pasal 9 ayat (4) terutama bagian pada kata-kata "meresahkan masyarakat". Klausa ini subjektif dan tidak didefinisikan lebih lanjut. Bahkan, tidak tercantum prosedur pengajuan banding atau penentangan. Permen ini malah terkesan represif dan membungkam kebebasan berekspresi, bahkan mengancam privasi data.Â
Alasan di Balik Penundaan Perlindungan Data
Mengapa berbagai pihak, perusahaan swasta maupun pemerintah, seakan tidak acuh pada keamanan data? Ekonomi perilaku mengungkap bahwa pemikiran manusia sering kali keliru. Pemikiran ini juga terbawa ke kasus keamanan siber.
Penelitian Alex Blau menunjukkan bahwa beberapa pengambil keputusan menggunakan model mental yang tidak tepat ketika menentukan investasi keamanan siber. Pengambil keputusan cenderung berpikir bahwa pertahanan siber sebatas membangun sebuah benteng dengan dinding-dinding kuat. Terkadang, mereka tidak terpikir bahwa peretas bisa menemukan celah untuk menyusup.Â
Ada pula pemikiran bahwa investasi keamanan siber tidak perlu ditingkatkan. Sebabnya, mereka sedang tidak atau tidak pernah mengalami penyerangan siber. Deretan kekeliruan inilah yang menyebabkan tidak adanya atau kurangnya investasi dari sisi manajemen risiko karena hanya berfokus pada mitigasi risiko.Â
Harga Sebuah Reputasi
Model mental yang salah tidak hanya mengancam keamanan data pelanggan, tetapi juga menyeret nama baik perusahaan, seperti kasus kebocoran data yang dikaitkan dengan BPJS. Saat ini, BPJS memang belum dipastikan bersalah dan mengaku telah menjaga keamanan datanya. Meskipun demikian, nama BPJS tetap menjadi sorotan. Lebih buruk lagi nasib pelaku sesungguhnya ketika hasil pemeriksaan dirilis. Namun, seberapa burukkah pengaruh pembocoran data pada reputasi?
Any press is good press. Aksioma ini tidak berlaku pada kasus ini. Varonis, perusahaan keamanan siber di Amerika Serikat menyimpulkan bahwa pelanggaran data menurunkan minat pelanggan pada perusahaan. Penurunan reputasi suatu perusahaan dapat melalui tiga cara: kehilangan kepercayaan, word of mouth yang negatif, dan beralihnya pelanggan ke kompetitor.Â
