Bahaya di Balik Akses Data Pribadi oleh Fintech Seizin Kemendagri

Oleh: Alfian Putra Abdi - 17 Juni 2020
Dibaca Normal 2 menit
Pemerintah bekerja sama dengan 13 perusahaan termasuk fintech untuk verifikasi data pribadi. Hal ini dinilai rawan terjadi kebocoran dan penyalahgunaan.
tirto.id - Direktorat Jenderal Kependudukan dan Catatan Sipil Kementerian Dalam Negeri (Ditjen Dukcapil Kemendagri) meneken kerja sama dengan 13 perusahaan, termasuk fintech atau perusahaan pinjaman online, terkait pemanfaatan data KTP Elektronik, Kamis (11/6/2020) lalu. Kerja sama ini memungkinkan perusahaan memverifikasi informasi calon pelanggan dengan data resmi dari pemerintah.

Selain fintech, perusahaan yang bekerja sama dengan Kemendagri bergerak di bidang perbankan, pembiayaan baik offline maupun online, hingga jasa kesehatan.

Direktur Jenderal Dukcapil Kemendagri Zudan Arif Fakrullah menegaskan perusahaan-perusahaan ini tidak dapat melihat seluruh data penduduk, melainkan hanya keterangan apakah sudah sesuai dengan data resmi atau tidak.

Sebagai ilustrasi: seorang pria bernama Haris yang hendak melakukan peminjaman ke perusahaan fintech diharuskan memberikan data diri berupa nomor KTP, nama lengkap, tempat dan tanggal lahir. Data-data inilah yang dicek silang.

“Yang diberikan hanya notifikasi. Bentuknya ‘sesuai’ atau ‘tidak sesuai’,” ujarnya kepada reporter Tirto, Selasa (16/6/2020).

Zudan mengatakan kerja sama ini salah satunya untuk meminimalisasi risiko pinjaman fiktif. “Kerja sama ini akan dapat mencegah kejahatan, mencegah data masyarakat tidak digunakan orang lain dari lembaga fintech, karena peminjam menggunakan data orang lain,” ujarnya.


Risiko Keamanan

Pemberian akses data KTP oleh Dukcapil Kemendagri kepada pihak swasta sudah disorot berkali-kali. Tahun lalu, kerja sama data antara Dukcapil dengan PT Federal International Finance (FIF) dan PT Astra Multi Finance (AMF) mendapat sorotan dari DPR, Ombudsman, hingga masyarakat sipil. Kejadian serupa terjadi saat Dukcapil bekerja sama dengan perusahaan Verijelas.

Hal serupa terulang kali ini. Salah satu yang kerap disorot adalah perkara kebocoran data.

Ketua Indonesia Cyber Security Forum (ICSF) Ardi Sutedja meragukan kerja sama ini bebas kebocoran data sebab kemampuan pengamanan data pribadi di Indonesia masih lemah. Selalu ada celah peretasan data pribadi karena teknologi deep data mining dengan metode yang senyap semakin canggih.

“Kita tidak akan mampu untuk mendeteksi pelanggaran-pelanggaran atas restriksi-restriksi yang diterapkan pada pola perjanjian kerja sama tersebut,” ujarnya kepada reporter Tirto.

Hal tersebut diperparah oleh belum adanya jaminan hukum yang memadai meski kasus-kasus kebocoran data yang gagal diantisipasi pemerintah kerap terjadi. Misalnya kasus kebocoran data 2,3 juta DPT di KPU atau yang paling klasik, kebocoran data KTP-elektronik di zaman Mendagri Tjahjo Kumolo.

Ini berbeda dengan situasi di negara maju. Di sana, bentuk kerja sama serupa juga ada, namun mereka sudah memiliki instrumen hukum yang dapat mengawasi secara ketat. Sementara di sini “masih tahap mengajukan RUU PDP [Perlindungan Data Pribadi],” katanya. Karena itulah “akan banyak pihak yang kerap melanggar prinsip perlindungan data pribadi.”

Peneliti dari Lembaga Studi dan Advokasi Masyarakat (Elsam) Lintang Setianti mengatakan kerja sama ini tidak dapat dibenarkan.

Kemendagri memang memiliki hak untuk mengumpulkan dan mengelola data penduduk, dan itu dasarnya jelas: dalam rangka kepentingan vital, kewajiban hukum, dan kepentingan publik. Semuanya dilakukan atas persetujuan si pemilik data dan dasar legal yang jelas. “Tapi apakah perusahaan mempunyai hak yang sama untuk mengelola data pribadi kita?” ujarnya kepada reporter Tirto.

Seperti Ardi, Lintang juga sanksi pada tata kelola data di Indonesia yang, menurutnya, masih rentan kebocoran. Lantaran pijakan hukumnya belum memadai, menjadi sukar menentukan pihak yang mesti bertanggung jawab apabila terjadi kebocoran data. “Apakah mereka mampu apabila ada serangan untuk membocorkan data? Ini jadi tidak jelas tanggung jawabnya ke siapa.”


Persoalan data pribadi kian rumit karena definisi soal itu saja belum lugas. Ia mencontohkan, dalam UU 24/2013 tentang Perubahan UU 23/2006 tentang Administrasi Kependudukan, data pribadi dengan data kependudukan itu berbeda.

“NIK itu bukan data yang harus dilindungi menurut UU Adminduk,” ujarnya. Padahal di satu sisi Nomor Induk Kependudukan (NIK) adalah pintu masuk bagi masyarakat untuk mengakses berbagai layanan publik, mulai dari kesehatan hingga pendidikan. “Ini menunjukkan regulasi di Indonesia secara umum belum menyeluruh terkait perlindungan data pribadi,” katanya menegaskan.

Zudan Arif Fakrullah menegaskan dalam kerja sama ini “tidak akan ada penyalahgunaan data” karena memang “tidak ada data yang diberikan ke fintech.” Sekali lagi ia menegaskan yang akan diterima perusahaan tersebut hanya keterangan apakah data calon kliennya sudah sesuai atau belum dengan data kependudukan.

Lebih lanjut, ia juga menegaskan hak akses verifikasi data penduduk sudah sesuai amanat Pasal 79 dan Pasal 58 UU 24/2013 tentang Perubahan UU 23/2006 tentang Administrasi Kependudukan. Ia menegaskan data kependudukan memang dapat dimanfaatkan untuk bermacam hal, termasuk pelayanan publik, perencanaan pembangunan, alokasi anggaran, dan pencegahan tindakan kriminal.

Baca juga artikel terkait PERLINDUNGAN DATA PRIBADI atau tulisan menarik lainnya Alfian Putra Abdi
(tirto.id - Sosial Budaya)

Reporter: Alfian Putra Abdi
Penulis: Alfian Putra Abdi
Editor: Maya Saputri
DarkLight