Logo Bloomberg Technoz

Oleh karena itu Lembaga Studi dan Advokasi Masyarakat (ELSAM) sebagaimana keterangan pers pada Selasa (16/5/2023) mendesak agar BSI segera memberikan notifikasi perihal terjadinya kegagalan pelindungan data pribadi kepada nasabah tanpa penundaan yang tidak perlu (without undue delayed). Notifikasi bisa dilakukan secara tertulis yang setidaknya memuat informasi mengenai data pribadi yang terungkap, kapan, dan bagaimana data tersebut terungkap, serta upaya penanganan dan pemulihan atas kegagalan tersebut. Hal ini diketahui tertuang dalam Pasal 46 ayat (2) Undang Undang Perlindungan Data Pribadi (PDP). 

Tak hanya BSI, Otoritas Jasa Keuangan (OJK) diminta segera melakukan evaluasi terhadap langkah mitigasi dan memastikan pemutakhiran rencana pemulihan bencana BSI telah sesuai dengan POJK PTI, serta audit dan evaluasi keseluruhan rencana mitigasi dan pemulihan sistem teknologi informasi dari industri perbankan.

Sementara Kementerian Informasi dan Komunikasi (Kominfo) dengan kewenangan pengawasan yang dimilikinya sesuai dengan Peraturan Pemerintah Nomor 71 Tahun 2019 diminta melakukan proses investigasi dan menyelesaikan kasus secara akuntabel dengan mengidentifikasi penyebab kegagalan pelindungan data pribadi. Selain itu juga perlu mengidentifikasi kerugian baik pada pengendali, prosesor, maupun subjek data.

Tak hanya BSI,OJK dan Kominfo, Badan Siber dan Sandi Negara (BSSN) juga diminta harua pemantauan dan investigasi terkait insiden keamanan siber yang dialami BSI.

"BSSN juga perlu memastikan adanya audit keamanan secara berkala, termasuk juga penerapan standar keamanan yang kuat bagi keseluruhan industri perbankan dan keuangan," kata Direktur Eksekutif ELSAM Wahyudi Fajar.

Dia melanjutkan, periode transisi UU PDP memang menjadi masa kritis dalam memastikan kepatuhan pengendali dan prosesor data untuk menerapkan standar pelindungan data pribadi. Namun risiko pembiaran kemungkinan besar terjadi karena aturan peralihan UU PDP mengharuskan adanya penyesuaian berbagai regulasi terkait pelindungan data pribadi termasuk kelembagaannya. 

Diketahui khusus di sektor keuangan dan perbankan telah ada sejumlah regulasi dan kebijakan yang relatif mapan dalam penerapannya.

Aturan itu antara lain Peraturan OJK Nomor 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum (POJK PTI), SE OJK No. 21/SEOJK.03/2017 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (SE OJK 21/2017), SE OJK No. 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum (SE OJK 29/2022). Berbagai kebijakan tersebut bersanding dengan sejumlah regulasi terkait sistem elektronik, yang secara khusus mengatur pelindungan data pribadi, seperti PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transisi Elektronik (PP PSTE) dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo PDPSE). 

Terkait notifikasi bagi pemilik data juga diatur dalam berbagai aturan tersebut termasuk dalam UU PDP yang mengharuskan notifikasi kepada subjek data paling lambat 3x24 jam. Namun dalam UU belum dirincikan sejak kapan periode itu dimulai. Oleh karena itu bisa mengacu pada Permenkominfo 20/2016 dengan menghitung periode setelah insiden. 

"Bahkan POJK PTI mewajibkan adanya notifikasi awal paling lambat 1x24 jam serta melaporkan insiden TI tersebut paling lama 5 hari kerja setelah insiden pada OJK," lanjutnya.

Kemudian Surat Edaran OJK Nomor 29/SEOJK.03/2022 mengamanatkan apabila otoritas lain (Kominfo/BSSN) mengatur jangka waktu penyampaian notifikasi awal dan/atau laporan insiden siber lebih lama dari jangka waktu sebagaimana diatur dalam POJK PTI maka harus menyampaikan notifikasi awal dan/atau laporan insiden siber kepada OJK.

Selain notifikasi, hal pemulihan juga diatur dalam UU PDP, PP 71/2019, Permenkominfo 20/2016 maupun juga POJK PTI yang mewajibkan bank/lembaga keuangan untuk memiliki rencana pemulihan bencana untuk memastikan kelangsungan operasional bank tetap berjalan selama insiden. 

BSI dalam hal ini harus memastikan rencana penanggulangan dan pemulihan sesuai dengan rencana kelangsungan usaha (business continuity plan), rencana pemulihan bencana (disaster recovery plan), crisis management plan, dan/atau kebijakan atau rencana Bank lainnya yang terkait. Apalagi mengacu pada ketentuan Pasal 4 ayat (2) UU PDP, data keuangan pribadi merupakan bagian dari data pribadi yang spesifik (sensitif) sehingga memerlukan tingkat perlindungan yang lebih tinggi.

(ezr)

No more pages