Bisnis.com, JAKARTA - PT Bank Syariah Indonesia Tbk. atau BSI (BRIS) memiliki tenggat untuk memberitahu nasabah jika seandainya perusahaan benar-benar mengalami kebocoran data nasabah. Batas waktu pelaporan informasi ke nasabah telah diatur sesuai dengan peraturan yang berlaku, yaitu maksimal 14 hari.
Undang-undang No 27/2022 tentang Perlindungan Data Pribadi menyebutkan penyelenggara sistem elektronik memiliki waktu maksimal 3x24 jam sejak diketahui adanya kegagalan perlindungan rahasia data pribadi di dalam Sistem Elektronik yang dikelolanya.
Sementara itu, Pasal 28 Peraturan Menteri Komunikasi dan Informatika (Kemenkominfo) No 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik menyebutkan pemberitahuan secara tertulis kepada Pemilik Data Pribadi harus dilakukan maksimall 14 hari setelah diketahui adanya kegagalan.
Ketua Pusat Kajian Kebijakan dan Regulasi Telekomunikasi Institut Teknologi Bandung (ITB) Ian Yosef M. Edward mengatakan UU PDP adalah Lex Specialist. Peraturan ini digunakan ketika peraturan tersebut berlaku pada Oktober 2023.
Sebelum UU PDP berlaku maka yang digunakan adalah peraturan perundang-undangan yang telah aktif atau istilahnya Hukum Positif.
“Saat ini yang berlaku UU ITE dengan turunannya, termasuk Peraturan Pemerintah dan Peraturan Menteri. Jadi saat ini masih Jadi saat ini merujuk ke PM no.20/2016,” kata Ian kepada Bisnis, Rabu (17/5/2023).
Baca Juga
Senada Direktur Eksekutif ICT Institute Heru Sutadi mengatakan peraturan yang digunakan adalah peraturan yang berlaku. Namun, jika memang terjadi kebocoran sebaiknya BSI secepat mungkin memberitahu kepada nasabah data-data pribadi yang bocor.
Pemberitahuan bertujuan agar nasabah segera mengganti nama dan password akun mereka untuk menghindari hal yang tidak diinginkan.
Heru juga meminta Kementerian Komunikasi dan Informatika (Kemenkominfo) untuk bergerak cepat menangani masalah ini.
“Agar tidak terjadi kerugian yang lebih besar lagi akibat peristiwa ini,” kata Heru.
CoChair Jakarta chapter - International Association of Privacy Professionals Satrio Wibowo dalam kasus data nasabah bocor, kata Satrio, risiko akan mengalir kepada nasabah sebagai subyek data.
Peretas dikhawatirkan melakukan serangan secara terukur kepada nasabah-nasabah kaya atau nasabah yang memiliki tabungan besar memanfaatkan data yang berhasil mereka curi.
Menurut UU PDP, kata Satrio, BSI harus segera memberitahu nasabah terkait data-data yang bocor dan potensi kejahatan akibat data bocor tersebut.
“Mereka harus kasih tahu data yang bocor apa saja. Ketentuan PDP seperti itu. Namanya analisis risiko dampak,” kata Satrio.
Satrio juga berpendapat data nasabah BSI telah dibocorkan oleh LockBit dan tersebar di situs gelap. Data bocor tersebut merupakan satu rangkaian dari padamnya layanan BSI beberapa hari lalu.
Dia menjelaskan modus operasi LockBit adalah melakukan serangan sekaligus penguncian. Peretas masuk kemudian merusak sistem cadangan BSI dan sistem krusial lainnya, kemudian data BSI dicuri dan dikunci.
Ketika BSI berhasil membuka data yang terkunci tanpa menebus ransomware LockBit, yang dikabarkan nilai mencapai Rp295 miliar, maka organisasi peretas asal Rusia itu mengambil opsi menjual data pribadi yang telah berhasil dicuri di internet.
"Ini organisasi internasional dan target mereka adalah ransomware," kata Satrio.
Dalam kondisi tersebut, Satrio menyarankan agar BSI memberitahu kepada nasabah mengenai kebocoran data yang terjadi.
