Kominfo Investigasi Kasus 279 Juta Data Bocor, 100 Ribu Data Identik dengan BPJS Kesehatan

JAKARTA - Kementerian Komunikasi dan Informasi (Kominfo) melakukan investigasi terkait dugaan kebocoran 279 juta data pribadi penduduk Indonesia yang diduga sebagai pendaftar BPJS Kesehatan.

Dari perkembangan sampel data pribadi sejak 20 Mei, ditemukan bahwa akun bernama Kotz menjual data pribadi di Raid Forums.

"Akun Kotz sendiri merupakan pembeli dan penjual data pribadi atau reseller," ujar Juru Bicara Kementerian Kominfo Dedy Permadi dalam keterangannya, Jumat, 21 Mei.

Dari temuan, Dedy mengungkapkan, data sampel tidak berjumlah 1 juta seperti klaim penjual. Namun berjumlah 100.002 data. 

Sampel data tersebut diduga kuat identik dengan data BPJS Kesehatan dilihat struktur data yang terdiri dari nomor kartu, kode kantor, data keluarga/data Tanggungan, dan status pembayaran.

"Identik dengan data BPJS Kesehatan," katanya.

Dedy mengatakan, Kominfo telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut.

"Terdapat 3 tautan yang terindetifikasi yakni bayfiles.com, mega.nz dan anonfiles.com. Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown, sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera," kata Dedy.

Dedy menuturkan, Kominfo juga sudah memanggil Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor pada hari ini. 

"Pemanggilan ini guna keperluan proses investigasi secara lebih mendalam sesuai amanat Peraturan Pemerintah Nomor 71 Tahun 2019," jelasnya.

Sesuai dengan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, PSE (Penyelenggara Sistem Elektronik) yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi wajib untuk melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain.

Selain itu, kata dia, PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi.

"Dalam hal diketahui bahwa terjadi kegagalan perlindungan data pribadi," kata Dedy