Logo Bloomberg Technoz

Oleh karena itu Lembaga Studi dan Advokasi Masyarakat (ELSAM) sebagaimana keterangan pers pada Selasa (16/5/2023) mendesak agar BSI segera memberikan notifikasi perihal terjadinya kegagalan pelindungan data pribadi kepada nasabah tanpa penundaan yang tidak perlu (without undue delayed). Notifikasi bisa dilakukan secara tertulis yang setidaknya memuat informasi mengenai data pribadi yang terungkap, kapan, dan bagaimana data tersebut terungkap, serta upaya penanganan dan pemulihan atas kegagalan tersebut. Hal ini diketahui tertuang dalam Pasal 46 ayat (2) Undang Undang Perlindungan Data Pribadi (PDP). 

Tak hanya BSI, Otoritas Jasa Keuangan (OJK) diminta segera melakukan evaluasi terhadap langkah mitigasi dan memastikan pemutakhiran rencana pemulihan bencana BSI telah sesuai dengan POJK PTI, serta audit dan evaluasi keseluruhan rencana mitigasi dan pemulihan sistem teknologi informasi dari industri perbankan.

Sementara Kementerian Informasi dan Komunikasi (Kominfo) dengan kewenangan pengawasan yang dimilikinya sesuai dengan Peraturan Pemerintah Nomor 71 Tahun 2019 diminta melakukan proses investigasi dan menyelesaikan kasus secara akuntabel dengan mengidentifikasi penyebab kegagalan pelindungan data pribadi. Selain itu juga perlu mengidentifikasi kerugian baik pada pengendali, prosesor, maupun subjek data.

Tak hanya BSI,OJK dan Kominfo, Badan Siber dan Sandi Negara (BSSN) juga diminta harua pemantauan dan investigasi terkait insiden keamanan siber yang dialami BSI.

"BSSN juga perlu memastikan adanya audit keamanan secara berkala, termasuk juga penerapan standar keamanan yang kuat bagi keseluruhan industri perbankan dan keuangan," kata Direktur Eksekutif ELSAM Wahyudi Fajar.

Dia melanjutkan, periode transisi UU PDP memang menjadi masa kritis dalam memastikan kepatuhan pengendali dan prosesor data untuk menerapkan standar pelindungan data pribadi. Namun risiko pembiaran kemungkinan besar terjadi karena aturan peralihan UU PDP mengharuskan adanya penyesuaian berbagai regulasi terkait pelindungan data pribadi termasuk kelembagaannya. 

Diketahui khusus di sektor keuangan dan perbankan telah ada sejumlah regulasi dan kebijakan yang relatif mapan dalam penerapannya.

Aturan itu antara lain Peraturan OJK Nomor 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum (POJK PTI), SE OJK No. 21/SEOJK.03/2017 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (SE OJK 21/2017), SE OJK No. 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum (SE OJK 29/2022). Berbagai kebijakan tersebut bersanding dengan sejumlah regulasi terkait sistem elektronik, yang secara khusus mengatur pelindungan data pribadi, seperti PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transisi Elektronik (PP PSTE) dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo PDPSE). 

Terkait notifikasi bagi pemilik data juga diatur dalam berbagai aturan tersebut termasuk dalam UU PDP yang mengharuskan notifikasi kepada subjek data paling lambat 3x24 jam. Namun dalam UU belum dirincikan sejak kapan periode itu dimulai. Oleh karena itu bisa mengacu pada Permenkominfo 20/2016 dengan menghitung periode setelah insiden. 

"Bahkan POJK PTI mewajibkan adanya notifikasi awal paling lambat 1x24 jam serta melaporkan insiden TI tersebut paling lama 5 hari kerja setelah insiden pada OJK," lanjutnya.

Kemudian Surat Edaran OJK Nomor 29/SEOJK.03/2022 mengamanatkan apabila otoritas lain (Kominfo/BSSN) mengatur jangka waktu penyampaian notifikasi awal dan/atau laporan insiden siber lebih lama dari jangka waktu sebagaimana diatur dalam POJK PTI maka harus menyampaikan notifikasi awal dan/atau laporan insiden siber kepada OJK.

Selain notifikasi, hal pemulihan juga diatur dalam UU PDP, PP 71/2019, Permenkominfo 20/2016 maupun juga POJK PTI yang mewajibkan bank/lembaga keuangan untuk memiliki rencana pemulihan bencana untuk memastikan kelangsungan operasional bank tetap berjalan selama insiden. 

BSI dalam hal ini harus memastikan rencana penanggulangan dan pemulihan sesuai dengan rencana kelangsungan usaha (business continuity plan), rencana pemulihan bencana (disaster recovery plan), crisis management plan, dan/atau kebijakan atau rencana Bank lainnya yang terkait. Apalagi mengacu pada ketentuan Pasal 4 ayat (2) UU PDP, data keuangan pribadi merupakan bagian dari data pribadi yang spesifik (sensitif) sehingga memerlukan tingkat perlindungan yang lebih tinggi.

(ezr)

TAG

BSIbank syariah indonesiaLockbitRansomwareData Pribadi
No more pages
← Prev article

Artikel Terkait

Baca Juga

Lainnya

Ilustrasi Perdagangan Ekspor Impor di Pelabuhan. (Dok: Bloomberg)

Kemenperin Soal Isi 26.415 Kontainer di Pelabuhan: Kami Tak Tahu

Sektor Riil | 4 menit yang lalu
Hyundai Kona Electric di pamerkan dalam ajang IIMS 2024 di JIExpo, Jakarta, Kamis (15/2/2024). (Bloomberg Technoz/Andrean Kristianto)

Hyundai Bakal Produksi Mobil Listrik KONA Mulai Juni 2024

Sektor Riil | 14 menit yang lalu
Mantan Mentan, Syahrul Yasin Limpo (SYL) hadir saat konfrensi pers di Gedung KPK, Jakarta, Jumat (13/10/2023). (Bloomberg Technoz/Andrean Kristianto)

SYL Minta Kementan Belikan Durian Musangking Nyaris Rp200 Juta

Nasional | 34 menit yang lalu
Kepala Eksekutif Pengawas Perbankan Otoritas Jasa Keuangan (OJK), Dian Ediana Rae. (Tangkapan Layar Youtube Jasa Keuangan)

OJK Klaim 83 BPR/S Telah Lakukan Konsolidasi Sejak 2022

Finansial | 44 menit yang lalu
Ilustrasi produksi minyak mentah (Sumber: Bloomberg)

Lifting Minyak Era Prabowo Diproyeksi Makin Jauh dari Target

Energi | 54 menit yang lalu

Billionaires Index

Bloomberg Billionaires Index Indonesia

Populer

Foto

Video

Infografis