Kebocoran Data | Opini: Timboel Siregar
(Direktur BPJS Watch)
Kebocoran data penduduk Indonesia menjadi berita hangat saat ini. Ada pihak luar yang mengkaim memiliki 279 juta penduduk Indonesia. Atas klaim tersebut Kementerian Komunikasi dan Informatika melakukan investigasi sumber kebocoran data tersebut. Berdasarkan hasil investigasi terbaru yang dilakukan terhadap dugaan kebocoran data penduduk, diduga kuat identik dengan data BPJS Kesehatan. Hal tersebut didasarkan pada data Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan status pembayaran yang identik dengan data BPJS Kesehatan. Data sampel yang ditemukan tidak berjumlah 1 juta seperti klaim penjual, tetapi sebanyak 100.002 data.
Tentunya kebocoran data ini menjadi hal yang sangat serius karena akan memiliki dampak bagi banyak hal. Keseriusan masalah ini segera ditindaklanjuti oleh Kementerian Komunikasi dan Informatika dengan memanggil Direksi BPJS Kesehatan.
Sebagai institusi public BPJS Kesehatan memang mengelola data yang sangat besar dan relatif rinci. Hal ini tentunya terkait dengan tugas pelayanan BPJS Kesehatan kepada seluruh rakyat Indonesia. Menurut Peraturan Presiden no. 82 Tahun 2018, seluruh rakyat Indonesia diwajibkan ikut program JKN yang dikelola oleh BPJS Kesehatan. Jumlah peserta JKN terkini sekitar 222,4 juta orang atau sekitar 82,37 persen dari total rakyat Indonesia.
Data-data yang dikelola oleh BPJS Kesehatan sangat beragam dan rinci. Terkait dengan data pribadi, data tersebut antara lain nama, alamat, tempat tanggal lahir, NIK, nama keluarga dalam satu KK, upah bagi peserta Penerima Upah, nomor rekening bagi peserta Bukan Penerima Upah, hingga sidik jari. Tidak hanya itu, BPJS Kesehatan pun mengelola data kesehatan peserta JKN maupun fasilitas Kesehatan yang bekerja sama dengan BPJS Kesehatan, dari masyarakat sipil maupun militer. Data-data tersebut tentunya sangat konfidential, yang harus dijaga agar tidak berpindah ke pihak lain.
Untuk mendukung pengelolaan seluruh hal di atas, kerja-kerja BPJS Kesehatan didukung teknologi infomasi, untuk lebih efisien dan efektif. BPJS Kesehatan memiliki banyak aplikasi seperti Aplikasi Sistem Informasi Manajemen Kepesertaan, Aplikasi Sistem Informasi Layanan Publik, Aplikasi Sistem Informasi Manajemen Penjaminan Pelayanan Kesehatan.
Untuk mendukung Sistem Informasi Manajemen Kepesertaan, BPJS Kesehatan memiliki 6 Aplikasi yaitu :
Mobile JKN, dengan jenis aplikasi Mobile Android dan IOS. Fitur dan manfaat aplikasi ini dipergunakan untuk pendaftaran peserta baru PBPU (Peserta Bukan Penerima Upah), pindaf Fasilitas Kesehatan, Cek Tagihan, Riwayat pembayaran, Pencaian Fasilitas Kesehatan, Skrining Riwayat Kesehatan, Pendaftaran Antrian Faskes, Ketersediaan Tempat Tidur dan Jadwal Operasi, dan informasi lainnya. Pengguna aplikasi ini adalah public dan internal BPJS Kesehatan.
Aplikasi BPJS Checking, dengan jenis aplikasi Web Based. Fitur dan manfaat aplikasi ini digunakan untuk cek tagihan iuran peserta via website BPJS Kesehatan. Pengguna aplikasi ini adalah peserta BPJS Kesehatan.
Aplikasi e-Dabu, dengan jenis aplikasi Web Based. Fitur dan manfaat aplikasi ini dipergunakan untuk peserta segmen Badan Usaha untuk dapat melakukan pendaftaran karyawan, mutasi karyawan,informasi tagihan, dsb. Pengguna aplikasi ini adalah Badan Usaha.
Aplikasi BPJS Admin, dengan jenis aplikasi Web Based. Fitur dan manfaat aplikasi ini untuk mencetak e-ID peserta pekerja penerima upah Badan Usaha. Pengguna aplikasi ini adalah Badan Usaha.
Aplikasi Registrasi Badan Usaha, dengan jenis aplikasi Web Based. Fitur dan manfaat aplikasi ini untuk pendaftaran Badan Usaha menjadi peserta BPJS Kesehatan via website BPJS Kesehatan. Pengguna aplikasi ini adalah Badan Usaha.
Portal Bersama, dengan jenis aplikasi Web Based. Fitur dan manfaat aplikasi ini adalah portal pendaftaran Badan Usaha untuk mendaftar peserta BPJS Kesehatan dan BPJS Ketenagakerjaan. Pengguna aplikasi ini adalah Badan Usaha.
Untuk mendukung Sistem Informasi Layanan Publik, BPJS Kesehatan memiliki 6 Aplikasi yaitu Website BPJS Kesehatan, Aplikasi Mudik BPJS Kesehatan, Portal Jamkesnews, Aplikasi Aplicares, dan Web Skrining (skrining Kesehatan peserta).
BPJS Kesehatan pun memiliki Sistem Informasi Manajemen Penjaminan Pelayanan Kesehatan yang terdiri dari 8 Aplikasi yaitu Aplikasi Health Facilities Information System (HFIS), Aplikasi Pcare-Eclaim, Aplikasi vClaim, Aplikasi Sidik Jari BPJS Kesehatan, Aplikasi Antrean Faskes, Aplikasi Luar paket INACBGs (LUPIS), Aplikasi Apotek Online, dan Aplikasi Klaim Covid-19.
Ketentuan tentang tata Kelola Teknologi Informasi (TI) ini diatur dalam Peraturan Direksi BPJS Kesehatan No. 4 Tahun 2018 tentang Panduan Umum Pengelolaan Teknologi Informasi BPJS Kesehatan.
Beberapa framework dan standar tata Kelola TI yang diimplementasikan BPJS Kesehatan antara lain:
Control Objectives for Information and Related Technology (COBIT) yang dikembangkan oleh IT Governance Institute untuk membantu BPJS Kesehatan dalam melakukan penilaian tata Kelola atas proses TI yang dimiliki. Tahun 2020 telah dilakukan assessment tingkat kapabilitas tata Kelola TI BPJS Kesehatan menggunakan standar COBIT 5.
The IT Infrastucture Library (ITIL) yang dikembangkan oleh office of government Commerce untuk membantu suatu organisasi dalam menyediakan tata Kelola atas layanan operasional TI yang baik dan memenuhi harapan pengguna.
The ISO/IEC 27001:2013 (ISO 27001) yang merupakan standarisasi penerapan Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management System (ISMS) yang memenuhi standar internasioal.
The ISO/IEC 20000:2011 (ISO 20000) yang merupakan standarisasi yang dikembangkan oleh ISO untuk membantu suatu organisasi daam hal penerapan Sistem Manajemen Layanan TI (SMLTI) atau Information Technology Service Management (ITSM) yang memenuhi standar internasioal.
Saat ini BPJS Kesehatan telah berhasil memperoleh sertifikasi untuk The ISO/IEC 27001:2013 (ISO 27001) dan The ISO/IEC 20000:2011 (ISO 20000) dari Lembaga Sertifikasi International British Standars Intitution (BSI).
Tentunya dugaan kebocoran data yang diduga dari BPJS Kesehatan tersebut, bila dikaitkan dengan banyaknya aplikasi di BPJS Kesehatan, maka kebocoran data tersebut kemungkinan bisa disebabkan diretasnya aplikasi-aplikasi tersebut khususnya Aplikasi Sistem Informasi Manajemen Kepesertaan dan Aplikasi pelayanan Kesehatan, dan kemungkinan kedua adalah adanya orang dalam yang membocorkan data-data tersebut. Namun saya cenderung menilai kemungkinan pertama yang terjadi, walaupun tentunya penyelidikan atas kemungkinan kedua pun harus dilakukan.
Bila memang karena diretas maka pengamanan aplikasi TI yang dimiliki BPJS Kesehatan relatif rendah. BPJS Kesehatan tidak bisa memastikan beberapa framework dan standar tata Kelola TI yang diimplementasikan BPJS Kesehatan untuk menjamin keamanan aplikasi-aplikasi di BPJS Kesehatan. Sebaiknya memang aplikasi yang ada di BPJS Kesehatan juga bisa disederhanakan jumlahnya sehingga bisa lebih efektif dan efisien dalam mengalola program JKN.
Kebocoran data ini harus dituntaskan oleh Pemerintah. Kebocoran data kepesertaan ini juga akan berdampak pada kebocoran data medis rakyat Indonesia yang dikelola BPJS Kesehatan. Ini sangat berbahaya bagi Indonesia bila data rakyat Indonesia dan data medis bisa dimiliki pihak lain.
Pinang Ranti, 22 Mei 2021