lt5a129b619dbcc

Lessons from Paradise Paper, Data Protection Law Firm Clients Worried

This news has been viewed 2,854 time

LEGAL ONLINE = Primary capital of the legal profession in dealing with his clients is trust (trust). With a reputation for high confidence, law firm can reap unlimited honorarium for clients willing to pay. Clients and all important data for law office. Hence, it should seek the law firm of his client's digital data confidentiality is assured. For example, with an effort to implement ISO 27001 and regulations on protection of personal data.

The digital era, personal data protection of personal data is still vulnerable. Faktanya firma hukum skala internasional pun tak luput dari pembobolan data klien. Apalagi firma hukum yang sistem penyimpanan informasinya tidak bagus. Remember, jika dapat dibuktikan ada kelalaian, firma hukum bisa saja digugat klien yang merasa dirugikan.

Sukses dengan kehebohan ‘Panama Papers’ di tahun 2016 then, International Consortium of Investigative Journalist (ICIJ) dan koran asal Jerman Süddeutsche Zeitung kembali merilis hasil investigasi dugaan praktek penyembunyian aset dan penghindaran pajak para konglomerat dunia. Informasi itu diperoleh tim investigasi melalui data klien milik firma hukum. Jika sebelumnya kehebohan ‘Panama Papers’ bersumber dari dokumen para klien firma hukum bernama Mossack Fonseca & Co. (MF) yang berada di Republik Panama, kali ini data klien dari firma hukum Appleby di Bermuda yang beredar. Penelusuran hukumonline menunjukkan pada tahun 2013 juga pernah terjadi kebocoran data klien firma hukum asal Singapura, Portcullis TrustNet.

Appleby menyatakan bahwa sistem keamanan informasi mereka telah berjalan dengan baik tanpa ada kebocoran. Menolak tuduhan kebocoran data, Appleby merasa pusat penyimpanan data digital mereka telah diretas. We wish to reiterate that our firm was not the subject of a leak but of a serious criminal act and our systems were accessed by an intruder who deployed the tactics of a professional hacker” tulisnya dalam laman resmi mereka.

Ahli keamanan siber CISSReC (Communication & Information System Security Research Center), Pratama Dahlian Persadha menjelaskan kepada hukumonline, Wednesday(8/11) then, klaim telah menjadi korban hacking adalah cara paling umum penyelenggara sistem elektronik untuk berkelit dari tanggung jawab. “Tidak bisa bilang bahwa itu gara-gara hacking sebelum melakukan audit digital forensic terlebih dahulu,” ujar pria yang pernah 15 tahun berkarier di sebuah lembaga negara.

Dalam konteks Indonesia, Pratama mengingatkan, tingkat literasi keamanan informasi masyarakat secara umum masih rendah. Oleh karena itu tanggung jawab terbesar justru ada pada penyelenggara sistem elektronik. “Sebenarnya kesalahan yang paling fatal adalah penyedia layanan tersebut,” tegasnya.

Kantor hukum, kata Pratama, harusnya sudah memiliki standar sistem keamanan informasi digital yang baik. Namun ia melihat kemungkinan terbesar yang terjadi saat ini firma hukum hanya sekadar membeli aplikasi perangkat lunak untuk pengamanan. Padahal menurutnya hal tersebut masih jauh dari standar pengamanan yang memadai. “Di Amerika itu ada satu undang-undang yang mewajibkan semua penyedia layanan keamanan informasi tidak boleh menjual sistem kemanan di luar Amerika sebelum National Security Agency (NSA) dari Amerika bisa menembus sistemnya atau punya kunci masternya. Jangan pernah percaya(aplikasi pihak ketiga), harus mandiri,” lanjutnya.

According to, kondisi lebih parah ketika firma hukum justru menyimpan data klien dengan teknologi cloud gratisan. Layanan cloud secara jelas memindahkan data kepada penyimpanan yang disediakan pihak ketiga. Sekalipun memiliki klaim sertifikasi internasional, bagi Pratama jasa cloudberbayar sekalipun tidak pernah benar-benar aman. APalagi yang gratisan. “Sekarang ini saya yakin banyak firma hukum di Indonesia menggunakan cloudgratisan, entah itu dropbox atau GDrive, kalau sudah ngomong gratisan, sudah wassalam sajalah,” tandasnya.

Kepala Sub-Direktorat Penyidikan dan Penindakan pada Direktorat Keamanan Informasi Kementerian Komunikasi dan Informatika (Kemenkominfo), Teguh Arifiyadi, mengatakan masih ada kelemahan hukum di Indonesia tentang perlindungan data pribadi. “Tergantung data yang disimpan, apakah data itu menurut undang-undang harus dilindungi dengan konteks pidana atau tidak,” ujarnya kepada hukumonline.

Perlindungan data pribadi dari segi pemidanaan di Indonesia terbatas hanya jika diatur oleh undang-undang tertentu. Misalnya UU Perbankan, UU Administrasi Kependudukan, dan UU Kesehatan. In other words, belum ada satu undang-undang khusus soal perlindungan data pribadi. Jika tidak diatur pemidanaannya, hubungan hukum perlindungan data pribadi kembali pada perjanjian perdata antara klien dengan penyedia jasa soal kerahasiaan informasi klien. Tanggung jawab penyedia jasa hanya sejauh yang diperjanjikan.

Even though, Teguh menambahkan regulasi turunan UU No. 11 Year 2008 on Information and Electronic Transactions (UU ITE) telah menentukan apa yang harus dilakukan ketika terjadi kegagalan dalam melakukan perlindungan terhadap data. “Ada PP No. 82 Year 2012, SOP tidak detil tetapi beberapa kewajiban yang harus dilakukan ketika terjadi kegagalan dalam perlindungan data pribadi,” katanya.

Article 15

  1. Penyelenggara Sistem Elektronik wajib:
    1. menjaga rahasia, keutuhan, dan ketersediaan Data Pribadi yang dikelolanya;
    2. menjamin bahwa perolehan, penggunaan, dan pemanfaatan Data Pribadi berdasarkan persetujuan pemilik Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; and
    3. ensure the use or disclosure of the data is based on the consent of the owner of the Personal Data and in accordance with the purpose of being delivered to the owner of Personal Data at the time of data acquisition.
  2. If there is a failure in the protection of confidential personal data it manages, Organizers of the Electronic Systems shall notify in writing to the owner of the Personal Data.
  3. Further provisions on personal data protection guidelines in Electronic Systems referred to in paragraph (2) diatur dalam Peraturan Menteri.

Selain PP No. 82 Year 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE), sebetulnya juga telah diterbitkan Permenkominfo No. 20 Year 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (Permenkominfo Perlindungan Data Pribadi).

Pratama dan Teguh sependapat sebuah firma hukum wajib melakukan upaya maksimal untuk melindungi data pribadi klien yang mereka simpan. Khususnya dalam bentuk dokumen digital yang rentan dari peretasan. Menurut Teguh, setiap firma hukum yang melakukan penyimpanan informasi klien dalam data center atau cloud pada dasarnya tengah melakukan penyelenggaraan atau pengoperasian sistem elektronik. Therefore, bagi Teguh PP PSTE dan Permenkominfo Perlindungan Data Pribadi juga mengikat bagi firma hukum. “Bukan konteks lawfirm dari sisi badan hukum, tapi dalam konteks dia menyelenggarakan atau mengoperasikan sistem elektronik,” ujar Teguh.

PP No. 82 Year 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik Permenkominfo No. 20 Year 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik
BAB I

KETENTUAN UMUM

Article 1

1.Electronic Systems is a series of electronic devices and procedures in place to drill, gather, process, analyze, save, displays, announce, send, and / or disseminate electronic information.

4.Organizers Electronic Systems is every man, state officials, Enterprises, and the people who provide, manage, and / or operate the Electronic Systems individually or jointly to the Electronic System User for the purposes of themselves and / or purposes other party.

 

 

BAB I

KETENTUAN UMUM

Article 1

1.Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.

5.Electronic Systems is a series of electronic devices and procedures in place to drill, gather, process, analyze, save, displays, announce, send, dan/atau menyebarkan informasi elektronik.

6. Organizers Electronic Systems is every man, state officials, Enterprises, and the people who provide, manage, and / or operate the Electronic Systems individually or jointly to the Electronic System User for the purposes of themselves and / or purposes other party.

Seperti halnya Pratama, Teguh mengatakan setiap penyedia jasa dengan sistem elektronik yang menyimpan data klien tidak bisa berkelit begitu saja dengan klaim telah diretas. Setiap data yang diduga diambil lewat peretasan harus dibuktikan lebih dahulu dengan IT audit hingga audit digital forensic.

“Klaim itu statement dalam konteks komunikasi, konteks hukum yang dibenarkan adalah hasil audit terhadap sistem melalui IT audit. Nanti kesimpulan hasil audit digital forensic yang akan membuktikan ada kejahatan atau tidak,” lanjutnya.

Lagi-lagi Teguh pun mengingatkan soal layanan cloud gratisan. “Kalau cloud gratisan lebih rumit lagi, karena biasanya ada klausula bahwa kehilangan atau kerusakan data bukan menjadi tanggung jawab penyelenggara cloud,” imbuhnya.

If the results show there is a question of negligence safeguard data, then open wide the opportunity lawsuit by the client. Therefore, both assess the implementation of ISO 27001 could be evidence of good faith. Or at least the law firm could be bound by the instructions Permenkominfo Personal Data Protection.

ISO 27001 is an International standard in implementing information security management system, or better known as Information Security Management Systems (ISMS). The goal to manage and control risks and protect the confidentiality of information security (confidentiality), integrity (integrity) as well as the availability (availability) information.

Iqsan Sirie, personal data protection law practitioners who are also lawyers at the law firm Assegaf Hamzah & Partners assess, these proposals are very good and in accordance with the obligation of professional advocate. Kewajiban itu berdasarkan UU Advokat untuk menjaga kerahasiaan klien.

Kerahasiaan tersebut termasuk data pribadi kliennya dan data-data lainnya yang bukan merupakan data pribadi namun bersifat rahasia (misalnya rahasia dagang), yang diketahui dan diperoleh dari kliennya. “Sayangnya, UU Advokat tidak mengatur lebih jauh bagaimana dan seberapa jauh mereka harus berupaya dalam melindungi kerahasiaan data,” terang Iqsan.

Belum lagi menerapkan ISO 27001 dan ketentuan Permenkominfo Perlindungan Data Pribadi tersebut membutuhkan investasi yang cukup besar baik waktu maupun biaya. Disamping juga memberikan kewajiban yang sangat berat dan banyak. “Paket aturan ini menitikberatkan pada penyelenggaraan sistem elektronik, yang menjadi persoalan besar adalah apakah lawfirm bisa dikategorikan sebagai penyelenggara sistem elektronik?” kata Iqsan melalui keterangan tertulisnya dari Belanda kepada hukumonline.

Iqsan memahami bahwa tidak semua firma hukum memiliki daya dukung yang cukup untuk bisa memenuhi standar ISO 27001 dan Permenkominfo Perlindungan Data Pribadi. Apalagi memang tidak ada daya paksa hukum dari kedua rezim standardidasi tersebut untuk membuat firma hukum menjalankannya. Wajar jika minim firma hukum yang mau menundukkan diri soal standardisasi keamanan informasi ini.

Berbeda dengan banyak firma hukum di luar negeri yang menurut Iqsan sudah menerapkan standar sistem keamanan informasi internasional terbitan ISO. “Saya tahu di Indonesia, ada beberapa lawfirm yang telah menerapkan standar ISO (among others, ABNP, LSM, LGS), namun ISO yang diterapkan bukan terkait sistem keamanan informasi,” tambahnya.

Teguh Arifiyadi mengakui sebenarnya ada batasan Permenkominfo Perlindungan Data Pribadi. Pada dasarnya penerapan ISO 27001 sebagai standar internasional hanya wajib bagi penyelenggara sistem elektronik dengan kriteria strategis dan beresiko tinggi. Lampiran Permenkominfo tersebut menyediakan daftar self assestment untuk dinilai sendiri. “Kalau tidak jujur kemudian ada yang buktikan dia beresiko (tinggi), ada resiko konsekuensi hukum yang dia tanggung,” katanya.

Jika melihat hal tersebut, nampaknya firma hukum dengan skala kecil dan menengah bisa saja untuk saat ini menutup mata atas Permenkominfo Perlindungan Data Pribadi dan ISO 27001. Sementara firma hukum besar dengan klien multinasional memiliki tantangan untuk semakin mengokohkan kredibilitas mereka. Namun yang terpenting, menjaga kepercayaan dan kepentingan hukum klien sebaik mungkin adalah hal mutlak untuk dijunjung tinggi oleh profesi hukum.

Untuk itu, Teguh Arifiyadi mengusulkan agar resiko soal perlindungan data pribadi ini diperjanjikan dengan jelas dalam perjanjian perdata yang mengikat firma hukum dengan klien. “Kebanyakan tidak diatur detail, hanya dinyatakan tidak boleh membuka atau memberikan data kepada pihak lain, soal data bocor atau mekanisme perlindungannya tidak pernah diatur detil antara klien dengan firma hukum,” tutupnya.

source : hukumonline

Leave a Reply

Your email address will not be published. Required fields are marked *