Hampir semua slide presentasi saya berakhir di Slideshare, biar bisa dibaca dan dikritisi siapapun yang mau.

Ini slide diskusi dg Direktorat Kependudukan dan JamSos Bappenas tadi pagi. Saya usulkan solusi pengganti fotokopi KTP buat verifikasi nasional.

slideshare.net/IsmailFahmi3/p…
Definisi

Untuk istilah "data pribadi" saya merujuk Pasal 3 RUU PDP.

Data Pribadi terdiri atas:
a. Data Pribadi yang bersifat umum; dan
b. Data Pribadi yang bersifat spesifik.

Detail datanya seperti ini.
Para Pihak

Setidaknya ada 3 pihak yang terlibat dan menjadi bagian penting dalam pengaturan dalam RUU PDP:
- Pengendali (biasanya pemerintah)
- Prosesor (institusi yg mengumpulkan, mengelola data pribadi)
- Pemilik (you, sampeyan, anda, kita semua)
Saat ini, dokumen yang berisi data pribadi baik yang sifatnya data umum maupun spesifik, dan paling sering diminta oleh berbagai pihak, paling sering tercecer dan bocor adalah:

- KTP
- Kartu Keluarga
Data untuk Verifikasi

Kebutuhan paling sering muncul terkait data pribadi adalah untuk verifikasi. Misal memastikan (verifikasi) bahwa seseorang itu valid pemilik NIK tertentu.

Prakteknya, misal PL yg dibuat Kominfo, Kemkes, Telkom, minta foto selfie KTP untuk verifikasi.
Praktek pengumpulan fotokopi KTP dan kadang KK juga sering dilakukan di instansi pemerintah maupun bumn. Misal PLN untuk upgrade akun, semua urusan BPJS, vaksinasi, daftar CPNS, dll.
Namun ada juga yang tidak meminta fotokopi KTP untuk verifikasi. Cukup membawa KTP asli buat didata dan dicocokkan.
Praktek oleh Swasta

Bukan hanya pemerintah yang menerapkan praktek pengumpulan foto KTP dan selfie dengan KTP. Institusi swasta pun banyak sekali.

Saya ndak tahu sejak kapan dan kenapa praktek ini jadi standard verifikasi mereka. Prinsip "Know you customer"?
Jual Beli Foto KTP dan Selfie KTP

Apakah dokumen2 itu aman? Sama sekali tidak! Ini ada "jutaan stok data bergaransi" yang dijual bebas di medsos. Cari saja di Facebook Group, pasti ada yang menawarkan.

Siapa yang menjamin foto yang dikumpulkan swasta dan pemerintah itu aman?
Tidak Mudah Diusut

Sudah sejak Juni lalu kasus jual beli foto selfie dengan KTP ini ramai dilaporkan. Bulan Juli belum ditemukan. Apakah sudah ada kabarnya penjual ditangkap hari ini?

Tak mudah menangkap penjual data partikelir ini. Dan praktek pengumpulan selfie jalan terus.
Kebocoran Data Pribadi

Selain data foto KTP yang bocor di atas, yang lebih parah adalah kebocoran database hingga puluhan dan ratusan juta record. Terjadi di swasta maupun pemerintah: BL, Tokped, BPJS, dll.

Seperti mengikuti Murphy's Law.
Perlindungan atas Data Bocor

Kalau di GDPR (General Data Protection Regulation), institusi yang kebocoran wajib memberitahu pengguna maks 72 jam setelah tahu bocor. Kalau tidak, akan didenda.

Di +62 belum ada aturan itu. Akibatnya setelah lama baru diberitahu kl password aman.
Password Memang Aman, Tapi Data Lainnya Tidak

Yang diincar oleh pengumpul data2 yang bocor ini bukan password. Tapi data pribadi yang sangat kaya, bisa digunakan untuk banyak hal:

• Seller fiktif
• Phishing dan scamming
• Penipuan via telephone
• Telemarketing
• Pinjol
KESIMPULAN KEADAAN PDP DI INDONESIA

Bisa dikatakan di Indonesia “hampir belum ada perlindungan data pribadi” bagi warganya:

1. Pengumpulan fotokopi KTP, dan sekarang selfie dengan KTP, sepertinya sudah menjadi budaya, diterima oleh masyarakat, dan mayoritas tidak keberatan.
2. Praktek ini sangat berbahaya bagi perlindungan data pribadi, karena:
• dokumen pribadi tercecer dimana-mana,
• tidak jelas siapa yang tanggung jawab,
• jika server dihack, semua dokumen pribadi bisa dicopy,
• dan kebocoran sudah terjadi, data dijual di media sosial.
Negara belum terasa kehadirannya dalam melindungi data pribadi warga.
PDP DI BERBAGAI NEGARA

Sudah banyak negara yang memiliki UU PDP dengan namanya masing-masing. Misal di Singapore ada PDPA 2012, Kenya Data Protection Bill, dll.
Personal Data dalam GDPR

Khusus untuk GDPR yang banyak diadopsi prinsipnya di negara2 Eropa, dan negara lain pun wajib mengadopsi kalau memberi service kepada warga Eropa, definsi data pribadi mirip dg di RUU PDP. Karena kita menjadikan GDPR sebagai salah satu referensi juga.
7 Prinsip GDPR

• Transparan dengan data,
• Terbatas pada data yang dibutuhkan,
• Hapus data yang tidak perlu,
• Data harus akurat,
• Membatasi penyimpanan data pribadi,
• Integritas dan kerahasiaan,
• Akuntabel.
Aturan Dijalankan Dengan Tegas

Ada aturan kalau tidak diterapkan yang percuma. GDPR tidak begitu. Banyak perusahaan yang sudah didenda karena melanggar GDPR.

Terbaru yang terbesar adalah Amazon (746 juta EUR, Jul 2021), Google (50 juta EUR, jan 2019), H&M (35 juta EUR) dll.
DigiD: Cara Belanda Menghindari Fotokopi KTP

Saya 10 tahun di Belanda (2004-2014), jadi cerita soal ini dulu. Untuk keperluan verifikasi data kependudukan, biasanya di institusi pemerintah, pendidikan, kesehatan, pensiun, dan swasta, dibuat Single Sign On, DigiD.
Proyek Kemendagri

DigiD ini dikerjakan melalui tender yang dimenangkan oleh Siemens yg membentuk konsorsium dg Digidentity. Proyek multi year ini dibawah Kementerian Dalam Negeri.

Setelah jadi, DigiD lalu dioperasikan oleh Logius, layanan egov Belanda.
Cara Kerja SSO DigiD

- Warga yang sudah punya akun DigiD mengakses layanan institusi A
- Sistem A menghubungi DigiD
- DigiD minta Warga login
- Kalau berhasil DigiD bilang OK ke sistem A
- Warga lanjut akses layanan institusi A
Konsep DigiD

Prinsipnya, dengan DigiD, segala urusan verifikasi kependudukan dilakukan terpusat, tidak tercecer di berbagai institusi A,B,C,dll.

DigiD adalah tempat verifikasi ini, yang terhubung ke database Dukcapil (BRP Belanda). Sehingga layanan ini harus di bawah Kemdagri.
Call Center

Bagaimana kalau ada masalah, warga perlu bantuan dengan akunnya? Bantuan dan verifikasi kalau ada masalah dilakukan melalui Call Center yang disediakan DigiD.

Bukan dengan kirim foto/selfie KTP melalui WA/Email yang tidak aman.
Tidak ada Upload Foto KTP

Saat registrasi pun, tidak ada form yang meminta upload foto KTP atau selfie dengan KTP. Mekanisme dibuat sedemikian rupa sehingga sangat minim data yang dikirim, tetapi prinsip validitas data tetap terjaga.

Tuh kan bisa.
Protokol SSO DigiD

Ada beberapa protokol untuk Single Sign On. Dari tipe-tipe SSO di bawah ini, DigiD menggunakan SAML (Security Access Markup Language).
Sistem SSO Di Berbagai Negara

Bagaimana dengan negara-negara lain di Eropa? Ini ada tabel perbandingan yang saya rangkum dari tesis master mahasiswa Radboud University. Dia bandingkan SSO di Belgia, Jerman, Luxembourg, Estonia, Spanyol, Italia, dan NL.

ru.nl/publish/pages/…
Dari implementasi SSO di masing2 negara di atas, sebagian besar membuka layanan SSO ini untuk swasta (private) juga, selain tentunya keperluan pemerintahan.

Juga apakah layanannya bisa dipake oleh cardreader, HP, SMS, OTP device, dan komputer.
Berikut ini contoh situs SSO untuk Estonia (Mobile-ID), Jerman (eID), dan Belgia (itsme).
SSO di Indonesia

Sebenarnya inisiatif SSO ini sudah pernah dibuat oleh lembaga Pandi sejak 2018. Namanya U.ID. Basisnya adalah NIK dari KTP. Pakai protokol OAuth.

Untuk jadi solusi nasional, tidak bisa di bawah Pandi. Secara teknologi bisa, tp proses tidak.
USULAN

Terakhir usulan saya berdasarkan paparan di atas.

Pertama, segera sempurnakan RUU PDP karena masih ada permasalahan di dalamnya. Kemudian segera disahkan kalau sudah OK. Indonesia sudah sangat butuh RUU PDP ini. Tapi yang bener isinya.
JANGKA PENDEK

Sambil jalan, mulai lindungi data pribadi warga.

Untuk jangka pendek:

1. Perkuat kapasitas, kemampuan, keamanan, dan kecepatan sistem Dukcapil sehingga mampu melayani verifikasi data dari semakin banyak mitra (K/L, institusi bisnis, dll).
2. Dorong penggunaan API Dukcapil untuk aplikasi di pemerintah, instansi, dan perusahaan baik di pusat maupun daerah yang membutuhkan verifikasi data kependudukan.
3. Sosialisasikan pentingnya perlindungan data pribadi, bahaya kebocoran data, dan stop penggunaan fotokopi KTP dan KK sebagai syarat berbagai keperluan warga (vaksinasi, mengurus BPJS di rumah sakit, dll).
4. Wajibkan penyediaan Call Center (seperti sudah dilakukan oleh penyedia Credit Card) untuk layanan pelanggan, bukan melalui halaman upload/email/WA yang mewajibkan warga mengirim foto/selfie KTP.
JANGKA PANJANG

1. Bangun sistem SSO (single sign on) yang berbasis data Dukcapil, untuk keperluan verifikasi warga dalam berbagai aplikasi pemerintah, instansi, dan perusahaan baik di pusat maupun daerah yang diakses melalui internet.
2. Institusi yang paling tepat membuat layanan SSO ini adalah Kementerian Dalam Negeri yang mengelola database Dukcapil.
3. Untuk warga yang tidak bisa akses internet, mereka bisa verifikasi melalui call center, atau dengan langsung dengan datang ke petugas layanan (misal kelurahan, bank, dll) tanpa perlu membawa fotokopi dokumen identitas, karena sistem sudah terintegrasi dengan sistem Dukcapil.
Terimakasih

Akhirnya saya ucapkan terimakasih kepada Direktorat Kependudukan dan Jaminan Sosial @BappenasRI yang telah memberi kesempatan saya untuk "curhat".

Ocehan saya yang tak terstruktur di Twitter selama ini akhirnya bisa saya rumuskan di atas. Semoga bermanfaat. 🙏

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Ismail Fahmi

Ismail Fahmi Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @ismailfahmi

5 Sep
"Jika BOS terus diberikan kepada sekolah-sekolah dengan kualitas layanan tidak sesuai harapan, maka akan menyebabkan pemborosan anggaran negara..," katanya.

Jadinya negara lepas tanggung jawab, nyerahkan ke masyarakat untuk sekolah2 kecil?🤔

detik.com/edu/sekolah/d-…
Pendidikan dasar jadinya bukan hak semua warga negara. Hanya jadi hak bagi warga yg bersekolah di sekolah berkualitas.

Berapa banyak sekolah berkualitas?

Kebijakan ini bisa semakin melebarkan kesenjangan. Yg besar makin besar, yg kecil dilupakan.
Harusnya pemerintah hadir meningkatkan kualitas sekolah2 kecil yg banyak di desa2. Bukan malah menghentikan dukungan dan memilih hanya mendukung sekolah yg SUDAH berkualitas.

Enak sekali, maunya yg sudah jadi saja.
Read 18 tweets
3 Sep
Webinar Paling Gokil ITB 92:

"Paradigma Santet Pelet dan Babi Ngepet dr sudut pandang Metafisika Gelombang & Cahaya"

Pembicara: Ki Panji Trisula (Bustanus Salatin)
Moderator: Ms. G (Korban Santet)

Minggu, 5 Sep 2021
19.30-21.00 WIB

Zoom:
us02web.zoom.us/j/85743370281?…

💀💀👻👹😈
Kita akan bedah fenomena santet, pelet, dan babi ngepet ini secara ilmiah dan spiritual.

Yang ingin tahu, atau mau share pengalaman, silahkan gabung. Kita gabut bersama alumni ITB 92.
Doorprize: santet dan susuk gratis.

*kalau mau🤭
Read 6 tweets
2 Sep
Apakah ini "fitur" atau "bug" dalam PeduliLindungi, sehingga rakyat bisa lihat sertifikat vaksinasi presidennya?

🤔
Sebenarnya caption diatas dibuat heboh aja. Aslinya di PL, siapapun yang sudah login di apps, bisa cek sertifikat siapapun selama tahu NIK, Nama, dan tanggal lahir.

Jadi, ini adalah "fitur".

Tapi ndak tahu apakah memang semudah itu orang boleh download sertifikat orang lain.
Banyak orang desa yang ndak punya nomor HP atau email. Memang gap di +62 masih tinggi kl mau dibuat full elektronik.

Read 5 tweets
31 Aug
The next big thing 🤦‍♂️

vpnmentor.com/blog/report-eh…
The developers of eHAC were using an unsecured Elasticsearch database to store over 1.4 million records from approximately 1.3 million eHAC users.

These records didn’t just expose the users. This data leak exposed the entire infrastructure around eHAC, including private records.
No. of people exposed:Approx. 1.3 m
Types of data exposed:PII data; travel information; medical records; COVID-19 status
Potential impact:Fraud; Hacking; Disinformation
Data storage format:Elasticsearch
Read 8 tweets
18 Aug
Kanal2 YouYube berisi fitnah dan hoaks ini viewernya tinggi. Ini baru 3 jam sudah 19 ribu views.

Yg ditanyakan bapak sy karena viral di WAG, baru 3 hari sudah 750an ribu views.

Keuntungan ekonomi dari hoaks ini nyata. Berhati2 lah.
Kanal2 spt itu memfitnah siapa saja. Yang penting bisa viral.
Dan memanfaatkan narasi dari siapa saja.
Yang penting bisa viral.
Read 4 tweets
17 Aug
Wow, hadiah ulang tahun ke-76 #17an RI, dari @Muhammadiyah: EdutabMU.

Tidak perlu paket data,
tidak perlu pulsa,
tidak perlu koneksi internet,
tidak perlu laptop.

Hanya perlu tablet. Jauh lebih murah.
Aman karena akses terbatas tablet.
Education for all, bisa lebih dicapai.
Inovasi dan inisiatif ini dibuat oleh @LAZISMU, menggandeng Enuma, sebuah startup global yang berkantor di Berkeley, California, dan Korea Selatan.

Tahap awal EdutabMU ini berisi pelajaran tentang Math dan Language, untuk TK-SD. Ke depan akan dibuat sendiri untuk materi lain.
Timeline project mulai dari pilot, perluasan, reformulasi, pengembangan sejak 2021 hingga 2026 bisa dilihat di lihat di sini.

Setiap tahun jumlah tablet ditambah, jumlah sekolah, guru, dan siswa yang meningkat. Mulai dari literacy, numeracy, keIndonesiaan, dan English.
Read 9 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

:(