Back to all our Insights
Kebocoran data asuransi dan pentingnya ISO/IEC 27001 serta ISO/IEC 27701 untuk tata kelola data pribadi
Berita

Kasus Nadia Venika dan Bocornya Data Dara Arafah: Refleksi Kritis atas Tata Kelola Data Pribadi di Industri Asuransi

Pada Juli 2025, publik dikejutkan oleh penyebaran data medis selebgram Dara Arafah oleh seorang karyawan pihak ketiga dari salah satu asuransi bernama Nadia Venika. Peristiwa ini bukan sekadar viral di media sosial, tetapi mencerminkan lemahnya kesadaran etika, lemahnya pengawasan internal, serta ketidaksiapan banyak organisasi dalam menerapkan tata kelola data pribadi yang sesuai dengan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).

Fakta Kasus: Kronologi, Bukti, dan Respon

Nadia Venika adalah salah satu karyawan di Gl***l Ex**l, pihak ketiga yang menangani klaim nasabah untuk perusahaan asuransi besar. Melalui status WhatsApp pribadi, ia mengunggah dokumen berisi data sensitif milik Dara Arafah, mencakup:

  • Nama lengkap,
  • Foto KTP,
  • Ringkasan medis,
  • Komentar sarkastik.

Unggahan ini kemudian tersebar luas setelah Dara Arafah mempublikasikannya di Instagram dan menyatakan kemarahan serta rencananya untuk membawa kasus ini ke ranah hukum.

Gl***l Ex**l merespons cepat dengan menyatakan bahwa Nadia telah diberhentikan, dan tindakan tersebut tidak mencerminkan nilai-nilai perusahaan. Namun, pertanyaan yang lebih besar mengemuka:

Apakah hanya satu orang yang bersalah, atau ada celah sistemik yang perlu dibenahi?

Dimensi Hukum: Dua Undang-Undang yang Relevan

Tindakan yang dilakukan oleh pelaku berpotensi melanggar dua regulasi utama di Indonesia:

  1. Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi
  • Pasal 65 Ayat (2) menyatakan bahwa subjek data berhak atas ganti rugi atas setiap pelanggaran data pribadi.
  • Pelaku dapat dikenai sanksi pidana dan/atau administratif jika terbukti menyebarkan data pribadi tanpa dasar hukum yang sah.
  1. Undang-Undang Nomor 17 Tahun 2023 tentang Kesehatan
  • Pasal 17 menegaskan bahwa informasi kesehatan pasien bersifat rahasia, dan hanya dapat diakses oleh pihak yang berwenang.
  • Dalam konteks ini, penyebaran diagnosa medis tanpa izin merupakan pelanggaran langsung terhadap hak pasien.

Kedua regulasi ini menjadi landasan penting bagi korban untuk menuntut haknya, sekaligus menjadi referensi bagi organisasi dalam menyusun kebijakan internal terkait perlindungan data dan kerahasiaan informasi.

Analisis Risiko: Celah dalam Sistem Tata Kelola Informasi

Apa yang bisa dipelajari dari kasus ini? Dari perspektif tata kelola risiko, insiden ini menunjukkan bahwa:

  • Kegagalan kontrol internal: Tidak semua pegawai memahami batas akses data dan etika penggunaannya. Ini mencerminkan minimnya pelatihan atau kontrol atas staf.
  • Ketiadaan proteksi teknis dan prosedural: Tidak ada mekanisme yang mencegah tangkapan layer/ screenshot terhadap data sensitif, atau notifikasi saat data diakses tidak sesuai prosedur.
  • Kurangnya pengawasan terhadap pihak ketiga: Organisasi seringkali luput dalam melakukan due diligence terhadap vendor, terutama dalam aspek data handling dan kepatuhan terhadap regulasi lokal.

Kasus ini juga mengindikasikan kegagalan dalam menerapkan prinsip Least Privilege dan Privacy by Design dalam sistem informasi organisasi.

Rekomendasi Strategis Data Pribadi bagi Organisasi

Agar kejadian serupa tidak terulang, organisasi terutama di sektor kesehatan dan keuangan perlu meninjau kembali pendekatan mereka terhadap keamanan dan kerahasiaan data. Beberapa langkah strategis yang dapat diambil:

  1. Penerapan Sistem Manajemen Keamanan Informasi (ISO/IEC 27001:2022)
  • Menetapkan kebijakan akses data, audit trail, dan kontrol berbasis peran (role-based access control).
  • Melibatkan Top Management dalam evaluasi risiko pelanggaran data.
  1. Penerapan Sistem Manajemen Informasi Privasi (ISO/IEC 27701)
  • Memastikan perlindungan hak subjek data, termasuk transparansi, koreksi, dan penghapusan data.
  • Membangun privacy information management system framework yang terintegrasi dengan kebijakan IT dan legal.
  1. Pelatihan dan Edukasi Berkala
  • Edukasi karyawan dan mitra alih daya tentang etika pengelolaan data, risiko hukum, dan konsekuensi reputasional.
  • Uji pemahaman melalui simulasi pelanggaran data (data breach tabletop exercise).
  1. Evaluasi Ulang Kontrak dengan Pihak Ketiga
  • Revisi klausul Non-Disclosure Agreement (NDA) dan Service Level Agreement (SLA) untuk memasukkan ketentuan khusus terkait pelindungan data pribadi dan data medis.
  • Terapkan sistem audit vendor secara periodik.

Kesimpulan: Saatnya Meningkatkan Maturity Organisasi terhadap Privasi

Kasus ini bukan hanya pelanggaran personal, tetapi juga organizational wake-up call bagi semua entitas yang mengelola data sensitif. Di era digital saat ini, kepercayaan nasabah dan reputasi perusahaan sangat bergantung pada bagaimana sebuah organisasi mengelola data dan menjaga privasi pengguna.

Kejadian ini seharusnya mendorong organisasi untuk tidak hanya compliant terhadap regulasi, tetapi juga membangun budaya etis dalam pengelolaan data. Sebab, tata kelola yang baik tidak hanya diukur dari prosedur yang tertulis, tetapi dari konsistensi nilai yang diterapkan dalam praktik sehari-hari.

Robere & Associates (Indonesia) siap mendampingi organisasi Anda dalam menerapkan tata kelola data pribadi, melalui pelatihan, audit sistem informasi dan privasi, serta implementasi standar ISO 27001 dan ISO 27701. Hubungi kami melalui Contact Robere untuk konsultasi awal atau informasi lebih lanjut.

OTHER INSIGHT POSTS
Information Security on ESG
Keamanan Informasi untuk Mendukung Aspek ESG Organisasi Berita
Seminar ISO 37301
Seminar ISO 37301:2021, Strategi Kepatuhan Organisasi di Tengah Peningkatan Regulasi Berita
Consult with us