Jakarta, CNBC Indonesia - Belakangan tengah viral di media sosial X seorang karyawan PT Reska Multi Usaha (KAI Services), anak perusahaan PT Kereta Api Indonesia (KAI), diduga mengakses data seorang penumpang dan menghubunginya.
Menanggapi kasus ini, pakar keamanan siber, Alfons Tanujaya, menilai persoalan tersebut menunjukkan betapa ambaradulnya pengelolaan data di lembaga publik Indonesia.
"Eksploitasi data pengguna kereta api di KA yang terjadi dan ramai di platform X sebenarnya hanya merupakan puncak gunung es dari pengelolaan data yang amburadul oleh lembaga publik di Indonesia," ujar Alfons dalam keterangan tertulis, dikutip Senin (12/1/2026).
Menurut Alfons, KAI selama ini cukup progresif dalam transformasi digital, termasuk penerapan check-in berbasis wajah. Namun, tata kelola perlindungan data dinilai tidak sejalan dengan digitalisasi yang telah dilakukan.
Ia menjelaskan tata kelola data semestinya mengikuti standar keamanan seperti ISO 27001, pemberian hak akses yang ketat, pembatasan akses berdasarkan kategori pengguna, penggolongan data, serta penerapan masking data.
Namun, kasus yang muncul memperlihatkan bahwa data sensitif seperti nama lengkap, tanggal lahir, hingga nomor telepon tetap dapat diakses pihak-pihak di luar petugas kereta, termasuk anak perusahaan atau vendor.
"Nama lengkap, tanggal lahir lengkap, nomor telepon itu merupakan kecerobohan yang luar biasa dalam pengelolaan data," ujar Alfons.
Alfons bahkan menilai lembaga seperti KAI selayaknya ikut bertanggung jawab, karena publik menyerahkan data bukan karena keinginan, melainkan sebagai syarat untuk mengakses layanan. Oleh sebab itu, ia menilai lembaga negara hingga regulator harus terlibat.
"Jadi kalau misalnya KAI hanya memberikan sanksi kepada karyawannya, ya itu sudah layak dan sepantasnya. Itu melanggar UU PDP. Tetapi sebaliknya KAI juga harus disanksi. Kenapa? Karena ini menunjukkan pengelolaan data yang tidak bertanggung jawab," tegasnya.
Menurut Alfons lembaga terkait seperti Kementerian Komunikasi dan Digital, BSSN, dan pihak berwenang perlu menindak. Bukan untuk menghukum semata, tapi agar ada efek jera jika mengelola data tidak sesuai standar.
"Sama kira-kira kayak Grok lagi dihukum sekarang kan. Ya ini juga mengelola data Amburadul. Jadi bukan cuman KAI menghukum oknum lalu selesai, enggak. Ini mencerminkan pengelolaan data yang ngawur dan dijalankan bertahun-tahun dan harusnya lembaga sekelas KAI ini sudah naik kelas," ujarnya.
Ia juga menyoroti persoalan ini dalam konteks yang lebih luas. Menurutnya, insiden KAI mencerminkan situasi pengelolaan data di berbagai lembaga publik yang dinilai masih jauh dari standar yang semestinya, sebagaimana terlihat dalam kasus kebocoran data di instansi lain.
Alfons menegaskan perlunya penegakan Undang-Undang Perlindungan Data Pribadi (PDP) serta peningkatan kesadaran institusi bahwa pengelolaan data merupakan tanggung jawab besar yang wajib dipenuhi.
"Jadi dari Komdigi perlu melihat, UU PDP mana yang dilanggar. Yang penting adalah kalau melanggar aturan, tidak mengelola dengan baik, lu dapat sanksinya supaya yang lain juga tahu," pungkasnya.
(fab/fab)
[Gambas:Video CNBC]
:strip_icc():format(jpeg):watermark(kly-media-production/assets/images/watermarks/bola/watermark-color-landscape-new.png,1125,20,0)/kly-media-production/medias/5339674/original/047240900_1757081733-20250904AA_Timnas_Indonesia_vs_China_Taipei-08.JPG)
:strip_icc():format(jpeg)/kly-media-production/medias/5310777/original/099498800_1754792417-527569707_18517708213000398_2665174359766286643_n.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5165907/original/040062200_1742202626-3.jpg)
:strip_icc():format(jpeg):watermark(kly-media-production/assets/images/watermarks/bola/watermark-color-landscape-new.png,1125,20,0)/kly-media-production/medias/5342106/original/027230600_1757384899-Timnas_Indonesia_vs_Lebanon_-20.jpg)