Bom Waktu Bernama Dark Data

Indonesia sedang berlari kencang dalam arus transformasi digital. Layanan publik terdigitalisasi, perusahaan berlomba menjadi data-driven, dan kecerdasan buatan marak diadopsi di berbagai sektor. Namun, di balik optimisme itu, ada satu fenomena yang nyaris luput dari perhatian publik dan pembuat kebijakan, yaitu yang disebut dengan dark data.

Dark data sebenarnya bukan istilah sensasional. Ia justru terlalu teknis untuk menarik perhatian, sehingga sering diabaikan. Padahal, di sinilah sering kali akar masalah kebocoran data, kegagalan analitik, hingga pelanggaran hukum bermula.

Secara sederhana, dark data adalah data yang dikumpulkan dan disimpan, tetapi tidak pernah dipetakan, diklasifikasikan, dimanfaatkan, atau bahkan disadari keberadaannya. Ia hadir dalam bentuk email lama, arsip hasil pemindaian dokumen, rekaman CCTV, log aplikasi, rekaman rapat daring, hingga backup sistem yang dibuat bertahun-tahun lalu dan “disimpan saja”. 

Di banyak organisasi Indonesia—baik swasta maupun publik—dark data merupakan kondisi yang lumrah. Digitalisasi dilakukan dengan semangat tinggi, tetapi tanpa disiplin pengelolaan siklus hidup data. Selama ada kapasitas penyimpanan, data terus ditimbun. Jarang dipertanyakan apakah data ini masih diperlukan atau tidak, masih relevan atau tidak, dan siapa yang bertanggung jawab atasnya. 

Paradigma Keliru

Selama ini, keamanan siber kerap dipersepsikan sebagai urusan aplikasi dan infrastruktur seperti firewall, antivirus, SOC, atau sertifikasi standar tertentu. Padahal, inti dari keamanan digital bukanlah sistem, melainkan data. Sistem hanya wadah. Ketika fokus keamanan berhenti di aplikasi, maka dark data jatuh ke area gelap sehingga tidak diawasi, tidak dilindungi secara memadai, dan juga tidak diaudit.

Banyak insiden kebocoran data besar—di Indonesia maupun global—tidak berasal dari sistem inti yang canggih, melainkan dari folder bersama, email lama, cloud storage yang terlupakan, atau backup yang tidak terenkripsi. Dark data adalah sasaran empuk karena ia “hidup” di luar radar pengamanan utama.

Risiko Hukum Struktural

Dengan berlakunya Undang-Undang Perlindungan Data Pribadi (UU PDP), persoalan dark data menjadi jauh lebih serius. UU PDP menekankan pembatasan tujuan, pembatasan masa simpan, serta kewajiban penghapusan data ketika tidak lagi relevan. Masalahnya, bagaimana mungkin memenuhi prinsip-prinsip itu jika organisasi sendiri tidak tahu data apa saja yang dimilikinya?

Dark data menciptakan risiko hukum yang bersifat struktural, bukan insidental. Data pribadi disimpan tanpa tujuan yang jelas, tanpa dasar pemrosesan yang terdokumentasi, dan tanpa mekanisme penghapusan. Dalam konteks ini, pelanggaran bukan lagi soal “lalai sesaat”, tetapi akibat dari tata kelola yang tidak pernah dibangun sejak awal.

Ironisnya, dark data juga sering dianggap sebagai “harta karun” potensial untuk analitik dan kecerdasan buatan. Logikanya sederhananya adalah bahwa semakin banyak data, maka semakin pintar sistem. Padahal, data yang gelap seringkali penuh bias, duplikasi, ketidakakuratan, dan konteks yang sudah usang.

Ketika dark data digunakan untuk melatih model AI, risikonya bukan sekadar hasil yang tidak akurat, tetapi keputusan yang keliru dengan tingkat kepercayaan diri tinggi. AI tampak cerdas, dashboard terlihat meyakinkan, tetapi fondasinya rapuh. Dalam sektor-sektor krusial seperti layanan publik, kesehatan, atau keuangan, kesalahan semacam ini bisa berdampak luas dan fatal.

Masalah Kepemilikan Data 

Akar persoalan dark data di Indonesia sering kali bermuara pada satu asumsi keliru, bahwa data dianggap milik unit Teknologi Informasi (TI). Akibatnya, unit bisnis merasa tidak perlu bertanggung jawab atas kualitas, relevansi, dan risiko data yang mereka hasilkan sendiri. Sementara TI, di sisi lain, fokus pada ketersediaan sistem, bukan makna dan implikasi data.

Tanpa kejelasan kepemilikan data, tidak ada dorongan untuk mengurangi penumpukan. Tidak ada keberanian untuk menghapus. Data terus tumbuh, tetapi tidak pernah “dirawat”.

Apa yang Perlu Dilakukan?

Mengatasi dark data bukan soal membeli teknologi mahal, melainkan soal kematangan tata kelola.

Di level individu, kesadaran menjadi kunci. Setiap pegawai adalah produsen data. Kebiasaan menyimpan dokumen sensitif di email pribadi, mengunggah file kantor ke layanan publik, atau menyimpan arsip tanpa batas adalah sumber utama dark data. Literasi data dan digital hygiene harus menjadi bagian dari budaya kerja, bukan sekadar pelatihan formal. 

Di level organisasi, langkah pertama adalah pengakuan bahwa sebagian besar data tidak dipahami dan dikelola dengan baik. Dari sini, perlu ditetapkan kepemilikan data di sisi bisnis, bukan TI. Klasifikasi data harus dibuat sederhana dan operasional, diikuti kebijakan retensi dan penghapusan yang jelas. Prinsipnya jelas bahwa data yang tidak dihapus adalah data yang harus dilindungi terus—dan itu mahal serta berisiko.

Teknologi seperti data discovery, klasifikasi otomatis, atau DLP dapat membantu, tetapi hanya efektif jika ditopang kebijakan dan akuntabilitas yang jelas. 

Di level negara, dark data seharusnya mulai dipandang sebagai isu strategis nasional. Implementasi UU PDP perlu dilengkapi panduan teknis yang lebih tegas tentang minimalisasi data, retensi, dan penghapusan. Audit kepatuhan tidak cukup berhenti pada dokumen kebijakan, tetapi harus menyentuh realitas data yang benar-benar tersimpan di sistem organisasi.

Pada akhirnya, dark data adalah cermin. Ia mencerminkan bagaimana kita memandang data, apakah sekadar residu digital yang dibiarkan menumpuk, atau aset sekaligus tanggung jawab yang harus dikelola dengan sadar. Indonesia boleh saja cepat dalam digitalisasi, tetapi tanpa keberanian mengelola dan mengurangi data yang tidak perlu, kita sedang menyiapkan bom waktu di jantung transformasi digital itu sendiri.

Pertanyaannya bukan lagi apakah dark data itu ada. Pertanyaannya adalah siapkah kita menyalakan lampu dan mulai membereskannya?