Kecerobohan Manusia dalam Kebocoran Data

Institusi dan individu kini harus sadar bahwa kebocoran data bukan hal sepele. Bagi individu, jangan pernah beranggapan bahwa berbagi data pribadi bisa dilakukan dengan bebas tanpa konsekuensi. Baik secara individu maupun agregat, data memiliki nilai ekonomi, sosial, budaya, dan politik.

Bagi pembobol data, data merupakan bisnis besar karena harganya di pasar gelap berkisar dari beberapa dolar hingga puluhan dolar per identitas. Data curian ini bisa dipakai untuk tindakan kriminal dari pemerasan, penipuan, hingga pencurian uang secara elektronik.

Secara global, IBM melaporkan terjadi peningkatan kerugian akibat kebocoran data dari US$ 3,86 juta (sekitar Rp 55,3 miliar) pada 2020 menjadi US$ $4,24 juta (sekitar Rp 60 miliar) tahun ini. Di laporan riset ini juga dipaparkan bahwa kebocoran data pribadi menyumbang kerugian yang paling besar dengan nilai US$ 180 (sekitar Rp 2,5 juta) untuk setiap identitas.

Isu Privasi

Privasi dan perlindungan data pribadi adalah dua aspek yang saling terkait satu dengan lainnya. Perlindungan data ditujukan untuk memastikan bahwa data pribadi setiap individu ditangani sesuai dengan peraturan dan undang-undang yang berlaku. Privasi merupakan bagian dari hak asasi manusia. Oleh karena itu, setiap individu memiliki hak untuk mengontrol data pribadi mereka.

Di Indonesia, definisi mengenai data pribadi tertera di Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan. Di UU tersebut data pribadi didefinisikan sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.

Data pribadi ini meliputi nama lengkap, nomor KTP/NIK, Passpor, SIM dan identitas lainnya, data-data tentang kesehatan (fisik, fisiologi, dan mental), data demografi individu, data ekonomi dan penghasilan, data lokasi geografis dan geolokasi, nomor ponsel, alamat surel pribadi, alamat rumah, foto dan video individu.

Pengelolaan data pribadi harus mematuhi peraturan perundang-undangan proteksi dan privasi data yang berlaku di negara setempat. Karena itu, pemerintah dan DPR perlu segera membahas lagi rancangan UU Perlindungan Data Pribadi yang kini mandeg.

Untuk perlindungan data pribadi ini, Uni Eropa masih merupakan jurisdiksi yang terdepan dalam penegakan ketentuan proteksi dan privasi data melalui Peraturan Umum Perlindungan Data (General Data Protection Regulation atau GDPR)). Seperti saran GDPR, individu pemilik data berhak mengetahui siapa atau pihak-pihak mana yang menjadi pemroses data (data processor), siapa yang mengendalikan data mereka (data controller), dan siapa yang memproteksi data mereka (data protection officer).

Secara umum, regulasi mengenai proteksi data memberikan hak pada pemilik data untuk mengetahui siapa saja yang akan menggunakan data (access), dimintai pernyataan kebersediaan (consent), mengoreksi data yang tidak akurat (correction), meminta data dimusnahkan setelah dianalisis (erasure), mengetahui penggunaan data (informed), dan mentransfer data (portability).

Teknologi, Prosedur, dan Manusia

Tata kelola data yang baik melibatkan sinergi antara teknologi, proses (prosedur) dan manusia. Institusi publik harus profesional menangani data pribadi dan sensitif dari sejak data dikumpulkan, diproses, hingga dimusnahkan. Regulasi perlindungan data pribadi yang saat ini dalam tahap rancangan semakin terasa urgensinya.

Pemahaman mengenai tata kelola data yang baik dan kepatuhan terhadap regulasi perlindungan data pribadi akan menentukan bagaimana institusi menangani data pribadi individu yang mereka kumpulkan. Misalnya, institusi harus menjamin keamanan jaringan dan mesin yang digunakan untuk menyimpan data.

Di samping itu, data itu sendiri harus diproteksi dengan menggunakan mekanisme kriptografi modern. Yang tak kalah pentingnya adalah kendali atas akses data. Kolusi yang terjadi di antara pihak-pihak yang memiliki akses data akan berdampak serius dan membuat teknologi keamanan yang sudah diterapkan menjadi sia-sia.

Jika kebocoran data sudah terjadi, institusi yang bertanggung jawab harus segera melaporkan kejadian tersebut ke otoritas yang berwenang (Kementerian Komunikasi dan Informasi), untuk bersama-sama mengambil langkah-langkah yang relevan untuk memitigasi resiko, baik bagi institusi, maupun individu yang terdampak kebocoran data tersebut.