Seberapa Siap Perusahaan Anda terhadap Perlindungan Data Pribadi?
Dalam kehidupan sehari-hari, apakah Anda pernah melihat fotokopi ujian tertulis sebagai bungkus gorengan? Atau fotokopi kartu keluarga, bahkan KTP, yang tercantum jelas si identitas empunya? Sesungguhnya, ini merupakan persoalan literasi kerahasiaan data yang sangat fundamental di dunia serba digital saat ini.
Berlakunya perlindungan data pribadi sudah seharusnya diikuti dengan kesadaran kita sebagai seorang individu di masyarakat. Begitu juga ketika di perusahaan kita ditugaskan menjadi pengolah data, kerahasiaan data pribadi menjadi sangat vital.
Mari lihat dalam konteks perusahaan global di bidang produk kesehatan. Ada kalanya bisnis perusahaan mendapat tantangan ketika akan melakukan analisis perbaikan produk yang memerlukan pengolahan data pribadi perkembangan kesehatan individu (medical records).
Hal ini terkait dengan peraturan di negara tersebut yang melarang pengumpulan data kesehatan pribadi masyarakat tanpa seizin pemilik data. Persoalan ini dapat menghambat proses bisnis perusahaan tersebut, bahkan mengancam peluncuran beberapa produk baru yang diharapkan bisa meraih pangsa pasar cukup besar.
Persoalan ini tidak hanya dihadapi oleh perusahaan di bidang kesehatan, tapi oleh semua perusahaan global maupun lokal lainnya. Berbagai negara telah secara efektif mengatur perlindungan data pribadi. Di Uni Eropa dikenal dengan General Data Protection Regulation. Di Indonesia ada Undang-Undang Perlindungan Data Pribadi (UU PDP). Sementara di Amerika Serikat dikenal sebagai California Consumer Privacy Act (CCPA).
Regulasi itu mengatur perlindungan data pribadi dari penyalahgunaan. Harapannya, masyarakat mendapatkan kepastian perlindungan data pribadi mereka yang terkumpul. Di sisi lainnya, organisasi bisnis maupun non-bisnis pun perlu mematuhi peraturan ini agar dapat beroperasi dengan optimal dan tidak terancam persoalan hukum.
Selain terhambatnya operasional bisnis, kegagalan dalam perlindungan data pribadi dapat menyebabkan sangsi administratif berupa denda maksimal dua persen dari pendapatan tahunan. Hal ini tertuang di dalam UU PDP Indonesia yang disahkan pada tahun lalu. Dampak langsung kegagalan dalam mematuhi regulasi ini memiliki konsekuensi terhadap kapasitas finansial.
Terlepas dari konsekuensi tersebut di atas, di sisi pengelolaan hak atas data pribadi, organisasi profit maupun nirlaba perlu memahami, melaksanakan, dan mematuhi Undang-Undang Perlindungan Data Pribadi. Secara alamiah belum semua organisasi mengerti, bahkan siap untuk menjalankan perundangan ini.
Untuk membantu perusahaan dalam mendiagnostik kesiapan mengimplementasikan regulasi perlindungan data, Mitre, sebuah organisasi nirlaba di Amerika telah mengembangkan kerangka kerja untuk membantu perusahaan dalam mendiagnosa kesiapan setiap kebijakannya agar align dengan CCPA.
Penulis menilai kerangka kerja hasil pengembangan organisasi tersebut cukup mumpuni untuk digunakan di perusahaan Indonesia. Pendekatan kerangka kerja melalui variable yang jelas dan tangible akan memberikan langkah kemudahan para pemangku kebijakan dan kepentingan di perusahaan tersebut.
Kerangka kerja ini tertuang di dalam Privacy Maturity Model (Version 1) tahun 2019. Kesiapan organisasi dalam perlindungan data pribadi dapat dibagi menjadi beberapa tingkatan, dari terendah menuju tertinggi:
- Ad hoc – Pada tingkatan ini organisasi baru mengenal program perlindungan data pribadi. Organisasi belum memiliki dokumentasi tata kelola, seperti pedoman atau standard operational procedure (SOP) untuk memberikan perlindungan data pribadi di dalam organisasi.
- Defined – Pada tahap ini, organisasi telah memiliki pedoman/SOP dan mendokumentasi dengan baik sistem tata kelola data. Hanya saja, organisasi belum menerapkan SOP tersebut secara konsisten.
- Consistently implemented – Organisasi telah mengintegrasikan seluruh dokumen tata Kelola dan SOP di aktivitas sehari-hari dan organisasi terus mengoptimalkan penegakkan peraturan data pribadi tersebut.
- Managed and measurables - Organisasi telah berhasil mengkuantifikasi ukuran keberhasilan penerapan program perlindungan data pribadi dengan metrics yang jelas dan organisasi terus memonitor dan mengevaluasi efektivitas penerapan aturan tersebut.
- Optimized level - Organisasi telah mendesain penerapan tata kelola data pribadi sebagai bagian dari keberhasilan manajemen dan proses perbaikan telah dilaksanakan secara berkelanjutan. Organisasi pun telah melaksanakan sistem otomasi untuk memonitor dan meningkatkan efektivitas program.
Setiap organisasi dapat menilai dirinya sendiri dengan elemen-elemen yang sangat gamblang dijelaskan pada dokumen yang sama. Mitre mengusulkan penggunaan tujuh elemen penting yang mengakomodasi keamanan dari data pribadi;
Berikut ini penjelasan ketujuh elemen yang dapat digunakan untuk mengukur kematangan perlindungan data pribadi pada gambar di atas:
1. Kepemimpinan dan organisasi yang menunjukkan dukungan organisasi terhadap prioritas dan inisiatif program perlindungan data pribadi. Menderivasi dari peraturan pemerintah melalui PDP, perusahaan akan dinilai baik jika pemimpinnya menginisiasikan, bertanggung jawab langsung dan penuh terkait implementasi PDP di perusahaannya, juga mendukung pelaksanaan kebijakan lain jika diperlukan.
2. Manajemen risiko perlindungan data pribadi yang menunjukkan penggunaan metode dan proses dalam melakukan identifikasi, asesmen, penentuan prioritas pengelolaan resiko. Hal ini tercermin dari investasi teknologi digital, akuisisi, dan manajemen proses kontrak.
Saat ini banyak perusahaan melakukan outsource data centre mereka ke pihak lain, seperti Google, AWZ, Alibaba. Selain murah dan efisien dalam operasionalnya (tidak perlu capex yang besar), juga karena pihak penyedia layanan memberikan garansi keamanan pada data center-nya. Mitigasi resiko perlindungan data diberikan kepada pihak provider yang dapat menggunakan metoda seperti ‘masking’ untuk mengamangkan data yang sensitif.
3. Keamanan informasi dan engineering yang menunjukkan perlindungan data pribadi masuk dalam sistem enterprise perusahaan serta terintegrasi dengan cyber security. Sebuah aplikasi berbasis data catalogue & governance seperti Collibre bisa menjadi solusi untuk memberikan level keamanan data pengguna di sebuah perusahaan (Hilger & Wahl, 2022). Berbasis enterprise application, aplikasi ini dapat memprovide process catalogue dan bagaimana mengimplementasikan prosedur untuk data privacy policy.
4. Respons terhadap insiden adalah prosedur untuk melakukan tindakan jika terjadi insiden kebocoran data pribadi. Perusahaan besar telah memiliki contingency plan dan mitigasi apabila sebuah data di-compromise.
Facebook melalui CEO nya Mark Zuckerberg telah mengakui bahwa mereka kecolongan oleh Cambridge Analytica (Brown, 2020) yang bisa meretas data pribadi penggunanya. Menghindari hal tersebut, Facebook memperbaiki bagaimana mereka mengelola data pengguna yang sensitif.
5. Partisipasi individu, transparansi, dan perbaikan adalah prosedur untuk memberi pengumuman kepada masyarakat terkait pengumpulan data, penggunaan, dan bagaimana masyarkat dapat bertanya dan memberikan complain.
Ketika penulis tinggal di Thailand, keperluan administrasi seperti fotokopi identitas seperti paspor, ID card negara, dan lain-lain, diharuskan mencantumkan watermark dan tanda tangan di setiap salinannya, termasuk scan digitalnya. Di dalamnya terdapat tanggal kapan scan tersebut dibuat dan diperuntukkan untuk apa, apakah untuk penyewaan rumah, pembelian kendaraan, atau pelaporan pajak.
Pemberian identitas ini akan memberikan wewenang dan obligasi pihak yang diserahkan untuk mempergunakan salinan tersebut sebagaimana mestinya. Tidak bisa showroom mobil mem-forward fotokopi tersebut. Pihak showroom akan bertanggung jawab dan terobligasi dengan berkas salinan. Di Indonesia, ketika penulis sedang melaksanakan penyetaraan dokumen, watermark seperti ini tidak diterima, mungkin karena dianggap menganggu ‘keabsahan’ dokumen.
6. Pelatihan perlindungan data pribadi dan peningkatan awareness adalah ketersediaan pelatihan bagi karyawan dan peningkatan budaya dalam perlindungan data pribadi. Penulis pernah bekerja di sebuah e-commerce di Thailand. Begitu peraturan tersebut disahkan, pemerintah mewajibkan seluruh organisasi untuk mengedukasi karyawannya terkait perlindungan data pribadi. Setiap karyawan diberi materi self-paced learning secara daring untuk diikuti dan diberikan tes di akhir setiap sesi. C-level sampai pelaksana harus mengikuti pelatihan ini.
7. Akuntabilitas merupakan penegakan tanggung jawab organisasi dalam menerapkan prinsip prinsip perlindungan data pribadi dan persyaratan untuk merespon keberatan dari individu maupun masyarakat luas.
Hampir setiap perusahaan yang mengoperasikan website memberikan pilihan seperti apakah menerima cookies, keberatan jika email dipakai untuk keperluan marketing, dll. Hal ini sudah tercermin di beberapa tahun terakhir yang memberikan pilihan bagi pengguna untuk melanjutkan atau tidak pendaftaran berdasar exposure terhadap data yang diserahkan.
Kerangka kerja yang terdiri dari tujuh elemen di atas kemudian dapat diukur menurut derajat kesiapannya, skala 1-5 (mature). Hal ini dapat memudahkan kita untuk mengidentifikasi seberapa siap/comply sebuah organisasi dalam mengelola data sensitive masyarakat yang tersimpan di dalam infrastruktur organisasi tersebut.
**
Reference:
- Mitre, 2019, Maturity Private Model version 1. www.mitre.org
- Brown, A.J., 2020. “Should I stay or should I leave?”: Exploring (dis) continued Facebook use after the Cambridge Analytica scandal. Social media+ society, 6(1), p.2056305120913884.
- Hilger, J. and Wahl, Z., 2022. Data catalogs and governance tools. In Making Knowledge Management Clickable: Knowledge Management Systems Strategy, Design, and Implementation (pp. 187-192). Cham: Springer International Publishing.
Catatan Redaksi:
Katadata.co.id menerima tulisan opini dari akademisi, pekerja profesional, pengamat, ahli/pakar, tokoh masyarakat, dan pekerja pemerintah. Kriteria tulisan adalah maksimum 1.000 kata dan tidak sedang dikirim atau sudah tayang di media lain. Kirim tulisan ke opini@katadata.co.id disertai dengan CV ringkas dan foto diri.