Seberapa Siap Perusahaan Anda terhadap Perlindungan Data Pribadi?

2. Manajemen risiko perlindungan data pribadi yang menunjukkan penggunaan metode dan proses dalam melakukan identifikasi, asesmen, penentuan prioritas pengelolaan resiko. Hal ini tercermin dari investasi teknologi digital, akuisisi, dan manajemen proses kontrak.

Saat ini banyak perusahaan melakukan outsource data centre mereka ke pihak lain, seperti Google, AWZ, Alibaba. Selain murah dan efisien dalam operasionalnya (tidak perlu capex yang besar), juga karena pihak penyedia layanan memberikan garansi keamanan pada data center-nya. Mitigasi resiko perlindungan data diberikan kepada pihak provider yang dapat menggunakan metoda seperti ‘masking’ untuk mengamangkan data yang sensitif.

3. Keamanan informasi dan engineering yang menunjukkan perlindungan data pribadi masuk dalam sistem enterprise perusahaan serta terintegrasi dengan cyber security. Sebuah aplikasi berbasis data catalogue & governance seperti Collibre bisa menjadi solusi untuk memberikan level keamanan data pengguna di sebuah perusahaan (Hilger & Wahl, 2022). Berbasis enterprise application, aplikasi ini dapat memprovide process catalogue dan bagaimana mengimplementasikan prosedur untuk data privacy policy.

4. Respons terhadap insiden adalah prosedur untuk melakukan tindakan jika terjadi insiden kebocoran data pribadi. Perusahaan besar telah memiliki contingency plan dan mitigasi apabila sebuah data di-compromise.

Facebook melalui CEO nya Mark Zuckerberg telah mengakui bahwa mereka kecolongan oleh Cambridge Analytica (Brown, 2020) yang bisa meretas data pribadi penggunanya. Menghindari hal tersebut, Facebook memperbaiki bagaimana mereka mengelola data pengguna yang sensitif.

5. Partisipasi individu, transparansi, dan perbaikan adalah prosedur untuk memberi pengumuman kepada masyarakat terkait pengumpulan data, penggunaan, dan bagaimana masyarkat dapat bertanya dan memberikan complain.

Ketika penulis tinggal di Thailand, keperluan administrasi seperti fotokopi identitas seperti paspor, ID card negara, dan lain-lain, diharuskan mencantumkan watermark dan tanda tangan di setiap salinannya, termasuk scan digitalnya. Di dalamnya terdapat tanggal kapan scan tersebut dibuat dan diperuntukkan untuk apa, apakah untuk penyewaan rumah, pembelian kendaraan, atau pelaporan pajak.

Pemberian identitas ini akan memberikan wewenang dan obligasi pihak yang diserahkan untuk mempergunakan salinan tersebut sebagaimana mestinya. Tidak bisa showroom mobil mem-forward fotokopi tersebut. Pihak showroom akan bertanggung jawab dan terobligasi dengan berkas salinan. Di Indonesia, ketika penulis sedang melaksanakan penyetaraan dokumen, watermark seperti ini tidak diterima, mungkin karena dianggap menganggu ‘keabsahan’ dokumen.

6. Pelatihan perlindungan data pribadi dan peningkatan awareness adalah ketersediaan pelatihan bagi karyawan dan peningkatan budaya dalam perlindungan data pribadi. Penulis pernah bekerja di sebuah e-commerce di Thailand. Begitu peraturan tersebut disahkan, pemerintah mewajibkan seluruh organisasi untuk mengedukasi karyawannya terkait perlindungan data pribadi. Setiap karyawan diberi materi self-paced learning secara daring untuk diikuti dan diberikan tes di akhir setiap sesi. C-level sampai pelaksana harus mengikuti pelatihan ini.

7. Akuntabilitas merupakan penegakan tanggung jawab organisasi dalam menerapkan prinsip prinsip perlindungan data pribadi dan persyaratan untuk merespon keberatan dari individu maupun masyarakat luas.

Hampir setiap perusahaan yang mengoperasikan website memberikan pilihan seperti apakah menerima cookies, keberatan jika email dipakai untuk keperluan marketing, dll. Hal ini sudah tercermin di beberapa tahun terakhir yang memberikan pilihan bagi pengguna untuk melanjutkan atau tidak pendaftaran berdasar exposure terhadap data yang diserahkan.

Kerangka kerja yang terdiri dari tujuh elemen di atas kemudian dapat diukur menurut derajat kesiapannya, skala 1-5 (mature). Hal ini dapat memudahkan kita untuk mengidentifikasi seberapa siap/comply sebuah organisasi dalam mengelola data sensitive masyarakat yang tersimpan di dalam infrastruktur organisasi tersebut.

**

Reference:

1. Mitre, 2019, Maturity Private Model version 1. www.mitre.org
2. Brown, A.J., 2020. “Should I stay or should I leave?”: Exploring (dis) continued Facebook use after the Cambridge Analytica scandal. Social media+ society, 6(1), p.2056305120913884.
3. Hilger, J. and Wahl, Z., 2022. Data catalogs and governance tools. In Making Knowledge Management Clickable: Knowledge Management Systems Strategy, Design, and Implementation (pp. 187-192). Cham: Springer International Publishing.