Data Governance: Langkah Strategis Pengelolaan Data Privacy (Part 1 : Introduction)

Disclaimer: Tulisan ini adalah opini dan hasil analisis penulis pribadi tanpa mewakili pihak/institusi manapun.

Sebelumnya, saya anjurkan pembaca untuk membaca sekilas artikel yang sebelumnya telah saya tulis agar memahami dasar Data Privacy terlebih dahulu. Selain itu, saya sarankan juga untuk membaca presentasi saya tentang Data Trust, karena part ini dan berikutnya masih ada hubungannya dengan slide saya ini.

• Artikel Perlindungan Data Pribadi: Pengenalan dan Tantangan
• Artikel Relevansi Data Privacy dan Data Protection
• Podcast Mengenal Data Privacy dan Tantangan Implementasinya
• Slide Guardian of Trust in Data Analytics

Pada artikel ini, saya akan menjelaskan perspektif dasar dari Tata Kelola Data / Data Governance. Mengapa saya buat artikel berseri tentang Data Governance ini? Relevansinya apa dengan Data Privasi? Silakan disimak dulu artikel ini dan juga part-part berikutnya yang akan saya rilis.

Sebagai pengenalan awal, pada artikel ini saya akan membahas beberapa hal.

1. Perspektif dasar Data Governance
2. Perspektif Data Governance menurut Framework Tata Kelola IT
3. Good practice implementasi Data Governance
4. Menyelaraskan Data Privacy dan Data Governance

Data Governance: Perspektif Dasar

Jika sebelumnya kita sudah mengenal Data Privacy dan Data Protection, mengapa harus mengerti juga tentang Data Governance? Seberapa penting kah Data Governance terutama kaitannya dengan Data Privacy?

Jika kita googling, tentu ada beberapa definisi dari Data Governance. Dari beberapa definisi yang ada, maka dapat saya simpulkan secara sederhana bahwa Data Governance adalah proses/mekanisme untuk memastikan bahwa data dikelola dengan baik. “Dikelola dengan baik” inilah yang nantinya dapat dijabarkan secara lebih mendetail karena dimensinya cukup luas.

Wisdom Hierarchy (DIKW)

Sebelum lebih jauh, saya hanya ingin sedikit menyertakan “DIKW Hierarchy”, untuk memahami evolusi dari data.

Sumber: Rowley, Jennifer; “The wisdom hierarchy: representations of the DIKW hierarchy”

Jika data memiliki empat level evolusi, dari data mentah (raw), menjadi informasi, pengetahuan, dan “wisdom”, data dan informasi juga memiliki siklus hidup, mulai dari data tersebut diakuisisi sampai dengan dibuang/dihapus.

Sumber: ISACA — Getting Started with Data Governance Using COBIT 5

Secara logika, by nature, kita pasti akan memahami bahwa data, setelah dibuat, maka akan diambil atau bisa juga ditransfer, diolah kembali, dipantau, hingga nantinya dihapus saat sudah tidak digunakan. Ada beberapa referensi tentang siklus hidup data/informasi. Dalam artikel ini tidak saya bahas secara detil.

Governance vs Management

Untuk rekan-rekan yang berkecimpung di area Governance, Risk, Compliance (GRC), tentunya sudah familiar dengan perbedaan Governance dan Management. Dalam konteks pengelolaan data, kita mengenal juga kedua terminologi ini. Biasanya ketika ditanya hal ini, jawaban saya simple.

Governance is about what, management is about how.

Sederhananya, kriteria / target / goals / obyektif yang harus dicapai itu didefinisikan oleh fungsi / dalam proses Governance, sedangkan cara untuk mencapai target tersebut didefinisikan dalam proses Management. Jika mengacu ke dokumen DAMA DMBOK2, berikut adalah ilustrasinya.

Sumber: DAMA DMBOK v2 https://dama.org/content/dama-dmbok-2

Jadi terlihat kan bedanya antara “memastikan data dikelola” dan “mengelola data untuk mencapai goals”. Governance lebih bersifat Oversight (Pengawasan), sedangkan Management lebih bersifat eksekusi proses.

Area Data Governance

Mengingat Data Governance bersifat “oversight”, sudah tentu dimensinya cukup luas. Untuk mengerti sebenarnya apa saja sih area yang ada di Data Governance, saya sertakan gambar yang saya ambil dari DAMA DMBOK2

Sumber: DAMA DMBOK v2 https://dama.org/content/dama-dmbok-2

Sekedar informasi bahwa DAMA DMBOK2 (Data Management Body of Knowledge) merupakan Body of Knowledge atau referensi atau bisa dibilang juga sebagai Framework untuk Data Management (tentunya termasuk Data Governance). Dari area-area tersebut sudah jelas bahwa ketika berbicara data, kita tidak bisa hanya berbicara tentang pengolahan atau pemrosesan data sehingga menjadi informasi yang insightfull (misalnya dalam hal ini terkait dengan data analytics). Banyak faktor yang harus diperhatikan. Apakah organisasi harus memiliki dan menjalankan kapabilitas di semua area? Tentunya tidak. DAMA DMBOK sangat menyarankan implementasi Data Governance dilakukan secara bertahap atau case-by-case.

Seperti yang sebelumnya telah saya sebutkan sebelumnya, terdapat beberapa definisi dari Data Governance. Menurut International Association of Privacy Professionals (IAPP), Data Governance merupakan proses pengelolaan kualtias dan integritas data pada seluruh bagian organisasi. Dalam konteks privasi, Data Governance dilakukan untuk memastikan terdapat konsensus (kesepakatan) dan kebenaran (truth) pada data, serta memastikan bahwa data tersebut akurat dan lengkap untuk semua fungsi yang ada di organisasi. Data yang dikelola dengan sesuai dapat mendukung semua fungsi dalam organisasi, termasuk pengelolaan data privacy.

Perspektif Data Governance menurut Framework Tata Kelola IT

Sebagai salah satu praktisi di bidang IT Governance, Risk, Compliance (IT GRC), saya juga cukup memiliki pengalaman dalam membantu organisasi untuk menilai dan menerapkan IT Governance menggunakan COBIT, yaitu framework untuk IT Governance (istilah ISACA: Corporate Governance of Enterprise IT). Jika berbicara tentang “Good Governance”, maka kita harus melihat aktivitas pengelolaan IT sebagai bagian dari perspektif yang lebih luas, mencakup kemampuan kita dalam menangkap dan menerjemahkan kebutuhan stakeholder, menyelaraskan tujuan dan strategi bisnis, menyusun arahan dalam konteks mendukung keputusan bisnis (decision making), dan memastikan bahwa aktivitas operasional sesuai dengan kebutuhan regulasi yang ada dan target yang telah ditentukan oleh top management.

Berdasarkan COBIT 5, setidaknya Data Governance membutuhkan beberapa elemen berikut.

• Kepemilikan (ownership) informasi yang jelas
• Informasi yang tepat, sesuai dengan waktu yang ditentukan (timeliness of information)
• Arsitektur Enterprise / Enterprise Architecture (Business Architecture, Data Architecture, Information System Architecture, Technology Architecture) yang jelas dan efisien
• Kepatuhan (Compliance) dan Keamanan Informasi (Security)

Terus, bagaimana untuk mencapai obyektif dari proses Data Governance yang sesuai? Tentunya dibutuhkan kepemilikan (ownership) data/informasi yang jelas untuk memastikan bahwa unit bisnis dan IT memiliki relasi/hubungan yang baik untuk menyukseskan proses Data Governance tersebut.

Enterprises need to standardize a data architecture that creates a single integration layer among all data sources.

Good Practice untuk Implementasi Data Governance

Melihat area Data Governance yang tentunya tidak mudah dan butuh “modal” yang bisa jadi cukup besar, maka terdapat beberapa langkah yang dapat dilakukan agar implementasinya sesuai dengan perkembangan kapabilitas dan sumber daya yang dimiliki oleh organisasi.

1. Sangat disarankan untuk memulai segala hal dari STRATEGI dahulu, baru kemudian kita menentukan dan mengembangkan kapabilitas aspek individu (orang; karyawan), kemudian mendefinisikan proses yang tepat, dan terakhir menggunakan teknologi pendukung yang sesuai.
2. Melakukan implementasi secara bertahap, jangan langsung semua bersamaan. Saya yakin sebesar apapun organisasi kita, pasti akan cukup kesulitan jika semua hal dilakukan secara bersamaan. Tentukan prioritas, yang dapat didasarkan pada kebutuhan regulasi dan potensi dampaknya terhadap bisnis organisasi.
3. Menerapkan strategi Data Governance dengan cara melakukan satu inisiatif, untuk satu waktu (tidak bersamaan/paralel). Hal ini dapat memudahkan organisasi untuk menyelaraskan strategi data governance dengan strategi bisnis.
4. Menentukan standardisasi pendekatan enterprise Data Governance. Kenapa ada kata “enterprise”? Karena diharapkan standar ini berlaku untuk seluruh komponen organisasi, tidak hanya ke unit / fungsi bisnis tertentu saja. Hal ini dapat dilakukan dengan beberapa cara, misalnya:

• Meningkatkan kolaborasi antara IT dan bisnis, misalnya dengan melibatkan menempatkan IT analyst / IT business partner yang menjadi PIC untuk unit bisnis tertentu, atau dengan membuat komite IT (IT Steering Committee)
• Mengurangi penggunakan proses yang manual
• Meningkatkan kapabilitas IT seiring dengan meningkatnya kebutuhan bisnis
• Memastikan bahwa IT memiliki audit trail dan visibilitas terhadap data flow secara end-to-end.

Menyelaraskan Data Privacy dan Data Governance

Pada artikel ini, saya tidak akan membahas detil bagaiman menyusun dan mengelola Data Privacy Program. Di artikel yang lain saya akan coba bahas Data Privacy Program lebih detil. Namun, secara umum, terdapat beberapa mekanisme dimana Data Privacy bisa selaras dengan strategi dari Data Governance.

1. Definisi dan Klasifikasi Data. Bagian paling dasar dan juga penting dari pengelolaan data adalah bagaimana membangun fondasi data, yaitu dengan mendefinisikan beberapa atribut (untuk data catalog) berikut namun tidak terbatas pada:

• Definisi
• Tujuan penggunaan
• Aturan bisnis
• Pengendalian data
• Proses bisnis
• Aturan kualitas data
• Risiko
• Kepemilikan (ownership)

Atribut tersebut dapat disimpan dalam sebuah “data catalog”. Hal ini tentunya untuk memudahkan proses klasifikasi data. Terkait dengan klasifikasi data/informasi, silakan baca artikel saya sebelumnya. Jika organisasi telah memiliki fungsi (tidak harus dedicated) terkait data governance dan data privacy

• Untuk personil data governance, hal ini dapat membantu untuk identifikasi bagaimana menangani data yang diklasifikasikan sebagai (misalnya) Rahasia/Confidential/Restricted untuk semua level akses atau setiap ada proyek yang terkait governance.
• Untuk personil data privacy, hal ini dapat membantu untuk menguraikan risiko yang terkait dengan aktivitas pemrosesan yang melibatkan data-data dalam klasifikasi (misalnya) Rahasia/Confidential/Restricted.

2. Tagging. Metode tagging, baik secara manual (menggunakan Labelling) maupun teknologi tertentu (misalnya Data Loss/Leakage Prevention — DLP system), dapat membantu fungsi data governance dan data privacy untuk:

• Untuk personil data governance, hal ini dapat menjelaskan tujuan dari penggunaan data.
• Untuk personil data privacy, hal ini memudahkan personil juga untuk comply dengan peraturan Data Privacy (misalnya GDPR) untuk menjelaskan tujuan dan bagaimana data tersebut digunakan.

3. Identifikasi Data Flow. Mendokumentasikan data flow secara end-to-end dapat membantu proses penyelarasan data governance dan data privacy.

• Untuk personil data governance, dokumentasi data flow dapat menggambarkan atau memvisualisasikan proses perpindahan data secara end-to-end, mulai dari “authoritative sources” atau upstream, ke downstream sources dan sistem yang menyimpan dan menggunakan data tersebut.
• Untuk personil data privacy, dokumentasi data flow dapat menunjukkan data source yang asli atau dimana data tersebut dikumpulkan dan diproses sesuai siklus hidup data pada organisasi.

Jika mengacu ke General Data Protection Regulation (GDPR), terdapat penjelasan lebih banyak terkait mekanisme untuk menyelaraskan data privacy dan data governance. Namun pada artikel ini, saya tulis beberapa saja yang menurut saya cukup mudah untuk dilakukan.

Kesimpulan

Dalam konteks yang lebih luas, tentunya Data Privacy memiliki keterkaitan dan selaras dengan Data Governance. Bisa dikatakan juga sebenarnya Data Privacy menjadi bagian dari “Good Data Governance”. Jika merujuk ke presentasi saya tentang Guardian of Trust: Building Trust in Data & Analytics, maka disitu ada satu slide yang menyebutkan tentang Data Ethics. Dalam DAMA DMBOK2 juga terdapat penjelasan khusus tentang Data Ethics. Jadi dalam hal ini, etika dalam pengelolaan data menjadi bagian penting dari Data Governance karena hal ini menyangkut kepada peraturan atau regulasi tertentu yang harus dipenuhi oleh perusahaan.

Pada bagian artikel berikutnya, saya akan membahas tentang Data Ethics ini, mengingat jembatan utama untuk Data Privacy dan Data Governance ada di bagian ini. Keep update artikel yang saya tulis ya, semoga bermanfaat :)

Salam,

Eryk Budi Pratama

(Slideshare) (Linkedin)

Referensi:

1. https://www.isaca.org/resources/news-and-trends/newsletters/cobit-focus/2015/using-cobit-5-to-deliver-information-and-data-governance
2. https://iapp.org/news/a/what-lives-between-data-privacy-and-data-governance-better-compliance/
3. DAMA-DMBOK (Data Management Body of Knowledge) v2 https://dama.org/content/dama-dmbok-2
4. ISACA: Getting Started with Data Governance Using COBIT 5