Open in app

Sign in

Write

Sign in

Data Governance: Langkah Strategis Pengelolaan Data Privacy (Part 2: Data Ethics)

Eryk Budi Pratama
10 min readMay 29, 2020

--

Disclaimer: Tulisan ini adalah opini dan hasil analisis penulis pribadi tanpa mewakili pihak/institusi manapun.

Pada artikel sebelumnya, saya telah menulis artikel tentang dasar dari Data Governance. Pada artikel kedua ini, saya akan highlight salah satu area Data Governance, yaitu Data Ethics.

Data Governance: Langkah Strategis Pengelolaan Data Privacy (Part 1 : Introduction)

Disclaimer: Tulisan ini adalah opini dan hasil analisis penulis pribadi tanpa mewakili pihak/institusi manapun.

medium.com

Data Ethics ini menjadi penting untuk dibahas karena melihat perkembangan emerging technology yang semakin pesat. Emerging Technology adalah istilah yang biasa saya gunakan untuk mewakili Cloud Computing, Data & Analytics, Artificial Intelligence, Machine Learning, IoT, Blockchain, Robotic Process Automation, dan lain sejenisnya. Di beberapa komunitas emerging technology yang saya ikuti, cukup seru juga pembahasan masing-masing area. Paling seru membahas inovasi yang dapat dilakukan dengan mengintegrasikan bagian-bagian dari emerging technology tersebut, misalnya mengoptimalkan proses data analytics dengan teknologi cloud, membangun model Machine Learning tanpa harus memiliki infrastruktur on-premise, scalability VM pada cloud dalam menghadapi traffic yang sangat tinggi, membangun infrastruktur blockchain di cloud, implementasi RPA untuk mempercepat proses credit approval, dan lain-lain yang memberikan value bagi bisnis.

Tapi apakah pernah terpikir oleh anda, sudah tepatkah cara kita memperoleh data? Sudah tepatkah cara kita mengolah, mengirim, dan menyajikan data? Dalam konteks ini data dan informasi yang mengandung data pribadi. Pertanyaan tersebut berkaitan dengan etika dalam penggunaan dan pengelolaan data, yang akan saya bahas pada arikel ini :)

Definisi Data Ethics

Menurut Open Data Institute, Data Ethics merupakan bagian dari etika dalam mengevaluasi praktik-praktik pengelolaan data yang memiliki potensi dampak buruk bagi orang dan masyarakat, dalam konteks pengumpulan, pembagian, dan penggunaan data.

DAMA DMBOK mendefinisikan Data Ethics (dalam hal ini ethics of data handling) sebagai mekanisme dalam mencari, menyimpan, mengelola, menggunakan, dan menghapus data yang sesuai dengan prinsip-prinsip etika. Apakah yang perlu menjadi perhatian dalam etika pengelolaa data?

  1. Dampak terhadap orang. Dalam konteks data pribadi, tentunya data merepresentasikan karakteristik dari individu yang nantinya dapat digunakan untuk menentukan keputusan yang dapat berpengaruh bagi kehidupan individu tersebut. Misalnya data kesehatan / medical record. Apakah dampak jika medical record sampai bocor? Bisa jadi orang yang tidak bertanggung jawab dapat memanfaatkannya untuk kebutuhan finansial, misalnya dengan menjual medical record ke perusahaan yang membutuhkan data tersebut.
  2. Potensi penyalahgunaan. Penyalahgunaan data dapat memberikan dampak negatif bagi individu. Sebagai contoh saat kita daftar kartu kredit di mall. Pasti, tidak lama akan ada tawaran-tawaran entah dari penyedia kartu kredit lain maupun iklan-iklan lainnya yang kita sendiri pasti bertanya ini orang salesnya dapat nomor kita dari mana. Contoh lainnya, kasus bocornya daftar pemilih tetap pemilu (yang kata KPU memang datanya dibuka untuk umum). Bisa diapakan data tersebut? Selain bisa dijual ke pihak tertentu, bagi pelaku kriminal tentunya informasi tersebut dapat digunakan untuk menipu.
  3. Nilai ekonomis data. Data yang diolah dengan tepat akan memberikan nilai ekonomis. Etika dari pemilik data dapat menentukan bagaimana nilai ini didapatkan dan siapa saja yang boleh mengambil nilai ekonomis dari data tersebut.

Prinsip-Prinsip Data Ethics

Data Ethics berkaitan dengan praktik-prakti yang baik dan tepat terkait dengan bagaimana data dikumpulkan, digunakan, dan dibagikan. Hal ini tentunya sangat relevan ketika aktivitas pengelolaan data berpotensi memberikan dampak bagi orang dan masyarakat, baik secara langsung maupun tidak langsung. Sebagai contoh, automated data model mungkin membuat keputusan tentang apakah seseorang memenuhi syarat untuk mendapatkan asuransi, kredit, atau apapun yang ditawarkan perusahaan kepada konsumen. Keputusan yang dihasilkan dari aktivitas tersebut, baik terkait dengan data apa saja yang dikumpulkan dan juga apa saja yang menjadi pengecualian, dapat memengaruhi individu tersebut dalam kelompok masyarakat tertentu.

Misalnya, anda mengajukan KPR, ternyata ditolak bank. Tentu anda akan bertanya kenapa ya?Padahal selama ini anda tidak pernah punya hutang yang menunggak. Penghasilan juga cukup untuk mengajukan hutang. Tapi kenapa masih ditolak? Sebenarnya yang salah itu anda, atau sistem credit scoring bank? Jika kita berbicara masalah sistem credit scoring bank, apakah ada yang salah dari data source-nya?Atau yang salah algoritma dan model perhitungannya? Atau ada atribut yang kurang lengkap? Sejauh apa sistem mengumpulkan dan mengkalkulasi profil anda? Tentunya akan banyak pertanyaan.

Ekosistem Data Ethics pada industri Keuangan. Sumber: https://home.kpmg/uk/en/home/insights/2019/03/the-ethical-use-of-customer-data-in-a-digital-economy.html

Mengingat saya ambil contoh di bank, maka saya kutip diagram yang menggambarkan stakeholder / ekosistem dari Data Ethics pada financial service industry. Cukup banyak yang perlu kita perhatikan, baik sebagai Data Owner, maupun Data Controller dan Data Processor tentang ekosistem pengelolaan data pada industri organisasi kita. Mengapa sangat penting memahami stakeholder / ekosistem kita? Setidaknya kita akan aware disitu ada regulasi yang harus dipenuhi. Sayangnya di Indonesia belum cukup regulasi untuk mengatur Data Privasi dan Perlindungan Data Pribadi. PP71 Tahun 2019 dan PerMen Kominfo No 20 Tahun 2016 saja tidak cukup.

Sumber: https://www.slideshare.net/proferyk/guardians-of-trust-building-trust-in-data-analytics

Pada sebuah kesempatan meetup Asosiasi Ilmuwan Data Indonesia (AIDI), saya sempat menyampaikan presentai tentang Data Trust. Hal yang ingin saya sampaikan pada meetup adalah terkait prinsip dasar Data Trust (Four Achors of Data Trust). Pada artikel ini saya tidak akan bahas detail Data Trust (Insya Allah di artikel yang lain saya bahas), namun saya ingin memberikan informasi bahwa pada kesempatan ini saya juga menyinggung sedikit tentang Data Ethics. Setidaknya ada dua hal, yaitu ekosistem data ethics dan juga bagaimana menanamkan data ethics pada organisasi. Hal ini saya maksudkan untuk memberikan awareness kepada rekan-rekan yang berkecimpung di bidang Data (Data Scientist, Data Analyst, Data Engineer, dan sebagainya).

Ethical Decision Point

Sumber: https://www.accenture.com/us-en/blogs/blogs-new-data-ethics-guidelines-organizations-digital-trust

Mengacu pada diagram di atas, setidaknya terdapat 3 keputusan yang membutuhkan prinsip Data Ethics pada siklus hidup data.

  1. Disclose Data. Tahap pertama siklus hidup data adalah pembuatan data itu sendiri baik pembuatan dari awal maupun pengambilan (acquire) data dari sumber yang lain. Data akan disimpan (store) setelah dibuat dan diambil. Pada tahap akuisisi data, etika dalam pengungkapan data (disclosure) perlu dipertimbangkan, baik dari aspek pemilik data pribadi (orang/individu), proses pengambilan data, maupun sistem yang digunakan untuk membuat maupun membagikan data.
  2. Manipulate Data. Data yang sudah dikumpulkan, harus diolah atau diproses untuk kemudian menjadi informasi yang dapat memberikan value. Dalam proses pengolahan data, sudah tentu ada proses perubahan atau manipulasi data, dalam konteks untuk memastikan kualitas dan integritas datanya. Etika dalam memanipulasi data perlu dipertimbangkan, baik dari aspek pemilik data pribadi (orang/individu), proses, maupun sistem yang melakukan pengolahan, perubahan, pemindahan, dan analisis data. Jika kita mengenal istilah Extract, Transform, Load (ETL), makan proses tersebut terjadi pada saat tahap Disclose dan Manipulate data.
  3. Consume Data. Data yang sudah dianalisis, nantinya pasti akan dikonsumsi, baik oleh individu maupun sistem lain yang menggunakannya, misalnya oleh tools BI. Pada tahap inilah data yang sudah menjadi informasi diharapkan dapat memberikan insight yang terbaik, sehingga dapat dijadikan sebagai acuan organisasi dalam melakukan decision making. Dalam konteks data trust, sangat disarankan untuk tetap melibatkan manusia dalam proses pengambilan keputusan, tidak bergantung 100% pada sistem. Secanggih-canggihnya sistem AI saat ini, tacit knowledge dan experience dari manusia tetap dibutuhkan. Untuk itulah Data Privacy dan Data Protection menjadi kontrol data ethics yang efektif, karena keduanya dirancang dan dijalankan oleh manusia juga.

Menerapkan Data Ethics

Penerapan data ethics pada suatu organisasi sama dengan penerapan inisiatif apapun, termasuk Data Privacy Program, yaitu adanya dukungan Management organisasi dan kesadaran dari stakeholder. Gambar di bawah bisa dibilang semacam kerangka sederhana untuk menerapkan Data Ethics yang terdiri dari 6 area.

Sumber: Sumber: https://home.kpmg/uk/en/home/insights/2019/03/the-ethical-use-of-customer-data-in-a-digital-economy.html
  • Vision. Visi sangat menentukan arah / tujuan dari organisasi. Dalam konteks ini, organisasi perlu menentukan seperti apa sih penggunaan data yang etis dalam organisasi. Visi dapat diadopsi dari prinsip-prinsip data ethics yang dipilih oleh Management.
  • Strategy. Strategi disusun untuk mencapai visi. Dalam hal ini, organisasi perlu menyusun strategi agar data ethics dapat diterapkan dan dilakukan secara konsisten sebagai bagian dari kultur organisasi.
  • Governance. Untuk “memaksa” stakeholder dalam menjalankan praktik-praktik data ethics, organisasi perlu menyusun kebijakan dan prosedur yang efektif serta memastikan masing-masing pihak terkait memiliki tanggung jawab yang telah terdefinisi dengan jelas.
  • Infrastructure & Architecture. Mengelola data yang kompleks (terutama untuk organisasi yang besar) tentunya akan lebih mudah dan terintegrasi jika organisasi memiliki visibilitas terhadap semua data dan dituangkan dalam arsitektur (misalnya Enterprise Architecture) dan didukung oleh sistem dan infrastruktur yang mumpuni dan andal.
  • Data Insight. Penggunaan insight untuk mendukung hasil data yang jelas dan akurat tentu sangat diperlukan. Penggunaan tools (misalnya dashboard) dapat membantu organisasi dalam melakukan pemantauan dan memberikan peringatan dini atas potensi terjadinya pelanggaran data ethics.
  • Training & Development. People adalah faktor utama dalam konteks data ethics. Organisasi perlu melakasanakan pelatihan terkait etika dalam penggunaan (dan penyalahgunaan) data. Tentunya hal ini dapat dilakukan pada saat organisasi melakukan sosialisasi atau pelatihan terkait Data Privasi dan Perlindungan Data Pribadi, karena data ethics melekat pada keduanya.

Hal yang Perlu Diperhatikan oleh Praktisi Data dan AI/ML

Seperti yang telah saya singgung di awal, diskusi terkait Data & Analytics dan AI/ML saat ini menjadi perbicangan yang seru, mengingat saat ini memang sudah menjadi trend perusahaan akan dan sudah meningkatkan kapabilitas dan mengadopsi Data & Analytics dan AI/ML. Data yang semakin besar dan kompleks, dorongan untuk menjalankan operasional bisnis yang efektif dan efisien, inisiatif mencari value lebih dari penggunaan teknologi, dan faktor-faktor lain mendukung semakin meningkatnya minat organisasi pada area ini.

Namun pertanyaannya, bagaimana pandangan regulasi terhadap hal tersebut? Apakah praktik-praktik selama ini sudah tepat? Apakah ada prinsip-prinsip yang dilanggar?

Ya, memang data analytics melibatkan proses yang cukup kompleks, baik saat akusisi data sampai dengan proses analisis dan visualisasi informasi. Mungkin karena hal inilah, orang akan cenderung tidak memperhatikan (mengabaikan) prinsip-prinsip etika data. Sudah pasti obyektif utamanya adalah insight yang valuable.

Berdasarkan RUU Perlindungan Data Pribadi, saya hanya dapat menemukan pasal yang berhubungan dengan Computer Vision. Dibilang computer vision, karena pasal ini mengatur tentang pemrosesan data visual. Seperti yang kita tahu, beberapa perusahaan di Indonesia menjual layanan yang berhubungan dengan computer vision, dimana proses analytics akan dibantu oleh AI/ML. Berikut saya ambil screenshot dari Pasal 22 RUU Perlindungan Data Pribadi.

Sumber: RUU Perlindungan Data Pribadi

Berdasarkan pasal tersebut, selama tujuan pemasangan alat pemrosesan atau pengolah data visual ini ditujukan untuk tujuan keamanan, pencegahan bencana, dan pengaturan lalu lintas, no problem. Selain itu, harus terdapat informasi atau tulisan secara eksplitis bahwa area tersebut dipasang alat pemroses atau pengolah data visual (misalnya CCTV). Hal yang perlu diperhatikan adalah alat tersebut tidak digunakan untuk mengidentifikasi seseorang. Jadi jika kita meningkatkan kapabilitas CCTV untuk dapat melakukan facial recognition dan menanamkan fitur analytics sehingga dapat mengindentifilkasi seseorang (misal nama, usia, dan informasi PII lainnya), maka hal tersebut tidak sesuai dengan RUU PDP, KECUALI untuk tujuan pencegahan tindak pidana dan proses penegakan hukum.

Sumber: RUU Perlindungan Data Pribadi

Pada Pasal 52 dan Pasal 53 juga ditegaskan kembali bahwa individu dilarang memasang alat pemroses atau pengolah data visual di tempat umum yang dapat mengancam/melanggar perlindungan data pribadi dan mengidentifikasi seseorang.

Untuk sanksi gimana?

Sumber: RUU PDP

Menurut Pasal 62 dan Pasal 63, sanksi pidana penjara maksimal 1 tahun dan dengan paling banyak Rp 10 miliar. Mayan bro.

Untuk area lain bagaimana?

Mengingat RUU ini umumnya besifat high level, tentu perlu peraturan lain yang setara atau peraturan turunan yang mengatur lebih detail untuk masing-masing sektor dan bidang yang terkait. Misalnya jika berbicara tentang kesehatan, tentunya kita harus aware dengan UU Kesehatan dan Peraturan Menteri Kesehatan. Jika di sektor transportasi, kita perlu aware dengan UU yang mengatur sektor transportasi dan peraturan menteri perhubungan. Sektor keuangan, perlu memperhatikan Peraturan OJK dan Peraturan BI.

Memang nantinya akan cukup kompleks RUU PDP ini bisa merangkul semua sektor, kata pada dasarnya setiap sektor harus bisa menentukan peraturan yang align dengan RUU PDP ini jika nantinya sudah disahkan.

Ethical Risk Model

Praktisi data pada umumnya akan terlibat dengan data yang mendeskripsikan tentang:

  • Who people are, mencakup identitas dalam data kependudukan dan data pribadi khusus/sensitif sesuai dengan yang diatur dalam RUU PDP.
  • What people do, mencakup aktivitas-aktivitas di dunia maya dan aktivitas di dunia nyata (misalnya aktivitas politik, sosial, dan potensi kriminal).
  • Dimana tempat tinggalnya, bagaimana pengeluaran bulanannya, barang apa saja yang dibeli, dan dengan siapa saja ybs berkomunikasi.
  • How people are treated, mencakup hasil dari analisis terhadap individu tersebut yang diambil dari berbagai sumber data, misalnya hasil credit scoring.

Jika tidak dikelola secara etis, maka data dan informasi yang dihasilkan dapat disalahgunakan.

DAMA DMBOK menjelaskan secara singkat tentang risk model untuk mengidentifikasi ethical risk dalam suatu project. Jika dikaitkan dengan GDPR, sebenernya ini bagian dari Privacy Impact Assessment.

Sumber: DAMA DMBOKv2

Kesimpulan

Suksesnya penerapan Data Ethics ini tentunya didukung oleh dua hal utama, yaitu dukungan Top Management (termasuk enforcementnya) dan kesadaran/awareness dari stakeholder (termasuk kita nih). Data is the new oil. Tentunya banyak orang berlomba ingin mendapatkan nilai yang terbaik dari pemanfaatan data. Namun, prinsip-prinsip pengelolaan dan pemanfaatan data juga harus mempertimbangkan prinsip-prinsip dan aturan terkait Data Privasi sebagai bentuk kesadaran dan landasan kita dalam menerapkan penggunaan data yang etis.

Sekali lagi saya mengingatkan, praktisi Data wajib memahami prinsip-prinsip Data Privacy agar dalam proses pengelolaan data tidak melanggar peraturan-peraturan yang ada.

Semoga tulisan singkat ini bermanfaat dan menambah wawasan untuk pembaca. For further discussion, jangan sungkan untuk japri saya :)

Salam,

Eryk Budi Pratama

(Slideshare) (Linkedin)

Referensi:

  1. Dokumen DAMA DMBOK v2 tentang Data Ethics
  2. https://theodi.org/article/data-ethics-canvas/#1562602644259-1d65b099-ea7b
  3. https://home.kpmg/uk/en/home/insights/2019/03/the-ethical-use-of-customer-data-in-a-digital-economy.html
  4. https://advisory.kpmg.us/articles/2019/ethical-ai.html
  5. https://www.accenture.com/us-en/blogs/blogs-new-data-ethics-guidelines-organizations-digital-trust
  6. https://www.slideshare.net/proferyk/guardians-of-trust-building-trust-in-data-analytics
Data Privacy
Data Ethics
Data Protection

--

--

Eryk Budi Pratama

Written by Eryk Budi Pratama

252 Followers

Global IT & Cybersecurity Advisor | Global CIO & CISO Advisory | IT GRC | Cloud | Cyber Resilience | Data Privacy & Governance

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams