Open in app

Sign in

Write

Sign in

Relevansi Data Privacy dan Data Protection

Eryk Budi Pratama
7 min readMay 22, 2020

--

Disclaimer: Tulisan ini adalah opini dan hasil analisis penulis pribadi tanpa mewakili pihak/institusi manapun.

Artikel ini saya tulis dengan maksud untuk melanjutkan artikel saya sebelumnya dan podcast tentang Data Privacy. Berikut adalah referensinya.

  1. Artikel Perlindungan Data Pribadi: Pengenalan dan Tantangan
  2. Podcast Mengenal Data Privacy dan Tantangan Implementasinya

Pada kesempatan sebelumnya saya banyak menyinggung masalah Data Privacy atau Data Pribadi. Kali ini saya akan coba ulas relevansi Data Privacy dengan Data Protection. Dengan membaca tulisan dan mendengarkan podcast sebelumnya, saya asumsikan pembaca sudah familiar dengan konsep dasar Data Privacy. Beberapa hal yang saya jelaskan dalam artikel sebelumnya adalah:

  1. Gambaran umum Perlindungan Data Pribadi
  2. Peranan dalam data privacy: Data Owner, Data Controller, Data Processor, Data Protection Officer (DPO)
  3. Poin-poin utama RUU Perlindungan Data Pribadi
  4. Data Pribadi dalam konteks PP No 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Eletronik dan PerMen Kominfo No 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik
  5. Best Practice / standard / framework Data Privacy
  6. Implementasi Data Privacy Program
  7. Tantangan dalam menjalankan Data Privacy Program
  8. Kasus Data Breach dari perspektif RUU PDP dan PerMen Kominfo No 20 Tahun 2016

Silakan jika ada input atau ada hal-hal yang perlu untuk diketahui oleh publik, barangkali saya bisa update tulisan ini berdasarkan feedback dari pembaca :)

Intermezzo: Data Breach KPU

Dalam artikel ini rasanya perlu untuk saya angkat topik yang masih sangat hangat ini. Jika beberapa hari yang lalu kita dikejutkan oleh bocornya data pengguna e-commerce, kemarin ada berita yang sangat mengejutkan juga. Akun twitter UnderTheBreach memberikan informasi bahwa terdapat 2,3 juta data penduduk Indonesia yang bocor. Jika dilihat ini data pemilu tahun 2013.

Sumber: https://twitter.com/underthebreach/status/1263477429458350086

Bagaimana respon pemerintah / KPU terkait hal ini? Baca sampai habis dulu ya :)

Data Protection / Perlindungan Data

Tanpa harus mengambil referensi dari manapun, melihat dua kata tersebut sudah jelas bahwa inti dari Data Protection adalah bagaimana mekanisme organisasi dalam melindungi data perusahaan. Data perusahaan ini macam-macam, termasuk data karyawan (Personal Data), data keuangan, data teransaksi, data aset perusahaan, Intellectual Property, dan lain-lain. Dalam konteks keamanan informasi, kita mengenal juga istilah Crown Jewels. Crown Jewels adalah aset kritikal atau bahasa Jawa-nya “mission critical assets”. Apa kriteria aset dikatakan kritikal? Banyak faktor. Bisa jadi karena value asset terhadap bisnis, risiko yang ditimbulkan jika terdapat pelanggaran atas aset tersebut, aset yang mendukung proses bisnis yang kritikal, dan lain-lain sesuai dengan definisi dari organisasi tersebut. Tapi menurut saya pribadi, crown jewels ditentukan dari aset mana yang mendukung proses bisnis yang kritikal. Menentukan proses bisnis yang kritikal gimana caranya? Silakan googling “Business Impact Analysis”. Pembaca yang familiar dengan Business Continuity Management (BCM) pasti mengerti. Di lain kesempatan, saya akan tulis pengalaman terkait BCM ini.

Apakah data pribadi / personal data termasuk crown jewels? Bagi saya sih IYA, tergantung bagi Anda sekalian apakah data pribadi termasuk aset kritikal atau tidak. Namanya aset kritikal, tentunya harus dikelola dan diproteksi secara tepat dan aman.

Sebentar. Kan dari kemarin kita bahas Data Privacy. Tapi kenapa regulasi di Eropa (“GDPR”) dan Indonesia (“RUU PDP” dan “PerMen Kominfo No 20 Tahun 2016”) menunggunakan istilah Personal Data Protection / Perlindungan Data Pribadi? Kenapa bukan Data Privacy Protection?

Nah, untuk itulah saya bahas di tulisan ini :)

Data Privacy vs Data Protection

You Can’t Have Privacy Without Security

Merujuk artikel yang dipublikasi oleh Forbes, berikut adalah perbedaan dari Data Privacy dan Data Protection dari beberapa narasumber.

  1. Data Protection memiliki fokus pada mekanisme perlindungan terhadap data atau melindungi data dari akses yang tidak sah, sedangkan Data Privacy mendefinisikan siapa / pihak mana yang sah untuk mengakses data tersebut. Dalam konteks ini, berarti Data Protection berbicara perihal cara kita melindungi data pribadi, sedangankan Data Privacy berbicara perihal hak dan kewajiban pemangku kepentingan dari data pribadi (data owner, data controller, data processor).
  2. Data Protection lebih ke technical control, sedangkan Data Privacy lebih ke urusan hukum/legal dan proses. Dalam konteks ini, technical control bisa dalam bentuk implementasi teknologi (misalnya implementasi solusi encryption, Data Loss/Leakage Prevention, tokenization, anonymization, dan lain-lain). Data Privacy bisa dalam bentuk proses tata kelola dan kepatuhan terhadap aspek kontraktual dan regulasi yang berlaku.
  3. Data Protection adalah kontrol yang dipegang organisasi/perusahaan atas perlindungan data pribadi, sedangkan Data Privacy adalah kontrol dari Data Owner atas data mana yang dapat dibagikan ke siapa/pihak mana.
  4. Data Protection berfokus pada bagaimana melindungi data dari risiko peretasan, sedangkan Data Privacy berfokus pada data dari risiko penjualan atau penyebaran data yang tidak sah.

One doesn’t ensure the other, and we need both to work together as a proper control mechanism.

Dari beberapa poin di atas, kita dapat memahami perbedaan Data Privacy dan Data Protection itu apa, dan juga relevansinya. Data Privacy dan Data Protection memang berbeda (secara definisi), tapi sangat terkait. Dalam hal ini, Data Privacy bisa jadi obyek yang harus dilindungi oleh mekanisme dalam Data Protection, baik dengan kontrol dalam bentuk implementasi teknologi, proses yang dikelola dengan baik, dan tentunya kompetensi personil.

Kasus Data Breach Data KPU

Melanjutkan dari intermezzo di atas, bagaimana nih pendapat pembaca jika melihat tanggapan dari KPU seperti di bawah ini?

Sumber: https://twitter.com/underthebreach/status/1263784103771602944

Jadi menurut KPU, data pemilih (dimana ini isinya data pribadi warga negara Indonesia), dianggap informasi yang terbuka? Apakah pembaca setuju dengan hal ini?

Saya pribadi TIDAK SETUJU.

Jika merujuk ke RUU Perlindungan Data Pribadi, ini adalah informasi yang harus dilindungi. Tapi, apakah ada UU lain yang mengatur tentang hal ini? Silakan pembaca bisa buka:

  1. UU No 14 Tahun 2008 tentang Keterbukaan Informasi Publik
  2. UU No 7 Tahun 2017 tentang Pemilihan Umum

Pada artikel ini tidak saya bahas detil karena saya butuh waktu untuk melakukan analisis terhadao UU tersebut. Jika sempat nanti saya akan update tulisan ini agar mencakup beberapa poin penting dari UU terebut yang masih relevan dengan RUU Perlindungan Data Pribadi.

Klasifikasi Informasi

Menurut KPU, “….bukan berasal dari kebocoran data KPU atau diretas, tetapi saat tahapan Pemilu 2014 itu informasi yang terbuka”.

Apakah pembaca setuju jika hal tersebut dikatakan sebagai Informasi yang Terbuka? Data-data NIK, nama lengkap, TTL, alamat lengkap, dan lain-lain.

Sudah tepatkah informasi ini diklasifikasikan sebagai informasi yang terbuka atau Public?

Perspektif ISO 27002:2013 terkait Klasifikasi Informasi

Untuk menyamakan perspektif terkait klasifikasi informasi, kita dapat mengacu pada salah satu standar kontrol keamanan informasi, yaitu ISO 27002:2013 Annex 8.2 tentang Information Classification.

Sumber: Dokumen ISO 27002:27013

Merujuk pada obyektif Annex 8.2.1, dari Information Classification / Klasifikasi Informasi memiliki tujuan untuk memastikan bahwa organisasi menerapkan tingkat perlindungan yang tepat terhadap informasi sesuai dengan tingkat pentingnya/kritikalitas informasi tersebut terhadap organisasi.

Sebagai bentuk pengendalian, informasi dapat diklasifikasikan berdasarkan: kebutuhan legal, nilai informasi, kritikalitas, dan sensitivitas informasi terhadap perubahan dan pengungkapan yang tidak sah.

Berikut adalah penjelasan singkat dari masing-masing kriteria klasifikasi.

  1. Klasifikasi berdasarkan kebutuhan legal. Kenapa ini disebutkan paling awal? Karena sudah jelas, aspek legal (atau compliance) memiliki posisi yang paling tinggi dalam menentukan keputusan bisnis. Simplenya, bisa gak kita jalanin bisnis tanpa memenuhi aspek hukum yang berlaku di negara tersebut? Antara bisa dan tidak. Meskipun bisa, nantinya jika ketahuan akan kena sanksi juga. Dalam konteks kebutuhan legal untuk Perlindungan Data Pribadi, organisasi harus mencari, menginventarisasi, dan menganalisis segala regulasi yang mengatur dan masih terkait dengan aktivitas perlindungan data pribadi. Analisis dibutuhkan untuk mengidentifikasi apa saja sih yang diwajibkan oleh regulasi terkait untuk kita penuhi.
  2. Klasifikasi berdasarkan nilai informasi. Nilai informasi, dapat ditentukan baik secara kualitatif dan kuantitatif. Secara kualitatif, sama ketika kita melakukan risk assessment menggunakan skala kualitatif, misalnya High, Medium, Low. Secara kuantitatif, ada dua cara, yaitu pendekatan valuasi IT dan quantitative security risk assessment. Untuk valuasi aset IT, cara paling sederhana bisa dengan menghitung NPV atau ROI/ROE dari aset IT, atau dengan cara yang agak ribet dengan metode valuasi IT, misalnya dengan metode/fungsi Cobb-Douglas, IT value function, life cycle cost analysis, Ranti’s Generic IS/IT Business Value, dan lain-lain. Kalau niat, beberapa metode valuasi perusahaan bisa diadopsi untuk valuasi IT.
  3. Klasifikasi berdasarkan kritikalitas. Untuk menetukan kritikalitas informasi, menurut saya cara paling sederhana adalah menentukan nilai dampak informasi terhadap aspek Confidentiality (C), Integrity (I), dan Availability (A) dari perspektif keamanan informasi. Hasil kali atau rata-rata dari masing-masing nilai dampak bisa dijadikan acuan untuk menentukan kritikalitas. Bisa juga, kritikalitas ditentukan dari proses bisnis kritikal yang didukung oleh informasi / aset IT terkait.
  4. Klasifikasi berdasarkan sensitivitas. Untuk hal ini, ada beberapa pendapat yang berbeda. Klasifikasi berdasarkan sensitivitas mirip dengan kritikalitas, bedanya adalah kalau kritikalitas dapat dipandang sebagai penentuan tingkat klasifikasi berdasarkan prioritas bisnis, sedangkan sensitivitas berdasarkan dampaknya. Jadi perhitungan CIA tadi bisa juga berlaku untuk klasifikasi berdasarkan sensitivitas ini.

Untuk tingkat klasifikasi informasi, bisa menggunakan tingkatan sebagai berikut.

  1. Public
  2. Internal Only
  3. Restricted / Confidential

Atau menggunakan Traffic Light Protocol (TLP) sebagai berikut.

  1. TLP:White (Disclosure is not limited)
  2. TLP:Green (Limited disclosure, restricted to the community)
  3. TLP:Amber (Limited disclosure, restricted to participants’ organizations)
  4. TLP:Red (Not for disclosure, restricted to participants only)

Atau menggunakan standar klasifikasi yang lain juga bisa.

Jadi, data penduduk kita masuk kategori mana ya menurut KPU? Terus seharusnya, masuk kategori mana? Apakah statement KPU sudah tepat? :)

Kesimpulan

Pada artikel ini, pembaca diharapkan sudah memahami perbedaan dan keterkaitan antara Data Privacy dan Data Protection. Karena keterbatasan waktu, penulis tidak bisa menjelaskan secara detil dan komprehensif. Semoga penjelasan yang singkat ini dapat menambah wawasan pembaca terkait Data Privacy dan Data Protection.

Dengan sederet kejadian data breach yang ada di Indonesia ini dapat membuat kita semua lebih aware terhadap Data Privacy dan Data Protection. Ingat, Data Protection pada dasarnya seperti Keamanan Informasi, yaitu adalah sebuah proses. Sangat sulit mencapai kondisi ideal dalam waktu yang singkat. Namun, kalau tidak dari sekarang kapan lagi? Kalau bukan kita, siapa lagi?

Semoga bermanfaat :)

Salam,

Eryk Budi Pratama

(Slideshare) (Linkedin)

Data Privacy
Data Protection
Data Security

--

--

Eryk Budi Pratama

Written by Eryk Budi Pratama

253 Followers

Global IT & Cybersecurity Advisor | Global CIO & CISO Advisory | IT GRC | Cloud | Cyber Resilience | Data Privacy & Governance

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams