Dalam kehidupan sehari-hari, apakah Anda pernah melihat fotokopi ujian tertulis sebagai bungkus gorengan? Atau fotokopi kartu keluarga, bahkan KTP, yang tercantum jelas si identitas empunya? Sesungguhnya, ini merupakan persoalan literasi kerahasiaan data yang sangat fundamental di dunia serba digital saat ini.
Berlakunya perlindungan data pribadi sudah seharusnya diikuti dengan kesadaran kita sebagai seorang individu di masyarakat. Begitu juga ketika di perusahaan kita ditugaskan menjadi pengolah data, kerahasiaan data pribadi menjadi sangat vital.
Mari lihat dalam konteks perusahaan global di bidang produk kesehatan. Ada kalanya bisnis perusahaan mendapat tantangan ketika akan melakukan analisis perbaikan produk yang memerlukan pengolahan data pribadi perkembangan kesehatan individu (medical records).
Hal ini terkait dengan peraturan di negara tersebut yang melarang pengumpulan data kesehatan pribadi masyarakat tanpa seizin pemilik data. Persoalan ini dapat menghambat proses bisnis perusahaan tersebut, bahkan mengancam peluncuran beberapa produk baru yang diharapkan bisa meraih pangsa pasar cukup besar.
Persoalan ini tidak hanya dihadapi oleh perusahaan di bidang kesehatan, tapi oleh semua perusahaan global maupun lokal lainnya. Berbagai negara telah secara efektif mengatur perlindungan data pribadi. Di Uni Eropa dikenal dengan General Data Protection Regulation. Di Indonesia ada Undang-Undang Perlindungan Data Pribadi (UU PDP). Sementara di Amerika Serikat dikenal sebagai California Consumer Privacy Act (CCPA).
Regulasi itu mengatur perlindungan data pribadi dari penyalahgunaan. Harapannya, masyarakat mendapatkan kepastian perlindungan data pribadi mereka yang terkumpul. Di sisi lainnya, organisasi bisnis maupun non-bisnis pun perlu mematuhi peraturan ini agar dapat beroperasi dengan optimal dan tidak terancam persoalan hukum.
Selain terhambatnya operasional bisnis, kegagalan dalam perlindungan data pribadi dapat menyebabkan sangsi administratif berupa denda maksimal dua persen dari pendapatan tahunan. Hal ini tertuang di dalam UU PDP Indonesia yang disahkan pada tahun lalu. Dampak langsung kegagalan dalam mematuhi regulasi ini memiliki konsekuensi terhadap kapasitas finansial.
Terlepas dari konsekuensi tersebut di atas, di sisi pengelolaan hak atas data pribadi, organisasi profit maupun nirlaba perlu memahami, melaksanakan, dan mematuhi Undang-Undang Perlindungan Data Pribadi. Secara alamiah belum semua organisasi mengerti, bahkan siap untuk menjalankan perundangan ini.
Untuk membantu perusahaan dalam mendiagnostik kesiapan mengimplementasikan regulasi perlindungan data, Mitre, sebuah organisasi nirlaba di Amerika telah mengembangkan kerangka kerja untuk membantu perusahaan dalam mendiagnosa kesiapan setiap kebijakannya agar align dengan CCPA.
Penulis menilai kerangka kerja hasil pengembangan organisasi tersebut cukup mumpuni untuk digunakan di perusahaan Indonesia. Pendekatan kerangka kerja melalui variable yang jelas dan tangible akan memberikan langkah kemudahan para pemangku kebijakan dan kepentingan di perusahaan tersebut.
Kerangka kerja ini tertuang di dalam Privacy Maturity Model (Version 1) tahun 2019. Kesiapan organisasi dalam perlindungan data pribadi dapat dibagi menjadi beberapa tingkatan, dari terendah menuju tertinggi:
Ad hoc – Pada tingkatan ini organisasi baru mengenal program perlindungan data pribadi. Organisasi belum memiliki dokumentasi tata kelola, seperti pedoman atau standard operational procedure (SOP) untuk memberikan perlindungan data pribadi di dalam organisasi.Defined – Pada tahap ini, organisasi telah memiliki pedoman/SOP dan mendokumentasi dengan baik sistem tata kelola data. Hanya saja, organisasi belum menerapkan SOP tersebut secara konsisten.Consistently implemented – Organisasi telah mengintegrasikan seluruh dokumen tata Kelola dan SOP di aktivitas sehari-hari dan organisasi terus mengoptimalkan penegakkan peraturan data pribadi tersebut.Managed and measurables – Organisasi telah berhasil mengkuantifikasi ukuran keberhasilan penerapan program perlindungan data pribadi dengan metrics yang jelas dan organisasi terus memonitor dan mengevaluasi efektivitas penerapan aturan tersebut.Optimized level – Organisasi telah mendesain penerapan tata kelola data pribadi sebagai bagian dari keberhasilan manajemen dan proses perbaikan telah dilaksanakan secara berkelanjutan. Organisasi pun telah melaksanakan sistem otomasi untuk memonitor dan meningkatkan efektivitas program.
Setiap organisasi dapat menilai dirinya sendiri dengan elemen-elemen yang sangat gamblang dijelaskan pada dokumen yang sama. Mitre mengusulkan penggunaan tujuh elemen penting yang mengakomodasi keamanan dari data pribadi;
Elemen-elemen Program Data Privasi (adopted from Mitre, 2019) (Istimewa)
Berikut ini penjelasan ketujuh elemen yang dapat digunakan untuk mengukur kematangan perlindungan data pribadi pada gambar di atas:
1. Kepemimpinan dan organisasi yang menunjukkan dukungan organisasi terhadap prioritas dan inisiatif program perlindungan data pribadi. Menderivasi dari peraturan pemerintah melalui PDP, perusahaan akan dinilai baik jika pemimpinnya menginisiasikan, bertanggung jawab langsung dan penuh terkait implementasi PDP di perusahaannya, juga mendukung pelaksanaan kebijakan lain jika diperlukan.
