Bisnis.com, JAKARTA - Pengendali data pribadi tengah sibuk melakukan persiapan kepatuhan UU No. 27/2022 Tentang Pelindungan Data Pribadi (UU PDP) yang berlaku pada 17 Oktober 2024. Namun, kebijakan turunannya belum juga rampung.
Kekhawatiran muncul karena masih maraknya peretasan. Berdasarkan data Badan Siber dan Sandi Negara (BSSN), sepanjang 2023 telah terjadi 279,84 juta serangan siber di Indonesia.
Puncaknya, justru menimpa Pusat Data Nasional (PDN). PDN sangat krusial bagi pemerintah. Kehadirannya, tidak hanya sebagai konsolidator data dan akselerator pelayanan publik tetapi juga menjamin kedaulatan data suatu negara dan hak privasi data warga negara.
Peristiwa ini bisa menimbulkan keraguan publik dalam mewujudkan data privacy bagi warga negara. Pemerintah harus segera mengambil langkah konkret untuk mempercepat penyusunan peraturan presiden (perpres) dan peraturan pemerintah (PP) sesuai Pasal 58 dan 12-61 UU PDP.
Namun, penyusunan dua kebijakan ini harus tetap dikaji dengan matang. Keseimbangan kepentingan antara pengendali data pribadi dan subjek data pribadi dapat memberikan dampak positif bagi kedua belah pihak dan stakeholder terkait.
Sementara itu, patut disadari bahwa pelanggaran UU PDP dan kebijakan turunannya, berakibat dikenakan sanksi. Bahkan, yang lebih mengkhawatirkan menurut Lessig, dalam bukunya ‘Code and Other Laws of Cyberspace,’ bahwa potensi sanksi dapat datang dari pihak ketiga yang berhubungan dan berada dalam ekosistem.
| Baca Juga 7 Tips Melindungi WhatsApp dari Hacker |
|---|
Pengendali data pribadi dituntut harus memastikan mitra dan vendor mereka juga memiliki intensi yang sama dalam kepatuhan PDP.
Berdasarkan UU PDP Pasal 34 Ayat (1) dan (2), bahwa pengendali data pribadi harus memitigasi risiko dampak pelindungan data pribadi. Hal ini bertujuan untuk mengurangi risiko kegagalan pelindungan data pribadi.
Menurut Pasal 46 Ayat (1), “kegagalan pelindungan data pribadi” adalah kegagalan melindungi data pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan data pribadi, termasuk pelanggaran keamanan, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap data pribadi.
Selanjutnya, Pasal 46 Ayat (3), bahwa jika terjadi kegagalan maka harus diberitahukan kepada masyarakat, apabila mengganggu pelayanan publik dan/atau berdampak serius terhadap kepentingan masyarakat.
Karena itu, pelindungan data pribadi sangat penting dan perlu dilakukan sejak dini. Pengendali data pribadi dapat menerapkan sistem keamanan data seperti, hardware, software, storage, device pengguna, kontrol akses dan administrasi, serta kebijakan dan prosedur perusahaan.
Tidak cukup hanya pencegahan, perlu dilakukan alternatif keamanan melalui program asuransi. Hal ini untuk mengurangi dampak kerugian jika insiden terjadi. Ini juga menjadi langkah penguatan manajemen risiko pengendalian data yang sangat kritikal bagi organisasi (Granadillo & Menesidou, 2021).
Setidaknya, ada tiga risiko yang dapat dialihkan ke perusahaan asuransi. Pertama, kerugian keuangan. Kegagalan pelindungan data pribadi menimbulkan biaya untuk memulihkan data yang hilang dan tanggung jawab hukum terhadap pihak ketiga.
Saat ini, biaya pemulihan data sangat besar. Mayoritas biaya dikeluarkan untuk menghadirkan peralatan dan tenaga ahli khusus.
Sementara itu, tuntutan dari pihak ketiga yang terdampak kerugian, akan mengeluarkan biaya pembelaan atau pendampingan hukum pada saat proses mediasi atau litigasi. Sejak tahun 2021 sampai saat ini terjadi 124 kasus pelanggaran, dimana 79 persen sudah ditangani dan tidak lebih dari 5 kasus yang masuk perdata (Kominfo, 2024).
Kedua, risiko reputasi. Hal ini dapat menyebabkan penurunan kepercayaan publik dan loyalitas pelanggan, hilangnya mitra bisnis, dan penurunan nilai saham perusahaan.
Perusahaan asuransi akan memberikan ganti rugi atas biaya untuk meluruskan pemberitaan negatif dan yang melahirkan sentimen buruk kepada pengendali data pribadi.
Ketiga, sanksi. Kegagalan pelindungan data pribadi berakibat sanksi yang akan dilakukan oleh lembaga PDP nantinya. Ancaman berupa denda administratif ini sebesar 2% dari total pendapatan tahunan.
Berkaca General Data Protection Regulation (GDPR) di Eropa, Meta didenda sampai 1,2 triliun euro. Amazon dikenai denda 746 juta euro, dan Tiktok mendapatkan sanksi 345 juta euro. Hal senada, akan terjadi jika regulasi ini berlaku.
Dengan mengalihkan risiko-risiko ke asuransi, dapat mengurangi dampak kerugian dari insiden teknologi dan fokus pada pemulihan serta pencegahan serangan di masa mendatang.
ASURANSI SIBER
Saat ini, program asuransi yang dapat mengakomodir insiden teknologi adalah asuransi siber. Asuransi ini dirancang untuk melindungi bisnis dan individu dari risiko yang terkait dengan aktivitas online dan teknologi informasi.
Di Indonesia, pasar asuransi ini belum berkembang luas. Namun, sebagian kecil perusahaan yang sudah menyediakan produk secara personal maupun korporasi.
Tarifnya mulai 1%—7%, tergantung luas jaminan yang dibeli dan kategori industri. Sedangkan, limit pertanggungan yang beredar maksimal di US$625.000.
Berbeda dengan pasar asuransi global, yang sudah lama berkembang. Berdasarkan Guy Carpenter Cyber Report 2023, premi mencapai US$14 miliar pada 2023. Diperkirakan akan menjadi US$33,3 miliar pada 2027 (MunichRe, 2024).
Melalui asuransi siber, ekosistem digital akan makin kuat dan pengendali data pribadi tidak hanya melindungi aset mereka sendiri, tetapi juga menunjukkan komitmen mereka terhadap pelindungan data pribadi dan keamanan pelanggan.
