Apa itu privasi data?

Penyusun

Matthew Kosinski

Staff Editor

IBM Think

Amber Forrest

Staff Editor | Senior Inbound, Social & Digital Content Strategist

IBM Think

Apa itu privasi data?

Privasi data, disebut juga "privasi informasi," adalah prinsip bahwa seseorang harus memiliki kendali atas data pribadi mereka, termasuk kemampuan untuk memutuskan bagaimana organisasi mengumpulkan, menyimpan, dan menggunakan data mereka.

Bisnis secara rutin mengumpulkan data pengguna, seperti alamat email, biometrik, dan nomor kartu kredit. Untuk organisasi dalam ekonomi data ini, mendukung privasi data berarti mengambil langkah-langkah seperti mendapatkan persetujuan pengguna sebelum memproses data, melindungi data dari penyalahgunaan, dan memungkinkan pengguna untuk mengelola data mereka secara aktif.

Banyak organisasi memiliki kewajiban hukum untuk menegakkan hak privasi data berdasarkan undang-undang seperti Peraturan Perlindungan Data Umum (GDPR). Bahkan dengan tidak adanya undang-undang privasi data formal, perusahaan dapat mengambil manfaat dari mengadopsi langkah-langkah privasi. Praktik dan alat yang sama yang melindungi privasi pengguna dapat melindungi data sensitif dan sistem dari peretas jahat.

Privasi data versus keamanan data

Privasi data dan keamanan data adalah disiplin ilmu yang berbeda namun saling terkait. Keduanya merupakan komponen inti dari strategi tata kelola data perusahaan yang lebih luas.

Privasi data berfokus pada hak-hak perorangan atas subjek data, yaitu pengguna yang memiliki data. Bagi organisasi, praktik privasi data mencakup penerapan kebijakan dan proses yang memungkinkan pengguna untuk mengontrol data mereka sesuai dengan peraturan privasi data yang relevan.

Keamanan data berfokus pada melindungi data dari akses dan penyalahgunaan yang tidak sah. Untuk organisasi, praktik keamanan data sebagian besar adalah masalah penerapan kontrol untuk mencegah perusakan data oleh peretas dan ancaman orang dalam.

Keamanan data memperkuat privasi data dengan memastikan bahwa data pribadi hanya dapat diakses oleh orang yang tepat dan untuk alasan yang tepat. Privasi data memperkuat keamanan data dengan menetapkan "orang yang tepat" dan "alasan yang tepat" untuk setiap kumpulan data.

Buletin Think

Apakah tim Anda akan mampu mendeteksi zero-day berikutnya tepat waktu?

Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.

Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.

https://www.ibm.com/id-id/privacy

Prinsip-prinsip privasi data

Di banyak organisasi, privasi data diawasi oleh tim interdisipliner dengan perwakilan dari departemen hukum, kepatuhan, TI, dan keamanan siber. Tim ini menyusun kebijakan manajemen data yang mengatur bagaimana organisasi mereka mengumpulkan, menggunakan, dan melindungi data pribadi sehubungan dengan hak privasi pengguna. Mereka juga merancang proses bagi pengguna untuk menggunakan hak mereka dan menerapkan kontrol teknis untuk mengamankan data.

Organisasi dapat menggunakan berbagai kerangka kerja privasi data untuk memandu kebijakan data mereka, termasuk Kerangka Kerja Privasi NIST1 dan Prinsip-prinsip Praktik Informasi yang Adil.2 Selain itu, strategi tata kelola data organisasi mana pun sangat bergantung pada undang-undang privasi yang harus dipatuhi oleh perusahaan, jika ada.

Meskipun demikian, ada beberapa prinsip privasi data umum yang muncul di sebagian besar kerangka kerja dan peraturan. Prinsip-prinsip ini menjadi landasan bagi kebijakan, proses, dan kontrol privasi data di banyak organisasi.

Akses

Pengguna memiliki hak untuk mengetahui data apa yang dimiliki perusahaan. Pengguna harus dapat mengakses data pribadi mereka sesuai permintaan. Mereka harus dapat memperbarui atau mengubah data tersebut sesuai kebutuhan.
Transparansi

Pengguna memiliki hak untuk mengetahui siapa yang memiliki data mereka dan tindakan apa dilakukan terhadap data tersebut. Pada saat pengumpulan data, organisasi harus mengomunikasikan dengan jelas tentang data yang mereka kumpulkan dan rencana penggunaan data tersebut. Setelah mengumpulkan data, organisasi harus memberi informasi kepada pengguna tentang detail pemrosesan data utama, termasuk perubahan apa pun pada cara data digunakan, dan pihak ketiga mana pun yang akan menerima data tersebut.

Secara internal, organisasi harus memelihara inventaris terkini dari semua data yang mereka miliki. Data harus diklasifikasikan berdasarkan jenis, tingkat sensitivitas, persyaratan kepatuhan, dan faktor relevan lainnya. Kontrol akses dan kebijakan penggunaan harus diberlakukan berdasarkan klasifikasi ini.
Persetujuan

Organisasi harus mendapatkan persetujuan pengguna untuk penyimpanan, pengumpulan, pembagian, atau pemrosesan data jika memungkinkan. Apabila organisasi menyimpan atau menggunakan data pribadi tanpa persetujuan subjek, organisasi tersebut harus memiliki alasan kuat untuk melakukannya, misalnya data tersebut digunakan untuk kepentingan publik atau kewajiban hukum.

Subjek data harus memiliki cara untuk menyampaikan kekhawatiran atau keberatan terhadap penanganan data mereka. Subjek data juga harus dapat mencabut persetujuan mereka kapan saja.
Kualitas

Organisasi harus berupaya memastikan keakuratan data yang mereka kumpulkan dan simpan. Ketidakakuratan dapat menyebabkan pelanggaran privasi. Sebagai contoh, jika sebuah perusahaan menyimpan data alamat lama, perusahaan tersebut bisa secara tidak sengaja mengirimkan dokumen sensitif kepada orang yang salah.
Batasan pengumpulan, penyimpanan dan penggunaan data

Sebuah organisasi harus memiliki tujuan yang pasti untuk setiap data yang dikumpulkannya. Ia harus mengkomunikasikan tujuan ini kepada pengguna dan hanya menggunakan data untuk tujuan ini. Organisasi hanya boleh mengumpulkan jumlah minimum data yang diperlukan untuk tujuan yang telah ditetapkan dan menyimpan data hanya sampai tujuan tersebut terpenuhi.
Privasi berdasarkan desain

Privasi harus menjadi kondisi default dari setiap sistem dan proses dalam organisasi. Setiap produk yang dirancang atau diterapkan organisasi harus memperlakukan privasi pengguna sebagai fitur inti dan perhatian utama. Pengumpulan dan pemrosesan data harus diikutsertakan daripada dikecualikan. Pengguna harus menjaga kontrol data mereka di setiap langkah.
Keamanan

Organisasi harus menerapkan proses dan kontrol untuk melindungi kerahasiaan dan integritas data pengguna.

Pada tingkat proses, organisasi dapat mengambil langkah-langkah tertentu, misalnya memberi pelatihan bagi karyawan seputar persyaratan kepatuhan dan hanya bekerja sama dengan vendor dan penyedia layanan yang menghormati privasi pengguna.

Pada tingkat kontrol teknis, organisasi bisa menggunakan sejumlah alat untuk melindungi data. Solusi manajemen identitas dan akses (IAM) dapat menerapkan kebijakan kontrol akses berbasis peran sehingga hanya pengguna yang berwenang yang dapat mengakses data sensitif. Langkah-langkah autentikasi yang ketat seperti Single Sign-On (SSO) dan autentikasi multifaktor (MFA) dapat mencegah para peretas membajak akun pengguna yang sah.

Alat Pencegahan kehilangan data (DLP) dapat menemukan dan mengklasifikasikan data, memantau penggunaan, dan mencegah pengguna mengubah, berbagi, atau menghapus data secara tidak tepat. Solusi pencadangan dan pengarsipan data dapat membantu organisasi memulihkan data yang hilang atau rusak.

Organisasi juga dapat menggunakan alat keamanan data yang dirancang khusus untuk kepatuhan terhadap peraturan. Semua alat ini sering kali menyertakan fitur seperti enkripsi, penegakan kebijakan otomatis, dan jejak audit yang melacak semua aktivitas data yang relevan.

Pentingnya privasi data

Saat ini, rata-rata organisasi mengumpulkan sejumlah besar data konsumen. Organisasi memiliki tanggung jawab untuk memastikan keamanan privasi data ini. Tanggung jawab ini bukan semata didasari oleh iktikad baik, melainkan sebagai bentuk kepatuhan terhadap peraturan, postur keamanan, dan keunggulan kompetitif.

Kepatuhan terhadap peraturan

Institusi seperti Perserikatan Bangsa-Bangsa3 mengakui privasi sebagai hak asasi manusia yang mendasar, dan banyak negara telah mengadopsi peraturan privasi yang mengabadikan hak ini dalam undang-undang. Sebagian besar peraturan ini disertai dengan hukuman yang berat bagi yang tidak patuh.

Peraturan Perlindungan Data Umum (GDPR) Uni Eropa dianggap sebagai salah satu undang-undang privasi data paling komprehensif di dunia. GDPR menetapkan aturan ketat yang harus dipatuhi oleh perusahaan mana pun, baik di dalam maupun di luar Eropa, saat memproses data penduduk UE. Pelanggar dapat dijatuhi denda hingga 20 juta EUR atau 4% dari pendapatan global perusahaan.

Negara-negara di luar Uni Eropa memiliki persyaratan peraturan yang serupa, termasuk GDPR di Inggris Raya, Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik (PIPEDA) di Kanada, dan Undang-Undang Perlindungan Data Pribadi Digital di India.

Meskipun tidak ada undang-undang perlindungan data federal yang menyeluruh seperti GDPR, di AS terdapat beberapa perundangan dengan target yang lebih khusus. Undang-Undang Perlindungan Privasi Online Anak-anak (COPPA) menetapkan aturan terkait pengumpulan dan pemrosesan data pribadi anak di bawah usia 13 tahun. Selain itu, Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) mengatur cara organisasi layanan kesehatan dan entitas terkait menangani informasi kesehatan pribadi.

Denda berdasarkan undang-undang ini bisa sangat besar. Pada tahun 2022, misalnya, Epic Games didenda dengan jumlah rekor sebesar 275 juta dolar AS karena pelanggaran COPPA.4

AS juga memiliki peraturan privasi tingkat negara bagian seperti California Consumer Privacy Act (CCPA), yang memberikan konsumen di California kontrol lebih besar atas bagaimana dan kapan data mereka diproses. Meskipun CCPA mungkin merupakan undang-undang privasi negara bagian yang paling terkenal, undang-undang ini telah mengilhami undang-undang lainnya, seperti Undang-Undang Perlindungan Data Konsumen Virginia (VCDPA) dan Undang-Undang Privasi Colorado (CPA).

Postur keamanan

Organisasi saat ini mengumpulkan banyak informasi identifikasi pribadi (PII), seperti nomor jaminan sosial pengguna dan detail perbankan. Data ini merupakan target bagi para peretas, yang dapat menggunakannya untuk melakukan pencurian identitas, mencuri uang, atau menjualnya di dark web.

Selain itu, perusahaan memiliki data sensitif milik mereka sendiri yang mungkin diincar oleh peretas, seperti kekayaan intelektual atau data keuangan.

Menurut laporan Biaya Pelanggaran Data 2025 IBM, rata-rata pelanggaran merugikan perusahaan sebesar USD 4,44 juta. Banyak faktor yang berkontribusi pada label harga ini, termasuk kehilangan bisnis karena waktu henti sistem dan biaya untuk mendeteksi dan memulihkan pelanggaran.

Banyak alat yang sama yang mendukung privasi data juga dapat mengurangi ancaman pelanggaran dan memperkuat postur keamanan siber secara keseluruhan. Sebagai contoh, solusi IAM yang mencegah akses yang tidak sah dapat membantu menghentikan peretas sekaligus menegakkan kebijakan privasi. Alat keamanan data sering kali dapat mendeteksi aktivitas mencurigakan yang mungkin menandakan serangan siber yang sedang berlangsung, sehingga memungkinkan tim respons insiden bertindak lebih cepat.

Demikian pula, karyawan dan konsumen dapat mempertahankan diri dari beberapa serangan rekayasa sosial yang paling merusak dengan mengadopsi praktik terbaik privasi data. Penipu sering menjelajahi aplikasi media sosial untuk menemukan data pribadi yang dapat mereka gunakan untuk membuat penyusupan email bisnis (BEC) dan taktik phishing tombak yang meyakinkan. Dengan membagikan lebih sedikit informasi dan mengunci akun mereka, pengguna dapat menghalau para penipu dari satu sumber amunisi yang ampuh.

Keunggulan kompetitif

Menghormati hak privasi pengguna terkadang dapat memberikan keunggulan kompetitif bagi organisasi.

Konsumen dapat kehilangan kepercayaan pada bisnis yang tidak melindungi data pribadi mereka secara memadai. Sebagai contoh, reputasi Facebook mengalami penurunan yang signifikan setelah skandal Cambridge Analytica.5 Konsumen sering kali tidak mau berbagi data berharga mereka dengan bisnis yang telah gagal dalam hal privasi pada masa lalu.

Sebaliknya, bisnis dengan reputasi melindungi privasi data mungkin lebih mudah memperoleh dan memanfaatkan data pengguna.

Selain itu, dalam ekonomi global yang saling terhubung, data sering kali mengalir di antara organisasi. Perusahaan dapat mengirimkan data pribadi yang dikumpulkannya ke basis data cloud untuk disimpan atau ke perusahaan konsultan untuk diproses. Mengadopsi prinsip dan praktik privasi data dapat membantu organisasi melindungi data pengguna dari penyalahgunaan, bahkan ketika data tersebut dibagikan dengan pihak ketiga. Berdasarkan beberapa peraturan, seperti GDPR, organisasi bertanggung jawab secara hukum untuk memastikan vendor dan penyedia layanan mereka menjaga keamanan data.

Terakhir, teknologi kecerdasan buatan generatif baru dapat menimbulkan tantangan privasi data yang signifikan. Setiap data sensitif yang dimasukkan ke AI ini dapat menjadi bagian dari data pelatihan alat dan organisasi mungkin tidak dapat mengontrol bagaimana data itu digunakan. Misalnya, insinyur di Samsung secara tidak sengaja membocorkan kode sumber kepemilikan dengan memasukkan kode ke ChatGPT untuk mengoptimalkannya.6

Selain itu, jika organisasi tidak memiliki izin dari pengguna untuk menjalankan data mereka melalui AI generatif, hal ini dapat dianggap sebagai pelanggaran privasi berdasarkan peraturan tertentu.

Kebijakan dan kontrol privasi data formal dapat membantu organisasi mengadopsi alat bantu AI dan teknologi baru lainnya tanpa melanggar hukum, kehilangan kepercayaan pengguna, atau secara tidak sengaja membocorkan informasi sensitif.
Solusi terkait
Solusi keamanan dan perlindungan data

Lindungi data di berbagai lingkungan, penuhi peraturan privasi, dan sederhanakan kompleksitas operasional.

         Jelajahi solusi keamanan data
    IBM® Guardium

    Temukan IBM Guardium, rangkaian perangkat lunak keamanan data yang melindungi data sensitif di lokasi dan cloud.

     

             Jelajahi IBM Guardium
      Layanan keamanan data

      IBM menyediakan layanan keamanan data yang komprehensif untuk melindungi data perusahaan, aplikasi, dan AI.

             Jelajahi layanan keamanan data
      Ambil langkah selanjutnya

      Lindungi data organisasi Anda di seluruh hybrid cloud dan sederhanakan persyaratan kepatuhan dengan solusi keamanan data.

             Jelajahi solusi keamanan data Pesan demo langsung