Diterbitkan: 19 Desember 2023
Kontributor: Matthew Kosinski, Amber Forrest
Privasi data, juga disebut "privasi informasi," adalah prinsip bahwa seseorang harus memiliki kendali atas data pribadi mereka, termasuk kemampuan untuk memutuskan bagaimana organisasi mengumpulkan, menyimpan, dan menggunakan data mereka.
Bisnis secara teratur mengumpulkan data pengguna seperti alamat email, biometrik, dan nomor kartu kredit. Untuk organisasi dalam ekonomi data ini, mendukung privasi data berarti mengambil langkah-langkah seperti mendapatkan persetujuan pengguna sebelum memproses data, melindungi data dari penyalahgunaan, dan memungkinkan pengguna untuk mengelola data mereka secara aktif.
Banyak organisasi memiliki kewajiban hukum untuk menegakkan hak privasi data berdasarkan undang-undang seperti Peraturan Perlindungan Data Umum (GDPR). Bahkan dengan tidak adanya undang-undang privasi data formal, perusahaan dapat mengambil manfaat dari mengadopsi langkah-langkah privasi. Praktik dan alat yang sama yang melindungi privasi pengguna dapat melindungi data sensitif dan sistem dari peretas jahat.
Privasi data dan keamanan data adalah disiplin ilmu yang berbeda namun saling terkait. Keduanya merupakan komponen inti dari strategi tata kelola data perusahaan yang lebih luas.
Privasi data berfokus pada hak-hak individu dari subjek data, yaitu pengguna yang memiliki data. Bagi organisasi, praktik privasi data adalah masalah penerapan kebijakan dan proses yang memungkinkan pengguna untuk mengontrol data mereka sesuai dengan peraturan privasi data yang relevan.
Keamanan data berfokus pada melindungi data dari akses dan penyalahgunaan yang tidak sah. Untuk organisasi, praktik keamanan data sebagian besar adalah masalah penerapan kontrol untuk mencegah peretas dan ancaman orang dalam merusak data.
Keamanan data memperkuat privasi data dengan memastikan bahwa hanya orang yang tepat yang dapat mengakses data pribadi untuk alasan yang tepat. Privasi data memperkuat keamanan data dengan mendefinisikan "orang yang tepat" dan "alasan yang tepat" untuk setiap kumpulan data.
Berlangganan Buletin IBM
Di banyak organisasi, privasi data diawasi oleh tim interdisipliner dengan perwakilan dari departemen hukum, kepatuhan, TI, dan keamanan siber. Tim-tim ini menyusun kebijakan manajemen data yang mengatur bagaimana organisasi mereka mengumpulkan, menggunakan, dan melindungi data pribadi sehubungan dengan hak privasi pengguna. Mereka juga merancang proses bagi pengguna untuk menggunakan hak mereka dan menerapkan kontrol teknis untuk mengamankan data.
Organisasi dapat menggunakan berbagai kerangka kerja privasi data untuk memandu kebijakan data mereka, termasuk Kerangka Kerja Privasi NIST1 dan Prinsip-prinsip Praktik Informasi yang Adil.2 Selain itu, strategi tata kelola data organisasi mana pun sangat bergantung pada undang-undang privasi yang harus dipatuhi oleh perusahaan, jika ada.
Meskipun demikian, ada beberapa prinsip privasi data umum yang muncul di sebagian besar kerangka kerja dan peraturan. Prinsip-prinsip ini menginformasikan kebijakan, proses, dan kontrol privasi data banyak organisasi.
Pengguna memiliki hak untuk mengetahui data apa yang dimiliki perusahaan. Pengguna harus dapat mengakses data pribadi mereka sesuai permintaan. Mereka harus dapat memperbarui atau mengubah data tersebut sesuai kebutuhan.
Pengguna memiliki hak untuk mengetahui siapa yang memiliki data mereka dan apa yang mereka lakukan dengannya. Pada saat pengumpulan data, organisasi harus mengkomunikasikan dengan jelas apa yang mereka kumpulkan dan bagaimana mereka akan menggunakannya. Setelah mengumpulkan data, organisasi harus memberi informasi kepada pengguna tentang detail pemrosesan data utama, termasuk perubahan apa pun pada cara data digunakan dan pihak ketiga mana pun yang akan menerima data tersebut.
Secara internal, organisasi harus memelihara inventaris terkini dari semua data yang mereka miliki. Data harus diklasifikasikan berdasarkan jenis, tingkat sensitivitas, persyaratan kepatuhan dan faktor relevan lainnya. Kontrol akses dan kebijakan penggunaan harus diberlakukan berdasarkan klasifikasi ini.
Organisasi harus mendapatkan persetujuan pengguna untuk penyimpanan, pengumpulan, pembagian, atau pemrosesan data bila memungkinkan. Jika organisasi menyimpan atau menggunakan data pribadi tanpa persetujuan subjek, organisasi tersebut harus memiliki alasan kuat untuk melakukannya, seperti penggunaan untuk kepentingan publik atau kewajiban hukum.
Subjek data harus memiliki cara untuk menyampaikan kekhawatiran, atau keberatan terhadap penanganan data mereka. Mereka harus dapat menarik persetujuan mereka kapan saja.
Organisasi harus berusaha untuk memastikan data yang mereka kumpulkan dan simpan akurat. Ketidakakuratan dapat menyebabkan pelanggaran privasi. Misalnya, jika sebuah perusahaan memiliki alamat lama yang tercatat, itu bisa secara tidak sengaja mengirimkan dokumen sensitif kepada orang yang salah.
Sebuah organisasi harus memiliki tujuan yang pasti untuk setiap data yang dikumpulkannya. Ia harus mengkomunikasikan tujuan ini kepada pengguna dan hanya menggunakan data untuk tujuan ini. Organisasi hanya boleh mengumpulkan jumlah minimum data yang diperlukan untuk tujuan yang telah ditetapkan dan menyimpan data hanya sampai tujuan tersebut terpenuhi.
Privasi harus menjadi kondisi default dari setiap sistem dan proses dalam organisasi. Setiap produk yang dirancang atau diterapkan organisasi harus memperlakukan privasi pengguna sebagai fitur inti dan perhatian utama. Pengumpulan dan pemrosesan data harus diikutsertakan daripada dikecualikan. Pengguna harus menjaga kontrol data mereka di setiap langkah.
Organisasi harus menerapkan proses dan kontrol untuk melindungi kerahasiaan dan integritas data pengguna.
Pada tingkat proses, organisasi dapat mengambil langkah-langkah seperti melatih karyawan tentang persyaratan kepatuhan dan hanya bekerja dengan vendor dan penyedia layanan yang menghormati privasi pengguna.
Pada tingkat kontrol teknis, organisasi bisa menggunakan sejumlah alat untuk melindungi data. Solusi manajemen identitas dan akses (IAM) dapat menerapkan kebijakan kontrol akses berbasis peran sehingga hanya pengguna yang berwenang yang dapat mengakses data sensitif. Langkah-langkah autentikasi yang ketat seperti Single Sign On (SSO) dan autentikasi multifaktor (MFA) dapat mencegah para peretas membajak akun pengguna yang sah.
Alat-alat pencegahan kehilangan data (DLP) dapat menemukan dan mengklasifikasikan data, memantau penggunaan, dan mencegah pengguna mengubah, berbagi, atau menghapus data secara tidak tepat. Solusi pencadangan dan pengarsipan data dapat membantu organisasi memulihkan data yang hilang atau rusak.
Organisasi juga dapat menggunakan alat keamanan data yang dirancang khusus untuk kepatuhan terhadap peraturan. Alat-alat ini sering kali menyertakan fitur-fitur seperti enkripsi, penegakan kebijakan otomatis, dan jejak audit yang melacak semua aktivitas data yang relevan.
Rata-rata organisasi saat ini mengumpulkan sejumlah besar data konsumen. Tren ini diperkirakan hanya akan meningkat di tahun-tahun mendatang. Menurut Survei Privasi dan Perlindungan Data IDC 2023,3 hampir 70% organisasi mengharapkan jumlah data yang mereka tangani meningkat selama tiga tahun ke depan.
Organisasi memiliki tanggung jawab untuk memastikan privasi data ini, bukan karena kebaikan hati mereka, tetapi sebagai bentuk kepatuhan terhadap peraturan, postur keamanan, dan keunggulan kompetitif.
Institusi seperti Perserikatan Bangsa-Bangsa4 mengakui privasi sebagai hak asasi manusia yang mendasar, dan banyak negara telah mengadopsi peraturan privasi yang mengabadikan hak ini dalam undang-undang. Sebagian besar peraturan ini disertai dengan hukuman yang berat bagi yang tidak patuh.
Peraturan Perlindungan Data Umum (GDPR) Uni Eropa dianggap sebagai salah satu undang-undang privasi data paling komprehensif di dunia. Peraturan ini menetapkan aturan ketat yang harus dipatuhi oleh perusahaan mana pun, baik yang berbasis di dalam atau di luar Eropa, saat memproses data penduduk UE. Pelanggar dapat didenda hingga EUR 20 juta atau 4% dari pendapatan global perusahaan.
Negara-negara di luar Uni Eropa memiliki persyaratan peraturan yang serupa, termasuk GDPR Inggris, Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik (PIPEDA) Kanada, dan Undang-Undang Perlindungan Data Pribadi Digital India.
AS tidak memiliki undang-undang perlindungan data negara seluas GDPR, tetapi memiliki beberapa undang-undang yang lebih ditargetkan. Undang-Undang Perlindungan Privasi Online Anak (COPPA) COPPA menetapkan aturan untuk mengumpulkan dan memproses data pribadi anak di bawah usia 13 tahun. Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) mencakup cara organisasi perawatan kesehatan dan entitas terkait menangani informasi kesehatan pribadi.
Hukuman berdasarkan undang-undang ini bisa sangat besar. Pada tahun 2022, misalnya, Epic Games didenda dengan jumlah rekor sebesar 275 juta dolar AS karena pelanggaran COPPA.5
AS juga memiliki peraturan privasi tingkat negara bagian seperti California Consumer Privacy Act (CCPA), yang memberikan konsumen di California kontrol lebih besar atas bagaimana dan kapan data mereka diproses. Meskipun CCPA mungkin merupakan undang-undang privasi negara bagian yang paling terkenal, undang-undang ini telah mengilhami undang-undang lainnya, seperti Undang-Undang Perlindungan Data Konsumen Virginia (VCDPA) dan Undang-Undang Privasi Colorado (CPA).
Organisasi saat ini mengumpulkan banyak informasi identifikasi pribadi (PII), seperti nomor jaminan sosial pengguna dan detail perbankan. Data ini merupakan target bagi para peretas, yang dapat menggunakannya untuk melakukan pencurian identitas, mencuri uang, atau menjualnya di dark web.
Selain itu, perusahaan memiliki data sensitif milik mereka sendiri yang mungkin diincar oleh peretas, seperti kekayaan intelektual atau data keuangan.
Menurut laporan Cost of a Data Breach 2023 IBM, rata-rata pelanggaran merugikan perusahaan sebesar USD 4,45 juta. Banyak faktor yang berkontribusi pada label harga ini, termasuk kehilangan bisnis karena waktu henti sistem dan biaya untuk mendeteksi dan memulihkan pelanggaran.
Banyak alat yang sama yang mendukung privasi data juga dapat mengurangi ancaman pelanggaran dan memperkuat postur keamanan siber secara keseluruhan. Sebagai contoh, solusi IAM yang mencegah akses yang tidak sah dapat membantu menghentikan peretas sekaligus menegakkan kebijakan privasi. Alat keamanan data sering kali dapat mendeteksi aktivitas mencurigakan yang mungkin menandakan serangan siber yang sedang berlangsung, sehingga memungkinkan tim respons insiden bertindak lebih cepat.
Demikian pula, karyawan dan konsumen dapat mempertahankan diri dari beberapa serangan rekayasa sosial yang paling merusak dengan mengadopsi praktik terbaik privasi data. Scammers sering menjelajahi aplikasi media sosial untuk menemukan data pribadi yang dapat mereka gunakan untuk membuat penyusupan email bisnis (BEC) dan spear phishing yang meyakinkan. Dengan membagikan lebih sedikit informasi dan mengunci akun mereka, pengguna dapat memotong para penipu dari satu sumber amunisi yang ampuh.
Menghormati hak privasi pengguna terkadang dapat memberikan keunggulan kompetitif bagi organisasi.
Konsumen dapat kehilangan kepercayaan pada bisnis yang tidak melindungi data pribadi mereka secara memadai. Sebagai contoh, reputasi Facebook mengalami penurunan yang signifikan setelah skandal Cambridge Analytica.6 Konsumen sering kali kurang bersedia untuk berbagi data berharga mereka dengan bisnis yang telah gagal dalam hal privasi di masa lalu.
Sebaliknya, bisnis dengan reputasi melindungi privasi data mungkin lebih mudah memperoleh dan memanfaatkan data pengguna.
Selain itu, dalam ekonomi global yang saling terhubung, data sering kali mengalir di antara organisasi. Perusahaan dapat mengirimkan data pribadi yang dikumpulkannya ke database cloud untuk disimpan atau ke perusahaan konsultan untuk diproses. Mengadopsi prinsip dan praktik privasi data dapat membantu organisasi melindungi data pengguna dari penyalahgunaan, bahkan ketika data tersebut dibagikan dengan pihak ketiga. Di bawah beberapa peraturan, seperti GDPR, organisasi bertanggung jawab secara hukum untuk memastikan vendor dan penyedia layanan mereka menjaga keamanan data.
Akhirnya, teknologi kecerdasan buatan generatif baru dapat menimbulkan tantangan privasi data yang signifikan. Setiap data sensitif yang dimasukkan ke AI ini dapat menjadi bagian dari data pelatihan alat, dan organisasi mungkin tidak dapat mengontrol bagaimana data itu digunakan. Misalnya, insinyur di Samsung secara tidak sengaja membocorkan kode sumber kepemilikan dengan memasukkan kode ke ChatGPT untuk mengoptimalkannya.7
Selain itu, jika organisasi tidak memiliki izin dari pengguna untuk menjalankan data mereka melalui AI generatif, hal ini dapat dianggap sebagai pelanggaran privasi berdasarkan peraturan tertentu.
Kebijakan dan kontrol privasi data formal dapat membantu organisasi mengadopsi alat bantu AI dan teknologi baru lainnya tanpa melanggar hukum, kehilangan kepercayaan pengguna, atau secara tidak sengaja membocorkan informasi sensitif.
IBM Security Guardium adalah keluarga perangkat lunak keamanan data dalam portofolio IBM Security yang mengungkap kerentanan dan melindungi data on premises dan cloud yang sensitif.
Solusi IBM Security membantu Anda memberikan pengalaman pelanggan yang tepercaya dan mengembangkan bisnis Anda dengan pendekatan holistik dan adaptif terhadap privasi data berdasarkan prinsip-prinsip zero trust dan perlindungan privasi data yang telah terbukti.
IBM Security Verify menghadirkan mesin keputusan terpusat untuk membantu mengotomatiskan aturan penentuan persetujuan di seluruh tujuan penggunaan data.
Keamanan data adalah praktik melindungi informasi digital dari akses yang tidak sah, korupsi, atau pencurian di seluruh siklus hidupnya.
Tata kelola data mendorong ketersediaan, kualitas, dan keamanan data organisasi melalui berbagai kebijakan dan standar.
Pencegahan kehilangan data (DLP) mengacu pada strategi, proses, dan teknologi yang digunakan tim keamanan siber untuk melindungi data sensitif dari pencurian, kehilangan, dan penyalahgunaan.
Catatan kaki
Semua tautan berada di luar ibm.com
1 NIST Privacy Framework, NIST
2 Fair Information Practice Principles, Federal Privacy Council
3 2023 Data Privacy and Data Protection Survey, IDC, Februari 2023
4 Universal Declaration of Human Rights, Persatuan Bangsa-Bangsa
5 Fortnite Video Game Maker Epic Games to Pay More Than Half a Billion Dollars over FTC Allegations of Privacy Violations and Unwanted Charges, Federal Trade Commission, 19 Desember 2022
6 The Cambridge Analytica Files, The Guardian
7 Whoops, Samsung workers accidentally leaked trade secrets via ChatGPT, Mashable, 6 April 2023