Penulis: Aldi A. Alijoyo, S. Psi., MBA, QRMP
CEO of Cyber Whale
28 September 2019

 

Manajemen kepatuhan terkait regulasi data yang mengacu pada ‘General Data Protection Regulations’ (GDPR) berlaku untuk semua organisasi di ASEAN per 25 Mei 2018. Artinya, semua perusahaan di ASEAN harus menerapkan kepatuhan GDPR per 25 Mei 2018 tersebut bila mereka berinteraksi langsung maupun tidak langsung dengan penduduk dan/atau organisasi di Uni Eropa.

Seiring dengan hal di atas, banyak perusahaan penyedia jasa informasi teknologi giat memberikan publikasi tentang pentingnya proses identifikasi, pengelolaan dan proteksi data personal melalui metode, aplikasi dan teknologi yang beragam.

Organisasi dari sektor lain pun membantu meningkatkan kesadaran GDPR di masyarakat luas, termasuk di Indonesia. Namun, dengan adanya kampanye yang tersentralisasi pada penggunaan pendekatan teknologi informasi, terbentuklah sebuah opini atau anggapan yang salah bahwa kepatuhan (compliance) GDPR merupakan isu TI dan cyber security belaka, dan bukan merupakan isu bisnis.

Salah satu penyebab suburnya opini di atas adalah penyederhanaan pesan para penyedia jasa TI yang sering memberikan ilusi seakan-akan GDPR adalah isu teknis. Hal ini dapat terjadi karena mereka menyesuaikan pesan kepatuhan GDPR yang seharusnya selengkap mungkin – tetapi telah disesuaikan dengan usaha mereka dalam menjual instrumen dan jasa penerapan teknologi informasi yang dimiliki.

 

GDPR Adalah Isu Bisnis – Bukan Isu Teknologi Informasi (TI)

Pada praktiknya, isu perlindungan dan sekuritas data bukan hanya perihal teknologi saja. Ketika sebuah organisasi terkena serangan cyber yang secara khusus berdampak pada kebocoran data (data leakage), organisasi itulah secara keseluruhan yang bertanggungjawab atas data personal para pelanggan atau pengguna jasa yang tercemar; bukan hanya departemen hukum atau TI. Dalam beberapa kasus, Direktur Utama yang bertugas pada saat pembobolan data terjadi harus mengundurkan diri sebagai salah satu bentuk pertanggung-jawaban organisasi.

Ke depannya, dapat saja terjadi tuntutan hukum terhadap direksi suatu perusahaan bila mereka dianggap mengabaikan proses perlindungan data personal para pelanggan.

Mengingat bahwa regulasi yang terkait dengan hal proteksi data umum akan bertambah kompleks yang dapat berdampak pada beragam jabatan dan fungsi dalam organisasi, diperlukan pemahaman yang komprehensif dan mendalam mengenai proteksi data personal dalam organisasi. Untuk itu, bukan hanya fungsi TI yang perlu dilengkapi dengan pengetahuan dan/atau kompetensi GDPR tetapi semua unsur/fungsi, termasuk audit, human capital, keuangan, dan operasional.

 

Pendekatan GRC Untuk Isu GDPR

Untuk mengelola kepatuhan GDPR, organisasi perlu memastikan bahwa semua fungsi dan peran yang terkait dengan tata kelola (governance), risiko (risk management), dan kepatuhan (compliance) telah terintegrasi di seluruh proses bisnis dalam organisasi.

Melalui integrasi tersebut, prinsip-prinsip pengelolaan dan proteksi data pun akan tepat sasaran dan mempunyai efek konstruktif terhadap sistem yang sudah ada. Alhasil, kepatuhan yang diterapkan akan terwujud – minimum setara dengan standar GDPR atau regulasi proteksi data lainnya yang ditetapkan oleh otoritas.

Oleh karena itu, sangat disarankan bagi setiap organisasi untuk mempertimbangkan penerapan GDPR mereka melalui pendekatan GRC (tatakelola, manajemen risiko serta kepatuhan) yang terstandarisasi misal melalui penerapan ISO 37000: Governansi, ISO 31000: Manajemen Risiko, dan ISO 19600: Kepatuhan.

Organisasi juga disarankan untuk menerapkan ISO 27001: Keamanan TI untuk memastikan bahwa aspek teknologi – sebagai pendukung proses bisnis organisasi telah diintegrasikan dengan standar GRC di atas dan efektif di setiap lini proses bisnis mereka.