Enkripsi dan General Data Protection Regulation (GDPR) paling sering disebut-sebut dan dihubung-hubungkan dalam beberapa tahun belakangan ini. Perdebatan penggunaan enkripsi dalam mematuhi GDPR menjadi fokus bagi banyak praktisi dan perusahaan di dunia. Harus diakui bahwa General Data Protection Regulation merupakan langkah penting yang dibuat oleh Uni Eropa dalam memperkuat hak individu di era digital. Undang-undang ini bertujuan untuk membangun perlindungan informasi pribadi yang umum dan terkini, bekerja untuk memastikan bahwa data dilindungi di semua kegiatan pengolahan sampai titik akhir.
GDPR menjadi undang-undang privasi terbesar selama 20 tahun, dirancang untuk mengharmonisasi undang-undang lain yang menyangkut privasi individu, memberi konsumen kontrol dan hak lebih besar atas data pribadi mereka. Seperti hak untuk meminta perusahaan yang memiliki data mereka untuk menghapus setiap informasi tentang dirinya. Selain itu masih ada aturan lain yang lebih ketat seputar persetujuan, pemberitahuan pelanggaran data, penilaian dampak privasi dan persyaratan untuk privasi berdasarkan disain dan secara default.
Lalu, apakah enkripsi merupakan kebutuhan atau kewajiban? Jika sebuah kebutuhan, jelas tidak ada keharusan bagi perusahaan untuk menerapkan enkripsi dalam melindungi data yang mereka simpan. Tapi, jika itu sebuah kewajiban, maka tidak ada kata tidak atau penolakan dalam penerapannya. Mari kita lihat dalam undang-undang tersebut, dalam GDPR pada pasal 32 kata enkripsi memang ada disebutkan di sana, namun tidak ada kalimat yang mengatakan bahwa enkripsi merupakan solusi keamanan yang wajib diterapkan. Pasal ini tidak mengatakan apa-apa tentang kepatuhan dan enkripsi, apalagi tentang tingkat dan standar enkripsi, di mana menggunakan enkripsi, untuk jenis data pribadi (seperti dalam data at rest, data yang digunakan dan data dalam transit atau seperti data pribadi secara keseluruhan atau data sensitif), untuk jenis pemrosesan data pribadi dan sebagainya.
Tapi jika kita gali lebih dalam, pada pasal 78 dikatakan bahwa “Untuk menjaga keamanan dan mencegah pemrosesan dalam pelanggaran Peraturan ini, pengontrol atau prosesor harus mengevaluasi risiko yang melekat dalam pemrosesan dan menerapkan langkah-langkah untuk mengurangi risiko tersebut, seperti enkripsi. Langkah-langkah tersebut harus memastikan tingkat keamanan yang sesuai, termasuk kerahasiaan, dengan mempertimbangkan keadaan dan biaya pelaksanaan terkait dengan risiko dan sifat dari data pribadi yang akan dilindungi. Dalam menilai risiko keamanan data, pertimbangan harus diberikan kepada risiko yang disajikan oleh pemrosesan data pribadi, seperti penghancuran yang tidak disengaja atau melanggar hukum, kehilangan, perubahan, pengungkapan yang tidak sah, atau akses ke, data pribadi yang dikirimkan, disimpan atau diproses lain yang mungkin khususnya menyebabkan kerusakan fisik, material atau non-materi. ”
Pasal ini mempunyai pemaknaan berbeda mengenai penggunaan enkripsi, pasal 78 jelas mengisyaratkan untuk mengurangi risiko kehilangan data dapat menggunakan enkripsi sebagai jalan untuk melindungi data-data yang disimpan. Tapi apakah pemaparan pasal 78 bertentangan dengan pasal 32? Tentu saja tidak, tidak diwajibkannya penggunaan enkripsi sebenarnya membuka ruang lebih luas bagi pengembangan teknologi di masa depan, di mana mungkin suatu hari nanti ditemukan teknologi lain yang lebih baik daripada enkripsi yang bisa diterapkan oleh banyak perusahaan. Dengan kata lain kedua pasal ini dapat diintepretasikan bahwa saaat ini enkripsi merupakan opsi terbaik dalam mengamankan data, sampai suatu saat ada temuan baru yang mampu mengunggulinya. Fleksibilitas sepertinya menjadi bagian yang sangat ditekankan dalam GDPR demi masa depan keamanan data yang lebih baik.
Jadi apakah enkripsi kebutuhan atau kewajiban?
Mari kita lupakan sejenak tentang GDPR, andai Uni Eropa tidak menerbitkan undang-undang tentang perlindungan data pribadi, apakah enkripsi masih dibutuhkan atau tidak dalam dunia digital? Fakta berbicara, tidak bisa dipungkiri jika serangan siber terus meningkat dari tahun ke tahun, banyak korban berjatuhan baik individu terlebih lagi perusahaan. Perusahaan harus memiliki pertahanan berlapis untuk melindungi seluruh aset mereka terutama data-data berharga yang menyangkut hidup mati perusahaan. Meski demikian, tidak ada keamanan absolut atau mutlak, karena perkembangan teknologi tidak hanya membuat kekuatan keamanan semakin meningkat tetapi juga membuat teknik serangan siber ikut membaik.
Dalam situasi seperti demikian, cepat atau lambat perusahaan akan berada dalam situasi darurat yang mengancam keamanan datanya dan dalam skenario terburuk sampai kehilangan data karena dicuri oleh peretas, tanpa enkripsi, selesai sudah semuanya. Data yang hilang akan terus beredar di dunia digital, diperjualbelikan, atau dimanfaatkan untuk berbagai tujuan jahat yang pastinya akan sangat merugikan. Tapi dengan enkripsi, mungkin cerita tersebut akan memiliki akhir berbeda, sistem keamanan boleh ditembus, data boleh hilang dicuri, namun selama data dalam keadaan terenkripsi dan pencuri tidak memiliki kunci rahasia pembukanya, maka data akan selamat dan tidak dapat dimanfaatkan atau dieksploitasi.
Dengan demikian, jelas bahwa enkripsi merupakan kebutuhan yang tak bisa ditampik, jika kemudian enkripsi menjadi pilihan terbaik dalam penerapan GDPR, dengan sendirinya itu menunjukkan begitu penting peran enkripsi dalam perlindungan data. Dari sini perusahaan-perusahaan dapat melihat pentingnya enkripsi meski memang mereka tidak punya kewajiban untuk menggunakannya, mereka bebas menggunakan teknologi apa pun yang mereka inginkan. Tapi perlu diingat, bahwa tuntutan penggunaan teknologi pengolahan data yang aman adalah hal yang paling ditekankan oleh Uni Eropa dalam General Data Protection Regulation (GDPR) dan enkripsi disebutkan berulang dalam undang-undang ini.
Di sisi lain, GDPR memang sangat mengikat bagi perusahaan yang berdomisili di Eropa tapi bukan berarti perusahaan yang berada di luar wilayah itu bebas dari kewajiban mematuhi General Data Protection Regulation, karena bagi perusahaan-perusahaan yang berada di luar kawasan benua biru namun memiliki mitra bisnis atau cabang di negara-negara Uni Eropa atau menyimpan data warga Eropa mempunyai kewajiban untuk menaati undang-undang ini tanpa terkecuali dan mempertimbangkan semua solusi keamanan yang disebutkan.
Bagaimana dengan di Indonesia, penggunaan enkripsi selayaknya GDPR memang belum disiratkan sebagai sebuah kewajiban, pemerintah mengatur perlindungan data elektronik dalam sebuah payung hukum yang dikeluarkan oleh Kementerian Komunikasi dan Informatika (KOMINFO) dengan menerbitkan Peraturan Menteri No. 20 tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Ini mengimplementasikan salah satu ketentuan Peraturan Pemerintah No. 82 tahun 2012 (PP 82), di bawah payung UU Sistem dan Transaksi Elektronik. Peraturan ini merupakan upaya pemerintah memperkuat perlindungan data milik perusahaan di Indonesia yang mencakup klasifikasi data pribadi, perlindungan data pribadi, hak pemilik data pribadi, dan kewajiban penyelenggara sistem elektronik.
Sejalan dengan kebijakan tersebut, PT Prosperita Mitra – ESET Indonesia merilis ESET Endpoint Encryption by DESlock yang merupakan solusi enkripsi yang telah memenuhi Standarisasi di Amerika dengan mengeluarkan (Federal Information Processing Standard) FIPS 140-2 yang memberikan jaminan bahwa produk yang dirilis ESET merupakan solusi enkripsi dengan perlindungan keamanan terbaik.