Harus diakui bahwa General Data Protection Regulation (GDPR) merupakan langkah penting yang dibuat oleh Uni Eropa dalam memperkuat hak individu di era digital. Undang-undang ini bertujuan untuk membangun perlindungan informasi pribadi yang umum dan terkini, bekerja untuk memastikan bahwa data dilindungi di semua kegiatan pengolahan sampai titik akhir.
GDPR menjadi undang-undang privasi terbesar selama 20 tahun, dirancang untuk mengharmonisasi undang-undang lain yang menyangkut privasi individu, memberi konsumen kontrol dan hak lebih besar atas data pribadi mereka. Seperti hak untuk meminta perusahaan yang memiliki data mereka untuk menghapus setiap informasi tentang dirinya. Selain itu masih ada aturan lain yang lebih ketat seputar persetujuan, pemberitahuan pelanggaran data, penilaian dampak privasi dan persyaratan untuk privasi berdasarkan disain dan secara default.
GDPR membawa implikasi untuk semua usaha dalam berbagai skala di semua negara yang menangani data pribadi warga negara Uni Eropa. Kegagalan untuk mematuhi peraturan baru ini berakibat perusahaan terkena denda. Denda dihitung berdasarkan sejumlah faktor tetapi dapat berkisar hingga lebih dari 20 juta euro (US$24,8 juta) atau empat persen dari omset tahunan global. Tergantung mana yang lebih besar. Jumlah tersebut tentu cukup berat bagi usaha kecil dan menengah.
GDPR telah diimplementasikan sejak 25 Mei 2018, tentunya ini mengubah cara bisnis beroperasi, mengubah cara dan waktu mereka berinteraksi dengan data penduduk Uni Eropa. Berikut anjuran ESET bagi perusahaan di Indonesia untuk memastikan mereka siap menghadapi GDPR:
-
Tinjau bagaimana perusahaan menangani data
Pemahaman menyeluruh tentang bagaimana perusahaan Anda menangani data sangat penting. Berdasarkan peraturan saat ini, hanya pengendali data yang bertanggung jawab atas kepatuhan, namun kewajiban GDPR akan jatuh pada pengolah/penangan data juga. Oleh karena itu penting untuk menentukan apakah perusahaan Anda adalah pengolah data atau pengendali data, mengingat hal itu bisa menjadi keduanya. Pastikan Anda menyertakan wawasan tentang data apa yang dikumpulkan, bagaimana pengumpulannya, dan tujuan untuk mengumpulkan data. Kemudian bagaimana data diproses, disimpan, ditransfer, dan dibagikan di dalam/di luar fasilitas Anda. Pastikan informasi yang diperlukan tidak hilang dalam proses atau teknologi yang diimplementasikan dengan buruk.
-
Belajar dari masa lalu
Untuk memeriksa kemampuan perusahaan dalam hal bereaksi terhadap serangan siber di masa depan, periksa apa yang telah terjadi selama pelanggaran terakhir dan pertanyaan apakah langkah-langkah yang diambil mampu memenuhi persyaratan baru yang ditetapkan oleh GDPR. Di bawah peraturan baru, pelanggaran harus dilaporkan dalam waktu 72 jam, bersamaan dengan informasi tentang tingkat keparahan serangan tersebut. Jika perusahaan Anda tidak dapat melakukannya, kekurangan itu bisa mengakibatkan denda yang lumayan.
-
Tunjuk petugas perlindungan data
Perusahaan harus berinvestasi dalam mendidik dan melatih staf yang dibertugas untuk perlindungan data tentang persyaratan siklus hidup data yang direvisi, memperbarui prosedur untuk mengumpulkan, menggunakan, menyimpan, dan menghancurkan informasi pribadi. Selain itu, keamanan data dan tim privasi perlu dipersiapkan jika ada informasi yang diaudit atau diminta oleh penduduk Uni Eropa. Staf perlindungan data bertindak secara independen dan melaporkan tugas mereka ke manajemen tertinggi.
-
Kemampuan dalam menangani pelanggaran data.
Tentukan apakah organisasi Anda mampu mendeteksi dan melaporkan pelanggaran data dalam waktu 72 jam yang dibutuhkan. Deteksi pelacak sangat sulit, bahkan untuk perusahaan terbesar. Bahkan, sebagian besar pelanggaran data terdeteksi oleh pihak ketiga – biasanya oleh pelanggan atau penegak hukum. Jika tidak bisa, Anda harus memperbarui kemampuan keamanan siber Anda untuk membantu melindungi organisasi Anda dari pelanggaran di seluruh ruang serangan.
-
Komitmen untuk program keamanan siber
Anda harus berkomitmen pada organisasi Anda untuk program keamanan siber berdasar risiko ketat dengan terus menilai siklus hidup data GDPR Anda yang relevan dan postur keamanan organisasi secara keseluruhan.
Di Indonesia, pemerintah melalui Kementerian Komunikasi dan Informatika juga telah mengeluarkan regulasi mengenai Sistem Manajemen Pengamanan Informasi yang tertuang dalam Peraturan Menteri Komunikasi dan Informatika No. 4 tahun 2016. Regulasi tersebut sebagai amanat dari pasal 20 ayat (4) Peraturan Pemerintah Republik Indonesia No. 82 Tahun 2012 yaitu mencakup penyelenggara sistem elektronik untuk pelayanan publik berdasarkan asas risiko.
Terkait dengan pelaksanaan GDPR, meskipun kepatuhan tidak selalu berarti aman, mengingat denda berat yang terkait dengan GDPR, sebaiknya secara konsisten periksa kelemahan dalam organisasi Anda untuk memastikan pondasi yang kuat dalam merespon permintaan informasi, keluhan atau skenario terbutuk, jika ada data sensitif warga Uni Eropa yang dilanggar.
Sumber :
eset.com