Pengendali data pribadi di Indonesia saat ini tengah melakukan persiapan untuk memenuhi ketentuan UU No. 27/2022 tentang Perlindungan Data Pribadi (UU PDP) yang akan mulai berlaku pada 17 Oktober 2024. Namun, kekhawatiran mulai muncul karena hingga saat ini, sejumlah kebijakan turunan dari undang-undang tersebut belum rampung disusun. Hal ini menjadi tantangan serius dalam pelaksanaan perlindungan data pribadi, mengingat tingginya angka serangan siber yang terjadi di Indonesia. Menurut data Badan Siber dan Sandi Negara (BSSN), tercatat 279,84 juta serangan siber sepanjang tahun 2023, dengan beberapa serangan terjadi di instansi pemerintah vital seperti Pusat Data Nasional (PDN).
PDN memainkan peran krusial dalam pengelolaan data nasional. Sebagai konsolidator data dan akselerator pelayanan publik, keberadaan PDN berhubungan langsung dengan jaminan kedaulatan data dan perlindungan hak privasi warga negara. Namun, insiden peretasan pada PDN memberikan sinyal bahwa keamanan data di sektor publik masih menjadi pekerjaan rumah yang harus segera ditangani. Kejadian tersebut berpotensi menurunkan kepercayaan publik terhadap upaya pemerintah dalam menjaga privasi data pribadi, sehingga mempercepat penyusunan peraturan presiden (perpres) dan peraturan pemerintah (PP) menjadi sangat penting.
UU PDP mengharuskan pengendali data pribadi untuk memitigasi risiko yang berkaitan dengan pelanggaran data. Berdasarkan Pasal 34 Ayat (1) dan (2), pengendali data wajib menyusun strategi untuk mengurangi kemungkinan terjadinya pelanggaran yang dapat mengakibatkan kebocoran informasi pribadi. Pasal 46 menegaskan bahwa adanya kegagalan dalam perlindungan data pribadi, seperti kerahasiaan dan integritas, harus segera diberitahukan kepada publik jika berpotensi mengganggu pelayanan atau berdampak serius pada masyarakat.
Pentingnya perlindungan data pribadi dimulai dari berbagai lapisan sistem keamanan yang dapat diterapkan, mulai dari perangkat keras dan perangkat lunak hingga kebijakan internal perusahaan. Selain langkah-langkah pencegahan, penting juga bagi pengendali data pribadi untuk mempertimbangkan alternatif keamanan melalui program asuransi. Hal ini bertujuan untuk meminimalisir kerugian yang mungkin terjadi akibat insiden keamanan data. Menurut Granadillo & Menesidou (2021), program asuransi dapat mengalihkan risiko-risiko yang berkaitan dengan data kepada perusahaan asuransi.
Ada tiga risiko utama yang dapat dialihkan kepada perusahaan asuransi. Pertama adalah risiko kerugian finansial. Kegagalan dalam melindungi data pribadi dapat mengakibatkan biaya yang signifikan untuk pemulihan data yang hilang serta tanggung jawab hukum kepada pihak ketiga. Biaya pemulihan data bisa sangat besar, mengingat banyaknya sumber daya yang dibutuhkan, termasuk peralatan dan tenaga ahli.
Kedua, risiko reputasi. Pelanggaran data dapat merusak citra perusahaan serta menurunkan kepercayaan publik. Kerugian ini tidak hanya terjadi pada saat insiden, tetapi dapat berlanjut dalam jangka panjang, termasuk hilangnya mitra bisnis dan penurunan nilai saham. Perusahaan asuransi dapat memberikan ganti rugi untuk membantu perusahaan mengatasi dampak negatif tersebut.
Ketiga, adalah risiko sanksi. Kegagalan dalam memenuhi ketentuan UU PDP akan berakibat pada sanksi administratif yang bisa mencapai 2% dari total pendapatan tahunan pengendali data pribadi. Mengacu pada contoh di Eropa, perusahaan-perusahaan besar seperti Meta, Amazon, dan TikTok telah dikenai denda yang sangat besar akibat pelanggaran regulasi yang serupa.
Melalui pengalihan risiko ini kepada asuransi siber, pengendali data pribadi dapat memfokuskan kembali perhatian mereka pada pemulihan dan pencegahan serangan di masa depan. Di Indonesia, meskipun pasar asuransi siber masih terbilang baru, beberapa perusahaan telah mulai menawarkan produk ini untuk menjaga keamanan data bisnis. Tarif untuk asuransi siber berkisar antara 1% hingga 7%, tergantung pada ruang lingkup perlindungan yang dibeli, dengan limit pertanggungan maksimum yang saat ini tersedia mencapai US$625.000.
Di kalangan pasar global, kemampuan ini sudah berkembang jauh lebih luas. Laporan Guy Carpenter Cyber Report 2023 mencatat bahwa premi asuransi siber mencapai US$14 miliar pada tahun ini dan diprediksi akan tumbuh menjadi US$33,3 miliar pada tahun 2027. Hal ini menunjukkan potensi besar bagi pengendali data pribadi di Indonesia untuk mengembangkan proteksi asuransi demi keamanan data.
Dalam kondisi seperti ini, pengendali data pribadi tidak hanya memiliki tanggung jawab untuk melindungi aset mereka sendiri, tetapi juga untuk menunjukkan komitmen nyata terhadap perlindungan data pribadi dan keamanan pelanggan. Oleh karena itu, pengelolaan risiko yang efektif dan kepatuhan terhadap UU PDP bukan sekadar kewajiban, tetapi juga investasi untuk masa depan yang lebih aman.
Kepatuhan terhadap UU PDP yang belum sepenuhnya diterapkan mengungkapkan betapa pentingnya pengembangan berbagai aspek perlindungan data pribadi. Para pemangku kepentingan, termasuk pemerintah dan sektor swasta, diharapkan segera berkolaborasi untuk merampungkan regulasi yang diperlukan. Hal ini tidak hanya untuk memastikan keandalan data pribadi masyarakat, tetapi juga untuk menjaga kepercayaan publik yang semakin hari semakin krusial di era digital ini.
