Di era transformasi digital saat ini, keamanan data menjadi isu penting di dunia. Tentu Anda masih ingat dengan kasus bocornya 87 juta data pengguna Facebook tahun 2017 lalu. Saat itu, data pengguna Facebook di AS digunakan secara sepihak oleh salah satu perusahaan konsultan politik di Inggris, untuk kepentingan kampanye pilpres.1
Untuk mencegah terjadinya kebocoran data yang dapat mempengaruhi operasional bisnis perusahaan, dan bahkan kondisi sektor industri serta pemerintahan;2 pemerintah Republik Indonesia menerapkan Peraturan Pemerintah (PP) No. 82 tahun 2012, yang mengatur tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE).
Di dalam pasal 17 ayat 2 PSTE, disebutkan bahwa penyelenggara sistem elektronik untuk pelayanan publik diwajibkan untuk menempatkan pusat data (data center) dan pusat pemulihan bencana di wilayah Indonesia dengan tujuan untuk menjamin penegakan hukum, perlindungan, dan penegakan kedaulatan negara terhadap data warga negaranya.3
Ini artinya perusahaan yang menyelenggarakan sistem elektronik untuk pelayanan publik yang menjalankan bisnisnya di Indonesia dan memiliki data center di luar negeri, harus segera memindahkan pusat datanya ke dalam wilayah Indonesia. Bila hal ini tidak dipenuhi, perusahaan bisa mendapatkan sanksi dari pemerintah.
Apa Dampak PP No. 82 (dan Revisinya) Terhadap Bisnis Perusahaan di Indonesia?
Pada dasarnya, aturan lokalisasi penyimpanan data (data sovereignty) bertujuan untuk menciptakan transparansi penggunaan data (contohnya data pelanggan) dan melindungi data tersebut dari pencurian atau manipulasi oleh pihak ketiga di luar batas wilayah Indonesia, yang dapat berdampak pada reputasi buruk perusahaan hingga kerugian finansial.
Mengingat begitu pentingnya keamanan data, berbagai negara sudah menerapkan kebijakan lokalisasi penyimpanan data. Salah satu kebijakan yang ramai dibahas para pelaku bisnis di tahun lalu adalah GDPR (General Data Protection Regulation), yang dirancang oleh pemerintah Uni Eropa (yang diterapkan di 28 negara di Eropa). Dalam peraturan tersebut, setiap perusahaan (terutama yang berdomisili di luar batas wilayah Uni Eropa) wajib memberikan informasi kepada warga negaranya mengenai penggunaan data personal mereka, dan mengirimkan pemberitahuan dalam 72 jam jika terjadi krisis penyerangan siber.4
Lalu apa pengaruh kebijakan GDPR ini terhadap keberlangsungan bisnis global? Mari kita simak studi kasus yang dilakukan oleh Evidon, perusahaan riset pasar berbasis di New York, Amerika Serikat. Menurut hasil riset mereka, perusahaan yang sudah mematuhi aturan GDPR dapat memperbaiki layanan pelanggannya. Ini dilihat dari peningkatan loyalitas customer sebesar 34%, citra baik perusahaan sebesar 33%, dan interaksi konsumen sebesar 30%.5
Dari studi kasus di atas, bisa dilihat bahwa penerapan kebijakan mengenai data sovereignty dapat mendukung perkembangan bisnis di suatu negara. Di Indonesia sendiri, penerapan PP No. 82 mendapatkan pro dan kontra dari pelaku bisnis. Ada pula tanggapan dari pelaku bisnis mengenai dampak penerapannya terhadap menurunnya investasi di Indonesia.
Berdasarkan riset yang dilakukan oleh TRPC Research Firm (perusahaan konsultan industri teknologi informasi dan teknologi di Asia-Pasifik), persyaratan lokalisasi data secara menyeluruh mengurangi GDP Indonesia sebesar 0,5-0,7%, membatasi masuknya investasi ke Indonesia sebesar 2,3%, dan meningkatkan biaya kebutuhan komputer sekitar 30-60%.6
Kekhawatiran para pebisnis ini ditanggapi secara cepat oleh pemerintah melalui Kementerian Komunikasi dan Informatika (Kemkominfo) RI dengan merevisi PP No. 82. Selaku Corporate Secretary & VP Legal telkomtelstra, saya berkesempatan untuk turut serta dalam forum diskusi Revisi Peraturan Pemerintah (RPP) No. 82 tahun 2012 tentang Penyelenggaraan Sistem Transaksi Elektronik (PSTE), salah satunya bersama Menkominfo di Yogyakarta yang bertujuan untuk berdiskusi mengenai rekomendasi langkah-langkah yang sebaiknya dilakukan oleh pemerintah dalam mengatasi dampak kewajiban penyimpanan lokalisasi data secara menyeluruh terhadap operasional bisnis perusahaan di Indonesia, dengan sebelumnya mendengar masukan dari berbagai instansi pengawas dan pengatur sektor mengenai pengaturan klasifikasi data dari masing-masing sektor yang ada di Indonesia.
Revisi PP No. 82 Tahun 2012 (“RPP No. 82/2012”) Tentang Klasifikasi Data Elektronik
Dalam forum diskusi tersebut, Direktur Jenderal Aplikasi dan Informatika (Dirjen Aptika) Kemkominfo, Semuel Abrijani Pangerapan, menyampaikan bahwa salah satu langkah yang diambil pemerintah dalam menanggapi perdebatan mengenai kewajiban penempatan DC dan DRC di Indonesia adalah dengan mengubah peraturan tentang penempatan pusat data di wilayah Indonesia. Dalam RPP No. 82/2012 pemerintah merancang ketentuan baru dimana penyimpanan lokalisasi data diatur berdasarkan klasifikasi data elektronik yang terbagi ke dalam tiga kelompok: data elektronik strategis, data elektronik berisiko tinggi, dan data elektronik berisiko rendah. Data yang wajib dikelola, ditempatkan, dan disimpan di wilayah Indonesia hanya data yang termasuk dalam kategori data elektronik strategis.
Pertanyaan berikutnya adalah: apa saja yang termasuk ke dalam data elektronik strategis? Semua data yang berkaitan dengan administrasi pemerintahan, serta pertahanan dan keamanan negara masuk dalam kategori data elektronik yang strategis. Berbagai contoh data yang masuk dalam kategori ini adalah Nomor Induk Kependudukan (NIK), data badan intel, keuangan, energi dan sumber daya mineral, serta ketahanan pangan. Sementara, untuk data elektronik tinggi (contohnya data sensitif pengguna) dan data elektronik rendah; pengelolaan, pemrosesan, dan penyimpanannya dapat dilakukan di luar wilayah Indonesia. Namun demikian, dalam penerapannya, untuk data elektronik klasifikasi tinggi dan rendah tetap wajib memenuhi ketentuan perlindungan data elektronik, perlindungan data pribadi, dan penegakan kedaulatan negara.
Terkait dengan rencana pemerintah untuk merevisi PP 82, dari sisi kacamata hukum, saya berpendapat bahwa terlepas dari tingkat klasifikasi data yang diusulkan dalam revisi PP dimaksud, kedaulatan data merupakan hal yang senantiasa wajib dijunjung tinggi untuk memastikan adanya kepastian dalam aksesibilitas terhadap data pada saat penegakan hukum berlangsung, sehingga dengan demikian penempatan data harus senantiasa menjadi perhatian utama bagi para pelaku bisnis.
Penggunaan Data Center Lokal
Teknologi cloud merupakan fondasi dari percepatan transformasi digital saat ini dan masa yang akan datang dan telah menjadi tulang punggung bagi banyak perusahaan, khususnya dalam memberikan kontribusi yang signifikan dalam perbaikan proses bisnisnya, demi mengejar efisiensi dan perubahan tren dalam dunia bisnis.
Selain memberikan peluang bagi perusahaan untuk mengembangkan bisnis secara leluasa dengan investasi yang terukur, solusi hybrid cloud terdepan dengan data center lokal yang terletak di Indonesia menjadi suatu pilihan untuk memenuhi kepatuhan akan kedaulatan data di Indonesia. Solusi ini menjadi jawaban yang memungkinkan organisasi atau bisnis di Indonesia untuk menyimpan Data Elektronik Strategis yang sensitif secara on-premise di wilayah Indonesia tanpa harus takut kehilangan kemampuan yang fleksibel untuk melakukan pengembangan bisnis. Namun pertanyaan besar berikutnya yang muncul adalah apakah providerlokal dapat menjawab kebutuhan ini dengan penggunaan teknologi cloud terdepan dan sesuai dengan standar global.
Telkomtelstra sebagai perusahaan lokal dengan standar kualitas global, atau biasa dikenal dengan “glocal”, menyediakan solusi Azure Stack powered by Microsoft yang dapat membantu perusahaan memenuhi standar kepatuhan akan kedaulatan data tanpa mengesampingkan optimalisasi bisnis. Perusahaan dapat membangun pusat data yang terkonsolidasi, fleksibel, dan memiliki kemampuan untuk menyimpan data yang dapat diakses di mana saja dan kapan saja. Selebihnya, telkomtelstra juga telah mendapatkan akreditasi dari Kementrian Komunikasi dan Informasi (Kominfo), sebagai penyedia layanan yang terpercaya untuk kebutuhan cloud yang memenuhi kepatuhan terhadap PP 82/2001.
Telkomtelstra juga membantu memastikan perlindungan data perusahaan Anda tetap terjaga di dalam data center lokal yang telah dilengkapi dengan sertifikasi ISO 27001 yang merupakan suatu standar Internasional dalam menerapkan sistem manajemen keamanan informasi atau lebih dikenal dengan Information Security. Pemantauan secara berkala dan respon tanggap terhadap insiden ancaman siber dengan kualifikasi standar internasional meminimalisasi terjadinya kebocoran data privasi.
Kami senantiasa siap membantu perusahaan Anda dalam memenuhi kepatuhan atas peraturan pemerintah Indonesia terkait keamanan data, sekaligus mendukung operasional bisnis perusahaan Anda agar berjalan dengan lancar.
(ditulis oleh Irma Yunita, Corporate Secretary & VP Legal, telkomtelstra)
—–
1Sumber: https://www.scmp.com/week-asia/economics/article/2164191/why-facebook-bet-us1-billion-singapore-data-centre
2Sumber: http://teknologi.metrotvnews.com/news-teknologi/1bVG261k-pemerintah-ubah-pp-82-apa-dampaknya-ke-industri-cloud
3Sumber: https://jdih.kominfo.go.id/produk_hukum/view/id/6/t/peraturan+pemerintah+republik+indonesia+nomor+82+tahun+2012
4Telkomtelstra, Frost & Sullivan, Data Sovereignty presentation, slide 14.
5https://globenewswire.com/news-release/2017/12/11/1268647/0/en/Independent-Study-Commissioned-by-Evidon-Reveals-that-GDPR-Budgets-Will-Increase-in-2018-As-Organizations-Look-to-Balance-Compliance-and-Customer-Experience.html
6Presentasi Kementerian Komunikasi dan Informatika RI, slide 2.