‘Semua orang harusnya sadar tentang berkurangnya privasinya dan meluasnya kolonialisme data’ (Harari, 2024, p. 247).

Dalam halaman yang sama, Yuvah Noah Harari dalam buku terbarunya berjudul ‘Nexus’ mengingatkan kembali bahwa ancaman semakin besar. Teknologi bergerak lebih cepat dari hukum dan kebijakan.

Tak heran RPP yang dinanti-nanti tak kunjung terbit. Pun demikian setelah PP ini muncul, pedoman-pedoman teknis pun pasti ditunggu. Sementara itu, lembaga otoritas PDP kemungkinan besar tidak bisa bekerja maksimal pada tahun-tahun awal. Mereka akan berjibaku di soal administrasi, birokrasi, dan keuangan yang tidak sederhana.

Sementara itu, dengan segala kreativitasnya, organisasi banyak melakukan ‘ijtihad’ terhadap UU PDP. Sadar bahwa teknologi dan kehidupan sosial bergerak lebih cepat. Organisasi menyusun strategi implementasi mengacu pada UU 27. Kabar gembiranya, di antara mereka sudah mengimplementasikan program tingkat kematangan PDP.

Ruang Lingkup Program Kematangan

Yaqiong & Feng (2020) menulis tentang analisis tingkat kematangan PDP. Ia berpendapat bahwa analisis tingkat kematangan PDP melingkupi kajian terhadap evaluasi penerapan kebijakan PDP nasional secara komprehensif. Terdapat satu kata sebagai kunci dalam pemikiran Yaqiong & Feng, yaitu ‘evaluasi.’

Evaluasi ini hanya bisa dikerjakan terhadap sebuah implementasi program PDP yang sudah berjalan. Jika sebuah organisasi baru saja menerapkan implementasi PDP, maka ia sulit menerapkan analisis tingkat kematangan PDP. Ia hanya bisa mengerjakan program kematangan ini setelah program implementasi PDP-nya berhasil diselesaikan.

Marit Hansen, Jaap-Henk Hoepman dan Meiko Jensen (2016) menulis artikel jurnal yang berjudul ‘Towards Measuring Maturity of Privacy-Enhancing Technologies.’ Dalam tulisan ini, tingkat kematangan yang diukur tidak hanya berkenaan dengan administrasi dan program PDP, melainkan juga penerapan atau pengembangan teknologi yang berbasis pada PDP, atau lebih dikenal dengan ‘Privacy-Enhancing Technologies.’.

Menurut Hansen dkk, tingkat kematangan teknologi PDP ini meliputi asesmen terhadap protokol, algoritma, perangkat lunak, perangkat keras, digital products, IT-based services, dll.

Lebih lanjut, ruang lingkup pekerjaan menaikkan tingkat kematangan PDP dapat ditujukan pada pemutakhiran kebijakan, prosedur, pedoman, dan petunjuk teknis implementasi PDP di sebuah organisasi.

Kebijakan, prosedur, pedoman, dan petunjuk teknis adalah komponen yang sangat penting dimutakhirkan. Selanjutnya, program tingkat kematangan ini dapat berupa program pemutakhiran terhadap pengelolaan perekaman aktivitas pemrosesan data pribadi, analisis dampak PDP, struktur organisasi PDP, manajemen persetujuan, prosedur transfer data, manajemen insiden kegagalan PDP, manajemen risiko pihak ketiga, prosedur pemenuhan hak data subjek, pemberitahuan PDP, pemutakhiran kebijakan retensi, dan seterusnya.

Program menaikkan tingkat kematangan PDP juga akan membutuhkan kerja ekstra dalam hal peninjauan klausul-klausul perjanjian pemrosesan data pribadi. Peninjauan terhadap bentuk, jenis, dan redaksi klausul-klausul perjanjian pemrosesan data pribadi, baik organisasi sebagai pengendali, prosesor maupun pengendali bersama.

Aspek legal implementasi PDP memang menjadi sangat krusial. Tapi membebankan implementasi PDP kepada corporate counsel tanpa memperhatikan ketersediaan waktu dan sumber daya manusia akan berakibat fatal. Load kerja PDP itu sangat tinggi, kalau tidak ingin disebut ‘ekstrim.’

Di antara teman-teman DPO organisasi-organisasi besar, jarang sekali yang terlihat santai. Semuanya mengeluh. Curhat. Beban kerja yang terlampau tinggi. Namun mereka harus berjuang demi organisasi dan keluarganya.

Beberapa Kerangka Kerja

Kajian tentang tingkat kematangan PDP ini tersebar di beberapa sumber. CNIL lembaga otoritas PDP Prancis merilis asesmen mandiri tingkat kematangan PDP. Mereka memberi tajuk ‘Une Autoevaluation de maturite en gestion de la protection des donnees (2021),’

Dalam pokok bahasan CNIL, tingkat kematangan PDP dimulai dari seberapa jauh organisasi menerapkan kebijakan dan prosedur implementasi PDP; bagaimana perumusan dan pelaksanaan kebijakan dan prosedur PDP ini di setiap manajemen. Selain itu, PDP yang dilaksanakan oleh departemen hukum, manajemen risiko, sistem informasi, dan proses internal kontrol yang solid.

CNIL juga melihat tingkat kematangan PDP melalui seberapa efektif pelatihan dan sosialisasi (awareness) PDP di sebuah organisasi. Seberapa jauh tata kelola organisasi dan proses internal maupun eksternal yang berkaitan dengan PDP.

Kajian terhadap status tingkat kematangan menjadi penting bagi organisasi yang sudah mengimplementasikan PDP. Di antaranya mengevaluasi peta jalan, kerangka kerja dan program-program yang sudah dijalankan (Hansen, et al, 2016).

Selain CNIL, satu negara yang sudah menyediakan versi kedua atas studi tingkat kematangan adalah Selandia Baru. Sebagai negara yang sudah mendapatkan status kesetaraan dengan GDPR (adequacy level protection), Selandia Baru menjadi salah satu contoh menarik.

‘The New Zealand Government’s Privacy Maturity Framework (Version 2.0)’ menyebutkan lima tingkatan dalam Privacy Maturity Level Compliance. Pertama adalah ad hoc, belum terdapat struktur jelas dan baku, sifatnya masih sporadis. Kedua, developing, tahap mulai mengerjakan program-program PDP.

Ketiga, defined. Organisasi sudah menetapkan struktur, dukungan keuangan, program, dan kebijakan prosedur untuk PDP. Keempat, embedded, di mana privasi sudah menyatu dengan seluruh aktivitas organisasi. Terakhir optimised, di mana organisasi menopang inisiatif strategis yang menginspirasi ekosistem.

MITRE dan AICPA CICA juga mempunyai kerangka kerja tingkat kematangan PDP yang kurang lebih hampir sama. Meskipun jika dibahas detailnya, terdapat beberapa perbedaan yang signifikan. Namun, untuk mempermudah pemahaman, beberapa titik kesamaan bisa diraih.

Pada tingkat pertama, rata-rata organisasi akan bersifat ad hoc. Ia menyusun kepanitiaan. Pekerjaan PDP adalah pekerjaan sampingan, bahkan mungkin masih dalam skema kebutuhan tersier. Bagi mereka, program PDP tidak berjalan pun, tidak ada pengaruh signifikan. Dukungan dari manajemen pun seadanya.

Pada tahap menengah, mereka sudah menetapkan struktur dan program yang memadai. Dukungan dari manajemen pun mengalir. Sebab manajemen pun sadar, jika implementasi PDP tidak dijalankan, risiko besar akan menimpa mereka dan perusahaan.

Tahap yang paripurna adalah optimised, yang sudah memimpin ekosistem, bermitra strategis dengan otoritas dan berjejaring internasional. Ia menjadi teladan dan kepemimpinannya begitu berdampak sosial.

Bagi organisasi yang sudah mengimplementasikan program PDP, akan sangat bermakna sekali apabila program tingkat kematangan ini terus diyakini. Sebagai sebuah ikhtiar menjaga kepercayaan subjek data dan memupuk legitimasi sosial.

Penulis:

Assoc. Professor. Awaludin Marwan, S.H., M.H., M.A., Ph.D.

Founder-CEO PRIVASIMU • Dosen Fakultas Hukum Universitas Bhayangkara Jakarta Raya

Referensi:

Yaqiong, C., Zijie, Y., Feng, L., & Jiayin, Q. (2020). Data Privacy Maturity Assessment Practice of Digital Transformation Enterprises under the COVID-19. Proceedings of the 2020 International Conference on Big Data in Management

Hansen, M., Hoepman, J.-H., & Jensen, M. (2016). Towards Measuring Maturity of Privacy-Enhancing Technologies. Lecture Notes in Computer Science

CNIL. (2021) Une Autoevaluation de maturite en gestion de la protection des donnees,