Peraturan Perlindungan Data Umum (GDPR) diperkenalkan pada 25 Mei 2018. Tujuannya adalah untuk meningkatkan hak data individu dan menegakkan beberapa kewajiban pada lembaga yang mengelola dan memproses data. Kepatuhan GDPR memiliki cakupan luas yang kemungkinan akan memengaruhi banyak bisnis di seluruh dunia.
Cakupan GDPR mencakup semua organisasi Uni Eropa (UE) yang mengumpulkan, menyimpan, atau memproses data pribadi siapa pun yang tinggal di dalam UE (apa pun kewarganegaraannya), serta organisasi non-Uni Eropa yang menawarkan barang dan jasa kepada penduduk Eropa atau organisasi non-Uni Eropa yang memproses informasi pengenal pribadi.
Jika ada organisasi yang ditemukan melanggar GDPR, mereka dapat didenda hingga €20 juta atau 4% dari pendapatan tahunan global mereka. UE telah mulai mendenda organisasi yang melanggar kepatuhan GDPR; kelas berat seperti Google menghadapi denda (denda €44 juta dalam kasus Google), dengan Amazon, Apple, Netflix, dan Spotify juga berisiko terkena denda perlindungan data.
Uni Eropa mengharapkan penyedia layanan terkelola (managed service provider/MSPs) di seluruh dunia untuk mematuhi undang-undang GDPR. Sebagian besar MSP memproses informasi yang dapat diidentifikasi secara pribadi untuk klien Eropa atau pelanggan Eropa. Seringkali MSP mungkin tidak menyadari data apa yang sedang diproses, karena sebelumnya adalah tanggung jawab pemilik data untuk mengikuti aturan perlindungan data. Karena MSP dikategorikan sebagai pemroses data, layanan teknis yang ditawarkan kepada klien akhir berada dalam cakupan GDPR – pada dasarnya, GDPR menuntut agar MSP mengetahui jenis data yang sedang diproses.
Misalnya, pertimbangkan MSP yang menyediakan infrastruktur sebagai layanan untuk klien dan departemen SDM mereka menggunakan server file untuk memproses lamaran pekerjaan calon karyawan; ini berisi informasi pengenal pribadi. Karena data ini dihosting di infrastruktur penyimpanan MSP, MSP dan klien memiliki tanggung jawab bersama untuk kepatuhan GDPR.
Berdasarkan pedoman GDPR, MSP memiliki kewajiban untuk melindungi data dengan cara yang menjamin keamanan semua data pribadi, termasuk perlindungan terhadap pemrosesan yang tidak sah atau melanggar hukum, serta terhadap kehilangan dan kerusakan yang tidak disengaja. Pengamanan administratif, fisik, dan teknis harus diterapkan, karena undang-undang UE menempatkan tanggung jawab yang sama pada pengontrol data dan pemroses data. Ini membutuhkan model tanggung jawab bersama antara semua pihak.
Jenis data dalam cakupan GDPR adalah informasi pengenal pribadi apa pun yang mungkin mencakup:
- Informasi biografi pribadi – seperti nama, alamat dan nomor jaminan sosial, tanggal lahir, nomor telepon dan alamat email, serta detail penampilan seseorang seperti berat badan, warna mata, atau karakteristik lainnya
- Informasi keuangan – seperti gaji, kode pajak, atau informasi pinjaman pelajar
- Data web – seperti alamat IP, data penyimpanan cookie
- Data kesehatan, biometrik, atau genetika – seperti riwayat kesehatan, informasi penyakit jangka panjang, klaim asuransi kesehatan
- Informasi Pribadi – seperti orientasi seksual, opini politik, keyakinan agama atau keanggotaan serikat pekerja. Ini juga dapat mencakup informasi pelacakan geografis seperti pelacak Fitbit atau Google Maps.
(Sumber:https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data)
Detail di atas hanya menggores permukaan tipe data yang berada dalam cakupan GDPR. Sebenarnya, jumlah data yang kemungkinan tunduk pada kepatuhan GDPR sangat luas dan dapat mencakup hampir semua perangkat lunak, data, teks, audio, atau konten video. Pendekatan ini dapat menekan pemroses data dan penangan data dalam divisi layanan terkelola untuk memastikan bahwa data ditangani dengan benar. Untuk menambah kerumitan lebih lanjut, data harus disediakan oleh klien yang secara eksplisit memilih dalam agar data pribadi mereka diproses.
Setelah izin diberikan kepada penyedia data, Penyedia Layanan Terkelola bertanggung jawab untuk memastikan bahwa mereka mematuhi pasal 5 GDPR, yang menyatakan bahwa data pribadi harus:
- Diproses secara sah, adil, dan transparan
- Diproses dengan cara yang memastikan keamanan data pribadi yang sesuai, termasuk perlindungan terhadap pemrosesan yang tidak sah atau melanggar hukum dan terhadap kehilangan, kehancuran, atau kerusakan yang tidak disengaja, menggunakan tindakan teknis atau organisasi yang sesuai ('integritas dan kerahasiaan')
- Data, setelah diproses, harus dimusnahkan secara sah pada waktu yang disepakati
(Sumber:http://www.privacy-regulation.eu/en/article-5-principles-relating-to-processing-of-personal-data-GDPR.html)
Klasifikasi Pasal 5 tentang pemrosesan data mengakibatkan MSP harus memastikan bahwa perangkat lunak dan layanan yang mereka sediakan, termasuk perangkat lunak cloud apa pun, juga sesuai dengan GDPR. Ini membawa ke item lingkup seperti perangkat lunak virtualisasi, penyedia perangkat keras, dan lapisan jaringan semua diverifikasi oleh MSP sebagai sesuai. Jika MSP memanfaatkan model cloud pribadi, publik, atau hybrid, model tersebut harus dibangun di atas arsitek yang aman dalam pedoman GDPR.
Sangat penting bagi MSP untuk menyimpan catatan yang akurat tentang pencadangan dan pengarsipan data untuk semua data dalam cakupan GDPR. MSP harus dapat dengan cepat mengidentifikasi data pengguna akhir, menyediakan catatan data (seperti log cadangan), dan, jika diperlukan, menghapus atau memulihkan data. Ini semua terkait dengan hak yang diakui GDPR bagi individu untuk meminta salinan data yang disimpan di dalamnya.
GDPR juga menempatkan kepemilikan pada MSP untuk membuat kebijakan dan prosedur keamanan untuk memastikan bahwa semua data dalam cakupan dilindungi. Pengamanan teknis dapat bervariasi, tetapi biasanya mencakup nama samaran dan enkripsi data saat istirahat dan dalam perjalanan, kebijakan sandi yang ketat, dan aturan tentang penyimpanan data yang memastikan integritas dan ketersediaan data yang berkelanjutan.
MSP juga memiliki tanggung jawab untuk memastikan semua infrastruktur bangunan fisik aman dan menegakkan kebijakan seperti daftar kontrol akses, pemantauan pengawasan, perlindungan aset fisik dan kebuntuan, atau bahkan personel keamanan 24×7 di lokasi.
Penyedia cloud semakin banyak menawarkan layanan bisnis yang sesuai dengan GDPR, seperti akses dan kontrol identitas (IAM), layanan Active Directory yang aman, layanan manajemen kunci data (KMS), dan layanan federasi data SAML saat mendorong dan menarik data secara publik atau pribadi.
Elemen kunci lain dari GDPR adalah persyaratan yang ditempatkan pada MSP pemrosesan data jika terjadi pelanggaran data. MSP harus dapat membuktikan kapan pelanggaran terjadi dan mengidentifikasi dengan tepat informasi apa yang diakses atau diubah. MSP juga harus memberi tahu otoritas perlindungan data yang sesuai dan bahkan orang-orang yang terkena dampak pelanggaran. Yang terpenting, pelanggaran harus dikonfirmasi dalam waktu 72 jam setelah ditemukan.
MSP sering menerapkan solusi teknis untuk memastikan kepatuhan; layanan anti-virus seperti Trend Micro menampilkan alat yang disebut penghapusan jarak jauh. Sebagai contoh, jika laptop yang berisi data dalam ruang lingkup telah hilang atau dicuri, perangkat dapat dihapus untuk melindungi data dan mengurangi risiko pelanggaran data. Alat lain seperti perangkat lunak analisis ancaman, yang memantau akses pihak ketiga yang tidak sah ke sistem TI, dan firewall jaringan juga dapat digunakan. Pemantauan rinci dan aktivitas logging layanan juga penting.
Sebagai kesimpulan, GDPR masih merupakan undang-undang UE yang sangat baru yang memengaruhi organisasi di seluruh dunia, dan begitu banyak organisasi yang masih berjuang untuk mendapatkan kepatuhan GDPR karena aturan yang sangat kompleks dan masih berkembang di bawah undang-undang baru tersebut. Selain itu, hak orang untuk melihat, mengedit, dan menghapus data pribadi mereka memperdalam kerumitan ini. Sebagian besar MSP akan diminta untuk memperbarui proses dan prosedur penanganan data mereka dan menyetujui model tanggung jawab bersama dengan penangan data. Pada akhirnya, UE akan mulai memberlakukan hukuman GDPR secara lebih teratur untuk memastikan bahwa GDPR berada di garis depan semua agenda bisnis global.