Kasus kebocoran data (data breach) —utamanya data pribadi— seyogianya tidak dianggap hal yang remeh oleh siapapun termasuk dalam hal ini adalah organisasi yang mengelola data tersebut. Mengapa? Karena kebocoran data dapat menyebabkan kerugian finansial bagi individu serta menurunkan tingkat kepercayaan konsumen kepada organisasi. Oleh karena itu, kasus kebocoran data perlu mendapat perhatian dan penanganan yang serius.

Apa yang harus dilakukan oleh sebuah organisasi bila mengalami kebocoran data? Berikut ini empat (4) langkah menurut PDPC Singapura yang harus dilakukan oleh organisasi guna merespon adanya kebocoran data.

Sekilas Tentang PDPC Singapura

Melansir situs web pdpc.gov.sg, The Personal Data Protection Commission (PDPC) —bila diterjemahkan dalam bahasa Indonesia berarti: Komisi Perlindungan Data Pribadi— adalah sebuah komisi yang berada di bawah naungan Pemerintah Singapura yang memiliki tugas mengelola dan menegakkan Personal Data Protection Act (PDPA) —bila diterjemahkan dalam bahasa Indonesia berarti: Undang-Undang Perlindungan Data Pribadi. PDPC didirikan pada tanggal 2 Januari 2013.

Misi PDPC adalah mendukung dan menegakkan perlindungan data pribadi sehingga diharapkan dapat menumbuhkan kepercayaan antara pebisnis dan konsumen serta memberikan kontribusi pada ekonomi Singapura.

Fungsi PDPC adalah sebagai otoritas utama Singapura yang menangani hal-hal yang terkait dengan perlindungan data pribadi. Selain itu, PDPC juga mewakili Pemerintah Singapura secara internasional dalam masalah terkait perlindungan data.

Informasi lengkap terkait profil PDPC Singapura dapat anda baca pada laman pdpc.gov.sg.

Bagaimana Menangani Kebocoran Data Menurut PDPC Singapura?

PDPC Singapura pada tanggal 15 Maret 2021 menerbitkan sebuah dokumen yang berjudul: Guide on Managing and Notifying Data Breaches Under the PDPA. Dokumen tersebut menggantikan dokumen yang telah dirilis sebelumnya, yaitu Guide to Managing Data Breaches 2.0.

Dokumen Guide on Managing and Notifying Data Breaches Under the PDPA berisi panduan yang berfokus pada pengelolaan insiden kebocoran data bagi organisasi. Dokumen tersebut dapat anda unduh melalui pranala https://www.pdpc.gov.sg/help-and-resources/2021/01/data-breach-management-guide.

Pada bagian ke-2 dari dokumen sebagaimana tersebut di atas, PDPC Singapura memberikan saran berupa empat (4) langkah yang harus dilakukan oleh organisasi dalam merespon insiden kebocoran data. Empat langkah tersebut, yaitu CARE yang merupakan akronim dari Contain, Assess, Report, dan Evaluate.

 Sumber: Dokumen Guide on Managing and Notifying Data Breaches Under the PDPA yang diterbitkan oleh PDPC Singapura.

Sumber: Dokumen Guide on Managing and Notifying Data Breaches Under the PDPA yang diterbitkan oleh PDPC Singapura.

Berikut ini penjelasan secara singkat CARE yang merupakan empat (4) langkah penanganan kebocoran data menurut PDPC Singapura:

Contain

Organisasi yang mengalami insiden kebocoran data harus melakukan mitigasi secepat mungkin agar insiden kebocoran data tidak meluas dan meminimalkan potensi bahaya dari insiden tersebut.

Assess

Organisasi melakukan asesmen terhadap insiden kebocoran data yang dialaminya untuk mengetahui penyebab utama yang memicu insiden tersebut. Pada langkah ini, organisasi juga perlu melakukan serangkaian tindakan yang efektif untuk meminimalkan potensi kerugian akibat insiden tersebut.

Report

Pada tahap ini, organisasi melaporkan insiden kebocoran data yang dialaminya kepada dua (2) pihak, yaitu:

  1. PDPC Singapura; dan/atau
  2. Individu yang terkena dampak kebocoran data.

Evaluate

Organisasi harus mengevaluasi langkah-langkah yang telah diambil dalam merespon insiden kebocoran data yang dialaminya. Kebocoran data yang terjadi menjadi pelajaran yang berharga bagi organisasi untuk meningkatkan keamanan data agar insiden serupa tidak terulang kembali di masa yang akan datang.

Penjelasan lebih detail terkait empat (4) langkah yang harus dilakukan oleh organisasi dalam merespon insiden kebocoran data menurut PDPC Singapura dapat anda baca pada dokumen Guide on Managing and Notifying Data Breaches Under the PDP.