Dalam penyelenggaraan negara, data yang akurat menjadi pondasi dalam proses pengambilan keputusan untuk pembangunan yang berkelanjutan. Oleh karena itu, pengumpulan dan pengelolaan data mesti dilakukan secara sistematis, berjenjang, dan dimulai dari unit terkecil dalam negara. Hal ini menjadi semangat dari Sistem Informasi Desa (SID) yang telah diamanatkan dalam Undang-Undang tentang Desa tahun 2014. Keamanann data pribadi dan mitigasi data Sejak 2009, Combine Resource Institution (CRI) ikut berkontribusi dalam mendukung perubahan tata kelola data desa dan daerah dengan memprakarsai Sistem Informasi Desa (SID) Berdaya, disusul prakrasa Sistem Informasi Kabupaten (SIKAB) pada 2013. Keduanya adalah perangkat lunak yang digunakan untuk membantu desa dan daerah mengelola data dasar kependudukan, data sektoral, data potensi desa, dan informasi publik desa secara terpadu. Saat ini Pemerintah Indonesia sedang membenahi kebijakan tata kelola data pembangunan di Indonesia, antara lain melalui Peraturan Presiden Nomor 39 Tahun 2019 tentang Satu Data Indonesia. Satu Data Indonesia dijelaskan sebagai konsep kebijakan tata kelola data pemerintah untuk menghasilkan data yang akurat, mutakhir, terpadu, dan dapat dipertanggungjawabkan, serta mudah diakses dan dibagipakaikan antarinstansi, baik pusat maupun daerah melalui pemenuhan standar data, metadata, interoperabilitas data, dan menggunakan kode referensi dan data induk. Pengaturan Satu Data Indonesia dimaksudkan untuk mengatur penyelenggaraan tata kelola data yang dihasilkan oleh instansi pusat dan instansi daerah untuk mendukung perencanaan, pelaksanaan, evaluasi, dan pengendalian pembangunan. Dalam konteks program Satu Data Indonesia yang ditetapkan melalui Peraturan Presiden Nomor 39 Tahun 2019, SID Berdaya dan SIKAB berpeluang untuk turut berkontribusi dalam mewujudkan rujukan data tunggal. Irman Ariadi, Staf Analisis dan Regulasi CRI, menjelaskan bahwa terdapat tiga prinsip hukum yang melandasi keamanan dan mitigasi data. Ketiganya telah diatur dalam Undang-Undang Nomor 14 tahun 2008, tentang Keterbukaan Informasi Publik (UU KIP), Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE), dan Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE). UU ITE mengatur konsep pelindungan data dalam sistem elektronik. Dalam penjelasannya, UU ITE memuat tiga pendekatan untuk menjaga keamanan di ranah siber (cyber space), yakni pendekatan aspek hukum, aspek teknologi, serta aspek sosial, budaya, dan etika. “Untuk mengatasi gangguan keamanan dalam penyelenggaraan sistem secara elektronik, pendekatan hukum bersifat mutlak. Karena tanpa kepastian hukum, persoalan pemanfaatan teknologi informasi menjadi tidak optimal,” kata Irman. Sementara itu, dalam Perpres mengenai SPBE ditekankan bahwa tata kelola dan manajemen sistem pemerintahan berbasis elektronik secara nasional diperlukan untuk meningkatkan keterpaduan dan efisiensi. Pemerintah memberikan ruang pengembangan SPBE secara luas sesuai dengan kebutuhan khusus pemerintah pusat dan/atau pemerintah daerah. SPBE dilaksanakan dengan prinsip efektifitas, keterpaduan, kesinambungan, efisiensi, akuntabilitas, interoperabilitas, dan keamanan. “Prakarsa SID Berdaya dan SIKAB saat ini akan semakin mendapatkan konteksnya dalam sistem pembangunan nasional. Sebab, upaya peningkatan ketersediaan kualitas data dan informasi diterakan sebagai salah satu arah dalam narasi Rencana Pembangunan Jangka Menengah Nasional (RPJMN) 2020-2024 oleh pemerintah,” jelas Irman. Meski begitu, menurut Irman, proses menuju Satu Data tidak hanya berhenti pada pengelolaan dan integrasi data terpadu, tetapi juga mewujudkan perlindungan untuk keamanan dan mitigasi data. Hal-hal inilah yang dibahas dalam Focus Group Discussion (FGD) “Perumusan Konsep Keamanan dan Mitigasi Pelindungan Data dalam SID Berdaya dan SIKAB” yang diselenggarakan Rabu (19/2/2020). Kegiatan ini menghadirkan Setyo Budi Prabowo (Kepala UPT Museum Sandi Badan Siber dan Sandi Negara), Yudi Prayudi (Kepala Pusat Studi Digital Forensik UII Yogyakarta), Wahyu Ardy Nugroho (Kepala Bidang Perencanaan Bappeda Gunungkidul), Kelik Yuniantoro (Kepala Diskominfo Kabupaten Gunungkidul) dan Heru Tjatur (Praktisi TIK dan ICT Watch). Analisis Risiko dan Tata Kelola Privasi sebagai Pijakan Awal Untuk memenuhi standar keamanan data diperlukan infrastruktur yang baik untuk mendukungnya. Infrastruktur tersebut meliputi kualitas server, komputer, hingga aplikasi legal yang digunakan. Keamanan dan mitigasi data menjadi semakin penting terutama untuk mengantisipasi hal-hal di luar kontrol manusia seperti bencana alam. Sebagai contoh adalah pengalaman Kabupaten Lombok Utara yang merupakan salah satu penerap SID Berdaya. Direktur CRI, Imung Yuniardi, menceritakan pengalaman yang terjadi ketika gempa menerjang Lombok pada 2018. “Ketika gempa terjadi, data hanya ada di servernya. Nah, server tersebut berada di reruntuhan bangunan dan tak ada yang berani mengambilnya,” katanya. Ketiadaan rancangan mitigasi data membuat data-data yang ada di dalam server tidak dapat digunakan, padahal semestinya dapat membantu proses pendataan penerima bantuan. Dalam kasus ini, keamanan server merupakan sesuatu yang sangat penting. Selain itu, pengalaman Lombok juga memberikan pelajaran bahwa prosedur keamanan data harus dirancang secara utuh. Setiap komponen dalam tata kelola data harus memiliki konsep mitigasi sendiri. “Soal data, [maka] kita membahas [data] secara fisik dan nonfisik. Fisik, seperti misalnya, server dan komputer, [pengamanannya] seperti apa. Sementara nonfisik, yaitu data, diamankannya seperti apa,” kata Imung. Kepala UPT Museum Sandi Badan Siber dan Sandi Negara, Setyo Budi Prabowo, mengatakan bahwa pijakan awal dari keamanan dan mitigasi data adalah analisis risiko. “Risk assessment (analisis risiko) diperlukan untuk meninjau sejauh apa antisipasi yang bisa kita lakukan untuk mengamankan data,” ujar Setyo. Setyo mengatakan bahwa pada dasarnya tidak ada sistem yang seratus persen aman. Kendati demikian, dengan melakukan analisis risiko sejak awal pengembangan, dapat membantu mengantisipasi serangan yang mungkin terjadi. “Memang tidak bisa seratus aman, tetapi ada penanggulangan yang sudah siap dalam perencanaan, sehingga dapat dilakukan secara tepat dan lebih cepat,” katanya. Sementara itu, Kepala Dinas Komunikasi dan Informatika (Diskominfo) Kabupaten Gunungkidul, Kelik Yuniantoro, menjelaskan bagaimana keamanan dan mitigasi data yang saat ini telah dilakukan dalam penerapan SID Berdaya di Gunungkidul. Ia mengatakan bahwa pusat data di Gunungkidul telah dibangun sejak 2019. “Server-server-nya memang masih terpisah-pisah tapi dikendalikan dalam satu manajemen oleh Kominfo. Hosting-nya semuanya di Kominfo,” katanya. Selain tata kelola data (data governance), tata kelola privasi (privacy governance) menjadi hal yang penting dalam penyelenggaraan SID Berdaya dan SIKAB. Praktisi TIK, Heru Tjatur, menjelaskan bahwa privasi dalam tata kelola data harus dilakukan baik dari aspek teknis maupun legal. “Dalam keamanan data, aspek teknis hanya mencakup 20% saja, 40% lainnya adalah aspek legal, sementara sisanya adalah aspek SDM,” jelas Tjatur. Berkaitan dengan ketiga aspek tersebut, terdapat lima tahapan dalam mengimplementasikan program tata kelola privasi yang berkelanjutan. Pertama, merumuskan visi dan misi organisasi bersangkutan. Kedua, memetakan apa saja cakupan dari program privasi yang dilakukan. Konsep privasi seharusnya sudah mulai dirancang sejak awal pengembangan aplikasi. “Sejak awal, nilai-nilai privasi sudah harus mulai