Grid & Cloud Computing UU ITE

GRID & CLOUD COMPUTING Tinjauan Hukum Tentang Penggunaan Layanan Cloud Computing di Indonesia dari Aspek Keamanan dan Perlindungan Data

DATA Data adalah setiap informasi yang diproses melalui peralatan yang berfungsi secara otomatis menanggapi instruksi-instruksi yang diberikan bagi tujuannya dan disimpan dengan maksud untuk dapat diproses. Data juga termasuk informasi yang merupakan bagian tertentu dari catatan-catatan kesehatan, kerja sosial, pendidikan atau yang disimpan sebagai bagian dari suatu system penyimpanan yang relevan.

Keamanan dan Kerahasiaan Data Dalam Teknologi Informasi Untuk menjaga keamanan dan kerahasiaan data dalam suatu jaringan komputer, diperlukan beberapa jenis enkripsi56 agar data tidak dapat dibaca atau dimengerti oleh sembarangan orang kecuali untuk penerima yang berhak. Pengamanan data tersebut selain bertujuan untuk meningkatkan keamanan data, juga berfungsi untuk :  Melindungi data agar tidak dapat dibaca oleh orang-orang yang tidak berhak;  Mencegah agar orang-orang yang tidak berhak, tidak menyisipkan atau menghapus data

UU ITE sebagai Tinjauan Hukum Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik 1.

2.

3.

4.

Pasal 9 bahwa Pelaku usaha yang menawarkan produk melalui sistim elektronik harus menyediakan informasi yang lengkap dan benar berkaitan dengan syarat kontrak, produsen, dan produk yang ditawarkan. Pasal 26 ayat (1) menyatakan kecuali ditentukan lain oleh Peraturan Perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan. Ayat (2) kemudian menyatakan setiap orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan Undang- Undang ini. Pasal 30 sampai Pasal 33 dan juga pada Pasal 35 yang masuk ke dalam BAB VII mengenai Perbuatan Yang Dilarang. Dengan penggunaan tafsiran yang umum, pelanggaran terhadap perlindungan data dapat didasarkan pada ketentuan tersebut.

 Pasal 26 Ayat (1) menerangkan bahwa dalam pemanfaatan Teknologi Informasi, perlindungan data pribadi merupakan salah satu bagian dari hak pribadi (privacy rights). Hak pribadi mengandung pengertian sebagai berikut: 1. Hak pribadi merupakan hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan. 2. Hak pribadi merupakan hak untuk dapat berkomunikasi dengan Orang lain tanpa tindakan memata-matai. 3. Hak pribadi merupakan hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang

Ketentuan Dalam UU ITE 1.

2.

3.

4.

5.

secara komprehensif telah memuat ketentuan yang mengatur bagaimana perlindungan data diberikan kepada individu, badan hukum, dan pemerintah. Secara tegas melarang adanya akses secara melawan hukum kepada data milik Orang lain melalui sistem elektronik untuk memperoleh informasi dengan cara menerobos sistem pengaman secara tegas menyatakan bahwa penyadapan (interception) adalah termasuk perbuatan yang dilarang kecuali dilakukan oleh pihak yang memiliki kewenangan untuk itu dalam rangka upaya hukum. setiap orang dilarang dengan cara apapun untuk membuka informasi milik orang lain dengan tujuan apapun bahkan jika data yang sifatnya rahasia sampai dapat terbuka kepada publik. melarang setiap tindakan yang mengakibatkan sistem elektronik menjadi terganggu yang secara sistematis berarti juga dapat mengakibatkan terganggunya akses data bagi pemiliknya.

Masalah Keamanan Data Dalam Cloud Computing 1. Masalah keamanan dari Virtual machine Pada mesin virtual, perubahan yang fisik terjadi atau migrasi tidak mempengaruhi layanan yang diberikan oleh penyedia layanan. jika pengguna membutuhkan jasa lebih, penyedia dapat memenuhi kebutuhan pengguna tanpa harus memperhatikan perangkat keras fisik. Namun, server virtual dari kelompok server logis membawa banyak masalah keamanan. Pengamanan terhadap pusat data tradisional diukur pada platform perangkat keras, sementara komputasi awan mungkin merupakan server dari beberapa server virtual, server virtual mungkin milik kelompok server yang berbeda yang membawa server virtual pada banyak ancaman keamanan. 2. Keberadaan super – user Dalam era privasi pribadi, data pribadi harus benar-benar dilindungi, dan fakta membuktikan bahwa platform Cloud Computing memberikan layanan pribadi dalam kerahasiannya. Bukan hanya pengguna individu tetapi juga organisasi memiliki potensi ancaman serupa, misalnya pengguna korporat dan rahasia dagang disimpan dalam platform komputasi awan mungkin dicuri.

3. Konsistensi data Dalam lingkungan komputasi awan, mekanisme kontrol akses tradisional dianggap memiliki kekurangan serius. Semua teknik keamanan data dibangun pada kerahasiaan, integritas dan ketersediaan dari tiga prinsip dasar. Kerahasiaan mengacu pada apa yang disebut dengan data aktual atau informasi yang tersembunyi, terutama pada daerah yang sensitive, kerahasian data berada pada persyaratan yang lebih ketat. Untuk komputasi awan, data disimpan di "pusat data", keamanan dan kerahasiaan data pengguna, merupakan hal yang penting.

Potensi Isu Hukum Pada Cloud Computing 1. Proteksi Privasi dan Keamanan Data Pribadi Data dan perlindungan privasi sangat penting untuk membangun kepercayaan pelanggan yang diperlukan untuk komputasi awan untuk mencapai potensi layanan sepenuhnya. Jika penyedia mengadopsi kebijakan yang lebih baik dan lebih jelas dan praktek, pengguna akan lebih mampu menilai risiko-risiko terkait yang mereka hadapi. Untungnya, banyak penyedia yang telah memiliki komitmen untuk mengembangkan kebijakan dan best-practices untuk melindungi data pelanggan dan privasi.

2. Hak Kekayaan Intelektual  konteks hukum paten  konteks merek dagang  konteks hak cipta Bidang hak kekayaan intelektual, juga terdapat isu-isu extraterritoriality yang dapat timbul. Sebagai contoh, jika seseorang yang melanggar suatu karya, seperti perangkat lunak, yang kemudian telah disalin di awan atau disimpan di server di luar negeri, akan ada muncul pertanyaan apakah tindakan ini merupakan pelanggaran yang dapat dijangkau oleh hukum hak kekayaan intelektual masing-masing negara

3. Yurisdiksi Data Ketidakpastian yurisdiksi telah menyebabkan beberapa regulator untuk menerapkan sistem komputasi awan yang dapat menciptakan risiko yang tidak dapat diterima. Director of Technology Risk pada Monetary Authority of Singapore telah menyatakan bahwa "tidak mungkin untuk memungkinkan bank untuk menempatkan data pelanggan ke dalam awan tanpa due diligence yang signifikan, mengingat bahwa di Singapura perilaku tersebut bisa dihukum dengan hukuman penjara tiga tahun dan denda besar dan kuat”. Contoh: banyak pengguna khawatir bahwa penyedia komputasi menggunakan penyedia layanan komputasi awan yang terletak di Amerika Serikat atau yang mengoperasikan server di Amerika Serikat dapat mengakibatkan data mereka berisiko terhadap penggeledahan tanpa surat berdasarkan US Patriot Act.

Kewajiban Penempatan/Penyimpanan Data dalam Penyelenggaraan Cloud Computing Konsekuensi Hukum Penyelenggara SE termasuk penyelenggara CC dalam PP PSTE secara ringkas kami kelompokkan sebagai berikut: 1. 2. 3. 4. 5. 6. 7. 8.

Kewajiban Pendaftaran bagi PSE Pelayanan Publik (Pasal 5) Kewajiban Sertifikasi Kelaikan Hardware (Pasal 6) Kewajiban didaftarkannya Software bagi PSE Pelayanan Publik(Pasal 7) Ketentuan tentang Penggunaan Tenaga Ahli (Pasal 10) Kewajiban-kewajiban dalam tata kelola SE (Pasal 12) Penerapan manajemen risiko penyelenggaraan SE (Pasal 13) Kewajiban memiliki kebijakan tata kelola dan SOP (Pasal 14) Kewajiban dan ketentuan tentang pengelolaan kerahasiaan, keutuhan, dan ketersediaan Data Pribadi (Pasal 15) 9. Pemenuhan persyaratan tata kelola bagi PSE untuk Pelayanan Publik (Pasal 16) 10. Penempatan Pusat Data dan Pusat Pemulihan Bencana serta mitigasi atas rencana keberlangsungan kegiatan Penyelenggaraan SE (Pasal 17) 11. Pengamanan Penyelenggaraan Sistem Elektronik (Pasal 18 s.d. Pasal 29) 12. Kewajiban Sertifikasi Kelaikan Sistem bagi PSE Pelayanan Publik (Pasal 30 s.d. Pasal 32)

Terkait penempatan data elektronik sebagaimana angka 10 di atas, Pasal 17 ayat (2) dan ayat (3) PP PSTE mewajibkan PSE untuk pelayanan publik wajib menempatkan pusat data atau Data Center (“DC”) dan pusat pemulihan bencana atau Disaster Recovery Center (“DRC”) diwilayah Indonesia. Bunyi lengkap Pasal 17 ayat (2) dan ayat (3) PP PSTE adalah sebagai berikut: (2) Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menempatkan pusat data dan pusat pemulihan bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan, dan penegakan kedaulatan negara terhadap data warga negaranya. (3) Ketentuan lebih lanjut mengenai kewajiban penempatan pusat data dan pusat pemulihan bencana di wilayah Indonesia sebagaimana dimaksud pada ayat (2) diatur oleh Instansi Pengawas dan Pengatur Sektor terkait sesuai dengan ketentuan peraturan perundang-undangan setelah berkoordinasi dengan Menteri.

Pusat Data (Data Center) yang dimaksud Pasal 17 ayat (2) PP PSTE didefinisikan dalam penjelasan Pasal 17 ayat (2) PP PSTE yaitu,“suatu fasilitas yang digunakan untuk menempatkan Sistem Elektronik dan komponen terkaitnya untuk keperluan penempatan, penyimpanan, dan pengolahan data.” Sedangkan, yang dimaksud dengan Pusat Pemulihan Bencana (Disaster Recovery Center) adalah “suatu fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi-fungsi penting Sistem Elektronik yang terganggu atau rusak akibat terjadinya bencana yang disebabkan oleh alam atau manusia.”

Sayangnya, sanksi atas pelanggaran Pasal 17 ayat (2) PP PSTE tersebut tidak diatur secara tegas. Pasal 84 PP PSTE tentang sanksi administratif, hanya memberikan sanksi jika PSE Pelayanan publik tidak memiliki rencana keberlangsungan kegiatan untuk menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya (Pasal 17 ayat [1] PP PSTE). Sementara, ketidakpatuhan atas kewajiban penempatan DC/DRC di Indonesia apaka h dapat dikategorikan sebagai perbuatan “tidak memiliki rencana keberlangsungan kegiatan” sebagaimana Pasal 17 ayat (1) PP PSTE masih belum dapat dijelaskan lebih lanjut.

 Terkait penempatan data/infomasi elektronik, tentu timbul pertanyaan apakah penyelenggara CC masuk dalam kategori PSE Pelayanan Publik? Secara normatif, yang dimaksud Pelayanan Publik berdasarkan Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan Publik dan Peraturan Pemerintah Nomor 96 Tahun 2012 tentang Pelaksanaan Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan Publik(“PP Pelayanan Publik”) adalah kegiatan atau rangkaian kegiatan dalam rangka pemenuhan kebutuhan pelayanan sesuai dengan peraturan perundang-undangan bagi setiap warga negara dan penduduk atas barang, jasa, dan/ atau pelayanan administratif yang disediakan oleh penyelenggara pelayanan publik.

 Sebagai contoh, misalnya sebuah perusahaan CC memberikan pelayanan penggunaan infrastruktur dan platform kepada sebuah rumah sakit yang memiliki nilai aktiva (aset) sebesar Rp100 miliar. Dengan asumsi pendapatan per kapita nasional sebesar Rp31,8 juta (tahun 2011), maka nilai minimal pengkategorian sebuah badan hukum yang menjalankan misi negara sebagai penyelenggara pelayanan public adalah sebesar Rp1.590.000.000,- (Rp31,8 juta dikali 50). Dengan demikian, rumah sakit tersebut dikategorikan sebagai penyelenggaara layanan publik. Sedangkan, perusahaan CC tersebut, menurut pendapat kami, dapat dikatakan penyelenggara pelayanan publik tidak langsung, sehingga hal-hal yang berkaitan dengan penempatan data/informasi elektronik milik rumah sakit tersebut harus berada di wilayah Indonesia (Pasal 17 ayat [2] UU ITE).

Kegunaan Undang-undang pada Cloud Coomputing Penyediaan layanan Cloud Computing di Indonesia semestinya mengikuti aturan-aturan yang ada pada UU ITE No 11 Tahun 2008 dan UU Pemerintah Republik Indonesia No 82 Tahun 2008. Beberapa undang-undang yang semestinya ada untuk penyedia layanan Cloud Computing yakni: 1. Kewajiban pendaftaran bagi penyelenggara sistem elektronik pelayanan publik seperti penyedia jasa layanan Cloud Computing agar diakui dan dipercaya oleh negara bahwa penyedia jasa layanan Cloud Computing sudah terverifikasi aman digunakan (Pasal 5 UU Pemerintah Republik Indonesia No 82 Tahun 2008). 2. Kewajiban sertifikasi kelayakan Hardware (pasal 6 UU Pemerintah Republik Indonesia No 82 Tahun 2008), tujuan pada pasal ini adalah sebagai jaminan bahwa Hardware seperti Server pada penyedia jasa layanan Cloud Computing aman dan memiliki perawatan yang cukup baik. Karena keselamatan data pengguna nantinya tidak hilang karena kerusakan Server (Hardware).

3.

4.

5.

Kewajiban mendaftarkan software yang digunakan kepada Kementrian di bidang komunikasi dan Informatika (Pasal 7 UU Pemerintah Republik Indonesia No 82 Tahun 2008). Pasal pada undang-undang ini bertujuan untuk menjamin keamanan dan keandalan operasi system yang bekerja agar tidak terjangkit Virus dan juga terhidar dari software bajakan. Ketentuan penggunaan tenaga ahli dalam menyikapi suatu masalah yang terjadi misalnya dalam penyediaan jasa layanan Cloud Computing (Pasal 10 UU Pemerintah Republik Indonesia No 82 Tahun 2008). Pasal ini cukup jelas bahwa tenaga ahli yang dipakai adalah tenaga ahli terpercaya dan memiliki kompetensi pada bidang komunikasi dan elektronik. Tata Kelola Sistem Elektronik (Pasal 12 UU Pemerintah Republik Indonesia No 82 Tahun 2008), pasal menunjukan bahwa penyedia jasa layanan Cloud Computing harus memiliki perjanjian tingkat layanan, tersedianya perjanjian keamanan informasi yang digunakan dan keamanan informasi dan sarana informasi internal yang diselenggarakan. Ini bertujuan untuk meyakinkan kepada pengguna bahwa layanan ini aman di gunakan.

6.

7.

8.

Penerapan manajemen risiko penyelenggaraan system elektronik (Pasal 13 UU Pemerintah Republik Indonesia No 82 Tahun 2008) diartikan bahwa setiap layanan Cloud Computing wajib memiliki satu manajemen resiko untuk menanggulangi dan bertanggung jawab atas kerusakan data pengguna atau hilangnya data pengguna dari layanan Cloud Computing. Kewajiban dan ketentuan tentang pengelolaan kerahasiaan, keutuhan, dan ketersediaan Data Pribadi (Pasal 15 UU Pemerintah Republik Indonesia No 82 Tahun 2008). Pasal ini menunjukan kepada pihak penyedia jasa Cloud Computing harus bisa menjaga kerahasiaan file pengguna agar tidak tersebar luas tanpa sepengetahuan pengguna. Beriktikad baik dalam melakukan interaksi atau pertukaran data informasi elektronik (BAB 5 Pasal 17 UU ITE No 11 Tahun 2008). Pada pasal dalam UU ITE No 11 Tahun 2008 ini adalah bermaksud untuk saling menjaga kehormatan sesama pengguna layanan Cloud Computing disaat melakukan pertukaran data.

Kesimpulan 1. Indonesia belum memiliki Undang-undang yang khusus membahas mengenai privasi dan perlindungan data pribadi. Tetapi perlindungan privasi dan data pribadi dapat ditemukan di beberapa peraturan perundangundangan. 2. Untuk perlindungan data pribadi yang secara spesifik berada di lingkup media elektronik terdapat dalam Pasal 26 Undang undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE). Untuk dapat mengembangkan layanan komputasi awan yang menghormati privasi dan melindungi data pribadi pengguna layanan maka diperlukan regulasi yang lebih komprehensif.

4. Menurut narasumber-narasumber dari beberapa penyedia layanan komputasi awan dimana penyedia layanan komputasi awan menghormati, melindungi dan tidak akan mengungkapkan data pribadi pengguna layanan komputasi awan tanpa adanya persetujuan dari pengguna layanan. Hal ini tentu selaras dengan maksud dan tujuan dari rumusan Pasal 26 UU ITE. 5. Apabila terjadi malfungsi dari sistem komputasi awan yang mengakibatkan tidak terpenuhinya layanan maksimal kepada pengguna layanan, maka berdasarkan Service Contract Agreement dan Service Level Agreement penyedia layanan komputasi awan (dalam hal ini Biznet Networks) akan mengganti hingga 30 (tiga puluh) persen dari jumlah total tagihan dalam satu bulan.

6. Apabila data pribadi pengguna layanan komputasi awan dicuri dan/atau dibobol oleh tindakan hacking dan/atau tindakan lain yang diluar kendali dari penyedia layanan maka penyedia layanan komputasi awan tidak bertanggungjawab atas kewajiban yang ditimbulkan dari gangguan tersebut dengan sebelumnya memberitahukan keadaan tersebut secepatnya kepada pelanggan

TERIMA KASIH