Privasi sudah mati, privasi hidup lama

Pada bulan Mei, bisnis melihat Y2K remaster. Peraturan Perlindungan Data Umum Eropa tiba — dan tidak ada yang terjadi. Perusahaan di seluruh dunia dan lintas sektor bergegas untuk mencapai kepatuhan, takut akan denda yang besar dan kemarahan konsumen.

Tapi hampir tiga bulan setelah peraturan itu diundangkan, hanya ada sedikit tindakan.

Meskipun industri belum melihat konsekuensi peraturan tersebut, GDPR menyebabkan banyak organisasi memikirkan kembali cara mereka mengumpulkan dan menggunakan data. Lebih banyak perusahaan mempertimbangkan privasi sebagai masalah bisnis yang perlu diperhatikan, bukan renungan.

Dan satu konsep membuatnya lebih mudah untuk memahami bagaimana data harus diperlakukan, menyuntikkan lebih banyak privasi di sepanjang jalan: menangani data sebagai mata uang.

Memberi harga pada data

Konsep data sebagai mata uang adalah penerus representasi yang lebih fisik yang ditemukan dalam frasa "data adalah minyak baru." Sebuah konsep yang dia ciptakan 20 tahun lalu di Eropa, Michelle Dennedy, VP dan chief privacy officer di Cisco, menyatakan data adalah minyak baru karena mengalir ke seluruh sistem dan lebih berharga daripada emas atau mata uang lainnya.

Jika data adalah minyak baru, maka perusahaan hanya perlu keamanan untuk mengelolanya, memastikannya tidak bocor dan memicu kebakaran. Tetapi jika, sebaliknya, data dilihat sebagai mata uang, itu "sepenuhnya tergantung pada waktu, pemahaman budaya, kondisi dan konteks," kata Dennedy, dalam sebuah wawancara dengan CIO Dive.

Setiap mata uang memiliki "goyangan", kata Dennedy. Ambil contoh, apa yang terjadi dengan fluktuasi Euro, yang menggambarkan bagaimana siklus pemilihan dapat mempengaruhi penilaian mata uang.

Organisasi mencapai kesuksesan ketika mereka belajar menghargai aset. Jika data diperlakukan dengan sembarangan, dan faktor internal atau eksternal berdampak, organisasi dapat menemukan diri mereka berada di garis bidik regulator.

---

Jika data dilihat sebagai mata uang, itu "sepenuhnya tergantung pada waktu, pemahaman budaya, kondisi dan konteks."

Michelle Dennedy

VP dan chief privacy officer di Cisco

---

"Jika Anda melihat data sensitif Anda sebagai aset yang menyebabkan kerugian besar jika dikompromikan sebagai dana Anda yang sebenarnya, dolar Anda, maka Anda akan berperilaku berbeda," kata Tanya Forsheit, mitra dan ketua privasi dan keamanan data di hukum. firma Frankfurt Kurnit Klein dan Selz, dalam sebuah wawancara dengan CIO Dive.

Sementara konsep tersebut mendapatkan dukungan arus utama, industri belum ada di sana. Perusahaan yang menganggap data sebagai mata uang dengan cepat kembali ke asosiasi dengan risiko, percaya bahwa data adalah sesuatu yang hilang.

Kendala lainnya adalah bagaimana peraturan mendefinisikan data pribadi. GDPR menawarkan definisi yang luas.

Di AS, data pribadi dianggap sebagai informasi pengenal pribadi (PII). Namun menurut GDPR, data pribadi adalah informasi apa pun yang dapat digunakan untuk mengidentifikasi individu, termasuk ID perangkat dan alamat IP.

Memperluas cakupan data pribadi menambah kerumitan pada perlakuannya sebagai mata uang. Nomor jaminan sosial, misalnya, memiliki lebih banyak nilai daripada alamat email. Ini berarti konsep data sebagai mata uang membutuhkan nilai terkait.

Jika ada mekanisme untuk memperlakukan alamat IP sebagai uang receh dan nomor jaminan sosial sebagai uang seratus dolar, maka itu berarti, kata Forsheit. "Ini adalah pola pikir yang sulit bagi seseorang untuk dikuasai."

Perusahaan kelaparan data

Jika perusahaan tidak mengumpulkan data secara berlebihan, semantik seputar perlakuan dan definisinya akan sia-sia. Tapi sayang, bukan itu masalahnya.

Pada pertengahan 1990-an internet mulai berputar ke arah perdagangan dan menjadi lebih mudah untuk mendapatkan data, kata Rebecca Herold, CEO praktik konsultasi Profesor Privasi dan salah satu pendiri dan presiden SIMBUS , sebuah perusahaan konsultan manajemen privasi dan keamanan.

Sebelum internet, perusahaan harus mengandalkan iklan cetak dan surat untuk menjangkau pembeli potensial, kata Herold, dalam sebuah wawancara dengan CIO Dive. Tetapi kebangkitan perdagangan internet merombak upaya pemasaran dan perusahaan tidak lagi harus meminta data pelanggan. Sebaliknya, orang hanya memberikan informasi.

---

"Perusahaan di AS secara historis adalah penimbun data. Itulah yang mereka lakukan. Mereka mengumpulkan berton-ton data, kadang-kadang bahkan tanpa mengetahui apa tujuan akhir mereka."

Tanya Forsheit

Mitra dan ketua privasi dan keamanan data di Frankfurt Kurnit Klein and Selz

---

Industri melihat "betapa bersemangatnya organisasi untuk mulai mengumpulkan lebih banyak data daripada yang sebenarnya mereka butuhkan," kata Herold.

Tahun 90-an berfungsi sebagai bayangan. Saat ini, perusahaan mengumpulkan dan menyimpan lebih banyak data daripada yang mereka tahu apa yang harus dilakukan, berharap analitik data besar dan kecerdasan buatan akan membuat analisis lebih mudah. Koleksi berlebihan ini berdampak langsung pada privasi.

"Perusahaan di AS secara historis adalah penimbun data. Itulah yang mereka lakukan," kata Forsheit. "Mereka mengumpulkan berton-ton data, terkadang bahkan tanpa mengetahui apa tujuan akhir mereka."

GDPR bekerja untuk mengubah cara perusahaan berinteraksi dengan data, menghentikan penggunaan data pribadi dengan cara yang tidak diharapkan atau tidak diketahui konsumen, menurut Forsheit. Dengan menghubungkan kumpulan data yang berbeda, analis dapat menentukan dan menguraikan informasi pribadi tanpa sepengetahuan pengguna, suatu tindakan yang coba dicegah oleh GDPR.

Apakah privasi mungkin?

Data dapat memiliki dampak positif dan negatif, dan organisasi-organisasi yang takut akan dampak peraturan dan denda yang besar sedang bekerja untuk memikirkan kembali pengumpulan dan penanganan data.

Peningkatan regulasi di luar GDPR juga berdampak. Regulator AS mencoba untuk meningkatkan dan menciptakan ekosistem yang mempertimbangkan dampak privasi dari layanan yang ditawarkan oleh raksasa internet, seperti halnya dengan undang-undang California baru-baru ini .

Industri lintas sektor berada dalam "periode kebangkitan" untuk penggunaan data, kata Herold. Penggunaan data Facebook baru-baru ini — dan dipublikasikan dengan baik — telah membuat industri ini memperhatikan. Facebook "tertidur di belakang kemudi" ketika memetakan cara menjual data. Mereka terlalu percaya.

Ada dua masalah utama dengan data, kata Herold:

• Organisasi membuat terlalu banyak asumsi tentang apa yang dapat dan tidak dapat dianggap sebagai data pribadi. Dan perusahaan-perusahaan yang sama itu tidak berpikir orang dapat menganalisis kumpulan data untuk memperoleh wawasan pribadi tentang seorang individu.

• Sebagian besar pengembang aplikasi dan banyak perusahaan teknologi tidak menghabiskan cukup waktu untuk mengontrol rekayasa ke dalam solusi dan produk mereka. Sebaliknya, mereka melakukan minimum seperti yang dipersyaratkan oleh hukum.

Ini menyoroti kesenjangan antara apa yang harus dilakukan oleh perusahaan secara hukum dan apa yang harus mereka lakukan, kata Herold.

Tentu saja privasi itu mungkin, tetapi perusahaan tidak memiliki insentif untuk mewujudkannya.

"Hal-hal buruk yang terjadi bukan karena kami tidak memiliki undang-undang atau bukan karena kami tidak memiliki regulator yang peduli," kata Forsheit. "Itu karena perusahaan telah haus data, dan dalam beberapa kasus serakah, dan telah menyapu sebanyak yang mereka bisa dan kemudian mencoba memanfaatkannya sebanyak yang mereka bisa sampai mereka tertangkap karena itu, dalam banyak hal, cara Amerika. ."