Panduan Keamanan Data

Kebocoran data pada penelitian dapat mengakibatkan kerugian serius baik untuk subjek penelitian, sponsor, maupun peneliti. Misalnya, kebocoran data identitas subjek dapat mengakibatkan subjek penelitian terpapar pada risiko pencurian identitas, rasa malu, bahkan kerugian fisik dan mental. Hal tersebut dapat menurunkan integritas peneliti dan menyulitkan peneliti untuk melakukan penelitian lain di masa yang akan datang. Apabila terjadi kebocoran, peneliti harus melaporkan kejadian tersebut kepada Komite Etik Penelitian, dan bahkan melaporkan kepada seluruh individu yang datanya bocor

Beberapa hal dapat menyebabkan kebocoran data. Diantaranya adalah:

  • Hilangnya alat/perangkat penelitian yang menyimpan data rahasia
  • Pertukaran informasi data melalui e-mail
  • Penyimpanan melalui jasa cloud seperti Box, DropBox, Google Drive, tanpa dilengkapi enkripsi tambahan
  • Penghapusan data secara kurang lengkap dari perangkat

Untuk itu, setiap alat/perangkat serta jalur komunikasi yang digunakan untuk menyimpan/mengirim data harus terlindungi. Berikut adalah beberapa cara yang dapat dilakukan oleh peneliti untuk melindungi data penelitian.

 

Menggunakan Deidentifikasi Data

Setiap data penelitian memiliki informasi identitas pribadi/Personally Identifiable Information (PII), yaitu informasi atau kombinasi informasi yang dapat digunakan untuk mengidentifikasi individu tertentu (contoh: Nama, nomor KTP). Akan berbahaya apabila data penelitian dapat langsung dihubungkan dengan PII subjek penelitian. Untuk itu, peneliti harus memisahkan PII dari keseluruhan data penelitian yang relevan untuk analisis. Sebagai alternatif, peneliti dapat menggunakan ID penelitian yang dipilih secara acak untuk memisahkan identitas pribadi individu dengan data yang digunakan untuk analisis. ID penelitian tersebut dapat dibuat dengan menggunakan software seperti STATA, R, Microsoft Excel dengan memastikan keunikan setiap ID. Berikut adalah beberapa hal yang harus dihindari dalam membuat ID penelitian untuk menghindari data dapat teridentifikasi kembali:

  • Menggunakan karakteristik data penelitian (misal: nomor KTP yang diacak)
  • Mengurutkan ID berdasarkan urutan alfabet nama subjek penelitian

Setelah melalui proses deidentifikasi, kedua data set (dataset mengandung PII dan dataset untuk analisis) tidak boleh disatukan kembali kecuali dalam urusan yang mengharuskan. Dataset yang mengandung PII disimpan pada tempat penyimpanan yang terenkripsi dan terlindungi dari virus.

Selain data elektronik, data fisik seperti berkas survei yang mengandung identitas subjek juga harus dilindungi. Peneliti harus mempertimbangkan memisahkan PII dengan data analisis lain saat membuat desain survei. Salah satu alternatif yang dapat dilakukan adalah meletakan informasi personal pada lembar cover survei. Setelah survei selesai dilaksanakan dan deidentifikasi dilakukan, lembar cover disimpan dalam tempat yang terpisah dengan data analisis lainnya.

 

Enkripsi Penyimpanan Data

Enkripsi merupakan pengubahan data menjadi kode yang memerlukan serangkaian kata kunci atau kunci untuk membukanya. Beberapa sistem operasi komputer telah memiliki software enkripsinya sendiri. Namun, peneliti juga dapat mempertimbangkan jasa enkripsi pihak ketiga (AES, Blowfish, dll). Peneliti disarankan untuk mengenkripsi data pada beberapa level yaitu:

  • Enkripsi keseluruhan perangkat. Mengenkripsi keseluruhan perangkat dapat melindungi seluruh informasi yang ada dalam perangkat, termasuk sistem operasinya. Password dibutuhkan setiap kali membuka perangkat. Hal ini dapat melindungi temporary file yang merupakan duplikat file asli yang seringkali tidak disadari keberadaannya.
  • Enkripsi jasa cloud yang digunakan. Beberapa jasa cloud seperti Dropbox, Box, dan Google Drive menyediakan jasa enkripsi pada filefile yang kita simpan. Untuk menggunakannya, pengguna cloud harus mengaktifkan fitur enkripsi terlebih dahulu. Tanpa mengaktifkan fitur tersebut, data yang tersimpan dalam jasa cloud belum terenkripsi.
  • Enkripsi folder. Mengenkripsi folder atau file sebelum diunggah ke jasa cloud dapat meminimalkan terjadinya kebocoran data pada saat mengunggah. Pada level folder, fitur enkripsi melindungi folder tertentu yang mengharuskan pengguna menggunakan kata kunci ketika membuka. Salah satu jasa enkripsi folder open-source yang telah banyak digunakan adalah VeraCrypt.

KEP LPEM FEB UI secara khusus merekomendasikan peneliti untuk melakukan enkripsi paling tidak pada level folder yang menyimpan data penelitian, terlebih lagi data penelitian yang mengandung informasi identitas pribadi subjek penelitian.

  • Enkripsi file. Enkripsi pada level file melindungi file tertentu bahkan hingga file tersebut meninggalkan folder atau perangkat yang digunakan untuk menyimpan. Enkripsi pada level file mengharuskan penggunanya untuk menggunakan kata kunci ketika mengirim, menerima, dan membuka file

Secara singkat, rekomendasi penyimpanan data dapat dirangkum dalam tabel berikut:

Tipe Data Rekomendasi Penyimpanan
Data mentah atau data dengan PII Folder terenkripsi di cloud storage/server data khusus untuk proyek penelitian
Data yang sudah melalui proses deidentifikasi Folder biasa, namun perangkat tetap perlu dilindungi kata sandi
Data fisik (kuesioner kertas) Kotak/lemari pengaman

 

Melindungi Pengiriman Data

Data yang telah terlindungi dengan enkripsi selama penyimpanan, belum tentu terlindungi juga ketika data didistribusikan. Untuk mengurangi ancaman kebocoran data saat pengiriman, berikut beberapa hal yang dapat dilakukan:

  • Menghindari pengiriman melalui e-mail. Apabila mendesak, pastikan file telah terenkripsi dan apabila memungkinkan menggunakan fitur enkripsi pada saat mengirim e-mail
  • Memastikan setiap file yang disimpan pada cloud telah terenkripsi sebelumnya. Mengunggah file yang tidak terenkripsi (meskipun langsung dihapus setelahnya) bisa jadi berbahaya karena meninggalkan jejak
  • Menghindari proses distribusi berulang. Apabila lebih dari 1 personel harus mengakses data, menyimpan pada jasa cloud yang aman akan berisiko lebih kecil daripada mengirim file kepada orang yang berbeda berulang kali

Selain distribusi data elektronik, informasi fisik seperti berkas survei juga harus dipindahkan dengan hati-hati. Misalnya, menggunakan koper yang terkunci dan menggunakan kendaraan pribadi.

Pada saat menggunakan data dengan lebih dari 1 orang, akan sangat membantu apabila tim peneliti membuat protokol pengiriman dan penggunaan data antar anggota peneliti. Hal ini untuk memastikan setiap anggota memahami langkah-langkah pengamanan data penelitian dan menghindari kebocoran.

 

Menggunakan Kata Kunci (Password)

Meskipun file telah terlindungi dengan kata kunci, masih terdapat kemungkinan kata kunci yang digunakan dapat dipecahkan. Berikut adalah beberapa langkah yang dapat dilakukan untuk mengurangi risiko tersebut:

  • Menggunakan kata kunci yang berbeda untuk setiap alat yang digunakan (cloud, laptop, ponsel, dl)
  • Semakin kompleks kata kunci akan semakin sulit untuk diretas
  • Gunakan kombinasi huruf, angka, simbol, huruf besar dan huruf kecil
  • Hindari menggunakan identitas diri (nama, tanggal lahir, tempat tinggal, institusi, dll) sebagai kata kunci
  • Hindari penggunaan kata berulang

Namun demikian, memastikan kata kunci mudah diingat oleh peneliti juga sama pentingnya dengan memastikan kata kunci sulit untuk diretas. Beberapa software enkripsi tidak menyediakan fitur lupa kata sandi. Apabila hal tersebut terjadi, data penelitian dapat terhapus. Untuk mengantisipasi permasalahan ini, peneliti disarankan untuk menggunakan aplikasi pengelola kata sandi seperti Lastpass. Aplikasi pengelola kata sandi seperti ini dapat membantu peneliti menciptakan kata sandi acak yang kompleks dan menyimpannya dalam akun peneliti yang terenkripsi.

Menghindari Kehilangan Data

Untuk menjaga data dari risiko hilang, peneliti harus mempertimbangkan data cadangan yang disimpan pada tempat terpisah. Cadangan data dapat disimpan baik melalui cloud atau server institusi peneliti. Software untuk mencadangkan file seperti SyncBack juga dapat digunakan.

Selain itu, peneliti harus secara berkala menggunakan program antivirus untuk menghindari kerusakan data.

Penghapusan Data

Untuk memastikan seluruh data telah dihapus, bahkan dari bin, peneliti disarankan menggunakan software pihak ketiga yang menyediakan layanan penghapusan data (contoh: Eraser, WipeDrive). Data fisik juga harus dilenyapkan apabila sudah tidak dibutuhkan. Menggunakan cross-cut shredder lebih disarankan daripada menggunakan strip-cut shredder karena lebih sulit untuk diidentifikasi. Tim peneliti juga harus mempertimbangkan waktu yang tepat untuk menghapus PII subjek penelitian.

Menginformasikan Protokol Keamanan Data kepada KEP

Dalam mengajukan persetujuan etika, tim peneliti diharuskan menyediakan informasi protokol keamanan data. Dalam informasi tersebut setidaknya memuat hal-hal berikut:

  • Sifat data
    • Elektronik (rekaman, video, dll) atau fisik (kertas survei, sampel, dll)
    • Apakah data mengandung PII?
    • Apakah PII dipisahkan dari data analisis? Kapan PII dipisahkan? Siapa yang memiliki akses?
  • Tempat penyimpanan data
    • Dimana data disimpan?
    • Bagaimana data yang disimpan diamankan?
    • Software apa yang digunakan untuk menyimpan data?
    • Siapa yang memiliki akses terhadap data tersimpan?
  • Pengiriman data
    • Bagaimana data didistribusikan? Secara elektronik atau fisik?
    • Kepada siapa saja data akan didistribusikan?
    • Bagaimana mengamankan data saat didistribusikan?
    • Apakah ada perjanjian kerahasiaan/Non-Disclosure Agreement (NDA) untuk data yang didistribusikan dengan pihak luar?
  • Penghapusan data
    • Kapan data dihapus?
    • Bagaimana data dihapus?
    • Software apa yang digunakan?

 

Unduh panduan ini: Panduan Protokol Kemanan Data