Kerahasiaan Data dalam Survei dan Sensus Oleh: Arbi Setiyawan
Abstrak Salah satu aspek keamanan yang utama adalah kerahasiaan [1][2]. Kerahasiaan yaitu memastikan bahwa seluruh data/informasi tidak diakses oleh individu/sistem yang tidak berhak [3]. Dalam setiap sensus dan survei, Badan Pusat Statistik (BPS) mencatat dan mengumpulkan data-data dari responden. Sesuai dengan pasal 21 Undang-undang Statistik No. 16 tahun 1997, BPS menjamin kerahasiaan data individu (personal data) responden [4]. Dalam makalah ini, akan dilakukan analisis terhadap tahapan kegiatan statistik, yang rawan akan bocornya data/informasi individu ke pihak lain yang tidak berhak. Serta memberikan solusi yang dapat diterapkan oleh BPS untuk menjamin kerahasiaan data individu seorang responden. Keyword: Survei, Sensus, Personal Data, Kerahasiaan, BPS
Pendahuluan Dalam setiap sensus dan survei, BPS mencatat, mengumpulkan, memproses, mengolah dan mempublikasikan data-data yang berasal dari responden. Berdasarkan amanah Undangundang No. 16 tahun 1997 tentang Statistik pada pasal 21, Badan Pusat Statistik (BPS) harus menjamin kerahasiaan personal data (keterangan individu) responden yang dikumpulkan. dijamin kerahasiaannya oleh BPS. Cara yang dilakukan oleh BPS dalam menjamin Keterangan individu yang disampaikan oleh responden adalah dengan cara menyajikan data dari hasil survei dan sensus dalam bentuk data statistik yang berupa agregat. [4] Akan tetapi, dalam praktek penyelenggaraan kegiatan statistik, masih dapat ditemui adanya peluang dan kesempatan untuk melakukan akses data secara tidak legal. Akses yang tidak legal ini dapat mengakibatkan pencurian data individu yang telah dikumpulkan tersebut. Sehingga kerahasiaan data responden menjadi hilang. Kerahasiaan (confidentiality) merupakan salah satu aspek keamanan yang utama disamping dua aspek lainnya yaitu Integrity dan Availability [1][2]. Confidentiality yaitu memastikan bahwa seluruh data tidak diakses oleh individu/sistem yang tidak berhak untuk mengaksesnya [3]. Confidentiality menjadi hal yang sangat penting untuk diperhatikan dalam bidang keamanan informasi. Penyelenggara statistik tidak akan dapat memperoleh data yang akurat apabila mengabaikan aspek confidentiality. Responden akan ragu untuk memberikan data yang sebenarnya [5]. Responden merasa akan dirugikan jika data dan keterangan yang bersifat pribadi dan sensitif tidak dijaga oleh penyelenggara statistik. Sehingga ada pihak lain yang mengetahui dan dapat memanfaatkan untuk untuk kepentingan pihak lain tersebut.
Teori Pendukung Survei Survei adalah suatu usaha penyelidikan terhadap sekumpulan data untuk mengambil kesimpulan bagi populasi. Dengan berbagai metode pengambilan sampel, kesimpulan yang diambil akan dapat menggambarkan keadaan seluruh populasi. Sehingga untuk mengetahui gambaran keadaan seluruh populasi objek, bisa dilakukan dengan hanya meneliti sebagian objek tersebut. Hasil dari survei ini merupakan perkiraan terhadap seluruh populasi. Survei merupakan usaha yang lebih cepat dan murah untuk mengetahui keadaan sebuah populasi. Dalam menyediakan data kepada pemerintah dan masyarakat, BPS melakukan berbagai macam survei. Jumlah survei yang dilakukan oleh BPS lebih dari seratus macam.
Survei-survei tersebut dilakukan secara rutin, ada yang mingguan, bulanan, triwulanan, semesteran, tahunan, dua tahunan, tiga tahunan dan lima tahunan. Berdasarkan objek yang diteliti, survei di BPS terdiri dari antara lain responden perorangan, badan usaha, perusahaan, hotel, restoran dan pedagang-pedagang pasar. Dari semua responden ini, data survei BPS diperoleh untuk kemudian diolah dan dipublikasikan kepada pengguna data. Data dan informasi dari responden inilah harus dijaga kerahasiaannya dari awal hingga akhir proses survei. [6] Contoh beberapa survei yang dilakukan oleh BPS beserta objek/responden dan data yang diperoleh disajikan dalam Lampiran. Sensus Sensus merupakan pengumpulan data yang dilakukan terhadap keselutuhan objek yang diteliti. Berbeda dengan survei, sensus meneliti dan mendaftar keseluruhan objek. Hasil dari sensus ini adalah hasil yang sebenarnya dari populasi. Untuk melaksanakan sensus dibutuhkan sumber daya (biaya, tenaga dan waktu) yang besar. Di Indonesia, BPS melaksanakan sensus ada yang dalam 3 (tiga) tahun sekali. Contohnya Sensus/Pendataan Potensi Desa/Kelurahan, Sensus/Pendataan Program Perlindungan Sosial yang sering disebut dengan Pendataan Warga Miskin). Ada juga yang dilakukan dalam 10 (sepuluh) tahun sekali. Contohnya adalah Sensus Penduduk (pada tahun berakhiran angka 0; 1990, 2000, 2010), Sensus Pertanian (pada tahun berakhiran angka 3; 1993, 2003, 2013) dan Sensus Ekonomi (pada tahun berakhiran angka 0; 1986, 1996, 2006). Cakupan dalam sensus ini adalah semua objek dalam populasi. Tahapan Survei dan Sensus Sensus dan survei dilaksanakan BPS melalui tahapan Persiapan, Pelaksanaan, Pengolahan Data, Analisis dan Publikasi. Tahap persiapan terdiri dari antara lain pembuatan kuesioner, uji coba, pelatihan, dan publisitas. Tahap pelaksanaan mencakup Pengumpulan Data. Pengolahan Data terdiri dari Editing dan Coding, Data Entry, Validasi (Editing Pasca Komputer). Sedangkan tahap analisis termasuk didalamnya adalah tabulasi hasil survei dan sensus. [7] Dalam setiap tahapan data individu akan diakses oleh banyak pihak. Dalam tahapan inilah data individu rawan untuk dicuri, khususnya dari tahap pelaksanaan, pengolahan, dan analisis. Dalam makalah ini akan dibahas lebih mendalam pada setiap tahapan sensus dan survei mengenai kerawanan akan bocornya kerahasiaan keterangan individu yang diperoleh dari responden.
Personal Data Dalam [8], personal data atau Personally Identifiable Information (PII) diartikan sebagai “any information about an individual maintained by an agency, including, but not limited to, education, financial transactions, medical history, and criminal or employment history and information which can be used to distinguish or trace an individual’s identity, such as their name, social security number, date and place of birth, mother’s maiden name, biometric records, etc., including any other personal information which is linked or linkable to an individual.” Kata kuncinya adalah semua informasi yang sifatnya pribadi dan dapat merujuk kepada individu. Sifat yang pribadi akan berbeda-beda (subjektif) pada setiap orang. Tetapi secara umum bisa dipilah-pilah data yang pribadi dan yang tidak pribadi. Dalam data survei dan sensus di BPS keterangan individu yang bersifat pribadi banyak dikumpulkan dari responden. Misalnya tanggal lahir, status perkawinan, riwayat penyakit, besar upah, dan data kecacatan responden. Pada Survei Demografi dan Kesehatan Indonesia (SDKI), ditanyakan juga keterangan individu yang bersifat sangat pribadi mulai dari penggunaan alat kontrasepsi hingga keterangan tentang hubungan seksual seorang responden. Keterangan-keterangan yang diperoleh dari responden inilah yang menjadi taruhan bagi BPS untuk tetap dijaga kerahasiaannya.
Gambar 1. Contoh Pertanyaan Kecacatan dalam Sensus Penduduk 2010
Gambar 2. Contoh Pertanyaan dalam SDKI 2012
Dalam gambar 1 diatas, ditanyakan tentang keadaan responden terkait kesulitan dalam melihat, mendengar, berjalan, berkomunikasi, mengingat dan mengurus diri. Data ini merupakan data yang bersifat pribadi. Gambar 2 memuat contoh pertanyaan kepada responden dewasa yang berstatus kawin. Pertanyaan itu mengenai hubungan seksual, kapan pertama kali melakukan, kemudian juga pertanyaan berhubungan seksual yang dilakukan dengan cara berbayar / imbalan. Data-data dari responden inilah yang harus dijaga kerahasiaannya oleh BPS. Responden akan merasa tersakiti jika data seperti pada gambar 1 dan gambar 2 diatas dapat diakses oleh orang lain apalagi oleh publik.
Kerahasiaan Dalam [3] diterangkan bahwa “Confidentiality is the principle that information and information systems are only available to authorized users, that that they are only used for authorized purposes, and they are only accessed in an authorized manner. Confidentiality also determines information disclosure authority and conditions; unauthorized disclosure or use of confidential information could be harmful or prejudicial. The ‘official’ definition of confidentiality is: Preserving authorized restrictions on information access and disclosure, including means for protecting personal privacy and proprietary information.” Perserikatan Bangsa-Bangsa (PBB) /United Nation (UN) menyebutkan bahwa prinsip dasar yang ke-enam dari Official of Statistics adalah Confidentiality. “Principle 6. Individual data collected by statistical agencies for statistical compilation, whether they refer to natural or legal persons, are to be strictly confidential and used exclusively for statistical purposes.” [9]. Confidentiality mempunyai dua prinsip yang utama, yaitu (1) data atau keterangan hanya digunakan oleh pihak yang berwenang dan (2) dipergunakan hanya untuk tujuan yang dimaksudkan [10]. Dapat disimpulkan bahwa confidentiality berhubungan dengan hak akses yang legal oleh pihak yang benar-benar mempunyai hak untuk mengakses data dan informasi. Pemberian akses dan penggunaan data pribadi kepada/oleh pihak ketiga merupakan sebuah pelanggaran yang dapat dituntut secara hukum. Kemudian, penggunaan data dari responden juga jelas hanya untuk kepentingan statistik. Apabila digunakan untuk kepentingan yang lain, maka harus ada persetujuan dari responden. Dalam survei dan sensus di BPS, sudah menjadi kebiasaan dan keharusan seorang petugas survei dan sensus untuk memberikan sebuah pernyataan dan janji kepada responden akan penjaminan kerahasiaan data yang diberikan. Pernyataan dan janji tersebut harus terus dipegang oleh BPS.
Kerahasiaan Data dalam Survei dan Sensus di BPS Dalam bab ini akan dibahas mengenai setiap tahapan proses survei dan sensus yang mempunyai peluang dan kesempatan adanya pencurian data pribadi responden. Tahapan yang akan dibahas meliputi Pengumpulan Data, Editing dan Coding, Pengolahan Data, Tabulasi dan Publikasi. Pada tahapan ini data responden mulai dikumpulkan, diolah dan dianalisis oleh BPS. Pengumpulan Data Pada tahapan pengumpulan data, petugas akan melakukan kunjungan kepada responden pada metode survei dan sensus dengan wawancara. Selain dengan wawancara, metode lain yang digunakan adalah melalui surat (mailing survey) dan melalui media website. Disebutkan dalam pasal 25 [4] bahwa setiap petugas yang melakukan wawancara dibekali dengan tanda pengenal dan surat tugas. Responden berhak menolak petugas yang tidak dapat menunjukan tanda pengenal dan atau surat tugas, seperti tersebut dalam pasal 26 ayat 2 [4]. Permasalahan yang terjadi di BPS berkaitan dengan kerahasiaan data dalam tahap pengumpulan data yang kemungkinan dapat menyebabkan terjadinya kebocoran data adalah sebagai berikut: 1. Adanya pihak ketiga yang mendengar saat wawancara. Pada saat melakukan wawancara dengan responden, adanya pihak lain yang mendengarkan sering kali terjadi. Biasanya seorang penunjuk jalan, tetangga responden dan aparat desa mengikuti jalannya wawancara responden dengan petugas. Hal ini tentu saja dapat mendorong terjadinya kebocoran data responden. Yang akhirnya data responden tidak lagi rahasia. Proteksi yang dilakukan: Untuk menghindarinya bisa dengan melakukan wawancara secara tertutup. Jika memungkinkan wawancara antara petugas dan responden dilakukan dengan kontak empat mata. Menghindari wawancara dengan responden ditempat umum. 2. Terjadi penyadapan dan pengubahan data responden ketika menggunakan halaman web sebagai media pengumpulan data. Survei-survei yang dilakukan melalui halaman web, akan banyak peluang dan kesempatan bagi pencuri data untuk mengambil dan merubah data atau keterangan dari responden.
Proteksi yang dilakukan: Melakukan enkripsi melalui penggunaan SSL atau HTTPS pada halaman web. Hal ini dilakukan untuk memastikan bahwa komunikasi antara responden dengan server halaman web terjaga. Data yang dikirimkan oleh responden dienkripsi begitu pula data dari server juga dienkripsi. Hal ini untuk menjaga data tetap aman saat dikirimkan antara responden dan server. 3. Terjadi pencurian data pada penggunaan mailing survey dalam proses pengiriman. Sama halnya dengan survei melalui media halaman web, mailing survei juga memungkinkan adanya pencurian data ketika dalam proses pengiriman kuesioner dari responden. Proteksi yang dilakukan: Untuk menghindari pencurian pada saat pengiriman dokumen adalah dengan jika memungkinkan dengan melakukan penjemputan kuesioner ditempat responden. Jika hal ini tidak bisa dilakukan, maka bisa dengan melakukan perjanjian dengan jasa pengiriman dalam hal penjagaan dokumen selama pengiriman. 4. Penyalinan hasil survei dan sensus oleh petugas lapangan (pencacah dan pemeriksa). Setelah selesai pelaksanaan pencacahan, dokumen pencacahan masih ada pada petugas sebelum disetorkan ke BPS. Petugas lapangan, yang sebagian besar adalah mitra (tenaga outsource), kadangkala mempunyai perilaku yang tidak sesuai aturan pencacahan dengan menyalin atau menggandakan hasil pencacahan. Proteksi yang dilakukan: Memperketat aturan bagi petugas dan menjatuhkan sanksi kepada petugas lapangan yang kedapatan melakukan penyalinan. 5. Intervensi aparat Pemerintah Desa/Kecamatan agar melakukan penyalinan dan atau pengarsipan dokumen survei dan sensus di wilayahnya Pihak pemerintah desa/ kecamatan sebagai pnguasa wilayah merasa mempunyai hak untuk mengetahui data dan keterangan yang diperoleh selama pencacahandari responden. Mereka melakukan intervensi kepada petugas lapangan untuk menyalin semua data yang tercatat dalam kuesioner. Proteksi yang dilakukan: Melakukan sosialisasi untuk menjelaskan bahwa data yang dikumpulkan adalah bersifat rahasia dan tidak dibenarkan melakukan penyalinan dan atau pengarsipan dokumen survei dan sensus.
6. Kuesioner tercecer. Penyebab lain dalam kebocoran data responden adalah tercecernya dokumen pencacahan. Hal ini bisa terjadi karena kesalahan petugas lapangan ataupun desain kuesioner yang tidak baik (dalam bentuk lembaran). Proteksi yang dilakukan: Desain kuesioner yang baik yaitu dalam bentuk yang berjilid bukan lembaran. Cara lainnya adalah dengan, mengurangi paper-based kuesioner dengan teknologi web dan mobile survey (tablet dan smartphone). 7. Petugas lapangan membawa pulang dokumen survei dan sensus ke rumah (jika pencacahan melewati jam kerja) Beberapa survei, salah satunya seperti Survei Sosial Ekonomi Nasional, pencacahan survei yang dilakukan memerlukan waktu yang cukup lama yaitu rata-rata 2 jam untuk satu responden. Petugas lapangan sering kali melewati jam kerja dalam melakukan kunjungan ke lapangan sehingga dokumen hasil pencacahan dibawa pulang kerumah. Hal ini menyalahi prosedur pencacahan karena dapat menyebabkan terjadinya kebocoran data responden. Proteksi yang dilakukan: Mengharuskan petugas untuk menyimpan semua dokumen survei dan sensus di kantor. Editing dan Coding Tahapan editing dan
coding adalah tahapan untuk memeriksa isian kuesioner dan
memberikan kode-kode sebelum dilakukan pengolahan data di komputer. Selama pencacahan, ada kemungkinan terjadi kesalahan pengisian data ke dalam kuesioner oleh petugas lapangan. Kesalahan ini dapat terjadi baik karena kelemahan petugas dalam melakukan wawancara, maupun karena keengganan responden memberikan jawaban yang benar. Kesalahan lain yang mungkin terjadi adalah akibat lemahnya pengawasan atau pemeriksaan oleh petugas pemeriksa. Untuk mengatasi permasalahan tersebut maka upaya yang dilakukan adalah melakukan editing dan coding. [11] Penyebab kebocoran data pada tahap editing dan coding antara lain: 1. Terjadinya pencurian data responden oleh petugas editing dan coding Jumlah dokumen yang banyak sering mengakibatkan bebas editing dan coding melebihi kemampuan seorang petugas. Sehingga diperlukan mitra untuk melakukan
editing dan coding. Dari sini muncullah peluang dan kesempatan yang lebih besar bocornya data responden kepada pihak lain. Proteksi yang dilakukan: Meminimalkan penggunaan mitra dalam proses editing dan coding.
Membuat
peraturan yang mengikat secara hukum bahwa setiap petugas tidak diperbolehkan menyebarluaskan data responden. 2. Kuesioner tercecer Seperti dalam tahap pengumpulan data, pada saat editing dan coding, tercecernya kuesiner
juga bisa terjadi. Proteksi yang dilakukan sama dengan pada tahap
pengumpulan data. 3. Petugas membawa pulang dokumen survei dan sensus ke rumah. Karena beban yang banyak, petugas melakukan proses editing dan coding dengan membawa dokumen ke rumah. Hal ini bisa memancing kebocoran data responden. Proteksi yang dilakukan: Mengharuskan petugas untuk menyimpan semua dokumen survei dan sensus di kantor Pengolahan data Setelah dokumen selesai pada tahapan editing dan coding, tahap berikutnya adalah tahapan pengolahan data meliputi Data Entry dan Validasi. Data entry merupakan proses memindahkan data dari kuesioner ke dalam data digital di komputer. Ada dua jenis data entry yang dilakukan oleh BPS yaitu memakai program aplikasi data entry yang dilakukan secara manual dengan keyboard dan sat lagi melalui proses scanning. [12] 1. Penyimpanan dokumen Dari pengamatan penulis, BPS kabupaten/kota di daerah tidak mempunyai tempat untuk penyimpanan dokumen. BPS menyewa tempat/rumah penduduk sebagai tempat penyimpanan dokumen sebelum dokumen di olah. Hal ini dapat memberikan peluang dan kesempatan kebocoran data responden. Proteksi yang dilakukan: Menyediakan tempat khusus untuk penyimpanan dokumen. Jika terpaksa menyewa tempat penyimpanan, maka harus dijaga dengan ketat.
2. Akses aplikasi program data entry Program aplikasi data entry merupakan program yang dipakai untuk melakukan pemindahan data dari kuesioner ke dalam komputer. Kurangnya kesadaran bahwa program aplikasi ini juga memuat data-data responden, dengan membiarkan program aplikasi beroperasi ketika ditinggal, menyebabkan adanya kesempatan untuk melihat dan mengubah data responden. Proteksi terhadap program aplikasi data entry menjadi penting untuk menjamin confidentiality dan integrity data responden. Proteksi yang dilakukan: Pemberian otentifikasi pengguna dan membuat aplikasi dapat logoff secara otomatis ketika dalam posisi tidak digunakan. 3. Akses database aplikasi data Kemudahan mengakses data langsung pada database dapat menyebabkan kebocoran data responden. Proteksi yang dilakukan: Penggunaan password pada database serta enkripsi pada data-data pribadi responden akan dapat menjaga data responden dari pengubahan dan pencurian data. 4. Pengiriman data hasil pengolahan Pengiriman data hasil pengolahan di daerah ke BPS Pusat di Jakarta dilakukan melalui media Compact Disk (CD) dan email. Proteksi yang dilakukan: Menghindari pengiriman dengan CD. Menggunakan email yang secure. Bisa juga menggunakan database yang terpusat, dengan teknologi cloud. Tabulasi dan Publikasi Tabulasi dibuat untuk mempublikasikan hasil survei dan sensus kepada Pemerintah dan masyarakat. Setelah tabulasi selesai dilakukan kemudian dibuatlah Publikasi yang memuat tabel-tabel hasil survei dan sensus. Karena data yang ditampilkan adalah berupa data agregat, ini menjadi jaminan bahwa data responden tidak ditampilkan secara individual. Akan tetapi pada tahun 2005, untuk pertama kalinya BPS menerbitkan data responden secara individu pada Pendataan Sosial Ekonomi (PSE 2005). Hal ini dikarenakan adanya kepentingan pemerintah untuk memperoleh data penerima / rumah tangga sasaran dalam program sasaran Bantuan Langsung Tunai akibat kenaikan
harga Bahan Bakar Minyak
(BBM). Adanya data-data individual ini memicu kerusuhan di berbagai daerah. Hal yang
sama terulang lagi pada tahun 2008, dalam PPLS 2008. BPS kembali mempublikasikan rumah tangga sasaran beserta data-data individual rumah tangga. Publikasi data pribadi seharusnya dapat dihindari oleh BPS karena hal ini bisa diaanggap sebagai pelanggaran terhadap prinsip Official of Statistics tentang confidentiality. Akses data mikro Data mikro merupakan data mentah dari survei dan sensus. Pengguna data dapat memperoleh data mikro berbagai survei dan sensus di BPS. Data mikro dapat diolah sesuai dengan kebutuhan pengguna data. Untuk menjamin kerahasiaan data responden, data mikro ini telah dihilangkan field-field yang mengandung identitas pribadi.
Kesimpulan dan Saran Kesimpulan Dari pembahasan pada bab 3, dapat disimpulkan bahwa masih banyak kemungkinan celah dalam proses survei dan sensus di BPS untuk menjamin kerahasiaan data responden. Setiap celah ter dapat mengakibatkan bocornya data responden kepada pihak lain. Menjadi keharusan bagi BPS untuk menjaga confidentiality data dari responden. Apabila tidak dapat dijamin dan dijaga maka responden akan dirugikan, hingga akhirnya akan merugikan BPS karena responden enggan untuk memberikan data yang sebenarnya. Sehingga data yang diperoleh adalah data yang bias dan tidak akurat. Saran Saran yang dapat disumbangkan dari makalah ini adalah: 1. BPS hendaknya melakukan sosialisasi secara intern tentang tanggung jawab yang besar dalam
menjamin kerahasiaan data responden, sehingga seluruh pihak
mempunyai kesadaran yang tinggi dalam usaha menjaga kerahasiaan data responden. 2. Pembuatan Standard Operating Procedure (SOP) pada setiap tahapan survei dan sensus untuk menjamin keamanan data responden.
Daftar Pustaka [1]
Information Security. [Online]. Available: http://www.stevens.edu/sit/it/informationsecurity
[2]
E-security: Keamanan Teknologi Informasi. [Online]. Available: http://budi.insan.co.id/presentation/e-security.ppt
[3]
Key Information Security Concepts & Principles. [Online]. Available: http://www.sinclair.edu/about/information/usepolicy/pub/infscply/Key_Information_S ecurity_Concepts_&_Principles.htm
[4]
Undang-undang No. 16 Tahun 1997 tentang Statistik.
[5]
A. F. Karr dan A. P. Sanil, “Data Quality and Data Confidentiality for Microdata: Implications and Strategies,” National Institute of Statistical Sciences, Tech. Rep. 149, December 2004.
[6]
Sistem Informasi Rujukan Statistik. [Online]. Available: http://sirusa.bps.go.id
[7]
Jadwal Kegiatan Sensus Pertanian 2013. [Online]. Available: http://st2013.bps.go.id/timeliner.php?l=3a
[8]
United States Government Accountability Office, “Privacy: Alternatives Exist for Enhancing Protection of Personally Identifiable Information,” GAO Rep. 08-536, May 2008.
[9]
Fundamental Principles of Official Statistics. [Online]. Available: http://unstats.un.org/unsd/dnss/gp/fundprinciples.aspx
[10] G. T. Duncan, M. Elliot, dan J.J. Salazar-González, Statistical Confidentiality: Principles and Practice. New York: Springer, 2011. [11] Badan Pusat Statistik, Pengolahan PODES 2008 - Pedoman Editing/Coding. Jakarta: BPS, 2008 [12] Pengolahan Data. [Online]. Available: http://bps.go.id/menutab.php?tab=1&aboutus=0&tentang=1&id_tentang=5
