Keamanan Data Kandidat 02 HRPods

5 Cara Bagi HR Lindungi Keamanan Data Kandidat

Kasus keamanan data tidak lagi menyerang skala nasional, kini data kandidat alias calon pekerja pun menjadi persoalan yang disorot. Pada Juli 2024, sebuah kasus yang diduga penyalahgunaan data kandidat menjadi sorotan warga media sosial.

Kebocoran data tak hanya berdampak bagi kepercayaan pelanggan, tetapi juga pelamar kerja, terlebih keamanan data kandidat yang bocor. Mereka enggan bergabung atau sekadar mengirimkan CV ke perusahaan Anda.

Mereka menganggap perusahaan tidak serius menangani bisnis secara keseluruhan, sehingga dapat memperlambat bisnis perusahaan. Untuk menghindari hal tersebut, manajemen bersama tim HR dapat mempertimbangkan tiga poin keamanan data kandidat.

1) Kontrol terhadap akses data

Perusahaan harus memiliki strategi manajemen risiko. Salah satunya adalah kontrol terhadap akses data. Misalnya, hanya karyawan di tim HR yang boleh mengakses data kandidat dan pengaksesan hanya dilakukan pada jam kerja.

Jika ada salah seorang tim HR mengundurkan diri, manajer HR menginformasikan kepada tim TI untuk menghentikan akses karyawan tersebut ke database mana pun pada waktu yang telah ditentukan. Hal ini dapat menghindari kebocoran data dari pihak orang dalam.

2) Mengetahui risiko kebocoran data

Manajemen, HR, dan IT harus mengetahui risiko yang menyebabkan data perusahaan mengalami kebocoran. Baik sengaja maupun tidak sengaja.

  • Perilaku yang disengaja seperti mengunggah dokumen perusahaan, sehingga mengakibatkan reputasi negatif
  • Perilaku tidak disengaja seperti mengirimkan data melalui pesan singkat antar karyawan, salah menyimpan data di file yang tak aman, dan salah menangani data sensitif

3) Peraturan keamanan data pribadi

Akhirnya segala hal terkait perlindungan data pribadi rakyat Indonesia kini diatur dalam Undang-undang Nomor 27 Tahun 2022 Tentang Perlindungan Data Pribadi.

Sebelumnya, perlindungan data pribadi masih mengacu UU Nomor 19 Tahun 2016 tentang Perubahan atas UU Nomor 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE).

Untuk melindungi keamanan data calon karyawan dan karyawan, perusahaan harus memiliki peraturan yang merujuk pada Undang-undang Nomor 27 tersebut.

Pertanyaan selanjtunya yang perlu diperhatikan HR, apa saja yang termasuk data pribadi karyawan dan sampai mana batasan perusahaan boleh mengaksesnya?

Mengutip pembahasan tentang batasan mengakses data pribadi pegawai oleh perusahaan di Hukumonline, Teguh Arifiyadi yang merupakan Ketua Umum Indonesia Cyber Law Community (ICLC), memberikan poin-poin yang bisa menjadi patokan HRD dalam mengakses data karyawan.

  1. Komputer atau sistem elektroniknya milik siapa?
  2. E-mail milik siapa?
  3. E-mail isinya terkait apa?
  4. Adakah izin untuk mengakses? Misalnya form consent yang memuat setuju/tidak setuju di perjanjian kerja.

Menilik juga jenis-jenis data pribadi sebagaimana disebutkan dalam Pasal 4 UU PDP, ada yang disebut data pribadi bersifat spesifik dan data pribadi bersifat umum.

Data pribadi yang bersifat spesifik meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya.

Data pribadi yang bersifat umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.

Sehingga, jika dari pembagian di atas tidak ada data yang terkait dengan kepentingan perusahaan, maka data tersebut merupakan data pribadi. Perusahaan pun dilarang untuk mengaksesnya.

5 Cara Melindungi Keamanan Data Kandidat

Divisi HR memiliki akses ke berbagai informasi pribadi yang sensitif, mulai dari nama, nomor telepon, KTP, BPJS, alamat tempat tinggal, serta data kandidat.

Oleh karena itu, sebaiknya manajer HR membuat kebijakan untuk melindungi keamanan data karyawan maupun kandidat. Jika tidak, bukan tak mungkin orang yang selama ini bertanggung jawab terhadap data HR malah membawa malapetaka bagi perusahaan.

#1 Bekerja sama dengan tim TI dan legal

Tim TI dan legal menjadi sumber daya luar biasa dalam keamanan data perusahaan.

Tim HR dapat mendiskusikan dengan TI dan legal tentang perubahan yang diperlukan dan sinkronisasi secara teratur untuk memastikan tidak ada proses pengamanan yang terlewatkan.

Misalnya, memberi tahu tim TI ketika HR berencana untuk mengevaluasi atau mengimplementasikan perangkat lunak baru, sehingga mereka dapat meninjau keamanan data, memberikan masukan, dan menyarankan pembaruan keamanan internal.

#2 Enkripsi informasi sensitif

Sebagian besar tim HR adalah pengguna Excel, karena memungkinkan mereka untuk mengekspor data dengan mudah. Misalnya, menggunakan spreadsheet yang berisi informasi pribadi.

Untuk melindungi data tersebut, HR perlu mengenkripsinya. Banyak perusahaan teknologi HR terkemuka mengenkripsi informasi sensitif. Tujuannya untuk mengamankan data HR.

#3 Memilih piranti lunak yang tepat

Tim HR harus memahami bahwa tidak semua teknologi HR diciptakan dengan fitur sama, termasuk soal keamanan data.

Jadi, tim HR wajib memilih piranti lunak yang tepat agar data karyawan dan kandidat tetap terlindungi. Pastikan pula penyedia piranti lunak telah terbukti melakukan keamanan data secara teratur dan mengenkripsi data untuk keamanan dan privasi maksimum.

#4 Batasi pengakses data

Manajer HR perlu membatasi pengakses data dalam rangka melindungi keamanan data kandidat maupun karyawan, seperti:

  • Siapa saja yang bisa mengakses data HR
  • Data apa saja yang bisa diakses tim HR
  • Persetujuan manajer jika karyawan HR yang ingin membuka data khusus
  • Manajer divisi lain yang ingin melihat data kandidat harus menghubungi manajer HR

#5 Budayakan keamanan siber

Tim HR memainkan peranan penting dalam menciptakan dan mengelola budaya perusahaan. Dalam hal keamanan siber, Anda bersama tim TI dapat memulai budaya tersebut ke seluruh karyawan.

Budaya keamanan siber yang bisa dilakukan, antara lain:

  • Mengadakan pelatihan cyber security kepada karyawan hingga level eksekutif
  • Mengenali dan menangani masalah umum, seperti keamanan sandi, phishing, penggunaan perangkat kerja di kantor dan di rumah, akses jarak jauh, pemulihan perangkat setelah mengalami kendala, dan lainnya
  • Pelatihan ulang jika ada perubahan perangkat lunak, aplikasi, kebijakan perusahaan, atau peraturan pemerintah

Di sisi lain, perusahaan perlu memiliki program manajemen risiko siber untuk mengurangi risiko kebocoran data. Program juga dapat menyelaraskan perilaku karyawan terhadap peraturan atau kebijakan dan undang-undang yang berlaku.

Posted

in

,

by

admin

Tags:

,

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *