Implementasi

Keamanan Data & Kepatuhan AI di Indonesia (UU PDP)

Raymond ChinFounder, Genesis — Venture House
Dipublikasikan 9 menit baca

Ringkasan

  • Data yang kamu kirim ke LLM pihak ketiga bisa digunakan untuk pelatihan model — kecuali kamu opt-out secara eksplisit di kontrak.
  • UU PDP (UU No. 27/2022) mewajibkan prinsip consent, purpose limitation, dan perlindungan hak subjek data — berlaku juga untuk AI deployment.
  • Cloud hosting berbeda dari on-premise dalam hal kontrol, biaya, dan risiko kepatuhan lintas batas; keduanya punya trade-off nyata.
  • Pakai checklist pre-deployment data untuk identifikasi PII, klasifikasi risiko, dan audit klausul kontrak sebelum vendor naik ke produksi.

Keamanan data AI dimulai dari satu pertanyaan yang sering dilewati: ke mana data bisnismu sebenarnya pergi ketika kamu menekan "kirim" di antarmuka LLM pihak ketiga? Artikel ini menjawab itu secara operasional — bukan teoritikal — dan menghubungkannya dengan kewajiban yang sudah ada dalam hukum Indonesia.

Catatan penting: artikel ini adalah panduan umum untuk membantu bisnis memulai percakapan tentang keamanan data dan kepatuhan AI. Ini bukan nasihat hukum. Untuk kebutuhan spesifik dan keputusan kontraktual, konsultasikan dengan konsultan hukum yang relevan.

Kalau kamu sedang mengevaluasi atau sudah menggunakan solusi AI dari vendor luar, lihat dulu apa yang tersedia di /marketplace untuk memahami lanskap penyedia lokal yang lebih dekat regulasinya dengan konteks Indonesia.

Ke mana data kamu pergi saat memakai LLM pihak ketiga

Ketika tim kamu memasukkan dokumen kontrak, data pelanggan, atau catatan internal ke dalam prompt LLM — entah itu GPT, Gemini, Claude, atau model lain — data itu melewati beberapa lapisan yang masing-masing punya implikasi keamanan sendiri.

Pertama, data dikirim lewat HTTPS ke server vendor di luar Indonesia. Kebanyakan penyedia LLM besar beroperasi dari pusat data di Amerika Serikat atau Eropa — artinya ada cross-border data transfer yang, dalam kerangka UU PDP, perlu diperhatikan karena menyangkut data warga negara Indonesia yang melintas ke yurisdiksi lain.

Kedua, data diproses di infrastruktur vendor. Apa yang terjadi di sini bergantung pada perjanjian layanan. Tanpa pengaturan eksplisit, banyak penyedia LLM komersial secara default menggunakan interaksi API untuk memperbaiki model mereka — artinya data bisnismu bisa menjadi bagian dari dataset pelatihan model berikutnya.

Ketiga, output dikembalikan dan mungkin disimpan di sisi vendor untuk audit, pemantauan keamanan, atau peningkatan layanan — selama periode yang berbeda-beda tergantung kebijakan masing-masing.

Ini bukan untuk mengatakan LLM pihak ketiga berbahaya. Banyak yang menawarkan opsi enterprise dengan jaminan tidak ada pelatihan dari data kamu, SLA keamanan yang kuat, dan enkripsi end-to-end. Tapi default-nya tidak selalu aman, dan tanpa membaca kebijakan data dan menambahkan klausul kontrak yang benar, kamu tidak tahu standar mana yang berlaku.

Apa yang UU PDP minta dari bisnis yang menggunakan AI

Undang-Undang No. 27/2022 tentang Perlindungan Data Pribadi adalah kerangka perlindungan data pertama yang komprehensif di Indonesia. Meski implementasi penuhnya masih terus berkembang, prinsip-prinsip dasarnya sudah jelas dan relevan langsung untuk AI deployment.

Consent dan purpose limitation. Data pribadi hanya boleh diproses dengan dasar hukum yang sah — umumnya persetujuan dari subjek data atau keperluan pelaksanaan kontrak. Yang penting, data tidak boleh digunakan untuk tujuan lain di luar yang sudah disampaikan. Kalau kamu mengumpulkan data pelanggan untuk keperluan layanan, kamu tidak bisa begitu saja memasukkannya ke dalam pipeline AI untuk tujuan yang berbeda tanpa transparansi dan dasar hukum yang sesuai.

Hak subjek data. UU PDP memberikan hak kepada individu untuk mengakses data mereka, meminta koreksi, dan dalam kondisi tertentu meminta penghapusan. Dalam konteks AI, ini berarti sistem kamu harus bisa menjawab: di mana data seseorang tersimpan, siapa yang memprosesnya, dan bagaimana cara menghapusnya kalau diminta.

Transfer data lintas batas. Pengiriman data pribadi ke luar Indonesia hanya boleh dilakukan jika negara tujuan menyediakan perlindungan data yang setara, atau ada jaminan kontraktual yang memadai. Ini langsung berimplikasi pada penggunaan cloud AI yang servernya di luar negeri.

Kewajiban pengendali dan prosesor. Dalam UU PDP, ada pembedaan antara pengendali data (yang menentukan tujuan pemrosesan) dan prosesor (yang melakukan pemrosesan atas instruksi pengendali). Vendor AI pihak ketiga kamu adalah prosesor — dan kamu, sebagai bisnis, tetap bertanggung jawab sebagai pengendali.

Sekali lagi: ini adalah interpretasi prinsip umum untuk keperluan panduan operasional. Untuk penerapan spesifik di industri kamu, konsultasikan dengan ahli hukum.

Cloud vs on-premise: perbandingan trade-off nyata

Tidak ada pilihan yang selalu lebih baik. Yang ada adalah kesesuaian antara pilihan arsitektur dengan profil risiko dan kapasitas bisnis kamu.

DimensiCloud AI (SaaS/API)On-premise / Self-hosted
Kontrol dataTerbatas — data melintas ke server vendorPenuh — data tetap di infrastrukturmu
Biaya awalRendah — bayar per penggunaanTinggi — server, lisensi, setup
Biaya jangka panjangBisa meningkat signifikan dengan skalaLebih stabil, tapi ada biaya perawatan
Kecepatan deploymentCepat — hari atau mingguLambat — bisa berbulan-bulan
Kepatuhan lintas batasPerlu audit vendor dan klausul kontrakTidak ada transfer data ke luar — lebih sederhana
Kapasitas tim yang dibutuhkanMinimal — vendor yang manageSignifikan — butuh tim infra dan ML ops
Cocok untukBisnis yang ingin cepat mulai, volume sedang, data non-sensitif atau sudah pseudonymizedBisnis di sektor regulasi ketat (keuangan, kesehatan), volume sangat besar, atau data yang tidak bisa keluar

Untuk sebagian besar bisnis menengah di Indonesia, cloud AI dengan pengaturan enterprise yang ketat adalah titik awal yang realistis. On-premise masuk akal ketika regulasi sektoral melarang data keluar (misalnya perbankan atau rekam medis), atau ketika volume penggunaan sudah cukup besar sehingga biaya cloud melebihi investasi infrastruktur sendiri.

Ada juga opsi tengah yang semakin populer: hybrid deployment, di mana model berjalan di cloud tapi data sensitif diproses secara lokal sebelum dikirim — hanya embedding atau representasi anonim yang keluar ke vendor. Ini bisa menjadi jalan tengah yang baik untuk bisnis yang butuh kapabilitas LLM tapi tidak mau data mentah meninggalkan infrastruktur Indonesia.

Apa yang harus ada di kontrak vendor AI kamu

Kontrak yang buruk adalah risiko data terbesar yang paling mudah dihindari. Berikut klausul yang wajib ada sebelum kamu menandatangani apa pun dengan vendor AI:

1. Larangan penggunaan data untuk pelatihan model. Tulis secara eksplisit bahwa data yang kamu kirim — termasuk prompt, dokumen, dan output — tidak boleh digunakan untuk melatih, fine-tuning, atau memperbaiki model vendor tanpa izin tertulis dari kamu. Ini adalah klausul yang paling sering dilewati dan paling berdampak.

2. Kepemilikan data dan output. Tentukan sejak awal: data yang kamu masukkan adalah milikmu. Output yang dihasilkan dari data itu juga milikmu. Vendor tidak punya hak atas keduanya setelah hubungan kontrak berakhir.

3. Daftar sub-prosesor yang transparan. Vendor AI besar biasanya menggunakan sub-prosesor — penyedia cloud, layanan penyimpanan, dan mitra lain. Kamu berhak tahu siapa saja mereka, di mana mereka beroperasi, dan standar keamanan apa yang mereka terapkan.

4. Kebijakan retensi dan penghapusan data. Berapa lama vendor menyimpan data kamu? Apa prosesnya untuk menghapus data setelah kontrak berakhir? Pastikan ada tenggat yang spesifik, bukan "data akan dihapus dalam waktu yang wajar."

5. Notifikasi breach. Jika terjadi kebocoran data, dalam berapa jam vendor harus memberitahu kamu? Standar industri umumnya 72 jam, sejalan dengan praktik GDPR yang banyak dijadikan acuan. Tanpa klausul ini, kamu mungkin tahu dari berita sebelum tahu dari vendor.

6. Audit dan compliance. Untuk vendor yang menangani data sensitif, minta bukti sertifikasi keamanan (ISO 27001, SOC 2 Type II) dan hak untuk melakukan audit atau menerima laporan audit secara berkala.

Checklist pre-deployment data: 12 poin sebelum AI naik ke produksi

Jalankan checklist ini sebelum sistem AI mana pun menyentuh data nyata:

  1. Klasifikasi data — identifikasi semua jenis data yang akan masuk ke sistem. Mana yang PII? Mana yang sensitif secara bisnis?
  2. Data minimization — hapus atau pseudonymize semua data yang tidak secara spesifik dibutuhkan untuk fungsi AI yang ditargetkan.
  3. Basis hukum pemrosesan — dokumentasikan dasar hukum setiap kategori data yang diproses (consent, pelaksanaan kontrak, atau kepentingan sah).
  4. Audit vendor — minta dan baca kebijakan data, DPA (Data Processing Agreement), dan sertifikasi keamanan vendor.
  5. Klausul kontrak — pastikan 6 klausul di atas sudah ada dalam perjanjian layanan.
  6. Transfer lintas batas — dokumentasikan ke negara mana data mengalir dan mekanisme perlindungannya.
  7. Akses dan izin — siapa di tim kamu yang bisa mengakses sistem AI dan data di dalamnya? Terapkan prinsip least privilege.
  8. Enkripsi — pastikan data dienkripsi baik saat transit (HTTPS/TLS) maupun saat disimpan.
  9. Logging dan audit trail — ada log yang mencatat siapa mengakses apa dan kapan — penting untuk investigasi insiden.
  10. Rencana respons insiden — apa langkah pertama jika terjadi kebocoran? Siapa yang dihubungi, dan dalam berapa jam?
  11. Pelatihan tim — apakah tim yang menggunakan sistem sudah paham data apa yang boleh dan tidak boleh dimasukkan?
  12. Review berkala — jadwalkan audit kepatuhan setidaknya setiap tahun, atau setiap ada perubahan signifikan pada sistem atau regulasi.

Checklist ini bukan formalitas — setiap poin mewakili vektor risiko nyata yang telah menjadi sumber kebocoran data di organisasi lain.

PII dan AI: panduan praktis untuk deployment

Personally Identifiable Information (PII) dalam konteks AI mencakup lebih dari sekadar nama dan nomor KTP. Dalam pipeline LLM atau RAG, PII bisa muncul dari arah yang tidak terduga.

Perhatikan potensi PII di tempat-tempat ini: dokumen kontrak (nama, tanda tangan, nomor rekening), tiket dukungan pelanggan (nama, keluhan, riwayat pembelian), email internal (nama, jabatan, diskusi bisnis sensitif), log sistem (alamat IP, ID pengguna, pola perilaku), dan rekaman percakapan (voice transcript).

Pendekatan yang disarankan sebelum data masuk ke pipeline AI:

  • Redaksi otomatis: gunakan tool NER (Named Entity Recognition) untuk mendeteksi dan menyembunyikan PII sebelum data dikirim ke LLM.
  • Pseudonymization: ganti identifier langsung dengan token acak yang bisa di-reverse hanya oleh sistem internal kamu, bukan oleh vendor.
  • Segregasi data: simpan data sensitif di database terpisah yang tidak terkoneksi langsung ke pipeline AI; hanya agregat atau representasi anonim yang diproses oleh model.

Untuk sistem RAG khususnya — di mana LLM mengakses knowledge base internal — pastikan kontrol akses pada knowledge base itu sendiri sudah benar. Jika dokumen tertentu hanya boleh diakses oleh grup pengguna tertentu, permission-nya harus diterapkan di layer retrieval, bukan hanya di layer antarmuka. Ini adalah celah umum yang sering terlewat dalam implementasi RAG. Kamu bisa baca lebih lanjut soal arsitektur RAG yang aman di artikel RAG Knowledge Base Perusahaan.

Memilih vendor AI dengan postur keamanan yang benar

Saat mengevaluasi vendor AI — baik untuk implementasi lokal maupun solusi cloud — keamanan data harus masuk dalam kriteria seleksi, bukan jadi pertanyaan afterthought setelah kontrak ditandatangani.

Pertanyaan yang perlu kamu ajukan ke setiap calon vendor:

  • Sertifikasi keamanan apa yang kamu punya (ISO 27001, SOC 2 Type II)?
  • Di mana data pelanggan disimpan secara fisik?
  • Apakah data saya digunakan untuk melatih model? Bagaimana cara opt-out-nya?
  • Siapa saja sub-prosesor kamu?
  • Berapa lama data saya disimpan setelah kontrak berakhir?
  • Apa prosedur notifikasi jika terjadi breach?

Vendor yang tidak bisa menjawab pertanyaan-pertanyaan ini dengan jelas — atau yang menjawab dengan defensif — adalah sinyal bahwa postur keamanan mereka belum matang. Untuk melihat penyedia yang sudah terverifikasi dan merespons kriteria ini, jelajahi /marketplace.

Panduan lengkap tentang cara memilih vendor AI secara umum tersedia di artikel sibling Cara Memilih Jasa AI di Indonesia.

Kesimpulan

Keamanan data AI bukan pilihan yang bisa ditunda sampai ada insiden. Dengan UU PDP yang sudah berlaku dan ekosistem AI yang terus berkembang, bisnis Indonesia yang menggunakan LLM pihak ketiga perlu memahami ke mana data mereka pergi, apa kewajiban hukumnya, dan bagaimana menegosiasikan kontrak vendor yang memberikan perlindungan nyata.

Mulai dari hal yang paling langsung bisa dikontrol: audit data apa yang masuk ke sistem AI kamu hari ini, cek kontrak vendor untuk klausul yang hilang, dan jalankan checklist pre-deployment sebelum ekspansi berikutnya.

Langkah konkret: temukan vendor AI yang sudah terverifikasi dan transparan soal keamanan di /marketplace. Penyedia yang ingin tampil bisa mendaftar di /marketplace/daftar. Dan kalau kamu ingin mengukur kesiapan tim dalam mengadopsi AI secara bertanggung jawab, mulai dari /pari.

Lebih dari separuh insiden kebocoran data di organisasi Asia Tenggara melibatkan data yang dibagikan ke pihak ketiga — termasuk vendor SaaS dan API cloud.

IBM Cost of a Data Breach Report (2024)

Rata-rata biaya insiden kebocoran data di Asia Tenggara mencapai sekitar USD 2,6 juta per kejadian, naik dari tahun sebelumnya.

IBM Cost of a Data Breach Report (2024)

Pertanyaan yang sering diajukan

Apakah UU PDP Indonesia berlaku untuk penggunaan AI di perusahaan?

Ya. UU No. 27/2022 tentang Perlindungan Data Pribadi mengatur siapa pun yang memproses data pribadi warga negara Indonesia, termasuk lewat sistem AI. Prinsip utamanya mencakup consent, purpose limitation, minimisasi data, dan hak subjek data. Ini adalah panduan umum — konsultasikan kebutuhan spesifik kamu dengan konsultan hukum.

Apakah data saya dipakai untuk melatih model LLM pihak ketiga?

Tergantung vendor dan pengaturan akun. Banyak penyedia LLM komersial menggunakan data API secara default untuk memperbaiki model, kecuali kamu mengaktifkan opt-out atau memakai paket enterprise. Cek kebijakan data vendor dan klausul kontrak sebelum mengirimkan data sensitif apa pun.

Mana yang lebih aman untuk bisnis Indonesia: cloud AI atau on-premise?

Tidak ada jawaban mutlak — tergantung jenis data, kapasitas tim, dan regulasi sektoral. Cloud lebih cepat dan murah di awal, tapi data melintas ke server di luar yurisdiksi. On-premise memberi kontrol penuh tapi butuh investasi infrastruktur dan tim yang bisa mengelolanya.

Apa klausul kontrak paling penting saat memakai vendor AI pihak ketiga?

Lima klausul kritis: (1) larangan penggunaan data untuk pelatihan model, (2) kepemilikan data dan output model, (3) daftar sub-prosesor yang transparan, (4) kebijakan retensi dan penghapusan data, serta (5) notifikasi breach dalam tenggat yang jelas. Tanpa klausul ini, kamu tidak punya perlindungan kontraktual.

Bagaimana cara mengidentifikasi PII dalam data yang akan dimasukkan ke sistem AI?

Mulai dari klasifikasi data: nama, nomor identitas, kontak, lokasi, data keuangan, dan data kesehatan adalah PII yang jelas. Data perilaku dan log yang bisa dikombinasikan untuk mengidentifikasi seseorang juga masuk dalam kategori ini. Audit pipeline data kamu sebelum deployment, bukan sesudahnya.

Oleh

Founder, Genesis — Venture House

Founder of Genesis, a venture house backing and building AI-era companies in Southeast Asia. Writes on how businesses actually adopt AI — past the hype, into operations.

LinkedInX / Twitter
Read inEN

Artikel terkait

ImplementasiLlm Rag

LLM Kustom & RAG: Memberi AI Akses ke Pengetahuan Perusahaan

Apa itu RAG, bedanya dengan fine-tuning, dan cara membangun asisten AI internal yang menjawab dari dokumenmu sendiri tanpa halusinasi.

3 Jun 202610 menit baca
ToolsGenerative Ai

AI Generatif untuk Bisnis: Penggunaan Praktis di Luar Hype

Penjelasan jelas tentang AI generatif untuk pemilik bisnis — apa yang benar-benar bisa dilakukan, di mana gagal, cara memilih alat, dan dasar tata kelola tim.

13 Jun 202610 menit baca
ImplementasiVoice Ai

Voice AI & Otomasi Call Center di Indonesia

Voice AI di Indonesia: cara kerja TTS, STT, voice bot, dan IVR, di mana mereka benar-benar hemat biaya, dan di mana mereka masih membuat pelanggan frustrasi.

6 Jun 20269 menit baca