Masalah yang tidak Anda ketahui Anda miliki
Jika perusahaan Anda mengirimkan faktur, pesanan, surat jalan, atau dokumen apa pun berisi data pelanggan melalui aplikasi pesan konvensional, data tersebut melewati server yang kemungkinan besar tidak berada di Eropa. Atau jika memang di Eropa, server tersebut milik perusahaan yang tunduk pada hukum asing. GDPR memiliki aturan terkait hal ini.
Peraturan perlindungan data Eropa mensyaratkan pengetahuan tentang di mana data Anda berada, siapa yang memiliki akses ke sana, dan di bawah yurisdiksi mana. Saat Anda menggunakan aplikasi pesan dengan server pusat, dokumen Anda melewati infrastruktur yang tidak Anda kendalikan. Data pelanggan Anda disimpan — meskipun sementara — di mesin milik perusahaan lain, di negara lain, di bawah hukum lain.
Apa yang berubah ketika tidak ada server
Dalam komunikasi titik-ke-titik (P2P), data berpindah langsung dari perangkat pengirim ke perangkat penerima. Tidak melewati server perantara mana pun. Tidak disimpan di infrastruktur pihak ketiga mana pun. Dokumen tersebut keluar dari komputer Anda di Solo dan sampai di komputer klien Anda di Jakarta. Atau di Berlin. Atau di Lisbon. Namun tidak pernah melewati Silicon Valley.
Ini bukan detail teknis kecil. Di sini GDPR dipatuhi bukan dengan usaha dan niat baik. Melainkan dipatuhi karena arsitekturnya membuat pelanggaran menjadi tidak mungkin dilakukan. Tidak ada transfer data internasional karena tidak ada transfer ke pihak ketiga mana pun. Data ada di perangkat Anda dan di perangkat teman bicara Anda. Tidak di tempat lain.
Bagi siapa ini penting
Jika Anda seorang pengacara dan mengirim kontrak ke klien melalui aplikasi pesan, data kontrak tersebut melewati server. Jika Anda seorang konsultan pajak dan berbagi SPT, data tersebut melewati server. Jika Anda seorang dokter dan mengirim laporan ke pasien, data kesehatan tersebut melewati server. Dalam semua kasus tersebut, Anda mendelegasikan penjagaan informasi rahasia kepada perusahaan yang tidak Anda pilih dan tidak Anda kendalikan.
Bukan berarti Anda melakukan sesuatu yang salah dengan sengaja. Tetapi alat yang Anda gunakan tidak memberi Anda pilihan lain. Satu-satunya cara agar data profesional Anda tidak melewati server pihak ketiga adalah dengan komunikasi langsung. Tanpa perantara. Dari layar Anda ke layar mereka.
Kepatuhan otomatis
Dengan komunikasi P2P, Anda tidak perlu mengaudit di mana server penyedia pesan Anda berada. Anda tidak perlu memverifikasi apakah ia mematuhi Privacy Shield atau klausul kontrak standar Uni Eropa. Anda tidak perlu menambahkan klausul dalam kebijakan privasi Anda yang menjelaskan bahwa data Anda "dapat diproses di luar Kawasan Ekonomi Eropa". Semua itu tidak berlaku, karena tidak ada pihak ketiga yang memproses data Anda.
Kepatuhan tidak bergantung pada niat baik siapa pun. Tidak bergantung pada kontrak pemrosesan data dengan penyedia. Tidak bergantung pada apakah perusahaan Amerika mempertahankan komitmennya terhadap hukum Eropa. Melainkan bergantung pada arsitektur. Dan arsitektur dapat diverifikasi, tidak dapat diubah, dan tidak akan berubah pikiran.
Pertanyaan untuk audit Anda berikutnya
Lain kali saat seseorang bertanya di mana data pelanggan Anda berada, jawaban terbaik yang mungkin adalah: "Di perangkat saya dan di perangkat mereka. Tidak di tempat lain." Tidak perlu laporan setebal seratus halaman. Tidak perlu DPO yang meninjau kontrak dengan penyedia. Privasi data pelanggan Anda dijamin oleh desain, bukan oleh janji.