021-7997973 | Hotline 08111211504

Cloud Computing untuk Data Nasabah: Risiko Kepatuhan bagi Bank

05 July 2026inBERITA
Share
cloud computing perbankan

Memindahkan data nasabah ke cloud memang dapat menghemat biaya. Namun, apakah langkah tersebut juga dapat meningkatkan risiko hukum?

Bagi industri perbankan, transformasi digital bukan lagi pilihan, melainkan kebutuhan bisnis. Salah satu teknologi yang banyak diadopsi adalah cloud computing karena mampu meningkatkan fleksibilitas, skalabilitas, dan efisiensi sistem.

Meski menawarkan berbagai manfaat, penggunaan cloud juga membawa konsekuensi hukum yang harus dipahami sejak awal. Tanpa tata kelola yang tepat, risiko kepatuhan dapat muncul bersamaan dengan percepatan digitalisasi.

 

Penggunaan Cloud Computing oleh Bank, Apa yang Perlu Dipahami?

 

Pada dasarnya, hukum Indonesia tidak melarang bank menggunakan cloud computing. Namun, penggunaannya harus tetap memenuhi prinsip kehati-hatian (prudential banking principle) dan manajemen risiko.

Pasal 29 ayat (2) Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang-Undang Nomor 10 Tahun 1998 (UU Perbankan) mewajibkan bank memelihara tingkat kesehatan sesuai prinsip kehati-hatian. Kewajiban tersebut tidak hanya berlaku terhadap kegiatan penghimpunan maupun penyaluran dana, tetapi juga terhadap pengelolaan sistem teknologi informasi yang menopang kegiatan usaha bank.

Selain itu, Peraturan Otoritas Jasa Keuangan Nomor 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum (POJK 11/2022) mengatur bahwa setiap penyelenggaraan teknologi informasi harus menerapkan tata kelola, manajemen risiko, pengamanan informasi, serta pengendalian internal yang memadai.

Dalam Pasal 2 ayat (1) POJK 11/2022 diatur bahwa:

Dalam menerapkan tata kelola TI yang baik sebagaimana dimaksud pada ayat (1), Bank mempertimbangkan faktor paling sedikit:

  1. strategi dan tujuan bisnis Bank;
  2. ukuran dan kompleksitas bisnis Bank;
  3. peran TI bagi Bank;
  4. metode pengadaan sumber daya TI;
  5. risiko dan permasalahan terkait TI;
  6. praktik atau standar yang berlaku secara nasional maupun internasional; dan
  7. ketentuan peraturan perundang-undangan.

Dalam praktiknya, penggunaan cloud juga termasuk bentuk kerja sama dengan penyedia teknologi. Karena itu, bank tetap bertanggung jawab atas keamanan layanan meskipun sebagian infrastruktur dikelola oleh pihak ketiga. Tanggung jawab tersebut tidak beralih kepada penyedia cloud.

Otoritas juga menekankan bahwa penerapan teknologi harus disertai penilaian risiko sejak tahap perencanaan. Bank wajib memastikan bahwa penggunaan layanan cloud tidak mengurangi kemampuan pengawasan, audit, maupun kepatuhan terhadap ketentuan regulator.

 

Apa Risiko Jika Data Nasabah Disimpan di Cloud?

 

Penggunaan cloud computing menghadirkan sejumlah risiko kepatuhan yang harus dikelola secara serius. Risiko tersebut tidak hanya berkaitan dengan keamanan siber, tetapi juga menyangkut perlindungan data pribadi dan kerahasiaan informasi nasabah.

Salah satu risiko terbesar adalah kebocoran atau akses tidak sah terhadap data nasabah. Ancaman tersebut dapat muncul akibat konfigurasi sistem yang kurang tepat, kelemahan keamanan penyedia layanan, maupun kesalahan manusia dalam pengelolaan akses.

Selain itu, bank juga harus memperhatikan lokasi penyimpanan data. Penggunaan cloud lintas negara dapat menimbulkan persoalan mengenai yurisdiksi, akses regulator, hingga mekanisme perlindungan data ketika data diproses di luar Indonesia.

Dari perspektif hukum perlindungan data pribadi, Pasal 20 ayat (1) dan (20 Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) mengharuskan pengendali data pribadi menjaga keamanan data melalui langkah teknis dan operasional yang sesuai. Artinya, penggunaan cloud tidak mengurangi kewajiban bank sebagai pengendali data pribadi.

Kewajiban tersebut mencakup perlindungan terhadap kerahasiaan, keutuhan, dan ketersediaan data selama seluruh siklus pemrosesan berlangsung. Jika terjadi insiden keamanan, bank tetap memiliki tanggung jawab hukum sesuai ketentuan yang berlaku.

Risiko lain muncul ketika bank tidak melakukan pengawasan memadai terhadap penyedia layanan cloud. Ketergantungan yang berlebihan kepada satu penyedia (vendor lock-in) dapat menghambat perpindahan sistem, memperbesar risiko operasional, dan menyulitkan pemenuhan kewajiban regulator apabila terjadi gangguan layanan.

Peraturan Otoritas Jasa Keuangan Nomor 6/POJK.03/2022 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (POJK 6/2022) juga menegaskan pentingnya pengelolaan risiko teknologi informasi secara menyeluruh, termasuk terhadap penggunaan pihak ketiga.

 

Bagaimana Bank Dapat Memitigasi Risiko Kepatuhan dalam Penggunaan Cloud?

 

Mitigasi risiko harus dimulai sebelum bank menunjuk penyedia layanan cloud. Bank perlu melakukan legal due diligence dan vendor due diligence untuk memastikan penyedia layanan memiliki standar keamanan, mekanisme pemulihan bencana, serta kemampuan memenuhi ketentuan regulator.

Selain itu, perjanjian kerja sama harus mengatur secara jelas mengenai kerahasiaan data, hak audit, lokasi penyimpanan data, pembagian tanggung jawab, serta mekanisme penanganan apabila terjadi insiden keamanan.

Di sisi internal, bank juga perlu menerapkan klasifikasi data, enkripsi, multi-factor authentication, pemantauan keamanan secara berkala, serta pengujian kerentanan sistem. Langkah tersebut menjadi bagian penting dalam membangun ketahanan siber (cyber resilience) sebagaimana ditekankan dalam Rancangan SEOJK tentang Ketahanan dan Keamanan Siber bagi Bank Umum.

 

Kepatuhan Harus Berjalan Seiring dengan Transformasi Digital

 

Pemanfaatan cloud computing dapat meningkatkan efisiensi dan inovasi layanan perbankan. Namun, penggunaan teknologi tersebut juga menuntut pengelolaan risiko yang lebih matang.

Oleh karena itu, sebelum mengimplementasikan layanan cloud, bank perlu memastikan bahwa aspek hukum telah dipertimbangkan sejak tahap perencanaan. Pendampingan hukum dapat membantu bank melakukan legal due diligence, menyusun perjanjian dengan penyedia layanan, serta memastikan penerapan cloud computing telah memenuhi ketentuan regulator dan memitigasi potensi risiko kepatuhan di kemudian hari.***

 

Daftar Hukum:

  • Undang-Undang Nomor 10 Tahun 1998 tentang Perubahan atas Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan (UU Perbankan).
  • Peraturan Otoritas Jasa Keuangan Nomor 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum (POJK 11/2022).
  • Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).
  • Peraturan Otoritas Jasa Keuangan Nomor 6/POJK.03/2022 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (POJK 6/2022).

 

Referensi:

About Author

Akmal

Akmal

Written by Akmal, part of the SIP Law Firm team delivering insights and updates on the latest legal developments.

Read Profile →

More on this category

We are here to help

Get in touch now to let us know how we can help you. Connect with our LinkedIn and subscribe to our newsletter to stay updated with our latest updates.

Contact Us
Connect on LinkedIn