Keamanan Data Calon Mahasiswa Menentukan Kepercayaan

SEVIMA – Keamanan data calon mahasiswa sudah bergeser dari isu teknis menjadi isu kepemimpinan. Saat formulir PMB berpindah ke kanal online, kampus tidak hanya menerima nama dan nomor telepon. Kampus juga memproses NIK, KK, email, foto, ijazah, rapor, bahkan dalam beberapa alur pendaftaran juga data orang tua, penghasilan, dan dokumen verifikasi lain. Jejak ini terlihat jelas pada alur pendaftaran UMS 2026/2027, verifikasi dokumen UIR 2026/2027, serta panduan PMB Primakara yang meminta biodata, data orang tua, dan unggah dokumen asli. 

Skalanya juga tidak kecil. APJII dalam artikel “APJII Jumlah Pengguna Internet Indonesia Tembus 221 Juta Orang” mencatat pengguna internet Indonesia tahun 2024 mencapai 221.563.479 jiwa dengan penetrasi 79,5 persen. Artinya, interaksi digital calon mahasiswa dan orang tua sudah menjadi kebiasaan, bukan lagi pelengkap. Ketika pengalaman pendaftaran kampus berlangsung online, standar kepercayaan yang dipakai calon mahasiswa pun ikut berubah.

Satu rapat kecil di ruang pimpinan. Jumlah pendaftar naik. Iklan digital berjalan baik. Tim admisi merasa optimistis. Lalu seseorang bertanya, “Data calon mahasiswa kita sekarang tersimpan di mana, siapa yang bisa mengakses, dan berapa lama dokumen itu disimpan?” Ruangan sering mendadak sunyi pada titik ini. Bukan karena kampus tidak peduli, melainkan karena banyak kampus lebih dulu membangun jalur akuisisi, sementara tata kelola data menyusul belakangan.

Padahal, jenis data yang dikumpulkan kampus sangat sensitif untuk reputasi institusi. UIR, misalnya, menampilkan kebutuhan unggah KK, ijazah atau SKL, pas foto, surat pernyataan, akta kelahiran, dan KTP dalam proses verifikasi online calon mahasiswa baru. Primakara menampilkan pengisian NIK, nomor KK, alamat, data orang tua atau wali, penghasilan, hingga unggah dokumen seperti KTP, KK, transkrip, dan ijazah atau SKL. Semakin banyak data yang masuk, semakin besar tanggung jawab institusi untuk mengelolanya secara tertib, terukur, dan aman. 

Apa yang dimaksud keamanan data calon mahasiswa?

Keamanan data calon mahasiswa adalah kemampuan kampus menjaga data pendaftar agar hanya diproses untuk tujuan yang sah, diakses oleh pihak yang berwenang, disimpan sesuai masa retensi, serta dilindungi dari akses tidak sah, perubahan tanpa izin, penyalahgunaan, dan kehilangan. Definisi ini sejalan dengan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi yang mengatur prinsip pemrosesan, hak subjek data, keamanan, kerahasiaan, dan pengakhiran pemrosesan, serta PP Nomor 71 Tahun 2019 yang mewajibkan Penyelenggara Sistem Elektronik menjaga kerahasiaan, keutuhan, ketersediaan, dan keteraksesan informasi elektronik. 

Karena itu, keamanan data bukan sekadar pasang firewall atau ganti kata sandi. Keamanan data adalah cara kampus menunjukkan bahwa mereka layak dipercaya sebelum mahasiswa resmi kuliah. Orang tua dan siswa mungkin tidak pernah membaca arsitektur sistem kampus. Namun mereka bisa merasakan apakah formulir pendaftaran jelas, apakah persetujuan data transparan, apakah unggahan dokumen terasa aman, dan apakah kampus sigap ketika ada kekeliruan data.

Kepercayaan lahir dari transparansi, bukan dari asumsi

Undang-Undang Nomor 27 Tahun 2022 Pasal 5 memberi hak kepada subjek data untuk memperoleh informasi tentang identitas pihak yang meminta data, dasar kepentingan hukum, tujuan penggunaan data, dan akuntabilitasnya. Pasal 21 juga mewajibkan pengendali data menyampaikan legalitas pemrosesan, tujuan, jenis data, jangka waktu retensi, rincian informasi yang dikumpulkan, jangka waktu pemrosesan, dan hak subjek data. Bagi kampus, ini berarti formulir PMB tidak cukup hanya “minta data lalu simpan”. Kampus perlu menjelaskan untuk apa data diminta dan berapa lama dipakai. 

Di titik ini, kepercayaan mulai terbentuk. Cisco dalam “Cisco 2024 Consumer Privacy Survey” menemukan 75 persen responden tidak akan membeli dari organisasi yang tidak mereka percaya dalam mengelola data. Memang konteksnya konsumen umum, bukan PMB. Tetapi pesannya relevan bagi perguruan tinggi: perlindungan data kini memengaruhi keputusan, bukan hanya kepatuhan administratif. Masih dari survei yang sama, 53 persen responden menyatakan sadar akan hukum privasi di negaranya. Kesadaran publik sedang naik. Kampus tidak bisa lagi berasumsi bahwa calon mahasiswa akan menyerahkan data tanpa pertanyaan. 

Mengapa pimpinan kampus perlu melihat ini sebagai isu strategis

Banyak pimpinan masih menempatkan keamanan data di ruang server. Padahal dampaknya masuk ke reputasi, operasional, dan pertumbuhan intake. IBM dalam artikel “Surging data breach disruption drives costs to record highs” melaporkan rata-rata biaya pelanggaran data secara global mencapai USD 4,88 juta pada 2024, naik 10 persen dari tahun sebelumnya. IBM juga mencatat 70 persen organisasi yang diteliti mengalami gangguan operasional yang signifikan atau moderat setelah insiden. Untuk kampus, gangguan seperti ini bisa berarti verifikasi berkas tersendat, pengumuman kelulusan tertunda, pusat bantuan kewalahan, dan kepercayaan publik turun tepat saat kampus sedang berlomba menarik mahasiswa baru. 

Ada satu lapisan yang sering luput dibahas. Undang-Undang Nomor 27 Tahun 2022 Pasal 4 memasukkan data anak sebagai data pribadi yang bersifat spesifik. Pasal 25 ayat (2) juga menyatakan pemrosesan data pribadi anak wajib mendapat persetujuan orang tua dan/atau wali. Saya menarik kesimpulan bahwa ini sangat relevan untuk PMB, karena sebagian pendaftar perguruan tinggi masih berada pada rentang usia sekolah menengah. Jadi, alur persetujuan dan pemberitahuan kepada orang tua atau wali tidak layak diperlakukan sebagai formalitas. 

Regulasi tidak meminta kampus sempurna. Regulasi meminta kampus tertib.

Ini bagian yang penting. Kampus tidak perlu menunggu sistem besar untuk mulai rapi. Undang-Undang Nomor 27 Tahun 2022 Pasal 20 menegaskan bahwa pengendali data wajib memiliki dasar pemrosesan data pribadi. Pasal 27 meminta pemrosesan dilakukan secara terbatas, spesifik, sah secara hukum, dan transparan. Pasal 29 meminta akurasi, kelengkapan, dan konsistensi data, termasuk verifikasi. Pasal 42 sampai Pasal 45 mengatur pengakhiran pemrosesan, penghapusan, pemusnahan, dan pemberitahuan kepada subjek data. Dengan kata lain, kampus diminta membangun disiplin data dari awal sampai akhir, secara end-to-end. 

PP Nomor 71 Tahun 2019 juga memberi pesan yang sama. Pasal 3 menegaskan setiap Penyelenggara Sistem Elektronik harus menyelenggarakan sistem elektronik secara andal dan aman. Pasal 14 mewajibkan prinsip pelindungan data pribadi dalam pemrosesan, termasuk pembatasan pengumpulan, kesesuaian tujuan, akurasi, perlindungan dari akses atau pengungkapan tidak sah, dan pemberitahuan jika terjadi kegagalan pelindungan data pribadi. Jadi, regulasi tidak berhenti pada “jangan bocor”. Regulasi bicara tentang cara kerja yang tertib. 

Empat langkah yang bisa dimulai minggu depan

1. Petakan semua data yang benar-benar diminta di PMB

Mulailah dari formulir yang paling sering dipakai. Tinjau satu per satu: data apa yang diminta, untuk tujuan apa, siapa yang mengakses, dan kapan data itu harus dihapus atau dimusnahkan. Jika ada field yang tidak jelas tujuannya, hapus. Jika ada dokumen yang diminta terlalu dini, tunda sampai benar-benar diperlukan. Undang-Undang Nomor 27 Tahun 2022 Pasal 21, Pasal 27, Pasal 28, dan Pasal 42 sampai Pasal 45 memberi dasar kuat untuk langkah ini. Ini langkah sederhana, tetapi efeknya besar karena memperkecil permukaan risiko sejak awal. 

2. Batasi akses berdasarkan peran, bukan kebiasaan

Tidak semua staf perlu melihat semua dokumen. Tim promosi tidak harus bisa mengunduh scan KK. Verifikator dokumen tidak harus bisa mengubah seluruh data akademik. Undang-Undang Nomor 27 Tahun 2022 Pasal 35 sampai Pasal 39 mewajibkan pengendali data melindungi dan memastikan keamanan data, menjaga kerahasiaan, mengawasi pihak yang terlibat, melindungi data dari pemrosesan tidak sah, dan mencegah akses tidak sah. Kalau diterjemahkan ke operasi kampus, ini berarti hak akses harus dibagi jelas, jejak audit harus tersedia, dan perubahan data harus bisa ditelusuri. 

Langkah ini makin penting jika kita melihat temuan lapangan. BSSN melalui layanan “Information Technology Security Assessment (ITSA)” melaporkan bahwa pada 2024 mereka menjalankan 195 kegiatan ITSA di 131 instansi dengan objek 462 aplikasi, dan menemukan 1.632 kerentanan. Dari jumlah itu, 256 masuk kategori critical dan 405 kategori high. Angka ini menunjukkan satu hal yang tegas: aplikasi yang terlihat berjalan baik belum tentu aman. Audit berkala adalah kebutuhan, bukan simbol kehati-hatian semata. 

3. Audit alur persetujuan, retensi, dan vendor

Banyak kampus sudah memakai formulir online, payment gateway, CRM, chatbot, atau layanan pihak ketiga untuk mempercepat PMB. Itu baik. Namun percepatan tanpa kontrol justru membuat titik rawan bertambah. Pastikan persetujuan pemrosesan dicatat, ditampilkan dengan bahasa sederhana, dan bisa dibuktikan. Undang-Undang Nomor 27 Tahun 2022 Pasal 22 menyatakan persetujuan dapat disampaikan secara elektronik atau nonelektronik, dan Pasal 24 mewajibkan pengendali data menunjukkan bukti persetujuan. Ini berarti kampus perlu memastikan vendor juga tidak berjalan di luar pagar tata kelola kampus. 

Untuk pimpinan, pertanyaan yang perlu diajukan sangat praktis. Di mana data pendaftar disimpan? Apakah ada backup? Siapa yang boleh ekspor data? Apakah vendor pernah diuji keamanan? Apakah ada masa retensi yang jelas? Siapa pun bisa mulai dari daftar pertanyaan ini tanpa menunggu proyek besar. Justru dari sini kampus punya akselerator untuk memperbaiki tata kelola secara bertahap dan terukur.

4. Siapkan prosedur insiden dan naskah komunikasi

Saat insiden terjadi, kampus yang siap biasanya lebih tenang. PP Nomor 71 Tahun 2019 mewajibkan Penyelenggara Sistem Elektronik memberitahukan secara tertulis kepada pemilik data pribadi jika terjadi kegagalan pelindungan data pribadi. Undang-Undang Nomor 27 Tahun 2022 juga memberi hak kepada subjek data untuk memperoleh informasi, mengakses data, menarik persetujuan, membatasi pemrosesan, hingga menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data. Artinya, respons insiden harus disiapkan sebelum insiden datang. 

Kampus perlu punya template komunikasi untuk tiga pihak: calon mahasiswa, orang tua, dan unit internal. Pesan awal harus jujur, ringkas, dan menjelaskan langkah pengamanan yang diambil. Di sinilah reputasi diuji. Bukan pada klaim “sistem kami aman”, melainkan pada kecepatan, kejelasan, dan tanggung jawab saat ada gangguan.

Mengapa ini penting untuk intake, bukan hanya untuk audit

Calon mahasiswa datang dengan harapan sederhana: prosesnya mudah, jelas, dan aman. Mereka tidak memisahkan pengalaman digital dari citra kampus. Jika portal pendaftaran rapi, penjelasan penggunaan data jelas, dokumen terunggah tanpa hambatan, dan verifikasi berlangsung tertib, kampus sedang membangun kepercayaan sebelum hari pertama kuliah. Sebaliknya, bila data membingungkan, akses terasa berlebihan, atau ada perubahan data yang tidak terlacak, kepercayaan turun sebelum proses akademik dimulai.

Di sinilah keamanan data calon mahasiswa menjadi pembeda. Ia bukan ornamen kepatuhan. Ia adalah fondasi relasi. Ia juga memberi ruang bagi kampus untuk tumbuh tanpa beban perbaikan berulang setiap musim PMB. Compliance bukan privilege. Ia adalah standar layanan dasar yang layak diterima setiap pendaftar.

Senin pagi nanti, tidak perlu mulai dari semua hal sekaligus. Cukup pilih satu formulir PMB yang aktif, cek semua field yang diminta, tetapkan siapa yang boleh mengakses, dan tulis masa retensinya. Dari satu formulir itu, kampus akan melihat area mana yang perlu penguatan berikutnya. Pendekatan seperti ini membuat perbaikan bergerak tanpa hambatan, karena dimulai dari alur yang nyata.

Pada tahap implementasi, platform kampus yang baik seharusnya menempatkan pendaftaran, pembayaran, dan pengelolaan proses PMB dalam satu alur yang tertata, bukan terpisah-pisah. Hal itu juga tampak pada layanan PMB SEVIMA yang menempatkan registrasi, pembayaran, dan dukungan proses PMB sebagai bagian dari solusi terpadu kampus. Namun teknologi tetap hanya alat. Keputusan untuk menjadikan keamanan data calon mahasiswa sebagai prioritas tetap dimulai dari meja pimpinan. 

Mengenal SEVIMA

SEVIMA merupakan perusahaan Edutech (education technology) yang telah berkomitmen sejak tahun 2004 dalam menyelesaikan kendala kerumitan administrasi akademik di pendidikan tinggi (Universitas, Sekolah Tinggi, Institut, Politeknik, Akademi, dll.) dengan 99% keberhasilan implementasi melalui SEVIMA Platform, segera jadwalkan konsultasi di: Kontak Kami