Cara yang baik untuk memitigasi risiko bagi pengguna adalah dengan tidak menyimpan data sensitif tentang mereka yang tidak Anda perlukan, yang berdampak pada privasi mereka. Ada banyak cara yang mengejutkan untuk melakukan hal ini sambil tetap memenuhi sasaran bisnis Anda, dan sebaiknya pertimbangkan setiap cara tersebut. Anda dapat:
- Jelaskan untuk apa Anda memerlukan data tersebut.
- Mengumpulkan data pada tingkat perincian yang lebih rendah.
- Hapus data setelah digunakan.
- Jangan mengumpulkannya sejak awal.
Setiap pendekatan ini dapat membantu pengguna merasa lebih nyaman dengan tindakan Anda serta alasannya, dan hal ini sangat berkontribusi terhadap hubungan Anda dengan mereka. Transparansi membangun kepercayaan, dan yang terpenting, kepercayaan dapat menjadi nilai jual yang unik bagi Anda. Banyak orang berasumsi bahwa pengguna dan pelanggan memercayai mereka secara default, tetapi konsumen terus mengevaluasi produk dan layanan, dan mungkin tidak demikian. Jika Anda membangun hubungan dengan pengguna yang membuat mereka memercayai Anda untuk menangani data mereka dan interaksi Anda dengan semestinya, hal ini dapat memberikan keunggulan kompetitif bagi Anda sebagai project atau bisnis: ini adalah sesuatu yang mungkin tidak cocok oleh rival Anda, pembeda yang sesungguhnya.
Mari kita uraikan pendekatan di atas, dari yang paling efektif (tetapi juga paling berdampak pada bisnis Anda) hingga yang paling tidak efektif tetapi paling tidak mengganggu untuk diterapkan.
Jangan mengumpulkannya sejak awal
Cara paling jelas untuk menghindari membahayakan data pengguna Anda adalah dengan tidak mengumpulkannya. Beberapa pengumpulan data diperlukan untuk menyediakan layanan, tetapi ada lebih banyak tempat di mana Anda dapat menghindari pengumpulan data daripada yang mungkin Anda kira. Pertimbangkan, misalnya, checkout tanpa login. Saat pengguna membeli sesuatu menggunakan aplikasi web, Anda mungkin meminta mereka untuk mendaftar ke akun, karena Anda telah mengambil detail pribadi untuk pemenuhan berikutnya: mereka dapat ditambahkan ke milis, mereka sudah memenuhi syarat sebagai pelanggan yang tertarik, dan seterusnya. Namun, pelanggan mengenali hal ini, dan tidak menyukainya: pada tahun 2021, sebuah studi menemukan bahwa satu dari empat penjualan yang ditinggalkan disebabkan situs meminta pengguna membuat akun. Jika Anda tidak memerlukan akun, kemungkinan besar Anda dapat mempertahankan pelanggan tersebut. Memungkinkan pengguna menyelesaikan pembelian tanpa mendaftar akan memberikan opsi yang lebih baik kepada pengguna, yang juga berarti Anda tidak memiliki banyak data mereka yang harus dilindungi dan diamankan.
"Mengobrol" data Anda
Tentu saja, menghindari pengumpulan data sama sekali mungkin bukan pilihan. Penting untuk mengumpulkan data guna menyediakan layanan dan membuat keputusan bisnis yang masuk akal. Membangun komunikasi pemasaran dalam konteks hubungan kepercayaan juga dapat membantu. Namun, penting untuk menyadari bahwa keputusan yang dibuat secara agregat (yang memengaruhi banyak pengguna sekaligus) dibuat terkait data secara agregat (yaitu, tentang properti kolektif dari data).
Misalnya, terkadang ada baiknya untuk memiliki gambaran tentang demografi audiens: termasuk dalam kelompok usia, lokasi, dan sebagainya. Hal ini dapat mengubah pesan atau pendekatan Anda. Namun, ini tidak berarti Anda harus mengumpulkan usia yang tepat untuk setiap pengguna layanan Anda. Yang sering Anda cari adalah tren dan properti keseluruhan. Jika keputusan yang ingin Anda jangkau dipengaruhi oleh apakah sebagian besar audiens Anda berada di "demografi utama berusia 18-34 tahun", satu-satunya pertanyaan yang sebenarnya perlu Anda tanyakan adalah apakah pengguna Anda berada dalam demografi tersebut. Proses ini akan mengumpulkan data ke dalam dua "bucket": di grup itu dan bukan di grup itu. Mungkin ada situasi saat Anda memerlukan data yang lebih terperinci dari yang disebutkan, tetapi sebaiknya ambil daftar demografi yang digunakan untuk membuat keputusan dan meminta pengguna untuk mengklasifikasikan diri mereka dengan daftar tersebut.
Contoh
Jadi, jika berguna untuk mengetahui bagaimana basis pengguna Anda membagi antara kategori usia "18-34", "35-49", "49-64", dan "65+", Anda dapat meminta pengguna untuk memilih kategori yang mana mereka termasuk. Anda mungkin ingin meminta data yang sangat terperinci, pribadi, dan dipersonalisasi, lalu mengklasifikasikan pengguna Anda sendiri agar tidak perlu mengajukan pertanyaan yang sama lagi secara lebih mendetail nanti; misalnya, untuk menanyakan usia dan tanggal lahir yang tepat, lalu menggunakannya untuk membuat daftar Anda sendiri tentang berapa jumlah pengguna dalam kategori "35-49". Namun, penting untuk memahami tampilannya: karena kursus ini telah dibahas dan akan dibahas lagi, meminta tingkat data yang mendetail dapat membuat orang merasa tidak nyaman, sehingga mengurangi kepercayaan pengguna pada organisasi Anda, sekaligus menambahkan risiko.
Penting juga untuk mempertimbangkan kebutuhan data Anda. Terkadang, "kebutuhan" akan data yang lebih terperinci bersifat spekulatif, yaitu persyaratan "untuk berjaga-jaga". Mungkin saat ini kita hanya perlu mengklasifikasikan pengguna ke dalam empat kelompok usia tersebut, tetapi di masa mendatang, kita mungkin ingin mempersempit hal tersebut. Oleh karena itu, kita harus mengumpulkan data yang sangat mendetail sekarang agar opsi tersebut tetap terbuka untuk lain waktu. Sebaiknya pertimbangkan seberapa sering data yang lebih terperinci benar-benar digunakan di masa lalu untuk memandu keputusan. Meminta data yang dianggap invasif dibandingkan dengan layanan yang ditawarkan pasti akan menghasilkan penurunan tingkat kepercayaan pengguna terhadap organisasi Anda. Jika data tersebut dikumpulkan karena "untuk berjaga-jaga", Anda mungkin tidak hanya mengorbankan kepercayaan pengguna untuk keputusan bisnis yang lebih baik, tetapi menukarnya hanya untuk kemungkinan beberapa keputusan teoretis pada masa mendatang yang mungkin bahkan tidak ada, sekaligus mengambil persyaratan keamanan untuk informasi tersebut.
Ada cara algoritma yang lebih rinci untuk mengurangi tingkat perincian data yang dikumpulkan. Metode respons acak berarti data dikumpulkan dengan tingkat ketidakakuratan yang dapat disesuaikan, dan metode ini telah digunakan selama beberapa dekade dalam ilmu sosial saat mengumpulkan data yang berpotensi invasif atau sensitif dengan tetap menjaga kerahasiaan responden. Metode pengumpulan data di atas melibatkan pelebaran jawaban pengguna (sehingga "berapa usia Anda" menjadi "termasuk dalam salah satu kelompok usia berikut"), di mana respons acak melibatkan proporsi pengguna tertentu tentang jawaban mereka. Jika proporsi pengguna yang merespons secara tidak benar diketahui, kesimpulan yang berarti masih dapat diambil dari data yang dikumpulkan, tetapi privasi pengguna individu tidak dikompromikan karena data yang mereka kumpulkan mungkin salah. Dalam hal ini, jika 80% audiens masih menyatakan bahwa mereka termasuk dalam demografi usia 18-34 tahun, Anda dapat relatif yakin bahwa ini masih menjadi pangsa terbesar, meskipun 10% dari mereka sengaja memberikan jawaban yang salah. Tingkat kesalahan juga dapat diubah secara terprogram, di mana jawaban yang benar selalu diminta, tetapi software mengubah persentase jawaban tertentu sebelum mentransmisikannya. Proses ini dan konsekuensinya juga dapat dijelaskan kepada pengguna saat data dikumpulkan: ini berarti pengguna tidak perlu percaya bahwa Anda tidak akan menyalahgunakan data yang dikumpulkannya, karena data individual tidak dapat diandalkan.
Proses yang serupa tetapi lebih secara teknis adalah privasi diferensial. Metode ini menggunakan teknik matematis untuk mengubah penyimpanan data sehingga properti gabungan data masih ada, tetapi bahkan tidak mungkin untuk mengetahui apakah individu tertentu menyediakan data, atau data mana yang diberikan. Seperti respons acak, tindakan ini melindungi data pengguna bahkan dari Anda dan menunjukkan niat yang jelas dari Anda: Anda tidak dapat menggunakan data pengguna jika tidak memiliki data tersebut.
Pendekatan ini dan pendekatan serupa juga memberikan peningkatan keamanan terhadap pelanggaran dan kebocoran data, karena data yang dikumpulkan mengurangi penyusupan pada privasi pengguna, bahkan bagi Anda, dan juga akan mengurangi tingkat penyusupan jika data dibocorkan. Namun, perlu diingat bahwa jika Anda menerapkan teknik privasi diferensial di server (sehingga pengguna mengirimkan data yang tidak diagregasi, lalu Anda menggunakan teknik untuk menggabungkannya), Anda tetap harus mengamankan data pengguna mentah tersebut, lalu menghapusnya setelah pemrosesan, dan harus memiliki serta mengikuti kebijakan yang jelas untuk mengonfirmasi bahwa Anda tidak menggunakannya sebelum agregasi (atau menjelaskan tujuan penggunaannya).
Retensi: kumpulkan data, lalu hapus setelah digunakan
Perlu diingat bahwa data yang dikumpulkan memiliki siklus proses; data yang dikumpulkan, data tersebut akan digunakan untuk membantu Anda membuat keputusan bisnis, dan kemudian pada suatu saat, data tersebut harus dihapus. Sekali lagi, ini adalah kompromi: saat Anda mengajukan pertanyaan kepada pengguna, atau Anda menyimpan informasi tentang situs lain yang mereka kunjungi, atau Anda melacak hal-hal yang mereka lihat dan berapa lama untuk membuat prediksi tentang preferensi mereka, data ini adalah data yang diberikan kepada Anda untuk tujuan tertentu - bukan sebagai hibah terbuka untuk digunakan developer sesuai kebutuhan. Jika tidak lagi diperlukan untuk tujuan tersebut, terkadang data tersebut harus dihapus setelah satu menit, terkadang setelah bertahun-tahun.
Setiap kali mengumpulkan informasi tentang pengguna, Anda harus tahu untuk apa data tersebut akan digunakan (lihat di bawah) dan Anda juga harus tahu kapan serta mengapa Anda berhenti menyimpan data tersebut. Hal ini mungkin terjadi saat pengguna memilih untuk menghapusnya, atau saat mereka logout, setelah jangka waktu tertentu, atau setelah peristiwa tertentu berlangsung. Cara terbaik untuk membangun kepercayaan dalam hubungan adalah dengan menjelaskan kepada pengguna cara mereka dapat mengontrol data tentang mereka, termasuk, jika memungkinkan, pilihan tidak ikut sepihak. Bagaimana cara mereka menghapus data mereka? Bagaimana cara mereka menghapus akun mereka? Selain membantu membangun hubungan tersebut, praktik terbaiknya adalah menyimpan data selama Anda perlu memprosesnya, tidak lebih lama, dan harus ada cara bagi pengguna untuk melihat dan menghapus data yang Anda kumpulkan dari mereka atau atas nama mereka. Bahkan mungkin ada legislasi terkait hal ini di wilayah tempat Anda beroperasi.
Ini adalah area tempat Anda dapat menentukan tujuan teknis yang jelas, yang membantu pengguna dengan layanan mandiri. Jika pengguna dapat memilih untuk tidak ikut dari data warehouse tanpa harus meminta izin, mereka akan dapat merasa jauh lebih nyaman untuk ikut serta, dan tidak memerlukan sumber daya dukungan apa pun untuk melakukannya.
Penting untuk memahami pentingnya ketidakikutsertaan yang mudah dan default: "Untuk membangun kepercayaan dan pengakuan, perusahaan dapat memulai dengan menyetujui kontrak sosial yang membuat mereka berkomitmen untuk menghormati audiens mereka di setiap poin kontak, mendengarkan kebutuhan mereka, dan merespons dengan sesuai", menyatakan IAPP. Nielsen Norman Group mengatakan bahwa pengguna "perlu melalui "keluar darurat" yang ditandai dengan jelas untuk meninggalkan tindakan yang tidak diinginkan tanpa harus melalui proses yang berkepanjangan". Semua orang tahu bahwa lebih mudah berlangganan daripada berhenti berlangganan. Namun, seperti yang dikatakan Nielsen Norman, memberi pengguna kemampuan untuk lari tanpa harus melompati rintangan akan "menumbuhkan rasa kebebasan dan kepercayaan diri". Studi akademis mendukung hal ini dan menamainya "prinsip pencabutan", yang menyatakan: "Antarmuka harus memungkinkan pengguna dengan mudah mencabut otoritas yang telah diberikan pengguna jika pencabutan memungkinkan. Pengguna harus dapat mencabut izin tersebut, sehingga mengurangi otoritas untuk mengakses resource jika memungkinkan." (Lihat Yee dan Iacono untuk mengetahui contohnya.)
Durasi penyimpanan data dan data mana yang perlu dipertahankan adalah hal yang sangat berbeda antara organisasi dan project, tetapi ada beberapa panduan umum yang perlu dipertimbangkan.
Anjuran
Fitur ini berguna di sini untuk mengizinkan pengguna menghapus akun (dan data terkait, jika memungkinkan) dan secara rutin (misalnya saat logout) menghapus data singkat dan data yang disimpan secara lokal saat logout dengan header Clear-Site-Data.
Sediakan header Clear-Site-Data untuk menghapus beberapa atau semua data pengguna yang telah disimpan di sisi klien (baik di cookie, localStorage, atau IndexedDB, atau di cache browser), jika wajar. Kasus penggunaan yang jelas untuk Clear-Site-Data adalah saat pengguna logout, tetapi juga dapat digunakan setelah insiden keamanan untuk memastikan bahwa akun yang berpotensi disusupi tidak memiliki jejak data yang disusupi yang disimpan di klien.
Menambahkan dukungan untuk Clear-Site-Data melibatkan pengiriman header HTTP, Clear-Site-Data, saat pengguna logout (atau pada waktu lain saat Anda ingin menghapus penyimpanan sisi klien), di halaman yang mengonfirmasi status logout (https://your-site/logout atau yang serupa). Header ini dapat memiliki beberapa atau semua nilai berikut, atau "*" untuk semua:
Clear-Site-Data: "cache", "cookies", "storage"
Nilai-nilai ini masing-masing jelas menghapus halaman yang di-cache (dan resource HTTP yang di-cache lainnya), cookie yang disimpan, serta localStorage dan IndexedDB, serta yang serupa.
Anda mungkin melihat referensi ke opsi lain, executionContexts, tetapi hal ini tidak didukung oleh banyak browser.
Perhatikan bahwa menggunakan header Clear-Site-Data kemungkinan akan lebih mudah daripada menghapus sendiri semua resource yang dibuat sendiri, karena tidak memerlukan kode JavaScript untuk dijalankan di klien (dan ini adalah satu-satunya cara resmi untuk menghapus cache browser), tetapi tidak didukung oleh semua browser.
Catatan penggunaan: Jika Anda menghapus cache (dengan mengirim Clear-Site-Data: cache), header Clear-Site-Data seharusnya tidak
dikirim di halaman logout Anda yang sebenarnya, tetapi di beberapa resource lain, halaman dimuat. Hal ini karena pada komputer yang lebih lambat
dengan cache yang besar, halaman akan diblokir saat mengosongkan cache dan hal ini akan mencegah navigasi. Hal ini bisa memakan waktu beberapa menit,
yang akan membuat pengguna frustrasi. Hal ini tidak mungkin terjadi, tetapi sulit diuji, dan oleh karena itu, praktik terbaiknya adalah mengingatnya.
Jelaskan untuk apa Anda memerlukan data
Pentingnya kepercayaan dalam hubungan pengguna Anda dengan layanan Anda telah dinyatakan berulang kali, karena hal ini meningkatkan umur pengguna. Hal ini juga memberikan keunggulan kompetitif. Salah satu cara untuk meningkatkan tingkat kepercayaan tersebut adalah dengan membuat transparansi proses, dan cara yang baik untuk bersikap transparan adalah dengan menjelaskan tujuan data yang Anda inginkan. Sebelumnya, Anda sudah belajar bahwa untuk setiap data yang dikumpulkan, Anda harus mengetahui kapan objek tersebut akan dihapus. Untuk mengetahuinya, Anda perlu mengetahui alasan Anda menginginkan data ini, pertanyaan spesifik mana yang membutuhkannya untuk menemukan jawaban, dan keputusan mana yang akan dipandu dengan mengumpulkannya. Setelah mengetahui alasan mengapa Anda memerlukan data tersebut dan meminta pengguna untuk menyerah, hal ini akan membantu membangun kepercayaan dengan menjelaskannya kepada pengguna tersebut. Dalam kebijakan privasi Anda, atau saat mengajukan pertanyaan tentang pembuatan akun, jelaskan mengapa Anda memerlukan jawaban atas pertanyaan khusus ini, apa yang akan Anda lakukan dengan data tersebut, serta kapan dan bagaimana data dapat dihapus.
Penjelasan ini akan jauh lebih terlihat ketika disajikan secara inline. Mengungkapkan penjelasan dalam dokumen kebijakan yang padat di bagian lain situs web terlihat seperti upaya untuk menyembunyikannya. Formulir pendaftaran, checkout, atau permintaan dapat memberikan alasan untuk mengumpulkan data bersama dengan pengumpulan itu sendiri. Sering kali, kolom formulir dapat memiliki tanda bintang (*) untuk menunjukkan bahwa kolom wajib diisi; formulir yang rumit sering kali memiliki link informasi (i) untuk menjelaskan arti kolom tersebut. Pertimbangkan untuk menambahkan deskripsi tentang alasan pengumpulan data ke penjelasan ini. Frasa yang sering digunakan untuk hal ini adalah "Mengapa kita membutuhkan ini?" di samping kolom formulir, yang jika diklik akan menampilkan penjelasan pop-up.
Beberapa contoh HTML mungkin terlihat seperti berikut, lalu CSS dan JavaScript akan menangani menyembunyikan <aside> dan menampilkannya sebagai pop-up saat link diklik. (Pastikan untuk mengonfirmasi aksesibilitas formulir yang Anda buat untuk situs.)
Cara persisnya bergantung pada gaya dan pendekatan Anda, tetapi poin utamanya di sini adalah mengaitkan pengumpulan data secara langsung dengan
penjelasan alasan data tersebut dikumpulkan. Hal ini tidak diperlukan untuk setiap kolom. Tidak ada yang memerlukan penjelasan tentang alasan Anda mewajibkan mereka memilih sandi saat mendaftar. Namun, mendekorasi setiap permintaan untuk informasi pribadi dan kontak beserta rencana penggunaannya serta menyimpannya dapat membantu memperjelas
bagi pengguna bahwa Anda berkomitmen untuk melindungi data mereka.
<div>
<label for="email">Email address*</label>
<input id="email" type="email" name="email" required aria-describedby="whyemail">
<a href="#whyemail">Why do we need this?</a>
<aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>
Melakukan proses ini dengan semua yang Anda kumpulkan tentang pengguna juga dapat membantu proses dan diskusi internal. Sebelumnya, Anda melihat bagaimana ada godaan untuk mengumpulkan data "untuk berjaga-jaga". Jika Anda bersikap transparan tentang alasan pengumpulan data Anda, hal ini dapat terjadi dengan jelas. Jika Anda enggan menuliskan secara publik apa yang ingin Anda lakukan dengan data pengguna karena pengguna tersebut tidak menyukai penjelasannya, ini mungkin pertanda bahwa ada baiknya mengumpulkannya kembali. Hal ini berlaku apakah penjelasan yang tidak menyenangkan terlalu mengganggu ("kami akan menggunakannya untuk melacak tempat yang Anda kunjungi setiap jam"), terlalu luas ("kami tidak tahu akan digunakan untuk apa, tetapi kami ingin jika kami memikirkan sesuatu untuknya"), atau terlalu mengelak ("kami akan menggunakan ini untuk tujuan internal yang tidak diungkapkan"). Ini bukan sekadar pertanyaan tentang moralitas; orang cukup cerdas untuk mengenali hal ini, seperti yang sudah dijelaskan, dan ada ekspektasi pengguna bahwa bereksperimen dengan sesuatu bukanlah awal dari komitmen jangka panjang. Membuat proses pendaftaran semudah dan bebas hambatan mungkin merupakan hal yang lazim, karena pada tahap awal, pengguna (menurut definisi) tidak banyak berinvestasi dalam layanan Anda, sehingga penting untuk memungkinkan mereka agar lebih mudah berinvestasi ketika mereka belum memiliki keinginan untuk melakukannya. Jika mudah untuk meninggalkannya lagi, maka bereksperimen dengan layanan menjadi eksperimen paksa dan bukan komitmen jangka panjang yang tidak diinginkan. Seperti sebelumnya, hal ini paradoksal tetapi benar bahwa cara terbaik untuk membangun kepercayaan adalah dengan tidak mengharuskan pengguna memercayai Anda jika mereka tidak mau.
Orang-orang memiliki alasan yang baik untuk tidak berbagi data, atau untuk berbagi sedikit data. Pada awal hubungan Anda dengan mereka, mereka mungkin tidak memiliki alasan untuk memercayai Anda, dan seharusnya tidak perlu. Tujuan Anda adalah untuk menunjukkan mengapa mereka harus melakukannya.
Anjuran
- Putuskan untuk semua data yang Anda rencanakan untuk dikumpulkan mengapa Anda menginginkannya dan berapa lama Anda akan menyimpannya.
- Saat Anda meminta data itu, jelaskan kepada pengguna mengapa Anda mengumpulkannya.
- Hapus dari database server setelah Anda menggunakannya.
- Izinkan pengguna menghapus akun yang telah mereka buat dan menghapus data yang disimpan dari penyimpanan mereka dengan header
Clear-Site-Data.
Mengapa
Membangun hubungan dengan pengguna Anda berkaitan dengan kepercayaan, dan kepercayaan adalah tentang keterbukaan. Jika Anda dapat menunjukkan bahwa Anda tidak hanya mengumpulkan data sebanyak mungkin tentang pengguna dan menyembunyikan penggunaannya, maka hal itu membantu membangun kepercayaan, yang dapat menjadi keunggulan kompetitif bagi Anda atas rival yang tidak terlalu teliti.