IMPLEMENTASI
PEOPLE - PROCESS - TECHNOLOGY -
ROADMAP
www.biofarma.co.id
INTRO
2
MILESTONE KEGIATAN
3
KERANGKA KERJA IMPLEMENTASI PDP
PEOPLE PROCESS
• Organisasi PDP & POLICY • Manajemen
• Kebijakan
• Kompetensi SDM
TECHNOLOGY ROADMAP
4
WORKSHOP OBJECTIVES
5
POINTER REKOMENDASI DARI DIVUSI
Penyusunan
Kebijakan &
Turunannya
7
KERANGKA KERJA: Organisasi
PEOPLE PDP
Bentuk Asal
Organisasi Sumber Daya
9
PEOPLE - Organisasi PDP
FAKTOR PENENTU OPSI TATA KELOLA PDP
PERLU/ TIDAKNYA
KARAKTER ASAL SKALA FUNGSI
ORGANISASI TATA
ORGANISASI SUMBER DAYA TATA KELOLA PDP
KELOLA PDP
10
PEOPLE - Organisasi PDP
CASE PENERAPAN ORGANISASI LAINNYA
Unofficial Information - Penerapan PDP di beberapa Organisasi
Case Nasional
1. Pertamina Persero: Fase inisial, dilaksanakan oleh Fungsi Enterprise Architecture
2. Pertamina Hulu Energi: Inisiatif belum dimulai, direncanakan Q4 2023
3. Injourney: Belum terdapat fungsi khusus, hanya menyediakan kebijakan paying, pengelolaan diserahkan
kepada masing-masing anak perusahaan
4. Angkasa Pura II: Belum terdapat fungsi khusus, inisiatif khusus PDP baru akan diinisiasi Q4 2023
5. Bank BUMN: Sudah terdapat pengelolaan data privacy nasabah, yang dikelola oleh fungsi penanggung
jawab data nasabah
Case Internasional
• Dalam fase inisial, fungsi PDP dapat ditetapkan hanya melalui penunjukkan 1 DPO, yang dapat berasal
dari internal/ eksternal perusahaan, yang berfungsi hanya sebagai pengawas penerapan
• Pengelolaan compliance per kelompok data pribadi, dilaksanakan oleh masing-masing Pengendali Data
Indofarma
pihak ketiga, baik
Proses dominan B2B
sebagai DPO
IGM Proses dominan B2B
perorangan maupun
Farmalab Proses bisnis B2C, jumlah dan varian lebih sedikit
tim tata Kelola PDP
KFSP Proses dominan B2B
12
PEOPLE - Organisasi PDP
REKOMENDASI FUNGSI TATA KELOLA PDP
Kebutuhan dan bentuk Fungsi Tata Kelola PDP
Mandatory: Organisasi Necessary : Organisasi, shared Not Necessary: Person in Charge (PiC)
1. Fungsi harus berbentuk organisasi. 1. Fungsi Tata Kelola PDP harus 1. Fungsi dilaksanakan hanya oleh
2. Dalam hal fleksibilitas dalam berbentuk organisasi, namun dapat perorangan, yang ditunjuk untuk
pembentukan organisasi terbatas dan diimplementasikan sharing dengan melaksanakan monitoring dan
kebutuhan mendesak, Fungsi dapat entitas lain dengan kebutuhan pengendalian penerapan PDP dari
dibentuk sebagai Tim Ad Hoc. necessary setiap Pengendali Data terhadap Data
3. Paralel dengan berfungsinya Tim Ad 2. Dalam konteks Fungsi Pribadi
Hoc, penyesuaian organisasi dapat diimplementasikan sharing, anggota 2. Perorangan yang ditunjuk idealnya
dilakukan, sehingga pada periode dapat berasal dari gabungan personil memiliki kapabilatas dalam
selanjutnya, Fungsi tersebut dapat setiap entitas pemahaman UU PDP dan memiliki
menjadi organisasi definitive. 3. Dalam hal fleksibilitas rekrutmen, kemampuan untuk melaksanakan
4. Fungsi ideal: dibentuk dari personil jumlah personil, dan pengalihan tanggung jawabnya
organic. penugasan terbatas, Fungsi dapat
5. Dalam hal fleksibilitas rekrutmen, beranggotakan personil dari pihak
jumlah personil, dan pengalihan eksternal, dengan DPO diutamakan
penugasan terbatas, Fungsi dapat personil organic yang memiliki
beranggotakan personil dari pihak keahlian dalam tata Kelola PDP
eksternal, dengan DPO diutamakan
personil organic yang memiliki
keahlian dalam tata Kelola PDP.
13
PEOPLE - Organisasi PDP
STRUKTUR FUNGSI TATA KELOLA PDP
Organisasi PDP
Governance Officer
Melaksanakan fungsi perencanaan
mengenai kegiatan PDP di perusahaan
14
PEOPLE - Organisasi PDP
FUNGSI TATA KELOLA PDP
Daftar Keahlian
DATA
GOVERNANCE/ LEGAL
MANAGEMENT
CORPORATE
SERVICE
GOVERNANCE,
MANAGEMENT
RISK, &
COMPLIANCE
15
PEOPLE - Organisasi PDP
KERANGKA KERJA: Kompetensi
PEOPLE SDM
PDPC Singapore
DPO Competency Framework
and Training Roadmap
• Menentukan Kebutuhan Struktur Tim Melakukan Pemantuan Program Kerja Sesuai Regulasi
• Mengidentifikasi Peraturan Perundang- undangan Terkait Mengelola Audit Berkaitan dengan Program Kerja
Design Thinking
Practice
Quality &
Monitoring
Role Sophistication:
1. DPO/DP Lead
DP Law:
Accountability
& Governance: 2. ICT Specialist Executive
Principles & Reporting
Rights
3. Process Owner
DP Law: Record- Accountability 4. Information Handler
Languages keeping: Data & Governance:
& Concepts Protection Decision-
making
Records
Record- Communication:
Business Risk keeping: Data Sharing for
Business
Management Management Good
Vision,
Mission &
Strategy
Culture: Privacy
Value & Human Risk Echancing
Ethics Technologies
Technology:
Culture:
Policies and
Literacy and
Acceptable Business People & Tech & Tools
Procedures
Use Law Values
Communication:
Transparency
Stakeholder/ Data
Data Risk Incident Audit, Legal and
Service Governance &
Protection Management Management Compliance
Management Management
FUNGSI TATA
FUNGSI TATA
TRAINING/ CERTIFICATION KELOLA PDP PENGENDALI PROSESOR DATA
COMPETENCY DPO KELOLA PDP
RECOMMENDATION Governance DATA DATA SECURITY
Pelayanan PDP
Officer
Catatan:
Certified PDP adalah …
23
KERANGKA PROSES TATA KELOLA PDP
Evaluate
Transfer,
Perubahan & Penampilan, Penghapusan &
Pembaruan Pengungkapan, Pemusnahan
Penyebarluasan
Policy
Roles &
KERANGKA Responsibility
PROSES LOW LEVEL
• Pedoman
POLICY PDP
Procedures
PROSEDUR • Prosedur
Baku PDP
Documentation
Standard
Bio Farma Group berkomitmen Induk Holding dan Entitas di Bawah Holding wajib Induk Holding dan Entitas di Bawah Holding wajib untuk melakukan
melaksanakan Pelindungan Data melaksanakan pembangunan kapasitas SDM dan identifikasi Data Pribadi yang mencangkup:
Pribadi (PDP) teknologi yang berkaitan dengan PDP sesuai ● daftar Data Pribadi yang diproses;
kebutuhan. ● pelaksana Pengendali Data Pribadi; dan
● Prosesor Data Pribadi untuk setiap Data Pribadi tersebut.
Pelindungan terhadap setiap Data Pribadi yang diproses, Induk Holding dan Entitas Di Bawah Holding dapat Monitoring dan evaluasi atas pelaksanaan PDP
dilaksanakan dengan mengacu kepada pedoman dan menyusun roadmap implementasi PDP dengan dilaksanakan sedikitnya 1 (satu) kali per tahun, dan
prosedur Pelindungan Data Pribadi yang harus disusun mempertimbangkan pemenuhan kepatuhan, prioritas Data dilaksanakan dalam bentuk Asesmen Pelindungan
oleh Induk Holding dan Entitas di Bawah Holding. maupun proses, serta kesiapan sumber daya. Data Pribadi.
Penampilan, pengumuman,
transfer, penyebarluasan, atau
pengungkapan Data Pribadi
Proses PDP
Formulir PDP
29
KERANGKA KERJA: Teknik
TECHNOLOGY Pengamanan
NON-ELEKTRONIK ELEKTRONIK
• Kontrak
Proteksi data non-elektronik/ Proteksi data Proteksi File Proteksi Aplikasi Proteksi
dokumen fisik Environment
Create policies
Ensure physical document safety
Once the documents have reached their useful life, discard them immediately
Enforce a clean desk policy
DATA LOSS
ENCRYPTION PREVENTION
(DLP)
INTRUSION
ACCESS DETECTION AND
CONTROLS AND PREVENTION
AUTHENTICATION SYSTEMS (IDPS)
▪ This method accepts a password from the user ▪ Risk: loss of the password!
▪ Prevent leakage
• Different key for encryption and decryption: • Same key for encryption and decryption
public vs private key • Ex.: AES
• Ex.: ECC, DSA, RSA and EL Gamal
Hashing Functions
UBAC RBAC
▪ Relies on the identity of the person ▪ Determined by a person’s role in an organization
▪ GRANT or DENY ▪ Easier to implement separation of duties and create an
▪ In the same way they can manage ONE person effective auditing program.
▪ Based on organizational policy ▪ Downside
▪ Downside
▪ DAC or MAC
Data Data
Masking Obfuscation
INTRUSION
DATA LOSS KEY DATABASE
DETECTION &
PREVENTION MANAGEMENT FIREWALL
PREVENTION
SYSTEM
SYSTEM
Purpose:
2. 5.
Compliance Talent Shortage
Expanding global regulations heightens the Skilled data security professionals are in high
need for DLP to satisfy expansive laws and demand and difficult to find. To compensate,
requirements on data governance. organizations often outsource DLP to
vendors that provide managed IT services.
3. 6.
Data Volume
Companies produce more data than ever, Wider Attack Surface
and the data generates a great deal of value.
Cloud services, endpoint devices and
Sophisticated hackers are on the prowl to
third-party vendor tools are potentially
find ways to steal data for profit, including
vulnerable to ransomware and other
identity theft, insurance fraud and other
cybersecurity threats.
economic crimes.
51
TECHNOLOGY - Teknik Pengamanan
BUSINESS CASE
Install anywhere
You must provide your
Software Uses commodity hardware
own hardware & OS
Easy to update/patch
Inflexible
Appliance Turnkey installation Finite capacity
Mean-time-to-repair
Free to use
Product has been around for a long time so lots of
GnuPG: Best for PGP Only supports PGP
Free support options are available.
encryption encryption.
There are a number of integrations, so you can use.
GnuPG on a number of devices and applications.
Passwords in open
Features an easy-to-use user interface
Seahorse: Best for a computerized key cabinets
Free Supports SSH and PGP
user-friendly interface are stored in your physical
Good range of features
RAM only
Host-Based IDPS
Network-Based IDPS
Logging Detection
Capabilities Capabilities
Information
Prevention
Gathering
Capabilities
Capabilities
Kind of application firewall that monitors database traffic to detect and protect against
database-specific attacks that primarily seek to access sensitive data held in the
databases. Database Firewalls also allow for the monitoring and auditing of all access to
cloud databases via logs.
Database Firewalls, in general, are security-hardened software that is installed either in
line with the database server directly before the database server or near the network
gateway when safeguarding numerous databases on multiple servers. Other terms Data
Activity Monitoring & Prevention
2. 4.
Compliance Data Centric
Expanding various regulatory requirements Companies store and manage their vast
regulations required the monitoring & audit amount of data in term of Database. It is
capabilities to database; essential to ensure database security to
assure business continuity
63
TECHNOLOGY - Teknik Pengamanan
CONTOH PRODUK DATABASE FIREWALL
https://www.saasworthy.com/list/database-security
65
TUJUAN
66
KERANGKA KERJA: Identifikasi
ROADMAP Inisiatif PDP
Aspek Aspek
Pemrosesan
Tata Data Pribadi
Kelola
Penyiapan Consent
Penerapan mekanisme
pelindungan untuk setiap tahap
pemrosesan
2. Karyawan
1. Karyawan yang diproses dalam HCIS dengan melibatkan seluruh aplikasi terkait mengenai kepegawaian
2. Karyawan Outsource yang diproses dalam aplikasi e-SDM pada Plant
4. Persons in Charge (PIC) Supplier (Vendor) Pimpinan dan narahubung dari perusahaan vendor/ supplier
8. Customer Pembeli produk obat yang datanya tersimpan pada aplikasi Big Data Marketing
79
Roadmap - Contoh Rencana Kerja
CAKUPAN DATA PRIBADI YANG DIPROSES DAN
KATEGORI RISIKONYA
1. Calon Karyawan Moderate Risk
80
Roadmap - Contoh Rencana Kerja
PENERAPAN PDP – Data Pasien Farmakovigilan
1. Definisi
Penerapan pelindungan untuk data pasien farmakovigilan, mengikuti standar compliance UU PDP
2. Penanggung Jawab
Pengendali Data Pasien Farmakovigilan
3. Fungsi Terkait Penerapan
a. Business Process Owner terkait
b. Prosesor Data
4. Mekanisme
a. Prasyarat: pengendali data dan prosesor data sudah terdefinisi
b. Penyusunan ROPA data pasien Farmakovigilan
c. Penyusunan DPIA dari ROPA
d. Penyusunan dokumen consent Data Pasien Farmakovigilan
e. Permintaan pemenuhan consent kepada subjek data
f. Identifikasi varian data pasien farmakovigilan yang dimiliki, baik yang berupa data pada aplikasi, salinan file, data tercetak, dll
g. Penerapan pelindungan mengikuti arahan pada Pedoman Pelindungan Data, sejalan dengan mitigasi DPIA
h. Penentuan Contact channel
5. Output
Data Pasien Farmakovigilan yang terlindungi
6. Perkiraan Waktu Pelaksanaan
1 s.d 3 bulan
81
Roadmap - Contoh Rencana Kerja
PENETAPAN CONTACT SUBJECT DATA REQUEST
Fungsi Perkiraan
Definisi: Penanggung Terkait Mekanisme: Waktu
Output:
Jawab: Penetapan: Penetapan:
Kontak tindak
lanjut per topik
82
Roadmap - Contoh Rencana Kerja
TAHAP PENERAPAN PDP
83
Roadmap - Contoh Rencana Kerja
TAHAP PENERAPAN PDP (2)
Penerapan Lanjutan: Terlindunginya data Q2 2024 – 6 bulan Penerapan Pelindungan Data Pribadi Moderate Risk (Untuk
Penerapan PDP untuk pribadi Moderate data calon karyawan, karyawan, PiC Vendor, Penerima
Data Pribadi Risk program TJSL, Pengunjung, Pelapor dari Contact Center
Moderate Risk maupun dari website)
Evaluasi Terlaksananya Berkala Check Penerapan Bulanan, PIR Per Fase & Per Quarter
inisatif PDP sesuai
rencana
84
Roadmap - Contoh Rencana Kerja