Materi Workshop Framework Implementasi PDP

FRAMEWORK
IMPLEMENTASI
PEOPLE - PROCESS - TECHNOLOGY -
ROADMAP
www.biofarma.co.id
INTRO
2
MILESTONE KEGIATAN
3
KERANGKA KERJA IMPLEMENTASI PDP
PEOPLE PROCESS
• Organisasi PDP & POLICY • Manajemen
• Kebijakan
• Kompetensi SDM
• Identifikasi Inisiatif PDP

• Teknik Pengamanan
• Penentuan Prioritas &
data pribadi
Timeline
• Teknologi Pendukung
• Contoh Rencana Kerja
TECHNOLOGY ROADMAP
4
WORKSHOP OBJECTIVES
1. Pemahaman terhadap kerangka implementasi dalam aspek tata kelola

maupun pelindungan data pribadi
2. Pemahaman cakupan dan rekomendasi dalam setiap bagian dalam kerangka
implementasi, baik dalam aspek people, process, technology, roadmap
3. Pemahaman terhadap kebutuhan tindak lanjut bagi setiap entitas s.d Tahun
2024 dalam pelaksanaan PDP
5
POINTER REKOMENDASI DARI DIVUSI
Penyusunan
Kebijakan &
Turunannya
Tata Kelola Pembangunan

Kompetensi
Inventarisasi Data
Penyusunan
Penghapusan Data yang tidak diperlukan/ tercapai
Organisasi retensi
Rekomendasi Enkripsi data pada basis data

PDP
Penerapan password pada dokumen elektronik yang
memuat data
Pelindungan
Data Penyimpanan dan pengendalian akses pada
dokumen non elektronik yang menyimpan data
Penerapan
Pengendalian akses data
PDP
Pengendalian salinan dan distribusi data
Penyediaan Kontak &

Prosedur Tindak Lanjut
Subject Data Request
6
KERANGKA KERJA:
PEOPLE
7
KERANGKA KERJA: Organisasi
PEOPLE PDP
PEOPLE - Organisasi PDP

8
OPSI PENERAPAN FUNGSI TATA KELOLA PDP
Bentuk Asal
Organisasi Sumber Daya
Cakupan Tanggung Skala

Jawab Alt 1: Internal Fungsi
Alt 1: Fungsi Definitif dalam + Lebih memahami culture &
Struktur Organisasi business process
+ Better positioning dalam Alt 1: Dedicated Single Company - Berisiko mengganggu Alt 1: Perorangan yang ditunjuk
pengendalian + Fokus dalam pelaksanaan fungsi pelaksanaan tupoksi lainnya sebagai penanggung jawab
- Time consuming dalam - Resource consuming dalam 🡪 Sesuai untuk organisasi yang
perubahan organisasi jumlah yang signifikan memproses data pribadi dalam
Alt 2: External jumlah yang tidak signifikan, dan
+ Keahlian spesifik SDM relative mudah dalam pengendalian
Alt 2: Team Ad Hoc Alt 2: Shared Service memungkinkan pemahaman
+ Fleksibel + Berbagi sumber daya, mengenai konteks PDP yang lebih Alt 2: Berupa Fungsi Organisasi
- Pelaksanaan tanggung memungkinkan efisiensi baik 🡪 Sesuai untuk organisasi yang
jawab berisiko tidak + Kasus dan pengalaman yang - Kebutuhan pembelajaran memproses data pribadi terkait core
maksimal lebih kaya terhadap culture business, yang berjumlah signifikan,
- Berisiko focus yang terbagi dalam dan relatif tidak mudah dalam
pelaksanaan tanggung jawab pengendaliannya
9
FAKTOR PENENTU OPSI TATA KELOLA PDP
PERLU/ TIDAKNYA
KARAKTER ASAL SKALA FUNGSI
ORGANISASI TATA
ORGANISASI SUMBER DAYA TATA KELOLA PDP
KELOLA PDP
• Sifat core business • Fleksibilitas • Fleksibilitas • Jumlah jenis data

(B2B/ B2C) penyesuaian rekrutmen pribadi yang
organisasi diproses
• Pemrosesan Berisiko • Fleksibilitas
• Kompleksitas culture pengalihan • Risiko data pribadi
• Frekuensi penugasan yang diproses
organisasi
pemrosesan
kelompok data • Ketersediaan • Jumlah dan Jenis
pribadi baru per personil pemrosesan data
tahun
• Kesiapan Personil
Existing
10
CASE PENERAPAN ORGANISASI LAINNYA
Unofficial Information - Penerapan PDP di beberapa Organisasi
Case Nasional
1. Pertamina Persero: Fase inisial, dilaksanakan oleh Fungsi Enterprise Architecture
2. Pertamina Hulu Energi: Inisiatif belum dimulai, direncanakan Q4 2023
3. Injourney: Belum terdapat fungsi khusus, hanya menyediakan kebijakan paying, pengelolaan diserahkan
kepada masing-masing anak perusahaan
4. Angkasa Pura II: Belum terdapat fungsi khusus, inisiatif khusus PDP baru akan diinisiasi Q4 2023
5. Bank BUMN: Sudah terdapat pengelolaan data privacy nasabah, yang dikelola oleh fungsi penanggung
jawab data nasabah
Case Internasional
• Dalam fase inisial, fungsi PDP dapat ditetapkan hanya melalui penunjukkan 1 DPO, yang dapat berasal
dari internal/ eksternal perusahaan, yang berfungsi hanya sebagai pengawas penerapan
• Pengelolaan compliance per kelompok data pribadi, dilaksanakan oleh masing-masing Pengendali Data
PEOPLE - Organisasi PDP 11

REKOMENDASI FUNGSI TATA KELOLA PDP
Analisa kebutuhan dan bentuk Fungsi Tata Kelola PDP
ENTITAS KEBUTUHAN NOTES

Jika readiness
Induk Holding - Biofarma Group B2B, B2C, melakukan pemrosesan berisiko
internal perusahaan
Bio Farma Operasional B2B, B2C, varian jenis pemrosesan >> belum mencukupi
Kimia Farma Holding B2B, B2C, varian pemrosesan >> , holding untuk membentuk
KFA Proses bisnis B2C dominan organisasi tata Kelola
Phapros Proses dominan B2B PDP organic, maka
KFD Proses bisnis B2C dominan dimungkinkan
KFTD Proses dominan B2B pemenuhan fungsi
Lucas Group Proses dominan B2B melalui dukungan
Indofarma
pihak ketiga, baik
Proses dominan B2B
sebagai DPO
IGM Proses dominan B2B
perorangan maupun
Farmalab Proses bisnis B2C, jumlah dan varian lebih sedikit
tim tata Kelola PDP
KFSP Proses dominan B2B
Mandatory: Organisasi Necessary : Organisasi, shared Not Necessary: PiC
12
REKOMENDASI FUNGSI TATA KELOLA PDP
Kebutuhan dan bentuk Fungsi Tata Kelola PDP
Mandatory: Organisasi Necessary : Organisasi, shared Not Necessary: Person in Charge (PiC)
1. Fungsi harus berbentuk organisasi. 1. Fungsi Tata Kelola PDP harus 1. Fungsi dilaksanakan hanya oleh
2. Dalam hal fleksibilitas dalam berbentuk organisasi, namun dapat perorangan, yang ditunjuk untuk
pembentukan organisasi terbatas dan diimplementasikan sharing dengan melaksanakan monitoring dan
kebutuhan mendesak, Fungsi dapat entitas lain dengan kebutuhan pengendalian penerapan PDP dari
dibentuk sebagai Tim Ad Hoc. necessary setiap Pengendali Data terhadap Data
3. Paralel dengan berfungsinya Tim Ad 2. Dalam konteks Fungsi Pribadi
Hoc, penyesuaian organisasi dapat diimplementasikan sharing, anggota 2. Perorangan yang ditunjuk idealnya
dilakukan, sehingga pada periode dapat berasal dari gabungan personil memiliki kapabilatas dalam
selanjutnya, Fungsi tersebut dapat setiap entitas pemahaman UU PDP dan memiliki
menjadi organisasi definitive. 3. Dalam hal fleksibilitas rekrutmen, kemampuan untuk melaksanakan
4. Fungsi ideal: dibentuk dari personil jumlah personil, dan pengalihan tanggung jawabnya
organic. penugasan terbatas, Fungsi dapat
5. Dalam hal fleksibilitas rekrutmen, beranggotakan personil dari pihak
jumlah personil, dan pengalihan eksternal, dengan DPO diutamakan
penugasan terbatas, Fungsi dapat personil organic yang memiliki
beranggotakan personil dari pihak keahlian dalam tata Kelola PDP
eksternal, dengan DPO diutamakan
personil organic yang memiliki
keahlian dalam tata Kelola PDP.
13
STRUKTUR FUNGSI TATA KELOLA PDP
Organisasi PDP
Data Protection Officer (DPO)

Perorangan yang ditunjuk untuk melaksanakan
koordinasi dalam fungsi Tata Kelola PDP
Data Protection
Officer (DPO)
Governance Officer
Melaksanakan fungsi perencanaan
mengenai kegiatan PDP di perusahaan
Governance Contact Person/

Officer Pelayanan PDP
Contact Person Team/Pelayanan PDP
Kontak pertama kepada data subjek dan
PiC fungsi terkait
14
FUNGSI TATA KELOLA PDP
Daftar Keahlian
DATA
GOVERNANCE/ LEGAL
MANAGEMENT
CORPORATE
SERVICE
GOVERNANCE,
MANAGEMENT
RISK, &
COMPLIANCE
15
KERANGKA KERJA: Kompetensi
PEOPLE SDM
PEOPLE - Kompetensi SDM

16
REFERENSI KOMPETENSI PDP
Daftar Kompetensi PDP
Kepmenaker No 103 Tahun

2023 mengenai SKKNI PDP
PDPC Singapore
DPO Competency Framework
and Training Roadmap
Data Protection Education -

Data Protection
Competency Framework

17
Kepmenaker No 103 Tahun 2023 mengenai SKKNI PDP
• Menentukan Landasan Program Kerja Menerapkan Program Kerja
• Menentukan Kebutuhan Struktur Tim Melakukan Pemantuan Program Kerja Sesuai Regulasi
• Menentukan Kerangka Kerja Merumuskan Saran Kepada Manajemen Terkait
• Mengidentifikasi Peraturan Perundang- undangan Terkait Mengelola Audit Berkaitan dengan Program Kerja
• Penentuan Strategi Memastikan Pelaksanaan Tindak Lanjut Hasil Audit
• Menyusun Kriteria Matriks Risiko Merumuskan Proses Perolehan Persetujuan Pemrosesan

Data Pribadi
• Melakukan Penilaian Dampak
Memberikan Respons Terhadap Permintaan Informasi Data
• Menguji Efektivitas Program Kerja
Pribadi Sesuai Ketentuan
• Menyusun Tata Kelola
Memastikan PDP Telah Terintegrasi Dalam Manajemen
• Menyusun Manajemen PDP pada Domainnya Respons Insiden
Memastikan Berjalannya Manajemen Respons Insiden

Terkait Kegagalan PDP
18
PDPC Singapore - DPO Competency Framework and Training Roadmap
Data Protection Business Risk Cyber and Data Breach Stakeholder

Management Management Incident Management Management
Audit and Data Data Ethics Data Sharing

Compliance Governance
Design Thinking
Practice

19
Data Protection Education - Data Protection Competency Framework
Quality &
Monitoring
Role Sophistication:
1. DPO/DP Lead
DP Law:
Accountability
& Governance: 2. ICT Specialist Executive
Principles & Reporting
Rights
3. Process Owner
DP Law: Record- Accountability 4. Information Handler
Languages keeping: Data & Governance:
& Concepts Protection Decision-
making
Records
Record- Communication:
Business Risk keeping: Data Sharing for
Business
Management Management Good
Vision,
Mission &
Strategy
Culture: Privacy
Value & Human Risk Echancing
Ethics Technologies
Technology:
Culture:
Policies and
Literacy and
Acceptable Business People & Tech & Tools
Procedures
Use Law Values
Communication:
Transparency

20
AREA KOMPETENSI PDP
proposed
Stakeholder/ Data
Data Risk Incident Audit, Legal and
Service Governance &
Protection Management Management Compliance
Management Management

21
PDP ROLES & COMPETENCY MAPPING
FUNGSI TATA
FUNGSI TATA
TRAINING/ CERTIFICATION KELOLA PDP PENGENDALI PROSESOR DATA
COMPETENCY DPO KELOLA PDP
RECOMMENDATION Governance DATA DATA SECURITY
Pelayanan PDP
Officer
Certified Information Privacy

Data Protection Technologist & ISO 27701
Risk Management Certified PDP
Incident Management ISO 27035
Stakeholder/ Service Management IT Service Management
Audit, Legal and Compliance Certified PDP
Certified Data Management

Data Governance & Management Professional
Catatan:
Certified PDP adalah …

22
KERANGKA KERJA:
PROCESS & POLICY
23
KERANGKA PROSES TATA KELOLA PDP
PERENCANAAN PELAKSANAAN PEMANTAUAN EVALUASI
Evaluate
Pemerolehan & Pengolahan &

Penganalisaan Penyimpanan
Pengumpulan
Direct Monitor
Transfer,
Perubahan & Penampilan, Penghapusan &
Pembaruan Pengungkapan, Pemusnahan
Penyebarluasan
PROCESS & POLICY - Manajemen

24
STRUKTUR ACUAN PELAKSANAAN PDP
Policy
HIGH LEVEL Guideline

POLICY • Peraturan
Direksi PDP
Roles &
KERANGKA Responsibility
PROSES LOW LEVEL
• Pedoman
POLICY PDP
Procedures
PROSEDUR • Prosedur
Baku PDP
Documentation
Standard

25
Draft Peraturan Direksi Kebijakan PDP
Ketentuan Kunci *)
Bio Farma Group berkomitmen Induk Holding dan Entitas di Bawah Holding wajib Induk Holding dan Entitas di Bawah Holding wajib untuk melakukan
melaksanakan Pelindungan Data melaksanakan pembangunan kapasitas SDM dan identifikasi Data Pribadi yang mencangkup:
Pribadi (PDP) teknologi yang berkaitan dengan PDP sesuai ● daftar Data Pribadi yang diproses;
kebutuhan. ● pelaksana Pengendali Data Pribadi; dan
● Prosesor Data Pribadi untuk setiap Data Pribadi tersebut.
Pelindungan terhadap setiap Data Pribadi yang diproses, Induk Holding dan Entitas Di Bawah Holding dapat Monitoring dan evaluasi atas pelaksanaan PDP
dilaksanakan dengan mengacu kepada pedoman dan menyusun roadmap implementasi PDP dengan dilaksanakan sedikitnya 1 (satu) kali per tahun, dan
prosedur Pelindungan Data Pribadi yang harus disusun mempertimbangkan pemenuhan kepatuhan, prioritas Data dilaksanakan dalam bentuk Asesmen Pelindungan
oleh Induk Holding dan Entitas di Bawah Holding. maupun proses, serta kesiapan sumber daya. Data Pribadi.
Induk Holding dan Entitas di Bawah Holding

wajib membentuk Fungsi Tata Kelola PDP
yang bertanggung jawab terhadap
penjaminan Pelindungan Data Pribadi dan
Pada Entitas di Bawah Holding:
Pada Induk Holding : melapor kepada Direktur.
Fungsi Tata Kelola PDP dibentuk sesuai skala kebutuhan
Fungsi Tata Kelola PDP terdiri dari setidaknya:
dengan opsi sebagai berikut:
● Data Protection Officer (DPO)
● 1 (satu) atau lebih personil PDP, di mana salah satu
● Governance Officer, dan
personil melaksanakan peran sebagai Data
● Narahubung atau Fungsi Pelayanan PDP
Protection Officer (DPO); atau
● Seperti yang diterapkan di Induk Holding.
*) Dokumen masih dalam proses reviu dan penyusunan

26
Pedoman dan Prosedur PDP
RACI Chart
TANGGUNG JAWAB - PERAN Responsible Accountable Consulted Informed

Perencanaan pelaksanaan
Business Process Owner
Pelindungan Data Pribadi
Fungsi Tata Kelola PDP:
Monitoring dan Evaluasi Governance Officer ● Business Process Owner
pelaksanaan Pelindungan Data Fungsi Tata Kelola PDP: dan
Pribadi Data Protection Officer ● Fungsi Terkait
(DPO)
● Fungsi Tata Kelola PDP: ● Business Process Owner,
Pelaporan Pelindungan Data
Governance Officer ● Pengendali Data, dan
Pribadi
● Pengendali Data ● Prosesor Data.
Perolehan dan Pengumpulan Data

Fungsi terkait
Pribadi
Pengolahan dan Penganalisisan

Data Pribadi
Penyimpanan Data Pribadi Fungsi Tata Kelola PDP :
Prosesor Data Pengendali Data
Perbaikan dan pembaharuan Data Governance Officer
Pribadi
Penampilan, pengumuman,
transfer, penyebarluasan, atau
pengungkapan Data Pribadi

27
Pedoman dan Prosedur PDP
Proses dan Output PDP
Proses PDP
Penyusunan DPIA Penyusunan Persetujuan

Penyusunan ROPA
Subjek Data (consent)
Penerimaan & Tindak

Tindak Lanjut Insiden
Lanjut Permintaan Subjek
Kebocoran Data Pribadi
Data
Formulir PDP
Dokumen Laporan Insiden

Form Berita Acara Dokumen
kendali tindak Kebocoran Data
Persetujuan Penyelesaian
ROPA DPIA Subjek Data
lanjut Pribadi
Pencatatan
Permintaan Kejadian PDP
permintaan
(consent) Subjek Data
Subjek Data

28
KERANGKA KERJA:
TECHNOLOGY
29
KERANGKA KERJA: Teknik
TECHNOLOGY Pengamanan
TECHNOLOGY - Teknik Pengamanan

30
FORMAT DATA PRIBADI EXISTING
NON-ELEKTRONIK ELEKTRONIK
• Salinan daftar data

• DB Aplikasi
• Dokumen kelengkapan administrasi • File
karyawan/ vendor/ calon karyawan/
pasien, etc
• Kontrak

31
KEBUTUHAN TEKNIK PROTEKSI
Proteksi data non-elektronik/ Proteksi data Proteksi File Proteksi Aplikasi Proteksi
dokumen fisik Environment

32
PROTEKSI DATA NON-ELEKTRONIK
Limit physical document access
Locked storage cabinets and storage rooms
Access limited to a selected few employees and individuals
Any external individuals entering the workspace should be closely monitored and have no access to important document
Create policies
Ensure physical document safety
Once the documents have reached their useful life, discard them immediately
Enforce a clean desk policy
Invest in a records management company
Shred unnecessary documents
Train employees on document security

Protect confidential information for the whole life cycle of the information
Shred all paper documents and lock up all sensitive documents when not in use
Share confidential information only with those who need to know
Have a written and signed, confidential non-disclosure agreement before disclosing confidential information to third parties
Report actual or suspected unauthorised access to management
Backup in digital version
Regular audit of policies

33
PROTEKSI DATA ELEKTRONIK
DATA LOSS
ENCRYPTION PREVENTION
(DLP)
INTRUSION
ACCESS DETECTION AND
CONTROLS AND PREVENTION
AUTHENTICATION SYSTEMS (IDPS)
DATA BACKUP AND EMPLOYEE

DISASTER TRAINING AND
RECOVERY AWARENESS

34
DATA ENCRYPTION CRYPTO DESIGN & APPLICATION, RECORD & FIELD
IMPLEMENTATION CONSIDERATIONS ENCRYPTION
▪ Encryption size ▪ Application encryption

▪ For example, encrypting a Microsoft Word ▪ Encryption routines
document with one four-letter word in it will
▪ When using an outdated application, the encryption
change the file size from 10.9 kilobytes to 17.5
algorithm being used by the application may provide
kilobytes.
weak protection for the data
▪ Encryption performance
▪ Record encryption
▪ Complexity
▪ One record at a time within an entire dataset
▪ Encrypting data requires picking an algorithm, a ▪ Granular protection - each record is encrypted with a
key length and key value. different key or a salt
▪ Utility ▪ Access to encrypted records can be based on an
▪ Performing searching, sorting, mathematics or individual’s role
modeling are all much more difficult on ▪ Field encryption

encrypted data.
▪ Encrypt only sensitive fields within a record
35
FILE ENCRYPTION DISK ENCRYPTION
▪ Password protection ▪ Encrypt the entire HDD on a computer
▪ This method accepts a password from the user ▪ Risk: loss of the password!
▪ Simple method ▪ Linux Unified Key Setup (LUKS) Disk encryption

▪ Ensure encryption ▪ - key can be stored on USB
▪ 3rd party program
▪ Each user must have the encryption program as

well as the decryption key.
▪ Digital Rights Mgmt (DRM)
▪ Encrypt the file as well as restrict the operations
▪ Service may hold a copy of the encryption keys
▪ Prevent leakage

36
ENCRYPTION REGULATION
Basel III HIPAA PCI DSS ….

37
CRYPTO STANDARDS
Asymmetric encryption Symmetric encryption
• Different key for encryption and decryption: • Same key for encryption and decryption
public vs private key • Ex.: AES
• Ex.: ECC, DSA, RSA and EL Gamal
Hashing Functions
• Encrypt data so it can never be decrypted

• Ex.: A password of “bE;miNe4ever#” on the
client and at the server it gets hashed to
“47AA%snUx{{J;a9“
• Ex. Algorythms: secure hashing algorithm 1
(SHA-1), SHA-2

38
ACCESS CONTROL
UBAC RBAC
▪ Relies on the identity of the person ▪ Determined by a person’s role in an organization
▪ GRANT or DENY ▪ Easier to implement separation of duties and create an
▪ In the same way they can manage ONE person effective auditing program.
▪ Based on organizational policy ▪ Downside
▪ Downside
▪ DAC or MAC

39
TECHNOLOGIES AND USE
Automated Data Automated System

Retrieval Audits
• Users who have • Limit the viewing of

access to a database personal data to one
often have access to record at a time
the entire database or • Used to validate
table where records
system logs
they need to retrieve
are stored.

40
DATA MASKING DATA OBFUSCATION
Data Data
Masking Obfuscation
• Permitting parts of a sensitive value • Hiding the contents of a value while

to be visible maintaining its utility
• SSN or card numbers • Encrypting a value
• Last 4 digits • Simple math on the value
• Last octet • Changing value’s precision
• Password characters • Re-identification can occur when
obfuscated data is combined with
other data !!!!

41
KERANGKA KERJA: Teknologi
TECHNOLOGY Pendukung

42
TECHNOLOGIES TO SUPPORT PDP
INTRUSION
DATA LOSS KEY DATABASE
DETECTION &
PREVENTION MANAGEMENT FIREWALL
PREVENTION
SYSTEM
SYSTEM

43
DATA LOSS PREVENTION (DLP)
Purpose:
To help protect sensitive data and reduce risk,

To prevent users from inappropriately sharing sensitive data
with people who shouldn't have it.
DLP main feature:

Monitor data storage and sharing for compliance
Allow administrative control over data governance
Detect data leaks or misuse
Facilitate data identification and discovery

44
WHY IMPLEMENT DLP?
1. 4.
Cost Emergence of the chief information
The average total cost of a data breach was security officer (CISO).
$4.2 million in 2021, a 10% increase from Companies are hiring professional security
2020, according to an IBM and the Ponemon specialists such as CISOs to craft governance
Institute report. policies to secure intellectual property and other
proprietary information. DLP is typically a
significant part of efforts.
2. 5.
Compliance Talent Shortage
Expanding global regulations heightens the Skilled data security professionals are in high
need for DLP to satisfy expansive laws and demand and difficult to find. To compensate,
requirements on data governance. organizations often outsource DLP to
vendors that provide managed IT services.
3. 6.
Data Volume
Companies produce more data than ever, Wider Attack Surface
and the data generates a great deal of value.
Cloud services, endpoint devices and
Sophisticated hackers are on the prowl to
third-party vendor tools are potentially
find ways to steal data for profit, including
vulnerable to ransomware and other
identity theft, insurance fraud and other
cybersecurity threats.
economic crimes.

45
STEP TO IMPLEMENT DLP
Conduct an Establish data Educate

inventory and handling and employees.
assessment. remediation Unintended actions are
Businesses can't far more common than
protect what they policies. The next
malicious intent.
don't know they have. step after classifying
Employee awareness
A complete inventory the data is to create
Classify data. and acceptance of
is a must. Some DLP policies for handling it. Implement a security policies and
products -- from Organizations need a This is especially true
data classification with regulated data or single, procedures are critical
vendors such as to DLP.
Barracuda Networks, framework for both in areas with strict centralized DLP
Cisco and McAfee -- structured and rules -- such as program. Many
will do a complete unstructured data. Europe with GDPR and organizations
scan of the network. Such categories California with CCPA. implement multiple DLP
include personally plans across different
identifiable departments and
information (PII), business units. This
financial data, leads to inconsistency
regulatory data and of protection and the
intellectual property. lack of a full picture of
the network. There
should be one
overarching program.
46
JENIS DLP
Berdasarkan objek yang
Berdasarkan state dimonitor:
data:
Data in motion: memonitor data yang ditransmisikan

Network
dalam jaringan
Data in use: memonitor data yang sedang digunakan Endpoint
Data at rest: memonitor data tersimpan di end point Cloud

(DB, file sharing)

47
BUSINESS CASE
DLP for Compliance → DLP solution must be able to accurately

detect that personal information in its many forms and across
many different channels
DLP for Intellectual Property Protection → more heavily on the context

surrounding user activity than data content

48
BEBERAPA CONTOH PRODUK DLP

49
KEY MANAGEMENT SYSTEM
an integrated approach ex: Google Cloud Key

for generating, Management, Microsoft
distributing and Azure Key Vault, Amazon
managing cryptographic Web Services Key
keys for devices and Management Services,
applications etc.

50
FITUR
Ability to support a variety of key types and formats
Certified hardware random number generator for strong key generation
Protection for stored keys using a certified, tamper-resistant hardware device
Automation for common/tedious tasks
Logical access controls with strong user authentication
Full tamper-proof audit log
51
BUSINESS CASE
Karena alasan historis kejadian → perlu solusi untuk risk

reduction
Karena alasan kesesuaian dengan peraturan → perlu

solusi untuk mempermudah audit
Karena transformasi TI → perlu solusi yang fleksibel
Karena pertumbuhan kebutuhan jumlah → perlu solusi

yang mereduksi cost

52
DEPLOYMENT MODEL
DEPLOYMENT MODEL PROS CONS
Install anywhere
You must provide your
Software Uses commodity hardware
own hardware & OS
Easy to update/patch
Virtual overhead and

Virtual Easy to install multiple instances
complexity
Inflexible
Appliance Turnkey installation Finite capacity
Mean-time-to-repair
No installation Keys stored in cloud

Service Easy to use Limited integration with
Pay-as-you-go-pricing on-premises application

53
REQUIREMENTS
List existing systems, applications, and services involved
Determine required platform support
Map out draft architectures
Calculate performance requirements
List any additional encryption support required
Determine compliance, administration, reporting, and certification

requirements
List additional technical requirements

54
BEBERAPA CONTOH PRODUK
SOFTWARE PRICING PROS CONS
Per Microsoft: “ Operations against all keys

Reduce latency
(software-protected keys and HSM-protected keys),
Microsoft Azure Key Vault: Best Offers automation
secrets, and certificates are billed at a flat rate of $0.03 No free version
overall Easy to use
per 10,000 operations, except certificate renewal
Limits access to keys
requests, which are billed at a rate of $3 per renewal.”
Free to use
Product has been around for a long time so lots of
GnuPG: Best for PGP Only supports PGP
Free support options are available.
encryption encryption.
There are a number of integrations, so you can use.
GnuPG on a number of devices and applications.
Passwords in open
Features an easy-to-use user interface
Seahorse: Best for a computerized key cabinets
Free Supports SSH and PGP
user-friendly interface are stored in your physical
Good range of features
RAM only
Compatible with encryption hardware

Google Cloud Key Allows creating, managing and deleting encryption
Management: Best for a Contact Google for pricing keys Complicated pricing structure
cloud-based option Provides an external key manager that allows
granular control over data
Easy way to manage secret sprawl Not so easy to use.

HashiCorp Vault: Best for Open-source and self-hosted
Free for limited features, then starts at $1.58 per hour
secret keys Can generate PKI certificates No readily clear way to search
Fast release cycle for secret keys.
55
INTRUSION DETECTION & PREVENTION SYSTEM (IDPS)
Monitors a network or systems for

malicious activity or policy violations
Host-Based IDPS
Network-Based IDPS
Ex: Trend Micro, Cisco, Palo Alto, etc

56
GENERAL REQUIREMENTS
System and Network Environments (IT
environment, existing security
protections)
Goals and Objectives (The types of

threats, Any needs to monitor system
and network usage)
Security and Other IT Policies (Goals,

reasonable use, specific policy
violations)
External Requirements (Requirement

by law, audit requirement,
accreditation requirement,
cryptography requirements…)
Resource Constraints (budget, staff)

57
SECURITY CAPABILITY REQUIREMENTS
Logging Detection
Capabilities Capabilities
Information
Prevention
Gathering
Capabilities
Capabilities

58
OTHER REQUIREMENTS
PERFORMANCE MANAGEMENT LIFE CYCLE COST
(Speed, Capacity,…) (Design and implementation, (Initial, maintenance)

Operation and maintenance,
Training, documentation, and
technical support)

59
CONTOH PRODUK

60
DATABASE FIREWALL
Kind of application firewall that monitors database traffic to detect and protect against
database-specific attacks that primarily seek to access sensitive data held in the
databases. Database Firewalls also allow for the monitoring and auditing of all access to
cloud databases via logs.
Database Firewalls, in general, are security-hardened software that is installed either in
line with the database server directly before the database server or near the network
gateway when safeguarding numerous databases on multiple servers. Other terms Data
Activity Monitoring & Prevention

61
WHY IMPLEMENT Database FW/DAMP
1. 3.
Cost Enhancing Security
The average global cost of a data breach was
$4.45 million in 2023, a 15% increase from It prevents several forms of attacks: SQL
the past 3 years, according to an IBM and Injections, application bypass, and other harmful
the Ponemon Institute report. activities to access the database
2. 4.
Compliance Data Centric
Expanding various regulatory requirements Companies store and manage their vast
regulations required the monitoring & audit amount of data in term of Database. It is
capabilities to database; essential to ensure database security to
assure business continuity

FITUR
Protect database specific attack (e.g., SQL Injection, Application Bypass)
Monitor and audit all accesses to database
Prevent unauthorized access to the database
Identify and response on fraudulent or anomaly behaviors
Protect data sensitive & private with masking & encryption
Report the compliance of data & access in the database
63
CONTOH PRODUK DATABASE FIREWALL
https://www.saasworthy.com/list/database-security

64
KERANGKA KERJA:
ROADMAP
65
TUJUAN
Terdapat landasan hukum pelaksanaan

PDP di Holding dan Entitas
Terlindunginya data pribadi high risk
Terlindunginya data pribadi moderate

risk
66
KERANGKA KERJA: Identifikasi
ROADMAP Inisiatif PDP
Roadmap - Identifikasi Inisiatif PDP

67
REKOMENDASI INISIATIF PDP
Pembagian Aspek
Aspek Aspek
Pemrosesan
Tata Data Pribadi
Kelola

68
Aspek Tata Kelola
SUB ASPEK INISIATIF HOLDING ENTITAS ONE TIME RECURRING
A.1 Penetapan fungsi PDP

A.2 Pelatihan DPO
A.3 Awareness PDP & Basic Information Security/ Cyber Hygiene
People A.4 Pelatihan Keahlian Teknik PDP
A.5 Pelatihan Data Management – Data Security
A.6 Pelatihan Service Management – Pelayanan PDP
A.7 Pelatihan Incident Management (Bekerjasama dengan fungsi SMKI/ CSIRT)
Process & B.1 Penyusunan Kebijakan – Pedoman – Prosedur PDP
Policy B.2 Sosialisasi Kebijakan

C.1 Penerapan pengendalian akses terhadap Data Pribadi
C.2 Penerapan Enkripsi terhadap Data Pribadi sesuai level yang diperlukan
Technology
C.3 Implementasi Data Leakage Protection System
C.4 Penerapan Database Firewall

69
Aspek Pemrosesan Data Pribadi
Penyusunan ROPA & DPIA
Penyiapan Consent
Penyiapan channel untuk data

subject request
Penerapan mekanisme
pelindungan untuk setiap tahap
pemrosesan
Penyiapan prosedur tindak

lanjut data subject request

70
KERANGKA KERJA: Penentuan Prioritas
ROADMAP & Timeline

71
DASAR PENENTUAN INISIATIF DAN TIMELINE
Prasyarat & Kesiapan sumber

kebergantungan daya Batas waktu
compliance UU
PDP
Roadmap - Penentuan Prioritas & Timeline

72
REKOMENDASI TIMELINE INISIATIF PDP - Aspek Tata Kelola
Dapat diterapkan untuk seluruh Entitas
INISIATIF 2023 2024

ASPEK TATA KELOLA Q3 Q4 Q1 Q2 Q3 Q4
A.1 Penetapan fungsi PDP Quick Win Initiatives
A.2 Pelatihan DPO
Optimized Initiatives
A.3 Awareness PDP & Basic Information Security/ Cyber Hygiene
A.4 Pelatihan Keahlian Teknik PDP Tahap Penetapan Landasan
A.5 Pelatihan Data Management – Data Security
Tahap Lanjutan dan Implementasi
A.6 Pelatihan Service Management – Pelayanan PDP
A.7 Pelatihan Incident Management
B.1 Penyusunan Kebijakan – Pedoman – Prosedur PDP
B.2 Sosialisasi Kebijakan
Rekomendasi Pelaksanaan:
C.1 Penerapan pengendalian akses terhadap Data Pribadi
● Wajib dilaksanakan oleh
C.2 Penerapan Enkripsi terhadap Data Pribadi sesuai level yang internal perusahaan.
diperlukan ● Dapat didukung Pihak Ketiga.
C.3 Implementasi Data Leakage Protection System ● Dilaksanakan oleh Pihak Ketiga
C.4 Penerapan Database Firewall

REKOMENDASI TIMELINE INISIATIF PDP - Aspek Pemrosesan Data Pribadi
Dapat diterapkan untuk seluruh Entitas
INISIATIF 2023 2024 2025 2026

ASPEK PEMROSESAN DATA PRIBADI Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4
ITERASI PENERAPAN TAHAP I
Data Pribadi High Risk
• Penyusunan ROPA & DPIA
• Penyiapan Consent
• Penyiapan channel untuk data subject request
• Penerapan mekanisme pelindungan untuk
setiap tahap pemrosesan
• Penyiapan prosedur tindak lanjut data subject
request
Data Pribadi Moderate Risk
• Penyusunan ROPA & DPIA
• Penyiapan Consent
• Penyiapan channel untuk data subject request
• Penerapan mekanisme pelindungan untuk
setiap tahap pemrosesan
• Penyiapan prosedur tindak lanjut data subject
request
ITERASI PENERAPAN TAHAP II
ITERASI PENERAPAN TAHAP III

74
TAHAP PENERAPAN PDP
TUJUAN TIMELINE CAKUPAN INISIATIF
Quick Win Terdapat dasar pelaksanaan

● Penetapan Fungsi Tata Kelola PDP
Initiatives ● Penyusunan Kebijakan, Pedoman dan Prosedur
dan penanggung jawab PDP Mulai Q3 tahun 2023 hingga
PDP.
perusahaan dan Q1 tahun 2024.
● Pelatihan DPO dan awareness
Tahap Penetapan terlindunginya Data Pribadi
● Pelindungan data pribadi high risk.
Landasan dengan risiko Tinggi
TUJUAN TIMELINE CAKUPAN INISIATIF
Peningkatan maturity dalam

Optimized ● Penerapan Pengendalian akses, enkripsi, Data
Pelindungan Data Pribadi,
Initiatives Mulai Q1 tahun 2023 hingga Leakage Protection System, dan Database
terlindunginya Data Pribadi
dengan risiko rendah, dan seterusnya. Firewall.
Tahap Lanjutan terimplementasi teknologi ● Pelatihan dan awareness.
dan Implementasi pendukung pelindungan. ● Pelindungan data pribadi medium & low risk.

75
PENJELASAN INISIATIF PDP
Penetapan Fungsi PDP
Definisi: Pembentukan organisasi

Tata Kelola PDP, sesuai dengan Fungsi Terkait Penetapan: Legal,
kebutuhan kompleksitas Penanggung Jawab: Direksi yang
membawahi Fungsi Legal Governance – Risk – Compliance,
perusahaan, mengacu kepada
Teknologi Informasi
rekomendasi pembentukan yang
ditetapkan
Output: Fungsi/ Organisasi Tata Perkiraan Waktu Penetapan

Kelola PDP Fungsi Tata Kelola PDP: 2 Bulan

76
PENJELASAN INISIATIF PDP
Pelatihan DPO
Definisi: Program pelatihan dan

sertifikasi individual, untuk Penanggung Jawab: Fungsi Tata Fungsi Terkait Penetapan: Legal,
personil yang akan melaksanakan Kelola PDP atau Fungsi/ Tim Governance – Risk – Compliance, HC
peran sebagai DPO atau key lainnya yang melaksanakan peran
person dalam penerapan PDP ini
Output: Personil dengan keahlian Perkiraan Waktu: Seluruh

dan sertifikat DPO personil kunci, sudah mengikuti
pelatihan sebelum Oktober 2024

77
KERANGKA KERJA: Contoh Rencana
ROADMAP Kerja
Link Rencana Kerja Entitas:

https://docs.google.com/spreadsheets/d/1qlg_M-o9c2CgB0LEWsJvWy_ba6xYQEHJ/edit?usp=
drive_link&ouid=107598027071851526630&rtpof=true&sd=true
Roadmap - Contoh Rencana Kerja

78
CAKUPAN DATA PRIBADI YANG DIPROSES DAN
KATEGORI RISIKONYA
1. Calon Karyawan Calon karyawan pada proses seleksi karyawan baru untuk semua entitas dalam lingkup PT Kimia Farma Tbk
2. Karyawan
1. Karyawan yang diproses dalam HCIS dengan melibatkan seluruh aplikasi terkait mengenai kepegawaian
2. Karyawan Outsource yang diproses dalam aplikasi e-SDM pada Plant
3. Pasien Pasien dari pelaporan aplikasi Farmakovigilan
4. Persons in Charge (PIC) Supplier (Vendor) Pimpinan dan narahubung dari perusahaan vendor/ supplier
5. Penerima Program PKBL Penerima Program PKBL
6. Pengunjung/ Tamu Pengunjung eksternal PT Kimia Farma Tbk
7. Pelapor • Pelapor dari Website KF

• Pelapor dari aplikasi Contact Center
• Pelapor pada aplikasi WBS
8. Customer Pembeli produk obat yang datanya tersimpan pada aplikasi Big Data Marketing
79
CAKUPAN DATA PRIBADI YANG DIPROSES DAN
KATEGORI RISIKONYA
1. Calon Karyawan Moderate Risk
2. Karyawan Moderate Risk
3. Pasien High Risk
4. Persons in Charge (PIC) Supplier (Vendor) Moderate Risk
5. Penerima Program PKBL Moderate Risk
6. Pengunjung/ Tamu Moderate Risk
7. Pelapor Aplikasi WBS High Risk
8. • Pelapor Contact Center

Moderate Risk
• Pelapor Website KF
9. Customer High Risk
80
PENERAPAN PDP – Data Pasien Farmakovigilan
1. Definisi
Penerapan pelindungan untuk data pasien farmakovigilan, mengikuti standar compliance UU PDP
2. Penanggung Jawab
Pengendali Data Pasien Farmakovigilan
3. Fungsi Terkait Penerapan
a. Business Process Owner terkait
b. Prosesor Data
4. Mekanisme
a. Prasyarat: pengendali data dan prosesor data sudah terdefinisi
b. Penyusunan ROPA data pasien Farmakovigilan
c. Penyusunan DPIA dari ROPA
d. Penyusunan dokumen consent Data Pasien Farmakovigilan
e. Permintaan pemenuhan consent kepada subjek data
f. Identifikasi varian data pasien farmakovigilan yang dimiliki, baik yang berupa data pada aplikasi, salinan file, data tercetak, dll
g. Penerapan pelindungan mengikuti arahan pada Pedoman Pelindungan Data, sejalan dengan mitigasi DPIA
h. Penentuan Contact channel
5. Output
Data Pasien Farmakovigilan yang terlindungi
6. Perkiraan Waktu Pelaksanaan
1 s.d 3 bulan
81
PENETAPAN CONTACT SUBJECT DATA REQUEST
Fungsi Perkiraan
Definisi: Penanggung Terkait Mekanisme: Waktu
Output:
Jawab: Penetapan: Penetapan:
Penetapan kontak root

corporate (Biocare)
Terdefinisinya
Fungsi Tata Kelola Corp Secretary, Koordinasi kontak untuk
Holding-Entitas- 5 Hari Kerja
Kontak Entitas PDP Perusahaan Pengendali Data subject data
Pengendali Data request
Kontak tindak
lanjut per topik
82
TAHAP PENERAPAN PDP
TAHAP TUJUAN RENCANA WAKTU CAKUPAN INISIATIF
Penetapan Landasan Terdapat dasar Q4 2023 – 3 bulan Pelatihan DPO

pelaksanaan dan Penetapan fungsi PDP
penanggungjawab Awareness PDP & Basic Information Security/ Cyber Hygiene
PDP PT Kimia Farma Penyusunan Pedoman – Prosedur sesuai kebutuhan
Tbk Sosialisasi Kebijakan
Quick Wins: Terlindunginya data Q1 2024 – 3 bulan Penerapan Pelindungan Data Pribadi High Risk (pasien
Penerapan PDP untuk pribadi High Risk farmakovigilan, pelapor aplikasi WBS, customer big data
Data Pribadi High Risk Marketing)
Pengembangan Peningkatan Q1 2024 Awareness PDP & Basic Information Security/ Cyber Hygiene
Platform dan Keahlian maturity dalam PDP (dilakukan per 3 bulan)
Pelatihan Keahlian Teknik PDP
Pelatihan Data Security
Pelatihan Service Management – Pelayanan PDP
Pelatihan Incident Management (Bekerjasama dengan fungsi
SMKI/ CSIRT)
83
TAHAP PENERAPAN PDP (2)
TAHAP TUJUAN RENCANA WAKTU CAKUPAN INISIATIF
Penerapan Lanjutan: Terlindunginya data Q2 2024 – 6 bulan Penerapan Pelindungan Data Pribadi Moderate Risk (Untuk
Penerapan PDP untuk pribadi Moderate data calon karyawan, karyawan, PiC Vendor, Penerima
Data Pribadi Risk program TJSL, Pengunjung, Pelapor dari Contact Center
Moderate Risk maupun dari website)
Evaluasi Terlaksananya Berkala Check Penerapan Bulanan, PIR Per Fase & Per Quarter
inisatif PDP sesuai
rencana
84

Materi Workshop Framework Implementasi PDP

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Materi Workshop Framework Implementasi PDP

Diunggah oleh

Hak Cipta:

Format Tersedia

FRAMEWORK

• Identiﬁkasi Inisiatif PDP

1. Pemahaman terhadap kerangka implementasi dalam aspek tata kelola

Tata Kelola Pembangunan

Rekomendasi Enkripsi data pada basis data

Penyediaan Kontak &

PEOPLE - Organisasi PDP

Cakupan Tanggung Skala

• Sifat core business • Fleksibilitas • Fleksibilitas • Jumlah jenis data

PEOPLE - Organisasi PDP 11

ENTITAS KEBUTUHAN NOTES

Lucas Group Proses dominan B2B melalui dukungan

Mandatory: Organisasi Necessary : Organisasi, shared Not Necessary: PiC

Data Protection Officer (DPO)

Governance Contact Person/

PEOPLE - Kompetensi SDM

Kepmenaker No 103 Tahun

Data Protection Education -

PEOPLE - Kompetensi SDM

• Menentukan Landasan Program Kerja Menerapkan Program Kerja

• Menentukan Kerangka Kerja Merumuskan Saran Kepada Manajemen Terkait

• Penentuan Strategi Memastikan Pelaksanaan Tindak Lanjut Hasil Audit

• Menyusun Kriteria Matriks Risiko Merumuskan Proses Perolehan Persetujuan Pemrosesan

Memastikan Berjalannya Manajemen Respons Insiden

Data Protection Business Risk Cyber and Data Breach Stakeholder

Audit and Data Data Ethics Data Sharing

PEOPLE - Kompetensi SDM

PEOPLE - Kompetensi SDM

PEOPLE - Kompetensi SDM

Certiﬁed Information Privacy

Risk Management Certiﬁed PDP

Incident Management ISO 27035

Stakeholder/ Service Management IT Service Management

Audit, Legal and Compliance Certiﬁed PDP

Certiﬁed Data Management

PEOPLE - Kompetensi SDM

PERENCANAAN PELAKSANAAN PEMANTAUAN EVALUASI

Pemerolehan & Pengolahan &

PROCESS & POLICY - Manajemen

HIGH LEVEL Guideline

PROCESS & POLICY - Manajemen

Induk Holding dan Entitas di Bawah Holding

*) Dokumen masih dalam proses reviu dan penyusunan

PROCESS & POLICY - Manajemen

TANGGUNG JAWAB - PERAN Responsible Accountable Consulted Informed

Perolehan dan Pengumpulan Data

Pengolahan dan Penganalisisan

*) Dokumen masih dalam proses reviu dan penyusunan

PROCESS & POLICY - Manajemen

Penyusunan DPIA Penyusunan Persetujuan

Penerimaan & Tindak

Dokumen Laporan Insiden

*) Dokumen masih dalam proses reviu dan penyusunan

PROCESS & POLICY - Manajemen

TECHNOLOGY - Teknik Pengamanan

• Salinan daftar data

TECHNOLOGY - Teknik Pengamanan

TECHNOLOGY - Teknik Pengamanan

Invest in a records management company

Shred unnecessary documents

Train employees on document security

Backup in digital version

Regular audit of policies

TECHNOLOGY - Teknik Pengamanan