Satriyo Wibowo on LinkedIn: Rekap SNI ISO PDP (2024)

Kepada rekan-rekan aktivis, pegiat, & praktisi PDP dari seluruh unit yang berhubungan dengan fungsi pengawasan dan pelaksanaan PDP di organisasi.Selamat Hari Raya Idul Adha 1445H - Mohon maaf lahir dan batin 🙏Panduan Menggunakan SNI ISO PDP dalam Pelaksanaan Program PDP📖Bagi yang telah membaca Rekap SNI ISO PDP di https://lnkd.in/gM46HgUZ, membeli serta membaca standar PDP tsb, mungkin merasa kaget karena tidak familiar dengan istilah standar yang berbeda dibandingkan bahasa hukum UU PDP. Panduan ini disiapkan untuk menjembatani perbedaan tersebut dengan memperhatikan hal-hal berikut:1️⃣ Tidak semua SNI PDP bisa disertifikasi kecuali ISO 27701. Standar lain berisikan kerangka kerja, panduan, pedoman, petunjuk praktis, kontrol, model, dsb bersifat voluntary. ISO 27701 akan bersifat mandatory jika sudah ditetapkan dalam Peraturan Lembaga atau peraturan sektor.2️⃣ Berkaca dari materi CIPP/E dan CIPP/US, ternyata ISO/IEC tsb menggabungkan konsep Data Protection (Eropa) dan Data Privacy (Amerika). US Privacy Law tidak mengenal konsep Pengendali Prosesor. GDPR sebagai acuan UU PDP, tidak menggunakan istilah Privasi, PII, Deletion, dsb.3️⃣ Pemetaan terminologi standar PDP ke UU PDP harus dilakukan terlebih dahulu agar dapat menggunakannya sebagai tools pemenuhan kepatuhan PDP. Pemetaan dilakukan dengan membandingkan definisi.4️⃣ Terminologi utama: ✅ PII ▶ Data Pribadi ✅ PII Principals ▶ Subjek Data Pribadi ✅ PII Controller ▶ Pengendali Data Pribadi ✅ PII Processor ▶ Prosesor Data Pribadi ✅ Joint PII Controller ▶ Pengendali Data Pribadi bersama ✅ Privacy (dlm bbrp kasus) ▶ PDP ✅ Privacy Impact Assessment ▶ Penilaian Dampak PDP5️⃣ Istilah "Deletion" dalam ISO 27555 lebih dekat definisinya ke Pemusnahan (Destruction) dibandingkan Penghapusan (Erasure). Deletion is process by which personally identifiable information (PII) is changed so that it is no longer present or recognizable and usable and can only be reconstructed with excessive effort. Yang dimaksud dengan "memusnahkan" adalah tindakan untuk menghilangkan, melenyapkan, atau menghancurkan Data Pribadi sehingga tidak lagi dapat digunakan untuk mengidentifikasi Subjek Data Pribadi (Penjelasan Ps 44 ayat (1)).Penghapusan Data Pribadi dilakukan dengan cara menghapus Data Pribadi sehingga Data Pribadi tersebut tidak lagi dapat diakses oleh selain Pengendali Data Pribadi (Ps 95 ayat (3) RPP PDP).6️⃣ Beberapa konsep seperti "ICT System of PII Principal" di ISO 29101 harus disesuaikan konteksnya dgn praktek di lapangan.7️⃣ Privacy Principles di ISO 29100 bisa dipetakan kepada Prinsip PDP di Ps 16 ayat (2). Prinsip "Consent and Choice" yang dipengaruhi model Amerika harus disesuaikan konteksnya dengan Dasar Pemrosesan di Ps 20 ayat (2).8️⃣ Penggunaan dalam dokumen perusahaan tetap mengacu pada UU PDP, yang masih memakai istilah PII dan lainnya wajib menyesuaikan.Satriyo WibowoKetua GK5 ManajemenIdentitasdanTeknologiPrivasiKomtek 35-04 BSN

76

What a week!Setelah 3 minggu istirahat akibat 2 kali opname kena kombo DBD dan batu ginjal, minggu ini ngebut tancap gas!SENINPDP Awareness ke Direksi dan top manajemen salah satu bank di satu grup usaha raksasa. Materi utama manajemen risiko PDP yang membahas 3 risiko korporasi terkait sanksi pidana, gugatan keperdataan, dan sanksi administrasi beserta prediksi timeline peraturan dan penegakannya. Dibahas juga model tata kelola organisasi PDP dengan update diskusi kami dengan Kominfo. Halfday onsite.SELASADiskusi PDP dengan internal audit salah satu perusahaan telekomunikasi seluler. Pembahasan terkait audit pihak kedua menjadi hal yang menarik karena begitu banyak vendor dan proses bisnis terkait pemrosesan Data Pribadi, selain diskusi terkait audit berdasarkan ISO 27701 dan pasal-pasal PDP. Halfday onsite.RABU Workshop Privacy by Design dan PDP Incident Response batch 2 kepada tim IT dan Compliance Anggota Bursa Efek Indonesia. Fullday onsite. Saya ditemani mas Gregory Korompis dari PT Bursa Efek Indonesia membahas 3 materi utama:1. Privacy by Design berdasarkan kontrol di ISO 27701 (https://lnkd.in/gpR85Zw7) dan simulasi desain menggunakan building blok ISO 29101 (https://lnkd.in/g2VijzaW)2. Privacy kontrol berdasarkan ISO 29151 (https://lnkd.in/gwJqxRwp) dan 27018 (https://lnkd.in/gR4wGYNb)3. Incident response dengan simulasi laporan menggunakan format EDEOB KAMISWorkshop RoPA dan DPIA pada aplikasi di salah satu perusahaan energi sebagai bagian pilot project PDP di grup usaha tersebut. Di sesi siangnya dilanjutkan diskusi intensif dengan petinggi IT terkait strategi perusahaan dan grup dalam penyiapan organisasi untuk kepatuhan UU PDP secara detail termasuk sharing usulan okupasi-okupasi baru di draft Peta Okupasi PDP beserta career path-nya. Fullday onsite.JUMAT Alhamdulillah bisa istirahat di rumah walau ada agenda meeting online dengan satu badan publik yang memproses Data Pribadi ukuran raksasa dan rapat persiapan kegiatan IDPPS.Kalau ada yang bilang yang banyak ngetraining dan punya banyak sertifikasi hasil kerjanya belum tentu bagus, alhamdulillah jadwal kami untuk training, awareness, dan konsultasi penuh terus. Alhamdulillah masih diberikan kesehatan untuk menjawab semua pertanyaan terkait PDP, dari sisi teknikal, manajerial, dan hukum. Alhamdulillah masih diberikan kepercayaan untuk berbagi pengetahuan dan membangun bank kasus PDP dari berbagai sektor. Hal itu karena fokus kami hanya di PDP, membangun trust melalui sertifikasi internasional terakreditasi dan pengalaman membantu Kominfo mempersiapkan kebijakan serta pedoman PDP, tidak side job dengan pekerjaan lain.#PDP #DataPribadi #Awareness #TrainingPDP #PrivacybyDesign #IncidentResponse #PrivacyControl

73

3 Comments

Paket termasuk:- pre-training dasar PDP- bootcamp persiapan ujian CIPM

30

Kepada rekan-rekan aktivis, pegiat, dan praktisi PDP serta khususnya teman-teman GRC, Compliance, DPO, DPE, dan Auditor.SNIISO/IEC27701:2019 Teknik keamanan – Ekstensi dari ISO/IEC 27001 dan ISO/IEC 27002 untuk manajemen informasi privasi – Persyaratan dan pedomanISO 27701 ini mungkin standar PDP paling penting dan terkenal dibandingkan yang lain dan beberapa perusahaan telah mendapatkan sertifikasinya. Merupakan standar sistem manajemen tipe A yang disiapkan untuk sertifikasi, standard ini WAJIB❗dibaca dan dipahami oleh teman-teman Auditor. Beberapa klausul dalam ISO 27001/2 diberikan tambahan petunjuk implementasi proteksi PII, antara lain:- 5.2.1 Understanding the organization and its context- 5.2.2 Understanding the needs and expectations of interested parties- 5.2.3 Determining the scope of the information security management system- 5.2.4 Information security management system- 5.4.1 Actions to address risks and opportunities- 6.2.1 Management direction for information security- 6.3.1 Internal organization- 6.3.2 Mobile device policy- 6.4.2 During employment- 6.5.2 Information classification- 6.5.3 Media handling- 6.6.2 User access management- 6.6.4 System and application access control- 6.7.1 Cryptographic controls- 6.8.2 Equipment- 6.9.3 Backup- 6.9.4 Logging and monitoring- 6.10.2 Information transfer- 6.11.1 Security requirements of information systems- 6.11.2 Security in development and support processes- 6.11.3 Test data- 6.12.1 Information security in supplier relationships- 6.13.1 Management of information security incidents and improvements- 6.15.1 Compliance with legal and contractual requirements- 6.15.2 Information security reviewsKlausul 7 dan 8 berisikan tambahan pedoman untuk Pengendali dan Prosesor sem*ntara Annex A dan B sangat penting, berisikan kontrol privasinya. Banyak yang menanyakan, apakah 27701 akan menjadi sertifikasi wajib PDP? Saat ini belum, namun karena natural path dari 27001, ada kemungkinan besar menjadi wajib. Meskipun saat ini masih dalam proses update menyesuaikan ISO 27001/2:2022 (status 40.99), revisi seri 2024 akan membebaskan 27701 dari scope 27001 sehingga bisa digunakan lebih luas lagi. Pertanyaan lain, apakah sertifikasi 27701 otomatis comply UU PDP? Masih pro kontra, namun kami PT Xynexis International telah memetakan kontrol di 27001/2 dan 27701 ke pasal-pasal UU PDP. Jika Prosesor Anda sudah sertifikasi 27001 dan 27701, menurut saya kewajiban auditnya sudah bisa diwaive.SNIISO/IEC27701:2019 ini hanya berharga Rp 120rb dan bisa dibeli di https://lnkd.in/g6WJ4GKSCek posting terkait SNI PDP lainnya di bawah ini:- ISO 29184 https://lnkd.in/g_hTV2Jh- ISO 27555 https://lnkd.in/gHM6rvYJ- ISO 29134 https://lnkd.in/g95RBk_r- ISO 29100 https://lnkd.in/gTRYkUCx- ISO 27018 https://lnkd.in/gR4wGYNb - ISO 29151 https://lnkd.in/gwJqxRwp- ISO 29101 https://lnkd.in/g2VijzaWSatriyo WibowoKetua GK5 ManajemenIdentitasdanTeknologiPrivasiKomtek 35-04 BSN

174

5 Comments

Terima kasih sudah menjadi bagian dari 1000 peserta Offline Training PDP yang diselenggarakan sejak 2022 lalu.Journey ini diawali dari training dasar PDP kepada tim Pengendalian PDP Dirjen APTIKA Kementerian Kominfo setelah itu berkembang terus dengan:- 28 kali pelatihan offline(minimal 1 hari max 3 hari - fullday)- 25 institusi berbeda- 13 sektor berbeda (government, bank, energi, perhubungan, kesehatan, telekomunikasi, pasar saham, switching, manufaktur, PSrE, asuransi, infrastruktur, security).- peserta terbanyak: Telkomsel - total hari: 48 hari- total waktu pelatihan: 384 jamSaya tidak memasukkan short training yg 3 jam seperti sesi ke BPK, Peradi, Bareskrim, BPJS Kesehatan, dan ke Komisaris Pertamina dan juga peserta online dalam perhitungan milestone 1000 peserta di atas.Mayoritas training PDP adalah HLT, model training yang kami desain khusus untuk meningkatkan pemahaman seluruh anggota organisasi mengenai tugas dan tanggung jawab unit mereka di dalam PDP, menjawab seluruh pertanyaan terkait PDP, dan memberikan tools dalam pelaksanaan PDP sesuai unitnya. Beberapa client meminta adjustment materi yang spesifik untuk Manajemen Risiko, Auditor Internal (audit pihak 1 dan 2), Compliance, DPO Analysis, dan Direktorat IT (Privacy by Design, Privacy Architecture, Privacy Control, dan Personal Data Incident Handling).Hari ini pula diadakan Kick off meeting Training of Trainer PDP dengan Kominfo. Tugas baru untuk menyiapkan fasilitator dan Trainer PDP di level nasional, untuk memastikan tidak ada kesalahan konsep PDP yang diajarkan Trainer dan konsultan. Berdasarkan pengamatan kami, masih sering ditemui kesalahan pemahaman peran dan dasar pemrosesan, bahkan di level konsultan hukum dan manajemen PDP.Kami sedang menseleksi 75 calon fasilitator dan trainer PDP berdasar database Kemenaker. Siapa tau salah satunya adalah Anda 😊Note: saat training di Telkomsel saya lbh sering duduk krn sedang demam hari ke-2 DBD. Baru ketahuan sakitnya ketika masuk IGD di Jumat malam 😓

57

5 Comments

Kepada rekan-rekan aktivis, pegiat, dan praktisi PDP serta khususnya teman-teman IT Planning atau IT Arsitektur atau Enterprise Arsitektur.SNIISO/IEC 29101:2018 Kerangka kerja arsitektur privasiISO 29101 merupakan kerangka kerja, artinya tidak untuk disertifikasi, sebagai pedoman dalam menyiapkan arsitektur privasi di dalam perusahaan. Ada 2 konsep dasar dalam arsitektur privasi ini:1. hubungan antar aktor: PII Principal (SDP) - PII Controller (Pengendali) - PII Processor (Prosesor)2. proses yang dilakukan dalam tiap hubungannya yang dijabarkan dalam 3 layer komponen (Privacy Setting, Identitymanagementandaccessmanagement, PII)Tiap layer di atas kemudian dijabarkan lagi ke dalam komponen yang lebih detail lagi seperti yang ditampilkan pada halaman terakhir dokumen preview. Tidak semua proses bisnis mendapatkan perlakuan yang sama. Biasanya disesuaikan dengan tingkat risiko dan kemampuan perusahaan. Blok-blok komponen tersebut jadi suatu pedoman bagaimana mendesain arsitektur privasi pada suatu proses secara optimal namun dapat dikembangkan jika terjadi perubahan risiko terhadap proses.Contoh-contoh penggunaan arsitektur privasi ada dalam Annex. SNIISO/IEC29101:2018 ini bisa dibeli di https://lnkd.in/gKgfnHDz seharga Rp 90rb Cek posting terkait SNI PDP lainnya di bawah ini:- ISO 29184 https://lnkd.in/g_hTV2Jh- ISO 27555 https://lnkd.in/gHM6rvYJ- ISO 29134 https://lnkd.in/g95RBk_r- ISO 29100 https://lnkd.in/gTRYkUCx- ISO 27018 https://lnkd.in/gR4wGYNb - ISO 29151 https://lnkd.in/gwJqxRwp- Pedoman penggunaan https://lnkd.in/gCXz-QccSatriyo WibowoKetua GK5 ManajemenIdentitasdanTeknologiPrivasiKomtek 35-04 BSN

118

7 Comments

Continuing EducationEdukasi Berkelanjutan merupakan salah satu ciri sertifikasi beneran dari institusi yang serius bikin sertifikasi (IAPP dan ECC terakreditasi oleh ANSI sebagai lembaga penilai kesesuaian). IAPP CPE (Continuing Privacy Education), OCEG CPE (Continuing Professional Education), EC Council ECE (ECC Continuous Education) memaksa pemegang sertifikasinya untuk terus belajar mengupdate pengetahuan melalui banyak cara. Update CPE ini biasanya cukup sederhana dan tidak sampai ada pengecekan, lebih peningkatan awareness. Baca buku dan nonton rekaman seminar pun bisa diklaim sebagai CPE (walau kecil nilainya). Jika ngetraining atau ambil sertifikasi baru, barulah tinggi nilainya, terkadang cukup untuk memenuhi syarat CPE per cycle. Saya masih mikir bagaimana skenario CPE ini bisa diimplementasikan dalam sertifikasi PDP oleh LSP di bawah BNSP nantinya, menggantikan model resertifikasi tiap 3 tahun yang mungkin akan memberatkan praktisi dan profesional PDP.BTW, ada yg tau bagaimana ngisi ECE-nya CSA ya? Kok kucoba claim dengan berbagai kegiatan masih belum ada yang masuk? 😅

29

Alhamdulillah akhirnya dapat badge ini...Ujian IAPP - International Association of Privacy Professionals CIPP/US dalam pengalaman saya merupakan ujian terberat karena buanyak banget materinya. Saya beli exam dan ebooknya di Agustus 2023 dan baru ujian hari ini, 9 bulan persiapan. Saking pusingnya, ebooknya terpaksa ditranslate ke bahasa Indonesia baru akhirnya selesai baca 4 bulan lalu. Setelah itu bikin mindmap. Baru latihan soal. Alhamdulillah bisa diselesaikan saat Ramadhan. Berikut gambaran Hukum Federal dan Negara Bagian yang berhubungan dengan Privacy yang diujikan:- the Constitution plus Amendments- FTC Act- ⁠Communication Act - FCC- ⁠COPPA - ⁠HIPPA- ⁠HITECH - ⁠TSR - CAN-SPAM Act- ⁠Fair Information Practice Principles (FIPP)- ⁠Contract Law- ⁠Torts Law- ⁠Case Law- Civil law- ⁠Confidentiality of Substance Use Disorder Patient Record Rule- ⁠42 CFR Part 2- GINA- ⁠21st Century Cures Act- ⁠FCRA- ⁠FACTA- ⁠GLBA- ⁠Dodd-Frank Act- ⁠Bank Secrecy Act - ⁠The International Money-Laundering Abatement- ⁠Anti-Terrorist Financing Act - ⁠FERPA- ⁠PPRA- ⁠TCPA- ⁠US National DNC- ⁠Junk Fax Prevention Act- ⁠Telecommunication Act - ⁠Cable Communication Policy Act - ⁠VPPA- ⁠DPPA- ⁠Right of Financial Privacy Act- ECPA- ⁠CALEA- ⁠The Wiretap Act- ⁠Stored Communications Act- ⁠CISA- ⁠Media Records and the Privacy Protection Act- ⁠FISA- ⁠PATRIOT Act- ⁠CLOUD Act- ⁠USA Freedom Act- ⁠FDA- ⁠COBRA- ERISA- FMLA- ⁠FLSA- OSHA- Whistleblower Protection Act- NLRA- IRCA- ⁠Title VII Civil Right Act- Securities Exchange Act - ⁠EPA- ⁠ADEA- ⁠PDA- ⁠ADA- ⁠Bankruptcy Act- ⁠ADAAA of 2008- ⁠California ICRAA- ⁠EPPA- CMIA- ⁠Illinois BIPA- CCPA- CPRA- VCDPA - CPA- Nevada Privacy Law & Amendment (SB260)- CTDPA- UCPA- California Age-Appropriate Design Code Act (A.B. 2273)- ⁠Massachusetts 201 CMR 17- ⁠Washington State security law, HB 1149- ⁠State Breach Notification Law- ⁠Illinois HB 1260- ⁠Massachusetts HB 4806- ⁠Self-regulation: PCI DSS, Trust Marks, Better Business Bureau, Digital Advertising Alliance, National Telecommunication and Information Administration, AdChoices, TrustArcSektor dan penanggungjawabnya:- commerce: FTC, DoC - kesehatan: OCR HHS- finansial: FTC, CFPB, Federal Bank, OCC- pendidikan: FPCO, DoE- telekomunikasi dan marketing: FTC, FCC- workplace: DoL, NLRB, EEOC, SEC, DHS- keamanan nasional: DoSHukum Negara Bagian (penanggung jawab: State Attorney General) mencakup isu:- data privasi dan security- notifikasi data breach- data destruction Sepertinya ini CIPP/US yang pertama di Indonesia. US Privacy Law ini sangat berbeda dengan UU PDP, namun memperkaya pemahaman saya terkait dunia PDP dan melengkapi konsep Data Protectionnya GDPR di CIPP/E . Untuk perumusan aturan pelaksana PDP sektoral dapat belajar dari praktek di Amerika Serikat.CIPP/US terakreditasi ISO 17024 oleh ANSI National Accreditation Board#CIPPUS#PrivacyProfessional#DataPrivacy#PrivacyCompliance

171

34 Comments

Kepada rekan-rekan aktivis, pegiat, dan praktisi PDP serta khususnya teman-teman IT Security.Selamat Hari Raya Idul Fitri 1445 H Mohon Maaf Lahir dan Batin 🙏 SNIISO/IEC29151:2017 Kode praktik untuk proteksiinformasi pengidentifikasi personalISO 29151 merupakan kode praktek, artinya tidak untuk disertifikasi, walaupun isinya adalah ekstensi dari ISO 27002 yang berisikan kontrol terkait proteksi Data Pribadi. Meskipun saat ini masih dalam proses update menyesuaikan ISO 27001/02:2022 (status CD 30/60), standard ini WAJIB❗dibaca dan dipahami oleh teman-teman IT Security. Beberapa klausul dalam ISO 27001/2 diberikan tambahan petunjuk implementasi proteksi PII di Pengendali Data Pribadi (lebih banyak dibandingkan ISO 27018 yang hanya fokus pada peran Prosesor), antara lain:- 5.1.2 Policies for information security- 6.1.2 Information security roles and responsibilities- 6.1.3 Segregation of duties- 6.1.6 Information security in project management- 6.2.2 Mobile device policy- 7.2.3 Information security awareness, education and training- 7.2.4 Disciplinary process- 8.1.2 Inventory of assets- 8.1.4 Acceptable use of assets- 8.2.2 Classification of information- 8.2.3 Labelling of information- 8.2.4 Handling of assets- 8.3.2 Management of removable media- 8.3.3 Disposal of media- 8.3.4 Physical media transfer- 9.2.2 User registration and de-registration- 9.2.3 User access provisioning- 9.2.4 Management of privileged access rights- 9.4.2 Information access restriction- 9.4.3 Secure log-on procedures- 10.1.1 Policy on the use of cryptographic controls- 11.2.8 Secure disposal or re-use of equipment- 12.1.5 Separation of development, testing and operational environments- 12.3.2 Information backup- 12.4.2 Event logging- 12.4.3 Protection of log information- 12.4.4 Administrator and operator logs- 13.2.2 Information transfer policies and procedures- 13.2.5 Confidentiality or non-disclosure agreements- 14.1.2 Information security requirements analysis and specification- 14.3.2 Protection of test data- 15.1.2 Information security policy for supplier relationships- 16.1.2 Responsibilities and procedures- 16.1.3 Reporting information security events- 18.1.2 Identification of applicable legislation and contractual requirements- 18.2.2 Independent review of information securityAnnex A sangat penting, merupakan kontrol privasi tambahan yang dapat dipetakan ke GDPR (dan UU PDP) dan lebih komplet dibandingkan ISO 27018. SNIISO/IEC29151:2017 ini hanya berharga Rp 105rb dan bisa dibeli dihttps://lnkd.in/gKjvf5tJCek posting terkait SNI PDP lainnya di bawah ini:- ISO 29184https://lnkd.in/g_hTV2Jh- ISO 27555https://lnkd.in/gHM6rvYJ- ISO 29134https://lnkd.in/g95RBk_r- ISO 29100https://lnkd.in/gTRYkUCx- ISO 27018 https://lnkd.in/gR4wGYNb Satriyo WibowoKetua GK5 ManajemenIdentitasdanTeknologiPrivasiKomtek 35-04 BSN

173

4 Comments