Mengenal Prinsip Privacy dari Standar Internasional (ISO)
Jika anda sudah sempat membaca artikel perkenalan Data Privacy yang sebelumnya saya tulis (saya sarankan dibaca dulu), maka disitu anda akan mengetahui bahwa terdapat standar, framework, dan best practice untuk Data Privacy.
Jika berbicara tentang standar, umumnya kita akan mengacu kepada ISO. ISO 27701 (Privacy Information Management System) merupakan ekstensi dari ISO 27001 dan ISO 27002 yang spesifik mengatur tentang standar dari Pivacy Management. ISO 27701 juga mengambil konsep dari ISO 29100:2011 tentang Privacy Framework. Bisa dikatakan bahwa ISO 27701 ini diadopsi dari ISO 27001, ISO 27002, dan ISO 29100.
Sebagai tambahan informasi bagi anda yang belum mengetahui:
- ISO 27001 merupakan standar untuk Information Security Management System. ISO 27001 berisi standar pengelolaan siklus peningkatan kapabilitas keamanan informasi. Pada ISO 27001, terdapat “Annex” yang berisi daftar kontrol keamanan informasi. Detil dari kontrol akan dijelaskan di ISO 27002.
- ISO 27002 berisi tentang detil kontrol dari masing-masing area yang disebutkan pada Annex ISO 27001. Terdapat 14 are/domain pada ISO 27002.
- ISO 29100 menjelaskan tentang prinsip-prinsip Privacy yang pada artikel ini akan saya jelaskan.
Sekilas tentang ISO 27701 Privacy Information Management
Seperti yang sudah saya sebutkan sekilas di atas, untuk saat ini jika anda ingin mengetahui standar apa yang dapat dijadikan acuan untuk Data Privacy, ISO 27701 inilah jawabannya. Sebenarnya ada standar lain, yaitu ISO 27018 yang mengatur tentang perlindungan data pribadi (PII) pada public cloud. ISO 27018 ini ekstensi dari ISO 27002, berbeda dengan ISO 27701 yang merupakan ekstensi dari ISO 27001 dan 27002. Oleh sebab itu saya rekomendasikan untuk rekan-rekan yang non-Cloud Service Provider bisa mengacu ke ISO 27701.
Saya coba rangkum poin-poin yang ada pada ISO 27701 pada gambar di atas. Dalam artikel sebelumnya dan juga podcast tentang Data Privacy, saya sebutkan bahwa pemilihan standar, framework, dan best practice tergantung dari preferensi organisasi. Jika organisasi sudah familiar dengan NIST Cybersecurity Framework, bisa menggunakan NIST Privacy Framework agar lebih mudah alignment Privacy Program-nya. Jika organisasi lebih nyaman dengan ISO, apalagi perusahaan sedang atau sudah mendapatkan ISO 27001, akan lebih selarasa jika mengadopsi ISO 27701 ini. Kalau saya pribadi, dapat juga menggunakan privacy framework yang dibuat oleh KPMG, mengingat saat ini saya bekerja sebagai konsultan di KPMG. Privacy Framework ini juga sudah align dengan General Data Protection Regulation (GDPR) Eropa.
Karena pada artikel ini saya akan bahas dari sisi ISO, maka perlu saya sampaikan juga bahwa ISO 27701 sudah align dengan GDPR karena pada lampiran ISO ini terdapat mapping-nya ke GDPR. Untuk mapping ke RUU PDP bagaimana? Ada, tapi silakan mapping sendiri ya :)
PII for Controller and PII for Processor
Selain terdapat ekstensi atau tambahan kontrol untuk ISO 27001 dan ISo 27002, ISO 27701 juga memiliki tambahan kontrol untuk Data Controller dan Data Processor. Di artikel sebelumnya, sudah saya bahas juga bedanya Data Controller dan Data Processor.
Apaka saja sih yang diatur dari Data Controller dan Data Processor? Berikut saya listdown kebutuhannya.
Data Controller
Kewajiban Data Controller adalah sebagai berikut.
- Pengumpulan dan pemrosesan data. Dalam pengumpulan dan pemrosesan data, Data Controller wajib melakukan identifikasi tujuan, menentukan mekanisme dalam memperoleh persetujuan (consent) dari data owner, menentukan mekasisme privacy impact assessment, pengaturan kontrak dengan Data Processor, dan penyusunan catatan/record terkait pemrosesan data pribadi.
- Kewajiban terhadap PII Principals/Data Owner. Data Controller wajib mentukan informasi apa saja yang akan dikumpulkan dari Data Owner, menyediakan informasi terkait mekanisme mengubah dan membatalkan consent, memastikan hak data owner untuk mengakses, mengubah, dan menghapus informasi data pribadi dapat dilakukan, dan menentukan mekanisme penanganan permintaan dari data owner.
- Privacy by Design dan Privacy by Default. Data Controller wajib membatasi informasi apa saja yang dikumpulkan dan diproses, memastikan tercapainya akurasi dan kualitas informasi, menerapkan data minimization, menentukan mekanisme retensi dan disposal informasi, dan mengendalikan proses pengiriman/transmisi data pribadi.
- PII sharing, transfer, and disclosure. Data Controller wajib melakukan pemantauan dan tracking terhadap aktivitas sharing/transfer PII, khususnya antar yuridiksi dan kepada third party.
Area yang menjadi kewajiban Data Processor pada dasarnya sama dengan Data Controller. Namun, untuk masing-masing (empat) area di atas, terdapat sedikit perbedaan di detil kontrol yang harus diimplementasikan.
Jika melihat lampiran dari ISO 27701, terdapat mapping ke beberapa standar yang lain.
Prinsip Data Privasi
Berdasarkan ISO 29100, terdapat 11 prinsip data privasi yang secara ringkas saya bahas sebagai berikut.
- Consent and choice. Data controller dan data processor wajib memberikan pilihan/opsi yang jelas dan memudahkan data owner dalam menentukan pilihan dan persetujuan atas informasi yang akan dikumpulkan darinya. Jika informasi dihimpun melalui sistem elektronik, maka penyedia sistem elektronik wajib memberikan opsi (opt-in atau opt-out) terkait dengan penggunaan data pribadi untuk kebutuhan tertentu, misalnya marketing dan analytics.
- Purpose legitimacy and specification. Data controller dan data processor wajib memberikan informasi yang sejelas-jelasnya kepada data owner perihal tujuan dari pengumpulan data dan juga penggunaan data setelah masuk ke dalam sistem elektronik. Jika pada kebijakan privasi atau Terms & Conditions tidak menyebutkan bahwa data akan dishare ke third pary, ya jangan dishare.
- Collection limitation. Data controller dan data processor wajib membatasi informasi yang dikumpulkan dari data owner seminimal mungkin. Selain dari sisi informasi yang dikumpulkan, pembatasan dilakukan juga terhadap pihak/orang dan sistem elektronik yang diperbolehkan untuk mengumpulkan data pribadi. Bisa dibilang, need-to-know basis saja.
- Data minimization. Data minimization masih berhubungan dengan collection limitation, bedanya pada prinsip ini, data yang disimpan dan disajikan kepada pihak-pihak terkait benar-benar dalam keadaan yang minimized / anonymized / masking. Sebagai contoh, untuk pemrosesan data kartu kredit, tentunya nomor kartu yang tersimpan di sistem tidak akan full 16 digit, hanya 4 digit terakhir yang disampaikan. Untuk melakukan minimizatio yang efektif, tentunya butuh teknologi. Saya sarankan anda sedikit googling tentang Tokenization.
- Use, retention and disclosure limitation. Prinsip ini sudah jelas, bahwa data controller dan data processor harus membatasi penggunaan data, penyimpanan data, dan juga pengungkapan data.
- Accuracy and quality. Sebagai bagian dari data/information quality atau quality management, tentunya data/informasi yang disimpan dan diproses harus akurat dan lengkap agar dapat dipercaya atau tidak diragukan integritasnya.
- Openness, transparency and notice. Prinsip-prinsip keterbukaan dan transparansi ini berlaku terutama pada saat di awal proses pengumpulan data, dan juga ketika terjadi insiden yang melibatkan data pribadi, misalnya data breach. Penyedia sistem elektronik wajib menunjukkan transparansi kepada konsumen dan lembaga negara terkait sesuai yang diatur dalam UU, Peraturan Pemerintah, maupun Peraturan Menteri yang berlaku.
- Individual participation and access. Data controller atau penyedia sistem elekronik wajib memberikan kemudahan kepada data owner untuk mengakses, mengubah, dan menghapus data pribadi mereka pada sistem. Hal ini ditujukan agar data owner dapat memastikan bahwa data yang disimpan adalah data yang akurat dan lengkap.
- Accountability. Data controller dan data processor wajib menerapkan proses pengendalian dan pengelolaan data pribadi yang sesuai dengan prinsip-prinsip dan regulasi terkait data privacy. Tentunya untuk mencapai hal tersebut, top management organisasi harus memberikan dukungan atas implementasi program untuk perlindungan data pribadi. Organisasi dapat membuat kebijakan dan prosedur terkait perlindungan data pribadi, membuat Privacy Program, dan menunjuk individu/tim untuk melakukan aktivitas terkait Data Privacy dan Data Protection. Hal ini dibutuhkan agar nantinya jika terdapat insiden terkait data privacy (misal data breach), organisasi akan lebih siap dalam menghadapi dan menangani insiden tersebut.
- Information security. Prinsip ini sudah saya jelaskan pada artikel Relevansi Data Privasi dan Data Protection. Keduanya adalah hal yang berbeda namun tidak dapat dipisahkan. Untuk memastikan pengelolaan data privacy dapat berjalan dengan baik dan dengan risiko yang minimal, tentunya organisasi harus menerapkan praktik-praktik keamanan informasi (dalam hal ini data protection) untuk meastikan bahwa organisasi memiliki kontrol yang cukup dalam melindungi data pribadi.
- Privacy compliance. Berbicara compliance pasti berhubungan dengan regulasi / hukum. Organisasi wajib menerapkan mekanisme perlindungan data pribadi yang sesuai dengan peraturan/regulasi/hukum terkait Data Privacy dan Data Protection yang berlaku. Saya sudah bahas sedikit tentang hal ini pada artikel saya tentang Pengenalan Data Privacy.
Kesimpulan
ISO 27701 memiliki konten yang cukup komprehensif bagi organisasi untuk mengimplementasikan Privacy Management. Sebelum mengimplementasikan Privacy Program, tentunya organisasi perlu memahami prinsip-prinsip data privacy, peraturan/regulasi terkait, dan juga mekanisme implementasi data privacy program.