O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pelindungan Data Pribadi

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Carregando em…3
×

Confira estes a seguir

1 de 20 Anúncio

Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pelindungan Data Pribadi

Sosialisasi UU Pelindungan Data Pribadi untuk sektor kesehatan.

Webinar Serial TIK I-2022

Diselenggarakan oleh:
*INDOHCF - KREKI - IODTI - FORKOMTIKNAS - Z-COURSE*
TOPIK:
*Implikasi UU PDP (Perlindungan Data Pribadi) Terhadap Tata Kelola Data di Sektor Kesehatan*

Rancangan Undang - Undang (RUU) Perlindungan Data Pribadi (PDP) telah resmi disahkan menjadi Undang-Undang (UU) dalam Rapat Paripurna DPR RI pada tanggal 20 Sept 2022. Sambil menunggu peraturan pelaksanaannya, maka perlu lebih mencermati isi regulasi tsb dan mendiskusikan bagaimana implikasinya bagi sektor kesehatan baik Faskes, BPJS, Masyarakat dan stakeholder kesehatan lainnya

Sosialisasi UU Pelindungan Data Pribadi untuk sektor kesehatan.

Webinar Serial TIK I-2022

Diselenggarakan oleh:
*INDOHCF - KREKI - IODTI - FORKOMTIKNAS - Z-COURSE*
TOPIK:
*Implikasi UU PDP (Perlindungan Data Pribadi) Terhadap Tata Kelola Data di Sektor Kesehatan*

Rancangan Undang - Undang (RUU) Perlindungan Data Pribadi (PDP) telah resmi disahkan menjadi Undang-Undang (UU) dalam Rapat Paripurna DPR RI pada tanggal 20 Sept 2022. Sambil menunggu peraturan pelaksanaannya, maka perlu lebih mencermati isi regulasi tsb dan mendiskusikan bagaimana implikasinya bagi sektor kesehatan baik Faskes, BPJS, Masyarakat dan stakeholder kesehatan lainnya

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Mais de Eryk Budi Pratama (20)

Mais recentes (20)

Anúncio

Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pelindungan Data Pribadi

  1. 1. Eryk Budi Pratama, M.Kom, M.M, CIPM, CIPP/E, FIP, OSWP, CEH, CNSS, ISO 27001 LI Chairman - Institute of Digital Trust Indonesia (IODTI) Indonesia Chapter Chair - International Association of Privacy Professionals (IAPP) Associate Director - Big 4 Global Consulting Company 8 Oktober 2022 Webinar Serial TIK I-2022 Implikasi UU Pelindungan Data Pribadi terhadap Tata Kelola Data Sektor Kesehatan www.iodti.org
  2. 2. Contoh Daftar Kasus Pelanggaran Data di US Contoh Kasus Kebocoran Data di Dunia Sumber: https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
  3. 3. Kasus Kebocoran Data Pribadi Perusahaan Farmasi Contoh Kasus Kebocoran Data di Dunia Pada awal pandemi Covid-19, adopsi digital meningkat pada tingkat yang belum pernah terlihat sebelumnya. Dengan adanya lock-down dan physical distancing, perusahaan farmasi dengan cepat bergerak menuju sistem kerja remote dan berbasis cloud. Pada saat yang sama, kompetisi dalam pengembangan vaksin menjadi berita utama. Perusahaan farmasi secara efektif dipercaya untuk mengakhiri pandemi, sehingga menjadikannya target yang menarik bagi peretas yang ingin mencuri rahasia dagang. Sumber: https://www.pharmaceutical-technology.com/analysis/pharma-cyber-attacks/ & https://pf-media.co.uk/news/pfizer-suffers-huge-data-breach-on-unsecured-cloud-storage/ 2020: Pelanggaran data (data breach) di Laboratorium Dr Reddy ▪ Selama pandemi, serangan siber terhadap organisasi meningkat termasuk pada sektor kesehatan tidak terkecuali. Pusat Keamanan Siber Nasional Inggris (NCSC) melaporkan lebih dari 200 serangan yang secara khusus terkait dengan pandemi, termasuk serangan terhadap penelitian vaksin dari dinas intelijen Rusia. ▪ Terdeteksi juga sejumlah serangan siber terhadap rantai pasok vaksin, khususnya perusahaan dan lembaga pemerintah yang terlibat dalam distribusi. ▪ Pada Oktober 2020, pembuat obat India Dr Reddy's Laboratories terpaksa menutup beberapa fasilitas produksi setelah serangan siber. Selain mengisolasi semua pusat data, mereka menutup pabrik di AS, Inggris, Brasil, India, dan Rusia. 2020: Serangan terhadap Pfizer/BioNTech dan AstraZeneca ▪ Pada Desember 2020, European Medicines Agency (EMA) mengumumkan bahwa mereka telah menjadi sasaran serangan siber. Selama pelanggaran, beberapa dokumen yang berkaitan dengan vaksin Pfizer/BioNTech telah diakses secara tidak sah. ▪ Pelaku kejahatan (yang identitasnya tetap tidak diketahui atau dirahasiakan) mengakses dokumen word, pdf, tangkapan layar email, presentasi PowerPoint, dan peer review EMA, semua yang berkaitan dengan peraturan pengiriman vaksin. Data ini bocor sebulan kemudian, meskipun dalam format yang telah diubah.
  4. 4. Statistik Pelanggaran Data Pribadi di Eropa Contoh Kasus Pelanggaran Data di Dunia Sumber: https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf Jumlah pelanggaran data pribadi berdasarkan jenis pelanggaran yang terjadi di eropa (Per 8 Oktober 2022)
  5. 5. Kasus Kebocoran Data di Indonesia Contoh Kasus Kebocoran Data di Indonesia Beberapa kasus kebocoran data di Indonesia yang terjadi pada tahun 2021-2022 di Sektor Kesehatan. https://tekno.kompas.com/read/2021/06/11/1 3040057/kasus-kebocoran-data-279-juta-wni- bpjs-kesehatan-akan-digugat-lewat- ptun?page=all https://www.bbc.com/indonesia/indonesia-58393345 https://www.cnbcindonesia.com/tech/20220107091400-37- 305390/darimana-sumber-data-kemenkes-yang-diduga-bocor
  6. 6. Kasus Kebocoran Data Pasien Contoh Kasus Kebocoran Data di Indonesia Source: https://cyberthreat.id/read/13221/Miris-720GB-Basis-Data-Pasien-Dijual-di-Internet-Peretas-Klaim-Bersumber-dari-Server-Terpusat-Kemenkes Peretas mengunggah basis data pasien pada Rabu (5/1) pukul 04.23 WIB dengan judul “Indonesia-Medical Patients Information 720 GB Documents and 6M database”. Dari keseluruhan database, terbagi menjadi tiga folder, (1) “folder EKG atau ECG” (elektrokardiogram) berukuran 199GB dengan 238.999 file, (2) “folder laboratorium” dengan 479GB berisi 753.504 file, dan terakhir “folder radiologi” dengan 42GB. berisi 43.630 file. Peretas mengklaim bahwa database tersebut bersumber dari "server terpusat Kementerian Kesehatan RI". Data terakhir diambil pada 28 Desember 2021, tulis peretas. Rontgen Data CT Scan COVID-19 Test Lab Result Children Video Data Data Pribadi Kategori Spesifik
  7. 7. UU PDP versi 20 Sept 2022 : https://www.dpr.go.id/dokakd/dokumen/K1-RJ-20220920-123712-3183.pdf
  8. 8. Rangkuman UU Pelindungan Data Pribadi UU Pelindungan Data Pribadi Berikut adalah rangkuman dari UU Pelindungan Data Pribadi yang disahkan oleh DPR dan Pemerintah pada 20 September 2022 Pihak yang Terlibat Subjek Data, Pengendali Data, Pengendali Data Gabungan, Prosesor Data Jenis Data Pribadi Umum dan Spesifik Hak Subjek Data Diberikan Informasi, Akses, Melengkapi, Mengubah, Menghentikan, Mencabut persetujuan, Membatasi, dan Ganti Rugi Pemrosesan Data Pribadi Pengumpulan, Analisis, Penyimpanan, Pembaruan, Pengiriman, Penghapusan Kewajiban Pelindungan Data Pengendalian teknis operasional, tingkat pelindungan data, mitigasi risiko Perekaman Aktivitas Pemrosesan Rekaman aktivitas pemrosesan data pribadi / Record of Proceessing Activities - ROPA (Pasal 31) Kewajiban untuk Pelaporan Pelaporan ke subjek data dan Lembaga pengawas dalam 3x24 jam jika terdapat kegagalan pelindungan data pribadi Sanksi Sanksi Pidana dan Administratif Penilaian Dampak PDP Penilaian Dampak Pelindungan Data Pribadi / Data Protection Impact Assessment – DPIA (Pasal 34)
  9. 9. Definisi dan Jenis Data Pribadi UU Pelindungan Data Pribadi Definisi dan Jenis Data Pribadi berdasarkan RUU PDP Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik. Nama lengkap Jenis kelamin Kewarganegaraan Agama Status Perkawinan Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang Data Pribadi Umum Data Pribadi Spesifik Data dan informasi kesehatan Catatan atau keterangan individu yang berkaitan dengan kesehatan fisik, kesehatan mental, dan/atau pelayanan kesehatan Data biometrik Data yang berkaitan dengan fisik, fisiologis, atau karakteristik perilaku individu yang memungkinkan identifikasi unik terhadap individu, seperti gambar wajah atau data daktiloskopi. Data biometrik juga menjelaskan pada sifat keunikan dan/atau karakteristik seseorang yang harus dijaga dan dirawat, termasuk namun tidak terbatas pada rekam sidik jari, retina mata, dan sampel DNA. Data genetika Semua data jenis apapun mengenai karakteristik suatu individu yang diwariskan atau diperoleh selama perkembangan prenatal awal. Catatan kejahatan Catatan tertulis tentang seseorang yang pernah melakukan perbuatan melawan hukum atau melanggar hukum atau sedang dalam proses peradilan atas perbuatan yang dilakukan, antara lain catatan kepolisian dan pencantuman dalam daftar pencegahan atau penangkalan. Data anak Data yang berkaitan dengan anak. (Menurut WHO, klasifikasi umur di bawah 10 tahun) Data keuangan pribadi Termasuk namun tidak terbatas kepada data jumlah simpanan pada bank termasuk tabungan, deposito, dan data kartu kredit data lainnya sesuai dengan ketentuan peraturan perundang-undangan.
  10. 10. Entitas dalam Pemrosesan Data Pribadi UU Pelindungan Data Pribadi Beberapa pihak yang terlibat dalam pemrosesan dataa pribadi Subjek Data: orang perseorangan yang pada dirinya melekat Data Pribadi. Setiap Orang adalah orang perseorangan atau korporasi Pengendali Data Pribadi: setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi. Prosesor Data Pribadi: setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi. Pemrosesan mencakup: ▪ pemerolehan dan pengumpulan; ▪ pengolahan dan penganalisisan; ▪ penyimpanan; ▪ perbaikan dan pembaruan; ▪ penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan; dan/atau ▪ penghapusan atau pemusnahan. Transfer Data Pribadi ke luar negeri dapat dilakukan jika: ▪ negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima transfer Data Pribadi memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi dari yang diatur dalam Undang-Undang ini. ▪ terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat. ▪ persetujuan Subjek Data Pribadi. Data Pribadi
  11. 11. Prinsip-Prinsip Pelindungan Data Pribadi UU Pelindungan Data Pribadi Data Minimization Purpose Limitation Data Subject Rights • Pengumpulan Data Pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan • Pemrosesan Data Pribadi dilakukan sesuai dengan tujuannya • Pemrosesan Data Pribadi dilakukan dengan menjamin hak Subjek Data Pribadi Accuracy & Completeness • Pemrosesan Data Pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan Data Protection Transparency Storage limitation • Pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau penghilangan Data Pribadi; • Pemrosesan Data Pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan Pelindungan Data Pribadi; • Data Pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan Subjek Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan Accountability • Pemrosesan Data Pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas Prinsip-prinsip pelindungan data pribadi berdasarkan UU PDP Pasal 16 (2)
  12. 12. Hak Subjek Data Pribadi UU Pelindungan Data Pribadi Pasal 5 Pasal 6 Pasal 7 • Subjek Data Pribadi berhak mendapatkan Informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi, dan akuntabilitas pihak yang meminta Data Pribadi. • Subjek Data Pribadi berhak melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi tentang dirinya sesuai dengan tujuan pemrosesan Data Pribadi. • Subjek Data Pribadi berhak mendapatkan akses dan memperoleh salinan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang- undangan. Pasal 8 • Subjek Data Pribadi berhak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang- undangan. Pasal 9 Pasal 10 Pasal 11 • Subjek Data Pribadi berhak menarik kembali persetujuan pemrosesan Data Pribadi tentang dirinya yang telah diberikan kepada Pengendali Data Pribadi • Subjek Data Pribadi berhak untuk mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk pemrofilan, yang menimbulkan akibat hukum atau berdampak signifikan pada Subjek Data Pribadi. • Subjek Data Pribadi berhak menunda atau membatasi pemrosesan Data Pribadi secara proporsional sesuai dengan tujuan pemrosesan Data Pribadi. Pasal 12 • Subjek Data Pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan. Hak subjek data pribadi berdasarkan UU PDP Pasal 5 - 13 Pasal 13 • Subjek Data Pribadi berhak mendapatkan dan/atau menggunakan Data Pribadi tentang dirinya dari Pengendali Data Pribadi dalam bentuk yang sesuai dengan struktur dan/atau format yang lazim digunakan atau dapat dibaca oleh sistem elektronik.
  13. 13. Dasar Pemrosesan Data Pribadi UU Pelindungan Data Pribadi Berikut adalah beberapa dasar pemrosesan data pribadi yang diatur dalam UU PDP Pasal 20 (2) Persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi; Pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk memenuhi permintaan Subjek Data Pribadi pada saat akan melakukan perjanjian; Pemenuhan kewajiban hukum dari Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang- undangan; Pemenuhan pelindungan kepentingan vital Subjek Data Pribadi; Pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi berdasarkan peraturan perundang-undangan; dan/atau Pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi.
  14. 14. Kewajiban Pengendali Data Pribadi UU Pelindungan Data Pribadi Berikut adalah beberapa kewajiban Pengendali Data Pribadi berdasarkan UU PDP. Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh Subjek Data Pribadi (Pasal 24) Pengendali Data Pribadi wajib memiliki dasar pemrosesan Data Pribadi (Pasal 20 (1)) Pengendali Data Pribadi wajib melakukan pemrosesan Data Pribadi sesuai dengan tujuan pemrosesan Data Pribadi. (Pasal 28) Pengendali Data Pribadi wajib melakukan pemrosesan Data Pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan. (Pasal 27) Pengendali Data Pribadi wajib memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan (Pasal 29) Pengendali Data Pribadi wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan Data Pribadi (Pasal 31) Pengendali Data Pribadi wajib memperbarui dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi paling lambat 3 x 24 jam terhitung sejak Pengendali Data Pribadi menerima permintaan pembaruan dan/atau perbaikan Data Pribadi. Pengendali Data Pribadi wajib melakukan penilaian dampak Pelindungan Data Pribadi dalam hal pemrosesan Data Pribadi memiliki potensi risiko tinggi terhadap Subjek Data Pribadi. (Pasal 34) Pengendali Data Pribadi wajib memberikan akses kepada Subjek Data Pribadi terhadap Data Pribadi yang diproses beserta rekam jejak pemrosesan Data Pribadi sesuai dengan jangka waktu penyimpanan Data Pribadi (Pasal 32) Pengendali Data Pribadi wajib melindungi dan memastikan keamanan Data Pribadi yang diprosesnya (Pasal 35)
  15. 15. Keamanan Pemrosesan Data Keamanan Informasi untuk Pelindungan Data Pribadi Tujuan dari kontrol keamanan informasi dalam pemrosesan data Availability Confidentiality Resilience Integrity Kerahasiaan Akses hanya dibatasi pada mereka yang memiliki alasan dan diizinkan untuk mengakses informasi tersebut Integritas Informasi akurat dan selalu diperbarui Ketersediaan Informasi tersedia bagi mereka yang diizinkan untuk mengakses data Resilience Data mudah untuk dipulihkan Ketika terjadi gangguan
  16. 16. Pelanggaran Data (Data Breach) Keamanan Informasi untuk Pelindungan Data Pribadi Pelanggaran Data adalah penghancuran, kehilangan, pengubahan, pengungkapan yang tidak sah atau tidak sah, atau akses ke, data pribadi Jenis Pelanggaran: Integrity perubahan data pribadi yang tidak sah atau tidak disengaja. Confidentiality pengungkapan yang tidak sah atau tidak disengaja, atau akses ke, data pribadi. Availability kehilangan, akses, atau penghancuran data pribadi yang tidak sah atau tidak disengaja. Memberikan hak untuk mengedit data pribadi kepada seseorang yang seharusnya hanya diizinkan untuk melihat data kunci dekripsi yang hilang dalam kasus data terenkripsi Penghapusan data secara tidak sengaja Contoh:
  17. 17. Respon terhadap Kegagalan Pelindungan Data Pribadi Keamanan Informasi untuk Pelindungan Data Pribadi Organisasi diwajibkan memberikan notifikasi kepada subjek data dan lembaga pengawas dalam waktu 3x24 jam Pemberitahuan pelanggaran data harus mencakup: Siapa dan kapan organisasi perlu memberi tahu? Siapa? Kapan? Lembaga Dalam 3x24 jam Subjek Data Tanpa penundaan yang tidak semestinya Apa yang dimaksud dengan kegagalan pelindungan data pribadi? Kegagalan melindungi Data Pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan Data Pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap Data Pribadi yang dikirim, disimpan, atau diproses Sifat pelanggaran data Kemungkinan konsekuensi dari pelanggaran data Detail kontak DPO/Petugas Pelindungan Data Pribadi Tindakan yang diambil untuk mengatasi pelanggaran data Organisasi hanya perlu memberi tahu jika pelanggaran data akan mengakibatkan risiko bagi subjek data.
  18. 18. Persiapan Organisasi dalam Menyambut UU PDP Quick Win Implementasi UU Pelindungan Data Pribadi Melakukan pemetaan dan perekaman aktivitas pemrosesan data pribadi Melakukan penilaian risiko untuk pemrosesan data pribadi (risiko tinggi) Menyusun / memperbarui Kebijakan Privasi Menilai tingkat kepatuhan organisasi terhadap UU PDP Menyusun kebijakan dan prosedur terkait pelindungan data pribadi Melakukan sesi awareness Melakukan peningkatan kapabilitas SDM
  19. 19. Q & A
  20. 20. Thank You https://medium.com/@proferyk https://www.slideshare.net/proferyk IT Advisory & Risk (t.me/itadvindonesia) Data Privacy & Protection (t.me/dataprivid) Cloud Security (t.me/cloudsecid) Komunitas Data Privacy & Protection (t.me/dataprotectionid)

×