Open in app

Sign in

Write

Sign in

Studi Kasus Privacy Program: Allegis Group

Eryk Budi Pratama
10 min readJul 22, 2021

--

Disclaimer: Tulisan ini adalah opini dan hasil analisis penulis pribadi tanpa mewakili pihak/institusi manapun.

Tulisan ini adalah sedikit rangkuman dari webinar yang diadakan oleh OneTrust dengan narasumber dari Allegis Group. Kebetulan saya menyempatkan untuk hadir dari banyak webinar yang diadakan berbagai institusi yang biasanya diadakan malam hari (kadang tengah malam). Topik yang dibahas adalah terkait Privacy Program pada Allegis Group. Allegis Group adalah perusahaan di bidang manajement sumber daya manusia / talent management yang berpusat di Maryland, US. Allegis Group ini memiliki cabang di beberapa negara. Saya lupa screenshot slide presentasi yang menunjukkan lokasi cabang dan regulasi perlindungan data yang berlaku di negara-negara tersebut.

Jika pembaca sudah membaca artikel saya sebelumnya tentang Rangkuman Privacy Governance Report 2020 oleh IAPP dan FTI Consulting, disitu saya sempat menyebutkan tentang Privacy Program. Di artikel yang lain tentang Langkah Sederhana Menyusun Data Privacy Program, saya memberikan informasi tentang penyusunan Privacy Program. Pada artikel ini saya ambil studi kasus dari perusahaan di bidang talent management (yang notabene mengolah banyak data pribadi), sehingga pembaca bisa mendapatkan referensi mengenai praktik Privacy Program di perusahaan global. Selain itu saya selipkan juga perspektif saya pribadi terkait Privacy Program ini.

Tentang Perusahaan

Saya kutip dari sejarah perusahaan ini, Allegis Group sudah berdiri cukup lama (35 tahun lebih) dimana dari awal memang bisnisnya di bidang rekrutmen dan berkembang hingga ke talent management (ya kurang lebihnya masih terkait talent, staffing, recruitment ). Allegis Group juga melakukan beberapa akuisisi sehingga saat ini memiliki beberapa anak perusahaan.

Kalau dari websitenya, Allegis memiliki tiga area/region cabang luar negeri, yaitu North America(Kantor Pusat/HQ), EMEA, dan APAC. Detil negaranya bisa dilihat di website (Location) atau dari Privacy Notice-nya. Dari informasi singkat ini ada beberapa poin penting yang perlu diperhatikan oleh perusahaan (terutama yang punya cabang di luar negeri).

  1. Nature of Business. Bisnis Allegis di bidang yang terkait SDM, yaitu talent management, staffing, dan recruitment. Sudah tentu bisnisnya melibatkan pemrosesan data pribadi. Namun, kalau saya lihat dari tujuan dari pemrosesan data (purpose of data processing) di Privacy Notice padabeberapa negara, tidak semua negara memiliki tujuan pemrosesan yang sama. Hal ini secara tidak langsung menunjukkan bahwa layanan bisnis yang disediakan Allegis di masing-masing negara belum tentu sama.
  2. Multiple (Global) Location. Allegis memiliki cabang di 3 region. Sudah tentu saja kantor pusat di US tidak hanya harus patuh/comply terhadap regulasi perlindungan data di US saja, namun negara-negara lain dimana Allegis memiliki cabang dan anak perusahaan. Kebayang kan kompleksitas dari sisi regulation compliance-nya?
  3. Applicable Regulation. Berhubungan dengan poin sebelumnya, karena memiliki cabang di beberapa negara, maka tim Legal dan Privacy di HQ harus memastikan bahwa perusahaan dapat memenuhi kewajiban regulasi yang bermacam-macam. Perlu diingat bahwa kadang di suatu negara, peraturan perlindungan data pribadi/data privacy tidak hanya 1 law/bill, tapi bisa jadi banyak seperti di Indonesia. Adanya RUU PDP ini penting karena bisa jadi semacam omnibus law untuk Perlindungan Data Pribadi.

Tantangan Operasional

Ada tiga hal utama yang narasumber sampaikan terkait tantang dalam mengoperasikan Privacy Program di Allegis, yaitu Menumbuhkan / meningkatkan Privacy Program, Implementasi teknologi untuk membantu Privacy Program Enablement, dan tantangan industri dalam konteks perubahan dinamika bisnis yang dipengaruhi oleh perkembangan kewajiban regulasi.

Sumber: Webinar OneTrust tentang Privacy Program di Allegis Group

Growing the Privacy Program

Allegis telah melakukan kajian dan penyusunan Privacy Program yang tentunya mencakup operasional bisnis di semua negara yang ada cabang dan anak perusahaan Allegis Group. Tantangan setelah menyusun Privacy Program adalah eksekusinya. Narasumber menyatakan bahwa dukungan (buy-in) dari top level management sangat penting karena Privacy Program ini pasti butuh duit dan butuh persetujuan dari top level management. Selain itu, untuk memastikan Privacy Program dapat dikomunikasikan dengan baik, maka Allegis Group melakukan awareness session terkait dengan Privacy ke seluruh karyawan secara rutin. Untuk training, peserta tidak melibatkan seluruh karyawan. Hanya karyawan tertentu saja yang perlu mendapatkan training. Saya tidak mendengan contohnya apa. Cuma biasanya yang diberi training adalah Privacy officer dan DPO tentunya. Selain itu adalah para unit kerja yang terlibat dalam Privacy Program enablement, misalnya tim Data Governance/Management, Information/IT Security, Legal & Compliance, dan Risk Management. Lima tim inilah yang umumnya jadi core enabler atas Privacy Program. Untuk unit kerja bisnis operasional (core dan support), cukup dengan awareness session saja.

Implementing Technology

Perusahaan global umumnya memiliki pemrosesan data pribadi yang kompleks, dalam perspektif data privacy sehingga dibutuhkan teknologi/tools untuk membantu mengelola Privacy Management di perusahaan global seperti Allegis. Mengingat regulasi perlindungan data pribadi antar negara bisa berbeda (walaupun fondasi dasar regulasinya umumnya sama, misalnya terkait hak subyek data, kategori subyek data, kewajiban controller dan processor, dll.), maka perlu adanya catatan yang terpusat untuk mengelola hal tersebut. Catatan terpusat bisa jadi manual misalnya dengan Excel, maupun tools yang terintegrasi. Contohnya adalah integrasi antara front end application dengan privacy management tools untuk mengelola permintaan consent dari channel web dan mobile application, permintaan subyek data/DSAR yang dilakukan melalui email atau aplikasi tertentu, manajemen insiden yang perlu integrasi dengan tools manajemen insiden dan layanan IT yang saat ini digunakan (misalnya ServiceNow), dll. Implementasi ini butuh biaya dan sumber daya(orang).

Industry Challenge

Dengan adanya berbagai macam regulasi yang harus dipenuhi baik terkait perlindungan data pribadi maupun area yang lain, adanya pandemi, perkembangan teknologi yang pesat, dan faktor yang lain-lain dapat menjadi tantangan bagi perusahaan, terutama untuk Industri yang sama. Misalnya perihal data residency/lokasi data untuk industri keuangan. Industri lain seperti telekomunikasi, sektor publik, FMCG, dll tentu memilki tantangan utama yang berbeda. Perusahaan harus dapat memahami hal ini dan Privacy Program harus dapat selaras dengan permasalahan yang dihadapi oleh perusahaan. Jangan sampai Privacy ini menjadi blocker bagi perkembangan bisnis perusahaan, apalagi ketika ingin akselerasi kencang. Ketika melakukan penilaian legitimate interest untuk menjadikannya sebagai landasan hukum/legal basis untuk melakukan pemrosesan data tertentu pun juga disitu ada aspek balancing. Jadi interest atau kepentingan perusahaan harus selaras dengan kepentingan pemilik data pribadi/subyek data, sehingga pemilik data pribadi tidak merasa dirugikan atau setidaknya perusahaan dapat mengurangi dampak dari risiko yang mungkin dapat menimpa pemilik data pribadi tersebut.

Penggunaan Teknologi untuk Membantu Manajemen Privacy Program

Sejauh ini dari pengalaman saya melakukan assessment dan merancang privacy program ke beberapa klien, tidak ada acuan khusus privacy program itu harus seperti apa. Bisa jadi perusahaan menjadikan framework/standar tertentu sebagai pegangan dalam penyusunan Privacy Program, misalnya NIST Privacy Framework, ISO 27701, dll. Bisa jadi juga perusahaan menggunakan “custom” framework yang dikembangkan sendiri atau dibantu oleh konsultan. Berikut adalah contoh komponen privacy program yang saya rangkum dari hasil membaca beberapa materi dan pengalaman pribadi dalam mengerjakan proyek terkait Privacy.

Privacy Program & Privacy Framework — Eryk Budi Pratama — Privacy Expert
Sumber: https://www.slideshare.net/proferyk/common-practice-in-data-privacy-program-management

Screenshot slide di atas murni saya develop sendiri tanpa copas-copas. Tentunya beda klien/perusahaan, bisa berbeda secara major maupun minor. Aspek-aspek yang biasanya jadi pertimbangan adalah strategi bisnis, regulasi yang relevan, ketegasan regulator dalam menerapkan regulasi, profil risiko perusahaan, isu-isu tertentu terkait data privacy, dll.

Kembali ke Allegis. Dengan kompleksitas yang ada, maka perusahaan perlu bantuan tools untuk mengelola Privacy Program agar lebih efektif. Kebetulan Allegis menggunakan OneTrust sebagai Privacy Management tools. Privacy Management tools lainnya juga beberapa memiliki fitur dasar yang sama juga sebenarnya, cuma memang modul-modul yang dikembangkan OneTrust cukup banyak. Tentunya perusahaan tidak perlu harus pakai semua. Disesuaikan dengan kebutuhan saja. Berikut adalah contohnya.

Jika pembaca sudah membaca artikel saya sebelumnya tentang Rangkuman Privacy Governance Report 2020 oleh IAPP dan FTI Consulting, dari hasil survey sebenarnya kebutuhan tools paling banyak digunakan untuk Data Protection Impact Assessment (DPIA)/Privacy Impact Assessment (PIA), Data Mapping & Inventory, Consent Management, dan DSAR (Data Subject Access Request). Namun jika kita lihat dari slide presentasi Allegis, hanya dua dari empat layanan utama yang disediakan Privacy Management Tools yang digunakan oleh Allegis, yaitu untuk Data Mapping dan DSAR.

Kalau di Eropa, DSAR ini cukup merepotkan mengikuti banyaknya processing activities untuk data pribadi yang dilakukan oleh perusahaan. Cara manualnya, DSAR ini disampaikan via email ke Privacy Officer (PO) atau Data Protection Officer (DPO). Kemudian PO dan DPO ini akan melakukan verifikasi, analisis, dan tindak lanjut ke unit kerja terkait yang bertanggung jawab atas pemrosesan data terkait sesuai dengan yang diminta oleh subyek data. Proses DSAR ini akan saya bahas pada artikel terpisah karena DSAR ini perlu prosedur yang jelas.

Data Mapping ini dibutuhkan karena perusahaan ingin memastikan bahwa mereka memiliki visibility terhadap lokasi data pribadi ini ada dimana saja. Setidaknya ada informasi bahwa data pribadi ada di sistem-sistem (aplikasi/software) mana saja dan unit kerja mana saja (ini bisa dibantu dengan aktivitas pencatatan pemrosesan data/Record of Processing Activities-ROPA). Umumnya perusahaan melakukan Data Discovery dengan tools tentunya. Data pribadi yang ditemukan oleh data discovery tools akan dipetakan ke klasifikasi data (dalam konteks keamanan informasi) dan juga terhadap processing activities yang dimiliki oleh unit kerja tertentu. Misalnya dari 100 processing activities, dari hasil data discovery perusahaan dapat informasi bahwa data terkait tanggal lahir itu terdapat di (misalnya) 40 processing activities. Kalau di Data Governance, kita mengenal istilah Metadata Management. Data mapping ini juga dapat memperkaya metadata dari atribut terkait data pribadi.

Dari keterangan narasumber, modul Incident Management ini akan diintegrasikan dengan tools incident management yang saat ini dimiliki oleh Allegis. Kalau sudah punya, kenapa harus pakai modul incident management? Seperti informasi terkait tantangan operasional tadi bahwa technology integration menjadi perhatian Allegis. Saya tidak tahu apakah pembaca memiliki pengalaman implementasi atau menggunakan Privacy Management tools. Namun dari pengalaman saya pribadi, modul incident management di Privacy Management tools ini saling terintegrasi dengan modul lain di tools yang sama, misalnya dengan modul risk management, DSAR, assessment automation, dll.

Cookie Compliance dibutuhkan Allegis karena memang cookie management ini diatur dalam regulasi perlindungan data di Eropa dan US. Bahkan di website perusahaan harus dijelaskan dalam bentuk Cookie Notice dan Cookie Settings (cara mengubah konfigurasi cookie). Kebetulan di Indonesia belum sejauh itu. Jadi perusahaan di Indonesia belum butuh modul ini.

Untuk Policy & Notice, berdasarkan keterangan narasumber, hal ini cukup membantu tim beliau untuk melakukan pembaruan privacy policy dan notice ke subyek data external (misalnya customer dan vendor/pihak ketiga). Privacy Management tools memang umumnya memiliki fitur yang memudahkan kita untuk memperbarui Policy dan Notice, untuk kemudian secara otomatis dapat di-broadcast ke subyek data hanya dengan beberapa klik saja. Kalau operasional perusahaan hanya di satu negara, menurut saya tidak perlu. Tapi untuk perusahaan global, ini bisa dipertimbangkan.

DataGuidance ini modul spesifiknya OneTrust untuk regulatory research. Bayangkan aja gimana capeknya tim Privacy dan Legal harus selalu update dengan regulasi perlindungan data pribadi (dan yang terkait) di berbagai negara. Dalam beberapa proyek riset regulasi yang saya lakukan, untuk melakukan analisis beberapa regulasi lokal saja sudah capek, apalagi ini untuk beberapa negara. Modul ini dapat mempersingkat waktu riset kita.

Awareness Training ini menurut narasumber dibutuhkan untuk mempersingkat waktu Allegis dalam mengelola awareness dan training di bidang privacy. Out-of-the-box sudah ada materi-materi yang bisa dipakai untuk melakukan awareness trainingdan juga manajemen dari proses awareness training itu sendiri. Semacam learning management system.

Pengamatan Pribadi Terkait Implementasi Privacy Program Allegis

Dengan bermodalkan lihat website-nya, ada beberapa praktik privacy yang sudah bagus menurut saya.

Sumber: Website Allegis — https://www.allegisgroup.com/

Privacy Notice

Privacy notice merupakan statement privacy yang ditampilkan untuk publil/eksternal. Untuk internal, namanya Privacy Policy. Sebagian besar website pasti pakai frasa “Privacy Policy”, padahal penggunaan istilahnya kurang tepat (harusnya Privacy Notice). Privacy Policy ini mengatur bagaimana praktik privacy yang harus dilakukan perusahaan, sedangkan Privacy Notice adalah bentuk transparansi perusahaan ke publik terkait dengan praktik privacy sesuai dengan kebutuhan regulasi yang berlaku di masing-masing negara.

Sumber: Website Allegis — https://www.allegisgroup.com/en/privacy-notices

Jika kita melihat website Allegis, menurut saya ini sudah bagus untuk membedakan Privacy Notice tiap negara, meskipun menurut saya masih ada kekurangan dalam konteks “transparansi” di Privacy Notice untuk negara-negara APAC. Misalnya, di Privacy Notice untuk APAC, tidak ada keterangan terkait Purposes of Collection and Use of Your Personal Data. Di artikel terpisah saya akan bahas terkait Privacy Notice.

Cookie Notice

Informasi dasar yang perlu ada di Cookie Notice sudah tercakup di websitenya, diantaranya:

  • Definisi cookies
  • Alasan penggunaan cookie
  • Jenis cookie mana saja yang digunakan
  • Bagaimana pengguna dapat mengendalikan pilihan cookie / update konfigurasi preferensi cookie
  • Kapan cookie notice akan diupdate
  • Tanggal release terbaru cookie notice
  • Narahubung perihal cookies (biasanya ke Privacy Officer)

Cookies ada empat jenis, yaitu Strictly Necessary , Performance, Functional, dan Targeting. Strictly Necessary cookies ini sifatnya wajib, jadi tidak bisa di opt-out/uncheck. Tiga jenis cookie lainnya opsinal, jadi bisa di opt-in/opt-out/uncheck. Sedikit informasi perbedaan di EU dan US. Regulasi di EU mewajibkan website menggunakan mekanisme opt-in, sedangkan di US bisa dengan opt-out. Bedanya apa?

  • Kalau opt-in, by default, pilihan cookies category itu dalam posisi tidak dipilih/dicentang. Jadi pengguna dapat mencentang sendiri sesuai dengan preferensi masing-masing
  • Kalau opt-out, by default, itu sudah dicentangkan oleh website terkait. Jadi pengguna tinggal uncheck atau menghapus centangnya.

Kalau ada website di EU yang gak comply dengan opt-in ini, ya siap-siap aja kalau ada yang menuntut bisa kena sanksi :)

Data Protection Readiness Statement

Ada satu bagian menarik yang menurut saya ini unik karena saya jarang menemukan di website lain (bahkan institusi yang berkaitan dengan penyedia layanan dan asosiasi privacy pun tidak mencantumkan ini di website), yaitu transparansi terkait Data Protection Readiness Statement. Dalam laporan DPR Statement Allegis ini, mereka mencantumkan Top 10 inisiatif untuk Data Protection Program.

Data Privacy Program & Data Protection Program-Eryk Budi Pratama-Privacy Expert
Sumber: Allegis Data Protection Readiness Statement

Sebenarnya Top 10 Initiatives-nya bisa jadi contekan buat perusahaan lain jika ingin menyusun Privacy Program. Untuk aktivitas mana yang harus dilakukan duluan, sekuensial, atau paralel, itu bisa berbeda tiap organisasi. Namun jika memang ada perusahaan yang serius ingin mengembangkan dan implementasi Data Privacy Program, don’t hesitate to contact me (via Linkedin) ya (lah kok promosi) :))

Kesimpulan

Tantangan operasional yang dihadapi oleh perusahaan, dalam hal ini Allegis Group, untuk melakukan implementasi Privacy Program adalah bagaimana membuat Privacy Program ini tumbuh dengan pesat dengan didukung oleh integrasi teknologi yang efektif agar dapat selaras dengan isu/tantangan yang dihadapi oleh perusahaan. Menyusun Privacy Program tidak cukup hanya dengan menyontek Privacy Program perusahaan lain (atau DPR Statement Allegis yang saya share), namun perlu mempertimbangkan berbagai aspek sesuai dengan profil risiko, strategi, dan operasional bisnis perusahaan. Untuk industri yang sama pun belum tentu urutan eksekusi programnya akan sama. Terkadang perusahaan butuh bantuan juga dari konsultan terutama yang memiliki pengalaman di berbagai perusahaan untuk dapat memperkaya wawasan dan menjadi bahan benchmark bagi pengembangan dan implementasi Privacy Program pada perusahaan tesebut.

Semoga artikel ini bermanfaat bagi pembaca. Semangat menulis, semangat berbagi.

Salam,

Eryk Budi Pratama

(Linkedin)

Data Privacy
Data Protection
Privacy Management
Privacy Protection

--

--

Eryk Budi Pratama

Written by Eryk Budi Pratama

262 Followers

Global IT & Cybersecurity Advisor | Global CIO & CISO Advisory | IT GRC | Cloud | Cyber Resilience | Data Privacy & Governance

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams