“Selanjutnya Develop Appropriate Metrics ini mungkin bisa jadi salah satu cara yang bisa dilakukan dalam mengimplementasikan program PDP. Sebelum membuat program awareness dan sebagainya, perlu melakukan health check terhadap departemen yang berkaitan dengan pemrosesan data pribadi,” ujar Ruben.
Secara garis besar, langkah yang ditempuh untuk mengembangkan matriks ialah dengan mengidentifikasi audiens yang hendak dituju, menentukan sumber daya pelaporan, menentukan matrik PDP bagi pengawasan dan tata kelola per audiens, serta pengidentifikasian titik pengumpulan sistem atau aplikasi.
Sebagai contoh dari matrik kepatuhan (compliance) meliputi pengumpulan pemberitahuan; tanggapan atas pertanyaan subjek data; retensi; pengungkapan terhadap pihak ketiga, insiden; pelatihan terhadap karyawan, matrik PIA/DPIA, sampai dengan indikator risiko PDP.
“Sesudah membuat matriks itu, lakukan analisa tingkat kepatuhannya. Tidak hanya comply or not saja, tapi bisa jadi abu-abu atau partially comply. Tapi diingat, (dalam kaitannya dengan PDP) tidak bisa kerja sendiri, kawan-kawan harus bisa build close connection dengan departemen terkait.”
Lebih lanjut, dalam merespons insiden PDP, terdapat 2 aspek yang bisa dilaksanakan. Pertama, kepatuhan hukum. Sehubung dengan itu, dapat dilakukan mencegah terjadinya bahaya, batasan pengumpulan data pribadi, akuntabilitas, pemantauan dan penegakan hukum, serta kewajiban dalam melaporkan.
Kedua, perencanaan respons insiden. Maka bisa dilakukan pengidentifikasian atas pemangku kepentingan bisnis utama keamanan informasi seperti Legal, Head of Compliance, Audit, Human Resources, Marketing, Business Development, Communications and Public Relations, dan lain sebagainya.
Lalu membentuk tim pengawas insiden, mengembangkan rencana tanggap insiden PDP, melakukan identifikasi terhadap unsur-unsur rencana tanggap insiden PDP, serta melakukan pengintegrasian terhadap respons insiden PDP ke dalam perencanaan kesinambungan bisnis perusahaan.