Skip to content
Kembali ke insight
AI governancevendor managementUU PDPcompliance9 Juni 20267 menit baca

Data Processing Addendum untuk AI di Indonesia

Panduan singkat menyusun Data Processing Addendum untuk vendor AI agar selaras dengan UU PDP, vendor management, dan tata kelola data.

Oleh APLINDO Engineering

Pertanyaan yang sering diajukan

Apa itu Data Processing Addendum untuk vendor AI?
DPA adalah lampiran kontrak yang mengatur bagaimana vendor AI memproses data atas nama organisasi, termasuk tujuan pemrosesan, keamanan, subprosesor, dan penghapusan data.
Mengapa DPA penting di Indonesia?
Karena organisasi perlu menunjukkan kontrol atas pemrosesan data pribadi, terutama saat memakai layanan AI pihak ketiga, agar selaras dengan kewajiban tata kelola data dan UU PDP.
Apa saja klausul minimum yang perlu ada?
Minimal mencakup ruang lingkup pemrosesan, instruksi tertulis, jenis data, keamanan, notifikasi insiden, subprosesor, retensi/penghapusan, audit, dan transfer lintas negara jika ada.
Apakah DPA otomatis membuat penggunaan AI menjadi patuh?
Tidak. DPA hanya salah satu kontrol. Organisasi tetap perlu penilaian risiko, pengaturan akses data, review legal, dan audit teknis sesuai konteks penggunaan.
Kapan perlu audit profesional?
Saat AI memproses data sensitif, melibatkan banyak vendor, atau ada transfer data lintas negara. Dalam kondisi ini, audit legal dan keamanan profesional sangat disarankan.

Informasi waktu: Artikel ini dibuat otomatis pada 9 Juni 2026 pukul 11.37 (Asia/Jakarta, 2026-06-09T04:37:38.454Z).

Key takeaways

  • DPA untuk AI adalah alat kontraktual untuk mengontrol pemrosesan data oleh vendor, bukan sekadar formalitas pengadaan.
  • Di Indonesia, DPA membantu organisasi menunjukkan tata kelola yang lebih rapi saat memakai layanan AI yang menyentuh data pribadi.
  • Klausul penting mencakup instruksi pemrosesan, keamanan, subprosesor, retensi, insiden, audit, dan transfer data.
  • DPA tidak otomatis membuat implementasi AI patuh; tetap perlu penilaian risiko, review legal, dan kontrol teknis.

Mengapa Data Processing Addendum penting untuk AI?

Saat perusahaan di Indonesia memakai layanan AI dari vendor eksternal, data sering berpindah dari sistem internal ke platform pihak ketiga. Data itu bisa berupa nama, email, riwayat transaksi, tiket pelanggan, rekaman percakapan, hingga dokumen internal. Dalam praktiknya, vendor AI tidak selalu hanya menjadi “alat”; mereka bisa memproses, menyimpan, menganalisis, atau bahkan menggunakan data untuk tujuan tertentu sesuai kontrak.

Di sinilah Data Processing Addendum, atau DPA, menjadi penting. DPA adalah lampiran kontrak yang menjelaskan bagaimana vendor memproses data atas nama organisasi. Untuk konteks AI, dokumen ini membantu membatasi penggunaan data, mengatur keamanan, dan memastikan ada jejak tanggung jawab yang jelas antara pengendali data dan pemroses data.

Bagi perusahaan di Jakarta maupun kota besar lain di Indonesia, DPA biasanya menjadi bagian dari vendor management yang lebih matang. Ini relevan untuk startup yang sedang scale up, perusahaan enterprise, maupun tim produk yang mengintegrasikan model AI generatif, klasifikasi dokumen, chatbot, atau analitik prediktif.

Apa yang harus diatur dalam DPA untuk vendor AI?

DPA yang baik tidak perlu panjang berlebihan, tetapi harus tegas. Minimal, ada beberapa area yang wajib dijelaskan.

1. Ruang lingkup pemrosesan

Jelaskan data apa yang diproses, untuk tujuan apa, dan atas instruksi siapa. Untuk vendor AI, ini penting agar vendor tidak memakai data di luar kebutuhan layanan yang disepakati.

Contoh ruang lingkup yang jelas:

  • Data pelanggan untuk menjawab pertanyaan support
  • Data transaksi untuk deteksi anomali
  • Dokumen internal untuk ringkasan atau pencarian
  • Log penggunaan untuk monitoring keamanan

2. Instruksi pemrosesan

Vendor seharusnya hanya memproses data berdasarkan instruksi tertulis dari organisasi. Ini penting karena banyak layanan AI memiliki default setting yang bisa memperluas penggunaan data jika tidak dikunci sejak awal.

3. Keamanan data

DPA perlu menyebut kontrol keamanan minimum, misalnya enkripsi saat transit dan saat tersimpan, pembatasan akses, pencatatan log, segmentasi environment, dan prosedur patching. Untuk data sensitif atau data berskala besar, organisasi biasanya meminta detail tambahan seperti lokasi penyimpanan, sertifikasi keamanan, atau hasil penilaian keamanan.

4. Subprosesor

Vendor AI sering memakai subprosesor, misalnya cloud provider, penyedia inference, atau layanan observabilitas. DPA harus mengatur persetujuan atau pemberitahuan atas penggunaan subprosesor, serta kewajiban vendor untuk memastikan subprosesor tunduk pada standar yang setara.

5. Retensi dan penghapusan data

Tentukan berapa lama data disimpan, kapan harus dihapus, dan bagaimana bukti penghapusannya diberikan. Ini sangat penting untuk menghindari data “mengendap” di sistem vendor setelah kontrak selesai atau setelah tujuan pemrosesan berakhir.

6. Notifikasi insiden

Jika terjadi kebocoran, akses tidak sah, atau insiden keamanan lain, organisasi perlu tahu secepat mungkin. DPA harus mengatur waktu notifikasi, isi laporan awal, dan mekanisme koordinasi respons insiden. Untuk konteks Indonesia, hal ini penting agar tim legal, keamanan, dan operasional bisa bergerak cepat.

7. Audit dan bukti kepatuhan

Organisasi perlu hak untuk meminta bukti kontrol, misalnya ringkasan audit, kebijakan keamanan, hasil penilaian risiko, atau sertifikasi yang relevan. Audit tidak selalu berarti inspeksi penuh; sering kali cukup dengan kombinasi dokumen, kuesioner, dan review periodik.

Bagaimana DPA mendukung kepatuhan UU PDP?

UU PDP menuntut organisasi lebih disiplin dalam mengelola data pribadi. Walau detail implementasinya bisa berbeda tergantung peran organisasi dan konteks pemrosesan, satu prinsip penting tetap sama: pemrosesan data harus punya dasar, tujuan, dan kontrol yang jelas.

DPA membantu karena:

  • Menetapkan peran dan tanggung jawab antara pihak yang memakai layanan AI dan vendor
  • Membatasi pemrosesan agar tidak melampaui tujuan yang disepakati
  • Menyediakan mekanisme pengawasan terhadap vendor
  • Menciptakan dokumentasi yang bisa ditunjukkan saat audit internal atau review kepatuhan

Namun, penting dicatat bahwa DPA bukan jaminan otomatis bahwa seluruh penggunaan AI sudah patuh. Jika organisasi mengirim data sensitif ke model pihak ketiga tanpa penilaian risiko, tanpa kontrol akses, atau tanpa review legal, maka DPA saja tidak cukup. Kepatuhan yang kuat biasanya membutuhkan kombinasi kontrak, kebijakan internal, kontrol teknis, dan pengawasan operasional.

Risiko yang sering muncul saat memakai vendor AI

Banyak organisasi mengira risiko utama hanya kebocoran data. Padahal, dalam praktik vendor AI, ada beberapa risiko lain yang sering luput.

Data dipakai untuk pelatihan model tanpa persetujuan yang jelas

Beberapa vendor memiliki ketentuan default yang memungkinkan data pelanggan dipakai untuk meningkatkan layanan. Jika organisasi tidak meninjau klausul ini, data internal bisa masuk ke proses yang tidak diinginkan.

Transfer lintas negara

Banyak platform AI memproses data di luar Indonesia. Ini tidak otomatis dilarang, tetapi organisasi perlu memahami alur transfer, lokasi pemrosesan, dan perlindungan kontraktual yang menyertainya.

Prompt dan output menyimpan informasi sensitif

Tim internal kadang memasukkan data pribadi, rahasia dagang, atau informasi pelanggan ke prompt. Jika vendor menyimpan log prompt dan output, data tersebut bisa menjadi bagian dari jejak pemrosesan yang perlu diatur.

Subprosesor yang berubah tanpa kontrol

Vendor AI bisa menambah subprosesor baru seiring waktu. Tanpa mekanisme pemberitahuan, organisasi bisa kehilangan visibilitas atas rantai pemrosesan.

Praktik terbaik saat menyusun DPA untuk AI

Untuk perusahaan di Indonesia, pendekatan yang paling aman biasanya dimulai dari pemetaan data dan vendor. Sebelum menandatangani kontrak, tim legal, procurement, keamanan, dan produk sebaiknya menjawab beberapa pertanyaan berikut:

  • Data apa yang akan masuk ke sistem AI?
  • Apakah ada data pribadi, data sensitif, atau data pelanggan enterprise?
  • Apakah vendor menyimpan data, atau hanya memproses sementara?
  • Apakah data digunakan untuk training, fine-tuning, atau hanya inference?
  • Di mana data disimpan dan diproses?
  • Siapa subprosesornya?
  • Bagaimana data dihapus saat kontrak berakhir?
  • Apa SLA notifikasi insiden?

Setelah itu, DPA bisa disusun sebagai bagian dari paket vendor management. Untuk organisasi yang sudah lebih matang, DPA biasanya dilengkapi dengan security questionnaire, data flow mapping, dan penilaian risiko penggunaan AI.

Jika organisasi memakai beberapa vendor sekaligus, misalnya satu untuk chatbot, satu untuk analitik, dan satu untuk workflow automation, sebaiknya ada template DPA internal agar klausul minimum konsisten. Ini memudahkan review dan mengurangi risiko kontrak yang terlalu longgar.

Tidak semua implementasi AI membutuhkan proses yang sama. Untuk use case sederhana dengan data non-pribadi, review internal mungkin cukup. Tetapi jika AI memproses data pelanggan, data karyawan, data kesehatan, data keuangan, atau data dalam volume besar, sebaiknya libatkan tim legal dan audit profesional.

Hal yang sama berlaku jika:

  • Vendor berada di luar Indonesia
  • Ada transfer data lintas negara
  • Data dipakai untuk keputusan yang berdampak pada individu
  • Kontrak vendor sulit dinegosiasikan
  • Organisasi sedang mengejar sertifikasi, audit, atau standar tata kelola tertentu

APLINDO, melalui layanan seperti SaaS engineering, applied AI, Fractional CTO, dan ISO/compliance consulting, sering membantu tim menyusun kontrol yang realistis antara kebutuhan bisnis dan tuntutan kepatuhan. Pendekatannya biasanya praktis: mulai dari data flow, kontrak, lalu kontrol teknis dan operasional.

Key takeaways

  • DPA adalah fondasi kontraktual penting untuk penggunaan vendor AI yang memproses data pribadi.
  • Klausul yang paling krusial adalah ruang lingkup pemrosesan, keamanan, subprosesor, retensi, insiden, dan audit.
  • Kepatuhan di Indonesia perlu melihat DPA bersama UU PDP, kebijakan internal, dan kontrol teknis.
  • Untuk data sensitif atau transfer lintas negara, review legal dan audit profesional sangat disarankan.

Kesimpulan

Jika organisasi Anda sedang mengadopsi AI, jangan menunggu sampai ada insiden untuk merapikan kontrak vendor. DPA yang disusun dengan baik membantu membatasi risiko, memperjelas tanggung jawab, dan menunjukkan bahwa tata kelola data dipikirkan sejak awal.

Di pasar Indonesia yang makin cepat mengadopsi AI, perusahaan yang rapi dalam vendor management biasanya lebih siap menghadapi audit, negosiasi enterprise, dan ekspansi internasional. DPA bukan satu-satunya jawaban, tetapi ini salah satu kontrol paling praktis untuk memulai.

FAQ

Apa itu Data Processing Addendum untuk AI?

DPA adalah lampiran kontrak yang mengatur bagaimana vendor AI memproses data atas nama organisasi.

Apakah DPA wajib untuk semua vendor AI?

Tidak selalu secara formal, tetapi sangat disarankan jika vendor memproses data pribadi atau data sensitif.

Apa bedanya DPA dengan privacy policy?

Privacy policy menjelaskan kepada subjek data bagaimana data mereka diproses, sedangkan DPA mengatur hubungan kontraktual antara organisasi dan vendor.

Apakah DPA cukup untuk memastikan kepatuhan?

Tidak. DPA harus didukung penilaian risiko, kontrol akses, review legal, dan pengawasan operasional.

Kapan organisasi perlu audit tambahan?

Saat data yang diproses sensitif, vendor berada di luar negeri, atau AI digunakan untuk keputusan yang berdampak tinggi.

Siap meluncurkan sesuatu yang nyata?

Jadwalkan 30 menit. Kami akan review roadmap Anda, merekomendasikan langkah berikutnya yang paling kecil tapi berdampak, dan jujur apakah kami mitra yang tepat.

Jadwalkan diskusi Email kami