Correct Article 21

(1) Penyelenggaraan Teknologi Informasi oleh LJKNB dapat dilakukan secara sendiri dan/atau menggunakan pihak penyedia jasa Teknologi Informasi. (2) Dalam hal penyelenggaraan Teknologi Informasi LJKNB dilakukan oleh pihak penyedia jasa Teknologi Informasi sebagaimana dimaksud pada ayat (1), LJKNB wajib: a. bertanggung jawab atas penerapan manajemen risiko; b. memiliki satuan kerja penyelenggara Teknologi Informasi; c. melakukan pengawasan atas pelaksanaan kegiatan LJKNB yang diselenggarakan oleh pihak penyedia jasa Teknologi Informasi; d. memilih pihak penyedia jasa Teknologi Informasi berdasarkan analisis biaya dan manfaat dengan mengikutsertakan satuan kerja penyelenggara Teknologi Informasi; e. memantau dan mengevaluasi keandalan pihak penyedia jasa Teknologi Informasi secara berkala yang menyangkut kinerja, reputasi penyedia jasa, dan kelangsungan penyediaan layanan; f. memberikan akses kepada auditor internal, auditor eksternal, auditor internal grup LJKNB, dan/atau Otoritas Jasa Keuangan untuk memperoleh data dan informasi setiap kali dibutuhkan; g. memberikan akses kepada Otoritas Jasa Keuangan terhadap Pangkalan Data secara tepat waktu, baik untuk data terkini maupun untuk data yang telah lalu; dan h. memastikan pihak penyedia jasa Teknologi Informasi: 1. memiliki tenaga ahli yang memiliki keandalan dengan didukung oleh sertifikat keahlian secara akademis dan/atau secara profesional sesuai dengan keperluan penyelenggaraan Teknologi Informasi; 2. menerapkan prinsip pengendalian Teknologi Informasi secara memadai yang dibuktikan dengan hasil audit yang dilakukan pihak independen; 3. menyediakan akses bagi: a) auditor internal LJKNB; b) auditor eksternal; c) auditor internal grup LJKNB; d) Otoritas Jasa Keuangan; dan/atau e) pihak lain yang sesuai dengan ketentuan peraturan perundang- undangan berwenang untuk melakukan pemeriksaan, dalam rangka memperoleh data dan informasi yang diperlukan secara tepat waktu setiap kali dibutuhkan; 4. menyatakan tidak berkeberatan dalam hal Otoritas Jasa Keuangan dan/atau pihak lain yang sesuai dengan ketentuan peraturan perundang-undangan berwenang untuk melakukan pemeriksaan, akan melakukan pemeriksaan terhadap kegiatan penyediaan jasa Teknologi Informasi yang diberikan; 5. menjaga keamanan seluruh informasi termasuk rahasia LJKNB dan data pribadi konsumen, sebagai pihak terafiliasi; 6. hanya dapat melakukan pengalihan sebagian kegiatan (subkontrak) berdasarkan persetujuan LJKNB yang dibuktikan dengan dokumen tertulis; 7. melaporkan kepada LJKNB setiap kejadian kritis yang dapat mengakibatkan kerugian keuangan yang signifikan dan/atau mengganggu kelancaran operasional LJKNB; 8. menyediakan Rencana Pemulihan Bencana yang teruji dan memadai; 9. bersedia untuk adanya kemungkinan penghentian perjanjian sebelum jangka waktu perjanjian berakhir; 10. memenuhi tingkat layanan sesuai dengan service level agreement antara LJKNB dan pihak penyedia jasa Teknologi Informasi; dan 11. memiliki standar prosedur operasional yang jelas dan terukur dalam penyelenggaraan bisnisnya. (3) Penggunaan pihak penyedia jasa Teknologi Informasi sebagaimana dimaksud pada ayat (2) oleh LJKNB wajib didasarkan pada perjanjian tertulis yang memuat paling sedikit kesediaan pihak penyedia jasa Teknologi Informasi untuk memenuhi ketentuan sebagaimana dimaksud pada ayat (2) huruf h. (4) LJKNB wajib melakukan proses seleksi dalam memilih pihak penyedia jasa Teknologi Informasi dengan memperhatikan prinsip kehati-hatian, manajemen risiko, dan didasarkan pada hubungan kerja sama secara wajar. (5) LJKNB wajib melakukan tindakan tertentu dalam hal terdapat kondisi berupa: a. memburuknya kinerja penyelenggaraan Teknologi Informasi oleh penyedia jasa Teknologi Informasi yang dapat berdampak signifikan pada kegiatan usaha LJKNB; b. pihak penyedia jasa Teknologi Informasi menjadi insolven, dalam proses menuju likuidasi, atau dipailitkan oleh pengadilan; c. terdapat pelanggaran oleh pihak penyedia jasa Teknologi Informasi terhadap ketentuan rahasia LJKNB dan kewajiban merahasiakan data pribadi konsumen; dan/atau d. terdapat kondisi yang menyebabkan LJKNB tidak dapat menyediakan data yang diperlukan untuk pengawasan oleh Otoritas Jasa Keuangan. (6) Tindakan tertentu sebagaimana dimaksud pada ayat (5), paling sedikit: a. melaporkan kepada Otoritas Jasa Keuangan paling lambat 5 (lima) hari kerja setelah kondisi sebagaimana dimaksud pada ayat (5) diketahui oleh LJKNB; b. MEMUTUSKAN tindak lanjut yang akan diambil untuk mengatasi permasalahan termasuk penghentian penggunaan jasa dalam hal diperlukan; dan c. melaporkan kepada Otoritas Jasa Keuangan paling lambat 10 (sepuluh) hari kerja setelah LJKNB menghentikan penggunaan jasa sebelum berakhirnya jangka waktu perjanjian. (7) Dalam hal rencana penggunaan pihak penyedia jasa Teknologi Informasi menyebabkan atau diindikasikan akan menyebabkan kesulitan pengawasan yang dilakukan oleh Otoritas Jasa Keuangan, Otoritas Jasa Keuangan dapat menolak rencana penggunaan pihak penyedia jasa Teknologi Informasi yang diajukan oleh LJKNB. (8) Dalam hal penggunaan pihak penyedia jasa Teknologi Informasi menyebabkan atau diindikasikan akan menyebabkan kesulitan pengawasan yang dilakukan oleh Otoritas Jasa Keuangan, Otoritas Jasa Keuangan dapat meminta LJKNB untuk melakukan upaya perbaikan. (9) LJKNB wajib menyampaikan rencana tindak dalam rangka upaya perbaikan sebagaimana dimaksud pada ayat (8) paling lambat 20 (dua puluh) hari kerja sejak tanggal surat permintaan dari Otoritas Jasa Keuangan. (10) Dalam rangka pelaksanaan rencana tindak sebagaimana dimaksud pada ayat (9), Otoritas Jasa Keuangan memberikan jangka waktu paling lama 6 (enam) bulan kepada LJKNB untuk melakukan upaya perbaikan. (11) Apabila setelah jangka waktu sebagaimana dimaksud pada ayat (10) LJKNB tidak dapat melakukan upaya perbaikan, Otoritas Jasa Keuangan dapat memerintahkan LJKNB untuk menghentikan kerja sama dengan penyedia jasa Teknologi Informasi sebelum berakhirnya jangka waktu perjanjian.