Jakarta, 4 Agustus 2022 – Pengadilan Tata Usaha Negara Jakarta dengan majelis hakim Sahibudir Rasid, Eko Yulianto dan Ni Nyoman Vidiayupurbasari kembali menggelar sidang perkara gugatan nomor 102/G/2022/PTUN.JKT antara Perhimpunan Bantuan Hukum dan HAM Indonesia melawan Menteri Kesehatan dengan agenda pemeriksaan ahli. Adapun yang menjadi obyek gugatan ini adalah Keputusan Menteri Kesehatan Nomor Hk.01.07/MENKES/5680/2021 tentang Pedoman Kerja Sama Penggunaan QR Code Pedulilindungi Dalam Rangka Penanggulangan Pandemi Corona Virus Disease 2019 (COVID-19) yang dinilai melanggar Pasal 28G Ayat (1) UUD NRI 1945 yang menjamin bahwa setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.
Pada sidang ini PBHI menghadirkan 3 (tiga) orang ahli, antara lain: Wahyudi Djafar selaku pegiat perlindungan data pribadi, Teguh Aprianto konsultan keamanan siber, dan Damar Juniarto selaku pegiat keamanan digital. Para ahli yang dihadirkan berdasarkan keahliannya memberikan keterangan dan argumentasi berkaitan model kerjasama antara Kementerian Kesehatan dan Penyedia Platform Aplikasi (PPA) serta asesmen terhadap model pemrosesan dan perlindungan data dalam PPA. Pertama, Wahyudi Djafar menjelaskan bahwa ada beberapa prasyarat untuk mengembangkan aplikasi pemerintah berdasarkan pada Permenkominfo 20/2016 mengenai ketentuan kerjasama dan juga syarat & ketentuan subjek data. Salah satunya, pengembang aplikasi harus memperhatikan dan melindungi hak pemilik data (warga negara). Menurutnya, integrasi aplikasi Peduli Lindungi dengan PPA belum memiliki alasan yang jelas karena masing-masing platform yang terintegrasi memiliki fungsi dan tujuan yang berbeda sehingga rawan terhadap penyalahgunaan data.
“Aplikasi Peduli Lindungi pada dasarnya memiliki tujuan untuk melakukan contact tracing Covid-19 di Indonesia, jika Peduli Lindungi terintegrasi dengan aplikasi lain seperti e-commerce, fintech, dan aplikasi lain yang tidak memiliki hubungan dengan tracking covid -19, maka tujuan utamanya menjadi kabur” jelas Wahyudi.Integrasi tersebut juga memiliki potensi terhadap eksploitasi data yang dapat mengakibatan terlanggarnya hak-hak dari subyek data. Wahyudi turut mengomentari bahwa Keputusan Menteri Kesehatan Republik Indonesia Nomor Hk.01.07/Menkes/5680/2021 tidak menjelaskan kerangka kerja dan monitoring yang maksimal mengenai risiko pelanggaran yang dapat saja terjadi pada PPA.
“Yang menjadi pertanyaan adalah, apakah Kementerian Kesehatan selalu melakukan monitoring secara teratur mengenai data-data dalam PPA? Apakah BSSN juga sudah melakukan asesmen terhadap PPA?”
Oleh karena itu, Wahyudi berpendapat bahwa perintegrasian hanya dimungkinkan jika aplikasi memiliki tujuan yg sama dengan Peduli Lindungi yaitu sebagai contact tracing penyebaran Covid-19. Tentunya dengan aturan yang jelas, kerangka kerja yang pasti, serta monitoring yang optimal.
Kedua, Teguh Aprianto secara langsung melakukan asesmen dan demonstrasi terhadap PPA dengan mengambil contoh Tokopedia dan Tiket.com untuk menunjukkan proses transfer data yang berlangsung. Hasil demonstrasi menunjukkan bahwa data yang masuk dalam PPA tidak langsung masuk ke Peduli Lindungi, namun akan disimpan terlebih dahulu oleh PPA. Bahkan hasil demonstrasi juga menunjukkan data-data yang masuk tidak terenkripsi sama sekali sehingga ahli dapat melihat jelas nama lengkap user, lokasi, waktu check in dan check out, serta status vaksin. Hal itu, berkebalikan dengan jaminan larangan penyimpanan data dan proses data oleh PPA seperti yang dimuat dalam Keputusan Menkes terkait Tata Cara Kerja Sama.
“Tidak ada jaminan sama sekali data yang ada di PPA tersebut berakhir di Peduli Lindungi yang dikelola oleh Kementerian Kesehatan” jelasnya di muka persidangan. Bahkan tidak terenkripsinya data pengguna, mengakibatkan potensi penyalahgunaan data pribadi semakin besar. Menurut Teguh, kerjasama ini dapat mengakibatkan terjadinya pelanggaran privasi para pengguna dan rawannya penyalahgunaan data untuk kepentingan bisnis. Teguh juga menyatakan bahwa, tidak ada jaminan data-data tersebut dihapus atau tidak dari PPA.
Ketiga, Damar Juniarto juga turut mendemonstrasikan hasil pemeriksaan kerentanan PPA aplikasi Tokopedia dan tiket.com melalui tools exodus. Hasilnya menunjukkan bahwa aplikasi tersebut melakukan berbagai pelacakan terhadap data pengguna. Ia juga menekankan terhadap berbagai riwayat PPA yang memiliki rekam jejak terhadap kebocoran data pengguna. “PPA yang dipilih Kemenkes memiliki potensi terhadap kebocoran data. Seharusnya mengacu pada privacy by design untuk menghindari potensi tersebut kerjasama tidak dilakukan.” pungkas Damar di hadapan para pihak Kemenkes.
Sidang tersebut akan kembali dilanjutkan pada Senin 15 Agustus 2022 dengan agenda mendengarkan keterangan saksi dari pihak lawan.
Narahubung Perhimpunan Bantuan Hukum dan HAM Indonesia: (0895385587159)