Jakarta, 22 Agustus 2022 – Majelis Hakim PTUN Jakarta kembali menggelar Sidang Gugatan PBHI terhadap Kemenkes RI terkait Keputusan Menteri Kesehatan Nomor Hk.01.07/MENKES/5680/2021 tentang Pedoman Kerjasama Penggunaan QR Code Pedulilindungi Dalam Rangka Penanggulangan Pandemi Coronavirus Disease 2019 (COVID-19).
Kemenkes RI selaku Tergugat menghadirkan 1 Ahli yaitu Pratama Dahlian Persada (Ketua Lembaga Riset Keamanan Siber dan Komunikasi CISSReC) dan 2 Saksi yakni M. Abdurrahman Pratama (Junior Developer Divisi Digital Business dan Teknologi di PT Telkom) dan Dedi Hermansyah (Chief Information Security Officer di PT Telkom.).
Hasil pemeriksaan Saksi dan Ahli dari Kemenkes RI mengungkap fakta persidangan yang mendukung Gugatan PBHI, di antaranya:
Pertama, Pratama Dahlian Persada mendefinisikan PeduliLinungi adalah suatu sistem kerjasama antara Kemenkes RI, Kemenkominfo RI dan PT Telkom, untuk tracking dan tracing penerima vaksin serta riwayat COVID-19, untuk pendataan. Sehingga butuh kerjasama dengan Penyedia Platform Aplikasi (PPA) layanan PeduliLindungi.
Namun Ahli, Pratama Dahlian, tidak mampu menjawab permasalahan terkait proses asesmen terhadap PPA layanan Pedulilindungi dan menguatkan dalil Gugatan PBHI bahwa tidak ada jaminan PPA layanan Pedulilindungi tidak mengumpulkan dan menyimpan data pribadi pengguna QR Code PeduliLindungi di PPA.
Padahal, jelas dan terang, Ahli PBHI, Teguh Aprianto telah mendemonstrasikan dalam fakta persidangan bahwa PPA mengumpulkan dan menyimpan data pengguna QR Code di PPA layanan Pedulilindungi.
Kedua, Ahli Kemenkes RI, Pratama Dahlia menyatakan bahwa seluruh data pengguna akan terenkripsi menjadi sebuah token berupa warna untuk kemudian dikirim ke PPA layanan Pedulilindungi. Sehingga PPA tidak mengetahui isi token tersebut dan data pengguna semestinya aman. Keterangan Pratama, kembali tidak dapat dibuktikan di hadapan persidangan. Padahal, Ahli PBHI, Teguh Aprianto mendemonstrasikan di hadapan persidangan bahwa response data pengguna PPA layanan Pedulilindungi dapat dibaca secara terbuka dan tidak terenkripsi.
Ketiga, Ahli Kemenkes RI juga tidak membantah bahwa aplikasi PPA tersemat tracker di dalamnya. Beliau menambahkan bahwa hampir semua aplikasi saat ini menggunakan tracker. Tracker atau pelacak ini merupakan suatu program yang disematkan kedalam aplikasi oleh pengelola yang berguna untuk membaca perilaku pengguna aplikasi. Beliau menyebutkan bahwa fungsi tracker ini hanya sebatas untuk alat pembaca perilaku pengguna yang nantinya akan meningkatkan kenyamanan pengguna dalam menggunakan aplikasi dan bukan untuk melacak informasi pribadi pengguna.
Hal tersebut dibantah secara tegas oleh kuasa hukum PBHI sebab penyematan tracker merupakan hal yang keliru. Terdapat tracker yang tidak hanya membaca perilaku pengguna, tetapi juga dapat mengakses informasi pengguna lebih jauh dan ini berbahaya bagi privasi, misalnya, tracker bernama Braze. Dalam kebijakan privasinya, Braze dapat mengambil data Personally Identifiable Information (PII) atau informasi apa pun yang terkait dengan individu tertentu.
Saksi Pertama, M. Abdurrahman Pratama, menerangkan bahwa PT Telkom hanya mengerjakan perintah Kemenkes RI, berdasarkan kebutuhan Kemenkes RI. Jika demikian, maka dalil PBHI benar, tidak ada urgensi pembentukan kebijakan kerjasama PeduliLindungi dengan PPA.
Saksi Pertama Kemenkes RI juga gagal membuktikan adanya audit terhadap PPA layanan PeduliLindungi oleh Badan Siber dan Sandi Negara (BSSN), dan semakin ditegaskan dengan tidak adanya alat bukti Audit BSSN dari Kemenkes RI.
Lebih jauh, Saksi Kedua Kemenkes RI, Dedi Hermansyah, tidak dapat menjelaskan hasil pemantauan berkala terhadap keamanan PPA dan jaminan keamanan data oleh PPA. Sehingga jelas dan terang, bahwa dalil Gugatan PBHI terkait adanya kerentanan dan kebocoran data pengguna PPA layanan PeduliLindungi, justru diakui oleh Saksi Kemenkes RI.
Narahubung: Perhimpunan Bantuan Hukum dan HAM Indonesia (PBHI)