Perhimpunan Bantuan Hukum dan HAM Indonesia (PBHI) menggugat Pemerintah Republik Indonesia c/q Kementerian Kesehatan ke Pengadilan Tata Usaha Negara sebagai upaya melindungi data pribadi warga negara. Penggugat melayangkan gugatan terhadap Surat Keputusan Menteri Kesehatan Nomor Hk.01.07/MENKES/5680/2021 tentang Pedoman Kerja Sama Penggunaan QR Code Pedulilindungi Dalam Rangka Penanggulangan Pandemi Corona Virus Disease 2019 (COVID-19). PBHI menilai keputusan tersebut melanggar Pasal 28G ayat (1) UUD 1945. Konstitusi menjamin hak setiap orang atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.
Sidang gugatan ini sudah berlangsung beberapa kali. Dalam sidang terbaru, penggugat tiga orang ahli: Wahyudi Djafar selaku pegiat perlindungan data pribadi, Teguh Aprianto konsultan keamanan siber, dan Damar Juniarto selaku pegiat keamanan digital. Para ahli yang dihadirkan berdasarkan keahliannya memberikan keterangan dan argumentasi berkaitan dengan model kerjasama antara Kementerian Kesehatan dan Penyedia Platform Aplikasi (PPA) serta asesmen terhadap model pemrosesan dan perlindungan data dalam PPA.
Dalam keterangannya, Wahyudi Djafar menjelaskan ada beberapa prasyarat untuk mengembangkan aplikasi pemerintah berdasarkan pada Permenkominfo 20/2016 mengenai ketentuan kerjasama dan juga syarat & ketentuan subjek data. Salah satunya, pengembang aplikasi harus memperhatikan dan melindungi hak pemilik data (warga negara). Menurutnya, integrasi aplikasi Peduli Lindungi dengan PPA belum memiliki alasan yang jelas karena masing-masing platform yang terintegrasi memiliki fungsi dan tujuan yang berbeda sehingga rawan terhadap penyalahgunaan data.
“Aplikasi Peduli Lindungi pada dasarnya memiliki tujuan untuk melakukan contact tracing Covid-19 di Indonesia, jika Peduli Lindungi terintegrasi dengan aplikasi lain seperti e-commerce, fintech, dan aplikasi lain yang tidak memiliki hubungan dengan tracking Covid-19, maka tujuan utamanya menjadi kabur” jelas Wahyudi.
Integrasi tersebut juga memiliki potensi terhadap eksploitasi data yang dapat mengakibatan terlanggarnya hak-hak dari subyek data. Wahyudi menilai SK Menteri Kesehatan objek gugatan a quo tidak menjelaskan kerangka kerja dan monitoring yang maksimal mengenai risiko pelanggaran yang dapat saja terjadi pada PPA. “Yang menjadi pertanyaan adalah, apakah Kementerian Kesehatan selalu melakukan monitoring secara teratur mengenai data-data dalam PPA? Apakah BSSN juga sudah melakukan asesmen terhadap PPA?” ujarnya.
Oleh karena itu, Wahyudi berpendapat bahwa perintegrasian hanya dimungkinkan jika aplikasi memiliki tujuan yang sama dengan Peduli Lindungi yaitu sebagai contact tracing penyebaran Covid-19. Tentunya dengan aturan yang jelas, kerangka kerja yang pasti, serta monitoring yang optimal.
Teguh Aprianto secara langsung melakukan asesmen dan demonstrasi terhadap PPA dengan mengambil contoh Tokopedia dan Tiket.com untuk menunjukkan proses transfer data yang berlangsung. Hasil demonstrasi menunjukkan bahwa data yang masuk dalam PPA tidak langsung masuk ke Peduli Lindungi, namun akan disimpan terlebih dahulu oleh PPA. Bahkan hasil demonstrasi juga menunjukkan data-data yang masuk tidak terenkripsi sama sekali sehingga ahli dapat melihat jelas nama lengkap user, lokasi, waktu check in dan check out, serta status vaksin. Hal itu, berkebalikan dengan jaminan larangan penyimpanan data dan proses data oleh PPA seperti yang dimuat dalam Keputusan Menkes terkait Tata Cara Kerja Sama. “Tidak ada jaminan sama sekali data yang ada di PPA tersebut berakhir di Peduli Lindungi yang dikelola oleh Kementerian Kesehatan” jelasnya di muka persidangan.
Bahkan tidak terenkripsinya data pengguna, mengakibatkan potensi penyalahgunaan data pribadi semakin besar. Menurut Teguh, kerjasama ini dapat mengakibatkan terjadinya pelanggaran privasi para pengguna dan rawannya penyalahgunaan data untuk kepentingan bisnis. Teguh juga menyatakan bahwa, tidak ada jaminan data-data tersebut dihapus atau tidak dari PPA.
Dalam keterangannya, Damar Juniarto juga mendemonstrasikan hasil pemeriksaan kerentanan PPA aplikasi Tokopedia dan tiket.com melalui tools exodus. Hasilnya menunjukkan bahwa aplikasi tersebut melakukan berbagai pelacakan terhadap data pengguna. Ia juga menekankan terhadap berbagai riwayat PPA yang memiliki rekam jejak terhadap kebocoran data pengguna. “PPA yang dipilih Kemenkes memiliki potensi terhadap kebocoran data. Seharusnya mengacu pada privacy by design untuk menghindari potensi tersebut kerjasama tidak dilakukan.” pungkas Damar di hadapan persidangan..
Di tengah proses persidangan gugatan ini, Kementerian Kesehatan merilis bahwa aplikasi PeduliLindungi berhasil meraih Top Inovasi Pelayanan Publik Terpuji 2022 pada Kompetisi Inovasi Pelayanan Publik yang diselenggarakan Kementerian Pendayagunaan Aparatur Negara dan Reformasi Birokrasi.