Cyberthreat.id – Lembagas Studi dan Advokasi Masyarakat (Elsam) menilai dua aplikasi contact tracing (pelacakan kontak) milik pemerintah Indonesia melanggar prinsip perlindungan data pribadi.

Peneliti Elsam, Alia Yofira Karunian mengatakan, berdasarkan studi lembaganya,  aplikasi PeduliLindungi yang dikembangkan oleh Kementerian Komunikasi dan Informatika (Kominfo) dan aplikasi e-Hac  (Indonesia Health Alert Card) yang dikembangkan oleh Kementerian Kesehatan (Kemkes) melanggar prinsip minimalisasi data dan prinsip akses penyimpanan data.

Menurut Alia, aplikasi PeduliLindungi awalnya dibuat untuk penelusuran kontak Covid-19. Namun seiring berjalannya waktu, aplikasi ini mengumpulkan lebih banyak data di luar dari yang dibutuhkan untuk penelusuran kontak.

Alia mencontohkan, aplikasi ini meminta akses data lokasi secara real time. Dengan kata lain, aplikasi ini terus mengetahui di mana lokasi pengguna berada meskipun aplikasi tidak dibuka. Kemudian permintaan data-data lainnya seperti NIK KTP, dan juga data lainnya.

Fakta itu, kata Alia, merupakan pelanggaran terhadap hak privasi secara umum dan prinsip minimalisasi data yang merupakan jantung perlindungan data pribadi pengguna aplikasi tersebut sebagai subyek data.

“Padahal, jika melihat di negara lain, data yang dikumpulkan untuk contact tracing cukup hanya nama dan nomor telfon karena memang tujuan awalnya untuk menghubungi orang tersebut ketika dia melakukan kontak erat dengan pasien Covid-19,” kata Alia dalam "Diskusi Publik Memastikan Pelindungan Privasi dalam Tata Kelola Data Kesehatan" yang diselenggarakan pada Senin (29 Maret 2021).

Alia menambahkan, aplikasi PeduliLindungi juga melanggar prinsip akses penyimpanan data, di mana tidak ada pembatasan akses penyimpanan data. Seperti yang diketahui, aplikasi PeduliLindungi ini menggunakan pendekatan penyimpanan data sentralisasi maupun desentralisasi di masing-masing perangkat pengguna. Padahal, kata Alia, datanya cukup disimpan di ponsel seseorang yang menginstal aplikasi itu.

“Jadi sebenarnya Kominfo tidak perlu mengetahui semua data pengguna aplikasi PeduliLindungi meskipun belum kontak erat dengan pasien covid 19,” ujarnya.

Dalam pemaparannya, Alia juga menyinggung soal bagaimana transparansi data yang dikumpulkan oleh PeduliLindungi. Mengutip laporan CitizenLab, lembaga di bawah Universitas Toronto Kanada, Alia mangatakan data yang dikumpulkan PeduliLindungi tidak hanya dikirim ke endpoint, tetapi juga ke analytic endpoint yang dikelola PT Telkom Indonesia. (Lihat: Bisa Cek Penerima Vaksin, Citizen Lab Ungkap Aplikasi PeduliLindungi Terlalu Banyak Minta Akses Data Berisiko)

"Sehingga sangat penting untuk melihat peran PT Telkom Indonesia dalam pengumpulan pengelolaan data aplikasi tersebut, dan harus dipastikan data yang dikumpulkan hanya untuk kepentingan contact tracing, dan tidak digunakan untuk kepentingan lainnya misal penargetan iklan," ujarnya. (Baca juga: Kominfo dan Telkom Diminta Transparan Soal Data Pengguna PeduliLindungi)

Catatan Cyberthreat.id, setelah temuan Citizen Lab mencuat, Juru Bicara Kominfo Dedy Permadi mengatakan pemerintah menjamin data pengguna aplikasi PeduliLindungi tidak dibagikan ke pihak mana pun.

Dedy bilang, PeduliLindungi didesain mengakses geolokasi telepon seluler pengguna karena untuk memberikan informasi terkait pelacakan kontak orang yang terkena Covid-19. Fitur informasi lokasi, menurut dia, bermanfaat bagi pengguna untuk waspada dan menghindari saat berada di lokasi yang rawan Covid-19.  Dedy juga mengatakan, pemerintah tidak akan menggunakan data dan informasi untuk keperluan komersial dan perlakukan aplikasi terhadap data sensitif. (Liihat: Terkait Aplikasi PeduliLindungi, Kominfo Jamin Data Pengguna Tak Dibagikan ke Pihak Ketiga).

Sementara itu, untuk aplikasi e-Hac (Indonesia Health Alert Card) milik Kemkes yang mirip dengan PeduliLindungi, Alia mengatakan Kemkes sebagai pemilik aplikasi ini harus dapat membuktikan bahwa data yang dikumpulkan selaras dan tersinkron.

“Perlu diklarifikasi bagaimana letak perbedaan pemrosesan kedua aplikasi. Jadi tidak keduanya mengumpulkan data yang sama dan tujuan yang sama, harus ada kesepahaman bersama mengenai perlindungan data pribadi,” tambahnya.

Alia juga menyoroti kebijakan privasi pada e-Hac, yang belum secara jelas mengatur tentang kemungkinan tranfer data ke pihak ketiga, bagaimana data dikumpulkan, apakah secara terpusat atau secara lokal di ponsel pengguna, dan bagaimana dengan retensi penyimpanan data, apakah setelah pandemi ini akan dihapus atau tidak. Hal–hal tersebut, kata dia, harus dimuat dalam kebijakan privasi aplikasi tersebut.

“Jadi kalau ada kebocoran data atau insiden terkait data kesehatan tersebut, subjek data bisa meminta penghapusan data dan juga ganti rugi. Ini yang harus diakomodir dalam tata Kelola data kesehatan dan penangan covid 19 di Indonesia.”[]

Editor: Yuswardi A. Suud