tirto.id - Masih terhitung jari semenjak platform SatuSehat besutan Kementerian Kesehatan RI dirilis, suara miring mulai berdatangan. Wakil Ketua Komisi IX DPR RI Kurniasih Mufidayati salah satunya, ia menyoroti kerentanan data kesehatan pribadi milik pengguna platform SatuSehat.
Seperti diketahui, patform yang menggantikan peran PeduliLindungi ini, resmi dirilis pada 1 Maret 2023. Aplikasi super ini digadang-gadang Kemenkes mampu membawa banyak fitur bermanfaat bagi penggunanya. Di antaranya, fitur andalan berupa ‘diari kesehatan’ dan rekam medis elektronik (RME) yang direncanakan terintegrasi dengan berbagai rumah sakit, puskesmas, apotek dan fasilitas layanan kesehatan lainnya.
Fitur inilah yang justru dikhawatirkan oleh Kurniasih rentan mengalami penyalahgunaan data. Ia menilai rekam medis milik pengguna termasuk hak asasi individu yang tidak boleh sembarangan diakses pihak ketiga.
"Bagaimanapun hanya pasien yang berhak menerima informasi rekam medis miliknya dan itu termasuk hak asasi. Ketika semua disatukan dalam satu platform SatuSehat justru ada kekhawatiran kerentanan data lebih tinggi," kata Kurniasih dalam keterangan tertulis, Kamis (2/3/2023).
Anggota DPR RI Dapil DKI Jakarta II ini mengingatkan data rekam medis pasien bersifat rahasia sebagaimana diatur dalam UU Praktik Kedokteran dan UU tentang Rumah Sakit serta Permenkes 269/MENKES/PER/III/2008 tentang Rekam Medis. Ia menilai perlu ada pembahasan soal tujuan dan target dari platform anyar ini. Terlebih, Kurniasih menyinggung soal riwayat aplikasi pendahulunya –PeduliLindungi, yang disebut sempat pula mengalami kebocoran data.
"Kita ingat PeduliLindungi pernah bocor dan jika kini memuat data yang masuk kategori privat dan rahasia tentu catatannya lebih besar lagi, apalagi ini data ratusan juta penduduk Indonesia, jangan sampai menimbulkan kekisruhan dan ketidakpercayaan masyarakat nantinya,” kata dia.
Tak Boleh Senasib dengan PeduliLindungi*
Kurniasih tak sendiri, sebelumnya kritik soal kerentanan perlindungan data pribadi pengguna aplikasi besutan Kemenkes RI pernah dilayangkan oleh Perhimpunan Bantuan Hukum dan Hak Asasi Manusia Indonesia (PBHI). Perhimpunan ini menggugat Kementerian Kesehatan RI di Pengadilan Tata Usaha Negara Jakarta (PTUN) pada tahun lalu.
Objek gugatan dengan Nomor Perkara : 102/G/2022/PTUN.JKT ini adalah Keputusan Kementerian Kesehatan Nomor Hk.01.07/Menkes/5680/2021 Tentang Pedoman KerjaSama Penggunaan QR Code Pedulilindungi Dalam Rangka Penanggulangan Pandemi Corona Virus Disease 2019 (COVID-19) yang dinilai melanggar sejumlah ketentuan peraturan perundang-undangan terkhusus mencoreng hak privasi masyarakat.
PBHI menyoroti kebijakan kerjasama dengan pihak swasta dalam skema QR Code aplikasi PeduliLindungi dengan Penyedia Platform Aplikasi (PPA) swasta, kebijakan ini dinilai melanggar hak privasi masyarakat terkait data pribadi yang seharusnya dilindungi oleh Negara.
PBHI juga menyebut Kemenkes telah membuka ruang pemanfaatan data-data pribadi yang dikategorikan sebagai personal health records (data vaksinasi dan hasil tes Antigen-PCR) yang diteruskan kepada pihak swasta. Sedangkan, menurut ketentuan Pasal 47 Undang-Undang Nomor 29 tahun 2004 tentang Praktik Kedokteran, hanya dokter maupun Pimpinan Sarana Kesehatan yang dapat mengakses data tersebut dan wajib menjaga kerahasiannya.
PBHI menyatakan hal ini lahir akibat tak dilibatkannya partisipasi publik dan nihilnya sistem pengawasan independen dalam keseluruhan proses pelaksanaan kebijakan. Keputusan Kemenkes tersebut dinilai membuka peluang besar praktik penyalahgunaan data oleh seluruh pemangku kepentingan yang terlibat. Namun, gugatan PBHI ini berakhir ditolak oleh pengadilan.
Saat ini, belum jelas betul apakah platform SatuSehat masih menggunakan skema kebijakan yang serupa terkait kerjasama dengan Penyedia Platform Aplikasi (PPA) swasta. Jika masih menggunakan kebijakan yang sama seperti PeduliLindungi sebelumnya, tentu tak mengherankan jika banyak pihak yang kalang kabut karena takut rekam medis individunya bocor atau disalahgunakan oleh pihak swasta.
Jika kebijakan serupa masih dipertahankan dan tidak dikaji ulang, tentu sama halnya mengganti sampul dengan lembar yang sama. Terlebih, platform SatuSehat menyimpan data privasi masyarakat yang lebih lengkap dan mencakup fitur yang mampu melakukan pengukuran tubuh (tinggi dan berat badan), tekanan darah, gula darah dan detak jantung. Ditambah, data dalam bentuk rekam medis elektronik yang terintegrasi antar rumah sakit, puskesmas, apotek dan layanan fasilitas kesehatan lainnya.
Staf Ahli Teknologi Kesehatan sekaligus Chief Digital Transformation Office (DTO) Kemekes RI, Setiaji, mengklaim dibanding PeduliLindungi, platform SatuSehat telah meningkatkan aspek keamanan data pribadi penggunanya. Ia juga menegaskan SatuSehat akan mematuhi UU Perlindungan Data Pribadi (PDP) yang baru disahkan oleh Presiden Joko Widodo, pada tahun lalu.
“Satusehat patuh dan tunduk terhadap UU PDP dalam menjaga keamanan data pribadi dan privasi,” kata Setiaji dihubungi Tirto, Jumat (3/3).
Ia juga menjelaskan bahwa fitur rekam medis elektronik (RME) yang dimiliki SatuSehat, akan meminta konsen persetujuan pengguna untuk akses pertukaran data antar fasyankes.
“Masking dan enkripsi data dilakukan untuk menjaga keamanan data pengguna SATUSEHAT Mobile. Selain itu, terkait fitur RME, konsen pengguna juga akan diminta untuk akses pertukaran data antar fasyankes sehingga data resume rekam medis hanya dapat diakses oleh pihak berkepentingan saja atas izin pemilik data (pasien),” tambahnya.
Namun, Setiaji tidak merinci siapa pihak berkepentingan yang disebutnya memiliki izin akses pada data-data pasien tersebut. Ia juga belum menjawab pertanyaan Tirto soal kebijakan platform SatuSehat dalam melakukan kerjasama dengan pihak swasta, apakah masih menggunakan kebijakan yang sama dengan PeduliLindungi atau akan membentuk kebijakan baru.
“Kebijakan kami adalah data privasi hanya bisa diakses setelah pengguna memberikan persetujuan,” tegas Setiaji.
Sementara itu, Menteri Kesehatan RI Budi Gunadi Sadikin menyatakan masyarakat tak perlu khawatir soal keamanan data pribadi pada platform SatuSehat. Tentang kerahasian data pengguna SatuSehat, Budi mengharapkan aplikasi super tersebut bekerja layaknya pertukaran data antar Bank.
"Pernah tarik ATM pake bank lain enggak? Nah pada saat kita tarik ATM bank pake lain, tahu enggak kalo bahwa datanya itu muter-muter ke bank lain? Kan itu enggak takut kan kalau hilang. Nah saya pengen ini (SatuSehat) datanya minimal seperti data perbankan aja," kata Budi ditemui di RSCM Jakarta, Jumat (3/3).
Budi menjelaskan bahwa pertukaran data antar bank sudah memiliki sistem keamanan yang mumpuni untuk melindungi privasi penggunanya. Ia memproyeksikan sistem keamanan SatuSehat mampu bekerja semacam itu.
"Jadi don't worry, keamanan data itu secara internasional, di perbankan sudah ada, di event sudah ada, tinggal bagaimana caranya kita punya standar yg bagus. Nah itu yg kita pastikan keamanannya," sambungnya.
Negara Tak Boleh Teledor
Pakar keamanan siber dari Communication and Informatian System Security Research Center (CISSReC), Pratama Persadha, mengatakan risiko penyalahgunaan platform SatuSehat akan selalu ada.
“Risiko itu selalu ada, baik pertukaran online lewat aplikasi dan sistem kesehatan lainnya maupun pertukaran lewat offline berkas di faskes dan RS,” katanya dalam keterangan tertulis, Jumat (3/3).
Ia menegaskan, penyalahgunaan data pribadi khususnya data kesehatan jelas sangat mungkin. Terlebih menurutnya, data yang ada bukan tidak mungkin juga bocor dan justru dimanfaatkan sebagai kegiatan komersial.
”Bahkan nanti mungkin kebocoran data kesehatan kita akan dimanfaatkan oleh berbagai pihak salah satunya mungkin marketing asuransi kesehatan. Saat seseorang diketahui mengidap satu penyakit maka akan datang tawaran asuransi, juga obat-obatan dari berbagai pihak. Ini di negara lain bila ada yang melakukan hal semacam ini masuk ke pelanggaran data pribadi," sambung Ketua Lembaga Riset Keamanan Siber dan Komunikasi CISSReC ini.
Memanfaatkan data kesehatan orang lain tanpa izin yang sah atau melanggar privasi seseorang, bisa dianggap sebagai pelanggaran UU PDP (Undang-Undang Perlindungan Data Pribadi). Pasal yang terkait dengan pelanggaran ini tercantum pada Pasal 32 ayat (1) dan Pasal 33 ayat (1) UU PDP.
Pasal 32 ayat (1) UU PDP menyebutkan bahwa setiap orang yang memproses data pribadi harus memperoleh izin terlebih dahulu dari pemilik data pribadi tersebut. Sementara itu, Pasal 33 ayat (1) UU PDP menjelaskan bahwa setiap orang yang memproses data pribadi harus menjaga kerahasiaan data tersebut dan tidak boleh memberikan data tersebut kepada pihak ketiga tanpa izin dari pemilik data.
”Dengan demikian, jika seseorang memanfaatkan data kesehatan orang lain tanpa izin yang sah atau melanggar privasi mereka, maka dapat dianggap sebagai pelanggaran Pasal 32 ayat (1) dan Pasal 33 ayat (1) UU PD,” kata Pratama.
Pratama berpesan, agar Kemenkes bisa bijak dalam melindungi data pribadi pengguna. Ia juga meminta pengelola aplikasi mematiskan data pengguna dienkripsi ketika dikirimkan melalui jaringan internet dan disimpan pada server aplikasi. Selain itu, harus dipastikan platform SatuSehat menggunakan sertifikat SSL (Secure Sockets Layer) untuk mengamankan koneksi antara aplikasi dan server.
”Yang paling penting juga adalah secara berkala dilakukan penetration test dan security assesement agar diketahui mana saja lubang keamanan yang muncul," pungkasnya.
Penulis: Haris Prabowo & Haris Prabowo
Editor: Restu Diantina Putri