Pandemi COVID-19

Menilik Keamanan & Potensi Penyalahgunaan Data di PeduliLindungi

Oleh: Irwan Syambudi - 3 Oktober 2021
Dibaca Normal 2 menit
Teguh Aprianto sebut harusnya data hanya berada dalam lingkungan PeduliLindungi yang dikelola Kemenkes dan Telkom.
tirto.id - Data analitik berupa nama dan rincian perangkat yang digunakan para pengguna aplikasi PeduliLindungi diduga mengalir ke server anak perusahaan Telkom. Namun tak ada penjelasan mengenai penggunaan data analitik tersebut dalam kebijakan privasi PeduliLindungi.

“Berdasarkan penelusuran, data ini dialihkan ke server milik Metranet, anak bisnis Telkom. Jika mengacu pada kebijakan privasi PeduliLindungi, tidak ada penjelasan sama sekali soal ini, jadi kemungkinan data tersebut tidak digunakan untuk kepentingan PeduliLindungi,” kata Pendiri komunitas Ethical Hacker Indonesia, Teguh Aprianto kepada reporter Tirto, Selasa (28/9/2021).

Walaupun Telkom terlibat sebagai pihak yang mengelola aplikasi PeduliLindungi, tetapi Teguh mempertanyakan apa kepentingan data tersebut dikirim langsung ke aset milik Telkom yang lain yang servernya diketahui berada di Singapura. Harusnya menurut dia data tersebut hanya berada dalam lingkungan PeduliLindungi yang dikelola oleh Kemenkes dan Telkom.

Kepala Divisi Keamanan Online Southeast Asia Freedom of Expression Network (SAFEnet) Banimal mendesak agar Telkom memberikan penjelasan terkait dengan temuan yang diungkapkan oleh para praktisi IT. Sebab bila memang benar data pengguna PeduliLindungi mengalir ke server yang tidak berhubungan langsung dengan pengelola aplikasi akan rentan penyalahgunaan.

“Kalau memang diasumsikan seperti itu, karena data PeduliLindungi mondar-mandir ke tempat-tempat lain memang privasi di PeduliLindungi amat sangat diragukan,” kata Banimal kepada reporter Tirto.

Banimal bilang Telkom wajib memberikan penjelasan terkait dengan ke mana saja data pribadi pengguna PeduliLindungi. Sehingga jika kemudian hari terjadi hal yang tidak diinginkan terhadap data pribadi, maka akan diketahui siapa pihak yang akan bertanggung jawab.

Sebab jika menilik pada term of condition di aplikasi PeduliLindungi disebutkan bahwa pengelola tidak bertanggung jawab atas penggunaan data oleh pihak lain. Pada term and condition dinyatakan, ‘Kami tidak bertanggung jawab atas setiap kerugian yang timbul yang diakibatkan karena adanya pelanggaran atau akses tidak sah terhadap PeduliLindungi, termasuk namun tidak terbatas pada hal-hal ataupun fitur yang terdapat dalam PeduliLindungi yang dilakukan oleh Anda dengan cara yang bertentangan dengan Ketentuan ini maupun ketentuan hukum yang berlaku di wilayah Republik Indonesia.’

“Ini kan lepas tangan,” kata Banimal.

Banimal sebelumnya juga mengkritik perihal tiga akses yang diminta dari para pengguna PeduliLindungi yakni meliputi kamera, lokasi, dan storage (ruang penyimpanan). Izin akses terhadap ketiganya yang sangat detail itu menurutnya dapat menimbulkan keraguan terhadap keamanan data pada PeduliLindungi.

Selain itu, Banimal juga meragukan adanya izin lain yang ada di PeduliLindungi. Sejumlah izin yang menurutnya janggal adalah permintaan agar aplikasi dapat memodifikasi dan menghapus konten ruang penyimpanan ponsel, kontrol akses jaringan secara penuh, pencegahan ponsel dari mode hibernate (sleep), dan beberapa permintaan lainnya merupakan hal yang tujuannya patut dipertanyakan.

“Itu aplikasi PeduliLindungi jadi bagaimana buat bisa kita percaya. Saya merasa tidak dilindungi di situ,” katanya.


Respons Pemerintah

Chief Digital Transformation Office Kementerian Kesehatan (Kemenkes) Setiaji mengatakan pihaknya tak menutup mata terkait adanya kritik mengenai perlindungan data pribadi khususnya yang ada dalam term of condition.

“Hal lain seperti term and condition itu sudah kami rumuskan. Pertama ada isu perlindungan data pribadi dan penyediaan layanan,” kata dia dalam sebuah diskusi dariang pada 24 September 2021.

Terkait dengan sejumlah data pribadi yang diminta dari para pengguna PeduliLindungi, kata Setiaji akan dijaga keamanannya. Data tersebut tidak akan disimpan lebih dari satu bulan.

“Jadi tidak kami simpan selamanya. Setelah satu bulan kita hapus data yang sifat pribadinya karena setelah satu bulan buat apa kami tracing lagi karena sudah lewat juga. Itu kami hapus sehingga data-data pribadi bapak ibu sekalian aman karena yang akan kita simpan itu hanya rekapnya saja,” kata Setiaji.

Data dan pengembangan aplikasi, kata Setiaji, telah difasilitasi Kementerian Komunikasi dan Informatika di pusat data nasional. Sementara terkait keamanan data telah dibantu oleh Badan Siber dan Sandi Negara (BSSN).

Sementara itu, Ketua Satgas Sistem Informasi Datu Data untuk COVID-19 Telkom Joddy Hernady dalam kesempatan yang sama mengatakan bahwa memang desain terbaru dan perubahan term and condition akan segera dirilis di Play Store pada akhir September 2021.

“Desain terbaru termasuk ada perubahan term and condition rencana akan masukkan Play Store minggu depan. Jadi kita sudah hampir 3 minggu yang lalu kita redesain. Dan kita juga mengambil masukan dari berbagai komunitas,” kata Joddy.

Ia menyebut sejumlah perubahan pada aplikasi PeduliLindungi versi terbaru nantinya adalah sudah tidak lagi mengharuskan GPS hidup 24 jam non stop. Dalam versi terbaru hal itu akan dihilangkan. Sebab penggunaan GPS 24 jam itu sebelumnya menyesuaikan kondisi di saat ada kebutuhan cepat melakukan tracing saat kasus COVID-19 meningkat beberapa lalu. Sedangkan saat ini dengan adanya sistem QR Code maka GPS dapat tergantikan sebagai tracing.


Baca juga artikel terkait DATA PRIBADI atau tulisan menarik lainnya Irwan Syambudi
(tirto.id - Sosial Budaya)

Reporter: Irwan Syambudi
Penulis: Irwan Syambudi
Editor: Abdul Aziz
DarkLight