Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar melihat PeduliLindungi telah bertransformasi menjadi platform sapu jagad. "Mulai dari pendaftaran vaksinasi, penerbitan sertifikat vaksin (vaccine passport), eHAC untuk syarat perjalanan, integrasi dengan bukti tes Covid-19, serta barcode scan untuk mendeteksi lokasi, sebagai prasyarat memasuki area publik," ujarnya dalam pesan singkat, Selasa (28/9).
ELSAM melihat PeduliLindungi masih perlu perbaikan. "Kasus pengaksesan secara ilegal akun PeduliLindungi Presiden Joko Widodo, yang berhasil mendapatkan salinan sertifikat vaksin presiden, menunjukkan kerentanan pada sisi ini," katanya.
Belum lagi problem ketidakakuratan data seperti kesalahan nama, tanggal lahir, NIK, informasi vaksin, dan sebagainya. Sementara pengguna tidak memiliki akses untuk memperbaiki data-data tersebut, sebagai implementasi dari hak untuk memperbaiki (rectification) dari subjek data.
PeduliLindungi juga tidak memberikan informasi mengenai berapa lama data pribadi pengguna disimpan. Sebagai implementasi dari prinsip keterbatasan penyimpanan, yang terkait dengan masa retensi data. "Apakah ketika pengguna menghapus (unistall) aplikasi, secara otomatis juga data-data pribadinya akan dihapus secara permanen?," kata dia.
Pertanyaan lebih kompleks muncul ketika temuan terbaru mengungkapkan bahwa PeduliLindungi mengirimkan data pengguna ke server dengan domain http://analytic.rocks, yang dimiliki oleh PT Telekomunikasi Indonesia, Tbk. (Telkom). Ia pun mempertanyakan, apakah pengiriman data tersebut, termasuk juga koneksi API lintas platform memungkinkan pihak ketiga untuk menyimpan data-data PeduliLindungi.
"Berapa lama akan disimpan, untuk tujuan, serta dasar hukum apa yang digunakan untuk memproses? Lalu besar dan luasnya data, termasuk data real time (lokasi) yang diproses oleh aplikasi PeduliLindungi mengharuskan pengendali data untuk menerapkan prinsip integritas dan kerahasiaan secara ketat," tegasnya.
Prinsip ini, lanjutnya, menghendaki penerapan sistem keamanan yang kuat dalam pemrosesan data pribadi, untuk memastikan kerahasiaan, integritas dan ketersediaan data yang diproses. Selain pemrosesannya harus dilakukan secara pseudonimitas, juga mesti dipastikan penerapan standar keamanan yang kuat.
"Pertanyaannya, apakah semua standar yang diatur dalam Perpres No. 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik, dan Peraturan BSSN No. 4/2021 yang menjadi rujukan teknis Perpres tersebut, sudah diterapkan?" ujarnya lagi. Dengan sejumlah catatan permasalahan tersebut di atas, menjadi sulit untuk menarik kesimpulan bahwa penggunaan aplikasi PeduliLindungi telah dilakukan secara akuntabel, yang menghendaki bahwa seluruh prinsip perlindungan data pribadi dipatuhi. Oleh karenanya penting bagi pemerintah yakniKementerian Komunikasi dan Informatika, sebagai pengendali data dalam penggunaan aplikasi.
PeduliLindungi, sekaligus sebagai otoritas dalam perlindungan data mengacu pada undang-undang yang berlaku saat ini (UU ITE), untuk memastikan adanya audit menyeluruh terhadap aplikasi PeduliLindungi untuk menjamin kepatuhannya pada prinsip-prinsip pelindungan data pribadi, sekaligus penerapan kewajiban pengendali data. "Seperti kewajiban penerapan privacy by design, privacy by default," ujarnya.
ELSAM meminta emerintah harus mengevaluasi kebijakan privasi serta syarat dan ketentuan layanan aplikasi PeduliLindungi. DPR juga harus mengoptimalkan fungsi pengawasannya, terutama pada penggunaan aplikasi PeduliLindungi, dengan pemerintah sebagai pengendali datanya, untuk menjamin perlindungan hak. "DPR dan Pemerintah juga perlu mengakselerasi proses pembahasan RUU Pelindungan Data Pribadi, dengan menghandirkan otoritas pengawas yang independen, guna menghindari risiko overlapping dalam perlindungan data pribadi, seperti yang terjadi hari ini," tegasnya.
Pemerintah juga akan terus memperluas penggunaan PeduliLindungi, Juru Bicara Pemerintah untuk Penanganan Covid-19 Wiku Adisasmito mengungkap penggunaan aplikasi PeduliLindungi akan diujicoba di pasar rakyat. "Ujicoba PeduliLindungi akan dilaksanakan di enam pasar rakyat yakni Pasar Mayestik di Jakarta, Pasar Blok M Jakarta, Pasar Baltos di Bandung, Pasar Modern BSD di Tangerang Selatan, pasar modern 8 Alam Sutera di Tangerang, dan pasar Wonodri di Semarang," ujar Wiku dalam konferensi pers secara daring, Selasa (28/9).
Ia mengatakan, penerapan aplikasi PeduliLindungi di pasar tradisional merupakan bagian dari komitmen Pemerintah untuk merealisasikan hidup produktif dan aman Covid-19 Indonesia. Saat ini, Indonesia berupaya terus mempertahankan penanganan pandemi Covid-19 menuju masa endemi.
Karena itu, untuk mengendalikan kasus Covid-19, Pemerintah memberlakukan penerapan aplikasi PeduliLindungi ke berbagai sektor layanan publik. "Penerapan aplikasi Pedulilindungi di pasar tradisional merupakan bagian dari komitmen Pemerintah untuk merealisasikan hidup produktif dan aman Covid-19 di Indonesia," kata Wiku.