Baru-baru ini, kami berhasil menghentikan sebuah sistem Kemenkes yang absurd dan sangat merugikan, yang membocorkan data pribadi dari semua pengguna. Sebelum menjelaskan detailnya, mari kita tinjau sejarah beberapa kebocoran data pribadi yang disebabkan oleh ketidakmampuan divisi IT Kemenkes.
Sejarah Kebocoran Data Pribadi oleh Kemenkes:
- Rekam medis dan data pribadi dari 6 juta pasien bocor (Artikel Kompas: Data 6 Juta Pasien di Server Kemenkes Diduga Bocor dan Dijual di Internet)
- 1,3 juta data pribadi dari aplikasi Covid eHAC bocor (Artikel BBC Indonesia: Data eHAC milik 1,3 juta penggunanya dilaporkan bocor, ‘keamanan data tidak prioritas’)
- Semua data dari semua pengguna PeduliLindungi bocor (Artikel Kompas: Data PeduliLindungi Bocor, Pemerintah Diminta Tak Saling Lempar Tanggung Jawab)
- Semua data BPJS, termasuk data pribadi 279 juta orang, bocor (Artikel CNN Indonesia: Rentetan Kasus Dugaan Kebocoran Data Kesehatan Pemerintah )
Kasus Terbaru – Sistem PPID Kemenkes
Kasus terbaru yang kami temukan, dan berhasil dihentikan, menunjukkan ketidakmampuan dan sikap lengah Kemenkes terhadap perlindungan data pribadi dan keamanan siber. Berbeda dengan kasus sebelumnya di mana data di-hack atau dicuri oleh orang dalam Kemenkes, dalam kasus baru ini yang melibatkan portal informasi publik PPID Kemenkes (ppid.kemkes.go.id), sistemnya sendiri didesain dengan tingkat kebodohan dan ketidakmampuan yang belum pernah terjadi sebelumnya. Setiap pengguna dalam sistem memiliki akses ke data pribadi dari semua pengguna lain, termasuk nama, alamat, nomor telepon, email, NIK, NPWP, dan rincian informasi yang diminta.
Kronologi Peristiwa:
- Pada Minggu, 25 Februari 2024, Ketua Yayasan Advokasi Hak Konstitusional (YAKIN) Ted Hilbert membuat akun di PPID Kemenkes untuk mengajukan permohonan keterbukaan informasi publik (KIP).
- Ted menyadari bahwa pada Dasbor utama akunnya, terlihat daftar semua permohonan informasi lain, dan dengan mengklik detail permohonan informasi apa pun, rincian lengkap, termasuk data pribadi pemohon, ditampilkan. Contoh:
(Data pribadi dalam contoh/gambar di atas disensor oleh kami)
- Sekitar pukul 23.00 WIB, Ted memposting temuannya di LinkedIn, mengejek Kemenkes karena kebodohan luar biasa ini dan men-tag Setiaji Setiaji, “Chief of Digital Transformation Office (DTO)” Kemenkes dalam posting tersebut:
- Antara pukul 01.00 dan 02.00 WIB, portal PPID menjadi offline dan digantikan dengan halaman maintenance. Diperkirakan bahwa Setiaji Setiaji melihat posting LinkedIn tersebut dan memerintahkan penutupan sistem dengan menghubungi shift malam pusat data Kemenkes.
Kesimpulan tentang Kasus Ini
- Siapa yang merancang dan menciptakan sistem yang absurd ini?
- Kemenkes seharusnya (dan diwajibkan oleh hukum) memiliki sertifikasi ISO 27001 tentang manajemen dan perlindungan data pribadi, apakah mereka sudah tersertifikasi?
- Dan jika ya, mengapa mereka dengan tegas melanggar ketentuan ISO 27001?
- Kami akan mengajukan permohonan keterbukaan informasi publik ke Kemenkes untuk mengetahui bagaimana semua kekacauan ini terjadi dan siapa yang bertanggung jawab.
Kesimpulan
Dengan regulasi baru, Kemenkes telah membuat wajib SEMUA rekam medis/data kesehatan dari SEMUA orang untuk dibagikan kepada Kemenkes. Mereka pada dasarnya mengabaikan kerahasiaan data pasien, sebuah pelanggaran serius terhadap konstitusi dan hukum yang sudah kami gugat di Mahkamah Agung (MA) dan kalah dengan putusan yang sangat tidak masuk akal, di mana MA dengan jelas mengabaikan hukum dan konstitusi dalam putusannya.
Artikel: Permenkes Rekam Medis Digital (SatuSehat) digugat ke Mahkamah Agung
Tautan Putusan MA: https://putusan3.mahkamahagung.go.id/direktori/putusan/zaee2b6c0c3baa2cbd24313132323335.html
Kemenkes berusaha mengontrol sepenuhnya semua data tentang semua orang, untuk tujuan yang tidak jelas dan mungkin ilegal. Ini bagian dari agenda berbahaya WHO “One Health” di mana kesehatan digunakan sebagai alasan atau justifikasi untuk menerapkan kontrol total terhadap populasi. Agenda ini sendiri merupakan ancaman terhadap kedaulatan nasional & rakyat serta hak-hak konstitusional, yang diperburuk oleh ketidakmampuan Kemenkes untuk menjaga data pribadi tersebut dengan aman.
Tindakan Hukum dan Rekomendasi
Berdasarkan ketidakmampuan Kemenkes yang telah terbukti, bukanlah pertanyaan apakah, tetapi kapan semua data medis pribadi dari semua orang akan dijual di dark web. Hal ini akan membahayakan semua orang, karena data tersebut dapat digunakan untuk segala jenis kejahatan seperti pencurian identitas, pinjaman bank/pinjol atas nama korban, pemerasan orang, majikan dapat menolak mempekerjakan orang berdasarkan informasi kesehatan mereka, dll. Sebagai bagian dari upaya kami untuk melindungi hak-hak konstitusional, YAKIN saat ini sedang mempersiapkan upaya hukum terhadap seluruh agenda ini, kebijakan turunannya dan sikap tidak hormat yang terang-terangan terhadap perlindungan data pribadi & hak-hak konstitusional. Setiap individu dapat memberikan kontribusinya dengan menolak rekam medis digital (SatuSehat), KTP Digital (IKD), dan segala bentuk digitalisasi data pribadi mereka.
