Seberapa Aman Aplikasi Satu Sehat? Kemenkes: Data Rekam Medis Diakses Atas Seizin Pasien
Cyberthreat.id – Aplikasi Satu Sehat milik Kementerian Kesehatan berjalan hampir sepekan, menggantikan aplikasi pelacak Covid-19 dan vaksinasi, PeduliLindungi. Banyak fitur yang disajikan dalam aplikasi terbaru ini, mulai rekam medis pasien hingga data obat yang dikonsumsi.
Menteri Kesehatan Budi Gunadi Sadikin mengatakan integrasi sistem PeduliLindungi ke Satu Sehat berjalan layaknya pertukaran data. Keamanan sistem yang dijalankan juga telah dipertimbangkan, katanya, bahkan disetarakan dengan sistem pertukaran data di dunia perbankan global.
"Sistem keamanan (pertukaran data) ini di perbankan sudah ada, semuanya tinggal kita pilih standar yang bagus," kata Menkes pada Jumat (3 Maret 2023) dikutip dari Antaranews.com.
"Kerahasiaannya seperti menggunakan kartu kredit, kalau kita pakai kartu ATM, kita kan enggak takut data kita tersebar ke bank lain," ia menambahkan.
Ia pun mengilustrasikan proses pertukaran data tersebut. Jika ada pasien sebuah rumah sakit A, lalu dirujuk ke rumah sakit B, sebelum pasien tersebut tiba di rumah sakit rujukan, data pasien sudah terkirim lebih dulu. Hal yang sama ketika menerima laporan dari laboratorium baik publik maupun swasta, apotek, atau puskesmas.
Terpisah, Chief Digital Transformation Office Kemenkes Setiaji mengatakan, instansinya telah berkoordinasi secara intensif dengan Badan Siber dan Sandi Negara untuk memastikan aplikasi Satu Sehat baik secara platform mapun seluler telah memenuhi aspek keamanan yang ditentukan.
Pihaknya sudah menambahkan teknologi enkripsi untuk menjaga keamanan data pengguna. Selain itu, terkait fitur Rekam Medik Elektronik (RME), "Izin pengguna juga akan diminta untuk akses pertukaran data antar fasyankes, sehingga data rekam medis hanya dapat diakses oleh pihak yang berkepentingan saja atas izin pmeilik data (pasien)," ujarnya.
Bila terjadi kebocoran data?
Indonesia telah memiliki Undang-Undang Pelindungan Data yang berlaku sejak Oktober 2022. Kehadiran UU ini memberikan kekuatan bagi masyarakat terkait keamanan data pribadinya di lingkup privat maupun publik.
Bila terjadi kebocoran data pribadi, sesuai dengan Pasal 46 ayat 1 dan ayat 2, maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3x24 jam.
"Jadi, ada kewajiban untuk lembaga atau penguasa data yang mengalami kebocoran data untuk menyampaikan adanya data breach," ujar pengamat keamanan siber, Pratama Persadha kepada Cyberthreat.id, pekan lalu.
Satu hal yang masih menjadi kekurangan dari UU PDP yaitu, tidak diatur sanksi bagi penguasa data (Penyelenggara Sistem Elektronik/PSE), andaikata mereka memilih "diam" ketika terjadi kebocoran atau kegagalan dalam perlindungan data dari sistemnya.
"Celah hukum ini yang nanti harus diisi oleh aturan teknis turunan UU PDP, yang ini seharusnya dibuat oleh lembaga pelaksana perlindungan data pribadi, kami sering menyebutnya Komisi PDP," tutur Pratama juga ketua lembaga riset keamanan siber CISSReC.
Pemerintah saat ini belum juga menyeleksi orang-orang yang bakal mengisi Komisi PDP, tapi Pratama berharap tahun ini segera diputuskan. "Jangan sampai molor…," ujarnya.
"Dengan adanya Komisi PDP juga ini nanti pada akhirnya akan membuat setiap kasus data breach ini benar-benar akan dituntaskan. Yang terjadi sebelum adanya UU PDP adalah tidak jelas ini setiap kasus kebocoran data muaranya ke mana," Pratama menegaskan.
Meski begitu, berbagai kasus yang hadir sebelum adanya UU PDP juga harus diselesaikan, apalagi yang melibatkan lembaga negara dan kementerian—seharusnya bisa ditelusuri siapa yang bertanggung jawab dan diumumkan ke publik juga sesuai dengan Permenkominfo Nomor 20 Tahun 2016.
"Apalagi jika tidak dilakukan proses 'investigasi' lebih lanjut, apakah kebocoran data ini karena faktor human eror dan insider, faktor sistem yang eror atau karena serangan dari pihak luar?" Pratama mempertanyakan.
Pratama menjelaskan, siapa pun bisa menjadi target pencurian data, tapi bila ini terus-menerus terjadi di lembaga dan institusi negara bahkan BUMN, maka ini menjadi tanda tanya, "Sejauh mana keseriusan negara dalam mengamankan aset digital, sistem dan data pribadi masyarakat yang dikelola," tuturnya.[]