Pada 24 Mac 2022, sidang Jawatankuasa Kira-Kira Wang (PAC) telah membangkitkan persoalan tentang penjualan aplikasi pengesanan Covid-19 kepada sebuah syarikat swasta.
Keputusan kerajaan untuk ‘penyerahan’ ini telah diputuskan oleh cabinet pada tanggal 26 November 2021. Kebenaran telah diberikan oleh cabinet kepada Kementerian Kesihatan untuk melantik MySJ Sdn. Bhd. melalui mekanisme runding terus untuk mengambilalih aplikasi MySejahtera.
Walaubagaimanapun, pada bulan Disember 2021, PAC telah mengesyorkan bahawa kerajaan sepatutnya mengambilalih operasi MySejahtera tanpa kos tambahan memandangkan aplikasi tersebut kini telah menjadi elemen penting dalam sistem kesihatan negara.
Para pegawai Kementerian Kesihatan yang memberi keterangan di hadapan PAC mendakwa bahawa MySJ Sdn. Bhd. tidak ada kaitan sama sekali dengan KPISoft, iaitu syarikat yang membangunkan aplikasi MySejahtera sebagai inisiatif CSR. KPISoft sejak itu telah menukar nama syarikat kepada Entomo. Dakwaan bahawa tidak ada kaitan antara KPISoft/Entomo dan MySJ Sdn. Bhd mesti diteliti dan disiasat.
Para pengarah MySJ Sdn. Bhd. termasuk dua orang pengasas KPISoft. Pengarah-pengarah MySJ Sdn. Bhd. juga termasuk inidividu-individu yang punya kaitan politik dan perniagaan dengan beberapa parti di dalam kerajaan termasuk Tan Sri Dato Seri Shahril Bin Shamsuddin yang merupakan Ketua Pegawai Eksekutif Sapura Energy sehingga bulan Mac 2021 dan Tan Sri Dato’ Seri Megat Najmuddin yang merupakan seorang ketua UMNO bahagian yang kemudian menjadi anggota kanan Bersatu.
Sementalah itu, 81.4% saham MySJ Sdn. Bhd. dimiliki oleh sebuah syarikat yang lain yakni Revolusi Asia Sdn. Bhd. di mana 88% dimiliki oleh pengasas-pengasas KPISoft.
Dalam kata lain, 71.2% saham MySJ Sdn. Bhd. dimiliki oleh dua pengasas KPISoft yang membangunkan aplikasi MySejahtera. Untuk mengatakan bahawa tidak ada kaitan antara KPISoft/Entomo dan MySJ Sdn. Bhd. adalah tidak jujur.
Di bawah sistem tender terbuka, fakta-fakta ini akan diteliti oleh kerajaan dan rakyat. Dalam sistem runding terus, apa yang berlaku ini hanya mirip kepada gejala menganugerahkan syarikat-syarikat dan individu yang dekat dengan pemerintah. MySJ Sdn. Bhd. termasuk pengarah-pengarah yang mempunyai pengetahuan dan kepakaran dalam mengurus pengoperasian perisian atau teknologi maklumat tidak jelas dan menimbulkan kebimbangan tentang logik menganugerahkan aplikasi ini secara runding terus.
Tambahan pula, penjualan MySejahtera kepada syarikat swasta hanya menimbulkan kebimbangan tentang pengurusan data peribadi dan kemungkinan wujudnya penyalahgunaan maklumat kesihatan jutaan rakyat Malaysia.
Aplikasi MySejahtera telah merekodkan lebih 11 bilion daftar masuk sejak bulan Disember 2020, dan ini adalah menurut GitHub. Maklumat daftar masuk ini mengandungi pelbagai maksud iaitu kecenderungan peribadi, corak penggunaan, atau laman sosial individu. Kita juga mengandaikan bahawa pengkalan data MySejatera juga termasuk maklumat kesihatan individu tentang simptom-simptom dan diagnosis positif Covid-19.
PAC juga memberitahu bahawa segala data di dalam MySejahtera dan kerahsiaannya adalah di bawah kawalan Kementerian Kesihatan.
Pada 19 November 2020, Kementerian Kesihatan menyatakan bahawa “data yang dikumpul melalui aplikasi MySejahtera dimiliki sepenuhnya oleh KKM dan diselia oleh Nacsa dan MKN”.
Pada 20 Disember 2020, Ketua Pegawai Eksekutif CyberSEcurity Malaysia mengatakan bahawa data MySejahtera adalah selamat. “Data-data ini digunakan hanya untuk memantau Covid-19 dan tidak dikongsi dengan mana-mana pihak ketiga kerana ia tertakluk kepada dasar kerahsiaan”.
Oleh yang demikian, persoalan-persoalan ini mesti dijelaskan oleh cabinet:
Mengapakah keputusan diambil untuk menjual MySejahtera kepada syarikat swasta daripada membenarkan aplikasi itu di bawah kawal selia KKM?
Mengapa penjualan aplikasi ini tidak dibuat melalui tender terbuka atas dasar ketelusan?
Laman web MySejahtera termasuk kebijakan kerahsiaan yang menyebut “Tidak ada data peribadi yang dikumpul aplikasi ini dikongsi dengan mana-mana pihak ketiga atau dipindahkan ke tempat luar dari Malaysia untuk tujuan komersial.” Laman web itu juga menyatakan “MySejahtera dimiliki dan dikawalselia oleh kerajaan Malaysia. Ia diuruskan oleh KKM dan dibantu oleh NSC dan MAMPU. Kerajaan memberi jaminan bahawa maklumat data peribadi hanya digunakan untuk tujuan mengurus dan membendung penularan wabak Covid-19. Ia tidak akan dikongsi kepada mana-mana pihak.” Laman GitHub MySejahtera pula menyatakan “Menurut polisi kerahsiaan MySejahtera, data daftar masuk individu akan dilupuskan selepas 90 hari. Statistik rumusan ini hanya disimpan sebagai jumlah agregat; MySejahtera tidak menyimpan data tersebut. Kesimpulannya, penyemakan data tidak boleh dilakukan untuk tarikh-tarikh lebih dari 90 hari, meski wujudnya ketidaktekalan.”
Apa sebab-sebab MySJ Sdn. Bhd. menjadi satu-satunya syarikat yang ditimbangtara untuk projek ini?
Apakah kerajaan Malaysia sering menganugerahkan individu-individu atau syarikat-syarikat yang menjalankan CSR untuk manfaat rakyat Malaysia dengan kontrak yang lumayan?
Apakah skop dan kepakaran MySJ Sdn. Bhd. terkait pengoperasian MySejahtera dan bagaimana KKM boleh memastikan data-data yang dikumpul oleh aplikasi itu tidak akan disalahguna oleh pihak ketiga termasuk MySJ Sdn. Bhd.
Apakah syarat-syarat kontrak tertakluk kepada jaminan yang dibuat KKM sebelum ini tentang data kesihatan peribadi, dasar kerahsiaan MySejahtera dan undang-undang negara yang mengawalselia kerahsiaan data individu?
Apakah peranan dan tanggungjawab MySJ Sdn. Bhd. dalam memastikan data yang dikongsi rakyat Malaysia melalui MySejahtera atas dasar mandat awam tidak akan digunakan sama sekali untuk tujuan pemasaran, pembangunan produk, pemantauan, mahupun untuk tujuan yang berunsur diskriminasi?