Pada 30 Agustus 2021, sebuah situs pengulas perangkat lunak VPN yang bernama vpnMentor mempublikasikan hasil temuan terkait terjadinya kebocoran data aplikasi e-HAC yang dikelola oleh Kementerian Kesehatan (Kemenkes). Merespon kebocoran ini, pada hari Selasa, Kepala Pusat Data dan Informasi Kemenkes Anas Ma’ruf menyampaikan bahwa kebocoran data terjadi pada aplikasi e-HAC lama yang sudah tidak digunakan lagi sejak Juli 2021.
Lebih lanjut lagi, vpnMentor menyampaikan kebocoran data aplikasi e-HAC terjadi karena “pengembang aplikasi gagal dalam mengimplementasikan protokol privasi data yang memadai”. Tak hanya kebocoran data dari subjek data individu, kebocoran ini, menurut vpnMentor, juga turut mengungkap keseluruhan infrastruktur e-HAC, termasuk rekaman pribadi dari berbagai rumah sakit dan pejabat Indonesia yang menggunakan aplikasinya.
Adapun ruang lingkup data pribadi yang bocor mencakup data hasil tes COVID-19 (termasuk ke dalam kategori data sensitif), data akun e-HAC, data rumah sakit, data pribadi pengguna e-HAC (NIK/paspor, nama lengkap, nomor telp, tanggal lahir, jenis kelamin, alamat, nama orang tua, dst), dan data petugas pengelola e-HAC.
Menurut KA-PDP, luputnya pengintegrasian prinsip-prinsip pelindungan data pribadi dalam pengembangan dan operasionalisasi aplikasi e-HAC, khususnya terkait dengan kewajiban memastikan sistem keamanan yang kuat, menunjukan semakin pentingnya akselerasi pembahasan RUU PDP.
KA-PDP memandang, tidak adanya UU PDP yang komprehensif telah berdampak pada berbagai permasalahan ketidakpastian hukum dalam pelindungan data pribadi, terutama terkait dengan kejelasan kewajiban pengendali dan pemroses data, pelindungan hak-hak subjek data, serta penanganan ketika terjadi insiden kebocoran data.