VPN Mentor, situs yang fokus pada Virtual Private Network (VPN) melaporkan adanya dugaan kebocoran 1,3 juta data pada Kartu Kewaspadaan Kesehatan (Electronic Health Alert Card/eHAC). eHAC merupakan merupakan aplikasi untuk memverifikasi penumpang yang melakukan perjalanan selama pandemi COVID-19.
Seperti dilansir Antara, kebocoran data berasal dari penggunaan database Elasticsearch yang tidak memiliki jaminan untuk menyimpan data sekitar 1,3 juta pengguna eHAC. Ada pun data yang bocor dan bisa diraih dari database eHAC di antaranya merupakan data pribadi pengguna aplikasi, antara lain nama, nomor KTP, paspor, foto profil yang dilampirkan dalam eHAC, detail hotel pengguna, hingga detail waktu akun tersebut dibuat.
Selain data pribadi, dokumen hasil tes COVID-19 juga bisa diakses serta data dari rumah sakit hingga klinik yang dimasukan di dalam aplikasi eHAC, meliputi dokter yang bertanggung jawab, kapasitas rumah sakit, detail rumah sakit hingga titik koordinat lokasi rumah sakit.
Data yang seharusnya hanya diketahui oleh pembuat aplikasi pun ikut bocor seperti data sandi yang digunakan untuk akun eHAC hingga alamat email. Laporan tersebut menyebutkan kebocoran itu membuat pengguna rentan mengalami serangan siber.
"Dengan akses informasi ke paspor, tanggal lahir, riwayat,dan data lainnya. Peretas bisa menargetkan pengguna sebagai korban dan mencuri identitas mereka. Mereka dapat tertipu secara langsung dan kehilangan ribuan dolar AS," kata laporan tersebut. (Baca: Dua RUU Ini Mendesak Disahkan Demi Keamanan Konsumen)
Menanggapi dugaan kebocoran data pribadi tersebut, Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP) menyerukan pentingnya otoritas pelindungan data pribadi (OPDP) yang independen. “Keberadaan otoritas ini penting guna mendorong kepatuhan sektor publik terhadap prinsip-prinsip pemrosesan data pribadi yang baik," kata Direktur Eksekutif ELSAM Wahyudi Djafar dalam keterangan tertulisnya, Rabu (1/9).
Pernyataan tersebut ia utarakan sebagai perwakilan dari KA-PDP guna menanggapi kasus-kasus kebocoran data pribadi yang marak terjadi pada sektor publik, seperti kasus kebocoran data pribadi pengguna BPJS Data Kesehatan, dan ditambah lagi kasus kebocoran database e-HAC.
KA-PDP merupakan Koalisi Advokasi Pelindungan Data Pribadi yang terdiri dari ELSAM, AJI Indonesia, ICT Watch, PUSKAPA UI, ICJR, LBH Jakarta, AJI Jakarta, LBH Pers, Yayasan TIFA, Imparsial, HRWG, YLBHI, Forum Asia, Kemudi, Pamflet, Medialink, IPC, ICW, Perludem, SAFEnet, IKI, PurpleCode, Kemitraan, IAC, YAPPIKA-Action Aid, IGJ, Lakpesdam PBNU, ICEL, PSHK.
Terkait dengan tujuan mendorong kepatuhan sektor publik, KA-PDP memberikan beberapa rekomendasi terkait materi dan proses pembahasan RUU Perlindungan Data Pribadi (PDP), juga regulasi teknis implementasinya, belajar dari respons terhadap sejumlah insiden kebocoran data pribadi yang terjadi.
Pertama, KA-PDP mendorong agar DPR dan Pemerintah segera mempercepat proses pembahasan dan pengesahan RUU Pelindungan Data Pribadi dengan tetap menjamin partisipasi aktif seluruh pemangku kepentingan, sekaligus juga kualitas substansinya.
Akselerasi ini penting mengingat banyaknya insiden terkait dengan eksploitasi data pribadi, yang juga kian memperlihatkan pentingnya pembentukan otoritas pengawas yang independen, guna menjamin efektivitas implementasi dan penegakan UU PDP nantinya.
Kemudian, KA-PDP juga memberi rekomendasi kepada Kementerian Komunikasi dan Informatika agar mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No. 71/2019 dan Permenkominfo No. 20/2016, untuk mengambil langkah dan tindakan terhadap pengendali dan pemroses data selaku penyelenggara sistem dan transaksi elektronik, termasuk mitigasi, dan langkah pemulihan bagi subjek datanya.
Terkait dengan kasus kebocoran database e-HAC, KA-PDP merekomendasikan kepada Badan Siber dan Sandi Negara (BSSN) untuk melakukan proses investigasi secara mendalam atas terjadinya insiden keamanan ini, untuk kemudian dapat memberikan rekomendasi sistem keamanan yang handal dalam pengelolaan sistem informasi kesehatan di Indonesia.
Selanjutnya, KA-PDP merekomendasikan kepada Kementerian Kesehatan dan pihak terkait lainnya untuk melakukan evaluasi sekaligus meningkatkan kebijakan internal terkait pelindungan data, juga audit keamanan secara berkala, untuk memastikan kepatuhan dengan prinsip-prinsip pelindungan data pribadi dan keamanan siber.
Pada 30 Agustus 2021, sebuah situs pengulas perangkat lunak VPN yang bernama vpnMentor mempublikasikan hasil temuan terkait terjadinya kebocoran data aplikasi e-HAC yang dikelola oleh Kementerian Kesehatan (Kemenkes). Merespon kebocoran ini, pada hari Selasa, Kepala Pusat Data dan Informasi Kemenkes Anas Ma’ruf menyampaikan bahwa kebocoran data terjadi pada aplikasi e-HAC lama yang sudah tidak digunakan lagi sejak Juli 2021.
Lebih lanjut lagi, vpnMentor menyampaikan kebocoran data aplikasi e-HAC terjadi karena “pengembang aplikasi gagal dalam mengimplementasikan protokol privasi data yang memadai”. Tak hanya kebocoran data dari subjek data individu, kebocoran ini, menurut vpnMentor, juga turut mengungkap keseluruhan infrastruktur e-HAC, termasuk rekaman pribadi dari berbagai rumah sakit dan pejabat Indonesia yang menggunakan aplikasinya.
Adapun ruang lingkup data pribadi yang bocor mencakup data hasil tes COVID-19 (termasuk ke dalam kategori data sensitif), data akun e-HAC, data rumah sakit, data pribadi pengguna e-HAC (NIK/paspor, nama lengkap, nomor telp, tanggal lahir, jenis kelamin, alamat, nama orang tua, dst), dan data petugas pengelola e-HAC.
Menurut KA-PDP, luputnya pengintegrasian prinsip-prinsip pelindungan data pribadi dalam pengembangan dan operasionalisasi aplikasi e-HAC, khususnya terkait dengan kewajiban memastikan sistem keamanan yang kuat, menunjukan semakin pentingnya akselerasi pembahasan RUU PDP.
KA-PDP memandang, tidak adanya UU PDP yang komprehensif telah berdampak pada berbagai permasalahan ketidakpastian hukum dalam pelindungan data pribadi, terutama terkait dengan kejelasan kewajiban pengendali dan pemroses data, pelindungan hak-hak subjek data, serta penanganan ketika terjadi insiden kebocoran data.