Menurutnya, dalam Perpres 95/2018 mengatur pengembangan aplikasi umum dan aplikasi khusus oleh pemerintah. Termasuk sistem keamanannya, yang menjadi salah satu prinsip penting di dalamnya. Pada aspek keamanan, setiap aplikasi pemerintah harus memastikan confidentiality, integrity, dan availability dari sistemnya, serta mekanisme pengendalian keamanan lainnya.
Aspek-aspek itu yang kemudian diturunkan sebagai standar teknis dan prosedur keamanan aplikasi pemerintah, yang diatur dalam Pasal 25-29 Peraturan BSSN 4/2021. Tujuannya antara lain memastikan fungsi proteksi data. Peraturan ini juga mengatur tindakan minimal yang harus dilakukan ketika terjadi insiden keamanan, juga kewajiban untuk melakukan audit keamanan secara berkala.
“Mengacu pada peraturan tersebut, setiap pemrosesan data pribadi harus sesuai dengan prinsip pelindungan data pribadi, termasuk kewajiban memastikan keamanan data pribadi,” katanya.
Wahyudi yang juga Direktur Eksekutif Elsam itu melanjutkan, kendati sejumlah aturan mulai PP 46/2014, PP 71/2019, Permenkominfo 20/2016, dan Perpres 95/2018 yang berlaku dan memuat prinsip perlindungan data pribadi, namun belum memberi pelindungan komprehensif terhadap data pribadi warga negara. Sebab, berbagai peraturan itu belum sepenuhnya mengadopsi prinsip-prinsip perlindungan data pribadi. Bahkan cenderung tumpang tindih satu sama lain, sebagaimana sektoralisme pengaturan pelindungan data hari ini.
Salah satu aspek yang masih nihil dalam regulasi sektoral saat ini adalah kewajiban pengendali data dalam memastikan pemroses data (pengembang aplikasi e-HAC) telah mengimplementasikan upaya-upaya teknis dan organisasional untuk mengamankan data pribadi yang diprosesnya. Selain itu, hak-hak dari subjek data (pengguna aplikasi), termasuk mekanisme pemulihan ketika terjadi pelanggaran juga belum terakomodir dengan baik.
Dia menilai luputnya pengintegrasian prinsip-prinsip pelindungan data pribadi dalam pengembangan dan operasionalisasi aplikasi e-HAC, khususnya terkait kewajiban memastikan sistem keamanan yang kuat, menunjukan semakin pentingnya akselerasi pembahasan RUU Pelindungan Data Pribadi. Koalisi, kata Wahyudi, menilai ketiadaan UU PDP yang komprehensif berdampak pada berbagai permasalahan ketidakpastian hukum dalam pelindungan data pribadi.
Seperti diberitakan, Kepala Pusat Data dan Informasi Kemenkes, Anas Ma’ruf membenarkan adanya dugaan kebocoran data pribadi pengguna aplikasi e-HAC Kemenkes. Dugaan kebocoran data terjadi pada aplikasi e-HAC yang lama, bukan pada e-HAC yang terintegrasi dengan aplikasi PeduliLindungi.
Menurutnya, aplikasi e-HAC sudah lama tak lagi digunakan sejak 2 Juli 2021. Kemenkes dan Kemenkominfo sedang menginvestigasi terkait kebocoran data tersebut. Kasus dugaan kebocoran data e-HAC kali pertama ditemukan peneliti keamanan siber dari VPN Mentor pada aplikasi e-HAC pada 15 Juli lalu. Data sebanyak 1,3 juta pengguna e-HAC ditengarai bocor. Ukuran data tersebut mencapai 2 GB.