Data pengguna eHAC sebanyak 1.3 juta disinyalir bocor. Kebocoran ini merupakan temuan vpnMentor yang tengah berfokus pada upaya memperbaiki fenomena kebocoran data di berbagai negara. Dari berbagai sumber dapat dirangkum kronologi kebocoran data dimaksud sebagaimana berikut:
Kebocoran data ditemukan
Tim VPN Mentor menghubungi Kementerian Kesehatan [nihil respons]
Tim VPN Mentor menghubungi Kementerian
Kesehatan kedua kalinya [masih nihil respons]
Tim VPN Mentor menghubungi Badan Siber dan
Sandi Negara (BSSN)
BSSN Merespons
Server dimatikan
Terkait kebocoran data eHAC ini, analisa pertama kami tidak akan dialamatkan terlalu jauh, tiada lain selain 'untuk merespons temuan saja, Pemerintah enggan.' Untuk merespons laporan macam begini, tentu saja Pemerintah c.q Kementerian Kesehatan tidak perlu sampai melakukan telaah forensik digital [terhadap laporan]. Toh Kementerian Kesehatan ketika memberikan Konferensi Pers terkait hal ini juga belum melakukan telaah forensik digital yang lengkap kan?
Laporan apapun pada sifatnya ialah probative, yakni dapat memberi petunjuk dan menjadi bukti dasar, meskipun tentu saja diperlukan penelusuran lebih lanjut. Kementerian Kesehatan tampaknya perlu berdiskusi dengan Kepolisian Republik Indonesia mengenai bagaimana merespons laporan yang masuk. Apa iya jika masyarakat membuat laporan di Sentra Pelayanan Kepolisian (SPK) lalu Polisi yang bertugas di SPK itu hanya diam membisu, sambil senyum-senyum saja, tanpa merespons apapun hanya karena Polisi perlu melakukan telaah forensik lebih dulu, atau setidaknya baru direspons melalui konferensi pers? Sudah keburu kabur malingnya, Pak.
Teruntuk Pemerintah c.q Kementerian Kesehatan, penting dipahami bahwa forensik digital itu beberapa langkah selanjutnya dari langkah pertama terhadap laporan yang masuk, yakni menjawab laporan. Terlebih, jika ada laporan yang masuk, setidak-tidaknya Pemerintah c.q Kementerian Kesehatan dapat dimudahkan kerjanya dengan mengonfirmasi kepada pelapor mengenai sampai derajat mana kebocoran data yang dilaporkan itu patut menjadi dugaan awal bahwa jangan-jangan memang terjadi kebocoran data. Sekali lagi, tentu saja logika awam ini tidak membutuhkan telaah forensik digital lebih dulu.
Berikutnya, berapa lama sih sebenarnya melakukan forensik digital itu, sementara terkait kebocoran data itu perlu respons yang cepat? Pemerintah perlu memahami bahwa pada banyak negara, sebutlah Uni Eropa, dugaan kebocoran data itu musti direspons dengan cepat, mengingat pentransferan data baik yang legal maupun ilegal berlangsung hanya dalam hitungan menit. Setidaknya, sejak 15 Juli 2021 hingga 22 Agustus 2021 (ketika kasus ini baru direspons oleh BSSN), Pemerintah telah membuang waktu sebanyak 38 hari. Terlebih, apakah masyarakat telah mengetahui apa hasil telaah forensik digital terhadap kebocoran data BPJS kita yang terjadi pada 20 Mei 2021 lalu? Jawabannya, belum mengetahui apapun.
Jikalau Pemerintah membutuhkan telaah forensik digital lebih dulu, maka mematikan server eHAC (server take-down) tidakkah menegaskan bahwa dugaan kebocoran data eHAC itu kuat terjadi? Lantas, jika dugaan kebocoran data eHAC itu kuat terjadi, langkah mematikan server bukanlah langkah yang diperintahkan oleh PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik juncto Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Kedua aturan ini yang tentu saja mengikat segenap penyelenggara sistem elektronik, termasuk penyelenggara eHAC- memerintahkan langkah responsifnya berupa kewajiban melapor dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lainnya serta wajib menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi yang datanya diketahui gagal dilindungi.
Kebocoran data ini terus berulang. Pengulangan ini tentu saja menegaskan kepada publik Indonesia bahwa data pribadi yang tidak jarang data sensitif ini laku diperjual-belikan di perdagangan data virtual di luar sana, sekaligus menegaskan bahwa rantai perdagangan data patut dicurigai telah terjadi sedari hulu. Untuk itu, Tim Periksa Data, mendesak Pemerintah, bukan hanya Kementerian terkait yang sifatnya sektoral, agar menyusun langkah penyelesaian yang komprehensif. Komprehensif di sini berarti lintas-sektoral yakni Pemerintah perlu menyusun Cetak Biru nasional, semacam rencana tata ruang nasional, dalam perlindungan data pribadi, mulai dari pengumpulan data, retensi data, hingga pengamanan data yang disimpan. Jika sektor swasta saja bisa melakukan ini, mosok Pemerintah tidak bisa?
