Dia menambahkan lebih jauh berbagai instrumen perundang-undangan tersebut mengatur berbagai ketentuan. Pertama, PP SIK mengatur bahwa pengamanan informasi kesehatan dilakukan untuk menjamin agar informasi kesehatan tetap tersedia dan terjaga keutuhannya dan terjaga kerahasiaannya untuk informasi kesehatan yang bersifat tertutup. Kemudian untuk menjaga keamanan dan kerahasiaan informasi kesehatan, Kemenkes berkewajiban untuk melakukan pemeliharaan, penyimpanan, dan penyediaan cadangan data dan informasi kesehatan secara teratur dan membuat sistem pencegahan kerusakan data dan informasi kesehatan.
Kedua, PP PSTE dan Permenkominfo 20/2016 mengatur bahwa pemrosesan data pribadi harus dilakukan dengan “melindungi keamanan data pribadi dari kehilangan, penyalahgunaan, akses dan pengungkapan yang tidak sah, serta pengubahan atau perusakan data pribadi”, dan penyelenggara sistem elektronik wajib “menjaga kerahasiaan data pribadi”. Selain itu, subjek data juga memiliki hak untuk mendapatkan pemberitahuan secara tertulis dalam hal terjadinya kebocoran data pribadi. Ketiga, Perpres SPBE mengatur dalam pengembangan aplikasi umum dan aplikasi khusus pemerintah, di dalamnya harus dipastikan sistem keamanannya, yang mencakup confidentiality, integrity, dan availability dari sistemnya, juga mekanisme pengendalian keamanan lainnya.
Aspek‐aspek itu yang kemudian diturunkan sebagai standar teknis dan prosedur keamanan aplikasi pemerintah, yang diatur dalam Pasal 25‐29 Peraturan BSSN 4/2021, dengan salah satu tujuannya memastikan fungsi proteksi data. Peraturan ini juga mengatur tindakan minimal yang harus dilakukan ketika terjadi insiden keamanan, juga kewajiban untuk melakukan audit keamanan secara berkala.
“Kendati demikian, keseluruhan instrumen di atas, dapat dikatakan belum cukup memberikan pelindungan yang komprehensif terhadap setiap pemrosesan data pribadi warga negara. Mengingat berbagai peraturan tersebut belum sepenuhnya mengadopsi prinsip‐prinsip perlindungan data pribadi, dan cenderung tumpang tindih satu sama lain, yang berakibat pada ketidakpastian perlindungan,” terang Wahyudi.
Sementara itu, beberapa aspek yang masih nihil dalam pengaturan saat ini, antara lain adalah terkait dengan perlindungan data sensitif, kejelasan perlindungan hak‐hak subjek data, termasuk mekanisme pemulihan ketika terjadi pelanggaran. Tantangan besar lainnya dalam penanganan kasus kebocoran data pribadi di sektor publik selama ini, adalah hampir tidak ditemukan adanya suatu proses investigasi yang dilakukan secara akuntabel. Fakta tersebut sesungguhnya menunjukkan ketidaksiapan pemerintah dalam menyelesaikan berbagai insiden kebocoran data pribadi, yang terus‐menerus berulang.
Berangkat dari persoalan itu, Wahyudi menekankan pentingnya akselerasi pembahasan RUU Pelindungan Data Pribadi menjadi penting disegerakan, untuk menghadirkan rujukan instrumen perlindungan yang komprehensif, sehingga mampu meminimalisir terus berulangnya insiden kebocoran data pribadi. Selain itu, untuk memastikan efektivitas dalam implementasinya nanti, legislasi ini juga penting menghadirkan adanya otoritas pelindungan data pribadi yang independen, yang mampu bekerja secara fair dan adil.
Tanpa adanya otoritas PDP yang independen, dia menilai sulit untuk mencapai tujuan dari perlindungan data pribadi, sebagaimana diamanatkan oleh Pasal 28G ayat (1) UUD 1945. Apalagi mengingat besarnya pemrosesan data pribadi warga negara yang dilakukan oleh institusi publik, baik di tingkat pusat maupun daerah. Juga ketidaksiapan mereka dalam kepatuhan terhadap perlindungan data pribadi, yang nampak dari sejumlah insiden kebocoran data pribadi yang melibatkan institusi publik, seperti yang tampak salah satunya dari kasus ini.