BPJS Kesehatan membentuk tim khusus bersama Badan Siber dan Sandi Negara (BSSN), Kemkominfo, serta Telkom untuk melakukan penelusuran. Kemkominfo juga telah memanggil Direksi BPJS Kesehatan untuk segera memastikan dan menguji ulang data pribadi yang bocor.
Dalam pasal 26 ayat (1) UU 19/2016 tentang Informasi dan Transaksi Elektronik, tertulis bahwa penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.
Dasar tersebut kemudian diturunkan dalam Peraturan Menteri Komunikasi dan Informatika No. 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik. Pada pasal 36 peraturan menteri tersebut, pihak yang menyebarluaskan data pribadi dikenai sanksi berupa peringatan lisan, tertulis, penghentian kegiatan, atau pengumuman di situs online.
