London, Inggris – Kepercayaan, sekali hilang, sulit untuk diperoleh kembali. Bagi Palantir Technologies, sebuah perusahaan perangkat lunak perlindungan dan intelijen terkemuka di Amerika Serikat, kepercayaan yang mendirikan perusahaan tersebut di Inggris berdasarkan kontrak Layanan Kesehatan Nasional (NHS) senilai satu pound Inggris ($1,37) selama pandemi COVID-19 pada bulan Maret 2020 – yang berarti hubungan enam tahun senilai hampir 400 juta pound ($546 juta) – baru-baru ini terkikis.

Hal ini sebagian dipercepat oleh tindakan Palantir sendiri.

Akun X perusahaan pengiriman manifesto 22 poin baru-baru ini, hal ini membuat para kritikus khawatir dan menimbulkan pertanyaan baru tentang apakah sebuah perusahaan dengan nilai-nilai militeristik yang terbuka merupakan pengelola yang tepat atas data pasien kesehatan yang paling sensitif.

Di antara poin-poin tersebut adalah seruan untuk wajib militer nasional secara universal dan pengembangan “senjata AI”.

“Palantir dianggap sebagai kontraktor pertahanan,” kata Duncan McCann, pimpinan teknologi dan data di kelompok kampanye hukum Good Law Project. “Jika mereka tetap berada di jalur itu, saya pikir orang-orang mungkin akan menerima hal itu. Namun perusahaan pertahanan memiliki nilai-nilai yang berbeda dari itu [a healthcare organisation like] NHS, dan di situlah saya memikirkan hal ini [concern] telah diciptakan.”

Apa yang tampak seperti sebuah pukulan panjang empat atau lima bulan yang lalu kini terasa dalam jangkauan McCann.

Penentangan terhadap program data andalan Palantir senilai 330 juta pound ($450 juta) bernama Federated Data Platform (FDP), yang digunakan oleh NHS, telah berubah dari kekhawatiran aktivisme pinggiran menjadi dilema tata kelola yang serius bagi NHS Inggris dan pemerintah Inggris secara lebih luas.

Para pejabat sekarang secara terbuka mempertimbangkan break point kontrak pada tahun 2027.

Pada hari Senin, Palantir diperiksa lebih lanjut. Financial Times melaporkan bahwa NHS Inggris telah mengizinkan karyawan Palantir mengakses data pasien secara “tidak terbatas”, mengutip catatan pengarahan internal.

Asal usul Palantir dipindahkan pada pertahanan.

Platform Gotham-nya digunakan oleh komunitas intelijen, militer, dan kepolisian di seluruh dunia. Foundry, solusi sipil perusahaan, adalah yang mendasari FDP NHS. Meskipun terdengar seperti produk yang berbeda, pengamatan tahun 2020 oleh Privacy International dan No Tech For Tyrants menemukan bahwa kedua sistem tersebut memiliki DNA Palantir yang sama.

Arsitektur bersama ini merupakan inti permasalahan tata kelola yang menurut para kritikus belum pernah ditangani secara memadai.

Menurut NHS Inggris, Palantir “hanya akan beroperasi di bawah instruksi NHS saat memproses data di platform” dan mereka “tidak akan mengontrol data di platform, juga tidak akan mengakses, menggunakan, atau membagikannya untuk tujuan mereka sendiri”.

Palantir menjawab, dengan menyatakan bahwa perusahaan “sama sekali tidak menggunakan data pasien, atau data NHS apa pun, untuk tujuan sendiri. Palantir bertindak secara eksklusif sebagai pemroses data di bawah instruksi NHS”.

Charles Carlson dari Palantir Inggris mengatakan kepada Al Jazeera. “Saat verifikasi, auditor meninjau kontrol kami dan kepatuhan kami terhadapnya, dan kami menjalani beberapa audit.”

Dia mencatat bahwa “pelanggan itu sendiri, dibantu oleh NCSC [National Cyber Security Centre]lakukan validasinya sendiri”.

Meskipun audit mungkin menunjukkan bahwa Palantir mengikuti standar industri dalam melindungi data dari akses dan pelanggaran yang tidak sah, para pengamat meragukan sejauh mana perusahaan teknologi mematuhi aturan tersebut.

“Kami benar-benar tidak tahu apakah Palantir melakukan sesuatu yang jahat [with NHS data]kata Eerke Boiten, seorang profesor keamanan siber dan kepala Sekolah Ilmu Komputer dan Informatika di Universitas De Montfort di Leicester. “Tetapi hal yang sama terjadi pada Microsoft, Google, dan perusahaan teknologi Amerika lainnya yang terlibat dalam menyediakan solusi TI kepada NHS atau siapa pun.”

Boiten mengajarkan “realisme teknis” dan mengatakan bahwa perusahaan-perusahaan ini sangat besar, produk mereka sangat kompleks dan eksklusif, sehingga pelanggan mereka harus percaya bahwa mereka tidak akan mengeksploitasi situasi tersebut.

Sebagai upaya perlindungan, penilaian dampak perlindungan data (DPIA) diperlukan sebelum memproses data pribadi sensitif pada skala ini.

“Anda harus melihat ke dalam DPIA dan memastikan bahwa mereka serius,” kata Boiten. “Pemerintah harus mempublikasikannya untuk mendapatkan kepercayaan publik.”

‘Potensi risiko keamanan’

Menyusul tekanan hukum dari Good Law Project, NHS England merilis versi kontrak FDP yang tidak terlalu banyak dibuka – tetapi sekitar 100 halaman masih ditahan, menurut McCann.

Halaman-halaman tersebut berhubungan secara khusus dengan metodologi yang digunakan untuk menyamarkan data pasien sebelum data tersebut masuk ke platform. Ini adalah salah satu elemen kerangka perlindungan data dalam kontrak yang tidak dapat diteliti oleh publik, parlemen, dan pakar independen.

Setiap orang yang diwawancarai untuk artikel ini sepakat bahwa FDP secara umum merupakan hal yang baik – dan terdapat alternatif lain.

Para pemimpin di dewan perawatan terpadu NHS Greater Manchester, yang mengelola pelaksanaan dan pemeliharaan layanan kesehatan di seluruh wilayah tersebut, telah menghabiskan enam tahun membangun platform analitik mereka sendiri tanpa Palantir.

Para analis mengatakan pertanyaannya bukan apakah NHS dapat mengelola datanya secara efektif, namun apakah mereka memerlukan Palantir untuk melakukannya.

“Kecenderungan politik Palantir, yang diungkapkan dalam retorika mereka, menjadikan mereka berpotensi menimbulkan risiko keamanan,” kata Boiten.

Salah satu risiko yang jarang dibicarakan adalah kemungkinan pengumpulan data.

Platform Foundry Palantir menandatangani kontrak setidaknya 10 departemen pemerintah Inggris, namun perusahaan menolak pernyataan apa pun bahwa mereka dapat mengumpulkan kumpulan data ini.

“Setiap interaksi pelanggan dengan Palantir berbeda dan terbatas secara kontrak, operasional, dan teknis,” kata Carlson dari Palantir. Dia menambahkan bahwa perusahaan “tidak mentransfer data antara pelanggan kami ke tujuan kami sendiri”.

“Selain itu,” katanya, “adalah tindakan ilegal bagi pemerintah untuk berbagi data dengan cara seperti ini kecuali ada perjanjian berbagi data khusus antara berbagai departemen pemerintah yang bersangkutan.”

Dua insinyur sistem senior Kementerian Pertahanan memperingatkan The Nerve pada bulan Maret bahwa dengan menggabungkan data dari berbagai kumpulan data pemerintah, Palantir dapat menghasilkan informasi rahasia dari sumber yang sepenuhnya bukan rahasia.

Bagi Sarah Simms, pejabat senior kebijakan di Privacy International, risiko dan preseden seperti itu telah ditentukan oleh tindakan perusahaan di luar negeri.

“Kepercayaan sangat penting untuk memberikan layanan kesehatan dan NHS,” katanya. “Masyarakat harus bisa percaya bahwa data mereka ditangani dengan aman dan etis. Dan jika tidak, hal ini bisa berdampak buruk pada layanan kesehatan bagi semua orang.”