Ketika Pejabat Pertahanan Inggris Sendiri Bilang Palantir Itu Ancaman Keamanan Nasional

Minggu lalu, saya baca artikel di The Nerve yang bikin saya berhenti ngunyah nasi goreng Rp 32.000 dan taruh sendok. Judulnya: "MoD sources warn Palantir role at heart of government is threat to UK security." Artikelnya naik ke Hacker News, dapat 470 poin dan 176 komentar. Dan isinya bukan teori konspirasi — ini testimoni langsung dari dua engineer senior di Kementerian Pertahanan Inggris yang bilang, dengan kalimat mereka sendiri: "Mengizinkan satu entitas asing punya akses seluas ini secara inheren berbahaya."

Bukan saya yang bilang. Orang dalam MoD Inggris yang bilang.

Buat yang belum tahu: Palantir Technologies adalah perusahaan AI dan surveillance milik Peter Thiel. Mereka punya kontrak senilai £670 juta (sekitar Rp 14 triliun) dengan berbagai departemen pemerintah Inggris, termasuk £15 juta dengan badan nuklir. Dan menurut The Nerve, Palantir baru saja menandatangani deal investasi £1,5 miliar dengan Inggris pada September 2025.

Kenapa ini penting buat Anda? Karena kalau Anda pakai layanan cloud asing untuk data bisnis Anda — dan hampir semua bisnis di Indonesia melakukannya — pelajaran dari kasus Palantir ini langsung relevan.

Apa yang Sebenarnya Terjadi di Inggris

Menurut investigasi The Nerve, ada masalah fundamental yang sering diabaikan: data dan insight itu dua hal berbeda.

Juru bicara MoD Inggris bilang: "Semua data tetap berdaulat dan di bawah kepemilikan MoD." Kedengarannya aman. Tapi dua engineer senior yang bicara anonim bilang pernyataan itu "ignorant" — mengabaikan kenyataan tentang data scraping, aggregasi, dan fakta bahwa Palantir sedang membangun "rich picture" mereka sendiri dari data yang mereka akses.

Salah satu sumber bilang: "Palantir tidak perlu memiliki data atau bahkan jadi steward. Mereka bisa extract, transform, dan exploit metadata untuk membangun gambaran mereka sendiri."

Sumber kedua, yang berlatar belakang intelijen, bilang Palantir kemungkinan punya "profil lengkap seluruh populasi Inggris."

Mas Andi, teman saya yang jadi CTO di startup fintech Jakarta dan pernah ngabisin 14 jam nonstop migrasi database dari AWS ke infrastruktur lokal (sambil minum 7 gelas kopi Rp 18.000), langsung kirim WhatsApp panjang pas baca ini: "Ini persis yang terjadi sama banyak startup kita. Data di server sendiri, tapi processing di vendor asing. Dan vendor asing itu punya insight yang bahkan kita sendiri nggak punya."

Tutorial: Audit Data Sovereignty untuk Bisnis Digital Anda

Oke, cukup cerita seramnya. Sekarang bagian yang bisa Anda langsung kerjakan. Tutorial ini untuk pemilik bisnis digital Indonesia — dari freelancer sampai startup — yang mau tahu seberapa "berdaulat" data mereka sebenarnya.

Langkah 1: Inventarisasi Semua Layanan Cloud yang Anda Pakai

Buka spreadsheet baru. Tulis semua layanan yang menyimpan atau memproses data bisnis Anda. Contoh:

  • Email: Google Workspace, Microsoft 365, Zoho
  • Storage: Google Drive, Dropbox, OneDrive, S3
  • CRM: HubSpot, Salesforce, Zoho CRM
  • Analytics: Google Analytics, Mixpanel, Amplitude
  • Communication: Slack, Discord, WhatsApp Business
  • Pembayaran: Stripe, Xendit, Midtrans
  • Hosting: AWS, GCP, Azure, Hostinger, Niagahoster

Untuk setiap layanan, catat tiga hal: (1) data apa yang disimpan di sana, (2) di negara mana servernya, (3) siapa yang punya akses ke data mentah.

Bu Sari, klien wardigi.com yang punya toko online dengan 12.000 pelanggan, kaget waktu saya bantu audit ini bulan lalu. "Saya kira data pelanggan cuma di website saya," katanya lewat voice note jam 8:47 malam. Ternyata data pelanggannya tersebar di 9 layanan berbeda, 7 di antaranya server luar negeri.

Langkah 2: Klasifikasi Data Berdasarkan Sensitivitas

Tidak semua data perlu perlakuan sama. Bagi jadi tiga kategori:

  • 🔴 Kritis: Data pelanggan (nama, alamat, nomor telepon, email), data keuangan (transaksi, gaji, pajak), data login (password, token API), rahasia bisnis (kontrak, strategi pricing)
  • 🟡 Sensitif: Analytics pengunjung, log komunikasi internal, data HR karyawan, backup database
  • 🟢 Publik: Konten website, materi marketing, dokumentasi publik

Data 🔴 Kritis idealnya dihosting di infrastruktur yang Anda kontrol sepenuhnya, atau minimal di provider yang tunduk pada hukum Indonesia (UU PDP No. 27/2022).

Langkah 3: Cek Terms of Service — Bagian yang Tidak Pernah Anda Baca

Ini bagian yang paling sering diskip. Tapi setelah kasus Palantir, Anda harus baca minimal bagian ini di ToS setiap layanan:

  • "Data Usage" atau "How We Use Your Data" — apakah mereka bisa pakai data Anda untuk training AI? Untuk "improving services"? Untuk "aggregate analytics"?
  • "Data Processing" atau "Sub-processors" — siapa pihak ketiga yang juga akses data Anda? Berapa banyak?
  • "Data Retention" — kalau Anda hapus akun, berapa lama data benar-benar dihapus? (Spoiler: sering kali "up to 180 days" atau bahkan "we may retain aggregated data indefinitely")
  • "Government Access" atau "Law Enforcement" — di bawah hukum negara mana data Anda bisa disita? Kalau server di US, itu artinya tunduk pada CLOUD Act — pemerintah AS bisa minta akses tanpa Anda tahu.

Pak Deni, yang punya agency digital di Bandung dengan 45 karyawan, pernah cerita pengalaman pahitnya pas meeting klien jam 2 siang: "Klien enterprise kami tanya, 'Data kami diproses di mana?' Dan saya nggak bisa jawab dengan pasti karena kami pakai 6 SaaS berbeda yang masing-masing punya sub-processor sendiri." Dia kehilangan kontrak senilai Rp 840 juta hari itu.

Langkah 4: Implementasi Prinsip "Data Minimization"

Prinsip dari UU PDP Indonesia dan juga GDPR: jangan kumpulkan data lebih dari yang Anda butuhkan. Praktiknya:

  • Formulir registrasi: Apakah Anda benar-benar butuh tanggal lahir, alamat lengkap, dan nomor KTP? Kalau tidak, jangan minta.
  • Analytics: Pertimbangkan alternatif privacy-first seperti Plausible, Umami, atau Matomo (self-hosted) — menggantikan Google Analytics tanpa mengirim data pengunjung ke server Google.
  • Email: Untuk komunikasi kritis, pertimbangkan Proton Mail atau Tutanota yang end-to-end encrypted dan berbasis di Swiss/Jerman.
  • Backup: Enkripsi sebelum upload ke cloud. Tools seperti rclone + encryption backend bisa mengenkripsi data sebelum masuk ke S3/GCS.

Langkah 5: Buat Data Processing Agreement (DPA)

Kalau Anda memproses data pelanggan dan pakai vendor pihak ketiga, UU PDP mengharuskan Anda punya DPA. Template dasar yang harus ada:

  • Deskripsi data apa yang diproses
  • Tujuan pemrosesan (harus spesifik, bukan "untuk kebutuhan bisnis")
  • Durasi penyimpanan
  • Hak subjek data (akses, koreksi, penghapusan)
  • Kewajiban keamanan vendor
  • Prosedur jika terjadi data breach

Banyak SaaS besar (Google, AWS, Salesforce) sudah punya DPA template yang bisa Anda download. Yang lebih kecil — terutama startup SaaS lokal — mungkin belum. Itu red flag, tapi juga peluang negosiasi.

Langkah 6: Pertimbangkan Hybrid Architecture

Pindah 100% ke infrastruktur lokal itu tidak realistis untuk kebanyakan bisnis. Tapi hybrid approach — data kritis di server yang Anda kontrol, sisanya di cloud — itu sangat bisa dilakukan.

Contoh setup untuk UKM Indonesia:

  • Database utama: VPS lokal (IDCloudHost, Dewaweb, atau Biznet Gio) — data pelanggan dan transaksi
  • Website dan CDN: Cloudflare (data publik saja)
  • Email: Zoho Mail (server di India, tapi DPA tersedia) atau self-hosted
  • Backup: Encrypted backup ke object storage lokal + satu copy ke luar negeri (encrypted)
  • Analytics: Umami self-hosted di VPS yang sama

Total biaya? Rp 300.000-500.000/bulan untuk VPS yang cukup kuat menangani bisnis dengan 10.000+ pengunjung/hari. Lebih murah dari langganan Google Workspace Business.

Apa Hubungannya dengan Bisnis Digital Indonesia?

Kasus Palantir di Inggris itu bukan cerita tentang negara lain. Itu cermin. Kalau Kementerian Pertahanan negara G7 saja bisa lengah soal data sovereignty, bagaimana dengan bisnis kecil dan menengah di Indonesia yang bahkan belum pernah baca Terms of Service layanan yang mereka pakai setiap hari?

UU PDP (No. 27/2022) sudah berlaku penuh. Denda untuk pelanggaran bisa sampai 2% dari pendapatan tahunan. Tapi lebih dari soal compliance — ini soal kepercayaan pelanggan. Di era di mana satu data breach bisa viral di Twitter dalam 30 menit, data sovereignty bukan lagi nice-to-have. Ini competitive advantage.

Mulai dari audit. Enam langkah di atas bisa Anda kerjakan weekend ini. Dan kalau hasilnya bikin Anda gelisah — bagus. Itu artinya Anda mulai peduli.

Butuh bantuan audit data sovereignty untuk bisnis Anda? Hubungi tim Wardigi — kami bantu dari inventarisasi sampai implementasi.

Sumber: The Nerve (March 2026), Kemenkominfo / UU PDP No. 27/2022, Palo Alto Unit 42