Het Delve-schandaal: Een Dure Les in AI Vendor Risk Management

juni 5, 2026

De recente implosie van compliance-startup Delve dient als een harde waarschuwing voor elke organisatie die gebruikmaakt van externe AI-diensten. Delve profileerde zich als een vooruitstrevend bedrijf dat met geavanceerde kunstmatige intelligentie de compliance-audits voor SOC 2-certificering automatiseerde. De realiteit was echter schokkend anders: het 'AI-platform' bestond grotendeels uit menselijke arbeid, uitgevoerd door freelancers in de Filipijnen. Dit schandaal legt een fundamenteel en groeiend probleem bloot in de tech-industrie: een significant **AI vendor risk**. Bedrijven besteden kritieke processen uit in de veronderstelling dat deze door veilige, efficiënte en schaalbare technologie worden afgehandeld, maar worden in plaats daarvan blootgesteld aan onvoorziene dataveiligheidsrisico's, privacykwesties en operationele kwetsbaarheden. De Delve-case is geen geïsoleerd incident, maar een symptoom van een markt waarin marketingclaims de technologische realiteit vaak ver overstijgen, met potentieel desastreuze gevolgen voor hun klanten.

Luister naar dit artikel:

Het fenomeen waarbij menselijke handelingen worden gepresenteerd als volledig geautomatiseerde AI, staat bekend als 'Wizard of Oz AI'. Hoewel dit in een vroege ontwikkelingsfase een legitieme strategie kan zijn om data te verzamelen en modellen te trainen, wordt het problematisch wanneer het als eindproduct wordt verkocht. In het geval van Delve werden gevoelige bedrijfsgegevens, waaronder code, configuraties en interne documenten, handmatig verwerkt door externe contractanten zonder de juiste beveiligingsprotocollen of training. Dit creëert een enorm **AI vendor risk** op meerdere fronten. Ten eerste is er het directe veiligheidsrisico van datalekken en misbruik van intellectueel eigendom. Ten tweede ondermijnt het de essentie van de compliance die Delve juist beloofde te leveren; het proces zelf was inherent non-compliant. Voor klanten betekent dit niet alleen dat hun investering waardeloos is, maar ook dat zij onbewust hun eigen compliance-status en reputatie in gevaar hebben gebracht door te vertrouwen op een misleidende leverancier.

Het Delve-schandaal benadrukt de noodzaak van een veel grondigere due diligence bij de selectie van AI-leveranciers. Vertrouwen op marketingmateriaal en overtuigende verkooppraatjes is niet langer voldoende. Organisaties moeten een proactieve en sceptische houding aannemen. Dit begint met het stellen van diepgaande technische vragen. Vraag naar de architectuur van het AI-model, de gebruikte datasets voor training en de mate van menselijke tussenkomst in het proces ('human-in-the-loop'). Een betrouwbare leverancier kan hier transparant over zijn. Vraag om een proof-of-concept (PoC) of een pilot met uw eigen data om de prestaties en de werking van de technologie te valideren. Daarnaast is het cruciaal om contractuele waarborgen vast te leggen. Zorg ervoor dat service level agreements (SLA's) en contracten specifieke clausules bevatten over gegevensverwerking, beveiligingsstandaarden (zoals SOC 2 of ISO 27001), en de geografische locatie waar data wordt verwerkt. Eis transparantie over het gebruik van onderaannemers.

advertenties

De opkomst van AI dwingt ons om traditioneel vendor management opnieuw uit te vinden. Het is niet langer een eenmalige controle bij aanvang, maar een continu proces van monitoring en verificatie. Organisaties moeten mechanismen implementeren om de prestaties en de compliance van hun AI-leveranciers doorlopend te toetsen. Dit kan via periodieke audits, het monitoren van API-calls en het analyseren van verwerkingslogs. Het is eveneens essentieel om een exitstrategie te hebben. Wat gebeurt er als een leverancier faalt, zoals Delve, of als de dienst niet meer voldoet? Zorg ervoor dat data-eigendom duidelijk is vastgelegd en dat er een plan is om data en processen snel en veilig te migreren. Uiteindelijk is het cultiveren van een interne cultuur van kritisch denken de beste verdediging. Teams die AI-oplossingen inkopen, moeten worden getraind om de juiste vragen te stellen en niet alleen de voordelen, maar juist ook de risico's van nieuwe technologieën te doorgronden. In het AI-tijdperk is vertrouwen goed, maar verificatie is onmisbaar.

Olivia Nolan is redacteur bij MSP2Day, waar zij zich richt op het vertalen van complexe IT- en technologische ontwikkelingen naar toegankelijke en inspirerende artikelen. Met haar ervaring als content manager en social media expert weet zij inhoud niet alleen informatief, maar ook aantrekkelijk en relevant te maken voor een breed publiek.

Nutanix’s Agentic AI Oplossing: Een Revolutie voor FinOps en Cloud Kostenbeheer

De Evolutie van Cloudbeheer: Het Softwaregedreven Model voor IT-Diensten