Het Delve-schandaal: Een harde les over AI-leveranciersrisico’s en compliance

mei 29, 2026

De toenemende afhankelijkheid van externe AI-oplossingen brengt aanzienlijke AI-leveranciersrisico's met zich mee, een realiteit die pijnlijk werd blootgelegd door het recente Delve-schandaal. Delve, een startup die claimde compliance- en due diligence-processen te automatiseren met geavanceerde kunstmatige intelligentie, bleek in werkelijkheid grotendeels te leunen op handmatig werk door laagbetaalde arbeidskrachten in de Filipijnen. Deze misleiding is meer dan alleen een contractbreuk; het onthult een kritieke kwetsbaarheid in de toeleveringsketen van veel organisaties. Bedrijven die vertrouwden op Delve's 'AI' voor gevoelige taken, zoals het controleren van sanctielijsten en achtergrondonderzoeken, stelden zich onbewust bloot aan enorme dataveiligheids-, privacy- en compliancerisico's. Het schandaal fungeert als een wake-up call: de 'black box' van een AI-leverancier kan een façade zijn voor onveilige en niet-conforme praktijken, wat een robuuste en sceptische benadering van vendor management noodzakelijk maakt.

Luister naar dit artikel:

Het Delve-incident illustreert een fundamenteel probleem: veel organisaties voeren onvoldoende diepgaande due diligence uit bij het selecteren van AI-leveranciers. Men laat zich vaak verleiden door overtuigende marketing en complexe technische claims, zonder de daadwerkelijke werking van de technologie te valideren. Effectief risicobeheer vereist een verschuiving van vertrouwen naar verificatie. Dit betekent dat men verder moet kijken dan de presentaties en SOC 2-certificaten. Potentiële klanten moeten concrete bewijzen van de AI-functionaliteit eisen, zoals live demonstraties met eigen data (binnen een veilige omgeving), toegang tot technische documentatie en de mogelijkheid om met de daadwerkelijke ontwikkelaars te spreken. Daarnaast is het cruciaal om de data-lifecycle te doorgronden: waar worden data opgeslagen, wie heeft er toegang, hoe wordt het verwerkt en welke sub-processors worden ingeschakeld? Zonder deze diepgaande technische en operationele validatie blijft de deur open voor misleiding en de bijbehorende compliance- en beveiligingsnachtmerries.

Naast technische validatie is een ijzersterk juridisch en governance-raamwerk onmisbaar als verdediging tegen leveranciersrisico's. De contracten met AI-leveranciers moeten verder gaan dan standaard service level agreements (SLA's). Ze moeten specifieke clausules bevatten over de aard van de gebruikte technologie, met expliciete garanties dat de beloofde AI-modellen daadwerkelijk worden ingezet. Essentieel zijn ook het recht op audit, waarmee een organisatie de processen van de leverancier kan controleren, en strikte dataverwerkingsovereenkomsten (DPA's) die voldoen aan GDPR en andere relevante wetgeving. Definieer duidelijke boeteclausules en exit-strategieën voor het geval van misrepresentatie of non-compliance. Intern moet er een helder governance-proces zijn voor de inkoop van AI, waarbij juridische, technische en security-teams vanaf het begin betrokken zijn. Dit voorkomt dat afdelingen op eigen houtje tools implementeren zonder de risico's volledig te overzien, waardoor een gecentraliseerde controle en een uniform risicobeleid worden gewaarborgd.

advertenties

Om de risico's effectief te mitigeren, moeten organisaties een proactieve en gestructureerde aanpak hanteren. Ontwikkel een gestandaardiseerd beoordelingsframework voor alle potentiële AI-leveranciers. Dit framework moet technische validatie (werkt de AI echt?), security audits (pen-tests, certificeringen), en compliance-controles (voldoet de dataverwerking aan GDPR?) omvatten. Vraag naar referenties en stel diepgaande vragen over hun ervaringen met de betrouwbaarheid en transparantie van de leverancier. Implementeer een 'continuous monitoring'-programma, want de risicopostuur van een leverancier is niet statisch. Periodieke herbeoordelingen, het monitoren van nieuws over de leverancier en regelmatige check-ins zijn cruciaal. Het Delve-schandaal leert ons dat in het AI-tijdperk een gezonde dosis scepsis en een rigoureus, doorlopend verificatieproces geen luxe zijn, maar een fundamentele voorwaarde voor het beschermen van de eigen organisatie tegen financiële, reputationele en juridische schade.

Olivia Nolan is redacteur bij MSP2Day, waar zij zich richt op het vertalen van complexe IT- en technologische ontwikkelingen naar toegankelijke en inspirerende artikelen. Met haar ervaring als content manager en social media expert weet zij inhoud niet alleen informatief, maar ook aantrekkelijk en relevant te maken voor een breed publiek.

Nutanix Agentic AI: De Revolutie in Geautomatiseerd IT- en Cloudbeheer