Den amerikanska complianceplattformen Delve, som profilerat sig med snabb automatisering av ramverk som SOC 2, HIPAA, ISO 27001 och GDPR, står i centrum för anklagelser om systematiskt fabricerade eller standardiserade granskningsunderlag för kunders efterlevnadsarbete. Uppgifterna har fått spridning efter en publicerad genomgång på Substack och har därefter uppmärksammats av bland andra Economic Times. Enligt anklagelserna ska stora mängder rapporter ha byggts på återanvänd standardtext, förskrivna slutsatser och dokumentation som i praktiken kan ha färdigställts innan någon verklig granskning genomförts. DeepDelver på Substack beskriver ärendet som ett exempel på hur compliance kan reduceras till mallproduktion i stället för faktisk kontroll, medan Economic Times rapportering om Delve lyfter de bredare konsekvenserna för tilliten till AI-baserade revisions- och complianceverktyg.
Delve marknadsför sin tjänst som en väg till snabbare regelefterlevnad för växande bolag och uppger på den egna webbplatsen att bolaget hjälper över 1 500 företag att hantera compliancekrav med hjälp av automatisering och AI. Delves officiella webbplats visar därmed hur central effektiviseringsretoriken blivit i en marknad där tidsbrist och kundkrav ofta driver fram snabba lösningar. Samtidigt står detta i kontrast till den professionella struktur som normalt omger en SOC 2-granskning. Enligt AICPA:s översikt över SOC 2 är en SOC 2-undersökning ett granskningsutlåtande om kontroller i en serviceorganisation, och AICPA:s illustrativa SOC 2-rapport visar att sådana rapporter ska innehålla ledningens assertion, systembeskrivning, revisorsrapport och testresultat. Om revisorsslutsatser eller kontrollresultat i praktiken standardiseras i förväg riskerar hela granskningsvärdet att urholkas.
Det som gör uppgifterna särskilt känsliga är att flera av de regelverk som nämns inte enbart är marknadsföringsetiketter utan kan få direkta juridiska följder. Inom HIPAA framhåller USA:s hälsodepartement HHS om business associates att sådana aktörer kan hållas direkt ansvariga för vissa överträdelser, och HHS om covered entities och business associates understryker att externa parter inte står utanför tillsynen. På GDPR-området betonar Europeiska dataskyddsstyrelsens material om accountability att organisationer måste kunna visa, inte bara påstå, att lämpliga tekniska och organisatoriska åtgärder finns på plats. Därmed blir frågan inte enbart om Delve eller dess kunder använt aggressiv automatisering, utan om dokumentationen faktiskt speglar verkliga kontroller och verkligt ansvar.
Fallet illustrerar ett större strukturellt problem i den snabbt växande marknaden för “compliance-as-a-service”. Automatisering kan sänka kostnader, förbättra dokumentation och minska manuellt arbete, men den kan inte ersätta oberoende bedömning där regelverk och revisionsstandarder kräver faktisk prövning. Om anklagelserna mot Delve bekräftas handlar det därför inte bara om ett enskilt bolag, utan om en varning för en bransch där hastighet och skalbarhet riskerar att premieras framför verifierbar substans. För kunder, investerare och tillsynsmyndigheter blir den avgörande frågan nu hur mycket av den utlovade effektiviteten som är legitim processförbättring, och hur mycket som i värsta fall är industrialiserad skencompliance.
Sammanfattning
Anklagelserna mot Delve gäller att bolaget ska ha använt standardiserade eller i förväg färdigställda underlag i complianceprocesser för bland annat SOC 2, HIPAA, ISO 27001 och GDPR. Uppgifterna har väckt uppmärksamhet eftersom sådana ramverk förutsätter faktisk kontroll, spårbar dokumentation och i vissa fall oberoende granskning. Fallet sätter därmed press på hela marknaden för AI-driven compliance och aktualiserar frågan om var gränsen går mellan legitim automatisering och fabricerad efterlevnad.
Källförteckning
Economic Times rapportering om Delve
AICPA:s illustrativa SOC 2-rapport
USA:s hälsodepartement HHS om business associates