Een anonieme Substack-post Deze week gepubliceerde kosten voor het opstarten van compliance Duiken van het ‘valselijk’ overtuigen van ‘honderden klanten dat ze voldeden’ aan de privacy- en veiligheidsregels, waardoor die klanten mogelijk werden blootgesteld aan ‘strafrechtelijke aansprakelijkheid onder HIPAA en hoge boetes onder de AVG’.
Delve is vorig jaar een door Y Combinator gesteunde startup aangekondigd een Series A-bedrag van $ 32 miljoen op te halen ter waarde van 300 miljoen dollar. (De ronde werd geleid door Insight Partners.) Vrijdag probeerde de startup de beschuldigingen te weerleggen op zijn blogde Substack-post ‘misleidend’ noemen en zeggen dat deze ‘een aantal onnauwkeurige claims bevat’.
De Substack-post wordt toegeschreven aan “DeepDelver”, die zichzelf omschreef als werkend bij een (nu voormalige) Delve-klant. In antwoord op vragen per e-mail van TechCrunch zei DeepDelver dat zij en hun medewerkers “ervoor kozen anoniem te blijven uit angst voor represailles van Delve.”
In hun post zei DeepDelver dat ze in december een e-mail ontvingen waarin werd beweerd dat de startup “een spreadsheet met vertrouwelijke klantrapporten had gelekt”. Terwijl CEO van Delves, Karun Kaushik, klanten in een daaropvolgende e-mail blijkbaar verzekerde dat ze aan de regels voldeden en dat geen enkele externe partij toegang had tot gevoelige gegevens, zei DeepDelver dat zij en andere klanten achterdochtig waren geworden.
“Omdat we de gedeelde ervaring hadden dat we overweldigd waren door de Delve-ervaring en het algemene gevoel hadden dat er iets verdachts aan de hand was, besloten we om de middelen te bundelen en samen onderzoek te doen”, schreven ze.
Hun conclusie? Dat Delve “zijn claim het snelste platform te zijn waarmaakt door valse bewijzen te produceren, auditconclusies te genereren namens certificeringsfabrieken die rapporten goedkeuren, en belangrijke raamwerkvereisten over te slaan terwijl ze klanten vertellen dat ze 100% naleving hebben bereikt.”
DeepDelver ging gedetailleerd in op deze beweringen en beschuldigde de startup ervan klanten te voorzien van ‘verzonnen bewijsmateriaal van bestuursvergaderingen, tests en processen die nooit hebben plaatsgevonden’, en dwong die klanten vervolgens om ‘te kiezen tussen het aannemen van nepbewijs of voornamelijk handmatig werk te doen met weinig echte automatisering of AI.’
Techcrunch-evenement
San Francisco, CA
|
13.-15. Oktober 2026
DeepDelver beweerde ook dat vrijwel alle klanten van Delve via twee accountantskantoren lijken te zijn gegaan, Accorp en Gradient, die zij omschrijven als ‘onderdeel van dezelfde operatie’, een bedrijf dat voornamelijk in India opereert, met slechts een nominale aanwezigheid in de VS.
Deze bedrijven, zo zeiden ze, zijn slechts rubberen rapporten die door Delve zijn gegenereerd. Als gevolg hiervan zegt DeepDelver dat de startup de normale compliance-structuur ‘omkeert’: ‘Door het genereren van conclusies van auditors, testprocedures en eindrapporten voordat er een onafhankelijke beoordeling plaatsvindt, plaatst Delve zichzelf in de rol van zowel uitvoerder als examinator. Dit is geen technisch detail. Het is een structurele fraude die de hele attest ongeldig maakt.’
Naast het beschuldigen van Delve van het misleiden van zijn klanten, zei DeepDelver dat de startup die klanten helpt “het publiek te misleiden door vertrouwde sites te hosten die beveiligingsmaatregelen bevatten die nooit zijn geïmplementeerd.”
DeepDelver zei dat terwijl hun bedrijf de problemen met Delve besprak, de startup ons verschillende dozen donuts stuurde (…) om ons tevreden te houden. Niettemin heeft de werkgever van DeepDelver naar verluidt zijn vertrouwenspagina opgeheven en vertrouwt hij niet langer op de startup voor naleving.
Delve reageerde op de beschuldigingen door te zeggen dat het helemaal geen nalevingsrapporten uitbrengt. In plaats daarvan is het een ‘automatiseringsplatform’ dat compliance-informatie opneemt en vervolgens auditors toegang geeft tot die informatie.
“De eindrapporten en adviezen worden uitsluitend uitgegeven door onafhankelijke, erkende auditors, en niet door Delve”, aldus het bedrijf.
Delve zei ook dat zijn klanten “er voor kunnen kiezen om met een auditor van hun keuze te werken of ervoor kiezen om samen te werken met iemand uit Delve’s netwerk van onafhankelijke, geaccrediteerde externe auditkantoren.” Deze auditors, aldus de startup, zijn “gevestigde bedrijven die op grote schaal in de sector worden gebruikt, ook door andere complianceplatforms.”
In reactie op de beschuldiging dat het klanten ‘vals bewijs’ levert, wierp Delve tegen dat het eenvoudigweg ‘sjablonen aanbiedt om teams te helpen hun processen te documenteren in overeenstemming met compliance-eisen, net als andere compliance-platforms’.
“Conceptsjablonen zijn niet hetzelfde als ‘vooraf ingevulde proefdrukken'”, aldus het bedrijf.
Delve voegde eraan toe dat het “actief eventuele lekken onderzoekt” en “Substack nog steeds aan het beoordelen is”.
Toen hem werd gevraagd naar de reactie van Delves, vertelde DeepDelver aan TechCrunch dat ze “in de war waren door de luiheid, de onhandigheid en de durf ervan.”
“Ze proberen te ontkomen aan de verantwoordelijkheid door te ontkennen dat ze ‘vooraf ingevuld bewijsmateriaal’ hebben, maar noemen het in plaats daarvan ‘sjablonen’, waardoor de schuld effectief op de klanten wordt gelegd voor het adopteren van de ‘sjablonen’ zoals ze zijn, ‘zei DeepDelver. “Ze beweren dat zij niet degenen zijn die het rapport ‘uitbrengen’, wat gemakkelijk te beargumenteren is als je het uitbrengen van een rapport definieert als het geven van de definitieve stempel.”
Ze voegden eraan toe dat er “een aantal zeer ernstige beschuldigingen” zijn waar Delve helemaal niet op inging: “De beschuldiging van India, het gebrek aan kunstmatige intelligentie (ze praten alleen over ‘automatisering’) en de vertrouwenskant (lol) met controles die nooit zijn geïmplementeerd.”
DeepDelver is blijkbaar nog niet klaar met zijn kritiek, zoals beloofd: “Deel II volgt binnenkort.”
Bovendien, na de eerste Substack-post, een X-gebruiker genaamd James Zhou gezegd ze hadden toegang tot gevoelige informatie van Delve, zoals antecedentenonderzoek van medewerkers en plannen voor het definitief verwerven van aandelen. Dvuln-oprichter Jamieson O’Reilly meer details gedeeld uit wat O’Reilly zei was een gesprek met Zhou over “verschillende gapende beveiligingslekken in het externe aanvalsoppervlak van Delves.”
TechCrunch stuurde een e-mail met het verzoek om verder commentaar naar het mediacontactadres dat op de website van Delves staat vermeld. De e-mail werd teruggestuurd, maar nadat dit artikel was gepubliceerd, ontving ik later die week een agenda-uitnodiging voor een “Delve-demo”.
Dit bericht is oorspronkelijk gepubliceerd op 21 maart 2026. Het is bijgewerkt met een e-mailreactie van DeepDelver, aanvullende informatie over vermeende beveiligingsproblemen verstrekt door Jamieson O’Reilly, en aanvullende details over de reactie van Delves op TechCrunch.
