Delve Dituduh Menyesatkan Pelanggan dengan Klaim Kepatuhan Palsu

Delve, sebuah startup yang bergerak di bidang kepatuhan regulasi, tengah menghadapi tuduhan serius dari sebuah posting anonim di platform Substack yang menyebut mereka telah menyesatkan ratusan pelanggan dengan klaim kepatuhan palsu terhadap regulasi keamanan dan privasi. Tuduhan ini berpotensi membawa konsekuensi hukum berat bagi pelanggan mereka, termasuk tanggung jawab kriminal berdasarkan HIPAA dan denda besar di bawah GDPR.

Latar Belakang Startup Delve dan Tuduhan Kepatuhan Palsu

Delve adalah startup yang mendapat dukungan dari Y Combinator dan berhasil mengumpulkan dana Seri A sebesar $32 juta dengan valuasi mencapai $300 juta tahun lalu, di mana putaran pendanaan ini dipimpin oleh Insight Partners. Namun, pada hari Jumat, Delve mencoba membantah tuduhan tersebut melalui posting blog resmi mereka, menyebut tulisan di Substack sebagai "menyesatkan" dan mengandung "klaim tidak akurat".

Posting anonim dengan nama akun "DeepDelver" mengaku sebagai mantan klien Delve. Mereka menjelaskan bahwa pada bulan Desember mereka menerima email yang mengklaim bahwa Delve telah membocorkan spreadsheet berisi laporan rahasia klien. Meskipun CEO Delve, Karun Kaushik, mengirimkan email lanjutan yang menegaskan bahwa pelanggan tetap mematuhi regulasi dan tidak ada pihak luar yang mengakses data sensitif, DeepDelver dan pelanggan lain mulai curiga.

"Dengan pengalaman bersama yang mengecewakan dan perasaan bahwa ada sesuatu yang tidak beres, kami memutuskan untuk bergabung dan menyelidiki lebih dalam," tulis DeepDelver.

Hasil penyelidikan mereka mengungkap bahwa Delve diduga menghasilkan bukti palsu, memproduksi kesimpulan auditor melalui 'pabrik sertifikasi' yang hanya menyetujui laporan, dan melewatkan persyaratan kerangka kerja penting sambil memberi tahu klien bahwa mereka telah mencapai 100% kepatuhan.

Detail Tuduhan dan Dugaan Praktik Curang Delve

DeepDelver menuduh Delve membuat "bukti palsu" seperti dokumen rapat dewan, pengujian, dan proses yang sebenarnya tidak pernah terjadi. Pelanggan kemudian dipaksa memilih antara menggunakan bukti palsu tersebut atau melakukan pekerjaan manual yang sebagian besar tanpa automasi atau kecerdasan buatan yang nyata.

Mereka juga mengungkapkan bahwa hampir semua klien Delve menggunakan dua firma audit, Accorp dan Gradient, yang diduga merupakan bagian dari satu operasi yang berpusat di India dengan kehadiran minimal di Amerika Serikat. Kedua firma ini dituduh hanya menyetujui laporan yang dibuat Delve tanpa melakukan pemeriksaan independen.

"Delve membalik struktur kepatuhan normal dengan membuat kesimpulan auditor dan laporan akhir sebelum ada tinjauan independen. Ini bukan sekadar teknis, tapi sebuah penipuan struktural yang membatalkan seluruh pernyataan kepatuhan," tegas DeepDelver.

Selain itu, Delve juga dituduh membantu kliennya menyesatkan publik dengan menampilkan halaman kepercayaan yang berisi langkah keamanan yang sebenarnya tidak pernah diterapkan.

Respons Delve dan Isu Keamanan Tambahan

Sebagai tanggapan, Delve menyatakan bahwa mereka tidak pernah mengeluarkan laporan kepatuhan. Mereka hanya menyediakan platform automasi yang mengumpulkan informasi kepatuhan dan memberikan akses kepada auditor independen untuk menilai informasi tersebut.

"Laporan dan opini akhir hanya dikeluarkan oleh auditor berlisensi dan independen, bukan Delve," kata perusahaan. Mereka juga menambahkan bahwa pelanggan dapat memilih auditor sendiri atau menggunakan auditor dari jaringan Delve yang telah terakreditasi dan banyak digunakan di industri.

Terkait tuduhan menyediakan "bukti palsu," Delve mengatakan bahwa mereka hanya menyediakan template untuk membantu tim mendokumentasikan proses sesuai kebutuhan kepatuhan, sama seperti platform kepatuhan lainnya.

Selain itu, Delve mengonfirmasi bahwa mereka sedang menyelidiki dugaan kebocoran data dan masih meninjau isi postingan Substack tersebut.

Pasca tuduhan ini, seorang pengguna X (sebelumnya Twitter) bernama James Zhou mengklaim berhasil mengakses data sensitif Delve, termasuk pemeriksaan latar belakang karyawan dan jadwal vesting ekuitas. Pendiri Dvuln, Jamieson O’Reilly, membagikan rincian percakapan dengan Zhou yang mengungkapkan beberapa celah keamanan signifikan pada permukaan serangan eksternal Delve.

Analisis Redaksi

Menurut pandangan redaksi, tuduhan terhadap Delve bukan hanya sekadar masalah reputasi startup teknologi biasa, melainkan menunjukkan potensi kegagalan sistemik dalam industri kepatuhan otomatis yang semakin bergantung pada teknologi dan audit digital. Jika benar Delve menyediakan bukti dan laporan palsu, ini bisa mengikis kepercayaan pasar dan meningkatkan risiko hukum bagi banyak perusahaan yang bergantung pada platform mereka untuk keamanan data dan kepatuhan regulasi.

Lebih jauh, praktik menggunakan auditor yang diduga tidak independen dan beroperasi dari luar negeri dengan kehadiran minimal di pasar utama seperti AS menimbulkan pertanyaan serius tentang kualitas dan integritas audit. Ini bisa menjadi preseden buruk jika tidak segera ditangani, mengingat pentingnya regulasi seperti HIPAA dan GDPR dalam melindungi data pribadi dan keamanan informasi.

Ke depan, publik dan pelaku industri harus mengawasi perkembangan kasus ini, sekaligus menuntut transparansi dan akuntabilitas lebih tinggi dari startup kepatuhan digital. Regulasi yang ketat dan audit yang benar-benar independen harus menjadi prioritas untuk melindungi konsumen dan menjaga integritas pasar.

Delve sendiri perlu membuktikan komitmennya terhadap transparansi dan keamanan, serta memperbaiki sistemnya agar tidak menimbulkan risiko hukum dan reputasi bagi klien. Kasus ini menjadi peringatan penting bagi semua pemain di industri teknologi kepatuhan bahwa kemudahan otomatisasi tidak boleh mengorbankan keabsahan dan tanggung jawab.

Terus pantau perkembangan berita ini untuk informasi terbaru dan analisis mendalam terkait implikasi hukum dan teknologi dari tuduhan serius ini.