Spring til indhold
Tilbage til nyheder
Når compliance-værktøjer lover for meget, bliver indkøb pludselig jura

Når compliance-værktøjer lover for meget, bliver indkøb pludselig jura

AIComplianceSikkerhed

En ny sag i USA rammer et område, som mange danske virksomheder og myndigheder lige nu køber ind i: AI og automatisering af compliance. Startupen Delve er blevet beskyldt for at overbevise hundredvis af kunder om, at de levede op til krav om privatliv og sikkerhed, selv om dokumentation og kontroller ifølge kritikken ikke holdt. Hvis historien bare er halvt sand, er læringen enkel. Man kan ikke outsource bevisbyrden.

💡 Kort fortalt En anonym tidligere kunde hævder, at Delve brugte færdige skabeloner, konklusioner og mangelfulde kontroller i et omfang, der kunne ramme både GDPR og HIPAA. Delve afviser kritikken og siger, at endelige rapporter alene udstedes af uafhængige revisorer.

Det mest alvorlige i sagen er ikke, om en startup har lovet for meget i en demo. Det er påstanden om, at kunder kan være blevet ført frem til et grønt stempel uden at have det faktiske grundlag på plads. TechCrunch beskriver blandt andet anklager om fabrikeret dokumentation, trust pages med sikkerhedsforhold, som ikke var implementeret, og et setup hvor samme kreds omkring værktøj og audit ifølge kritikerne kom for tæt på hinanden.

Delves svar er vigtigt at have med. Virksomheden siger, at den ikke selv udsteder compliance-rapporter, men leverer et automatiseringslag, som revisorer kan arbejde ovenpå. Den siger også, at kunder kan vælge egne auditpartnere, og at det, kritikerne kalder falsk bevis, i virkeligheden er skabeloner til dokumentation. Det er en reel forskel. Men netop derfor bliver sagen også nyttig for indkøbssiden: hvis grænsen mellem skabelon, dokumentation og faktisk kontrol er uklar, så er risikoen stadig jeres.

For danske virksomheder betyder det, at compliance-AI skal købes som et værktøj, ikke som en genvej. For offentlige aktører er pointen endnu skarpere. Hvis en leverandør hjælper med informationssikkerhed, databeskyttelse eller auditforberedelse, skal man kunne se præcis, hvad der er maskinskabt, hvad der er kundens eget materiale, og hvad en uafhængig part faktisk har efterprøvet.

Det praktiske næste skridt er kedeligt, men effektivt. Bed om eksempler på rå dokumentation. Bed om at se, hvordan et kontrolspor bliver skabt. Bed om at se, hvor menneskelig gennemgang ligger, og hvem der hæfter, hvis en kontrol viser sig aldrig at have fundet sted. AI kan godt skære tid væk fra compliance-arbejde. Men hvis værktøjet også flytter ansvaret ud af syne, bliver det hurtigt en dyr besparelse.

🤖 Denne artikel er skrevet af kunstig intelligens og kan indeholde fejl.

Læs original kilde →

Fandt du en fejl?