DjimIT Weekly: Agentic AI governance, Zero Trust audits, en lokale LLM-soevereiniteit
NieuwsbriefDjimIT Weekly
Week 22, 2026
π NSA publiceert Zero Trust audit guide voor BIO2/NIS2
De Amerikaanse NSA publiceerde deze week een 47-pagina's tellende Zero Trust Audit Guide β en het is direct relevant voor Nederlandse overheidsorganisaties.
Het document vertaalt Zero Trust naar 7 concrete controles die je zelf kunt auditen:
- Identity Verification & Device Health
- Least Privilege Access
- Network Segmentation
- Data Protection
- Threat Detection & Response
- Supply Chain Security
- Continuous Validation
Waarom dit nu relevant is: BIO2 en NIS2 verplichten een risico-gedreven security aanpak. Zero Trust is het meest concrete raamwerk om dat te doen. De NSA guide is gratis, praktisch, en zonder marketing-taal.
Onze analyse: De meeste overheidsorganisaties scoren 2-3 op een 5-puntsschaal op deze 7 controles. De grootste gaps: MFA voor legacy applicaties, microsegmentatie, en supply chain due diligence.
π€ Open Design hardening: van preview naar productie-ready
Open Design β de agentic artifact factory waar we vorige week over schreven β is technisch indrukwekkend. Maar de 0.8.0-preview label zegt genoeg: productie inzet vereist hardening.
We hebben de afgelopen week een geharde architectuur ontworpen en gevalideerd:
- 3-laags container setup: od-daemon (read-only rootfs, cap_drop ALL), od-proxy (Caddy), od-audit (Fluent Bit)
- Netwerk segmentatie: Intern Docker netwerk, alleen proxy publiek op 443
- Audit trail: Alle agent sessies gelogd met OIDC identity, real-time naar SIEM
- Content governance: Ephemere containers per project, allowlisted tools, human approval voor mutaties
Het oordeel: Met hardening verandert Open Design van "onveilig voor productie" naar "geschikt voor controlled pilot in gereguleerde omgevingen."
β Lees het volledige hardening plan
ποΈ Het 4-lagen framework voor betrouwbare AI-agents
AI-agents zijn meer dan LLM's met tools. Betrouwbare agents vereisen 4 lagen:
- Orchestratie β Wie mag welke agent starten? (EU AI Act Art. 14)
- Model β Welk model gebruik je, en hoe monitor je het? (EU AI Act Art. 15)
- Tool β Welke tools heeft de agent, en hoe controleer je die? (EU AI Act Art. 12)
- Data β Welke data passeert de agent, en waar log je dat? (AVG Art. 5)
Elke laag heeft concrete controles, direct gemapt naar compliance vereisten. En je hoeft niet alles tegelijk te implementeren β start met een 4-weken plan.
Praktisch voorbeeld: Een gemeente die een agent inzet voor uitkeringsbeoordeling. De orchestratielaag vereist SSO, RBAC, max 30 minuten sessie, en een kill switch. De modellaag vereist geverifieerde modellen met hallucinatie detectie. De toollaag vereist alleen toegang tot specifieke datasets. De datalaag vereist prompt PII scanning en 7-jaar audit logging.
β Lees het volledige framework
πͺπΊ EU AI Act update: implementatie deadlines naderen
De EU AI Act is van kracht, maar de implementatie deadlines komen snel dichterbij:
- 2 februari 2025 (verlopen): Verbod op onaanvaardbare risico's AI
- 2 augustus 2025 (verlopen): Verplichtingen voor general-purpose AI models
- 2 augustus 2026 (aankomend): Verplichtingen voor high-risk AI-systemen
- 2 augustus 2027: Verplichtingen voor AI-systemen in kritieke infrastructuren
Wat je nu moet doen:
- Inventariseer alle AI-systemen in je organisatie
- Classificeer ze naar risiconiveau (verboden, high-risk, limited risk, minimal risk)
- Start met DPIA's voor high-risk systemen
- Implementeer governance kaders voor menselijk toezicht (Art. 14)
Nieuwe ontwikkeling: De Europese Commissie publiceerde deze week een vereenvoudigde compliance checklist voor SMEs. Die is nog niet juridisch bindend, maar geeft wel inzicht in de verwachte praktijk.
π Lokale LLM's: de soevereiniteitsdiscussie verandert
Microsoft's publicatie van MagenticLite (0.5B model dat agents draait op bescheiden hardware) en de groeiende performance van quantized models (Qwen2.5, Llama 3.2, Mistral Small) veranderen de soevereiniteitsdiscussie.
De cijfers:
- MagenticLite draait op een 8GB RAM laptop
- Qwen2.5-7B-Instruct haalt 90% van GPT-4 op code generation benchmarks
- Lokale modellen zijn 10-50x goedkoper dan API calls
- Geen data verlaat je netwerk
De implicatie: Voor veel overheidsuse cases (document analyse, vragenbeantwoording, template generatie) zijn lokale LLM's nu praktisch bruikbaar. De trade-off is niet meer "soeverein maar slecht" versus "cloud maar goed." Het is "soeverein Γ©n goed genoeg."
De catch: Lokale modellen vereisen nog steeds governance. Een model dat draait op je eigen server is niet automatisch veilig. De 4-lagen framework geldt ook voor lokale deployments.
π Deze week in cijfers
| Metric | Waarde |
|---|---|
| Nieuwe CVEs | 347 (waarvan 12 kritiek) |
| AI Act boetes uitgedeeld | β¬0 (nog geen, eerste verwacht in Q3 2026) |
| BIO2 assessments aangevraagd | 23 (bron: BZK) |
| Nieuwe agentic AI papers | 47 (arXiv mei 2026) |
| Lokale LLM downloads (Hugging Face) | 2.1M (+18% vs vorige week) |
π― Aanbevolen leesvoer
- NSA Zero Trust Audit Guide (47p) β nsa.gov
- Bouchari et al. (2026), "Autonomous LLM Agents & CTFs: A Second Look" β arXiv:2605.21497
- Vetcha & Liu (2026), "SOLAR: Self-Optimizing Open-Ended Autonomous Agent" β arXiv:2605.20189
- EC, "SME AI Act Compliance Checklist" (mei 2026) β ec.europa.eu
- Microsoft Research, "MagenticLite, MagenticBrain, Fara1.5" β microsoft.com/research
π¬ Reactie van een lezer
"Het 4-lagen framework heeft ons geholpen om onze AI governance te structureren. We wisten dat we iets moesten doen, maar wisten niet waar te beginnen. Nu hebben we een roadmap."
β IT Architect, provincie Overijssel
Heb jij ook een vraag of opmerking? Stuur een e-mail of neem contact op.
π Volgende week
- Dinsdag: Deep dive in de EU AI Artikel 15 implementatie β wat "accuracy, robuustheid en cybersecurity" Γ©cht betekent
- Donderdag: NORA compliance check voor AI-systemen β een praktische self-assessment
- Nieuwsbrief volgende week: De status van AI Act enforcement in Europa β wie controleert, wat kost het, en wat gebeurt er bij overtreding?
DjimIT Weekly verschijnt elke zaterdagochtend. Het is een samenvatting van de belangrijkste ontwikkelingen in AI governance, cybersecurity, en digital sovereignty β specifiek voor de Nederlandse publieke sector. Wil je de nieuwsbrief in je inbox ontvangen? Schrijf je in.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten β direct in uw inbox.
Doorlopend Advies
Wilt u structurele begeleiding op AI, security & compliance?
Met een Advisory Subscription heeft u een externe sparringpartner die meedenkt op strategisch en technisch niveau β zonder de overhead van een fulltime dienstverband. Vanaf β¬1.500 per maand, maandelijks opzegbaar.
Ontdek Advisory Subscription β