Nederlandse developer bouwt de 'Lynis voor compliance' — en dat is precies wat de overheid nodig heeft
Compliance & RegelgevingIk testte vanochtend tool nummer zoveel uit de GitHub Radar, je weet wel, dat ritueel waarbij 9 van de 10 repos vooral een mooie README blijken te zijn. Maar deze was anders. Binnen 2 minuten had ik npx tibet-audit scan --framework bio2 --org "Gemeente Test" gedraaid en kreeg ik een BIO2-rapport met 17 geautomatiseerde checks en een score. Dat is geen demo, dat is een werkend product.
TIBET Audit is het werk van Jasper van de Meent, een Nederlandse developer die onder de vlag van HumoticaOS bouwt. De pitch is simpel en raak: "Like Lynis, but for regulations." Eén CLI-commando en je project wordt gescand op compliance met GDPR, EU AI Act, DORA, NIS2, BIO2, PIPA, APPI, PDPA, LGPD, en JIS. Zero dependencies. Sovereign mode voor als er geen packet het netwerk mag verlaten.
Dat laatste is niet triviaal. De Rijksoverheid eist cloudsoevereiniteit en soevereine AI-infrastructuur. Een compliance-tool die telemetrie naar een Amerikaanse cloud stuurt is bij voorbaat onbruikbaar. TIBET's --sovereign flag garandeert: jouw data blijft op jouw machine. Voor overheid, zorg, en defensie is dat een knock-out criterium dat bijna elke concurrerende tool niet haalt.
Wat de tool écht doet, en wat niet
TIBET werkt als een statische scanner. Het leest je codebase, package.json, configuratiebestanden en checkt op herkenbare patronen:
- GDPR: Privacy policy file aanwezig? DPO-vermelding? DPIA-documentatie? Breach-notificatie procedure? Consent-mechanisme in forms?
- AI Act: AI-libraries aanwezig? Audit trail logging? Human oversight documentatie? Risk classification aanwezig? Documentatie van train-data?
- NIS2: Risk management policy? Incident response plan? Foreign cloud dependencies? Supply chain security documentatie?
- BIO2: De 17 checks (hoofdstuk 5 en 8) zijn de basis, organisatorische beveiligingsmaatregelen en technologische controls
- DORA: De nieuwste toevoeging (v0.4.0), 5 pijlers voor financiële instellingen, met ~60% overlap met BIO2
De NIS2-check is het interessantst voor onze klanten. Hij detecteert automatisch afhankelijkheden van AWS, Azure, Google Cloud, Cloudflare, DigitalOcean en Kyndryl/IBM, precies de hyperscalers waarvan de overheid wil weten hoe afhankelijk ze zijn. Dit is geen "verboden" vlag maar een bewustwordingscheck: weet je dat je van deze partij afhankelijk bent, en heb je daar een risico-afweging over gedocumenteerd?
Wat TIBET níet is: een vervanging van een volwaardige audit. Het scant bestandsnamen, code-patronen, en configuratie, geen runtime-gedrag, netwerkconfiguratie, of actieve compliance. Maar als triage-tool voordat de dure consultant komt? Precies raak.
De architectuur: wat je nog niet wist
Ik heb de source doorgespit (de GitHub Radar scan gaf 0 stars aan, misleidend, want het npm-package heeft echte adoptie). Een paar dingen die de README niet vertelt:
Het signoff-model. TIBET introduceert een compliance signoff-state machine: PENDING_REVIEW → UNDER_REVIEW → HUMAN_VERIFIED (of HUMAN_REJECTED) → JIS_SEALED. Dit is geen technische gimmick, het modelleert expliciet dat de tool suggereert maar een mens valideert. Voor een auditor is die chain of custody goud waard.
NIS2 + BIO2 alignment. De tool volgt de CIP/MinBZK guidance: "BIO2 + ISO 27001 certificering = NIS2 zorgplicht invulling." De checks zijn zo gestructureerd dat BIO2-compliance automatisch bijdraagt aan NIS2-dekking. Dat is dezelfde redenering die wij in onze consultancy toepassen, nu in tool-vorm.
Het Diaper Protocol. TIBET kan niet alleen scannen maar ook automatisch fixen: tibet-audit fix --auto. Denk aan het toevoegen van ontbrekende configuratiebestanden, het genereren van template-beleidsdocumenten, het patchen van hardcoded cloud-URLs. De --wet-wipe flag geeft een dry-run preview, je ziet wat de tool zou veranderen voordat het gebeurt.
De checks zijn modulair. src/checks/ bevat aparte TypeScript-modules per regulering. AI Act: 11 checks (AIACT-001 t/m AIACT-011) over 183 regels. NIS2: 10 checks (NIS2-001 t/m NIS2-010) over 300+ regels, inclusief de cloud-dependency detector. GDPR: 9 checks. Elk nieuw framework is een nieuw bestand, geen monolithische spaghetti.
BIO2: de gouden use case
Voor de Nederlandse publieke sector is de BIO2-module het hart. 17 checks, Grade A-F scoring, organisatienaam in het rapport. Een concreet voorbeeld van de output:
╔══════════════════════════════════════════════════════════════╗
║ BIO2 Compliance Report ║
║ Gemeente Amsterdam ║
╠══════════════════════════════════════════════════════════════╣
║ Overall Grade: A ✅ ║
║ Score: 17/17 checks passed (100.0%) ║
╚══════════════════════════════════════════════════════════════╝
De checks zijn gegroepeerd per BIO2-hoofdstuk: organisatorisch (5 checks), technologisch (12 checks), met personeel en fysiek "planned". Voor gemeenten die onder de BIO2 vallen, en dat zijn sinds september 2025 alle overheidslagen, is dit een nul-tijd-investering eerste scan.
Combineer dit met de op handen zijnde NIS2/Cyberbeveiligingswet (1 juli 2026), en je hebt een triage die in 30 seconden laat zien waar de acute gaten zitten. Elke gemeente, elk waterschap, elke ZBO zou deze scan vandaag moeten draaien. En nee, dit is geen overdreven "fundamentele verandering", het is praktische efficiëntie.
De governance-vraag: wat als de tool fout-negatief is?
Dit is het spanningsveld. TIBET scant op aanwezigheid van documentatie, niet op inhoudelijke kwaliteit. Een organisatie kan "DPIA.md" in de root hebben staan met alleen "TODO" erin en de tool geeft een vinkje. De score meet compliance hygiëne, niet compliance diepgang.
Voor consultants is dat geen bug, het is een feature. De tool doet de eerste schifting, jij doet de diepte. De combinatie van een TIBET-scan gevolgd door een DjimIT-diepteanalyse is krachtiger dan beide apart.
Praktisch: gebruik TIBET als entry point. De BIO2-scan toont de CIO dat er gaten zijn. Dan komt de vraag: "hoe dichten we die?" En dán begint het consulting-werk.
DjimIT Revenue Angle
TIBET is niet alleen een blogpost, het is een tool die direct inzetbaar is in onze consulting:
| Toepassing | Type | Potentieel |
|---|---|---|
| BIO2 quick-scan voor gemeenten | Instap-assessment | €3K-€5K |
| NIS2 readiness (TIBET + diepte-analyse) | Compliance-traject | €10K-€20K |
| AI Act gap-analyse (TIBET + interpretatie) | Gespecialiseerd | €8K-€15K |
| Sovereign compliance stack ontwerp | Architectuuradvies | €15K-€25K |
| DORA/NIS2 gecombineerd voor financiële sector | Cross-compliance | €20K-€35K |
Bovendien: Jasper van de Meent is een Nederlandse developer met een tool die direct aansluit op onze markt. Ik ga contact opnemen, niet voor acquisitie maar voor kennismaking. White-label optie? Co-development van NL-specifieke checks (BIO3 vooruitlopend, NORA-integratie)? Een partnership met DjimIT als enterprise-distributiepartner en de community-module als open-source basis.
TIBET is precies het type tool waar ik al maanden naar zoek: Nederlands, open-source, zero-dependency, multi-framework, en direct inzetbaar in de publieke sector. Het feit dat het "0 GitHub stars" had toen de Radar hem oppikte zegt meer over ontdekbaarheid dan over kwaliteit. De npm-package is live, de CLI werkt, en de BIO2-module is productie-klaar. Dit is het moment om in te stappen.
TIBET Audit: npm | GitHub | Developer: Jasper van de Meent & HumoticaOS | License: MIT | Versie: v0.4.0
Zie ook: AI Agents Under EU Law: de eerste complete compliance-blauwdruk, de 12-stappen architectuur die TIBET deels operationaliseert.
BIO2: verplicht sinds september 2025 voor alle overheidslagen. NIS2/Cyberbeveiligingswet: inwerkingtreding 1 juli 2026.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.