Wat is een verified agent?

Een AI-agent die geregistreerd is in een trust-registry en cryptografisch identificeerbaar is bij elke transactie. Issuers, merchants en platforms kunnen de identiteit verifiëren en, indien nodig, het privilege intrekken. Vergelijkbaar met SSL-certificaten voor websites — maar dan voor agents.

Hoe weet ik als merchant of een agent legitiem is?

Via de payment-provider en de agent-platform. Visa, Mastercard en Stripe markeren in de transactie of het een verified agent betreft. Daarnaast geven shopping-platforms (ChatGPT, Perplexity, Amazon Rufus) een handshake bij API-calls waarmee jouw shop de agent kan herkennen.

Wat als een agent ongewenst koopt?

Drie verdedigingslagen. Een: de gebruiker stelt vooraf limieten (bedrag, categorie, frequentie). Twee: de agent-platform houdt een audit trail bij. Drie: chargebacks en consumer-protection regels zijn aangepast voor agent-initiated payments — al is dit juridisch nog in beweging.

Hebben agents toegang tot mijn klantgegevens?

Alleen tot wat je expliciet ontsluit. Een agent ziet typisch alleen wat hij nodig heeft om de aankoop te voltooien: adres, contactgegevens, eventueel maatgegevens. Je hoeft hem geen volledig CRM-profiel te geven.

Hoe past dit binnen de AVG?

Agent-acties zijn juridisch acties van de mens die de agent autoriseert. Consent moet expliciet, geïnformeerd en intrekbaar zijn. Voor merchants betekent dit dat je duidelijk maakt welke gegevens je verwerkt en welke je deelt met agent-platforms.

Trust & Identity in agentic e-commerce — authenticatie en consent

Laatst bijgewerkt: 13 mei 2026

TL;DR

Trust & Identity is de hoeksteen van agentic e-commerce. Drie bouwstenen maken veilige autonome transacties mogelijk: identity (wie is de agent en namens wie handelt hij), authorization scope (wat mag hij wel en niet) en audit (wat heeft hij gedaan en is dat traceerbaar). Voor webshops betekent dit dat je niet alleen moet vertrouwen op je payment-provider, maar ook zelf signalen moet leveren en logs moet bijhouden. Wie deze laag serieus neemt, bouwt verdedigbare differentiatie.

Waarom is Trust & Identity zo belangrijk?

In de oude e-commerce was vertrouwen relatief simpel: een mens met een kaart, een SSL-verbinding, een bevestigingsknop. In de agent-wereld zijn er drie partijen: de mens, zijn agent en de merchant. Tussen die drie moeten authentieke berichten worden uitgewisseld, met cryptografische zekerheden, binnen vooraf gestelde grenzen.

De vraag “is dit echt jouw agent?” wordt het equivalent van “is dit echt jouw kaart?”. Beide moeten technisch én juridisch goed geregeld zijn. Wie hier achterop raakt, verliest commercieel verkeer én loopt risico op fraudeschade.

Vertrouwen in agentic commerce is geen warm gevoel — het is een stack van cryptografische, juridische en operationele afspraken.

Bouwsteen 1: Identity

Identity beantwoordt drie vragen tegelijk: wie is de gebruiker, wie is zijn agent, en hoe is de relatie tussen die twee vastgelegd?

Gebruikersidentiteit

Klassieke authenticatie: e-mail/wachtwoord, sociale login, two-factor authentication, eventueel passkeys. Voor consument-naar-merchant interacties blijft dit grotendeels onveranderd.

Agentidentiteit

Hier komt iets nieuws: elke agent krijgt een cryptografisch identifier uitgegeven door een agent-registry. Bij elke API-call presenteert de agent zijn credentials, en de ontvangende partij verifieert die bij de registry. Spoofing wordt daarmee dramatisch moeilijker — een agent zonder geldige credentials wordt direct geweigerd.

Mens-agent-binding

De koppeling tussen gebruiker en agent wordt vastgelegd in een ondertekend “authorization grant”. Dit is een digitaal document waarin de gebruiker zijn agent specifieke rechten geeft (limieten, scope, geldigheidsduur). De agent toont dit grant bij elke transactie. Trekt de gebruiker het in, dan stoppen alle agent-acties onmiddellijk.

Bouwsteen 2: Authorization scope

Niet elke agent mag alles. Authorization scope definieert per agent wat hij wel en niet mag:

Maximumbedrag per transactie. Bijvoorbeeld 50 euro autonoom, daarboven expliciete bevestiging.
Dagelijks/maandelijks budget. Totale uitgaven binnen een periode.
Toegestane categorieën. Boodschappen mag, gokken niet.
Geografische restricties. Alleen merchants in NL/EU.
Tijdsvenster.Agent mag handelen in de ochtenduren, niet 's nachts.
Specifieke merchants of merken. Whitelist of blacklist.

Voor merchants is dit relevant omdat de scope soms invloed heeft op de transactie: een agent met te beperkte scope kan jouw bestelling niet voltooien. Een agent-friendly checkout vertelt de agent duidelijk welke kosten erbij komen, zodat hij voor commitment kan checken of zijn scope toereikend is.

Bouwsteen 3: Audit

Iedereen wil weten wat de agent heeft gedaan — de gebruiker achteraf, de merchant ter beheersing van risico, de payment-provider voor fraude-detectie, regulators bij geschillen. Een serieuze agent-platform houdt daarom een gestructureerde audit trail bij:

Welke intent kreeg de agent?
Welke productdata heeft hij beoordeeld?
Welke vergelijking is gemaakt?
Welke aanbeveling is gedaan?
Welke transactie is geïnitieerd?
Wie heeft welke bevestiging gegeven?

Voor merchants is een eigen log van agent-interacties cruciaal. Niet alleen voor compliance, maar ook voor optimalisatie — je leert waar agents vragen stellen, welke producten ze aanbieden, en welke informatie ze missen.

Drie regels voor merchants

Eén: ondersteun verified-agent-signalen in je payment-flow en communiceer ze in je analytics. Twee: log alle agent-interacties inclusief productID, intent en uitkomst. Drie: zorg dat je consent management duidelijk maakt welke gegevens je deelt met agents.

De rol van de agent-registry

Een agent-registry is een organisatie of platform dat agent-identiteiten beheert: registreert, valideert, intrekt. Vroege voorbeelden zijn registries van OpenAI, Anthropic, Google en Microsoft voor hun respectievelijke agents. Daarnaast zijn er onafhankelijke registries in opkomst die platformoverstijgend werken.

Voor het ecosysteem is een gezonde balans nodig: te veel registries leidt tot fragmentatie, te weinig tot monopoliepositie. In 2026 is dit een van de spannende open punten in het agent-landschap.

Wat doe je nu als merchant?

Drie concrete acties:

Vraag je payment-provider naar hun agent-roadmap. Stripe, Mollie, Adyen — wanneer ondersteunen ze verified-agent flags?
Begin met logging. Onderscheid agent-traffic van human-traffic in je access logs en analytics.
Documenteer consent. Maak in je privacy statement helder welke gegevens je deelt met agent-platforms en op welke basis.

Volgende stap

Lees over Agent Payment Protocols, of de risico's en uitdagingen van het bredere ecosysteem.

Naar Agent Payments Risico's en uitdagingen

Trust &Identity