Strategy
AI-agent provenance: vier guardrails na het Pentagon-verhaal
Het Pentagon liet een AI-propagandafabriek draaien op Latijns-Amerika. Verstuurt jouw bedrijf AI-geschreven mail? Je inbox werd vanmorgen lastiger. Dit is wat je verandert.

De invoice-chase agent van een Rotterdams logistiek bedrijf verstuurde deze week zijn 312e mail. Drie antwoorden kwamen terug. Twee waren "haal me van je lijst af". Eén was van een journalist die on the record wilde weten wie het bericht had geschreven. Provenance, met andere woorden, en met deadline.
De agent deed zijn werk. Een klein fine-tuned model achter een templating-laag, beleefd, accuraat, on brand. De operator die het had opgezet zat op vakantie in Skåne. De journalist kreeg anderhalve dag geen reactie, omdat niemand in het team de provenance-vraag snel genoeg kon beantwoorden om een quote te durven geven.
Dat is een normale week voor een Nederlandse MKB'er die in 2026 outbound-automatisering draait. Het is ook precies de week waarin het Pentagon werd betrapt op een AI-propagandafabriek gericht op Latijns-Amerika. De twee feiten lijken niet verwant tot je de volgende alinea in de vakpers leest: platforms gaan strenger filteren, toezichthouders gaan vragen stellen, en de bewijslast van provenance landt bij elke operator met een outbound-queue.
Waarom een Pentagon-verhaal in jouw inbox landt
De korte versie van de onthulling: een Amerikaans militair programma gebruikte AI om sociale en e-mailcontent op schaal te produceren, zonder labeling en zonder audit trail. Dat soort verhaal verandert de wet niet meteen, maar verandert wel de default-houding van iedereen ten opzichte van geautomatiseerde outbound. E-mailproviders draaien aan de signalen die ze al in de gaten hielden. De transparantieplichten uit de EU AI Act, al van kracht voor synthetische content, krijgen een politieke rugwind. Ontvangers klikken "report" in plaats van "delete", en de provenance-vraag belandt bij jou.
Als jouw bedrijf een mail-agent draait die facturen najaagt, een SDR die afspraken inplant, een chat-agent op je homepage, of een voice-agent die leads terugbelt, dan zit je nu operationeel in dezelfde categorie als het ding op de voorpagina. Niet moreel. Mechanisch. De plumbing is dezelfde.
De vier guardrails hieronder bouwen we standaard in op elke outbound agent die we opleveren. Ze kosten een paar uur engineering. Ze besparen je een week jezelf zitten uit te leggen.
Content credentials op elk outbound artifact
De C2PA-standaard (Content Credentials) komt het dichtst in de buurt van een provenance-paspoort voor gegenereerde content. Elke afbeelding, elke PDF, en steeds vaker elk bericht kan een ondertekend manifest dragen dat zegt: dit is geproduceerd door model X, onder operator Y, op tijdstip Z, met deze inputs. De handtekening is cryptografisch. Je verifieert hem zonder de publisher te vertrouwen.
Voor een outbound agent die voorstellen opstelt of facturen met quotes verstuurt: teken het artifact op het moment van generatie. Voor e-mail zelf kun je de rendered HTML nog niet ondertekenen op een manier die Outlook respecteert, dus hang een klein JSON-LD-blok aan het bericht en een ondertekende PDF aan elk document dat je meestuurt. De kosten zijn één library en één signing key. De winst: als een ontvanger (of zijn advocaat) vraagt "is dit door een machine geschreven?", is het antwoord een verifieerbaar ja met een bonnetje, geen defensieve alinea.
{
"@context": "https://c2pa.org/ns/credential/v1",
"type": "ContentCredential",
"issuer": "did:web:abn.company",
"assertions": {
"c2pa.actions": [
{ "action": "c2pa.created", "softwareAgent": "outbound-agent v1.3.2" },
{ "action": "c2pa.translated", "languages": ["nl", "en"] }
],
"c2pa.ai_generative_use": "training-mining-prohibited",
"operator": "ops@example.com",
"campaign_id": "invoice-chase-2026-W23",
"generated_at": "2026-06-06T09:14:22Z"
},
"signature": "ed25519:5jK..."
}
Een audit log die je daadwerkelijk aan een toezichthouder zou tonen
Het Pentagon-verhaal was niet schadelijk omdat de content slecht was. Het was schadelijk omdat de provenance ontbrak: er was geen audit trail die iemand kon inzien. Hetzelfde zal gelden voor een Nederlandse B2B die eindigt in een klacht bij de Autoriteit Persoonsgegevens. Je wilt dat het antwoord op "wat heb je naar deze persoon gestuurd, wanneer, waarom, en in wiens opdracht?" één regel query is.
Wat we per outbound bericht loggen: de inkomende trigger (CRM-event, beantwoorde thread, handmatige goedkeuring), het model en de versie, de hash van de system prompt, de rendered output, het recipient ID, de operator die de campagne autoriseerde, en de status van de menselijke review. We bewaren het in append-only Postgres met dagelijkse off-site snapshots. We houden 18 maanden aan. Niets exotisch. Het is dezelfde bewijsketen die je bij een inkoopbesluit bijhoudt, toegepast op berichten.
Eén detail dat mensen missen: als je agent een mislukte verzending opnieuw probeert, log de retry dan als een apart event met eigen timestamp. De meest voorkomende audit-fout die wij zien is één rij in de database voor wat in werkelijkheid drie afleveringen aan dezelfde ontvanger waren.
Eerlijke disclosure in het bericht zelf
Europese ontvangers lopen op dit punt ongeveer tien maanden voor op de wet. Ze weten het al. Het beleefde Engelse mailtje van vier zinnen om 07:42 zonder typefouten leest als geautomatiseerd, of je het nu labelt of niet. Labelen kost je niets en levert het enige op wat in outbound écht telt: antwoorden die niet vijandig zijn.
Onze standaard footer voor een geautomatiseerd outbound-bericht ziet er zo uit:
<p class="automation-disclosure">
Verstuurd door een geautomatiseerde assistent namens
<a href="mailto:ops@example.com">Anna van Dijk, Operations</a>.
Antwoord gewoon, een mens leest het.
<a href="https://example.com/automation">Zo werkt het</a>.
</p>
De link wijst naar een pagina van één scherm die noemt welk model de agent gebruikt, tot welke data hij toegang heeft, hoe je je afmeldt, en hoe je een mens bereikt. We hebben dit sinds november op drie outbound-programma's gemeten. Agents met disclosure krijgen iets minder antwoorden (zo'n 6 procent relatief minder) en aanzienlijk hogere kwaliteit antwoorden. Vijandige klachten zakken naar ongeveer een kwart van de eerdere baseline.
Een menselijke handtekening op intentie, niet alleen op verzenden
De duurste fout die we founders in 2026 hebben zien maken is "de agent heeft het verstuurd" verwarren met "de agent besloot het te versturen". Een toezichthouder doet dat niet. Een rechter doet dat niet. Je klanten doen dat niet.
Dus we scheiden de twee. Elke outbound-campagne heeft een intent signature: een mens met naam, een timestamp, een goedkeuring op het doel van de campagne, de doelgroepkeuze, en de berichttemplate. De agent draait vervolgens tegen die handtekening, die bovenaan zijn provenance chain komt te staan. Drift de campagne (nieuwe doelgroep, nieuwe template, nieuw model), dan is de handtekening ongeldig en stopt de agent. Dat is één rij in een campaigns-tabel met een foreign key op elk bericht. Het kost niets. Het is het verschil tussen "automatisering die ons team heeft opgezet" en "een ongesuperviseerd systeem", en dat onderscheid doet de komende achttien maanden juridisch heel veel werk.
Voor risicovolle segmenten (gereguleerde sectoren, journalisten, ambtenaren) bouwen we een tweede poort in: de agent stelt op, maar verstuurt niet. De drafts staan in een Slack-channel klaar voor de operator om vrij te geven. Ja, het is trager. Ja, het houdt je van de voorpagina af.
Wat een legitieme outbound agent onderscheidt van een propagandafabriek is niet het model. Het is de audit trail, de disclosure, en de mens met naam achter de campagne. Bouw die drie en het model is gewoon plumbing.
Wat je deze week oplevert
Lees EU AI Act artikel 50 over transparantieplichten voor synthetische content. Twee pagina's. Loop daarna langs wat dan ook jouw outbound opstelt en beantwoord vier provenance-vragen op papier. Waar staat het ondertekende artifact. Waar staat de audit log. Wat zegt de disclosure. Wie tekent de intentie.
Toen we de invoice-chase agent bouwden voor een Nederlandse logistieke klant (piek-inbox: rond de 1.400 chase-mails per maand), liepen we erop vast dat hun CRM geen begrip had van campagne-intentie, waardoor elk bericht eruitzag als een eenmalige actie zonder provenance om naar te wijzen; we losten het op door de signature als lichte tabel naast hun bestaande pipeline te zetten en de foreign key door de agent te trekken. Wil je hulp om hetzelfde patroon in je eigen stack te krijgen, dan is dat het werk dat wij doen rond AI-agents.
Het kleinste wat je vandaag kunt doen: pak één outbound agent en schrijf de disclosure-footer. Niet de juridische versie. Eentje die een klant ook echt zou lezen. Zet hem morgen live.
Kern
Wat een legitieme outbound agent onderscheidt van een propagandafabriek is niet het model. Het is de audit trail, de disclosure, en de mens met naam achter de campagne.
FAQ
Werkt C2PA al voor de body van een e-mail?
Niet betrouwbaar. Onderteken meegestuurde PDF's en voeg een JSON-LD-blok toe in de body. Native email signing komt eraan, maar geen enkele mainstream client toont het nog als trust signal.
Hoe lang moet ik de outbound audit log bewaren?
Wij houden standaard 18 maanden aan. Lang genoeg voor de meeste toezichts- en klachttermijnen, kort genoeg om AVG-gesprekken simpel te houden. Pas aan op jouw sector.
Verlies ik antwoorden door een automation disclosure footer?
Iets. In drie outbound-programma's die we maten, daalde het totaal aantal antwoorden zo'n 6 procent relatief, terwijl vijandige antwoorden en klachten naar ongeveer een kwart zakten. Netto wordt de kwaliteit beter.