AEO/EXPERT v4.2 · LIVE
[NL] EN
BLOG
AI & AGENTS PROTOCOL & STANDAARDEN 27 feb. 2026 8 min leestijd

Agent Cards: de identiteit van AI-agents

Bas Vermeer
Bas Vermeer SEO/AEO Specialist

Wat zijn Agent Cards?

Naarmate AI-agents steeds autonomer opereren op het web, ontstaat er een fundamenteel probleem: hoe weet een website wie er aan de deur klopt? Een AI-agent die namens een gebruiker een hotelkamer boekt, een andere die wetenschappelijke literatuur doorzoekt en weer een andere die productprijzen vergelijkt, ze zien er voor een webserver allemaal hetzelfde uit: een HTTP-verzoek met een User-Agent string.

Agent Cards bieden een oplossing voor dit identiteitsprobleem. Een Agent Card is een gestructureerd JSON-document dat een AI-agent publiceert op een vooraf afgesproken locatie. Het beschrijft wie de agent is, wie de operator is, welke capaciteiten de agent heeft, wat de intenties zijn en hoe de website-eigenaar contact kan opnemen met de verantwoordelijke organisatie.

Het concept bouwt voort op bestaande standaarden. Denk aan het verschil met robots.txt, dat regels voor bots publiceert vanuit het perspectief van de website. Agent Cards draaien dit om: de agent publiceert informatie over zichzelf vanuit het perspectief van de bot-operator. Samen vormen ze een tweezijdig communicatiekanaal tussen websites en AI-agents.

BELANGRIJK

Agent Cards zijn niet alleen een technische standaard. Ze vormen de basis voor vertrouwen, verantwoording en governance in een wereld waarin AI-agents steeds meer autonome handelingen uitvoeren op het web.

De structuur van een Agent Card

Een Agent Card volgt een gestandaardiseerd JSON-schema dat is ontworpen om zowel door machines als door mensen leesbaar te zijn. Het document bevat verplichte en optionele velden die samen een compleet profiel van de agent vormen.

{\n  "@context": "https://schema.org/extensions/agent-card",\n  "@type": "AgentCard",\n  "name": "ResearchBot",\n  "version": "2.1.0",\n  "operator": {\n    "name": "Acme AI Research",\n    "url": "https://acme-ai.com",\n    "contact": "botops@acme-ai.com",\n    "legal_entity": "Acme AI Research B.V.",\n    "jurisdiction": "NL"\n  },\n  "capabilities": [\n    "web_browsing",\n    "content_extraction",\n    "summarization"\n  ],\n  "intentions": [\n    "research_indexing",\n    "citation_generation"\n  ],\n  "data_usage": {\n    "training": false,\n    "caching_duration": "24h",\n    "attribution": true\n  },\n  "rate_limits": {\n    "max_requests_per_minute": 10,\n    "max_pages_per_session": 50,\n    "respectful_crawling": true\n  },\n  "authentication": {\n    "supports_web_bot_auth": true,\n    "public_key_url": "https://acme-ai.com/.well-known/bot-auth-keys.json"\n  },\n  "compliance": {\n    "gdpr": true,\n    "ccpa": true,\n    "robots_txt": "always_respect"\n  }\n}

De kracht van dit formaat zit in de expliciete declaratie van intenties en datagebruik. Een website-eigenaar die dit document leest, weet precies dat ResearchBot content ophaalt voor indexering en citaatgeneratie, de data niet gebruikt voor modeltraining, maximaal 10 verzoeken per minuut stuurt en zich houdt aan robots.txt.

Waar worden Agent Cards gepubliceerd?

Agent Cards worden gepubliceerd op een gestandaardiseerde locatie bij de bot-operator, vergelijkbaar met hoe bedrijven hun robots.txt op de root van hun domein plaatsen. De voorgestelde standaardlocatie is `/.well-known/agent-card.json`.

# Agent Card ophalen van een bot-operator\ncurl https://openai.com/.well-known/agent-card.json\ncurl https://anthropic.com/.well-known/agent-card.json\ncurl https://acme-ai.com/.well-known/agent-card.json\n\n# Verificatie in je applicatie\n# 1. Lees de User-Agent of operator-claim uit het verzoek\n# 2. Haal de Agent Card op van de operator-URL\n# 3. Cache het resultaat (aanbevolen TTL: 24 uur)\n# 4. Gebruik de informatie voor toegangscontrole

Deze locatiekeuze past in het bredere ecosysteem van well-known URIs die steeds belangrijker worden voor AI-communicatie. Net zoals `/.well-known/security.txt` beveiligingscontactinformatie publiceert en `/.well-known/openid-configuration` OAuth-discovery mogelijk maakt, vormt `/.well-known/agent-card.json` de ontdekkingslaag voor AI-agentidentiteiten.

Agent Cards lezen en gebruiken als website-eigenaar

Als website-eigenaar kun je Agent Cards actief gebruiken om je toegangsbeleid voor AI-agents te verfijnen. In plaats van blindelings alle bots toe te staan of te blokkeren op basis van hun User-Agent string, kun je nu geïnformeerde beslissingen nemen op basis van verifieerbare metadata.

  1. Haal bij elk bot-verzoek de bijbehorende Agent Card op (met caching) en verifieer de operator.
  2. Controleer het data_usage veld: gebruikt de agent je content voor training of alleen voor citatie?
  3. Bekijk de rate_limits declaratie: houdt de agent zich aan redelijke crawllimieten?
  4. Verifieer de compliance sectie: respecteert de agent robots.txt en voldoet hij aan de AVG?
  5. Neem op basis van deze informatie een geautomatiseerde beslissing: volledige toegang, beperkte toegang of blokkade.

Dit proces kan volledig geautomatiseerd worden. Een middleware-laag in je webapplicatie haalt Agent Cards op, cachet ze en neemt op basis van je beleidsconfiguratie beslissingen over toegang. Dit is vergelijkbaar met hoe OAuth discovery werkt, maar dan specifiek voor de agent-identificatielaag.

De relatie met het A2A Protocol

Agent Cards spelen een sleutelrol in het A2A (Agent-to-Agent) Protocol. Wanneer twee AI-agents met elkaar communiceren, gebruiken ze elkaars Agent Cards om te bepalen of samenwerking mogelijk en wenselijk is. Agent A leest de Agent Card van Agent B, controleert de capaciteiten en intenties, en besluit vervolgens of het een taak wil delegeren.

In het A2A Protocol fungeren Agent Cards als een soort visitekaartje en CV tegelijk. Ze bevatten niet alleen contactinformatie maar ook een gedetailleerd overzicht van wat de agent kan en wil. Dit maakt het mogelijk om een ecosysteem van samenwerkende agents op te bouwen zonder dat elke agent individueel geconfigureerd hoeft te worden voor elke mogelijke partner.

TIP

Publiceer zelf ook een Agent Card als je organisatie AI-agents inzet die het web bezoeken. Transparantie over je bots bouwt vertrouwen op bij website-eigenaren en vermindert de kans dat je agents geblokkeerd worden.

Privacy en governance aspecten

Agent Cards raken direct aan privacy- en governancevragen die steeds urgenter worden naarmate AI-agents autonomer opereren. Het `data_usage` veld in een Agent Card is een expliciete verklaring over hoe de opgehaalde content wordt gebruikt. Hoewel zo'n verklaring op zichzelf geen juridische garantie biedt, creëert het wel een verifieerbaar commitment dat bij geschillen als bewijsmateriaal kan dienen.

  • Het training-veld geeft aan of opgehaalde content wordt gebruikt voor modeltraining. Dit is essentieel voor AVG-compliance.
  • Het caching_duration veld specificeert hoe lang data wordt bewaard, relevant voor het recht op vergetelheid.
  • Het attribution-veld geeft aan of de agent bronvermelding toepast bij het gebruik van je content.
  • Het compliance-veld lijst op aan welke regelgeving de agent voldoet (AVG, CCPA en andere).
  • De operator-gegevens bieden een direct aanspreekpunt voor vragen, klachten of verwijderverzoeken.
Agent Cards zijn het paspoort van AI-agents. Zoals een paspoort identiteit, nationaliteit en bevoegdheden vastlegt, zo documenteert een Agent Card wie de agent is, wat hij kan en hoe hij zich gedraagt.
LEES OOK

Verdiep je verder: A2A Protocol voor agents | MCP Servers en AI-agents | llms.txt als communicatiestandaard

Samenvatting

  • Agent Cards zijn gestructureerde JSON-documenten waarmee AI-agents hun identiteit, capaciteiten, intenties en datagebruik publiceren.
  • Ze worden gepubliceerd op /.well-known/agent-card.json bij de bot-operator en zijn machineleesbaar voor geautomatiseerde toegangscontrole.
  • Website-eigenaren kunnen Agent Cards gebruiken om geïnformeerde beslissingen te nemen over welke bots welke toegang krijgen.
  • In het A2A Protocol fungeren Agent Cards als het ontdekkingsmechanisme waarmee agents elkaars capaciteiten en betrouwbaarheid beoordelen.
  • De privacy- en governance-velden in Agent Cards creëren verifieerbare commitments over datagebruik, essentieel voor AVG-compliance.

Veelgestelde vragen

Zijn Agent Cards al een officiële standaard?

Agent Cards bevinden zich in de conceptfase bij het W3C en de IETF. Er zijn werkgroepen actief die het schema verder verfijnen en feedbackrondes met de industrie doorlopen. De verwachting is dat een eerste officiële specificatie in 2026 of begin 2027 wordt gepubliceerd. Ondanks de conceptstatus implementeren verschillende grote spelers al varianten van het concept.

Kan een AI-agent liegen in zijn Agent Card?

Technisch gezien kan een malafide agent onjuiste informatie publiceren in zijn Agent Card, net zoals een website onjuiste informatie kan publiceren in zijn robots.txt. De oplossing is verificatie: combineer Agent Cards met Web Bot Auth voor cryptografische identiteitsverificatie. Daarnaast kunnen industrie-registers en certificeringsinstanties Agent Cards valideren en een vertrouwenskeurmerk toekennen.

Moet ik zelf een Agent Card publiceren?

Als je organisatie AI-agents inzet die andere websites bezoeken, is het publiceren van een Agent Card sterk aan te raden. Het vergroot de transparantie, vermindert de kans op blokkering door website-eigenaren en positioneert je als een verantwoorde speler in het AI-ecosysteem. Als je uitsluitend content publiceert en geen eigen bots hebt, hoef je geen Agent Card te publiceren maar is het wel waardevol om Agent Cards van bezoekende bots te lezen.

Hoe verschilt een Agent Card van een privacy policy?

Een privacy policy is een juridisch document gericht op menselijke lezers dat beschrijft hoe een organisatie in het algemeen met data omgaat. Een Agent Card is een technisch document gericht op machines dat specifiek beschrijft hoe een individuele AI-agent data ophaalt en verwerkt. Ze zijn complementair: de privacy policy biedt het juridische kader, de Agent Card biedt de technische specificatie die geautomatiseerde toegangscontrole mogelijk maakt.

Hoe ga ik om met agents die geen Agent Card publiceren?

Behandel agents zonder Agent Card als onbekende bezoekers. Je kunt kiezen voor een gastvrije aanpak (volledige toegang, net als vandaag), een voorzichtige aanpak (beperkte toegang of rate-limiting) of een restrictieve aanpak (blokkering tenzij geïdentificeerd). De meeste websites zullen de komende jaren een geleidelijke verschuiving maken naar meer restricties voor niet-geïdentificeerde agents, naarmate Agent Cards breder geadopteerd worden.

Transparantie is de basis van vertrouwen. Agent Cards maken het voor AI-agents mogelijk om transparant te zijn over wie ze zijn en wat ze willen, en dat is precies wat het web nodig heeft.

Hoe scoort jouw website op AI-gereedheid?

Krijg binnen 30 seconden je AEO-score en ontdek wat je kunt verbeteren.

Gratis scan

TAGS

#agents #identiteit #Agent Card #metadata

DEEL DIT ARTIKEL

LINKEDIN X
NEWSLETTER

Test je website

Ontdek hoe AI-ready jouw website is met onze gratis scanner.

Start scan

GERELATEERDE ARTIKELEN