Microsoft vraagt om agent governance — ben je klaar voor de AI Act?

2 april 2026. Microsoft zet een open-source toolkit op GitHub die de manier waarop we naar AI agent security kijken fundamenteel verandert. De Agent Governance Toolkit (AGT) is niet nóg een prompt-filter of LLM-guardrail — het is een deterministische runtime governance-laag die vóór de model-output ingrijpt. Sub-milliseconde policy enforcement. Cryptografische agent-identiteiten. Execution sandboxing met privilege rings. En het dekt 10 van de 10 OWASP Agentic Top 10 risico's af.

Vier weken later staat de teller op 2.300+ sterren, 19 framework-integraties, en — cruciaal voor de Nederlandse publieke sector — kant-en-klare compliance mappings voor de EU AI Act, ISO 42001, NIST AI RMF, en SOC 2.

Dit is geen tool die je "ooit" nodig hebt. Dit is de governance-laag die je nú moet hebben voordat je agents in productie neemt.

---

Het probleem: prompt-level safety is geen control surface

De industrie heeft een fundamenteel probleem met agentic AI: we vragen een stochastisch systeem om zich aan regels te houden. "Volg het beleid", "wees veilig", "doe geen destructieve dingen" — het zijn beleefde verzoeken aan een model dat per definitie non-deterministisch is.

OWASP LLM01:2025 stelt het expliciet: "it is unclear if there are fool-proof methods of prevention for prompt injection." De cijfers liegen er niet om:

• JailbreakBench (Chao et al., NeurIPS 2024): adaptive attacks halen near-100% attack success rates tegen frontier safety-aligned modellen
• Andriushchenko et al., 2024: 100% ASR op GPT-4, GPT-3.5, Claude 3, en Llama-3 met simpele prompt-only aanvallen
• Microsoft's eigen AI Red Teaming Agent: zelfs de sterkste prompt-layer defenses lekken double-digit resterende ASR

De conclusie van Microsoft's Lessons from Red Teaming 100 Generative AI Products is vernietigend helder: "AI red teaming is never complete" — omdat model-layer defenses probabilistisch van aard zijn.

AGT probeert deze strijd niet in de prompt te winnen. Het onderschept élke tool call, élk bericht, élke delegatie in deterministische applicatiecode — vóórdat de intentie van het model de wire bereikt.

---

Wat AGT wél doet

De architectuur is gelaagd en modulair. Je begint met govern() en voegt lagen toe naarmate je risicoprofiel groeit:

Agent → Policy Engine → Identity → Audit Log
         (YAML/OPA/Cedar)  (SPIFFE/DID/mTLS)  (Tamper-evident)
              │                                      │
              ├── Allowed → Tool executes            │
              └── Denied  → GovernanceDenied         │
                                                     ▼
                                              Decision Record

Twee regels code

from agentmesh.governance import govern

safe_tool = govern(my_tool, policy="policy.yaml")

Dat is het. safe_tool evalueert je YAML-policy bij élke aanroep, logt de beslissing, en raiset GovernanceDenied als de actie geblokkeerd is. Werkt met LangChain, CrewAI, OpenAI Agents, AutoGen, Google ADK, en elk ander framework.

De zeven packages

| Package | Functie | |---------|---------| | Agent OS | Policy engine, agent lifecycle, governance gate | | Agent Mesh | Agent discovery, routing, en trust mesh | | Agent Runtime | Execution sandboxing met vier privilege rings | | Agent SRE | Kill switch, SLO monitoring, chaos testing | | Agent Compliance | OWASP verificatie, policy linting, integrity checks | | Agent Marketplace | Plugin governance en trust scoring | | Agent Lightning | RL training governance met violation penalties |

Daarnaast: MCP Security Gateway (tool poisoning detection, drift monitoring), Shadow AI Discovery, Governance Dashboard, en PromptDefense Evaluator (12-vector prompt injection audit).

---

De EU AI Act-haak: compliance is ingebakken

Dit is waar het interessant wordt voor Nederlandse overheidsorganisaties. AGT's compliance-pagina bevat kant-en-klare mappings naar:

• EU AI Act Checklist — direct toepasbaar op high-risk AI systemen
• FRIA Template (Fundamental Rights Impact Assessment)
• Impact Assessment Template
• Incident Response Workflow — gekoppeld aan post-market monitoring
• Record Retention Policy — tamper-evident audit logs
• Data Provenance Model — voor transparantievereisten

Voor een ministerie of ZBO dat een AI-systeem met agents wil inzetten, betekent dit: de compliance-documentatie is niet iets wat je vanaf nul moet opbouwen. Microsoft geeft je het raamwerk. DjimIT implementeert en configureert het voor de Nederlandse context.

---

Waarom dit nú relevant is voor de Nederlandse overheid

Er komen drie lijnen samen die dit tot een urgent onderwerp maken:

1. EU AI Act — 2 augustus 2026

Over iets meer dan twee maanden worden de eerste verplichtingen van de EU AI Act van kracht. High-risk AI-systemen moeten aantoonbaar voldoen aan transparantie-, documentatie- en risicomanagementeisen. Agentic AI valt hier nadrukkelijk onder — een autonoom handelende agent is per definitie een systeem dat impact heeft op natuurlijke personen.

2. BIO2 — Baseline Informatiebeveiliging Overheid

BIO2 vereist functiescheiding, audittrails, en aantoonbare beheersing van geautomatiseerde processen. Een AI-agent die zonder runtime governance tools aanroept, databases bevraagt, en e-mails verstuurt — dat is een BIO2-audit die je niet wilt ondergaan zonder deterministische policy enforcement.

3. NORA AP-08 — Continuïteit van dienstverlening

De Nederlandse Overheid Referentie Architectuur schrijft voor dat kritieke systemen voorspelbaar en controleerbaar moeten zijn. Een agent die "waarschijnlijk" geen destructieve queries uitvoert, voldoet niet aan NORA.

---

DjimIT's aanpak: van toolkit naar BIO2-compliant runtime

Een AGT-implementatie voor de Nederlandse overheid ziet er ongeveer zo uit:

Fase 1 — Policy configuratie (2-3 dagen)

• YAML-policies afstemmen op BIO2-classificatie (Departementaal Vertrouwelijk, BBN1/2/3)
• Rolgebaseerde policies voor functiescheiding: welke agent mag welke tool aanroepen?
• Destructieve operaties (DROP, DELETE, TRUNCATE) standaard op require_approval met menselijke goedkeuring

Fase 2 — Identity & sandboxing (2-3 dagen)

• SPIFFE-identiteiten koppelen aan bestaande IAM-structuur
• Agent Runtime sandboxing configureren op de vier privilege rings
• Netwerksegmentatie: agents in BBN-geclassificeerde zones

Fase 3 — Audit & compliance (1-2 dagen)

• Tamper-evident audit logging activeren
• EU AI Act compliance templates invullen met projectspecifieke data
• FRIA-sjabloon afronden en koppelen aan BIO2-auditcyclus

Fase 4 — SRE & monitoring (1 dag)

• Agent SRE kill switches configureren
• SLO's definiëren voor agent latency, error rates, en policy violations
• Dashboard inrichten voor real-time governance visibility

Totale implementatie: 6-9 dagen, €15K-25K per systeem — afhankelijk van complexiteit en aantal agent-types.

---

Eerste stap: de Agentic AI Governance Scan

Voordat je AGT implementeert, moet je weten wát je moet governen. DjimIT biedt een Agentic AI Governance Scan die in één dag in kaart brengt:

• Welke agents (of agent-achtige processen) draaien er al in de organisatie?
• Welke tools, API's en databases hebben ze toegang tot?
• Welke OWASP Agentic Top 10 risico's zijn relevant?
• Hoe scoort de huidige setup op EU AI Act readiness?
• Wat is het minimale governance-pad naar BIO2-compliance?

De scan is de nulmeting. Van daaruit bouw je de governance-laag die past bij je risicoprofiel — en bij je BIO2-classificatie.

---

Conclusie

Microsoft heeft met AGT de standaard gezet voor agent governance. Niet als theoretisch kader, maar als werkende, open-source toolkit met 2.300+ sterren, 19 integraties, en compliance-mappings die direct aansluiten op de EU AI Act.

Voor de Nederlandse overheid is de vraag niet óf je agent governance nodig hebt. De vraag is of je het hebt staan vóórdat de AI Act van kracht wordt — en vóórdat je BIO2-auditor vraagt hoe je agents eigenlijk beheerst.

DjimIT kan je helpen die vraag met "ja" te beantwoorden.

---

Wil je weten hoe jouw organisatie scoort op agentic AI governance? Neem contact op voor een vrijblijvende quickscan.