2 april 2026. Microsoft zet een open-source toolkit op GitHub die de manier waarop we naar AI agent security kijken fundamenteel verandert. De Agent Governance Toolkit (AGT) is niet nóg een prompt-filter of LLM-guardrail, het is een deterministische runtime governance-laag die vóór de model-output ingrijpt. Sub-milliseconde policy enforcement. Cryptografische agent-identiteiten. Execution sandboxing met privilege rings. En het dekt 10 van de 10 OWASP Agentic Top 10 risico's af.

Vier weken later staat de teller op 2.300+ sterren, 19 framework-integraties, en, cruciaal voor de Nederlandse publieke sector, kant-en-klare compliance mappings voor de EU AI Act, ISO 42001, NIST AI RMF, en SOC 2.

Dit is geen tool die je "ooit" nodig hebt. Dit is de governance-laag die je nú moet hebben voordat je agents in productie neemt.

Het probleem: prompt-level safety is geen control surface

De industrie heeft een fundamenteel probleem met agentic AI: we vragen een stochastisch systeem om zich aan regels te houden. "Volg het beleid", "wees veilig", "doe geen destructieve dingen", het zijn beleefde verzoeken aan een model dat per definitie non-deterministisch is.

OWASP LLM01:2025 stelt het expliciet: "it is unclear if there are fool-proof methods of prevention for prompt injection." De cijfers liegen er niet om:

JailbreakBench (Chao et al., NeurIPS 2024): adaptive attacks halen near-100% attack success rates tegen frontier safety-aligned modellen
Andriushchenko et al., 2024: 100% ASR op GPT-4, GPT-3.5, Claude 3, en Llama-3 met simpele prompt-only aanvallen
Microsoft's eigen AI Red Teaming Agent: zelfs de sterkste prompt-layer defenses lekken double-digit resterende ASR

De conclusie van Microsoft's Lessons from Red Teaming 100 Generative AI Products is vernietigend helder: "AI red teaming is never complete", omdat model-layer defenses probabilistisch van aard zijn.

AGT probeert deze strijd niet in de prompt te winnen. Het onderschept élke tool call, élk bericht, élke delegatie in deterministische applicatiecode, vóórdat de intentie van het model de wire bereikt.

Wat AGT wél doet

De architectuur is gelaagd en modulair. Je begint met govern() en voegt lagen toe naarmate je risicoprofiel groeit:

Agent → Policy Engine → Identity → Audit Log
         (YAML/OPA/Cedar)  (SPIFFE/DID/mTLS)  (Tamper-evident)
              │                                      │
              ├── Allowed → Tool executes            │
              └── Denied  → GovernanceDenied         │
                                                     ▼
                                              Decision Record

Twee regels code

from agentmesh.governance import govern

safe_tool = govern(my_tool, policy="policy.yaml")

Dat is het. safe_tool evalueert je YAML-policy bij élke aanroep, logt de beslissing, en raiset GovernanceDenied als de actie geblokkeerd is. Werkt met LangChain, CrewAI, OpenAI Agents, AutoGen, Google ADK, en elk ander framework.

De zeven packages

Package	Functie
Agent OS	Policy engine, agent lifecycle, governance gate
Agent Mesh	Agent discovery, routing, en trust mesh
Agent Runtime	Execution sandboxing met vier privilege rings
Agent SRE	Kill switch, SLO monitoring, chaos testing
Agent Compliance	OWASP verificatie, policy linting, integrity checks
Agent Marketplace	Plugin governance en trust scoring
Agent Lightning	RL training governance met violation penalties

Daarnaast: MCP Security Gateway (tool poisoning detection, drift monitoring), Shadow AI Discovery, Governance Dashboard, en PromptDefense Evaluator (12-vector prompt injection audit).

De EU AI Act-haak: compliance is ingebakken

Dit is waar het interessant wordt voor Nederlandse overheidsorganisaties. AGT's compliance-pagina bevat kant-en-klare mappings naar:

EU AI Act Checklist, direct toepasbaar op high-risk AI systemen
FRIA Template (Fundamental Rights Impact Assessment)
Impact Assessment Template
Incident Response Workflow, gekoppeld aan post-market monitoring
Record Retention Policy, tamper-evident audit logs
Data Provenance Model, voor transparantievereisten

Voor een ministerie of ZBO dat een AI-systeem met agents wil inzetten, betekent dit: de compliance-documentatie is niet iets wat je vanaf nul moet opbouwen. Microsoft geeft je het raamwerk. DjimIT implementeert en configureert het voor de Nederlandse context.

Waarom dit nú relevant is voor de Nederlandse overheid

Er komen drie lijnen samen die dit tot een urgent onderwerp maken:

1. EU AI Act, 2 augustus 2026

Over iets meer dan twee maanden worden de eerste verplichtingen van de EU AI Act van kracht. High-risk AI-systemen moeten aantoonbaar voldoen aan transparantie-, documentatie- en risicomanagementeisen. Agentic AI valt hier nadrukkelijk onder, een autonoom handelende agent is per definitie een systeem dat impact heeft op natuurlijke personen.

2. BIO2, Baseline Informatiebeveiliging Overheid

BIO2 vereist functiescheiding, audittrails, en aantoonbare beheersing van geautomatiseerde processen. Een AI-agent die zonder runtime governance tools aanroept, databases bevraagt, en e-mails verstuurt, dat is een BIO2-audit die je niet wilt ondergaan zonder deterministische policy enforcement.

3. NORA AP-08, Continuïteit van dienstverlening

De Nederlandse Overheid Referentie Architectuur schrijft voor dat kritieke systemen voorspelbaar en controleerbaar moeten zijn. Een agent die "waarschijnlijk" geen destructieve queries uitvoert, voldoet niet aan NORA.

DjimIT's aanpak: van toolkit naar BIO2-compliant runtime

Een AGT-implementatie voor de Nederlandse overheid ziet er ongeveer zo uit:

Fase 1, Policy configuratie (2-3 dagen)

YAML-policies afstemmen op BIO2-classificatie (Departementaal Vertrouwelijk, BBN1/2/3)
Rolgebaseerde policies voor functiescheiding: welke agent mag welke tool aanroepen?
Destructieve operaties (DROP, DELETE, TRUNCATE) standaard op require_approval met menselijke goedkeuring

Fase 2, Identity & sandboxing (2-3 dagen)

SPIFFE-identiteiten koppelen aan bestaande IAM-structuur
Agent Runtime sandboxing configureren op de vier privilege rings
Netwerksegmentatie: agents in BBN-geclassificeerde zones

Fase 3, Audit & compliance (1-2 dagen)

Tamper-evident audit logging activeren
EU AI Act compliance templates invullen met projectspecifieke data
FRIA-sjabloon afronden en koppelen aan BIO2-auditcyclus

Fase 4, SRE & monitoring (1 dag)

Agent SRE kill switches configureren
SLO's definiëren voor agent latency, error rates, en policy violations
Dashboard inrichten voor real-time governance visibility

Totale implementatie: 6-9 dagen, €15K-25K per systeem, afhankelijk van complexiteit en aantal agent-types.

Eerste stap: de Agentic AI Governance Scan

Voordat je AGT implementeert, moet je weten wát je moet governen. DjimIT biedt een Agentic AI Governance Scan die in één dag in kaart brengt:

Welke agents (of agent-achtige processen) draaien er al in de organisatie?
Welke tools, API's en databases hebben ze toegang tot?
Welke OWASP Agentic Top 10 risico's zijn relevant?
Hoe scoort de huidige setup op EU AI Act readiness?
Wat is het minimale governance-pad naar BIO2-compliance?

De scan is de nulmeting. Van daaruit bouw je de governance-laag die past bij je risicoprofiel, en bij je BIO2-classificatie.

Conclusie

Microsoft heeft met AGT de standaard gezet voor agent governance. Niet als theoretisch kader, maar als werkende, open-source toolkit met 2.300+ sterren, 19 integraties, en compliance-mappings die direct aansluiten op de EU AI Act.

Voor de Nederlandse overheid is de vraag niet óf je agent governance nodig hebt. De vraag is of je het hebt staan vóórdat de AI Act van kracht wordt, en vóórdat je BIO2-auditor vraagt hoe je agents eigenlijk beheerst.

DjimIT kan je helpen die vraag met "ja" te beantwoorden.

Wil je weten hoe jouw organisatie scoort op agentic AI governance? Neem contact op voor een vrijblijvende quickscan.

Dit is geen tool die je "ooit" nodig hebt. Dit is de governance-laag die je nú moet hebben voordat je agents in productie neemt.

Het probleem: prompt-level safety is geen control surface

OWASP LLM01:2025 stelt het expliciet: "it is unclear if there are fool-proof methods of prevention for prompt injection." De cijfers liegen er niet om:

JailbreakBench (Chao et al., NeurIPS 2024): adaptive attacks halen near-100% attack success rates tegen frontier safety-aligned modellen
Andriushchenko et al., 2024: 100% ASR op GPT-4, GPT-3.5, Claude 3, en Llama-3 met simpele prompt-only aanvallen
Microsoft's eigen AI Red Teaming Agent: zelfs de sterkste prompt-layer defenses lekken double-digit resterende ASR

Wat AGT wél doet

De architectuur is gelaagd en modulair. Je begint met govern() en voegt lagen toe naarmate je risicoprofiel groeit:

Agent → Policy Engine → Identity → Audit Log
         (YAML/OPA/Cedar)  (SPIFFE/DID/mTLS)  (Tamper-evident)
              │                                      │
              ├── Allowed → Tool executes            │
              └── Denied  → GovernanceDenied         │
                                                     ▼
                                              Decision Record

Twee regels code

from agentmesh.governance import govern

safe_tool = govern(my_tool, policy="policy.yaml")

De zeven packages

Package	Functie
Agent OS	Policy engine, agent lifecycle, governance gate
Agent Mesh	Agent discovery, routing, en trust mesh
Agent Runtime	Execution sandboxing met vier privilege rings
Agent SRE	Kill switch, SLO monitoring, chaos testing
Agent Compliance	OWASP verificatie, policy linting, integrity checks
Agent Marketplace	Plugin governance en trust scoring
Agent Lightning	RL training governance met violation penalties

Daarnaast: MCP Security Gateway (tool poisoning detection, drift monitoring), Shadow AI Discovery, Governance Dashboard, en PromptDefense Evaluator (12-vector prompt injection audit).

De EU AI Act-haak: compliance is ingebakken

Dit is waar het interessant wordt voor Nederlandse overheidsorganisaties. AGT's compliance-pagina bevat kant-en-klare mappings naar:

EU AI Act Checklist, direct toepasbaar op high-risk AI systemen
FRIA Template (Fundamental Rights Impact Assessment)
Impact Assessment Template
Incident Response Workflow, gekoppeld aan post-market monitoring
Record Retention Policy, tamper-evident audit logs
Data Provenance Model, voor transparantievereisten

Waarom dit nú relevant is voor de Nederlandse overheid

Er komen drie lijnen samen die dit tot een urgent onderwerp maken:

1. EU AI Act, 2 augustus 2026

2. BIO2, Baseline Informatiebeveiliging Overheid

3. NORA AP-08, Continuïteit van dienstverlening

DjimIT's aanpak: van toolkit naar BIO2-compliant runtime

Een AGT-implementatie voor de Nederlandse overheid ziet er ongeveer zo uit:

Fase 1, Policy configuratie (2-3 dagen)

YAML-policies afstemmen op BIO2-classificatie (Departementaal Vertrouwelijk, BBN1/2/3)
Rolgebaseerde policies voor functiescheiding: welke agent mag welke tool aanroepen?
Destructieve operaties (DROP, DELETE, TRUNCATE) standaard op require_approval met menselijke goedkeuring

Fase 2, Identity & sandboxing (2-3 dagen)

SPIFFE-identiteiten koppelen aan bestaande IAM-structuur
Agent Runtime sandboxing configureren op de vier privilege rings
Netwerksegmentatie: agents in BBN-geclassificeerde zones

Fase 3, Audit & compliance (1-2 dagen)

Tamper-evident audit logging activeren
EU AI Act compliance templates invullen met projectspecifieke data
FRIA-sjabloon afronden en koppelen aan BIO2-auditcyclus

Fase 4, SRE & monitoring (1 dag)

Agent SRE kill switches configureren
SLO's definiëren voor agent latency, error rates, en policy violations
Dashboard inrichten voor real-time governance visibility

Totale implementatie: 6-9 dagen, €15K-25K per systeem, afhankelijk van complexiteit en aantal agent-types.

Eerste stap: de Agentic AI Governance Scan

Voordat je AGT implementeert, moet je weten wát je moet governen. DjimIT biedt een Agentic AI Governance Scan die in één dag in kaart brengt:

Welke agents (of agent-achtige processen) draaien er al in de organisatie?
Welke tools, API's en databases hebben ze toegang tot?
Welke OWASP Agentic Top 10 risico's zijn relevant?
Hoe scoort de huidige setup op EU AI Act readiness?
Wat is het minimale governance-pad naar BIO2-compliance?

De scan is de nulmeting. Van daaruit bouw je de governance-laag die past bij je risicoprofiel, en bij je BIO2-classificatie.

Conclusie

DjimIT kan je helpen die vraag met "ja" te beantwoorden.

Wil je weten hoe jouw organisatie scoort op agentic AI governance? Neem contact op voor een vrijblijvende quickscan.

Microsoft vraagt om agent governance — ben je klaar voor de AI Act?

Het probleem: prompt-level safety is geen control surface

Wat AGT wél doet

Twee regels code

De zeven packages

De EU AI Act-haak: compliance is ingebakken

Waarom dit nú relevant is voor de Nederlandse overheid

1. EU AI Act, 2 augustus 2026

2. BIO2, Baseline Informatiebeveiliging Overheid

3. NORA AP-08, Continuïteit van dienstverlening

DjimIT's aanpak: van toolkit naar BIO2-compliant runtime

Eerste stap: de Agentic AI Governance Scan

Conclusie

AI & Security Intelligence

Advisory met executiekracht

Gerelateerde artikelen

De vier lagen van betrouwbare AI-agents — wat vier nieuwe papers betekenen voor de Nederlandse overheid

Waarom AI-enthousiasme geen teken van volwassenheid is — en wat Tully, Longoni & Appel ons leren over AI-governance

U heeft niet één AI-toezichthouder, u heeft er tien — wat het decentrale model betekent

Microsoft vraagt om agent governance — ben je klaar voor de AI Act?

Het probleem: prompt-level safety is geen control surface

Wat AGT wél doet

Twee regels code

De zeven packages

De EU AI Act-haak: compliance is ingebakken

Waarom dit nú relevant is voor de Nederlandse overheid

1. EU AI Act, 2 augustus 2026

2. BIO2, Baseline Informatiebeveiliging Overheid

3. NORA AP-08, Continuïteit van dienstverlening

DjimIT's aanpak: van toolkit naar BIO2-compliant runtime

Eerste stap: de Agentic AI Governance Scan

Conclusie

AI & Security Intelligence

Advisory met executiekracht

Gerelateerde artikelen

De vier lagen van betrouwbare AI-agents — wat vier nieuwe papers betekenen voor de Nederlandse overheid

Waarom AI-enthousiasme geen teken van volwassenheid is — en wat Tully, Longoni & Appel ons leren over AI-governance

U heeft niet één AI-toezichthouder, u heeft er tien — wat het decentrale model betekent