Governance, Risk & Compliance (GRC)

Dienst Bedrijfsvoering
Gepubliceerd op 08 mei 2026

Bibliotheken krijgen steeds vaker te maken met complexere eisen rond bestuur, risico’s en wet- en regelgeving. Niet alleen toezichthouders en financiers, maar ook medewerkers, samenwerkingspartners en bezoekers verwachten dat bibliotheken aantoonbaar betrouwbaar, zorgvuldig en professioneel werken. Een gestructureerde en geïntegreerde aanpak van Governance, Risk & Compliance (GRC) helpt bibliotheken om hier grip op te houden en hun continuïteit te versterken.

Wat is GRC?

GRC staat voor Governance, Risk en Compliance: drie nauw met elkaar verbonden onderdelen van verantwoord en integer organiseren.

  • Governance gaat over de wijze waarop een bibliotheek wordt bestuurd: transparant, doelgericht en integer.
  • Risk gaat over het bewust omgaan met risico’s, zoals privacy, informatieveiligheid, financiën en continuïteit.
  • Compliance betekent dat de bibliotheek voldoet aan wet- en regelgeving én aan interne afspraken en gedragscodes.

    • Samen zorgen deze drie onderdelen ervoor dat een organisatie in controle is en dat ook kan laten zien.

De Handreiking GRC: grip op je bedrijfsvoering

In de praktijk blijkt GRC voor bibliotheken best complex. Veel bibliotheken herkennen onder andere deze uitdagingen:

  • Er zijn ongeveer 65 interne en externe wetten, regels en codes van toepassing en regelgeving verandert regelmatig.
  • Hoewel bibliotheken zich vaak al grotendeels aan de regels houden, ontbreekt het soms aan overzicht, samenhang en borging.
  • Veel kennis is impliciet en niet structureel vastgelegd. Verantwoordelijkheden liggen verspreid binnen de organisatie.
  • Informatieveiligheid en privacy vragen steeds meer aandacht.
  • Het is lastig om bij audits of certificering aan te tonen dat alles op orde is.

Probiblio, KB, VOB, CBCT, Bibliotheek Zuid-Kennemerland en diverse andere collega’s in de bibliotheekbranche hebben de handen ineengeslagen rond Governance, Risk & Compliance (GRC). Als antwoord op vragen van bibliotheken uit het hele land hebben zij een handreiking ontwikkeld voor integere bedrijfsvoering.
 

Ga naar Handreiking GRC op Vob.nl Open Link in Nieuwe Tab

Interview: ““Met de Handreiking GRC voorkom je dat iedere bibliotheek zelf het wiel moet uitvinden.”

Governance, Risk & Compliance (GRC) klinkt als een abstract en misschien zelfs ‘zwaar’ onderwerp. In werkelijkheid gaat het over iets heel praktisch: grip houden op je organisatie, risico’s herkennen en daar bewust op sturen. We spraken Maike Lefeber en Harry Boog van Bibliotheek Zuid-Kennemerland, die GRC al stevig hebben kunnen integreren in de bibliotheekorganisatie. Op basis van hun behoefte is de Handreiking GRC ontwikkeld.

Lees de ervaringen en adviezen van Maike en Harry >

Wat kan Probiblio betekenen?

Governance

Van de drie onderdelen is governance in bibliotheken het best geregeld: volgens de CBCT zijn bestuur en toezicht grotendeels op orde.

Op de website van Cultuur+Ondernemen is de Governance Code Cultuur en een uitgebreide toolkit voor goed bestuur en toezicht te vinden.

  • Bijeenkomst over de update Van de code komt in 2026 een nieuwe versie. In 2026 organiseren Probiblio en Rijnbrink een activiteit over de nieuwe elementen in die update. Houd de Agenda in de gaten
  • Checklist Wbtr Als aanvulling op de tookit van Cultuur+Ondernemen is er een checklist om na te gaan of de Wet bestuur en toezicht rechtspersonen (Wbtr) goed gevolgd wordt. Dit moet per 1 juli 2026 tot op het niveau van de statuten geregeld zijn. Download de Wbtr checklist
  • Introductiebijeenkomst RvT-leden Voor nieuwe leden van raden van toezicht bij bibliotheken organiseert Probiblio tweemaal per jaar een informatiebijeenkomst ‘Inleiding in de bibliotheeksector’ met aandacht voor de ontwikkeling van de sector, het Bibliotheekconvenant, de Netwerkagenda, de belangrijkste samenwerkingspartners en de rol van Probiblio. Houd de Agenda in de gaten
  • Tips trainingen & introductie De toolkit van Cultuur+Ondernemen bevat ingrediënten voor een introductieprogramma voor nieuwe toezichthouders. Er bestaat geen specifieke opleiding voor toezichthouders in de bibliotheeksector. De trainingen van Cultuur+Ondernemen, NR Governance en crmLINK komen het dichtst bij de bibliotheekpraktijk.
  • Praktijkvoorbeelden Een aantal bibliotheken werkt al met toezichtvisie, toezichtkader en toetsingskader voor de RvT, zoals Bibliotheek AanZet. De RvT van de Bibliotheek Zuid-Kennemerland gaat in het voorjaar van 2026 aan de slag met het opstellen van dit instrumentarium. Adjunct-directeur Nynke Runia schreef vanuit een andere functie een artikel op itgd.nl.

Risk & Compliance

Op de onderdelen Risk en Compliance van GRC hebben volgens het CBCT veel bibliotheken nog stappen te zetten.

  • Deskundigheid inhuren Voor bibliotheken die externe handen nodig om te helpen om aan regelgeving te voldoen, kan Probiblio uit haar flexibele schil enkele deskundigen aanbevelen.
  • Netwerksamenwerking Bibliotheken kunnen aansluiten bij de bibliotheken IJmond Noord en Zuid-Kennemerland. Zij pakken risk en compliance volgens de handreiking op en hebben regelmatig overleg. Laat via Dick van Tol weten of je interesse hebt.

Informatieveiligheid: operaties Zandzakken en Dijk

Een belangrijk onderdeel van risk en compliance is informatieveiligheid.

  • Netwerksamenwerking Om bibliotheken beter te beveiligen zijn vanuit SOOB en BOZH, en gefaciliteerd door Probiblio, de operaties Zandzakken (vooral urgente technische maatregelen) en Dijk (beleidsmatige en organisatorische maatregelen voor de langere termijn) opgezet. Alle bibliotheken in Noord- en Zuid-Holland doen hieraan mee.
  • Beschikbare documenten Binnen beide operaties wordt gebruik gemaakt van een toetsingslijst voor 22 te nemen maatregelen en er is een grote verzameling templates beschikbaar. Toegang tot de documenten loopt via Dick van Tol.
  • Externe adviseurs Voor begeleiding op het gebied van informatieveiligheid staan twee externe adviseurs klaar. Deze adviseurs kunnen ook aanvullende diensten verlenen, bijvoorbeeld op het gebied van awareness en auditing.
  • Beoordeling leveranciers Probiblio zorgt voor het beoordelen van de informatieveiligheid van ruim twintig van de belangrijkste IT-leveranciers van bibliotheken.

Meer Probiblio-dienstverlening rond Compliance

Er is nog een aantal onderdelen van compliance waarop adviseurs van Probiblio ondersteuning bieden om aan wet- en regelgeving te voldoen:

Alles over governance, risk & compliance (grc)

Interview
Bedrijfsvoering
Strategie en beleid

Grip op je bedrijfsvoering: zo helpt GRC bibliotheken vooruit