Grip op je bedrijfsvoering: zo helpt GRC bibliotheken vooruit

Maike Lefeber (adviseur kwaliteit & duurzaamheid) en Harry Boog (informatiemanager en teamlead) misten in hun werk bij Bibliotheek Zuid-Kennemerland een kader om te sturen op goed bestuur, risico’s en wet- en regelgeving. Tijdens een ontmoeting met netwerkadviseur Dick van Tol, raakten ze hierover in gesprek.

Maike: “Ik vond het bijzonder dat alle bibliotheken grosso modo aan dezelfde wet- en regelgeving moeten voldoen, maar dat we daarin niet centraal gevoed worden. Met het risico dat iedereen het wiel opnieuw gaat uitvinden. Dick heeft dit vervolgens aangekaart bij VOB, KB en CBCT en zo is het GRC-balletje gaan rollen.”

Op basis van hun behoefte is samen met Probiblio en de VOB de Handreiking GRC ontwikkeld. In dit interview delen Harry en Maike hun ervaringen en adviezen. De handreiking is recent herzien.

Wat is GRC?

GRC staat voor Governance, Risk en Compliance: drie samenhangende onderdelen die bepalen hoe een organisatie functioneert.

• Governance gaat over hoe verantwoordelijkheden, rollen en besluitvorming zijn ingericht.
• Risk draait om het systematisch in kaart brengen en beheersen van risico’s die de organisatie kunnen raken.
• Compliance betekent dat je voldoet aan wet- en regelgeving, maar ook aan interne afspraken en normen.

Volgens Maike en Harry is GRC geen losstaand project, maar een manier van werken. Veel bibliotheken doen al onderdelen hiervan, bijvoorbeeld rondom AVG, arbo of kwaliteitszorg. GRC helpt om die activiteiten te verbinden en in één logisch geheel te plaatsen.

Waarom is het belangrijk om met GRC aan de slag te gaan?

Harry Boog: “De noodzaak neemt toe. Bibliotheken zijn steeds afhankelijker van ICT en werken met gevoelige gegevens. Tegelijkertijd worden toezicht en wetgeving strenger. Dat vraagt om aantoonbare grip op processen en risico’s.

Er zijn dagelijks voorbeelden in het nieuws van de risico’s die technologie met zich meebrengt. Zoals de hacks bij diverse bedrijven en instellingen waarbij gegevens van klanten zijn buitgemaakt. Dit kan ook een bibliotheek overkomen.

Maar minstens zo belangrijk: GRC helpt om als organisatie beter te sturen. Het geeft inzicht in waar je kwetsbaar bent en waar je prioriteiten liggen. Het ondersteunt zo directies bij het maken van goed onderbouwde keuzes en draagt bij aan een toekomstbestendige bibliotheekorganisatie.”

Hoe hebben jullie het aangepakt?

Maike: “Bij Bibliotheek Zuid-Kennemerland begon het met de vraag ‘hoe zorg je als bibliotheek dat je voldoet aan wet- en regelgeving?’ We startten met een duidelijke basis: beleid op het gebied van informatiebeveiliging en privacy, en we zorgden voor bestuurlijk commitment.

Vervolgens hebben we het breder getrokken. Niet alleen ICT-risico’s, maar ook risico’s op het gebied van HR, financiën, dienstverlening en facilitaire zaken zijn in kaart gebracht. Door die risico’s expliciet te maken en te koppelen aan maatregelen, ontstond overzicht en samenhang.”

Hun boodschap richting collega’s was daarbij: je hoeft niet opnieuw te beginnen. Veel processen en maatregelen zijn er al, alleen vaak nog niet als geheel georganiseerd.

Download de GRC-infographic van Bibliotheek Zuid-Kennemerland

Harry: “We hadden het voordeel dat Maike en ik hierin konden samenwerken en elkaar goed aanvulden. Ik bracht kennis van de techniek en Maike leerde mij over de wetgevingskant. Ik denk dat het daarom zo goed is gegaan bij ons om tot GRC te komen. We zijn heel blij dat we nu samen met de VOB en Probiblio onze inzichten kunnen delen met andere bibliotheken.“

Wat voegt de Handreiking GRC toe aan de certificering?

Maike: “De handreiking maakt het continue proces rond goede bedrijfsvoering overzichtelijk en uitvoerbaar. GRC helpt de bibliotheek middels de PDCA-cyclus, een vierstappenmodel voor procesverbetering, om daar continu aan te werken.”

Harry vergelijkt het met een APK-keuring: “Certificering is het meetmoment, GRC is het onderhoud dat je het hele jaar door doet. De nieuwe handreiking biedt hiervoor praktische hulpmiddelen, zoals formats voor beleid en een overzicht van relevante wet- en regelgeving. Daarmee voorkom je dat iedere bibliotheek zelf het wiel moet uitvinden. We moeten nu eenmaal allemaal aan dezelfde wet- en regelgeving voldoen.”

Wat levert het op om met GRC te werken?

Maike: “Het grootste effect is inzicht en bewustwording. Door risico’s en verplichtingen inzichtelijk te maken, ben je voorbereid op incidenten en is het makkelijker om prioriteiten te stellen. Daarnaast helpt GRC om continu te verbeteren. In plaats van eens in de paar jaar een toetsmoment, werk je structureel aan de ontwikkeling van je organisatie.”

Waar begin je als directeur, ook van een kleinere bibliotheek?

Maike: “De eerste stap ligt bij eigenaarschap. Het vraagt van directies dat zij het belang van GRC erkennen en het niet zien als een verplicht nummer, maar als onderdeel van goed bestuur. Daarnaast helpt het voor de borging en continuïteit om een persoon binnen de organisatie aan te stellen die het overzicht houdt op de acties en taken die voortvloeien uit GRC. Van daaruit helpt de handreiking om gestructureerd stappen te zetten: beleid opstellen en de risico’s kaart brengen.”

Voor kleinere bibliotheken met minder tijd en beschikbare menskracht kan de handreiking het makkelijker maken om overzicht te houden.

Harry: “Maar het vergt ook veel specifieke kennis en die hebben kleine bibliotheken vaak niet. Maikes functie bij Bibliotheek Zuid-Kennemerland bestaat voor zo’n 50% aan werkzaamheden als coördinator GRC. Daar ligt volgens ons nog veel ruimte voor een centrale aanpak vanuit de POI’s of de branchevereniging, zoals Noord- en Zuid-Hollandse bibliotheken ook samenwerken rond cyberveiligheid in de operaties Zandzakken en Dijk.”

De belangrijkste boodschap van Maike en Harry: GRC is geen extra taak bovenop het werk. Het is een manier om bestaande activiteiten te verbinden en gerichter te sturen op kwaliteit, risico’s en verantwoording.

Heb je vragen? Neem gerust contact op met Maike Lefeber of Harry Boog door hen een chatbericht te sturen via Biebtobieb.nl