Compliance 10 min leestijd 3 april 2026 IT Compliance Jobs

GRC Manager Vacature: Governance, Risk & Compliance in 2026

Het aantal GRC Manager vacatures in Nederland is in 2026 explosief gestegen. De combinatie van NIS2, DORA, de AVG-herziening en sectorspecifieke toezichtskaders dwingt organisaties om hun governance, risk en compliance activiteiten te integreren in één samenhangend programma. De GRC Manager is daarvan de spil.

In dit artikel lees je wat een GRC Manager doet, wat het salaris is, welke certificeringen en frameworks je moet kennen en hoe het carrièrepad eruitziet. Of je nu een GRC-profiel zoekt als werkgever of zelf overweegt de overstap te maken: dit is de complete gids voor 2026.

Wat is een GRC Manager en hoe verschilt de rol?

Een GRC Manager (Governance, Risk & Compliance Manager) integreert drie traditioneel gescheiden disciplines in één aansturende rol. Waar organisaties vroeger een losse compliance officer, risk manager en internal auditor hadden, groeit de behoefte aan één professional die de samenhang bewaakt — en het management voorziet van een integraal beeld.

Het verschil met losse functies:

Compliance Officer: focust op naleving van specifieke wet- en regelgeving (bijv. AVG, Wwft). Tactisch, smal gericht.
Risk Manager: focust op het identificeren en mitigeren van operationele, financiële of strategische risico's.
Internal Auditor: onafhankelijk toetsend, rapporteert aan Audit Committee. Hoort bij de third line of defense.
GRC Manager: overkoepelend, zorgt dat governance-structuren, risicoregisters en compliance-controls samenhangend worden beheerd.

In kleinere organisaties is de GRC Manager vaak de enige compliance-professional en doet hij of zij alles. In grote organisaties is de GRC Manager de architect van het GRC-programma en stuurt teams van specialisten aan.

Taken en verantwoordelijkheden van een GRC Manager

Het takenpakket van een GRC Manager is breed, maar valt terug te brengen tot vier hoofddomeinen.

1. Governance frameworks opzetten en onderhouden

Opstellen en onderhouden van beleid, standaarden en procedures
Inrichten van het three lines of defense-model
Faciliteren van risk & compliance committees
Rapporteren aan directie, Audit Committee en Raad van Commissarissen

2. Risk assessments uitvoeren en coördineren

Jaarlijks enterprise risk assessment (ERA) uitvoeren
IT- en informatiebeveiligingsrisico's identificeren (bijv. BIA)
Risico-register onderhouden en mitigerende maatregelen bewaken
Scenario- en stresstests organiseren

3. Compliance monitoring

Control framework opzetten (bijv. op basis van ISO 27001 of NIST CSF)
Periodiek testen van controls (control self-assessments)
Issue management: tracking van bevindingen, actiehouders en deadlines
Toezichthouder-rapportages coördineren (DNB, AFM, AP)

4. Audits coördineren

Eerste aanspreekpunt voor externe audits (ISAE 3402, ISO 27001, SOC 2)
Interne audit programma's faciliteren
Follow-up op auditbevindingen
Coördinatie met IT Auditors en externe accountants

GRC Manager salaris in Nederland 2026

Het GRC Manager salaris is gestegen door het structurele tekort en de toegenomen regulatoire druk. Onderstaand overzicht toont de actuele bandbreedtes voor 2026.

Rol	Ervaring	Bruto jaarsalaris
Junior GRC Analyst	0–3 jaar	€55.000 – €70.000
Medior GRC Manager	3–7 jaar	€75.000 – €95.000
Senior GRC Manager	7–12 jaar	€95.000 – €120.000
Head of GRC / Director	12+ jaar	€120.000 – €160.000

Bovenop het basissalaris komen in de financiële sector vaak bonussen van 15-30% en bij consultancy-firma's profit-sharing van 10-20%. Leaseauto of mobiliteitsbudget (€800-€1.200/maand) en opleidingsbudget (€5.000-€10.000/jaar) zijn standaard voor senior rollen. Voor vergelijking met andere rollen: lees ons artikel over het CISO salaris in Nederland.

Vereisten en achtergrond voor GRC Managers

GRC Managers komen typisch uit één van drie richtingen:

Audit: voormalig IT Auditor of Internal Auditor, vaak na Big Four ervaring (Deloitte, KPMG, EY, PwC). Sterk in controle-frameworks en control testing.
Risk: voormalig Operational Risk Manager of Risk Consultant. Sterk in risk quantification en risk governance.
Compliance: voormalig Compliance Officer of Privacy Officer. Sterk in regelgeving en stakeholder management.

De typische opleidingsachtergrond is een universitaire studie bedrijfskunde, bedrijfseconomie, informatica, accountancy of rechten. Een postdoctorale EDP-audit opleiding (RE, gericht op IT-auditing) of een Executive Master Risk Management is een duidelijk pluspunt.

Belangrijkste certificeringen voor GRC Managers

Certificering	Uitgever	Focus	Waarde
CRISC	ISACA	Risk & Information Systems Control	Meest gevraagd voor GRC
CGEIT	ISACA	Governance of Enterprise IT	Voor senior niveau
CISA	ISACA	Information Systems Auditor	Breed waardevol
CRMA	IIA	Risk Management Assurance	Internal audit crossover
ISO 27001 Lead Auditor	PECB/BSI	ISO 27001 audits	Voor ISO-gedreven organisaties
ISO 27001 Lead Implementer	PECB	ISO 27001 implementatie	Voor greenfield-projecten
CIA	IIA	Certified Internal Auditor	Voor audit-heavy rollen

CRISC is de de facto standaard voor GRC Managers in Nederland. Veel vacatures vermelden CRISC als "strong preference" of hard requirement. Bekijk ook onze gids over de CISO-certificeringen voor vergelijking.

Frameworks die je moet kennen als GRC Manager

GRC is framework-gedreven werk. De volgende frameworks en standaarden vormen het fundament:

COSO ERM 2017: de leidende standaard voor enterprise risk management, integratie met strategie
COSO Internal Control — Integrated Framework: basis voor financial reporting controls (SOx)
COBIT 2019: IT governance framework van ISACA
ISO 27001/27002: information security management systems en controls
ISO 31000: algemene risicomanagement standaard
NIST Cybersecurity Framework (CSF 2.0): pragmatisch en breed inzetbaar
NIS2-richtlijn: essentieel voor essentiële en belangrijke entiteiten
DORA: verplicht voor financiële instellingen
AVG/GDPR: basis voor privacy compliance
DNB Q&A Informatiebeveiliging: voor onder DNB-toezicht staande entiteiten

GRC Tooling: de belangrijkste platforms

In grotere organisaties is GRC onmogelijk zonder tooling. De markt kent een aantal duidelijke leaders:

Tool	Sterk in	Typische klant
ServiceNow GRC	Integratie met IT Service Management, workflows	Grote enterprises, banken
RSA Archer	Breed GRC, configureerbaar	Financiële sector, overheid
OneTrust	Privacy-centric GRC	Privacy-gedreven organisaties
LogicGate	No-code workflows, moderne UI	Midmarket, snelgroeiende bedrijven
MetricStream	Regulatory intelligence	Financiële dienstverlening
Diligent (Galvanize)	Internal audit & analytics	Internal audit-teams

Ervaring met minstens één van deze platforms staat vrijwel altijd in het vacature-profiel van een GRC Manager. ServiceNow GRC-kennis is in de Nederlandse markt bijzonder gevraagd door het grote aantal implementaties bij banken en verzekeraars.

GRC Manager vs. CISO vs. IT Auditor

Drie aanverwante rollen die vaak door elkaar worden gehaald. Hieronder de kernverschillen:

Aspect	GRC Manager	CISO	IT Auditor
Scope	Governance, risk, compliance breed	Cybersecurity specifiek	Onafhankelijke toetsing
Lijn	2nd line of defense	1st/2nd line	3rd line of defense
Rapporteert aan	CRO / COO / Board	CIO / CEO / Board	Audit Committee
Eindverantwoordelijk voor	GRC-programma	Informatiebeveiliging	Auditoordeel
Salaris (senior)	€95–120k	€130–180k	€80–110k
Certificeringen	CRISC, CGEIT, CISA	CISSP, CISM	CISA, RE

Een CISO is inhoudelijk verantwoordelijk voor informatiebeveiliging; de GRC Manager zorgt dat het systeem van governance en compliance in stand blijft. Wil je meer weten over de CISO-rol? Lees wat doet een CISO.

Sectoren met de hoogste vraag naar GRC Managers

De vraag naar GRC Managers is in 2026 niet gelijk verdeeld. De onderstaande sectoren zijn de grootste werkgevers:

Financiële sector (meest): Banken, verzekeraars, pensioenfondsen en asset managers. Gedreven door DORA, DNB/AFM-toezicht en Wwft-verplichtingen. Verwacht hier ook de hoogste salarissen.
Energie en utilities: Essentiële entiteit onder NIS2, strakke regulering door ACM. Grote werkgevers: TenneT, Gasunie, Alliander, Enexis, Eneco.
Telecom: KPN, VodafoneZiggo, T-Mobile. NIS2, Telecommunicatiewet en privacy-druk.
Healthcare: Ziekenhuizen, zorgverzekeraars, farmaceuten. NEN 7510, AVG en GMP-regelgeving.
Overheid en ZBO's: Rijksoverheid, gemeenten (G4), zelfstandige bestuursorganen. Baseline Informatiebeveiliging Overheid (BIO).
Consultancy: Deloitte, KPMG, EY, PwC, BDO, Mazars. Leveren GRC Managers als interim of vaste consultant.

Carrièrepaden naar en vanuit GRC Manager

GRC Manager is zelden een startersfunctie — mensen stromen doorgaans in na 3-7 jaar ervaring in een aanverwante rol. De meest voorkomende routes:

Naar GRC Manager toe

Big Four (IT Audit of Risk Advisory, 3-5 jaar) → in-house GRC Manager
Internal Auditor → GRC Manager (bewust stap weg van 3rd line)
Compliance Officer → Senior Compliance / GRC Manager
IT Security Analyst met affiniteit voor beleid → GRC Analyst → GRC Manager

Vanuit GRC Manager verder

Head of GRC / Director GRC
Chief Risk Officer (CRO)
Chief Compliance Officer (CCO)
CISO (mits de technische diepgang er is)
Zelfstandig adviseur / interim manager

De rol leunt sterk op ervaring met regelgeving. Voor doorgroei naar CRO of Head of GRC is typisch 10-15 jaar senioriteit nodig, plus een sterk netwerk in de relevante sector.

Op zoek naar een GRC Manager vacature?

Bekijk de actuele GRC Manager vacatures op IT Compliance Jobs. Van junior GRC Analyst tot Head of GRC — bij de beste werkgevers van Nederland.

Bekijk GRC Manager Vacatures

Veelgestelde vragen over GRC Manager vacatures

Wat doet een GRC Manager?

Een GRC Manager (Governance, Risk & Compliance Manager) integreert drie samenhangende disciplines: het opzetten van governance-frameworks, het uitvoeren van risk assessments en het borgen van compliance met wet- en regelgeving. De rol coördineert audits, onderhoudt het risico-register en rapporteert aan directie en Audit Committee.

Wat verdient een GRC Manager in Nederland?

Een medior GRC Manager verdient in 2026 tussen €75.000 en €95.000 bruto per jaar. Senior GRC Managers zitten op €95.000-€120.000, en Head of GRC-rollen lopen op tot €120.000-€160.000. Junior GRC Analisten starten rond €55.000-€70.000.

Welke certificeringen zijn belangrijk voor een GRC Manager?

CRISC (Certified in Risk and Information Systems Control) is de meest gevraagde certificering voor GRC Managers. CGEIT richt zich op governance, CISA op audit en CRMA op risk management. ISO 27001 Lead Auditor en Lead Implementer zijn waardevol voor organisaties die certificering nastreven.

Welke frameworks moet een GRC Manager kennen?

Een GRC Manager werkt typisch met COSO ERM (enterprise risk management), COBIT (IT governance), ISO 27001/27002 (information security), NIST CSF en sectorspecifieke regelgeving zoals NIS2, DORA en de AVG. Kennis van three lines of defense-model is standaard.

Welke GRC tooling wordt gebruikt?

ServiceNow GRC en RSA Archer zijn marktleiders voor grote enterprises. OneTrust is populair voor privacy-gedreven GRC. LogicGate, MetricStream en Diligent (voorheen Galvanize) zijn alternatieven. Voor kleinere organisaties volstaan vaak Excel-based risico-registers met PowerBI-dashboards.

Wat is het verschil tussen een GRC Manager en een CISO?

Een CISO focust primair op cybersecurity en is eindverantwoordelijk voor informatiebeveiliging. Een GRC Manager heeft een bredere scope: governance, operationele risico's, compliance en soms ook privacy. In kleinere organisaties overlappen de rollen, in grote organisaties rapporteert de GRC Manager vaak aan de CRO of COO, niet aan de CISO.