GRC 13 min leestijd 6 juli 2026 IT Compliance Jobs

Wat is GRC (Governance, Risk & Compliance)? Het vakgebied, de rollen en het carrièrepad

Wie de vacatures in IT-security en compliance van dichtbij bekijkt, ziet drie letters steeds vaker terugkomen: GRC. Van "Cybersecurity GRC Manager" en "IT GRC Risk & Compliance Manager" tot "GRC Consultant" en "Head of GRC" — het is uitgegroeid tot een volwaardig vakgebied met een eigen carrièreladder. Maar wat betekent GRC precies, en waarom investeren organisaties er in 2026 zo fors in?

GRC staat voor Governance, Risk & Compliance: een geïntegreerde aanpak om besturing, risicobeheersing en het naleven van regelgeving met elkaar te verbinden. In dit artikel leggen we de drie pijlers uit, bespreken we de verschillende GRC-rollen, de tooling en frameworks, de salarissen en het carrièrepad. Bekijk ook direct onze actuele GRC-vacatures.

Wat is GRC (Governance, Risk & Compliance)?

GRC is de verzamelnaam voor de manier waarop een organisatie haar governance (besturing en verantwoording), haar risicomanagement en haar compliance (het naleven van wet- en regelgeving) op elkaar afstemt. De kerngedachte is dat deze drie disciplines geen losse eilanden zijn, maar één samenhangend geheel. Een risico dat niet wordt beheerst, leidt vroeg of laat tot een compliance-tekortkoming; en zonder heldere governance weet niemand wie welk risico eigenlijk mag accepteren.

De term werd rond 2007 populair gemaakt door analistenbureau OCEG, dat GRC omschreef als het vermogen om op een betrouwbare manier doelstellingen te halen, onzekerheid te adresseren en integer te handelen. In de praktijk gaat het om een simpele belofte: bestuurders willen kunnen aantonen dat hun organisatie "in control" is. Dat aantonen — met beleid, risicoregisters, controls en rapportages — is precies waar GRC-professionals hun werk van maken.

Binnen de IT- en informatiebeveiligingswereld spreken we vaak van IT-GRC of cyber-GRC. Daar draait het specifiek om het beheersen van technologie- en informatiebeveiligingsrisico's en het aantoonbaar voldoen aan normen en regelgeving zoals ISO 27001, het NIST Cybersecurity Framework, DORA, NIS2 en de AVG. GRC vormt daarmee de brug tussen de techniek van de securityteams en de bestuurskamer waar over risico's wordt besloten.

De drie pijlers: Governance, Risk en Compliance

Om te begrijpen wat een GRC-professional doet, is het handig de drie pijlers afzonderlijk te bekijken. In het dagelijks werk lopen ze voortdurend in elkaar over, maar elk heeft een eigen kernvraag.

Pijler Kernvraag Waar het over gaat
Governance Sturen we de organisatie op de juiste manier? Beleid, rollen en verantwoordelijkheden, besluitvorming, rapportagelijnen en toezicht
Risk Welke risico's lopen we en hoe beheersen we die? Risico's identificeren, beoordelen, behandelen en monitoren (risk assessment en risk treatment)
Compliance Voldoen we aantoonbaar aan de regels? Wet- en regelgeving, normen en interne beleidsregels naleven en het bewijs daarvan vastleggen

Governance gaat over de bovenkant: hoe is de besturing ingericht, wie is waarvoor verantwoordelijk en hoe wordt daarover verantwoording afgelegd? Denk aan het vaststellen van een informatiebeveiligingsbeleid, het beleggen van risico-eigenaarschap en het inrichten van rapportages richting directie en raad van commissarissen. Frameworks als COBIT 2019 zijn specifiek voor dit governance-vraagstuk ontwikkeld.

Risk management is het hart van GRC. Hier worden risico's systematisch in kaart gebracht, beoordeeld op kans en impact, en voorzien van een behandelkeuze: accepteren, verminderen, overdragen of vermijden. De internationale richtlijn ISO 27005 beschrijft dit proces voor informatiebeveiligingsrisico's. Een goed bijgehouden risicoregister is het belangrijkste werkinstrument van deze pijler.

Compliance ten slotte draait om aantoonbaarheid. Het is niet genoeg om te voldoen aan de AVG, DORA of ISO 27001 — je moet het kunnen bewijzen met beleid, controls en bewijslast (evidence). Compliance-professionals vertalen externe eisen naar interne beheersmaatregelen en toetsen periodiek of die maatregelen daadwerkelijk werken. Waar deze taak formeel belegd is, raakt GRC direct aan de rol van de Compliance Officer.

Waarom GRC in 2026 een groeimarkt is

De vraag naar GRC-professionals is de afgelopen jaren explosief gestegen, en 2026 vormt daarop geen uitzondering. Daar zijn een paar duidelijke oorzaken voor. De belangrijkste is de stortvloed aan nieuwe regelgeving. Sinds DORA in januari 2025 van kracht werd voor de financiële sector, de NIS2-richtlijn in Nederland via de Cyberbeveiligingswet wordt geïmplementeerd en de AI Act stapsgewijs in werking treedt, moeten organisaties aantoonbaar in control zijn over hun IT-risico's. Elk van die kaders vraagt om precies het werk dat GRC-teams leveren.

Daarnaast neemt de complexiteit van de IT-omgeving toe. Cloud, uitbesteding en lange leveranciersketens maken dat organisaties niet alleen hun eigen risico's, maar ook die van hun toeleveranciers moeten beheersen — het domein van het third-party risk management. Tegelijk verwachten toezichthouders, klanten en verzekeraars steeds vaker een aantoonbaar volwassen beheersingsmodel. GRC is daarmee verschoven van een administratieve bijzaak naar een strategische functie die dicht tegen de directie aan opereert. Dat verklaart waarom je GRC in vrijwel elke sector terugziet, van banken en verzekeraars tot zorg, energie en overheid.

De rollen binnen GRC: van analist tot Head of GRC

Omdat GRC een breed vakgebied is, kent het een duidelijke carrièreladder én veel raakvlakken met verwante functies. Hieronder zetten we de belangrijkste GRC-rollen op een rij, van instap tot leiderschap. De exacte titels verschillen per organisatie — "officer", "specialist", "adviseur" en "consultant" worden vaak door elkaar gebruikt — maar het onderliggende niveau is goed te herkennen.

Rol Niveau Typische verantwoordelijkheid
GRC-analist Junior / instap Risicoregisters bijhouden, controls testen, evidence verzamelen en rapportages voorbereiden
GRC Officer / Specialist Medior Risk assessments uitvoeren, beleid en controls beheren en de business adviseren
GRC Consultant Medior / senior Organisaties adviseren over GRC-inrichting, frameworks implementeren en tooling uitrollen
GRC Manager Senior Het GRC-programma en -team aansturen, rapporteren aan directie en het beheersingsmodel bewaken
Head of GRC / CRO Executive Eindverantwoordelijk voor governance, risk en compliance op organisatieniveau

De GRC-analist is voor veel starters de eerste stap. In deze rol leer je de basis: hoe een risicoregister werkt, hoe je controls test en hoe je bewijslast verzamelt voor audits en certificeringen. Het is een uitstekende leerschool omdat je in korte tijd kennismaakt met alle drie de pijlers.

Een niveau hoger opereert de GRC Officer of Specialist, die zelfstandig risk assessments uitvoert, beleid onderhoudt en de business adviseert. Deze rol overlapt sterk met die van de IT Risk Officer en de Information Security Officer. De GRC Consultant doet vergelijkbaar werk, maar dan vaak vanuit een adviesbureau of als interim-professional voor wisselende opdrachtgevers — met de nadruk op het inrichten van GRC-processen en het implementeren van tooling en frameworks.

Aan de top staan de GRC Manager en de Head of GRC of Chief Risk Officer. Zij sturen het GRC-programma en -team aan, bewaken het beheersingsmodel en rapporteren rechtstreeks aan de directie. In grotere organisaties valt GRC vaak onder de CISO Office of onder een aparte risk- en compliancefunctie. Wie deze kant op wil groeien, ontwikkelt precies de bestuurlijke vaardigheden die ook onmisbaar zijn voor een CISO-rol.

Op zoek naar een rol in Governance, Risk & Compliance?

Ontdek actuele GRC-vacatures — van GRC-analist en consultant tot GRC Manager — bij toonaangevende werkgevers in Nederland.

Bekijk GRC-vacatures

GRC en de tweede lijn: waar past het in het Three Lines Model?

Om te begrijpen waar GRC in een organisatie thuishoort, helpt het Three Lines Model van het Institute of Internal Auditors. De eerste lijn is het management dat risico's dagelijks neemt en beheerst. De tweede lijn bestaat uit de risk- en compliancefuncties die kaders stellen, adviseren en monitoren — en dat is precies waar de meeste GRC-rollen zitten. De derde lijn is de onafhankelijke interne auditfunctie, die toetst of het geheel werkt.

Dit onderscheid is belangrijk voor je carrièrekeuze. Een GRC-professional in de tweede lijn is medeverantwoordelijk voor het inrichten en laten werken van beheersmaatregelen. Een IT-auditor in de derde lijn moet daarentegen onafhankelijk blijven en mag niet toetsen wat hij zelf heeft opgezet. Veel professionals bewegen in de loop van hun loopbaan tussen deze lijnen — bijvoorbeeld van IT-audit naar een GRC-rol — omdat de vakkennis grotendeels overlapt.

Frameworks en tooling: het gereedschap van de GRC-professional

GRC leunt zwaar op gestandaardiseerde frameworks. Ze geven een gemeenschappelijke taal en voorkomen dat elke organisatie het wiel opnieuw uitvindt. De belangrijkste kaders die je in vrijwel elke GRC-functie tegenkomt:

  • ISO 27001 en ISO 27002: de internationale norm voor een managementsysteem voor informatiebeveiliging (ISMS) en de bijbehorende controls
  • NIST Cybersecurity Framework (CSF 2.0): een veelgebruikt framework met zes functies, waaronder de nieuwe Govern-functie
  • COBIT 2019: het IT-governanceframework van ISACA voor sturing en beheersing van IT
  • ISO 27005: de richtlijn voor het managen van informatiebeveiligingsrisico's
  • Wet- en regelgeving: DORA, NIS2, de AVG en sectorspecifieke normen zoals NEN 7510 in de zorg

Naast frameworks werken GRC-teams met gespecialiseerde GRC-software, ook wel Integrated Risk Management (IRM)-platforms genoemd. Deze tools brengen risicoregisters, controls, beleid, audits en rapportages samen op één plek en automatiseren veel van het verzamelen van bewijslast. Bekende platforms zijn ServiceNow GRC/IRM, Archer, OneTrust, MetricStream, LogicGate en AuditBoard. Ervaring met een van deze pakketten is in veel vacatures een sterke pré, en voor de GRC Consultant vaak zelfs een harde eis. Wie zich verdiept in de implementatie en het beheer van zo'n platform, maakt zichzelf op de arbeidsmarkt direct waardevoller.

Salaris in GRC: wat verdien je per niveau?

Omdat GRC een breed vakgebied is, loopt ook het salaris flink uiteen. Het hangt af van het niveau, de sector en de organisatiegrootte. Onderzoek en vacaturedata laten zien dat een GRC-analist in Nederland gemiddeld rond de 70.000 euro bruto per jaar zit, terwijl leidinggevende rollen ruim boven de 130.000 euro kunnen uitkomen. De financiële sector en grote multinationals betalen doorgaans bovengemiddeld. Onderstaande tabel geeft een indicatie voor 2026.

Rol Indicatief bruto jaarsalaris Ervaringsniveau
GRC-analist €55.000 - €75.000 Junior / instap
GRC Officer / Specialist / Consultant €70.000 - €95.000 Medior
GRC Manager €90.000 - €130.000 Senior
Head of GRC / Chief Risk Officer €130.000 - €180.000+ Executive

Ter vergelijking: de gemiddelde salarissen liggen dicht bij die van verwante functies zoals de IT Risk Officer en de senior IT-auditor. Meer context over beloningen in het vakgebied vind je in onze salaristrends voor 2026.

Profiel, opleiding en certificeringen

Werkgevers vragen voor GRC-functies doorgaans een hbo- of wo-diploma, bijvoorbeeld in bedrijfskunde, informatica, rechten of accountancy. Belangrijker dan de exacte studie is de combinatie van analytisch vermogen, oog voor detail en sterke communicatieve vaardigheden. Een GRC-professional moet immers voortdurend schakelen tussen techniek, juristerij en management, en complexe risico's begrijpelijk maken voor uiteenlopende doelgroepen.

Op certificeringsgebied is ISACA toonaangevend. De meest gevraagde certificaten zijn:

  • CRISC (Certified in Risk and Information Systems Control): dé certificering voor IT-risicomanagement en bij uitstek relevant voor GRC
  • CISA (Certified Information Systems Auditor): sterk gericht op controls en audit, veelgevraagd in de tweede en derde lijn
  • CISM (Certified Information Security Manager): gericht op het managen van informatiebeveiliging
  • CGEIT (Certified in the Governance of Enterprise IT): specifiek voor de governance-pijler
  • ISO 27001 Lead Implementer / Lead Auditor: voor wie een ISMS opzet, onderhoudt of toetst

Voor starters is het geen probleem om nog geen certificering te hebben: veel werkgevers bieden opleidingstrajecten aan en verwachten dat je bijvoorbeeld CRISC of CISA gaandeweg behaalt. Kennis van een GRC-tool en aantoonbare affiniteit met regelgeving zoals DORA of NIS2 maken je cv voor 2026 extra aantrekkelijk.

Het carrièrepad in GRC

Een van de aantrekkelijkste kanten van GRC is de flexibiliteit van het carrièrepad. Je kunt instromen vanuit heel verschillende hoeken — IT-audit, informatiebeveiliging, privacy, compliance of zelfs een juridische of bedrijfskundige achtergrond — en van daaruit doorgroeien. Een typische route begint als GRC-analist, gaat via GRC Officer of Consultant naar GRC Manager, en eindigt bij een Head of GRC of Chief Risk Officer.

Omdat de vakkennis breed toepasbaar is, biedt GRC ook uitstekende zijstappen. Vanuit een GRC-rol groeien professionals regelmatig door naar een CISO-functie, naar de rol van Functionaris Gegevensbescherming op het snijvlak van privacy, of naar een positie in technology risk bij een van de grote adviesbureaus. Die veelzijdigheid, gecombineerd met de blijvend hoge vraag door nieuwe regelgeving, maakt GRC een van de meest toekomstbestendige vakgebieden binnen IT-compliance en security.

Wil je de stap naar GRC zetten of doorgroeien binnen het vakgebied? Bekijk onze actuele GRC-vacatures en verken de bredere vakgebieden binnen IT-security, audit en compliance. Voor de laatste ontwikkelingen rond regelgeving en dreigingen kun je terecht bij het Nationaal Cyber Security Centrum (NCSC).

Veelgestelde vragen over GRC

Wat betekent GRC?

GRC staat voor Governance, Risk & Compliance. Het is een geïntegreerde manier van werken waarmee organisaties hun besturing (governance), hun risicobeheersing (risk management) en het naleven van wet- en regelgeving (compliance) op elkaar afstemmen in plaats van los van elkaar te organiseren. In de IT-context gaat GRC over het beheersen van technologie- en informatiebeveiligingsrisico's en het aantoonbaar voldoen aan normen en regelgeving zoals ISO 27001, DORA, NIS2 en de AVG.

Welke rollen bestaan er binnen GRC?

GRC is een breed vakgebied met een duidelijke ladder. Instappers beginnen als GRC-analist of GRC officer, groeien door naar GRC-specialist of GRC-consultant, en vervolgens naar GRC Manager en uiteindelijk Head of GRC of een directierol zoals Chief Risk Officer. Daarnaast raken GRC-taken verweven met verwante functies als IT Risk Officer, Compliance Officer, Information Security Officer en IT-auditor.

Wat verdient een GRC-professional in Nederland?

Een GRC-analist verdient in Nederland doorgaans tussen de 55.000 en 75.000 euro bruto per jaar, een medior GRC-specialist of consultant tussen de 70.000 en 95.000 euro, en een GRC Manager tussen de 90.000 en 130.000 euro. Een Head of GRC of Chief Risk Officer kan boven de 150.000 euro uitkomen, afhankelijk van sector, organisatiegrootte en ervaring.

Welke certificeringen zijn nuttig voor een carrière in GRC?

Veelgevraagde certificeringen in GRC zijn CRISC (Certified in Risk and Information Systems Control), CISA, CISM en CGEIT van ISACA, aangevuld met ISO 27001 Lead Implementer of Lead Auditor. Kennis van frameworks als COBIT, het NIST Cybersecurity Framework, ISO 27005 en het Three Lines Model is minstens zo belangrijk, samen met analytische en communicatieve vaardigheden.