Documentverwerkers zien brood in wet- en regelgeving, Gat in de markt
Steeds vaker kreeg HollandRidderkerk Document & Printing Solutions de vraag naar beveiligd drukwerk, zowel beveiligd waardedrukwerk, als de verwerking van documenten waarmee uiterst vertrouwelijk moest worden omgesprongen. Een voortvloeisel van ondermeer de toenemende wet en regelgeving. Reden voor het bedrijf om dieper in de materie te duiken. Afgelopen zomer startten ze een aparte BV voor dit werk ‘SecuredDocuments’. "We stuitten op de CWA-certificering", vertelt Paul Veldhuizen, Manager Operations & Security van SecuredDocuments. "Die certificering is gebaseerd op het voldoen aan een groot aantal afspraken, die gemaakt zijn door producenten en afnemers van beveiligd waardedrukwerk. Die afspraken zijn er aan de ene kant op gericht de branche te beschermen tegen fraude en criminaliteit, aan de andere kant zijn ze ook bedoeld om ‘niet-professionals’ op het gebied van secured printing en secured documents tegen te gaan." SecuredDocuments mag zich ‘security printer’ noemen. Het niveau daarboven is ‘high security printer’: op dat niveau bevinden zich de Joh. Enschedé’s van deze wereld, die zaken als bankbiljetten en paspoorten ontwikkelen en drukken. De CWA-certificering en -auditing zijn voor Nederland in handen van de VPGI, de Vereniging Productbewaking Grafische Industrie. "De leidraad voor de certificering is de Risk Inventory Checklist. Die gaat over fysieke beveiliging van je gebouwen, screening van het personeel, toegangscontrole, beveiliging van IT-systemen, omgaan met afval, sleutelmanagement, autorisatie voor ruimtes en machines, transport et cetera. Op fysiek niveau moet je het nodige aanleggen, maar ook procedureel heeft de certificering veel voeten in aarde. Wat doe je bijvoorbeeld als iemand onwel wordt in de beveiligde ruimte? Wie haalt hem er dan uit? Voor de IT-systemen heeft het eveneens grote gevolgen. We hadden voorheen een ‘normaal’ bedrijfsnetwerk. Nu is het zo dat werk dat onder de noemer ‘secured documents’ wordt aangeleverd, volstrekt niet toegankelijk mag zijn. Dat betekent: alles encrypten, opslaan op beveiligde delen van het netwerk, en strenge autorisatieprocedures voor zowel mensen als machines." Zorgen uitbesteden Sinds de start heeft SecuredDocuments het druk gekregen. Veldhuizen merkt dat er een behoefte bestaat de ‘zorgen’ uit te besteden. Steeds meer organisaties kiezen ervoor om te outsourcen. "In sommige bedrijven staan directieleden vertrouwelijke stukken te kopiëren, omdat ze het de secretaresse niet durven toevertrouwen", zegt Veldhuizen. Het waardedrukwerk - cadeaubonnen, diploma’s - is niet aan overheidsregels gebonden. Daar gaat het eerder om het toevoegen van veiligheidsfeatures die fraude belemmeren. De Wet Bescherming Persoonsgegevens is de belangrijkste wet- en regelgeving die speelt bij de klanten van SecuredDocuments. "Bij ieder intakegesprek nemen we de Wbp door; soms zijn klanten zich niet eens bewust van die regelgeving. Het digitaliseren, opslaan of vernietigen van bijvoorbeeld strafdossiers en medische dossiers moet secuur volgens de regels van de WBP gebeuren. "Het product ‘drukwerk’ is wat dat betreft in veel gevallen nog maar een klein onderdeel van de dienstverlening", zegt Veldhuizen. "We richten het hele proces, de gehele keten in, na een uitgebreid consultancytraject. Wat heeft de klant? Wat wil de klant? Welke mate van zekerheid is nodig? We bieden een oplossing die modulair is, en in verschillende fasen verschillende veiligheidsniveaus kan bieden. In het digitaliseren van een archief bestaat dat uit scannen, het koppelen van een zoekfunctie aan de data, autorisatie van personen voor bepaalde tijdstippen en bepaalde bewerkingen en het bijhouden van bewerkingen. Door het hele concept te laten certificeren hebben we wat dat betreft een unieke positie in de wereld." Ook Unisys Payment Services and Solutions (UPSS) in Leusden ziet in de toenemende - en elkaar snel opvolgende - wet- en regelgeving een kans in plaats van een bedreiging. De dochteronderneming van Unisys verwerkt voor zes Nederlandse banken en Interpay handgeschreven betaalopdrachten en acceptgiro’s, ongeveer 55 procent van het totale Nederlandse volume. Daarnaast drukt UPSS op een beveiligde manier de creditcard-statements voor een aantal banken. Tot slot heeft Interpay het archiveren van alle Nederlandse interbancaire betaaltransacties uitbesteed aan UPSS, in totaal zo’n 23 miljard. "Volgens de Nederlandse wet- en regelgeving hebben banken een bewaarplicht van zeven jaar; gezien de eisen van Interpay voor een zeer veilige omgeving voor deze dienst, lag het in de lijn dit ook aan ons uit te besteden.", zegt Rob Fopma, general manager van UPSS. Om de dienstverlening aan banken aan te kunnen bieden, moet UPSS zelf compliant zijn aan een flinke portie wet- en regelgeving. Vanwege de Amerikaanse moeder Unisys moet het bedrijf SOX-compliant zijn, maar dat heeft met ‘ons dagelijks werk’ niet direct zoveel te maken. Andere regelgeving wel. "Omdat wij transacties verwerken voor banken, vallen we net als die banken onder het toezicht van De Nederlandse Bank. Daarnaast moeten we ons certificeren om bijvoorbeeld acceptgiro’s te mogen verwerken. Met de banken waarvoor wij werken sluiten we contracten die weer gebaseerd zijn op de ‘wet- en regelgeving’ van de individuele bank. Om daaraan te voldoen kijken we overigens vooral naar de doelstelling van die regelgeving: we kunnen bijvoorbeeld niet letterlijk de ontruimingsprocedure overnemen van zes verschillende banken." SEPA Outsourcing om compliancyredenen is steeds vaker een optie, voor banken. "Binnenkort krijgen banken te maken met SEPA", zegt Fopma, "de Single Euro Payment Area. Het ligt dan in de lijn der verwachting dat Nederlandse producten als acceptgiro’s en incasso’s zullen verdwijnen; daarvoor in de plaats komen nieuwe standaard Europese producten. De investeringen om te voldoen aan SEPA zijn voor de grootste banken wel op te brengen, maar voor de kleinere banken zijn de kosten relatief hoog. Wij hebben de schaalgrootte om die wet- en regelgeving in de producten en processen door te voeren." Ook de Basel-II wetgeving en het Amerikaanse Check 21 - nieuwe regels rond het verwerken van betalingscheques - missen hun impact niet. "De wet- en regelgeving verandert snel", zegt Fopma, "Dat heeft uiteraard ook impact op je organisatie, processen, applicaties en infrastructuur. Het is daarom cruciaal om een goed inzicht te hebben in al deze componenten. Daarvoor gebruiken we zelf. ‘Blueprinting’. Waardoor we toekomstige scenario’s kunnen testen, op een ‘what if’-manier. Zodra er over nieuwe wet- en regelgeving wordt gesproken kun je bekijken wat de impact is op deze drie lagen. Dat vergemakkelijkt implementatie aanzienlijk." Beeld: Getty Images