Logo

Validatie beveiliging documentbeheer via on-site audit

  • Iron Mountain
  • Documentbeheer
Wet- en regelgeving drukt een steeds zwaarder stempel op vrijwel alle domeinen van de mondiale markt voor financiële dienstverlening. Bescherming van cliëntgegevens staat daarbij voorop. Elektronische dossiers moeten optimaal worden beveiligd tegen cybercriminelen, maar ook papieren documenten, zoals getekende overeenkomsten, vragen om de hoogste beschermingsniveaus. Hoe heeft informatiebeheerspecialist Iron Mountain dit aangepakt bij kredietverlener Crédit Agricole Consumer Finance Nederland (CACF NL)?
Beeld Validatie beveiliging documentbeheer via on-site audit

Toen het lopende contract met informatiebeheerspecialist Iron Mountain aan herziening toe was, was CACF NL genoodzaakt de beveiligingsmaatregelen van Iron Mountain grondig te valideren. Aangezien Iron Mountain die maatregelen juist vanwege de strenge beveiligingseisen van de financiële sector niet per mail of brief wilde toelichten, stelde het een on-site audit voor.

Oplossing

De audit van de opslaglocatie van Iron Mountain nam ruim een volle werkdag in beslag. Namens CACF NL was naast Luuk Wesseling ook hoofd informatiebeveiliging Peter Siderius aanwezig. Ze inspecteerden het bedrijfscontinuïteitsplan, het noodactieplan, het brandpreventieplan en het Europese incident- en risicomanagement registratiesysteem (ERMS) van Iron Mountain.

Behalve vertrouwelijke procesdocumentatie bekeken ze ook ondersteunende informatie, zoals checklists, incidentmeldingsformulieren en plattegronden. Het bedrijfscontinuïteitsplan – onderdeel van een wereldwijd geïmplementeerd pakket voorzieningen – beschrijft in detail hoe Iron Mountain handelt in uiteenlopende crisissituaties, zoals bij technische storingen, verdachte pakketjes of ongewenst bezoek. Het omvat ook gerelateerde business impact-analyses en risicobeoordelingen. Naast mogelijke natuurrampen wordt er veel aandacht besteed aan overstromingsgevaar, aangezien grote delen van Nederland beneden zeeniveau liggen. Uiteraard bleek ook het brandpreventieplan zeer gedetailleerd en uitvoerig te zijn.

Iron Mountain liet zien hoe het in geval van een calamiteit in staat is de hele bedrijfsvoering naar een andere site over te zetten, en de bedrijfsprocessen op de gebruikelijke wijze voort te zetten. Alle opslagvoorzieningen van Iron Mountain zijn en blijven sterk gericht op de veiligheid en bescherming van zowel medewerkers als klantendossiers. Elk kwartaal worden er realistische ontruimingsoefeningen gehouden, terwijl er bij de jaarlijkse bedrijfscontinuïteitstest nog eens een extra evacuatie wordt geoefend.

Tijdens de audit werden voornamelijk de maatregelen rond de archiveringsruimte gecontroleerd, waarbij overigens duidelijk was dat het hele complex zwaar beveiligd is en dat Iron Mountain strenge toegangsprocedures hanteert. Nieuwe medewerkers die met vertrouwelijke documenten moeten omgaan, worden aan een zeer strenge screening onderworpen. Iron Mountain sloot de audit af met een bespreking van recente programma’s voor gegevensbescherming, zoals de Safe Harbor Privacy Principles en nieuwe Nederlandse wetgeving rond datalekken. Iron Mountain verwerkt die ontwikkelingen in de eigen procedures.

Waarde

Iron Mountain slaagde met vlag en wimpel voor de test. CACF NL en moederbedrijf Crédit Agricole S.A. hechten sterk aan risicomanagement, dat de basis van hun bedrijfsmodel en bedrijfscultuur vormt. Luuk Wesseling zegt: “Ik was prettig verrast bij Iron Mountain eenzelfde ethos aan te treffen. Zo hebben bijvoorbeeld alle medewerkers toegang tot het incident- en risicomeldingssysteem in het ERMS, en worden ze aangemoedigd er ook gebruik van te maken.”

Iron Mountain oogstte lof voor de reikwijdte en grondigheid van haar maatregelen en voorzieningen. Er was volop bewijs dat de regels door het hele complex heen worden nageleefd, zozeer zelfs dat bezoekers hun mobiele telefoon moeten afgeven voordat ze de archiefopslag betreden. Voor CACF NL is het cruciaal dat Iron Mountain voldoet aan internationale normen voor risicomanagement, en dat het met erkende systemen en procedures werkt. “We streven in onze eigen bedrijfsvoering naar een hoog niveau van operationele continuïteit en risicomanagement, en het is een geruststellende gedachte dat we die ambitie één op één terugzien bij Iron Mountain,” stelt Wesseling.

De audit bevestigde de rol van Iron Mountain als vertrouwenspartner, niet alleen op het gebied van beveiliging, maar in alle aspecten van de werkrelatie. Zo bieden maandelijkse KPI-rapportages CACF NL een gedetailleerd beeld van alle dossierverplaatsingen en tonen ze historische trends. Die gebruikt CACF NL voor haar lange-termijnplanning, met het oog op verdere kostenbesparingen in de toekomst. “Iron Mountain is een professionele partner met klantgerichte medewerkers op alle niveaus,” besluit Luuk Wesseling. “Ze helpen me mijn doelen te bereiken, en ze kiezen altijd voor een duurzame langetermijnrelatie in plaats van gewin op de korte termijn. Ik ben heel tevreden met hun dienstverlening.”

Cliënt

Crédit Agricole Consumer Finance Nederland B.V. (CACF NL) is marktleider in de verstrekking van consumptief krediet in Nederland en voert een compleet pakket klantgerichte financieringsoplossingen. Het bedrijf en zijn 380 medewerkers spannen zich in voor verantwoorde en duurzame kredietverlening op basis van transparantie en bewust lenen. Iron Mountain® levert al ruim twintig jaar opslag- en beheerdiensten voor de vertrouwelijke dossiers van CACF NL. Het gaat daarbij merendeels om contracten met juridische bewijskracht. CACF NL heeft Iron Mountain daarom aangemerkt als leverancier van “Essential Outsourced Services” (EOS). In die hoedanigheid dient CACF NL te voldoen aan strikte contractuele eisen, waaronder strenge beveiligingsnormen.