Veiligheid bij Geldservice Nederland

Veiligheid bij Geldservice Nederland

Auteur: Björn Walrave RO CIA - Drs. Laszlo Nagy EMIA RO
Beeld: Adobe Stock - Pexels - Jonas Leupe
7 min

In gesprek met Victor de Wolff, financieel directeur bij Geldservice Nederland (GSN), en Esther Huijser, hoofd Risk, Security en Compliance bij GSN, over de veiligheid van waarden en mensen in een organisatie waar letterlijk veel geld in omgaat.

Wat doet GSN?

Victor de Wolff (VdW): “GSN is in 2011 opgericht door Rabobank, ABN AMRO Bank en ING Bank. Voor deze banken telt en distribueert GSN het papieren geld, de bankbiljetten. Daarnaast zorgt GSN voor het vullen en technisch onderhouden van de geldautomaten van deze banken.”

Waarom is GSN opgericht?

VdW: “De filosofie achter de oprichting van GSN is simpel. Door het delen van de infrastructuur voor het chartale geld kunnen de banken veel kosten besparen. We zijn begonnen met de cash centers, waar de geldverwerking plaatsvindt. Je kunt je voorstellen dat de fysieke beveiliging van deze cash centers ontzettend belangrijk en daarmee kostbaar is. Door te optimaliseren hebben we het aantal cash centers de afgelopen jaren kunnen terugbrengen van vijf naar twee. Dat is nodig om in een markt met dalende volumes de kostprijs per handeling op peil te houden.”

VdW: “De banken besparen daarnaast kosten doordat we het vervoer van chartaal geld hebben geoptimaliseerd. Een voorbeeld. Voor GSN verscheen iedere dinsdagochtend op het Leidseplein in Amsterdam om 10.00 uur de waardetransporteur van de Rabobank om diens geldautomaat te vullen, een uurtje later verscheen dan de transporteur van ING Bank ten tonele en nog een paar uur later de transporteur van ABN AMRO Bank. Iedereen voelt wel aan dat dat erg in­efficiënt is. Onze waardetransporteurs vullen nu de geldautomaten van meerdere banken. Bovendien doen ze dat op het juiste moment, zodat automaten met zo min mogelijk logistieke bewegingen toch altijd voeding hebben. Die momenten stellen we onder meer vast aan de hand van rekenkundige modellen. Inmiddels hebben we ook het onderhoud van de automaten van de banken overgenomen en op gelijke wijze geoptimaliseerd.”

Wat doet GSN aan veiligheid?

Esther Huijser (EH): “De banken hebben met elkaar afgesproken dat ze elkaar niet beconcurreren op veiligheid. Dat klinkt makkelijk, maar je moet er hele goede afspraken met elkaar over maken. We hebben samen met onze partners, waaronder De Nederlandsche Bank (DNB), het ministerie van Veiligheid en Justitie (V&J) en onze waardetransporteurs G4S en SecurCash, een minimale veiligheidsstandaard bepaald voor de cash centers. Daarnaast hebben we samen met de banken een securitynorm bepaald.”

Dat is niet zomaar geregeld, toch?

EH: “Je kunt je voorstellen dat dit een uitdagend proces is geweest. Immers, iedere stakeholder brengt zijn eigen wensenlijstje mee naar de onderhandelingstafel. Toch zijn we er met elkaar uitgekomen en dat hebben we gedaan door het gesprek te voeren over het ‘wat’ en niet over het ‘hoe’. De stakeholders hebben gezamenlijk bepaald wat zij ten aanzien van veiligheid verwachten. Het was aan GSN om deze verwachtingen binnen budget te realiseren. En dat is gelukt!”

Esther Huijser: “We nemen bij medewerkers actief de gêne weg; je mág iets raar vinden. Gedraagt een collega zich anders dan normaal? Ben je op aangesproken over je werk? Laat het ons weten!”

EH: “Zowel ‘IT- en fysical security’ als ‘people’ maken onderdeel uit van het risk/control-framework van GSN. De waarden, de bankbiljetten, moeten bij GSN veilig zijn en onze mensen moeten bij GSN veilig kunnen werken. Dit gaat hand in hand. We betrekken onze medewerkers actief bij het veiligheidsbeleid. Dat betekent dat zij 24 uur per dag, zeven dagen in de week opvallende zaken kunnen melden. We nemen bij medewerkers actief de gêne weg; je mág iets raar vinden. Gedraagt een collega zich anders dan normaal? Meld het ons! Ben je op het station aangesproken over je werk? Laat het ons weten! We leren onze medewerkers kijken en iets te doen met de dingen die ze zien.”

En ook hoe te reageren in bepaalde situaties?

EH: “We oefenen iedere maand onze veiligheidsprocedures, zodat onze mensen weten hoe ze moeten handelen in geval van een calamiteit. Breekt er in een cash center brand uit, dan kun je logischerwijs niet zomaar vluchten. Wij trainen onze mensen daarom intensief, zodat ze precies weten hoe ze zichzelf en hun collega’s uit een dergelijke situatie kunnen redden. Beide speerpunten, ‘security’ en ‘people’, maken ook nadrukkelijk onderdeel uit van de ISAE 3402-
verklaring die onze externe accountant en onze waardetransporteurs aan de accountants van de banken verstrekken.”

VdW: “We verklaren al snel een incident tot een crisis, aangezien de consequenties van een incident bij ons groot kunnen zijn. We roepen sneller dan menig ander organisatie het crisismanagementteam bij elkaar. Dat doen we niet alleen om aan onze omgeving aan te tonen dat we incidenten serieus nemen, maar ook om met elkaar in de praktijk te oefenen. Erg grote incidenten hebben zich bij GSN gelukkig nog niet voorgedaan. Maar mochten die zich een keer voordoen, dan zijn wij goed voorbereid.”

Wat is de rol van de afdeling Risk, Security en Compliance ten aanzien van veiligheid?

EH: “Wij lopen elk jaar de hele risico/control-cyclus af. Zo stellen we jaarlijks samen met de directie de risk appetite van onze organisatie opnieuw vast. Op basis hiervan werken we ons risk/control-framework en de scenarioanalyses bij. Zijn ze nog up-to-date, werken ze nog? Uiteraard hebben we hierbij oog voor nieuwe bedreigingen. Zo gaan de ontwikkelingen ten aanzien van cyber heel hard. De CFO-fraude, ransomware, noem het maar op. We bepalen hoe we ons hier, uitgaande van onze risk appetite, tegen kunnen weren. Soms vraagt dat om zeer grote investeringen, zeker als je de omvang van onze organisatie in beschouwing neemt. Je ziet dat onze directie daar gezonde beslissingen in neemt, rekening houdend met onze rol in de keten. De nieuwe maatregelen implementeren we, waarbij we zoals gezegd veel aandacht hebben voor het trainen van onze medewerkers. Wat we niet doen is vinken. Je zult ons er niet op betrappen dat we standaardlijstjes nalopen en hierover rapporteren.”

Kunt u een voorbeeld geven van bijzondere maatregelen die GSN treft?

EH: “Iets waar we veel ervaring mee hebben is het detecteren en vervolgens frustreren van voorbereidingshandelingen van criminelen. We monitoren hiertoe onze omgeving met camera’s. Met behulp van intelligente software kunnen we bijvoorbeeld zien welke voor ons onbekende voertuigen meerdere malen een bezoekje aan ons hebben gebracht. We melden onze waarnemingen van dit afwijkend gedrag bij de Landelijke Eenheid van de politie. Zij volgen deze meldingen vervolgens op. Deze aanpak blijkt zeer succesvol!”

Voeren jullie ook audits uit?

EH: ”We hebben geen internal auditfunctie en die gaat er voorlopig ook niet komen. Wel voert mijn afdeling af en toe operational audits uit. Aangezien onze werkzaamheden niet leiden tot extern gerichte verklaringen kan dat prima. Daarnaast laten we externen weleens dergelijke audits uitvoeren. De frisse blik van buitenaf helpt ons namelijk om te bepalen of we nog op de goede weg zijn, of we geen last hebben van tunnelvisie. In dat kader hebben we onlangs nog een uitgebreide IT-assessment laten uitvoeren.”

Esther Huijser: “We zijn de grootste geldverwerker van Nederland, maar qua toezicht vallen we overal buiten. Dat betekent dat we ook niet zomaar gebruik kunnen maken van bepaalde privileges, zoals screening van mensen door de politie”

Wie houdt toezicht op GSN?

EH: “Wat heel bijzonder is, is dat er op GSN ten aanzien van veiligheid nauwelijks toezicht bestaat. We zijn namelijk geen bank noch een beveiligingsbedrijf, waarvoor dit toezicht wel wettelijk is geregeld. Anders gezegd, we zijn de grootste geldverwerker van Nederland, maar qua toezicht vallen we overal buiten. Dat betekent dat we ook niet zomaar gebruik kunnen maken van bepaalde privileges, zoals screening van mensen door de politie. Voor dat soort zaken moeten we soms alternatieve oplossingen zoeken. Voor weer andere zaken maken we aparte afspraken. Dat doen we met zowel het ministerie van V&J als met de politie.”

VdW: “Wij staan inderdaad niet onder toezicht. Echter, de banken zelf staan natuurlijk wel onder toezicht van DNB, vanwege de chartale distributieovereenkomst. DNB heeft hiervoor een normenkader ontwikkeld, dat door de banken zelf als referentiekader wordt gebruikt bij interne audits. Aangezien de banken een groot deel van de betreffende processen aan ons hebben uitbesteed, vinden die audits ook grotendeels hier plaats. Nu is het niet erg efficiënt als iedere bank haar eigen interne auditteam op ons afstuurt. Daarom hebben we met de banken afgesproken dat een externe partij ons periodiek aan het normenkader van DNB toetst.”

Hoe ziet de toekomst van GSN eruit?

VdW: ”Contant geld zal altijd blijven bestaan, al is het maar als back-up voor wanneer het elektronische betalingsverkeer volledig uitvalt. De verhouding tussen chartaal en giraal geld gaat wel behoorlijk veranderen. Inmiddels wordt er in Nederland aan de toonbanken al meer betaald met cards dan met cash en die trend zet zich zeker voort. Tegelijkertijd ervaart de consument chartaal geld als een soort openbare nutsvoorziening: het moet er zijn, maar het mag nauwelijks wat kosten. Om het chartale geldverkeer voor de banken betaalbaar te houden, moeten we blijven optimaliseren.

VdW: “De volgende stap in het optimalisatieproces is dat we de geldautomaten van de banken overnemen en een gezamenlijk netwerk van geldautomaten bouwen. In de nieuwe situatie maakt het niet meer uit welke geldautomaat de consument gebruikt. Zij kunnen iedere geldautomaat gebruiken als ware het een automaat van de eigen bank. Hierdoor kan GSN het aantal geldautomaten terugbrengen en tegelijkertijd de dekkingsgraad verhogen. De beschikbaarheid van chartaal geld zal voor de consument dus alleen maar toenemen.”

Victor de Wolff: “De consument ervaart chartaal geld als een soort openbare nutsvoorziening: het moet er zijn, maar het mag nauwelijks wat kosten”

EH: ”Ook hierbij hebben we nadrukkelijk oog voor veiligheid. We hebben sinds een aantal jaren te maken met het fenomeen plofkraken. Bouwkundig gezien zijn veruit de meeste locaties in Nederland goed. De banken hebben hier altijd veel aandacht voor gehad. Daarnaast zorgen we voor gedegen cameratoezicht, zodat de opsporingsdiensten na een plofkraak zo snel en goed mogelijk hun werk kunnen doen. We plaatsen ook geen nieuwe geldautomaten meer onder of naast woningen om de risico’s op letsel van omwonenden bij plofkraken zoveel mogelijk te beperken.”

VdW: “Je ziet dat we ook hier weer veel aandacht hebben voor veiligheid. In alle bescheidenheid durf ik te stellen dat we op het gebied van risk en security erg volwassen zijn, ondanks de relatief kleine omvang van onze organisatie. We horen dat ook regelmatig terug van ons audit committee. Veiligheid zit in het DNA van onze organisatie. En daar zijn we best een beetje trots op!”

Over
Victor de Wolff is financieel directeur bij GSN. Daarvoor was hij 22 jaar in diverse financiële functies werkzaam binnen de divisie Retail van ING Bank. Ook was hij CFO Facility Management van ING.

Esther Huijser werkt als hoofd Risk, Security en Compliance voor GSN. Daarvoor werkte zij als risk manager en compliance officer voor de voorganger van GSN, Altajo. Zij studeerde onder meer internal auditing (RO) aan de Universiteit van Amsterdam.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.

Lees meer over dit onderwerp:

Openbaar Ministerie: beheerst gezag

Het Openbaar Ministerie (OM) is de enige bevoegde instantie in Nederland die verdachten van een strafbaar feit voor de rechter kan brengen. Dit artikel geeft inzicht in het OM en specifiek in de organisatie en activiteiten van haar auditfunctie.

Lees meer

Komt de digitale Titanic-ramp eraan?

In mei 2018 horen organisaties klaar te zijn met de implementatie van de privacyrichtlijn GDPR (General Data Protection Regulation). Het pad erheen is een helse toer. De regelgeving legt pijnlijk bloot hoe onvolwassen we eigenlijk met data omgaan.

Lees meer