Banken veel geld kwijt aan nieuwe privacywetgeving

De invoering van de nieuwe General Data Protection Regulation (GDPR) in mei 2018 zal voor veel bedrijven flinke kosten met zich meebrengen. Consultantsbureau Sia Partners onderzocht de financiële effecten voor grote bedrijven en richtte zich daarbij specifiek op bedrijven met een notering aan de Londense effectenbeurs FTSE100. Gemiddeld gaat het £300 tot £450 per werknemer of £15 miljoen per bedrijf. Banken zullen het meest kwijt zijn aan het naleven van deze nieuwe privacywetten.

Eerst staan we nog even stil bij de GDPR zelf, want wat is het en wat doet het ook alweer? De GDPR - voluit General Data Protection Regulation - is een serie wetten en regels die de ongebreidelde verwerking van privacygevoelige data van consumenten moet beschermen. In het Nederlands wordt gesproken van AVG, de Algemene Verordening Gegevensbescherming. De GDPR is in het Europees Parlement aangenomen in 2016 en vanaf toen werden bedrijven al geachten om hun organisaties in overeenstemming te brengen met de verordening. De GDPR vervangt de bestaande databeschermingsrichtlijn uit 1995. Het behoeft weinig uitleg dat díe niet echt actueel meer is.

In het onderzoek van consultant Sia Partners komen twee observaties naar voren wat betreft de manier hoe grote ondernemingen inspelen en omgaan met de GDPR. Ieder bedrijf zal zijn eigen investeringsniveau hebben, wat weer afhankelijk is van de grootte, de complexiteit van de IT-infrastructuur, het soort producten, het aantal producten en een hoeveelheid andere facetten. Maar twee thema’s komen over de gehele linie naar voren.

De eerste is dat implementatiekosten naar verwachting toenemen naar gelang de grootte van de onderneming. Immers, grotere hoeveelheden data vereisen grotere en complexere processen om volledig compliant te zijn.  

Het tweede punt dat de onderzoekers aanstippen is de verwachte gemiddelde kosten van compliance per werknemer. De minimale en gemiddelde kosten liggen tussen £300 en £450 per werknemer. Bij bedrijven met meer dan 10.000 werknemers valt echter op dat de gemiddelde kosten sterk afnemen in vergelijking met kleinere bedrijven. Voor bedrijven is een bedrag tussen de genoemde £300 en £450 een goede schatting om rekening mee te houden bij het compliant maken van hun processen.

Uit onderstaande figuur blijkt dat binnen de FTSE100 banken naar verwachting het meeste geld kwijt zullen zijn aan naleving van privacyregels. Een bank die haar zaken namelijk niet goed op orde heeft kan rekenen op een golf aan opzeggingen. Uit eerder onderzoek van Baringa Partners bleek dat 29% van de consumenten onmiddellijk zouden vertrekken als hun bank werd getroffen door een groot datalek. Banken bedienen een uitgebreid palet aan klanten met kleine spaarders tot grote multinationals, bieden veel verschillende producten en diensten en hebben ook nog eens uiterst uitgebreide en complexe IT-systemen. Deze combinatie vereist veel aandacht en brengt dus veel kosten met zich mee. Voeg daar nog aan toe dat banken opereren in een buitengewoon competitieve markt met veel concurrenten en consumenten die steeds wijzer en mondiger worden en het is duidelijk dat er veel op het spel staat.

Kosten per sector

De gemiddelde kosten per sector - banken even niet meegerekend - bevinden zich rond twee niveaus. Voor de brede energiesector, retail en technologie & telecommunicatie ligt dit niveau tussen de £15 miljoen en £19 miljoen. Voor de resterende sectoren ligt het niveau volgens Sia’s schattingen tussen £5 miljoen en £11 miljoen.

Grote verzekeringsmaatschappijen vormen een opvallende uitschieter, zoals zichtbaar in de figuur beneden. Zij hebben buitenproportioneel hoge gemiddelde implementatiekosten per werknemer. Verzekeraars bezitten veel en bovendien vaak gevoelige informatie van consumenten. Juist hier is een goede naleving van de privacy van het hoogste belang. Dit is de reden dat zij zowel de hoogste gemiddelde en de hoogste maximale kosten per werknemer hebben.

Ongeacht de bedrijfssector, gemiddeld genomen komen bedrijven uit op zo’n £15 miljoen, met grote uitschieters naar boven en naar beneden. Dat klinkt als veel geld, maar deze investeringen kunnen helpen bij het vermijden van torenhoge boetes, tot 4% van de omzet van een bedrijf. Bovendien is daarbij nog niet meegenomen de reputatieschade en het verlies van klanten die een schending van de GDPR met zich mee brengt. Op voorhand is zoiets eigenlijk te hypothetisch om te onderzoeken, maar bedrijven kunnen ervan uitgaan dat de investeringen in compliance met een veelvoud overschrijdt.