Privacyrecht is code (R&P nr. ICT1) 2010/7.13:7.13. Economische rechtvaardiging van PET-investeringen

Privacyrecht is code (R&P nr. ICT1) 2010/7.13

7.13. Economische rechtvaardiging van PET-investeringen

Documentgegevens:

drs. J.J.F.M. Borking, datum 26-05-2010

Datum: 26-05-2010
Auteur: drs. J.J.F.M. Borking
JCDI: JCDI:ADS574105:1
Vakgebied(en): Civiel recht algemeen (V)

Als medebestuurder van het College bescherming persoonsgegevens heb ik ervaren dat het uiterst moeilijk is organisaties ervan te overtuigen dat de bescherming van persoonsgegevens door middel van PET noodzakelijk is en voordelen oplevert. Dit proces verloopt allereerst moeizaam omdat veel informatici nog nooit over minimalisatie van persoonsgegevens hebben nagedacht, maar ook omdat bedrijfs- of economische modellen ontbreken waaruit blijkt dat een PET-investering financiële voordelen kan opleveren. Voordat een bedrijf besluit om PET toe te passen is het essentieel dat het begrijpt hoeveel een dergelijk proces gaat kosten en wat voor financiële en andere kwantitatieve en kwalitatieve baten het oplevert.1 Bovendien zijn de kosten een negatieve adoptiefactor voor PET.

Om te onderzoeken of er een positieve business case is voor de toepassing van PET binnen een organisatie, moeten drie kernvragen worden beantwoord. Deze vragen zijn:

1.: Draagt PET in belangrijke mate bij aan de beleidsdoelstellingen van de organisatie? Als dat zo is dan dient de bijdrage op te wegen tegen de kosten die ermee gemoeid zijn. Zo niet, dan is er geen business case.
2.: Welke kosten brengt PET eenmalig en structureel met zich mee? Het antwoord op deze vraag blijkt voor het management de meest belangrijke beweegreden om PET al dat niet toe te passen in de organisatie.
3.: Welke kwalitatieve en kwantitatieve baten kan PET in de organisatie realiseren? Als het bedrijf minder kwijt is aan operationele kosten wanneer het PET toepast, zal de businesscase dat eenvoudig kunnen aantonen. Niet kwantificeerbare voordelen zoals toegenomen klanttevredenheid, versterking van het (innovatieve) imago van de organisatie naar burgers e.d., zijn echter een stuk lastiger in kaart te brengen.2

Er is sprake van een positieve businesscase als de beantwoording van bovenstaande vragen leidt tot de conclusie dat de toepassing van PET in de betrokken organisatie wenselijk en financieel haalbaar is en voordelen oplevert. De positieve businesscase is dan de zakelijke rechtvaardiging van de toepassing van PET.3 Het niet kunnen kwantificeren van de voordelen behoeft geen belemmering te zijn voor een positieve business case. Voor de besluitvorming is nochtans vooral van belang dat de organisatie een goed inzicht heeft in de 'Return On Investment' (ROI). ROI is door Purser gedefinieerd als: "It is a measure of a company's ability to use its assets effectively to generate additional value."4

Cardholm merkt hierover op dat:

"Return on Investment (ROI) is a straightforward financial tool that measures the economic return of a project or investment. It is also known as return on capital employed. It measures the effectiveness of the investment by calculating the number of times the net benefits (benefits minus costs) recover the original investment. ROI has become one of the most popular metrics used to understand, evaluate, and compare the value of different investment options."5

Er zijn verschillende versies van de ROI-formule en dat leidt tot verschillende interpretaties van de verkregen resultaten. De meest gangbare formule is:

id-cc19af44-9c36-46f3-a080-71d6330ea91d

Netto-opbrengsten staat voor opbrengsten verminderd met kosten, terwijl onder totale kosten wordt verstaan de initiële, lopende en de terugkerende kosten. ROI wordt doorgaans over het eerste jaar van de investering berekend, omdat in het bedrijfsleven als standaard geldt dat ondernemingen investeringen in het eerste jaar proberen terug te verdienen.6 Zelfs bij een positieve business case, zullen PET-investeringen met andere bedrijfsprojecten moeten concurreren. Als geen financiële middelen of personeel beschikbaar zijn of als het management geen tijd kan vrijmaken om in PET te investeren, kan dit remmend werken. Of een PET-project hoog op de lijst van prioriteiten eindigt, hangt af van het relatieve belang dat het management aan het PET-project hecht. Het management zal daarbij een kosten-batenafweging moeten maken, want: "To maximize the expected benefit from investment to protect information, a firm should spend only a small fraction of the expected loss due to a security breach."7

Toon alle voetnoten

Voetnoten

Voetnoten

Koorn, e.a., 2004, p. 47-56.

Koom, e.a., 2004, p. 47.

Koom, e.a., 2004, p. 47-48.

Purser, 2004, p. 542.

Cardholm, 2006, p. 20.

Cardholm, 2006, p. 21.

Gordon & Loeb, 2004, p.105.