Privacyrecht is code
Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/7.16:7.16. Net Present Value
Privacyrecht is code (R&P nr. ICT1) 2010/7.16
7.16. Net Present Value
Documentgegevens:
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS578771:1
- Vakgebied(en)
Civiel recht algemeen (V)
Toon alle voetnoten
Voetnoten
Voetnoten
Cardholm, 2006, p. 20.
Cardholm, 2006, p. 21.
Fairchild & Ribben, 2008, p. 92.
Ambtenarengerecht Amsterdam, 4 februari 1992, TAR 1992, 83 en CRvB 21 oktober 1993, TAR 1993, 249.
www.news.com/DoubleClick-climbs-after-privacy-probe-ends/2100-1023_3-251364.html?tag-st.rn.
www.nyse.com onder double click
Buitelaar & Borking, 2005, nr. 1
Ribbers, 2008, p. 33.
Ribbers, 2008, p. 34
Ribbers, 2008, p. 35-37
Deze functie is alleen te gebruiken als je bent ingelogd.
De 'Net Present Value' of netto contante waarde (NPV) van een project of een investering wordt gedefinieerd als de som van de verdisconteerde contante waarden van de jaarlijkse cashflows (kasstromen) verminderd met het bedrag dat aanvankelijk wordt geïnvesteerd. De jaarlijkse kasstroom bestaat uit de nettobaten (opbrengsten minus kosten) die tijdens de duur door de investering worden voortgebracht. In de cashflow worden de contante waarde van geld en het risico verdisconteerd. NPV is één van de meest robuuste financiële evaluatiehulpmiddelen om de waarde van een investering te schatten.1
De berekening van de netto contante waarde gaat als volgt:
Bereken de verwachte vrije cashflows per jaar, die uit de investering resulteren.
Trek af/verdisconteer de kosten van het kapitaal (een rentepercentage op basis van tijd en risico).
Trek de aanvankelijke investeringen af.
De berekening van 1 en 2 leidt tot de contante waarde.
In de berekening leidt (1-2) — 3 tot de NPV. NPV wordt in de volgende formules uitgedrukt:
NPV = Initiële investering + (cashflow jaar 1 / (gedeeld door (l+r)1) + (cashflow jaar n / (gedeeld door) (l+r)n), of:
Initiële investering (i): Dit is de investering die aan het begin van het project wordt gemaakt. De waarde is gewoonlijk negatief, aangezien de meeste projecten vereisen dat er eerst geld uitgegeven wordt. De aanvankelijke investering kan hardware, softwarelicentie bedragen, en startkosten omvatten.
Cashflow (cfn): De netto cashflow voor het jaar n van het project: dat wil zeggen de baten minus de kosten.
Rate of Return (r): Het `winst'percentage wordt berekend door de investering te vergelijken met alternatieven die dezelfde risico's dragen. Het winstpercentage wordt vaak aangeduid als 'discount', rente, 'hurdle rate', of kapitaalskosten. Bedrijven gebruiken vaak een standaardtarief voor een investeringsproject, dat overeenkomt met het gemiddeld risico dat het bedrijf loopt.
Tijd (t): Dit is het aantal jaren dat het project gaat duren.
Als de NPV resulteert in een getal groter dan of gelijk aan nul, dan is de investering vanuit financieel perspectief gerechtvaardigd. Cardholm stelt dat:
"If the NPV is less than zero, the project will not provide enough financial benefits to justify the investment, since there are alternative investments that will earn at least the rate of return of the investment".2
Fairchild & Ribbers3 hebben voor de rendementsberekeningen van PET-investeringen aan de gangbare NPV-formule een aantal componenten toegevoegd. Naast de gebruikelijke elementen als Initiële investering (I(p)), en de jaarlijks terugkerende cashflow zijn dat: Annual Loss Exposure (ALE), Reputation Recovering Costs (RRC), Expected Revenue Accrual (ERA) en Recurring Privacy Costs (RPC). Bij initiële investering [I(p)] gaat het om bedragen die betaald moeten worden voor de privacybedreigings- of risicoanalyse (PIA), het analyseren en modelleren van de bedrijfsprocessen, de aankoop en implementatie van PET-applicaties, productiviteitsverlies, en 'change management'.
De jaarlijks terugkerende 'cashflow', bevat alle financiële effecten van het voorstel die jaarlijks optreden. In deze berekening wordt tevens gekeken naar het verschil in de `cashflow'-patronen die optreden wanneer de investering wordt gedaan en wanneer deze niet plaatsvindt. Bij het laatste gaat het dan om het handhaven van de bestaande situatie. ALE is al in paragraaf 7.14 aan de orde geweest. Het betreft de verwachte kosten van een privacyincident en de frequentie van zulke incidenten binnen een jaar. De veroorzaakte kosten zijn omzetverliezen, productiviteitsverlies door privacyinbreuken, reparatiekosten, gemiste orders en schadeclaims. Als voorbeeld kan dienen de toegekende schadevergoeding wegens geleden immateriële schade van 150 gulden per persoon, die door het Ambtenarengerecht in de Ohra-zaak4 werd vastgesteld. Maar dat is niet de enige schade die door een organisatie geleden kan worden. Zo kunnen privacyinbreuken na een rechterlijke uitspraak leiden tot de geforceerde aanpassing van (de programmatuur van) het informatiesysteem, bijvoorbeeld als het informatiesysteem niet voorziet in de mogelijkheid om inzage te krijgen in de eigen persoonsgegevens. De kosten hiervan moeten niet onderschat worden en kunnen in de honderdduizenden euro's lopen. RCC zijn de uitgaven die gemaakt moeten worden om de reputatie van de organisatie te herstellen, die door een privacyinbreuk is ontstaan. Het betreffen doorgaans PR- en marketinguitgaven. Uit de Double Click Inc.-zaak in de Verenigde Staten (2000-2001) kan worden vastgesteld welke reputatieschade een bedrijf kan oplopen, waaronder een lagere aandelenkoers, die zich overigens gedeeltelijk herstelde toen de FTC (US Federal Trade Commission) haar onderzoek staakte naar de manier waarop het bedrijf persoonsgegevens verzamelde.5 Op de dag dat publiek werd dat persoonsgegevens gestolen waren, kelderden ChoicePoint's koersen van $ 47,95 naar $ 36,35 (de koers op de dag dat de eerste rechtszaak begon).6. Een lagere aandelenkoers van een bedrijf kan banken doen besluiten van het bedrijf additionele financiële zekerheden te eisen. ERA geeft de gevolgen weer op het marktaandeel en omzet als gevolg van het publiek maken van het feit dat het bedrijf in PET-maatregelen heeft geïnvesteerd. RPC bevat de jaarlijkse (additionele) privacyuitgaven, die door de PET-investering worden veroorzaakt, zoals de privacybedreigings- of risicoanalyse, privacyaudits, de kosten voor een functionaris gegevensbescherming etc.7. Dit leidt tot de volgende NPV-formule8212 voor PET-investeringen:
Ribbers merkt hierbij op, dat:
"the analysis compares the project situation with the situation without the project. Basically this comes down to analyze the cashflow differences between the two situations. This can be done either by applying a factor RM (Risk Mitigated) to the situation without the investment or by subtracting the full-expected cash flow of the two situations from one another. The RM factor for the applied privacy risk reducing/protection solution indicates what part of ALE and RRC has been compensated by the solution. Mitigated Risk is expressed as a reduction of the expected number of privacy breaches per year."9
De bovenstaande NPV-formule voor PET-investeringen is toegepast op in paragraaf 6.8 besproken `Victim Tracking and Tracing System' (ViTTS)-casus. De PET-investeringen waren € 1.800.000. De voordelen voortvloeiende uit de risicovermindering werden geschat op € 2.277.000. Uitgegaan werd van een periode van zes jaar, een privacyincident dat elke twee jaar plaatsvindt en kapitaalkosten van 5%. De NPV-berekening gaf als resultaat een ROI van 143,53%.10. Daarmee stond de positieve business case voor de PET-investeringen in ViTTS vast.