GDPR compliance kost grote bedrijven gemiddeld €17 miljoen

08 maart 2018 Consultancy.nl

De voorbereidingen op de nieuwe General Data Protection Regulation (GDPR) kost corporate organisaties miljoenen euro’s, onder meer door het (moeten) veranderen van hun processen, systemen en manieren van werken. Over hoeveel er door Nederlandse partijen precies wordt uitgegeven is geen data beschikbaar – een nieuw onderzoek uit het Verenigd Koninkrijk geeft enige inkijk in de omvang van de kostenpost. Gemiddeld genomen zijn Britse beursgenoteerde bedrijven zo’n €17 miljoen kwijt aan GDPR-compliance.

Het onderzoek, uitgevoerd door de Britse tak van internationaal adviesbureau Sia Partners, laat zien dat de implementatiekosten voor GDPR oplopen naarmate een bedrijf groter is. De analyse, die is gebaseerd op data afkomstig van bedrijven genoteerd aan de FTSE100 – de belangrijkste Londense effectenbeurs – toont echter aan dat de daadwerkelijke kosten per branche behoorlijk uiteenlopen en van organisatorische aspecten afhankelijk zijn. Te denken valt aan aspecten zoals de complexiteit van de IT-systemen, het aanbod van producten en diensten en de volwassenheid van de risk & compliance afdeling.

Met het oog op de bedrijfsgrootte zorgen grotere hoeveelheden data – niet verassend – ervoor dat het complexiteitsniveau gerelateerd aan compliance ook hoger wordt. Wat echter iets minder voor de hand ligt, is dat ook de spreiding van de kosten voor bedrijven flink toeneemt naarmate het om grote bedrijven gaat. Waar de kosten voor ondernemingen met tussen de 1.000 en 5.000 werknemers variëren tussen de €0 en €3 miljoen, kunnen ze bij bedrijven met meer dan 100.000 medewerkers uiteenlopen van zo’n €20 miljoen tot wel €145 miljoen.GDPR-implementatiekosten gekeken naar grootte bedrijf

Over de hele linie concluderen de auteurs dat de gemiddelde uitgaven per werknemer redelijk in lijn zijn met elkaar. De minimale en gemiddelde implementatiekosten per werknemer zijn consistent binnen de verschillende formaten van de bedrijven, waarbij de implementatiekosten per medewerker door alle sectoren heen uitkomen op €370 à €550. Deze gemiddelde kosten nemen echter aanzienlijk af wanneer een bedrijf meer dan 10.000 mensen in dienst heeft. 

Uitschieters

De auteurs leggen uit dat dit komt doordat de maximumcijfers vaak uitschieters zijn binnen een sterk geconcentreerde groep. Zo bevinden zich hieronder veel grote verzekeringsmaatschappijen en olie- en gasbedrijven. Dit bevestigt bovendien het idee dat de gemiddelde implementatiekosten per medewerker van €370 à €550 voor bedrijven goed kunnen dienen als eerste inschatting, wanneer ze erachter proberen te komen hoeveel ze ongeveer zouden moeten kwijt zijn aan het voldoen aan de GDPR-vereisten.

GDPR-implementatiekosten per bedrijf per werknemer

Van alle bedrijven die onder de loep zijn genomen zullen banken waarschijnlijk het meest uitgeven om gereed te zijn voor de invoering van de GDPR, in Nederland bekend als de Algemene Verordening Gegevensbescherming. Banken bedienen vaak veel verschillende klanten – van consumenten tot supranationale organisaties – en bieden bovendien een breed aanbod aan producten en diensten. Als gevolg hiervan beschikken ze over het algemeen over een complex web aan ‘legacy’ IT-systemen. Wel is het goed op te merken dat het bij databeveiliging lang niet uitsluitend gaat om het op orde hebben van de IT-systemen. Zo bleek eerder al dat het juist het personeel zelf is dat vaak de zwakste schakel vormt op het gebied van cybersecurity. 

De kosten voor banken kunnen extra oplopen doordat er relatief veel op het spel staat. Volgens een ander onderzoek zou 29% van de klanten overwegen om van bank te switchen als hun huidige bank te maken zou krijgen met een groot datalek waarbij hun persoonsgegevens op straat komen te liggen. Bovendien bevinden de banken zich sowieso al in een sector die te maken heeft met toenemende concurrentie, waarbinnen het voor klanten steeds makkelijker wordt om over te stappen. Al met al zorgt dit ervoor dat de gemiddelde implementatiekosten per werknemer in de bankensector een stuk hoger liggen dan in andere sectoren.

Twee groepen

De gemiddelde uitgaven per branche – exclusief de bankensector – blijken te zijn gegroepeerd rond twee niveaus. In de nutssector, consumentengoederenbranche en de technologie- en telecommunicatiesector wordt zo’n €17 à €21 miljoen gespendeerd. In het ‘andere kamp’, bestaande uit alle overige sectoren – de niet bancaire financiële dienstverlening (zoals verzekeraars), gezondheidszorg, industriële goederen & diensten, reizen & vrije tijd en media – zullen de kosten volgens Sia Partners uitkomen op zo’n €5,5 tot €12,5 miljoen.

GDPR-implementatiekosten per sector

Een sector binnen de tweede groep die een belangrijke uitzondering vormt, is die van de grote verzekeringsmaatschappijen. De bedrijven daarin hebben te maken met veel hogere gemiddelde implementatiekosten per werknemer. In combinatie met de hoeveelheid bewaarde gegevens en de gevoeligheid daarvan – beide voortkomend uit de aard van de sector – zorgt dit ervoor dat deze branche ook de hoogste maximumuitgaven kent binnen de tweede groep.

Dit heeft tot gevolg dat deze branche op het gebied van de gemiddelde implementatiekosten per werknemer juist onder de eerste groep kan worden geschaard. Sia concludeert daarmee dat er drie belangrijke uitzonderingen zijn op de gemiddelde kosten per werknemer van €370 à €550, zijnde de banken, de nutssector – waar de gemiddelden worden opgestuwd door de grote olie- en gasbedrijven – en de niet-bancaire financiële dienstverleners.

Gemiddeld €17 miljoen

In welke branche een onderneming zich echter ook bevindt, de analyse laat zien dat bijna alle bedrijven diep in de buidel zullen moeten tasten om te voldoen aan de GDPR-vereisten. Gemiddeld zullen zij uitkomen op een benodigde investering van maar liefst €17 miljoen. Hierbij kan echter worden opgemerkt dat deze investeringen zichzelf razendsnel terugbetalen wanneer ze ervoor zorgen dat bedrijven de boetes ontlopen die aan een overtreding van de nieuwe wetgeving zijn verbonden. De kosten hiervan kunnen oplopen tot €20 miljoen, of 4% van de jaaromzet. Zo toonde een analyse van Oliver Wyman bijvoorbeeld aan dat, wanneer GDPR afgelopen jaar actief zou zijn geweest, FTSE100-bedrijven een rekening zouden krijgen van maar liefst €5,6 miljard.

GDPR-implementatiekosten per werknemer per sector

Gekeken naar individuele aan de Londens beurs genoteerde bedrijven, zou 4% van de jaaromzet voor de kleinste onderneming uitkomen op €900.000 en voor de grootste op €8 miljard. Gemiddeld bekeken blijkt dat een boete van 4% ongeveer dertig à tachtig keer zo duur als de implementatiekosten van de benodigde GDPR-maatregelen. Hierbij springen de nutssector en industriële goederen en dienstensector eruit. Het zijn deze branches waar de boetes wel tachtig keer zo hoog kunnen zijn als de voorbereidingsmaatregelen. In die zin zijn de implementatiekosten hier relatief laag en daarmee tegelijk investeringen die een zeer hoog rendement bieden. 

Een snelle blik op de grootste Nederlandse beursgenoteerde (AEX) bedrijven laat zien dat ook hier de bedragen flink kunnen oplopen. Zo komt 4% van de jaaromzet van Shell uit op een kleine €2,5 miljard. Philips zou tot €712 miljoen moeten neertellen voor een overtreding en het voormalige dochterbedrijf ASML zou bijvoorbeeld op een boete van €360 miljoen kunnen uitkomen.

Nieuws