Naleving privacywetgeving is verantwoordelijkheid klant
De controlecliënt is verantwoordelijk voor de naleving van wet- en regelgeving. Over mogelijke datalekken bij de klant hoeft de accountant zich feitelijk niet druk te maken.
Accountantskamer
- Zaaknummers:
- 22/847 Wtra AK, 22/848 Wtra AK en 22/849 Wtra AK
- Datum uitspraak:
- 17 februari 2023
- Oordeel:
- ongegrond
- Maatregel:
- geen
- Status:
- bevestigd, CBb 17 september 2024, 23/896
- Vindplaats:
- ECLI:NL:TACAKN:2023:9, Samenvatting CBb-uitspraak
Lex van Almelo
Belangrijkste feiten
Drie registeraccountants controleren achtereenvolgens de jaarrekeningen van een multinationale onderneming over de boekjaren 2014 tot en met 2021. Een vrouw gaat in 2008 als uitzendkracht aan het werk bij de multinational en krijgt later een dienstverband op het hoofdkantoor. De onderneming slaat met bepaalde ‘uitzendsoftware’ persoonsgegevens op van gedetacheerde medewerkers, uitzendkrachten, zzp’ers en doorleners, waaronder hun cv’s, diploma’s, cijferlijsten en paspoortgegevens. Werknemers die daarvan niet per se kennis hoeven te nemen, kunnen de gegevens van externe medewerkers echter ook inzien. Bovendien maakt de uitzendsoftware het onbevoegden mogelijk om de persoonsgegevens van interne medewerkers te raadplegen.
De werkneemster wendt zich medio 2019 tot het accountantskantoor dat de jaarrekeningen van de onderneming controleert met haar klacht over het veronderstelde datalek. Aan de Confidentiality Privacy & Security Officer (CPSO) schrijft zij dat in de uitzendsoftware een ‘overvloed aan gegevens’ zichtbaar is en dat de onderneming onvoldoende voorzorgsmaatregelen heeft getroffen om te waarborgen dat persoonsgegevens vertrouwelijk blijven. De CPSO antwoordt dat het accountantskantoor geen klachten behandelt over ‘derde organisaties’ en verwijst haar naar de Autoriteit Persoonsgegevens (AP). Kort daarna maakt de werkneemster bij de AP melding van dit datalek: de software van het systeem is “zo lek is als een zeef”. De AP zegt de zaak te zullen onderzoeken, maar laat een half jaar later weten dat het onderzoek nog niet is uitgevoerd wegens onderbezetting. De werkneemster probeert de AP in een procedure tot handhaving te dwingen.
Eind 2021 mailt zij de CPSO dat de accountants bij de jaarrekeningcontroles hadden moeten vaststellen dat bij de uitzendsoftware interne beheersingsmaatregelen ontbreken, terwijl de privacywetgeving zulke maatregelen voorschrijft. Volgens haar spreekt de AP van een datalek en daarom wil zij weten:
- hoe het heeft kunnen gebeuren dat haar klacht destijds niet is doorgezet naar de klachtencommissie van het kantoor;
- hoe het zover heeft kunnen komen dat van 1986 tot en met 2020 de privacy van zo veel werkenden niet gewaarborgd was;
- of het accountantskantoor dit datalek heeft geconstateerd;
- hoe een multinational jaar in jaar uit zo respectloos kan omgaan met de privacy van haar werknemers.
De klachtencommissie van het accountantskantoor oordeelt begin 2022 dat een grondslag voor de klacht ontbreekt. Na een reactie van de werkneemster voeren beide partijen in april 2022 een gesprek, waarin het accountantskantoor bij zijn standpunt blijft.
Nadat de arbeidsovereenkomst van de werkneemster is beëindigd, dient zij een klacht tegen de accountants in bij de Accountantskamer.
Klacht
De accountants hadden bij de controles van de jaarrekeningen op basis van Standaard 250 het datalek moeten constateren en naar aanleiding daarvan actie moeten ondernemen.
Oordeel
De klacht is niet-ontvankelijk voor wat betreft boekjaar 2014 en voor de rest ongegrond.
De controlewerkzaamheden over 2014 zijn te lang geleden uitgevoerd. Bovendien had de ontslagen werkneemster daarover al eerder kunnen klagen. In een procedure tussen haar en haar werkgever heeft zij namelijk verklaard dat zij in 2015 al op de hoogte was van het datalek. De controleverklaring bij de jaarrekening 2014 is in oktober 2015 afgegeven.
Accountants spelen volgens de Accountantskamer een grote rol door hun onafhankelijke beoordeling van de betrouwbaarheid van financiële informatie, zoals jaarcijfers en waarderingen. In het maatschappelijk verkeer moet kunnen worden vertrouwd op de kwaliteit en integriteit van het werk van de accountants. Wat de bescherming van persoonsgegevens betreft heeft de accountant echter geen speciale of bijzondere taak - daar is onder meer de AP voor.
Standaard 250 gaat over de verantwoordelijkheid van de accountant om wet- en regelgeving in aanmerking te nemen bij een controle van financiële overzichten. Volgens de accountants hebben zij Standaard 250 gevolgd door niet te vertrouwen op de financiële informatie van de lekkende uitzendsoftware en die informatie (vanaf 2021) alleen te gebruiken voor naslagdoeleinden. Er was namelijk geen procedure om ervoor te zorgen dat bij wijziging van een functie van een medewerker ook de noodzakelijke toegangsrechten aan te passen in de software. Daardoor konden functiescheidingen eventueel worden doorbroken. De accountants hebben daarom een gegevensgerichte controle uitgevoerd. Ook hebben zij het management gevraagd of de wet- en regelgeving werden nageleefd en het antwoord luidde steeds bevestigend.
Volgens de accountants behoort het niet tot hun taak om te controleren of alle systemen bij een controleklant voldoen aan de eisen uit de AVG. Bovendien heeft de AP de afgelopen jaren bij overtreding van de AVG, aldus de accountants, boetes opgelegd die alle ruim lagen onder de materialiteitsgrens voor de controle van de jaarrekeningen van de multinational. Dat er een datalek bestond in de zin van de AVG staat niet vast. Daarom kan het hun niet worden verweten dat zij het datalek niet hebben ontdekt en aangekaart.
Volgens de Accountantskamer hebben de accountants Standaard 250 voldoende nageleefd, omdat:
- de verantwoordelijkheid voor de naleving van wet- en regelgeving ligt bij de vennootschap, bij het management en de met toezicht belaste personen (zoals de raad van commissarissen);
- de verantwoordelijkheid van de accountant zich beperkt tot een redelijke mate van zekerheid krijgen dat de financiële overzichten als geheel geen afwijkingen van materieel belang bevatten die het gevolg zijn van fraude of fouten (Standaard 250.5).
Standaard 250.6 maakt voor de verantwoordelijkheden van de accountant een onderscheid in:
a. bepalingen van wet- en regelgeving die in het algemeen geacht worden een directe invloed te hebben op de vaststelling van bedragen en in de financiële overzichten opgenomen toelichtingen die van materieel belang zijn, zoals wet- en regelgeving op het gebied van belastingen en pensioenen;
b. wet- en regelgeving die geen directe invloed heeft op de vaststelling van de bedragen en toelichtingen in de financiële overzichten, maar waarvan het naleven van fundamenteel belang kan zijn voor de operationele aspecten van het bedrijf, voor de mogelijkheid van een entiteit om haar activiteiten voort te zetten, dan wel voor het voorkomen van sancties van materieel belang.
Overtredingen van de AVG vallen niet onder de categorie a. Wat categorie b betreft, is de verantwoordelijkheid van de accountant beperkt tot het uitvoeren van gespecificeerde controlewerkzaamheden om het identificeren van niet-naleving van wet- en regelgeving te bevorderen voor zover die een invloed van materieel belang kan hebben op de financiële overzichten. De accountants hebben daarom terecht steeds in hun engagement letter geschreven dat de naleving van wet- en regelgeving behoort tot de verantwoordelijkheid van de onderneming. In Standaard 250.15 staat dat de accountant het management vraagt of de onderneming de wet- en regelgeving uit categorie b naleeft. Het management heeft dit steeds bevestigd. De accountants hebben hiermee voldaan aan Standaard 250.15.
De Accountantskamer vindt het belangrijk om vast te stellen dat:
- de accountant niet verantwoordelijk is voor het voorkómen van niet-naleving;
- van de accountant niet kan worden verwacht dat deze niet-naleving van alle wet- en regelgeving detecteert (Standaard 250.4).
De klaagster heeft dit verweer niet weerlegd en volhardt in haar standpunt dat de accountants bij de jaarrekeningcontrole hadden moeten constateren dat de onderneming een datalek heeft gecreëerd door de uitzendsoftware te gebruiken. Dat de accountants Standaard 250 niet hebben nageleefd, heeft zij niet concreet gemaakt. Bovendien staan de Wet bescherming persoonsgegevens en later de AVG ver af van de gebeurtenissen en transacties die zijn weerspiegeld in de financiële overzichten. En hoe groter die afstand des te kleiner de kans dat de accountant hier achterkomt.
Maatregel
Geen.
Annotatie Lex van Almelo
Uitspraken over Standaard 250 zijn schaars. Een vermeende overtreding van de privacywetgeving bij een controlecliënt levert een heldere uitspraak op over de verantwoordelijkheden die klant en accountant hebben bij (mogelijke) niet-naleving van wet- en regelgeving. Uit Standaard 250 en de uitspraak zijn de volgende vuistregels te destilleren:
- Het management en de interne toezichthouders van de controlecliënt zijn verantwoordelijk voor de naleving van wet- en regelgeving;
- De accountant moet redelijk zeker weten dat in de jaarrekening geen materiële afwijkingen ten gevolge van fraude of fouten staan;
- De verantwoordelijkheden van de accountant bij directe respectievelijk indirecte wet- en regelgeving verschillen;
- Bij directe wet- en regelgeving moet de accountant voldoende geschikte controle-informatie zien te krijgen over de naleving;
- Directe wet- en regelgeving zijn bepalingen met een directe en materiële invloed op de jaarrekening c.q. het financiële overzicht, zoals bepalingen op het gebied van belastingen en pensioenen;
- Bij indirecte bepalingen zijn gespecificeerde controlewerkzaamheden nodig om te bevorderen dat de accountant een schending van wet- en regelgeving identificeert die een invloed van materieel belang kan hebben op de financiële overzichten;
- Indirecte wet- en regelgeving zijn bepalingen zonder directe en materiële invloed, maar waarvan de naleving wel van fundamenteel belang is voor de bedrijfsvoering en de continuïteit, al was het maar omdat overtreding kan leiden tot materiële sancties;
- De accountant hoeft niet bij alle wet- en regelgeving eventuele overtredingen te ontdekken; zo is de kans op ontdekking kleiner naarmate de overtreding verder af staat van de gebeurtenissen en transacties die worden weerspiegeld in de jaarrekening;
- De accountant hoeft wetsovertredingen niet te voorkomen.
De inzet van deze klacht is de beveiliging van persoonsgegevens door de controlecliënt. Omdat de werknemers van de klant de cv’s, diploma’s, cijferlijsten en paspoortgegevens van externe medewerkers kunnen inzien, klaagt een – inmiddels ontslagen – werkneemster over een datalek. Eerst bij haar baas en dan bij de klachtencommissie van het accountantskantoor, die haar doorverwijst naar de Autoriteit Persoonsgegevens (AP). De AP blijkt na een half jaar haar melding niet te kunnen onderzoeken. Daardoor blijft onduidelijk of het daadwerkelijk gaat om een overtreding van de privacywetgeving. De Accountantskamer rekent de privacywetgeving tot de indirecte regelgeving. De tuchtrechter vindt het daarom voldoende dat de accountants het management elk boekjaar hebben gevraagd of de onderneming de wet- en regelgeving naleefde. En dat het management die vraag steevast bevestigend beantwoordde. Overigens hebben de accountants gegevensgerichte werkzaamheden uitgevoerd, omdat de functiescheiding na functiewijziging niet was gewaarborgd.
Was de open vraag of de onderneming de wet- en regelgeving naleeft wel echt voldoende nadat de klaagster de accountants twee keer heeft gewaarschuwd voor het vermeende datalek (één keer via de klachtencommissie en één keer via de Confidentiality Privacy & Security Officer)? Ik twijfelde aanvankelijk, maar vind bij nader inzien van wel. De werkneemster had een melding gedaan bij de AP en die heeft geen datalek of overtreding van de privacyvoorschriften vastgesteld. Verder hebben de accountants hebben nog gekeken of een eventuele AP-boete materiële gevolgen kon hebben. Zij kwamen al snel tot de conclusie dat de hoogste AP-boetes ver onder de materialiteitsgrens voor de controle lagen. En inderdaad, de boetes die de AP heeft tot nu toe heeft opgelegd, komen niet boven de 7,5 ton uit. Met als uitzondering de Belastingdienst die een boete van 3,7 miljoen euro kreeg voor de zwarte lijst met vermeende fraudeurs en een boete van 2,75 miljoen euro voor het discrimineren van Kindertoeslagaanvragers. Je zou na deze uitspraak van de Accountantskamer dus kunnen concluderen dat accountants:
- zich alleen over de AVG hoeven te bekreunen als het om hun eigen kantoor gaat;
- een bescheiden rol hebben als poortwachter.