Tuchtrecht

Naleving privacywetgeving voldoende bekeken

Ook in hoger beroep zegt de tuchtrechter dat drie registeraccountants voldoende controlewerkzaamheden hebben uitgevoerd naar aanleiding van een vermeende schending van de privacywetgeving.

College van Beroep voor het bedrijfsleven

Zaaknummers:
23/896
Datum uitspraak:
17 september 2024
Oordeel:
hoger beroep ongegrond, klacht ongegrond
Maatregel:
geen
Status:
definitief
Vindplaats:
ECLI:NL:CBB:2024:636

» Direct naar annotatie

Lex van Almelo

Belangrijkste feiten

Een werkneemster van een internationaal uitzendbureau maakt zich druk over de bescherming van de privacy van personen die via en bij het bureau werken. De onderneming slaat met haar uitzendsoftware persoonsgegevens op van gedetacheerde medewerkers, uitzendkrachten, zzp'ers en doorleners, waaronder hun cv's, diploma's, cijferlijsten en paspoortgegevens. Werknemers die er niet per se kennis van hoeven te nemen, kunnen deze gegevens ook inzien. Met de uitzendsoftware kunnen onbevoegden bovendien de persoonsgegevens raadplegen van interne medewerkers.

In 2019 spreekt de werkneemster het accountantskantoor dat de jaarrekeningen van de onderneming controleert aan op het veronderstelde datalek. Aan de confidentiality privacy & security officer (cpso) van het kantoor schrijft zij dat in de uitzendsoftware een "overvloed aan gegevens" zichtbaar is en dat de onderneming onvoldoende voorzorgsmaatregelen heeft getroffen om te waarborgen dat persoonsgegevens vertrouwelijk blijven. De cpso verwijst de werkneemster door naar de Autoriteit Persoonsgegevens (AP), die besluit de klacht wegens onderbezetting en gebrek aan prioriteit niet te onderzoeken.

Het lukt de werkneemster niet de AP tot handhaving te dwingen. Daarom wendt zij zich opnieuw tot het accountantskantoor en mailt de cpso dat de accountants bij de jaarrekeningcontroles hadden moeten vaststellen dat interne beheersingsmaatregelen ontbreken bij de uitzendsoftware, terwijl de privacywetgeving zulke maatregelen wel voorschrijft. De werkneemster wil weten:

  • hoe het heeft kunnen gebeuren dat haar klacht destijds niet is doorgezet naar de klachtencommissie van het kantoor;
  • hoe het zover heeft kunnen komen dat van 1986 tot en met 2020 de privacy van zo veel werkenden niet gewaarborgd was;
  • of het accountantskantoor dit datalek heeft geconstateerd;
  • hoe een multinational jaar in jaar uit zo respectloos kan omgaan met de privacy van haar werknemers.

De klachtencommissie van het accountantskantoor verklaart de klacht (alsnog) ongegrond, waarna de werkneemster een klacht tegen de accountants indient bij de Accountantskamer. Zij is dan inmiddels ontslagen bij het uitzendconcern. Als de Accountantskamer de tuchtklacht ongegrond verklaart, gaat zij in hoger beroep.

Hogerberoepsgrond

De Accountantskamer heeft de klacht ten onrechte ongegrond verklaard.

Oordeel

Het hoger beroep is ongegrond.

De Accountantskamer heeft er terecht op gewezen dat de verantwoordelijkheid om bepalingen uit de wet- en regelgeving na te leven, ligt bij de vennootschap zelf, bij het management en bij de met toezicht belaste personen. De accountant is er verantwoordelijk voor dat deze een redelijke mate van zekerheid verkrijgt dat de financiële overzichten, die door het bestuur van de onderneming zijn opgesteld, als geheel geen afwijkingen van materieel belang bevatten die het gevolg zijn van fraude of van fouten.

Voor de verantwoordelijkheden van de accountant maakt het volgens Standaard 250 (paragraaf 6) uit of het gaat om de naleving van directe of overige wet- en regelgeving:

  • directe wet- en regelgeving zijn bepalingen met een directe en materiële invloed op de jaarrekening c.q. het financiële overzicht, zoals bepalingen op het gebied van belastingen en pensioenen;
  • overige wetgeving zijn bepalingen die geen directe invloed hebben op de vaststelling van de bedragen en toelichtingen in de financiële overzichten, maar waarvan het naleven van fundamenteel belang kan zijn voor de operationele aspecten van het bedrijf, voor de mogelijkheid van een entiteit om haar activiteiten voort te zetten of voor het voorkomen van sancties van materieel belang.

Bij een (vermeend) datalek gaat het om overige wetgeving. De verantwoordelijkheid van de accountant is hierbij volgens Standaard 250 (paragraaf 7) beperkt tot het uitvoeren van gespecificeerde controlewerkzaamheden om te bevorderen dat niet-naleving wordt geïdentificeerd van wet- en regelgeving die een invloed van materieel belang kan hebben op de financiële overzichten. Paragraaf 15 schrijft voor dat de accountant:

  • het management – en zo nodig en/of mogelijk de met governance belaste personen – vraagt of de entiteit zulke wet- en regelgeving naleeft; en
  • de eventuele correspondentie met de desbetreffende vergunningverlenende, regelgevende en/of toezichthoudende instanties inspecteert.

Als er geen schending van overige wetgeving wordt geïdentificeerd of vermoed, kunnen de  controlewerkzaamheden volgens paragraaf 18 beperkt blijven tot de werkzaamheden uit de paragrafen 13 tot en met 17, zie ook hierna. De accountants hebben bij de jaarrekeningcontroles conform Standaard 250 elk controlejaar onder meer:

  • geïnventariseerd welke wet- en regelgeving voor de onderneming – als dienstverlener in de uitzendbranche en onderdeel van een internationaal concern – relevant is (paragraaf 13);
  • met het management van de onderneming de naleving van de wet- en regelgeving besproken die een invloed van materieel belang kan hebben op de financiële overzichten (paragraaf 15 onder a);
  • voor zover nodig de documentatie geverifieerd bij de desbetreffende (toezicht)instanties (paragraaf 15 onder b);
  • de bevestiging gevraagd dat alle bekende gevallen van niet-naleving of vermoede niet-naleving van wet- en regelgeving, waarmee bij het opstellen van de financiële overzichten rekening moet worden gehouden, hun ter kennis zijn gebracht (paragraaf 17).

Op grond van paragraaf 16 houdt de accountant er gedurende de controle rekening mee dat uit andere controlewerkzaamheden een niet-naleving of vermoeden van niet-naleving van wet- en regelgeving naar voren kan komen. Paragraaf A15 noemt als voorbeeld van andere controlewerkzaamheden onder meer het management en de interne of externe juridisch adviseur van de entiteit vragen naar rechtszaken, claims en inschattingen.

De accountants hebben bij de controle geëvalueerd of gegevens over de omzet en kosten voldoende en geschikte informatie konden opleveren voor de controlewerkzaamheden en kwamen steeds tot de slotsom dat die te onbetrouwbaar waren om op te steunen. Hoewel deze bevinding verband hield met de mutatierechten van medewerkers en dus ook met toegangsrechten, hoefden de accountants volgens het college niet ook nog vast te stellen of te vermoeden dat de privacywetgeving niet of onvoldoende werd nageleefd. De bevinding betrof namelijk niet de regels voor de bescherming van persoonsgegevens en het inzagerecht, maar de bevoegdheid om gegevens te muteren.

Het management heeft de klacht van de werkneemster over het personeelssysteem en het meningsverschil hierover sinds de controle van de jaarrekening 2019 onder de aandacht van de accountants gebracht. Volgens de werkneemster hadden zij naar aanleiding van deze informatie actie moeten ondernemen. In de ogen van het college hebben zij er echter voldoende aandacht aan geschonken. De informatie die zij hadden, gaf geen aanleiding om (ernstig) rekening te houden met een overtreding en een boete die materiële invloed kon hebben op de financiële overzichten. Op een eventuele materiële schadeclaim hadden zij helemaal geen zicht.

De accountants wisten dat de werkneemster de kwestie had voorgelegd aan de Autoriteit Persoonsgegevens en dat er volgens het management geen grootschalig datalek bestond.

De accountants hoefden niet vooruit te lopen op de beslissing van de AP. Toen de AP op 16 november 2021 besloot de klacht niet te onderzoeken, bestond daar evenmin aanleiding voor. Enkele dagen vóór het afgeven van de controleverklaring bij de jaarrekening 2021 verklaarde de AP het bezwaar tegen het terzijde leggen van de klacht ongegrond. De accountants hoefden er daarna geen rekening mee te houden dat de klacht in een eventuele vervolgprocedure uiteindelijk gegrond zou blijken. Al met al is er volgens het college geen moment geweest dat de accountants hadden moeten concluderen dat:

  • de privacywetgeving werd overtreden;
  • daarvoor een voorziening moest worden opgenomen in de jaarrekening.

Overleggen dossier

In zijn algemeenheid zal een accountant bij een klacht over de jaarrekeningcontrole het verweer moeten onderbouwen met stukken uit het controledossier. In deze procedure hebben de accountants de stukken uit de controledossiers waarop zij zich beroepen niet overgelegd, maar alleen stukken of gedeeltes daaruit genoemd, beschreven en/of geciteerd. Zij vrezen dat de werkneemster de vertrouwelijke stukken zal gebruiken in andere procedures.

Het college zou de accountants zo nodig hebben gevraagd bepaalde standpunten alsnog te onderbouwen met stukken uit het controledossier. Maar omdat het geen twijfels had bij de motivering van het verweer heeft het college dat verzoek achterwege gelaten.

Maatregel

Geen.

Annotatie Lex van Almelo

Een werkneemster van een internationaal uitzendbureau is het er niet mee eens dat haar collega's onder meer de cv's, diploma's, cijferlijsten en paspoortgegevens van gedetacheerde medewerkers, uitzendkrachten, zzp'ers en doorleners kunnen inzien zonder dat zij daartoe bevoegd zijn. Zij kaart het aan bij het management, dat er geen schending van de privacywetgeving in ziet. Zij legt de zaak voor aan de Autoriteit Persoonsgegevens, die besluit de schaarse capaciteit aan andere zaken te besteden. Dus richt de werkneemster haar pijlen op de accountants die de jaarrekeningen van het uitzendbureau goedkeurden. Zij hebben volgens haar onvoldoende oog gehad voor de schending van de wet- en regelgeving die de persoonlijke levenssfeer poogt te beschermen. Als het accountantskantoor zegt dat zij bij de AP moest wezen, stapt de werkneemster na kastje en muur naar de tuchtrechter.

De Accountantskamer verklaart de klacht ongegrond. Uit de uitspraak en Standaard 250 destilleert de annotator de volgende vuistregels:

  • Het management en de interne toezichthouders van de controlecliënt zijn verantwoordelijk voor de naleving van wet- en regelgeving;
  • De accountant moet redelijk zeker weten dat in de jaarrekening geen materiële afwijkingen ten gevolge van fraude of fouten staan;
  • De verantwoordelijkheden van de accountant bij directe respectievelijk indirecte wet- en regelgeving verschillen;
  • Bij directe wet- en regelgeving moet de accountant voldoende geschikte controle-informatie zien te krijgen over de naleving;
  • Directe wet- en regelgeving zijn bepalingen met een directe en materiële invloed op de jaarrekening c.q. het financiële overzicht, zoals bepalingen op het gebied van belastingen en pensioenen;
  • Bij indirecte bepalingen zijn gespecificeerde controlewerkzaamheden nodig om te bevorderen dat de accountant een schending van wet- en regelgeving identificeert die een invloed van materieel belang kan hebben op de financiële overzichten;
  • Indirecte wet- en regelgeving zijn bepalingen zonder directe en materiële invloed, maar waarvan de naleving wel van fundamenteel belang is voor de bedrijfsvoering en de continuïteit, al was het maar omdat overtreding kan leiden tot materiële sancties;
  • De accountant hoeft niet bij alle wet- en regelgeving eventuele overtredingen te ontdekken; zo is de kans op ontdekking kleiner naarmate de overtreding verder af staat van de gebeurtenissen en transacties die worden weerspiegeld in de jaarrekening;
  • De accountant hoeft wetsovertredingen niet te voorkomen.

Het college vindt in hoger beroep ook dat de accountants voldoende hebben gedaan en vult bovenstaande vuistregels aan met een uitwerking van de controlewerkzaamheden:

  • Vraag het management (en/of de met governance belaste personen) of de entiteit zulke wet- en regelgeving naleeft;
  • Inspecteer de eventuele correspondentie met de desbetreffende vergunningverlenende, regelgevende en/of toezichthoudende instanties.

Als er geen schending van overige wetgeving wordt geïdentificeerd of vermoed, volstaan (in dit geval) de volgende controlewerkzaamheden:

  • Inventariseer welke wet- en regelgeving relevant is voor de onderneming (paragraaf 13);
  • Bespreek met het management de naleving van wet- en regelgeving die een invloed van materieel belang kan hebben op de financiële overzichten (paragraaf 15 onder a);
  • Verifieer voor zover nodig de documentatie bij de vergunningverlenende, regelgevende, toezichthoudende instanties (paragraaf 15 onder b);
  • Vraag om een bevestiging dat het management je volledig heeft geïnformeerd over alle bekende gevallen van niet-naleving of vermoede niet-naleving van wet- en regelgeving, waarmee bij het opstellen van de financiële overzichten rekening moet worden gehouden (paragraaf 17).

Vertrouwelijke gegevens

Het college zegt behalve iets over persoonsgegevens wat over de vertrouwelijkheid van andere gegevens: stukken uit het controledossier. De beklaagde accountants vreesden dat de werkneemster die stukken zou gebruiken in andere procedures. Zij brachten de stukken niet in, maar noemde en of beschreven deze slechts of citeerden er alleen uit.

Volgens vaste rechtspraak hoeft de accountant stukken uit het controledossier 'niet zonder meer' over te leggen in een tuchtrechtelijke procedure. Maar wanneer die zich verweert tegen een tuchtklacht moet de accountant stellingen uit het verweer zo nodig onderbouwen met stukken uit het controledossier. 'Niet zonder meer' betekent in deze procedure dat er geen twijfels bestaan aan de stellingen die de accountants naar voren brengen. Bestaan die twijfels wel dan vraagt de tuchtrechter (gericht) om stukken uit het dossier.

reacties

Reageer op dit artikel

Spelregels debat

    Aanmelden nieuwsbrief

    Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

    Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.