Het college bevestigt daarmee een eerdere uitspraak van de Accountantskamer. Een voormalig medewerker van uitzendorganisatie Manpower had in 2022 een tuchtklacht ingediend tegen drie RA’s van Deloitte. Ze vond dat er sprake was van een datalek bij de Manpower Group en stelde dat de accountants dat bij de jaarrekeningcontrole hadden moeten ontdekken.
De vrouw werkte als uitzendkracht, maar ook als medewerker op het hoofdkantoor. In 2019 meldde ze een datalek bij de Autoriteit Persoonsgegevens (AP). Ze stelde dat het softwaresysteem zo lek was als een zeef. De AP kwam echter niet aan een onderzoek toe wegens personeelstekort.
Gegevens breed inzichtelijk
De medewerkster diende vergeefs een klacht in bij controlerend accountant Deloitte, waarna ze met een tuchtklacht kwam tegen de drie RA’s die de jaarrekeningcontrole bij Manpower hadden gedaan over de jaren 2014 tot en met 2021. Volgens haar waren alle gegevens van gedetacheerde medewerkers, uitzendkrachten, zzp’ers en doorleners inzichtelijk voor werknemers die niet noodzakelijkerwijs uit hoofde van hun rol of functie van die gegevens kennis behoefden te nemen. De RA’s hadden dat bij hun controles moeten opmerken en actie moeten ondernemen, klaagde ze.
Geen taak van de accountant
Maar de Accountantskamer vond de klacht deels te laat (want betrekking hebbend op 2014) en deels ongegrond, omdat accountants geen speciale taak hebben in de bescherming van persoonsgegevens. ‘De verantwoordelijkheid om bepalingen uit de wet- en regelgeving na te leven ligt bij de vennootschap zelf, bij het management en de met toezicht belaste personen (de Raad van Commissarissen bijvoorbeeld). De verantwoordelijkheid van de accountant is om een redelijke mate van zekerheid te verkrijgen dat de financiële overzichten als geheel geen afwijkingen van materieel belang bevatten die het gevolg zijn van fraude of van fouten.’ Naleving van de AVG valt niet onder de verantwoordelijkheden van de accountant.
Geen taak voor tuchtrechter
De vrouw laat het er niet bij zitten en gaat in beroep: de RA’s hebben toch echt Standaard 250 over het in aanmerking van wet- en regelgeving niet nageleefd. Maar het CBb volgt de uitspraak van de Accountantskamer en oordeelt dat de vrouw ten onrechte Europese jurisprudentie aanhaalt waaruit zou volgen dat een tuchtrechter moet vaststellen of er inderdaad sprake is van een datalek. ‘De tuchtrechter onderzoekt aan de hand van de feiten en omstandigheden die de klager naar voren heeft gebracht, en wat de accountant daartegen heeft aangevoerd, of er voldoende grond bestaat voor het oordeel dat de accountant zich tuchtrechtelijk verwijtbaar heeft gedragen.’
Naleving van wet- en regelgeving blijft de verantwoordelijkheid van de onderneming zelf, bevestigt het college de lezing van de tuchtrechter. De accountant hoeft niet op zoek te gaan naar mogelijke niet-naleving van overige wet- en regelgeving als er geen vermoedens zijn van overtredingen die een invloed van materieel belang kunnen hebben op de financiële overzichten.
Betrouwbaarheid systeem ter discussie
Het CBb stelt overigens vast dat de RA’s wel telkens hebben geconstateerd dat binnen het gebruikte personeelssysteem niet op een betrouwbare gegevensverwerking kon worden gesteund. ‘Uit het feit dat deze bevinding verband hield met de mutatierechten van medewerkers, en op die grond (mede) met toegangsrechten, volgt naar het oordeel van het college niet dat betrokkenen tevens hadden moeten vaststellen of vermoeden dat de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens niet of onvoldoende werd nageleefd.’ Die bevinding had geen betrekking op het inzagerecht, maar op de bevoegdheid om gegevens te muteren.
Niet vooruitlopen op oordeel AP
Twee RA’s hebben voldoende aangetoond dat zij wel aandacht hebben geschonken aan de door de vrouw aangezwengelde discussie en hoefden zelf geen actie te ondernemen omdat de zaak ook al bij de AP lag, aldus het college. Ze hoefden niet op de beslissing van de Autoriteit Persoonsgegevens vooruit te lopen – en eind 2021 volgde het oordeel dat de autoriteit de klacht afwees. ‘Sinds de kwestie over het vermeende datalek onder hun aandacht kwam, is er naar het oordeel van het college dan ook geen moment geweest dat [de twee RA’s] hadden moeten concluderen dat sprake was van een (vermoedelijke) overtreding van de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens en dat in verband daarmee in de jaarrekening een voorziening moest worden opgenomen.’
Het hoger beroep is ongegrond.
College van Beroep voor het bedrijfsleven, 17 september 2024
Geef een reactie