ECLI:NL:TACAKN:2023:9 Accountantskamer Zwolle 22/847, 22/848 en 22/849 Wtra AK

ECLI: ECLI:NL:TACAKN:2023:9
Datum uitspraak: 17-02-2023
Datum publicatie: 17-02-2023
Zaaknummer(s): 22/847, 22/848 en 22/849 Wtra AK
Onderwerp:
Beslissingen: Klacht ongegrond
Inhoudsindicatie: Betrokkenen hadden achtereenvolgens de opdracht de jaarrekeningen over de jaren 2014 tot en met 2021 van de voormalige werkgever van klaagster te controleren. Volgens klaagster is bij deze werkgever sprake van een datalek. Klaagster verwijt betrokkenen dat zij in het kader van de controle van de jaarrekening het datalek niet hebben ontdekt. De Accountantskamer verklaart de klacht ongegrond, omdat klaagster onvoldoende onderbouwd heeft gesteld dat sprake is van tuchtrechtelijk verwijtbaar handelen of nalaten door de accountants.

UITSPRAAK van 17 februari 2023 op grond van artikel 38 Wet tuchtrechtspraak accountants (Wtra) in de op 17 mei 2022 ontvangen klachten met nummers 22/847, 22/848 en 22/849 Wtra AK van

X

wonende in [plaats1]

K L A A G S T E R

t e g e n

Y1 RA

registeraccountant

Y2 RA

registeraccountant

Y3 RA

registeraccountant

allen kantoorhoudende in [plaats1]

B E T R O K K E N E N

advocaat: prof. mr. C.M. Harmsen te Amsterdam

1. De procedure

1.1. De Accountantskamer heeft kennisgenomen van de volgende stukken:

  • het klaagschrift van 17 mei 2022 met bijlagen
  • het verzoek van klaagster om verlengde spreektijd van 25 juni 2022
  • het e-mailbericht van 27 juni 2022, waarmee klaagster het besluit op bezwaar van de Autoriteit Persoonsgegevens (AP) van 23 juni 2022 overlegt
  • het e-mailbericht van 28 juni 2022, waarin klaagster meedeelt dat tegen het besluit op bezwaar van de AP beroep wordt ingesteld door (een advocaat van) Brandeis
  • het e-mailbericht van 4 juli 2022, waarmee klaagster een verklaring van [A] doorstuurt
  • een brief van 10 augustus 2022 waarmee klaagster haar verzoek om extra spreektijd nader motiveert
  • een brief van 10 augustus 2022 waarmee klaagster verklaart haar klacht uit te willen breiden
  • de beslissing van de Accountantskamer van 1 september 2022 op het verzoek om verlenging van spreektijd
  • het verweerschrift van 27 september 2022 met bijlagen
  • het e-mailbericht van 17 oktober 2022, waarmee klaagster onder andere een transcriptie overlegt van een gesprek dat op 21 mei 2019 is gevoerd
  • het e-mailbericht van de Accountantskamer waarmee de brief van 10 augustus 2022 (uitbreiding klacht) aan betrokkenen wordt toegezonden
  • de brief van klaagster van 23 oktober 2022 met bijlagen
  • het verzoek van betrokkenen van 24 oktober 2022 aan de Accountantskamer om zich uit te laten over de wijze van afdoening van de aanvulling van de klacht ex artikel 39 Wtra, c.q. verzoek om een termijn van zes weken om nader verweer in te dienen
  • de reactie van de Accountantskamer op voornoemd verzoek van 25 oktober 2022
  • de brief van klaagster van 31 oktober 2022 met het verzoek om een getuige te doen horen
  • de reactie daarop van de Accountantskamer van 4 november 2022
  • het aanvullende verweerschrift dat de Accountantskamer op 18 november 2022 heeft ontvangen
  • de op de zitting overgelegde pleitaantekeningen.

1.2. De klacht is behandeld op de openbare zitting van 25 november 2022. Klaagster is verschenen. Betrokkenen zijn ook verschenen, bijgestaan door de advocaat.

2. De uitspraak samengevat

Waarover gaat deze zaak?

2.1. Klaagster was werkzaam voor [B], onderdeel van [BV1] (hierna: [BV1]). Betrokkenen hadden achtereenvolgens de opdracht de jaarrekeningen over de jaren 2014 tot en met 2021 van [BV1] te controleren. Volgens klaagster is bij [B] sprake van een datalek, omdat volgens haar de werknemers van [B] door middel van het computersysteem [uitzendsoftware] toegang hebben tot alle gegevens van de werknemers en uitzendkrachten van [BV1], terwijl zij uit hoofde van hun functie geen toegang hoeven of behoren te hebben. Klaagster verwijt betrokkenen dat zij in het kader van de controle van de jaarrekening het datalek niet hebben ontdekt.

De beslissing van de Accountantskamer.

2.2. De Accountantskamer beoordeelt of sprake is van tuchtrechtelijk verwijtbaar handelen of nalaten van de accountant. Dat moet klaagster voldoende concreet en onderbouwd stellen, maar zij is daarin niet geslaagd. De klacht is daarom ongegrond.

3. De feiten

3.1. [Y1] is sinds [datum1] ingeschreven in het accountantsregister van de NBA, [Y2] sinds [datum2] en [Y3] sinds [datum3]. Zij zijn allen verbonden aan [accountantskantoor1] in [plaats1].

3.2. Betrokkenen hadden de opdracht de jaarrekeningen van de [BV1] te controleren.

3.2.1. [Y3] was verantwoordelijk voor de jaarrekeningcontrole 2014, 2015 en 2016.

3.2.2. [Y2] was verantwoordelijk voor de jaarrekeningcontrole 2017, 2018 en 2019.

3.2.3. [Y1] was verantwoordelijk voor de jaarrekeningcontrole 2020 en 2021.

3.3. Klaagster werkte vanaf 15 oktober 2008 bij [B] (onderdeel van [BV1]). Zij is als uitzendkracht werkzaam geweest, maar ook als medewerker op het hoofdkantoor. Aan de arbeidsovereenkomst is in 2022 een einde gekomen.

3.4. Binnen [B] wordt gebruik gemaakt van het systeem ‘[uitzendsoftware1]’ om gegevens van medewerkers en uitzendkrachten op te slaan. In dit systeem wordt persoonlijke informatie opgenomen, waaronder CV’s, diploma’s, cijferlijsten en paspoortgegevens.

3.5. Op 1 juli 2019 heeft klaagster bij de Autoriteit Persoonsgegevens (AP) een melding van een datalek bij [BV1] gedaan. Zij heeft daarin aangekaart dat [uitzendsoftware] ‘zo lek is als een zeef’. De AP heeft klaagster op 11 juli 2019 laten weten de melding in onderzoek te nemen. Op 2 december 2021 heeft de AP aan klaagster meegedeeld dat het onderzoek wegens onderbezetting vooralsnog niet plaats heeft gevonden. Klaagster is in een procedure met de AP verwikkeld geraakt met als klaagsters inzet dat de AP handhavend zal optreden.

3.6. Klaagster heeft zich ook tot [accountantskantoor1] gewend met de klacht over het veronderstelde datalek. In een e-mailbericht van 22 juni 2019 aan [C] (Confidentiality Privacy & Security Officer bij [accountantskantoor1]) beschrijft klaagster dat in [uitzendsoftware1] een ‘overvloed aan gegevens’ zichtbaar is en dat [BV1] onvoldoende voorzorgsmaatregelen heeft getroffen om te waarborgen dat persoonsgegevens vertrouwelijk blijven. Klaagster sluit haar bericht aan [C] af met een overzicht bij wie zij haar klacht over het datalek allemaal bekend heeft gemaakt (verschillende afdelingen binnen [BV1], de Ondernemingsraad, en de CEO) en de mededeling dat zij haar klacht ook bij de AP zal indienen.

3.7. [C] heeft, na een gesprek met klaagster, in een e-mailbericht van 9 juli 2019 klaagster laten weten dat [accountantskantoor1] geen klachten in behandeling neemt tegen ‘derde organisaties’. [C] verwijst klaagster naar de AP.

3.8. Op 21 december 2021 vraagt klaagster in een e-mail aan [accountantskantoor1] waarom haar klacht niet door de klachtencommissie is behandeld. Klaagster stelt dat de accountants bij de jaarrekeningcontrole hadden moeten vaststellen dat ‘bij [uitzendsoftware1] interne beheersingsmaatregels ontbreekt omdat wet en regelgeving dat geregeld heeft in de Wpr, WpB, en sinds een aantal jaar in de AVG’. Klaagster wenst antwoord op haar vragen:

‘Nu, de AP spreekt over een data lek wil ik weten hoe het heeft kunnen gebeuren dat 1. mijn klacht in 22 juni 2019 niet doorgezet is naar de klachtcommissie en 2. Hoe heeft het zover kunnen komen dat de privacy van zoveel werkende (1986 tm 2020) niet gewaarborgd was? 3. Heeft [accountantskantoor1] deze datalek geconstateerd? 4. Hoe kan een multinational jaar in jaar uit zo respectloos omgaan met de privacy van haar werknemers?’.

3.9. De klachtencommissie van [accountantskantoor1] heeft geoordeeld dat een grondslag voor de klacht ontbreekt (brief van 25 januari 2022). Klaagster heeft daarop gereageerd met een brief van 15 februari 2022, waarna partijen nog een gesprek hebben gevoerd op 12 april 2022. Een en ander heeft niet geleid tot een wijziging van het standpunt van [accountantskantoor1].

4. De klacht en de beoordeling daarvan

4.1. Volgens klaagster is bij [BV1] sprake geweest van een datalek. Volgens haar waren alle gegevens van gedetacheerde medewerkers, uitzendkrachten, zzp’ers en doorleners inzichtelijk voor werknemers die niet noodzakelijkerwijs uit hoofde van hun rol of functie van die gegevens kennis behoefden te nemen. Zij hadden via [uitzendsoftware1] eenvoudig toegang tot die gegevens. [Uitzendsoftware1] werd op bijna alle afdelingen binnen [BV1] gebruikt. Het was zelfs mogelijk om via [uitzendsoftware1] de persoonsgegevens van interne medewerkers te raadplegen.

4.2. Het handelen of nalaten waarop de klacht betrekking heeft moet worden getoetst aan de Verordening gedrags- en beroepsregels accountants (VGBA) en de Nadere voorschriften controle- en overige Standaarden (NV COS).

4.2. De Accountantskamer merkt op dat klaagster in haar klaagschrift uitvoerig is ingegaan op het datalek, mede aan de hand van video-opnames waarin [uitzendsoftware1] in werking is te zien. Aan de hand van een groot aantal nagekomen stukken heeft klaagster de Accountantskamer voorgelicht over de procedures die zij heeft gevoerd bij de AP vanwege haar verzoek handhavend op te treden. Veel van haar stellingen en bewijsmiddelen zijn erop gericht de Accountantskamer ervan te overtuigen dat het goed mis was bij [BV1]. Klaagster is van mening dat betrokkenen ieder voor zich bij de controle van de jaarrekening, gelet op het bepaalde in NV COS 250 (verder: Standaard 250) over de naleving van wet- en regelgeving, het datalek hadden moeten vaststellen en naar aanleiding daarvan actie hadden moeten ondernemen.

Klaagster is deels niet-ontvankelijk in haar klacht.

4.3. Betrokkenen vinden dat klaagster om diverse redenen (deels) niet-ontvankelijk moet worden verklaard in haar klacht. Dat zou meebrengen dat de klacht niet inhoudelijk wordt behandeld.

4.4. Betrokkenen hebben aangevoerd dat klaagster in haar klaagschrift niet duidelijk heeft gemaakt wat zij welke accountant verwijt. Verder heeft klaagster gesteld dat haar klacht ziet op het niet naleven door betrokkenen van Standaard 250, maar waarom dit zo zou zijn is door klaagster niet onderbouwd. Klaagster heeft daarom niet aan haar stelplicht voldaan.

4.5. Aan betrokkenen moet worden toegegeven dat klaagster haar verwijt aan hen summier heeft omschreven, maar het moet betrokkenen duidelijk zijn geweest dat klaagster hun verwijt dat zij het datalek niet hebben geconstateerd bij de jaarlijkse controle van de jaarrekening. Betrokkenen hebben bovendien in het omvangrijke verweerschrift uitgebreid beschreven waarom zij vinden dat hun daarvan geen tuchtrechtelijk verwijt kan worden gemaakt. De Accountantskamer verwerpt daarom dit beroep op niet-ontvankelijkheid.

4.6. Ook vinden betrokkenen dat zij niet tuchtrechtelijk verantwoordelijk zijn voor het handelen van collega-accountants. Dat is ook zo. Maar de klacht moet naar het oordeel van de Accountantskamer zo worden gelezen, dat klaagster iedere accountant aanspreekt op zijn of haar verantwoordelijkheid in het betreffende boekjaar. Daarover bestaat ook geen verschil van inzicht.

4.7. Klaagster kan niet meer klagen over het handelen en nalaten van [Y3] voor zover dat ziet op de controlewerkzaamheden van de jaarrekening over 2014. Dat is te lang geleden en klaagster had er eerder over kunnen klagen, zoals [Y3] onbestreden naar voren heeft gebracht. Klaagster heeft namelijk in de procedure tussen haar en haar werkgever verklaard dat zij in 2015 al op de hoogte was van het datalek. De controleverklaring bij de jaarrekening 2014 is op 7 oktober 2015 afgegeven. Klaagster had dus eerder kunnen klagen bij de Accountantskamer. In zoverre is klaagster niet-ontvankelijk in haar klacht.

De klacht is voor het overige ongegrond.

4.8. Accountants vervullen een belangrijke taak ten behoeve van de financiële markt en het economisch/maatschappelijk verkeer. Zij spelen een grote rol bij de betrouwbaarheid

en onafhankelijke beoordeling van financiële informatie (zoals jaarcijfers en waarderingen). In het maatschappelijk verkeer moet kunnen worden vertrouwd op de kwaliteit en integriteit van het werk van de accountants. Als het gaat om de bescherming van persoonsgegevens wordt aan de accountant echter geen speciale of bijzondere taak toebedeeld. Daar is bijvoorbeeld de AP voor. Controlewerkzaamheden moeten worden getoetst aan Standaard 250 die de verantwoordelijkheid behandelt van de accountant om wet- en regelgeving in aanmerking te nemen bij een controle van financiële overzichten.

4.9. Betrokkenen hebben uitgebreid toegelicht op welke manier zij Standaard 250 hebben nageleefd.

4.9.1. [Uitzendsoftware1] voorzag in financiële informatie, te weten een verantwoording van de door gedetacheerden gerealiseerde omzet en daarmee samenhangende kosten. Maar betrokkenen hebben voor de jaren 2014 tot en met 2020 steeds besloten dat zij niet op die financiële informatie kunnen vertrouwen (en vanaf 2021 wordt [uitzendsoftware1] alleen gebruikt als historische naslag). De reden daarvoor lag in het feit dat door betrokkenen werd vastgesteld dat er geen procedure was om ervoor te zorgen dat bij wijziging van een functie van een medewerker ook de noodzakelijke toegangsrechten in [uitzendsoftware1] werden aangepast, zodat een eventuele doorbreking van de functiescheidingen zou kunnen plaatsvinden. Zij hebben daarom een gegevensgerichte controle uitgevoerd. Ook hebben betrokkenen het management gevraagd of er sprake is van naleving van wet- en regelgeving. Het management heeft daar telkens bevestigend op geantwoord.

4.9.2. Verder menen betrokkenen dat het niet tot de taak van de accountant behoort om te controleren of alle systemen bij een controleklant voldoen aan de eisen uit de AVG. Bovendien heeft de AP volgens betrokkenen de afgelopen jaren bij overtreding van de AVG boetes opgelegd die alle ruim onder de materialiteitsgrens blijven die voor de controle van de jaarrekeningen van [BV1] is gehanteerd.

4.9.3. Betrokkenen vinden dat helemaal niet is vastgesteld dat er sprake was van een datalek in de door de AVG bedoelde zin dat sprake was van ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Daarom kan hen niet worden verweten dat ze het datalek niet hebben ontdekt en aangekaart. De AP is weliswaar tot de conclusie gekomen dat mogelijk sprake is geweest van een overtreding van de AVG door [BV1], maar heeft een omvangrijk nader onderzoek nodig om dit daadwerkelijk vast te kunnen stellen. De AP heeft aangegeven dat zij een dergelijk onderzoek gelet op haar prioriteringscriteria, niet zal gaan uitvoeren.

4.10. De Accountantskamer is van oordeel dat betrokkenen hiermee voldoende hebben toegelicht dat en op welke wijze zij Standaard 250 hebben nageleefd. Daartoe overweegt de Accountantskamer als volgt.

4.10.1. De verantwoordelijkheid om bepalingen uit de wet- en regelgeving na te leven ligt bij de vennootschap zelf, bij het management en de met toezicht belaste personen (de Raad van Commissarissen bijvoorbeeld). De verantwoordelijkheid van de accountant is om een redelijke mate van zekerheid te verkrijgen dat de financiële overzichten als geheel geen afwijkingen van materieel belang bevatten die het gevolg zijn van fraude of van fouten. Dat volgt uit Standaard 250, paragraaf 5.

4.10.2. Volgens paragraaf 6 wordt het volgende onderscheid gemaakt in de verantwoordelijkheden van de accountant:

1. de bepalingen van die wet- en regelgeving die in het algemeen geacht worden van directe invloed te zijn op de vaststelling van bedragen en in de financiële overzichten opgenomen toelichtingen die van materieel belang zijn, zoals wet- en regelgeving op het gebied van belastingen en pensioenen;

2. overige wet- en regelgeving die geen directe invloed heeft op de vaststelling van de bedragen en toelichtingen in de financiële overzichten, maar waarvan het naleven van fundamenteel belang kan zijn voor de operationele aspecten van het bedrijf, voor de mogelijkheid van een entiteit om haar activiteiten voort te zetten, dan wel voor het voorkomen van sancties van materieel belang.

Overtreding van de AVG valt niet onder de categorie waarnaar in paragraaf 6(a) wordt verwezen. Voor de categorie waarnaar in paragraaf 6(b) wordt verwezen, is de verantwoordelijkheid van de accountant beperkt tot het uitvoeren van gespecificeerde controlewerkzaamheden ter bevordering van het identificeren van niet-naleving van wet- en regelgeving die een invloed van materieel belang kan hebben op de financiële overzichten.

4.10.3. Kortom, naleving van wet- en regelgeving behoort tot de verantwoordelijkheid van [BV1]. Dat schrijven betrokkenen dan ook terecht steeds in hun engagement letter. Uitgaande van hun toelichting, zo overweegt de Accountantskamer, hebben betrokkenen hiermee Standaard 250.15 nageleefd, waarin is opgenomen dat de accountant het management vraagt of de entiteit dergelijke wet- en regelgeving naleeft. Zij hebben die bevestiging ook telkens ontvangen van het management van [BV1].

4.10.4. Van belang is nog om vast te stellen dat de accountant niet verantwoordelijk is voor het voorkómen van niet-naleving. Evenmin kan er van hem worden verwacht dat hij niet-naleving van alle wet- en regelgeving detecteert. Dat volgt uit Standaard 250.4.

4.11. De Accountantskamer stelt vast dat klaagster het verweer van betrokkenen niet heeft weerlegd. Zij volhardt in haar standpunt dat betrokkenen bij de jaarrekeningcontrole had moeten constateren dat [BV1] met het gebruik van [uitzendsoftware1] een datalek heeft gecreëerd. Dat mag zo zijn (in de visie van klaagster), maar dat leidt er niet toe dat de accountant het verwijt valt te maken dat Standaard 250 niet is nageleefd. Dat heeft klaagster niet concreet gemaakt. Bovendien geldt dat hoe verder de niet-naleving van in dit geval de Wet bescherming persoonsgegevens en later de AVG afstaat van de gebeurtenissen en transacties die in de financiële overzichten zijn weerspiegeld, hoe onwaarschijnlijker het is dat de accountant zich hiervan bewust wordt of dat hij de niet-naleving zal ontdekken. Met die omstandigheid moet de Accountantskamer ook rekening houden bij de beoordeling van de klacht.

4.12. De klacht zal ongegrond worden verklaard.

5. De beslissing

De Accountantskamer:

  • verklaart de klacht ongegrond.

Aldus beslist door mr. A.A.J. Lemain, voorzitter, mr. I. Tubben en mr. J.N. Bartels (rechterlijke leden) en drs. W.J. Schoonderbeek RA en E.M. van der Velden AA (accountantsleden), in aanwezigheid van mr. C.J.H. Terwal, secretaris, en uitgesproken in het openbaar op 17 februari 2023.

_________ __________

secretaris voorzitter

Deze uitspraak is aan partijen verzonden op:_____________________________

Op grond van artikel 43 Wtra kan tegen deze uitspraak binnen 6 weken na de dag van verzending daarvan hoger beroep worden ingesteld door middel van het indienen van een beroepschrift bij het College van Beroep voor het bedrijfsleven (adres: Postbus 20021, 2500 EA Den Haag). Het beroepschrift moet de gronden van het beroep bevatten en moet zijn ondertekend.