Klacht: accountants moesten ingrijpen bij datalek

Door Michiel Satink

Zaaknummers 22/847, 848, 849

De klaagster werkte tot 2019 bij een bij de Manpower Group ondergebracht bedrijf. Bij Manpower werden de gegevens van medewerkers die gedetacheerd zijn, opgeslagen in het systeem 'Flexservice'. 

De klager kaartte vanaf 2011 al aan dat veel medewerkers toegang hadden tot gegevens waar ze eigenlijk niet over mochten beschikken. Zelf merkte ze dat ook, meldde ze vrijdag in de Accountantskamer. “Salarisstroken, kopieën van paspoorten, verklaringen omtrent gedrag (vog's), medische gegevens, beoordelingsformulieren staan daar in.'' 

Alles was zichtbaar en veel daarvan was niet nodig voor de functie die ze bekleedde. Naar eigen zeggen trok ze herhaaldelijk aan de bel over wat volgens haar een omvangrijk datalek is. “Dit is een enorme schending van een fundamenteel recht, namelijk mijn recht op privacy.''

De klaagster omschreef gevoelens van machteloosheid en onrechtvaardigheid. “Ik heb nog tien jaar nodig om bij te komen van deze ellende.'' Alleen: wat verweet ze nu concreet de drie accountants van Deloitte die de jaarrekeningen van 2014 tot en met 2021 van Manpower controleerden, vroeg de voorzitter. “Dat ze dit datalek niet zagen. Bijna alle afdelingen hebben hier dagelijks mee gewerkt. Hoe kon het zijn dat dit probleem jaar op jaar bleef bestaan? Als Deloitte hiervan wist, was dit iets om in de jaarrekening rekening mee te houden.''

Verkeerde adres
raadsvrouw Karen Harmsen benadrukte dat het datalek niet is vastgesteld. En ze benadrukt dat de klager vooral klaagt over Manpower en bij de accountants aan het verkeerde adres is. “Alle stellingen die Manpower aangaan, gaan betrokkenen niet aan.'' 

Bovendien kunnen de accountants geen concrete verwijten worden gemaakt. De klager lijkt volgens haar te doelen op de standaard NV Cos 250 waarbij een accountant afwijkingen van materieel belang als gevolg van niet-naleving van wet- en regelgeving moet identificeren. Maar jaarlijks is het management bevraagd over naleving van wet- en regelgeving. “Manpower heeft gesteld aan de wet te voldoen.'' 

Ook uit notulen van vergaderingen van bestuur en commissarissen is geen aanwijzing gevonden van schending van regels. De klacht over de jaarrekening van 2014 is verjaard, zei de raadsvrouw. Voor 2015 en 2016 geldt dat de huidige AVG (Algemene Verordening Gegevensbescherming) toen nog niet in werking was. Als er toen al sprake was van een schending van de privacy, kon dat niet leiden tot een boete. En in de laatste jaren was een eventuele boete niet materieel. “Manpower meldde in 2021 dat de Autoriteit Persoonsgegevens de klacht had afgewezen.''

Met name de accountant die in 2017 verantwoordelijk was voor de controle kreeg de nodige vragen van de Accountantskamer. Zij toetste of de accounts van medewerkers die 'toegang hadden die niet overeenkwam met hun functie' verwijderd werden. “En dat was het geval.'' 

Tot wat voor gegevens zij dan toegang hadden, weet de accountant niet. Zo was de account van de klaagster in 2017 verwijderd maar een jaar later bleek ze dat account nog te hebben. “Ik merkte geen verschil'', zei de klager. En waarom stapte Manpower in 2021 dan over op een ander systeem, wilde de tuchtrechter van de opvolgend accountant weten. “Ik vond het niet gek dat er op een gegeven moment een nieuw systeem komt omdat het oude al zo lang werd gebruikt.'' Aanwijzingen dat er iets anders speelde, had hij niet.

In 2020 zijn er vier gevallen geconstateerd door Deloitte waar mensen onterecht toegang hadden tot de gegevens in Flexservice. Die accounts zijn later afgevoerd. “Ze hebben te lang toegang gehad. Is er geprobeerd in te loggen? Nee, dat was niet het geval'', zei een van de beklaagden. Stel dat dit lek er wel zat, was er dan sprake van een materiële fout? Volgens de accountant lag de materialiteitsgrens rond de vier miljoen euro. Zelfs bij het opleggen van boetes was die grens niet bereikt, zei hij.

De uitspraak: Accountants valt vermeend datalek niet te verwijten