Accountants valt vermeend datalek niet te verwijten

Zaaknummers 22/847, 848, 849

Door Michiel Satink

Over deze zaak: ‘Accountants moesten ingrijpen bij datalek’

“Salarisstroken, kopieën van paspoorten, verklaringen omtrent gedrag (vog's), medische gegevens, beoordelingsformulieren staan daar in.'' En alles was zichtbaar, zei de medewerkster over het systeem Flexservice waarmee binnen Manpower Group gewerkt werd. Op 1 juli 2019 deed ze bij de Autoriteit Persoonsgegevens (AP) melding van een datalek bij de uitzendorganisatie. Volgens haar was een 'overvloed aan gegevens' zichtbaar en had de uitzendorganisatie onvoldoende voorzorgsmaatregelen genomen om te waarborgen dat die persoonsgegevens vertrouwelijk bleven.

Ook wendde ze zich tot Deloitte, het kantoor dat de jaarrekeningen 2014 tot in ieder geval 2021 controleerde van Manpower. De zogeheten Confidentiality Privacy & Security Officer bij Deloitte berichtte terug dat het kantoor geen klachten in behandeling neemt tegen 'derde organisaties' en verwees haar door naar de AP. Uiteindelijk stapte ze naar de Accountantskamer. Ze verweet de accountants dat ze dit datalek niet zagen. “Bijna alle afdelingen hebben hier dagelijks mee gewerkt. Hoe kon het zijn dat dit probleem jaar op jaar bleef bestaan? Als Deloitte hiervan wist, was dit iets om in de jaarrekening rekening mee te houden'', zei ze op de zitting in november.

Volgens de advocaat van Deloitte, Karen Harmsen, was de klaagster aan het verkeerde adres. De accountants kon ook geen concrete verwijten gemaakt worden, zei ze. De klager lijkt volgens haar te doelen op de standaard NV Cos 250 waarbij een accountant afwijkingen van materieel belang als gevolg van niet-naleving van wet- en regelgeving moet identificeren. Maar jaarlijks is het management bevraagd over naleving van wet- en regelgeving. “Manpower heeft gesteld aan de wet te voldoen.''

Het oordeel
De klacht was gericht tegen drie accountants: de eerste was verantwoordelijk voor de jaarrekeningcontroles van 2014, 2015 en 2016. Zijn opvolger deed de jaren 2017 tot en met 2019 en de derde accountant controleerde de jaarrekeningen van 2020 en 2021. De klacht gericht aan de eerste accountant is niet ontvankelijk, stelt de tuchtrechter, omdat die klacht te laat is ingediend. De klacht tegen de andere twee accountants is ongegrond. Waarom? Als het gaat om de bescherming van persoonsgegevens wordt aan de accountant geen speciale of bijzondere taak toebedeeld. Daar is bijvoorbeeld de AP voor. Controlewerkzaamheden moeten worden getoetst aan Standaard 250 die de verantwoordelijkheid behandelt van de accountant om wet- en regelgeving in aanmerking te nemen bij een controle van financiële overzichten. Accountants moeten een redelijke mate van zekerheid verkrijgen ,,dat de financiële overzichten als geheel geen afwijkingen van materieel belang bevatten die het gevolg zijn van fraude of van fouten''. En verder ,,is de verantwoordelijkheid van de accountant beperkt tot het uitvoeren van gespecificeerde controlewerkzaamheden ter bevordering van het identificeren van niet-naleving van wet- en regelgeving die een invloed van materieel belang kan hebben op de financiële overzichten'', aldus de Accountantskamer.

De betrokken accountants hebben het management van Manpower ook gevraagd of ze wet- en regelgeving naleeft. En telkens kregen ze een bevestigend antwoord. Als laatste noemt de tuchtrechter dat accountants niet verantwoordelijk zijn voor het voorkomen van niet-naleving van de regels. Ook kan van hen niet worden verwacht dat ze het niet naleven van alle wet- en regelgeving detecteert.