NEDERLAND - Vermeend datalek bij Manpower is Deloitte-accountants niet aan te rekenen
De tuchtklacht van een voormalig medewerker van uitzendorganisatie Manpower tegen drie RA’s van Deloitte is ongegrond verklaard. De vrouw is van mening dat er sprake was van een datalek bij de Manpower Group en stelde dat de accountants dat bij de jaarrekeningcontrole hadden moeten ontdekken. De Accountantskamer oordeelt echter dat ze onvoldoende onderbouwd heeft gesteld dat sprake is van tuchtrechtelijk verwijtbaar handelen of nalaten door de RA’s.
De vrouw werkte vanaf 15 oktober 2008 bij Manpower. Ze was als uitzendkracht werkzaam, maar ook als medewerker op het hoofdkantoor. Aan de arbeidsovereenkomst kwam in 2022 een einde.
Softwaresysteem ‘zo lek als een zeef’?
Binnen Manpower wordt gebruik gemaakt van een softwaresysteem om gegevens van medewerkers en uitzendkrachten op te slaan. In dit systeem wordt persoonlijke informatie opgenomen, waaronder CV’s, diploma’s, cijferlijsten en paspoortgegevens. Op 1 juli 2019 maakte de vrouw bij de Autoriteit Persoonsgegevens (AP) melding van een datalek. Volgens haar is het softwaresysteem bij Manpower ‘zo lek is als een zeef’. De AP liet op een bepaald moment echter weten dat het onderzoek wegens onderbezetting vooralsnog niet plaats had gevonden. De vrouw raakte daarna in een procedure met de AP verwikkeld, met als inzet dat de AP handhavend zal optreden.
Deloitte
De vrouw deed bovendien haar beklag over het veronderstelde datalek bij Deloitte, dat controlerend accountant was bij de Manpower Group. Ook dat leidde echter niet tot het door haar gewenste resultaat, waarna ze een tuchtklacht tegen de drie RA’s indiende. De accountants waren beurtelings verantwoordelijk voor de jaarrekeningcontrole bij Manpower over de jaren 2014 tot en met 2021.
Tuchtklacht
Bij de Accountantskamer lichtte de vrouw toe waarom er sprake zou zijn geweest van een datalek. Volgens haar waren alle gegevens van gedetacheerde medewerkers, uitzendkrachten, zzp’ers en doorleners inzichtelijk voor werknemers die niet noodzakelijkerwijs uit hoofde van hun rol of functie van die gegevens kennis behoefden te nemen. Zij hadden via de softwaresysteem eenvoudig toegang tot die gegevens. De uitzendsoftware werd op bijna alle afdelingen binnen Manpower gebruikt. Het was zelfs mogelijk om via de uitzendsoftware de persoonsgegevens van interne medewerkers te raadplegen, voerde ze aan. De vrouw is van mening dat de Deloitte-accountants ieder voor zich bij de controle van de jaarrekening, gelet op het bepaalde in NV COS 250 over de naleving van wet- en regelgeving, het datalek hadden moeten vaststellen en naar aanleiding daarvan actie hadden moeten ondernemen.
Beoordeling Accountantskamer
De Accountantskamer oordeelt dat de vrouw gedeeltelijk niet-ontvankelijk is in haar klacht. Ze kan niet meer klagen over het handelen en nalaten van een van de RA’s voorzover dat ziet op de controlewerkzaamheden van de jaarrekening over 2014. Dat is te lang geleden en de vrouw had er eerder over kunnen klagen.
Geen speciale rol accountant bij bescherming persoonsgegevens
Voor het overige is de klacht ongegrond. ‘Accountants vervullen een belangrijke taak ten behoeve van de financiële markt en het economisch/maatschappelijk verkeer’, spreekt de Accountantskamer uit. ‘Zij spelen een grote rol bij de betrouwbaarheid en onafhankelijke beoordeling van financiële informatie (zoals jaarcijfers en waarderingen). In het maatschappelijk verkeer moet kunnen worden vertrouwd op de kwaliteit en integriteit van het werk van de accountants. Als het gaat om de bescherming van persoonsgegevens wordt aan de accountant echter geen speciale of bijzondere taak toebedeeld. Daar is bijvoorbeeld de AP voor.’
Standaard 250
‘Controlewerkzaamheden moeten worden getoetst aan Standaard 250 die de verantwoordelijkheid behandelt van de accountant om wet- en regelgeving in aanmerking te nemen bij een controle van financiële overzichten’, gaat de Accountantskamer verder. De tuchtrechter komt vervolgens op basis van wat de Deloitte-accountants aanvoeren tot het oordeel dat ze daarmee voldoende hebben toegelicht dat en op welke wijze zij Standaard 250 hebben nageleefd. Daartoe overweegt de Accountantskamer als volgt:
‘De verantwoordelijkheid om bepalingen uit de wet- en regelgeving na te leven ligt bij de vennootschap zelf, bij het management en de met toezicht belaste personen (de Raad van Commissarissen bijvoorbeeld). De verantwoordelijkheid van de accountant is om een redelijke mate van zekerheid te verkrijgen dat de financiële overzichten als geheel geen afwijkingen van materieel belang bevatten die het gevolg zijn van fraude of van fouten. Dat volgt uit Standaard 250, paragraaf 5.
[…]Volgens paragraaf 6 wordt het volgende onderscheid gemaakt in de verantwoordelijkheden van de accountant:
a) de bepalingen van die wet- en regelgeving die in het algemeen geacht worden van directe invloed te zijn op de vaststelling van bedragen en in de financiële overzichten opgenomen toelichtingen die van materieel belang zijn, zoals wet- en regelgeving op het gebied van belastingen en pensioenen;
b) overige wet- en regelgeving die geen directe invloed heeft op de vaststelling van de bedragen en toelichtingen in de financiële overzichten, maar waarvan het naleven van fundamenteel belang kan zijn voor de operationele aspecten van het bedrijf, voor de mogelijkheid van een entiteit om haar activiteiten voort te zetten, dan wel voor het voorkomen van sancties van materieel belang.
Overtreding van de AVG valt niet onder de categorie waarnaar in paragraaf 6(a) wordt verwezen. Voor de categorie waarnaar in paragraaf 6(b) wordt verwezen, is de verantwoordelijkheid van de accountant beperkt tot het uitvoeren van gespecificeerde controlewerkzaamheden ter bevordering van het identificeren van niet-naleving van wet- en regelgeving die een invloed van materieel belang kan hebben op de financiële overzichten.
[…] Kortom, naleving van wet- en regelgeving behoort tot de verantwoordelijkheid van [BV1]. Dat schrijven betrokkenen dan ook terecht steeds in hun engagement letter. Uitgaande van hun toelichting, zo overweegt de Accountantskamer, hebben betrokkenen hiermee Standaard 250.15 nageleefd, waarin is opgenomen dat de accountant het management vraagt of de entiteit dergelijke wet- en regelgeving naleeft. Zij hebben die bevestiging ook telkens ontvangen van het management van [BV1].
[…] Van belang is nog om vast te stellen dat de accountant niet verantwoordelijk is voor het voorkómen van niet-naleving. Evenmin kan er van hem worden verwacht dat hij niet-naleving van alle wet- en regelgeving detecteert. Dat volgt uit Standaard 250.4.
[…] De Accountantskamer stelt vast dat klaagster het verweer van betrokkenen niet heeft weerlegd. Zij volhardt in haar standpunt dat betrokkenen bij de jaarrekeningcontrole had moeten constateren dat [BV1] met het gebruik van [uitzendsoftware1] een datalek heeft gecreëerd. Dat mag zo zijn (in de visie van klaagster), maar dat leidt er niet toe dat de accountant het verwijt valt te maken dat Standaard 250 niet is nageleefd. Dat heeft klaagster niet concreet gemaakt. Bovendien geldt dat hoe verder de niet-naleving van in dit geval de Wet bescherming persoonsgegevens en later de AVG afstaat van de gebeurtenissen en transacties die in de financiële overzichten zijn weerspiegeld, hoe onwaarschijnlijker het is dat de accountant zich hiervan bewust wordt of dat hij de niet-naleving zal ontdekken. Met die omstandigheid moet de Accountantskamer ook rekening houden bij de beoordeling van de klacht.’
Bron : AccountancyVanMorgen.NL