Uitspraak
uitspraak
COLLEGE VAN BEROEP VOOR HET BEDRIJFSLEVEN
zaaknummer: 23/896
uitspraak van de meervoudige kamer van 17 september 2024 op het hoger beroep van:
[naam 1] , te [plaats] ,
tegen de uitspraak van de accountantskamer van 17 februari 2023 waarbij is beslist op een klacht, ingediend door [naam 1] tegen
[naam 2] RA, [naam 3] RA en [naam 4] RA (betrokkenen)
(gemachtigde: mr. C.M. Harmsen)
Procesverloop in hoger beroep
[naam 1] heeft hoger beroep ingesteld tegen de uitspraak van de accountantskamer van 17 februari 2023, met nummers 22/847, 22/848 en 22/849 Wtra AK (www.tuchtrecht.nl, ECLI:NL:TACAKN:2023:9).
Betrokkenen hebben een schriftelijke reactie op het hogerberoepschrift gegeven.
[naam 1] heeft nadere stukken ingezonden, waaronder videobestanden.
De zitting was op 18 juli 2024. Aan de zitting hebben deelgenomen: [naam 1] , betrokkenen met hun gemachtigde.
Grondslag van het geschil
1.1
Voor een uitgebreide weergave van het verloop van de procedure en de in dit geding van belang zijnde feiten en omstandigheden, voor zover niet bestreden, wordt verwezen naar de inhoud van de uitspraak van de accountantskamer. Het College volstaat met het volgende.
1.2
Betrokkenen zijn verbonden aan [naam 5] B.V. ( [naam 5] ). Als extern accountant waren zij successievelijk verantwoordelijk voor de controle van de jaarrekening van [naam 6] B.V. ( [naam 6] ). [naam 4] was dat voor de boekjaren 2014, 2015 en 2016, [naam 3] voor 2017, 2018 en 2019 en [naam 2] voor 2020 en 2021.
1.3
[naam 1] was van 2008 tot 2022 werkzaam bij [naam 7] B.V., dat een onderdeel is van [naam 6] . Vanaf 2015 heeft [naam 1] bij haar werkgever, en vanaf medio juni 2019 ook bij [naam 5] en de Autoriteit Persoonsgegevens, aangekaart dat bij haar werkgever de bescherming van persoonsgegevens onvoldoende is gewaarborgd.
Uitspraak van de accountantskamer
2.1
De klacht, zoals weergegeven in de uitspraak van de accountantskamer, welke weergave door partijen niet wordt bestreden, houdt, samengevat, het volgende in. Bij de controle van de jaarrekening van [naam 6] over de boekjaren 2014 tot en met 2021, waarvoor zij successievelijk verantwoordelijk waren, hadden betrokkenen moeten vaststellen dat bij [naam 6] , althans [naam 7] B.V., sprake was van een ‘datalek’. Naar aanleiding daarvan hadden betrokkenen actie moeten ondernemen. Dit gelet op het bepaalde in Standaard 250 (Het in aanmerking nemen van wet- en regelgeving bij een controle van financiële overzichten) van de Nadere voorschriften controle- en overige standaarden (Standaard 250).
2.2
Blijkens de bestreden uitspraak achtte de accountantskamer de klacht gedeeltelijk niet-ontvankelijk. Voor het overige is de klacht ongegrond verklaard.
2.3
De accountantskamer is, zoals zijzelf in de bestreden tuchtuitspraak heeft samengevat, van oordeel dat [naam 1] er niet in is geslaagd voldoende concreet en onderbouwd te stellen dat sprake is van tuchtrechtelijk verwijtbaar handelen of nalaten van betrokkenen. De klacht over het handelen of nalaten van [naam 4] bij de controle van de jaarrekening 2014 van [naam 6] is te laat ingediend.
Beoordeling van het geschil in hoger beroep
Standpunt [naam 1]
3.1
is het niet eens met het oordeel van de accountantskamer dat zij niet voldoende heeft onderbouwd waarom betrokkenen zich verwijtbaar hebben gedragen. Zij wijst erop dat zij in 2019 en 2021 een klacht met schriftelijke onderbouwing heeft ingediend bij (de geschillencommissie van) [naam 5] . Deze onderbouwing heeft zij in de klachtprocedure bij de accountantskamer aangevuld. Ook heeft zij tijdens de behandeling van de tuchtklacht ter zitting toegelicht dat zij betrokkenen verwijt dat zij een datalek van zo’n grote omvang als bij [naam 6] niet hebben gedetecteerd en genoegen hebben genomen met de mededeling van het bestuur van [naam 6] dat wet- en regelgeving worden nageleefd. [naam 1] vindt dat het College tot een ander oordeel moet komen dan de accountantskamer.
3.2
[naam 1] beroept zich in dit verband op twee arresten van het Hof van Justitie van de Europese Unie. Uit het arrest van 12 januari 2023 in zaak C-132/21 (ECLI:EU:C:2023:2) volgt naar haar mening dat ook de accountantskamer kan beoordelen of van een datalek sprake is geweest. Uit het arrest van 12 januari 2023 in zaak C-154/21 (ECLI:EU:C:2023:3) blijkt volgens haar dat prioriteringscriteria voor een toezichthoudende autoriteit geen reden kunnen zijn een klacht niet verder te onderzoeken. [naam 1] is van mening dat de accountantskamer, wanneer zij een (ernstige) verdragsschending vaststelt, ook aan artikel 14 [in verbinding met artikel 8] van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden hoort te toetsen. Bij de accountantskamer heeft zij de stukken ingediend aan de hand waarvan de discriminatie van verschillende categorieën werknemers binnen [naam 6] kan worden onderzocht.
Standpunt betrokkenen
4.1
Volgens betrokkenen is het hogerberoepschrift slechts een poging om de klacht in volle omvang opnieuw te laten beoordelen, maar zonder de daarvoor noodzakelijke gronden en/of onderbouwing te geven. Het hoger beroep zou wegens strijd met de goede procesorde niet-ontvankelijk of ongegrond moeten worden verklaard.
4.2
Met de inhoud van de bestreden uitspraak zijn betrokkenen het eens. Betrokkenen vinden het spijtig voor [naam 1] dat zij zich nog steeds niet voldoende gehoord voelt door [naam 6] en/of de Autoriteit Persoonsgegevens, maar anders dan zij lijkt te suggereren, zijn zowel betrokkenen als de accountantskamer wel degelijk inhoudelijk en gemotiveerd op haar klacht ingegaan. Ook in hoger beroep slaagt zij er niet in feiten en omstandigheden te stellen en aannemelijk te maken die kunnen leiden tot de conclusie dat betrokkenen zich tuchtrechtelijk verwijtbaar hebben gedragen.
Beoordeling College
5 Voor het niet-ontvankelijk verklaren van het hoger beroep wegens strijd met de goede procesorde, zoals betrokkenen bepleiten, bestaat geen aanleiding. [naam 1] heeft in haar hogerberoepschrift wel degelijk gronden aangevoerd.
6 [naam 1] bestrijdt niet dat de klacht over het handelen of nalaten van [naam 4] bij de controle van de jaarrekening 2014 van [naam 6] te laat is ingediend. Dit gedeelte van de klacht is in hoger beroep dus niet meer aan de orde.
7 [naam 1] verwijt betrokkenen, kort gezegd, dat zij bij het controleren van de jaarrekeningen Standaard 250 niet hebben nageleefd. Volgens [naam 1] hebben zij nagelaten aan het licht te brengen dat er bij [naam 6] , althans [naam 7] , sprake was van een omvangrijk datalek. Hiermee doelt zij op een personeelssysteem ( [naam 8] ) dat bij haar werkgever in gebruik was. Personeel van haar werkgever kon daarin opgenomen (privacygevoelige) gegevens van het extern werkzame personeel inzien, ook als dat uit hoofde van hun functie niet noodzakelijk was. In haar brieven aan [naam 5] heeft [naam 1] gesteld dat de externe accountant ook het interne beheersingssysteem van de onderneming controleert en dat hij een significante tekortkoming in (de inhoud en effectieve werking van) dat systeem schriftelijk moet vastleggen en aan het bestuur van de entiteit moet melden. Het onderwerp hoort ook in de managementletter terug te komen. Uit de controle van het interne beheersingssysteem had volgens [naam 1] moeten blijken dat geen of in elk geval onvoldoende maatregelen waren getroffen om de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens na te leven.
8 In een tuchtprocedure als deze is het in beginsel aan de klager om feiten en omstandigheden te stellen en – in geval van (gemotiveerde) betwisting – aannemelijk te maken, die tot het oordeel kunnen leiden dat de betrokken accountant tuchtrechtelijk verwijtbaar heeft gehandeld. Anders dan [naam 1] meent, rust op de tuchtrechter niet de taak om op basis van informatie die zij in het kader van haar klacht heeft verstrekt vast te stellen of en in welke mate [naam 6] of [naam 7] wet- en regelgeving op het gebied van de bescherming van persoonsgegevens heeft overtreden en evenmin of (als gevolg hiervan) personeel van het bedrijf ongelijk is behandeld. De tuchtrechter onderzoekt aan de hand van de feiten en omstandigheden die de klager naar voren heeft gebracht, en wat de accountant daartegen heeft aangevoerd, of er voldoende grond bestaat voor het oordeel dat de accountant zich tuchtrechtelijk verwijtbaar heeft gedragen. De uitspraken van het Hof van Justitie van de Europese Unie die [naam 1] heeft aangehaald, maken dit niet anders.
9 De accountantskamer heeft er terecht op gewezen dat de verantwoordelijkheid om bepalingen uit de wet- en regelgeving na te leven, ligt bij de vennootschap zelf, bij het management en de met toezicht belaste personen. De accountant is verantwoordelijk voor het verkrijgen van een redelijke mate van zekerheid dat de financiële overzichten die door het bestuur van de onderneming zijn opgesteld als geheel geen afwijkingen van materieel belang bevatten die het gevolg zijn van fraude of van fouten.
10 In de verantwoordelijkheden van de accountant met betrekking tot het naleven van wet- en regelgeving maakt Standaard 250, paragraaf 6, onderscheid tussen twee categorieën van wet- en regelgeving. De wet- en regelgeving die naar de mening van [naam 1] niet is nageleefd, valt onder de tweede categorie. Deze categorie betreft overige wet- en regelgeving die geen directe invloed heeft op de vaststelling van de bedragen en toelichtingen in de financiële overzichten, maar waarvan het naleven van fundamenteel belang kan zijn voor de operationele aspecten van het bedrijf, voor de mogelijkheid van een entiteit om haar activiteiten voort te zetten of voor het voorkomen van sancties van materieel belang. Het niet naleven van wet- en regelgeving in de tweede categorie kan om die reden(en) van materieel belang zijnde invloed hebben op de financiële overzichten.
11 De verantwoordelijkheid van de accountant voor deze overige wet- en regelgeving is op grond van Standaard 250, paragraaf 7, beperkt tot het uitvoeren van gespecificeerde controlewerkzaamheden ter bevordering van het identificeren van niet-naleving van wet- en regelgeving die een invloed van materieel belang kan hebben op de financiële overzichten. Hiertoe moet de accountant op grond van paragraaf 15: (a) het management en, in voorkomend geval, de met governance belaste personen vragen of de entiteit dergelijke wet- en regelgeving naleeft, en (b) de eventuele correspondentie met de desbetreffende vergunningverlenende of regelgevende of toezichthoudende instanties inspecteren.
12 Indien er geen sprake is van geïdentificeerde of vermoede niet-naleving van wet- en regelgeving wordt – aldus Standaard 250, paragraaf 18 – niet van de accountant vereist dat hij andere controlewerkzaamheden uitvoert met betrekking tot het naleven van wet- en regelgeving door de entiteit, dan die werkzaamheden die zijn uiteengezet in de paragrafen 13 tot en met 17.
13 Het College ziet niet dat betrokkenen het verwijt treft dat zij hebben nagelaten het door [naam 1] gestelde niet-naleven van de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens te identificeren. Betrokkenen hebben gedaan wat Standaard 250 voorschrijft om niet-naleving te identificeren van overige wet- en regelgeving die een invloed van materieel belang kan hebben op de financiële overzichten. Uit hun beschrijving in het verweerschrift van de controlewerkzaamheden blijkt dat betrokkenen elk controlejaar, onder meer, (i) hebben geïnventariseerd welke wet- en regelgeving voor [naam 6] – als dienstverlener in de uitzendbranche en onderdeel van een […] concern – relevant is (paragraaf 13), (ii) met het management van [naam 6] de naleving hebben besproken van wet- en regelgeving die een invloed van materieel belang kan hebben op de financiële overzichten (paragraaf 15, onder a), (iii) indien van toepassing, de documentatie hebben geverifieerd bij de desbetreffende instanties (paragraaf 15, onder b), en (iv) de bevestiging hebben gevraagd dat alle bekende gevallen van niet-naleving of vermoede niet-naleving van wet- en regelgeving waarmee bij het opstellen van de financiële overzichten rekening moet worden gehouden, hun ter kennis zijn gebracht (paragraaf 17).
14 Standaard 250, paragraaf 16, vereist dat de accountant gedurende de controle alert blijft op de mogelijkheid dat andere controlewerkzaamheden die worden uitgevoerd, de niet-naleving of vermoedens van niet-naleving van wet- en regelgeving onder de aandacht van de accountant kunnen brengen. Als voorbeeld van dergelijke controlewerkzaamheden noemt paragraaf A15 van de toepassingsgerichte en overige verklarende teksten van Standaard 250 onder meer het vragen aan het management en de interne of externe juridisch adviseur van de entiteit naar rechtszaken, claims en inschattingen.
15 Volgens hun beschrijving van de controlewerkzaamheden hebben betrokkenen voor elke controle geëvalueerd of gegevens met betrekking tot omzet en kosten die in [naam 8] waren opgenomen voldoende en geschikte informatie konden opleveren voor de controlewerkzaamheden. Telkens kwamen zij tot de bevinding dat niet op een betrouwbare gegevensverwerking binnen [naam 8] kon worden gesteund. Uit het feit dat deze bevinding verband hield met de mutatierechten van medewerkers, en op die grond (mede) met toegangsrechten, volgt naar het oordeel van het College niet dat betrokkenen tevens hadden moeten vaststellen of vermoeden dat de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens niet of onvoldoende werd nageleefd. De bevinding van betrokkenen zag immers niet op het door [naam 1] vanuit de regelgeving ter bescherming van persoonsgegevens bekritiseerde inzagerecht, maar op wat voor bedoelde evaluatie relevant was, namelijk de bevoegdheid om gegevens in [naam 8] te muteren.
16 Volgens betrokkenen heeft (het management van) [naam 6] de klacht van [naam 1] over het personeelssysteem bij [naam 7] , en het verschil van mening daarover met het management, vanaf de werkzaamheden voor de controle van de jaarrekening 2019 onder de aandacht van eerst [naam 3] en vervolgens [naam 2] gebracht. De informatie heeft geen van beiden aanleiding gegeven om bij de controle van de jaarrekeningen rekening te houden met een (vermoedelijk) geval van niet-naleving van wet- en regelgeving die een invloed van materieel belang kan hebben op de financiële overzichten. [naam 1] heeft ter zitting van het College gesteld dat betrokkenen naar aanleiding van deze informatie actie hadden moeten ondernemen.
17 Naar het oordeel van het College hebben [naam 3] en [naam 2] voldoende aannemelijk gemaakt dat zij aan het verschil van mening over [naam 8] aandacht hebben geschonken, maar dat de informatie waarover zij beschikten vanaf het moment dat deze kwestie onder hun aandacht werd gebracht, geen aanleiding gaf uit te gaan van een situatie dat (ernstig) rekening moest worden gehouden met de aanmerkelijke kans dat een overtreding van de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens zou worden vastgesteld en een boete zou worden opgelegd die een invloed van materieel belang op de financiële overzichten kon hebben, laat staan dat enig zicht bestond op een uit die vaststelling voortvloeiende schadeclaim van een dergelijke omvang. Het was vrij snel duidelijk dat de kwestie, zoals [naam 1] in haar correspondentie met [naam 5] had aangekondigd, op 1 juli 2019 was voorgelegd aan de autoriteit die bevoegd is om een overtreding van deze wet- en regelgeving vast te stellen. Helder was ook dat het management van [naam 6] de stelling van [naam 1] dat er bij [naam 7] jarenlang sprake was van een grootschalig datalek niet onderschreef. Op de beslissing van de Autoriteit Persoonsgegevens over deze vraag hoefden [naam 3] en [naam 2] niet vooruit te lopen. Met het besluit van de Autoriteit Persoonsgegevens van 16 november 2021 was vervolgens voor [naam 2] duidelijk dat deze onvoldoende grond zag om de klacht van [naam 1] nader te onderzoeken en deze had afgewezen. Deze beslissing werd bij besluit van 23 juni 2022 (te weten enkele dagen vóór het afgeven van de controleverklaring bij de jaarrekening 2021 van [naam 6] op 30 juni 2022) met het ongegrond verklaren van het bezwaar van [naam 1] bevestigd. Met de hypothetische afloop van een eventuele vervolgprocedure hoefde in het kader van de jaarrekening 2021 van [naam 6] geen rekening te worden gehouden. Sinds de kwestie over het vermeende datalek onder hun aandacht kwam, is er naar het oordeel van het College dan ook geen moment geweest dat [naam 3] en/of [naam 2] hadden moeten concluderen dat sprake was van een (vermoedelijke) overtreding van de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens en dat in verband daarmee in de jaarrekening een voorziening moest worden opgenomen.
18 Tot slot overweegt het College dat in zijn algemeenheid van een accountant die zich verweert tegen een klacht over de uitvoering van een jaarrekeningcontrole mag worden verwacht dat hij de stellingen die hij met betrekking tot zijn controlewerkzaamheden inneemt, onderbouwt door middel van stukken uit het controledossier. Betrokkenen hebben de stukken uit de controledossiers waarop zij zich beroepen niet overgelegd, maar hebben stukken of gedeeltes daaruit in het verweerschrift genoemd, beschreven en/of geciteerd. Naar gesteld, vrezen zij dat [naam 1] deze stukken, die zij vertrouwelijk achten, in andere procedures zal gebruiken. Ter zitting heeft het College de mogelijkheid opengehouden dat betrokkenen zal worden gevraagd om bepaalde standpunten alsnog met stukken uit de controledossiers te onderbouwen. Uit het bovenstaande blijkt dat er bij het College geen twijfels zijn gerezen met betrekking tot de motivering van het verweer van betrokkenen tegen de klacht. Het College heeft daarom geen reden gezien betrokkenen te verzoeken hun verweer nader te staven.
Conclusie
19 De slotsom is dat het hoger beroep ongegrond is.
20 De beslissing op dit hoger beroep berust mede op hoofdstuk V van de Wet tuchtrechtspraak accountants.
Beslissing
Het College verklaart het hoger beroep ongegrond.
Deze uitspraak is gedaan door mr. J.L.W. Aerts, mr. H.S.J. Albers en mr. H.L. van der Beek, in aanwezigheid van mr. C.G.M. van Ede, griffier. De beslissing is in het openbaar uitgesproken op 17 september 2024.
w.g. J.L.W. Aerts w.g. C.G.M. van Ede