Björn Remmerswaal

Marijke Roskam van Business News Radio is net als vorig jaar de gespreksleider. Zij wijst er meteen op dat het gonst rond cybersecurity, dat het onderwerp "zeer actueel" is en dat er een "sense of urgency" is.

Johan van Hall, vice-voorzitter van de raad van bestuur bij ABN Amro en lid van de NBA Signaleringsraad legt vervolgens uit dat de Signaleringsraad haar best heeft gedaan om de risico's en de aanpak ervan goed in kaart te brengen in een publieke managementletter (PML) getiteld "Van hype naar aanpak".

Op de vraag van Roskam of er niet al genoeg gebeurt op het gebied van cybersecurity antwoordt Van Hall stellig dat dat nog niet zo is. Hij wijst op de maatschappelijke afhankelijkheid van digitale systemen. "De honingpot, oftewel het geld, is nu in hoge mate digitaal, en daarom zeer kwetsbaar."

Sprinklerinstallatie

Van Hall overhandigt vervolgens de PML aan NBA-voorzitter Pieter Jongstra, waarna Jacques Urlus, beleidsadviseur ICT & Accountancy bij de NBA, zijn presentatie begint over cybercrime. De strekking van zijn verhaal is dat het niet de vraag is of je wordt gehackt, maar wanneer en hoe vaak. Iedereen moet accepteren dat het gebeurt, en daarom is het vooral belangrijk om van tevoren al goed na te denken hoe je daarmee omgaat en hoe je reageert. "Het gaat niet om de rookmelder, maar om de sprinklerinstallatie."

'Het gaat niet om de rookmelder, maar om de sprinklerinstallatie.'

Bij het bespreken van een aantal van de signaleringen uit de PML wijst Urlus ook nog op de verantwoordelijkheid van de accountant: "De jaarrekening bestaat uit bytes. Een accountant moet zich afvragen of hij genoeg weet over cybercrime om iets te kunnen zeggen over de digitale continuïteit van de organisatie die hij controleert."

Meldplicht

Na Urlus is het de beurt aan Gerard van IJzendoorn, beleidsadviseur vaktechniek mkb bij de NBA. Van IJzendoorn praat over datalekken. Wat moet je als organisatie of als accountant doen wanneer je een datalek vermoedt? En hoe ga je om met digitale persoonsgegevens?

Allereerst legt Van IJzendoorn uit welke regels er momenteel van toepassing zijn en wat je als organisatie moet doen als je persoonsgegevens verwerkt of bijhoudt. Belangrijk daarbij is dat je vanaf 1 januari 2016 verplicht bent om aan de bel te trekken bij de Autoriteit Persoonsgegevens wanneer je een vermoeden hebt dat er persoonsgegevens zijn gelekt.

Dat kunnen gegevens zijn over ras of geloof, maar ook over de financiële situatie van iemand. Ook als er door de aard en de omvang van gelekte data kans is op nadelige gevolgen, dan ben je verplicht om dit te melden. Niet melden kan leiden tot een boete van maximaal 820 duizend euro.

De betrokkenen moeten in principe worden ingelicht, tenzij er zwaarwegende redenen zijn om dit niet te doen. Van IJzendoorn geeft daarbij het voorbeeld dat een kind bijvoorbeeld de kindertelefoon heeft gebeld om te praten over mishandeling, en dat de persoonsgegevens van het kind zijn gelekt. Het is dan natuurlijk niet de bedoeling dat de ouders van het kind worden ingelicht.

Verantwoordelijke of bewerker

Van IJzendoorn heeft het vervolgens over de rol van de accountant. Die kan optreden als de verantwoordelijke over de persoonsgegevens, bijvoorbeeld bij een assurance-opdracht, een inleenverklaring of de klantenbestanden van het accountantskantoor zelf. Maar hij kan ook de bewerker zijn van persoonsgegevens afkomstig van een klant, zoals bij salarisadministraties, of bij belastingaangiftes waarbij je namens de klant inlogt in systemen. In het eerste geval moet de accountant het lek zelf melden, omdat het gaat om gegevens ten aanzien waarvan hij zelf verantwoordelijke is. In het tweede geval moet de klant dit zelf doen, omdat het gaat om gegevens waarvoor de klant verantwoordelijke is.

Van IJzendoorn benadrukt dat de accountant veel kan doen om zo goed mogelijk met de risico's om te gaan, zoals het trainen van medewerkers, het opstellen van procedures, het checken van technische maatregelen, het op orde hebben van bewerkersovereenkomsten - ook met eventuele 'sub-bewerkers' - en altijd goed te controleren of oude persoonsgegevens correct worden verwijderd. Verder wijst hij op de ondersteuning die de NBA kan bieden, en op het seminar datalekken en privacy, dat op 27 juni door de NBA wordt georganiseerd.

Inspanningen

Iemand uit de zaal vraagt hoe het werkt als er data is gestolen, maar je dit niet weet. Kan je dan iets worden verweten? IJzendoorn: "Je kunt pas iets melden als je het weet. Je kunt wel verweten worden dat je beveiliging niet op orde was." Iemand anders merkt op dat ook afhankelijk bent van anderen, en dat je dus veel risico loopt als accountant. Wat kun je daaraan doen? "IJzendoorn geeft toe dat dat risico groot kan zijn, maar dat het gaat om wat je eraan hebt gedaan. "De autoriteiten kijken naar je inspanningen om het te voorkomen. Je moet ict-bedrijven inschakelen die weten wat ze doen op dit gebied, en niet je neefje van veertien. Als je een normaal bedrijf hebt ingehuurd, tsja, meer kun je niet doen."

'Je moet ict-bedrijven inschakelen die weten wat ze doen, niet je neefje van veertien.'

Dan vraagt iemand wat de consequenties zijn van het melden; hoe de autoriteiten ermee omgaan, of dat afschrikwekkend is, en of er daardoor misschien ook mensen verzuimen zaken te melden. IJzendoorn antwoordt dat die ervaring nog niet is opgedaan omdat de regels pas per 1 januari gelden. Iemand anders vraagt verwonderd: "Maar is dat niet geformaliseerd, hoe dat in zijn werk gaat?". IJzendoorn herhaalt dat die ervaring nog niet is opgedaan, maar zegt dat hij denkt dat zij nagaan of het lek verwijtbaar is, en of de betrokkenen juist zijn ingelicht.

Tuchtrecht: oordeel zelf

Vervolgens neemt Lex van Almelo, journalist en juridisch medewerker bij Accountant.nl, het woord, om te praten over het tuchtrecht. Van Almelo heeft ‘Uitglijders; lessen uit accountantstuchtrecht’ geschreven, een gratis boekje met een thematische bespreking van de meest veroordeelde fouten door de tuchtrechter, met bij elk thema een aantal ‘don’ts en do’s’.

De veelkleurige realiteit wordt bij tuchtzaken volgens van Almelo nogal eens verengd tot wat hij "de formele realiteit" noemt. "Rechtspraak geeft vaak een eenzijdig beeld en tuchtrechtspraak dus ook. De zaken zijn vaak een niet-representatief topje van een ijsberg. En in zo’n zaak tellen alleen de feiten die er voor de tuchtrechter toe doen en waarover niet wordt gebakkeleid. 'Elk oordeel heb zijn nadeel', maar daarom kun je nog wel iets leren van tuchtrecht."

'Elk oordeel heb zijn nadeel.'

Partijdigheid

Vervolgens behandelt Lex samen met Dirk ter Harmsel, Accountantslid bij de Accountantskamer, enkele tuchtzaken. De eerste gaat over een familieruzie. Een accountant werkt voor twee groepen van ondernemingen. De ene groep wordt geleid door een vader, de andere door zijn dochter. Er wordt regelmatig geld heen en weer geschoven tussen de groepen, waar de accountant berekeningen van maakt. Op een dag gaat het mis en ontstaat er ruzie tussen vader en dochter. Vervolgens komt het tot een civiele procedure. De vader vraagt de accountant om hulp bij het voorbereiden van het verhoor, en die hulp geeft hij. Maar vervolgens doet hij niet hetzelfde met de dochter.

In de tuchtzaak die volgt, verklaart de tuchtrechter twee klachten gegrond: hij had met beide partijen moeten spreken, en hij had in de jaren ervoor zorgvuldiger met de belangen van de dochter moeten omgaan.

De zaal is het grotendeel eens met de uitspraak, maar uit de reacties blijkt ook dat niet iedereen het eens is met hoe de accountant had moeten handelen. Sommigen vinden dat de accountant überhaupt niet tegelijkertijd voor beide groepen had moeten werken, en zeker niet nadat er strijd ontstond tussen die partijen, vanwege het risico op partijdigheid.

Maar of het een regel zou moeten zijn dat dit niet mag, daar is men het niet over eens. Ter Harmsel: "Als er een strijd is, is de kans op een klacht groot. Ik pleit echter niet voor een regel dat je een opdracht moet teruggeven wanneer je voor twee partijen werkt die strijd hebben, zoals dat bij advocaten is."

'Als er een strijd is, is de kans op een klacht groot.'

Keurmerk

Na de bespreking van twee andere tuchtzaken vraagt Van Almelo of iedereen wil opstaan die het eens is met de stelling "Tuchtrechtspraak is een soort keurmerk en komt de reputatie ten goede". Er blijven toch een aantal mensen zitten. Roskam brengt verschillende mensen de microfoon. Enkele opmerkingen van de tegenstanders: "Het levert meer schade op dan dat het iets oplevert", "Het is geen keurmerk, daar hebben we andere organen voor", "Dat het er is, is goed, maar als je het bekendmaakt aan het publiek, wat is daar de consequentie van?" En de voorstanders: "Keurmerk heb ik mijn twijfel bij, maar het is wel een goed signaal naar het maatschappelijk verkeer", "Alle andere sectoren worden continu de maat genomen, je kunt het beter zelf regelen dan dat je afhankelijk bent van recensiewebsites en dergelijke".

Roskam vraagt of Ter Harmsel en Van Almelo nog een laatste opmerking willen maken voordat de lunch begint. Van Almelo: "Wees kritisch." Ter Harmsel: "Ik zal niet zeggen 'tot ziens', want dat zou betekenen dat ik u in de Accountantskamer zie. Dus dan hou ik het bij 'wees u bewust van uw rol'."

U kunt een exemplaar van het boek ‘Uitglijders’ opvragen door een e-mail te sturen met uw naam- en adresgegevens naar boekhandel@nba.nl.