Stiekem kijken op de rekening van je ex of je buren: Bij Bunq kon het

Stel je voor: je hebt een nieuwe relatie, maar er knaagt iets aan je. Je vermoedt dat je date niet helemaal eerlijk is over hun status. Zou je de verleiding kunnen weerstaan om even op hun bankrekening te kijken als je die mogelijkheid had? Voor sommige werknemers bij de Amsterdamse onlinebank Bunq was die verleiding te groot om te negeren.

Bij Bunq hadden werknemers gemakkelijk toegang tot allerlei klantgegevens via het softwareprogramma Retool, ontdekte NRC Hierdoor konden ze zonder al te veel moeite de bankrekeningen van klanten inzien, inclusief die van vrienden, collega’s, en zelfs ex-geliefden. De verleiding bleek voor sommigen te groot. Diverse werknemers misbruikten hun toegang om salarissen van collega’s te checken, ex-geliefden te bespioneren, of simpelweg uit nieuwsgierigheid in andermans financiële gegevens te neuzen.

In tegenstelling tot traditionele banken, waar strenge interne veiligheidssystemen en het principe van ‘zero trust’ gelden, was het bij Bunq schering en inslag dat werknemers deze privacygevoelige gegevens konden bekijken zonder dat daar strenge controle op was. Ondanks waarschuwingen en interne discussies over de risico’s, bleef de controle op privacyschendingen bij Bunq minimaal. Werknemers gaven aan dat waarschuwingen door de top van het bedrijf, met name oprichter Ali Niknam, vaak genegeerd of verworpen werden.

Hoewel alle bankmedewerkers in Nederland de bankierseed afleggen, waarin ze beloven integer en zorgvuldig te handelen, en er een gedragscode is die hen verplicht om persoonlijke informatie met de grootste zorgvuldigheid te behandelen, bleek dit bij Bunq in de praktijk weinig voor te stellen. De controle op naleving van deze regels was zo minimaal dat het voor medewerkers een fluitje van een cent was om toegang te krijgen tot gevoelige klantgegevens.

Een voormalige Bunq-medewerker, die anoniem wenst te blijven, vertelde NRC hoe hij zijn toegang tot Retool gebruikte om de bankrekening van zijn date te bekijken. Hij ontdekte een gezamenlijke rekening en alle betalingen die daarmee gepaard gingen, wat zijn vermoedens over dubbelspel bevestigde. Dit soort ‘rekeninggluren’ is een expliciete overtreding van de bankierseed, maar bij Bunq bleven de consequenties vaak uit.

Na publicaties over deze privacyschendingen, zoals de recente onthullingen door NRC en NOS over fraudegevallen waarbij grote bedragen van Bunq-klanten waren gestolen, nam de bank enkele veiligheidsmaatregelen. Toch blijft de fundamentele kwestie van privacy en vertrouwelijkheid een probleem. De Nederlandse Vereniging van Banken benadrukt dat de meeste banken strikte interne veiligheidsmaatregelen hanteren om zulke misstanden te voorkomen, iets waar Bunq duidelijk tekortschiet.

Het gebrek aan privacy leidde tot wantrouwen op de werkvloer van Bunq. Werknemers waren bang dat hun eigen rekeningen werden bekeken door collega’s en managers. Dit creëerde een sfeer van argwaan en onveiligheid. Sommigen weigerden zelfs een Bunq-rekening te openen uit angst voor privacyschendingen.