Werknemers van de onlinebank bunq konden meekijken op rekeningen van klanten. Dat meldt NRC op basis van eigen onderzoek. Het stiekem inkijken van andermans financiële gegevens, 'rekeninggluren' genoemd, is een expliciete overtreding van de bankierseed.
Werknemers van bunq konden via de software van de bank, Retool, details van klanten bekijken, schrijft NRC. Dat gebeurde ook: de krant vond vier (oud-)medewerkers die rekeningen van bijvoorbeeld vrienden of dates bekeken. De medewerkers waanden zich veilig, omdat de controle op dit soort privacyschendingen weinig prioriteit zou krijgen. Uit gesprekken met vijftien (ex-)werknemers, interne documenten en interne discussies op Slack blijkt dat waarschuwingen hierover genegeerd of verworpen werden door oprichter en ceo Ali Niknam.
In 2021 voerde bunq een nieuw toegangssysteem in met verschillende niveaus van toegang. Afdelingen zoals compliance en juridische zaken konden nog steeds veel bankgegevens inzien, maar andere afdelingen niet meer. Later dat jaar klaagden werknemers echter dat ze bepaalde rekeningen niet konden bekijken, waarna het systeem weer werd afgeschaald. In 2022 zou de top van bunq de risico's van rekeninggluren hebben besproken, maar er kwamen geen extra controles.
Rekeninggluren is een overtreding van de bankierseed en banken stappen vaak zelf naar de tuchtrechter als ze een medewerker betrappen. Veel banken hanteren daarom strikte interne veiligheidssystemen, die registreren wat werknemers aan privacygevoelige klantgegevens inzien. Ook werken ze volgens het zerotrustprincipe, waarbij niemand blindelings wordt vertrouwd en zo min mogelijk werknemers toegang krijgen tot een zo klein mogelijk aantal klantgegevens. Wie wordt betrapt en voor de tuchtrechter moet verschijnen, krijgt vaak een beroepsverbod van enkele maanden en een geldboete.
Bunq heeft daarnaast een gedragscode die voorschrijft dat personeel 'persoonlijke informatie met de grootste zorgvuldigheid en in overeenstemming met de privacywetten' behandelt. Rekeninggluren gaat daar dus tegenin.
Als de bevindingen van NRC kloppen, 'betekent dit dat zij hun belofte en verantwoordelijkheden ernstig hebben geschonden', aldus bunq tegenover NRC. De bank vroeg de krant om de namen van de (oud-)werknemers die rekeningen hebben ingezien, maar de krant wilde die vanwege bronbescherming niet onthullen. Tweakers heeft bunq om een reactie gevraagd.
Source: Tweakers.net