Het voelt niet goed. De werknemer van de Amsterdamse onlinebank bunq vermoedt dat degene met wie hij regelmatig op date gaat achter zijn rug om nog een relatie heeft. Na twee maanden afspreken is hij nog nooit bij zijn date thuis geweest. Steeds is er een andere smoes. „Ik had te veel aanwijzingen dat er iets niet klopte”, zegt hij.
De medewerker, die inmiddels een andere baan heeft, wil in een Amsterdams restaurant best aan NRC vertellen wat hij heeft gedaan, maar zijn naam mag onder geen beding in de krant. Wie als (oud-)medewerker van bunq zonder toestemming met de media praat, riskeert 10.000 euro boete, zo blijkt uit het arbeidscontract dat NRC heeft ingezien.
Zijn date bankiert bij bunq, weet de bankmedewerker. Zelf werkt hij pas een maand bij de bank, maar hij heeft al wel gezien wat er met het computersysteem allemaal kan. De in de sector verplichte bankierseed, waarin hij onder meer moet beloven „integer en zorgvuldig” te werk te gaan, heeft hij nog niet afgelegd. De eed heeft weinig prioriteit bij bunq. Die volgt voor nieuwe werknemers vaak pas maanden na hun eerste werkdag.
Hij opent Retool – bunqs softwareprogramma, waarmee werknemers details van hun klanten kunnen bekijken. Hij typt de betrokken naam in en vindt zonder problemen de rekening van zijn date. Een paar muisklikken later weet hij alles. „Ik vond een gezamenlijke bankrekening. En alle overboekingen, zoals de huur van hun huis.”
Wat is er persoonlijker dan een bankrekening? Alles kun je er vinden: salarissen, schulden, parkeerboetes, de data die zijn gedeeld met de Belastingdienst. Hoeveel spaargeld je hebt, waar je op vakantie gaat. Maar ook dirty secrets zoals de sporen van een gok- of drugsverslaving, prostitutiebezoek, een affaire.
‘Rekeninggluren’, het stiekem inkijken van andermans financiële gegevens, is een expliciete overtreding van de bankierseed. De afgelopen vijf jaar zijn 43 werknemers – allemaal van grote banken als ING, Rabobank en ABN Amro – voor de Tuchtcommissie Banken gedaagd nadat ze door hun werkgever waren betrapt op rekeninggluren. De tuchtrechter legde in de meeste gevallen een beroepsverbod van enkele maanden op in combinatie met een geldboete.
Ik vond een gezamenlijke bankrekening van mijn date. En alle overboekingen, zoals de huur van hun huis
Banken is er alles aan gelegen om het vertrouwen van klanten te behouden. Daarom stappen de traditionele banken zelf naar de tuchtrechter als ze een werknemer betrappen. Daarom hanteren ze strikte interne veiligheidssystemen, die registreren wat werknemers allemaal aan privacygevoelige klantgegevens inzien. En daarom werken ze volgens het principe van ‘zero trust and the principle of least privilege’, waarbij geen enkele werknemer blind wordt vertrouwd en zo min mogelijk werknemers toegang krijgen tot een zo klein mogelijk aantal klantgegevens.
„Bij onze leden hebben de meeste werknemers helemaal geen toegang tot gegevens van rekeninghouders. Wie dat wel heeft, kan alleen die gegevens inzien die nodig zijn voor zijn of haar taak binnen de bank. En meer niet”, zegt een woordvoerder van de Nederlandse Vereniging van Banken – waar bunq overigens, in tegenstelling tot vrijwel alle andere Nederlandse banken, niet bij is aangesloten.
Bij bunq gaat het anders. Uit onderzoek van NRC blijkt dat werknemers van de bank eenvoudig toegang hadden tot allerlei klantgegevens. Dat leidde tot misbruik: diverse bunqers grasduinden de afgelopen jaren in rekeningen van vrienden, kennissen en collega’s. Dit gebeurde ondanks de bankierseed en de bunq-gedragscode die voorschrijft dat personeel „persoonlijke informatie met de grootste zorgvuldigheid en in overeenstemming met de privacywetten” behandelt.
Sommige bunq-werknemers hadden daar maling aan, omdat zij wisten dat de controle op dit soort privacyschendingen weinig prioriteit had. Waarschuwingen hierover werden door bunq-topman Ali Niknam genegeerd of verworpen, zo blijkt uit gesprekken met vijftien (ex-)werknemers, interne documenten en interne discussies op chatprogramma Slack.
NRC achterhaalde vier voormalige bunq-werknemers die zonder consequenties in rekeningen hebben gekeken waar zij beroepsmatig niets te zoeken hadden. Een van hen deed dit „om vrienden te helpen” die maar niets hoorden van de klantenservice van bunq. Twee andere ex-werknemers gebruikten de interne systemen om (voormalige) geliefden te bespioneren. Een vierde keek hoeveel haar collega’s verdienden.
Deze werknemer, een vrouw die niet meer voor bunq werkt, vertelt dat ze wilde achterhalen of haar salaris in de pas liep met dat van collega’s in vergelijkbare functies. „Ik hoorde dat Ali’s favorieten meer kregen en wilde dat controleren op hun rekening”, zegt ze. „Anderen deden hetzelfde. Het was te verleidelijk.”
Door collega’s bekeken
Het gluren in rekeningen is breed bekend binnen de bank, vertellen (ex-)werknemers. Een van hen hoort tijdens een etentje, begin 2022, van een collega dat die in de interne systemen heeft gezien dat zijn bankrekening door vijf collega’s is bekeken, vlak nadat hij promotie heeft gemaakt. „Collega’s pochten dat zij de bunq-rekening van Ali zelf en die van zijn moeder hadden bekeken”, zegt een ander. „Alles stond altijd open.”
Eind 2022 zijn de risico’s ook besproken in de top van bunq, naar aanleiding van een risico-inventarisatie door de securityafdeling. Dit interne document schetst drie scenario’s van privacyschendingen die bij bunq kunnen plaatsvinden zonder dat die „door intern toezicht worden gedetecteerd”. Behalve om acties door hackers gaat het om werknemers die rondkijken in de rekeningen van „collega’s, familie, vrienden of bekende mensen, uit nieuwsgierigheid of jaloezie”.
Het document schetst ook mogelijke consequenties, uiteenlopend van boetes van de Autoriteit Persoonsgegevens, juridische procedures van klanten, verzwaard toezicht door De Nederlandsche Bank (DNB) tot „reputatieschade in de media” en een „lagere waarde” van het bedrijf. Ondanks de interne waarschuwingen is er bij bunq geen systeem waarbij werknemers actief worden gecontroleerd op privacyschendingen.
„De situatie bij bunq laat zien dat fundamentele principes van cybersecurity en privacy worden genegeerd”, zegt cyberexpert Jeremy Loman van Didev, een tech-consultancybedrijf. Volgens hem creëert bunq een „groot beveiligingsrisico” door alle werknemers toegang te geven tot klantdata. „Wanneer een persoon, account of systeem wordt gecompromitteerd, heeft een aanvaller toegang tot de complete database met gevoelige bankgegevens.”
Ook is bunq door het gebrek aan controle „een aantrekkelijk doelwit voor cybercriminelen”, zegt Loman. Die kunnen bijvoorbeeld „medewerkers ronselen met als doel toegang te krijgen tot de systemen”, zegt hij. „Het risico wordt nog groter door de snelle doorlooptijd van medewerkers en expats.”
Mediagenieke ondernemer
Het Amsterdamse bunq – een van de jongste banken van Nederland – is in 2012 als zogeheten fintechbedrijf opgericht door de mediagenieke serieondernemer Ali Niknam, die vorig jaar door accountants- en advieskantoor EY werd gekroond tot ‘Entrepreneur of the Year 2023’. Twee jaar na de oprichting kreeg Niknam formele toestemming om bankdiensten aan te bieden van toezichthouder DNB.
Sindsdien gaat bunq door het leven als digitale neobank zonder servicebalies. Het paradepaardje van bunq (464 werknemers, 12,5 miljoen klanten door heel Europa) is de gebruikersvriendelijke app die het openen van een rekening en het overboeken van geld veel sneller en makkelijker maakt dan bij reguliere banken. Het aantal klanten van de bank verdubbelde vorig jaar, mede door bunqs opvallend hoge (2,46 procent) spaarrente.
Vorige maand bleek dat ook fraudeurs de weg naar bunq weten te vinden, toen NRC en NOS onthulden dat een groep bunq-klanten onlangs grote geldbedragen (tot 200.000 euro per persoon) kwijtraakte aan online oplichters. De bank nam na de publicaties veiligheidsmaatregelen: verdachte transacties worden nu 24 uur vastgehouden, zodat opgelichte klanten hun geld makkelijker kunnen terughalen.
Hoewel bunq al meer dan tien jaar bestaat, lijkt het bedrijf nog steeds meer op een start-up dan op een volwassen bank. De doorloop van werknemers, vooral expats die snel opbranden door de hoge werkdruk, is hoog. Werknemers voor wie bunq hun eerste baan is – 70 procent van het totaal – houden het gemiddeld elf maanden vol.
Niknam, die vrijwel alle aandelen van bunq bezit, stelt daarbij de groei van het aantal rekeningen en een hoog tempo van softwareontwikkeling centraal, vertellen oud-werknemers. Daarbij hamert hij op pragmatisme en snelheid. Een van zijn vuistregels: elk personeelslid is óók klantenservicemedewerker. Wie begint bij bunq krijgt daarom de opdracht om tijdens zijn eerste week honderd ‘tickets’ – vragen en hulpverzoeken van klanten – af te handelen. Na de proeftijd moet elke werknemer wekelijks nog minstens drie tickets doen.
Ik hoorde dat Ali’s favorieten meer kregen en wilde dat controleren op hun rekening. Anderen deden hetzelfde
Om het afhandelen van alle klantvragen te vergemakkelijken, krijgen werknemers op hun eerste werkdag brede toegang tot bankrekeningen en transacties van bunq-klanten. Die houden zij zolang ze voor bunq werken. De systemen van de bank bieden de mogelijkheid om te controleren wie wat bekijkt, maar daar komt in de praktijk weinig van terecht. „We konden misbruik van toegangsrechten gewoon monitoren, maar dat hebben we niet gedaan”, zegt een voormalig bunq-werknemer, die betrokken was bij de interne veiligheidsprocedures.
Onomstreden is dit niet. Diverse managers hebben pogingen ondernomen om extra controles in te voeren en het systeem te verfijnen, zodat alleen mensen die dat echt nodig hebben details van rekeningen en rekeninghouders kunnen zien. Dit verzwaren van controles wordt door een betrokken oud-werknemer omschreven als „vliegen onder de Ali-radar”, aangezien Niknam het liefst ziet dat werknemers zo min mogelijk barrières tegenkomen als zij snel klanten willen helpen.
In 2021 slagen managers er in om een nieuw toegangssysteem langs Niknam te loodsen, met verschillende niveaus van toegang. Voortaan krijgen afdelingen zoals compliance en juridische zaken ruime toegangsrechten, waarbij ze ook identiteitsbewijzen en filmpjes van gezichtsscans van klanten kunnen zien. Andere afdelingen kunnen minder zien.
„Ali vond de maatregel moeilijk, maar keurde die uiteindelijk toch goed”, zegt een ex-werknemer die dichtbij Niknam stond. Lang duurt deze situatie niet. Als medewerkers later dat jaar klagen dat ze bepaalde rekeningen niet kunnen bekijken, zwakt de topman de uitsplitsing in toegangsniveaus direct weer af. Voortaan kunnen werknemers van bunq weer rekeningen en afschrijvingen inkijken.
Lees ook
‘Wie hier niet presteert, kan maar beter gaan’
Geen rekening bij bunq
Het gebrek aan privacy is ook op de werkvloer voelbaar. Het leidt tot wantrouwen tussen collega’s, zeggen diverse (oud-)werknemers. Bij het koffie-apparaat zeggen collega’s te vrezen dat managers op hun bankrekeningen kijken of ze wel echt ziek zijn. Er wordt ook gesmoesd over het saldo van miljardair Niknam, die zijn vermogen overigens niet op zijn bunq-rekening heeft geparkeerd.
Diverse medewerkers weigeren uit angst om bekeken te worden een bunq-rekening te openen. Daar wordt vanuit het management op gehamerd – onder meer tijdens functioneringsgesprekken. Het is een slecht signaal als bunq-medewerkers elders bankieren, vindt het management.
Op 3 januari 2022 bereiken de privacyzorgen het algemene chatkanaal van bunq, waar de hele werkvloer kan meelezen. Het kanaal wordt door bunqers gespeld, ook omdat Niknam het als spreekbuis naar de hele organisatie gebruikt. Een werknemer die chat onder de alias ‘Milena’ opent de discussie:
„Al onze collega’s hebben toegang tot onze bankrekening op Retool en kunnen niet alleen ons saldo zien, maar ook onze betalingen, hoeveel geld we hebben gespaard, wie onze goede vrienden zijn… Voor mij is het gebrek aan privacy iets dat mij ervan weerhoudt een rekening te nemen bij bunq. Ik vroeg me af hoeveel mensen er hetzelfde over denken.”
Er volgt een lang gesprek, waar zeker tien bunqers aan deelnemen.
Mdemaa: „Ondanks dat ik weet dat elke bunqer mijn account kan bekijken, vertrouw ik erop dat ze dat niet doen.”
Jacobo: „Dit is de belangrijkste reden dat ik geen bunq-account heb, als ik eerlijk ben”
Dhofsteede: „Het is al mogelijk om te zien of iemand in je account heeft gekeken. Ik weet zeker dat als we die informatie intern zouden verspreiden, dit gedrag snel zal stoppen.”
Robert-jan: „Als er reden is om misbruik te vermoeden, kunnen we dat onderzoeken.”
jakub: „Is dat er niet dan, als je deze discussie leest?”
Robert-jan: „Nee, alleen algemene zorgen over dat iemand de toegang misschien ooit zou kunnen misbruiken.”
De discussie eindigt snel als Ali Niknam zich persoonlijk in het gesprek mengt.
Ali: „Ik heb nooit iemands data bekeken zonder diegene eerst om toestemming te vragen. Voor zo ver ik weet houden we bij wie wat bekijkt. We hebben geheimhoudingsverklaringen en de bankierseed. Als iemand iets doet dat niet mag laat hij sporen na en zal deze persoon ter verantwoording worden geroepen.”
En de verhalen dat werknemers de toegang misbruiken?
Ali: „Die verhalen heb ik ook gehoord, maar als ze werden onderzocht bleek er nooit iets van te kloppen. Maar als het wel gebeurt, is dat uiteraard een reden voor direct ontslag en vervolging.”
Het probleem: bunq lijkt niet te willen weten of zijn werknemers de toegang misbruiken. De bank controleert dit niet actief en heeft volgens een woordvoerder van de Stichting Tuchtrecht Banken nog nooit een medewerker voor rekeninggluren voor de tuchtrechter gedaagd.
Ook de oud-medewerker die spiekte in de rekening van zijn date werd nooit bestraft. Nadat hij zijn date had geconfronteerd met zijn vermoedens van dubbelspel, bekende die. De relatie strandde.
Angst dat hij betrapt zou worden heeft de spiekende bunqer nooit gevoeld. Wel kreeg hij spijt, vertelt hij. Niet omdat hij morrelde aan de fundamenten van Ali Niknams bank, niet over het schenden van de bankierseed of over het overtreden van de interne gedragsregels. „Nee, ik voelde me schuldig ten opzichte van mijn date”, zegt hij. „Dat ik de privacy van diegene heb geschonden was moreel niet oké.”