NRC: bunq-werknemers konden meekijken in klantrekeningen - Update - IT Pro - Nieuws

Werknemers van de onlinebank bunq konden meekijken op rekeningen van klanten. Dat meldt NRC op basis van eigen onderzoek. Het stiekem inkijken van andermans financiële gegevens, 'rekeninggluren' genoemd, is een expliciete overtreding van de bankierseed.

Werknemers van bunq konden via de software van de bank, Retool, details van klanten bekijken, schrijft NRC. Dat gebeurde ook: de krant vond vier (oud-)medewerkers die rekeningen van bijvoorbeeld vrienden of dates bekeken. De medewerkers waanden zich veilig, omdat de controle op dit soort privacyschendingen weinig prioriteit zou krijgen. Uit gesprekken met vijftien (ex-)werknemers, interne documenten en interne discussies op Slack blijkt dat waarschuwingen hierover genegeerd of verworpen werden door oprichter en ceo Ali Niknam, schrijft NRC. Bunq zegt na vragen van Tweakers hierover dat dit niet klopt.

In 2021 voerde bunq een nieuw toegangssysteem in met verschillende niveaus van toegang. Afdelingen zoals compliance en juridische zaken konden nog steeds veel bankgegevens inzien, maar andere afdelingen niet meer. Later dat jaar klaagden werknemers echter dat ze bepaalde rekeningen niet konden bekijken, waarna het systeem weer werd afgeschaald. In 2022 zou de top van bunq de risico's van rekeninggluren hebben besproken, maar er kwamen geen extra controles.

Rekeninggluren is een overtreding van de bankierseed en banken stappen vaak zelf naar de tuchtrechter als ze een medewerker betrappen. Veel banken hanteren daarom strikte interne veiligheidssystemen, die registreren wat werknemers aan privacygevoelige klantgegevens inzien. Ook werken ze volgens het zerotrustprincipe, waarbij niemand blindelings wordt vertrouwd en zo min mogelijk werknemers toegang krijgen tot een zo klein mogelijk aantal klantgegevens. Wie wordt betrapt en voor de tuchtrechter moet verschijnen, krijgt vaak een beroepsverbod van enkele maanden en een geldboete.

Bunq heeft daarnaast een gedragscode die voorschrijft dat personeel 'persoonlijke informatie met de grootste zorgvuldigheid en in overeenstemming met de privacywetten' behandelt. Rekeninggluren gaat daar dus tegenin.

Reactie bunq

Als de bevindingen van NRC kloppen, 'betekent dit dat zij (de werknemers, red.) hun belofte en verantwoordelijkheden ernstig hebben geschonden', aldus bunq tegenover NRC. De bank vroeg de krant om de namen van de (oud-)werknemers die rekeningen hebben ingezien, maar de krant wilde die vanwege bronbescherming niet onthullen. Een woordvoerder van bunq zegt dat de bank deze informatie werd opgevraagd 'in het belang van de privacy van onze gebruikers'. Bunq houdt volgens de woordvoerder echter ook zelf in interne systemen bij wie naar welke rekening kijkt.

De bank zegt verder na vragen van Tweakers dat het zijn gebruikers centraal stelt. "Daarom willen we dat (vrijwel) alle medewerkers, van de ceo tot de bedrijfsjurist, onze gebruikers kunnen helpen met hun vragen. Hiervoor is toegang tot gebruikersgegevens nodig", aldus de woordvoerder. "Om dit goed en veilig te doen volgt iedereen binnen bunq verschillende trainingen, waaronder privacy- en securitytrainingen. Alle medewerkers tekenen bovendien een geheimhoudingsverklaring en leggen de bankierseed af. Eventuele misstanden kunnen gemeld worden bij de teamlead, via de whistleblowerprocedure of de company confidant."

Update, 13.33 uur - Bunq heeft gereageerd op vragen van Tweakers. De antwoorden zijn in het artikel verwerkt.

IT-banen

Reacties (275)

oezie 27 juni 2024 11:34

Toch bijzonder dat je zelfs zonder een fatsoenlijke audittrail en zonder het zerotrust principe toch een banklicentie kan bemachtigen. Je mag als consument/klant toch verwachten dat dit soort zaken bij een door de DNB erkende bank, geregeld is.

bartvb

@oezie • 27 juni 2024 12:03

Volgens het artikel van NRC: er zijn wel audit logs alleen worden deze niet gebruikt. Heeft geen prioriteit.

Intern is er ook al meerdere keren aangedrongen op het beperken en beter monitoren van toegang maar dit gaat in tegen de filosofie van Bunq/Ali Niknam dat alle medewerkers support requests van klanten moeten kunnen afhandelen.

Op zich snap ik dat idee, is best wat voor te zeggen. Maar om dat mogelijk te maken is het toch niet nodig dat iedereen echt overal bij kan? Je hoeft de rekening van je ex niet te kunnen openen en het hoeft niet mogelijk te zijn om de salarisstorting op de rekening van je collega's te bekijken.

Als je wil dat medewerkers willekeurige support tickets af kunnen handelen dan zorg je dat ze de gegevens van de klant van dat ticket kunnen bekijken en niet meer. Schijnbaar ging/gaat in de organisatie ook rond dat men andere rekeningen bekijkt, als dat zo is dan ga je als bank toch als een malle aan de slag om dat misbruik tegen te gaan en op te sporen?

Bij Bunq lijkt de prioriteit echter te liggen op meer rendement (voor Niknam) en het snel uitrollen van features ipv compliance en security. Dat lijkt me geen goede prioriteitstelling voor een bank.

Ik heb al even geen rekeningen meer bij Bunq. Maar als ik ze had en nog niet had opgezegd na deze toestand dan was nu wel een mooi moment geweest...

B64

@bartvb • 27 juni 2024 12:53

Waar het fout gaat is dat Bunq zich primair ziet als IT-bedrijf, en secundair als bank. Als IT- 'startup' gaat het prat op snelheid en transparantie, dat dat conflicteert met privacy-wetgeving en DNB-voorschriften wordt opgelost met een gedragscode - en die gedragscode blijkt een wassen neus want een beetje IT-'startup' heeft het volste vertrouwen in zijn medewerkers.

Na het DSB-faillissement en het IceSave-debacle ben ik héél huiverig geworden voor banken die uit het niets komen en gouden bergen beloven - om die reden heb ik het dus ook nooit aangedurfd om iets bij bunq onder te brengen. Mijn voorgevoel bleek vooralsnog juist.

MightyFool @B64 • 27 juni 2024 13:19

Beloven ze echt goude bergen dan? De rente is bij lange na niet de hoogste.

venigo @MightyFool • 27 juni 2024 14:21

Bij welke 'Nederlandse' bank is de rente dan hoger? Binnen Europa is het inderdaad beter shoppen, maar niet iedereen spreekt of kan Engels / Spaans / Duits / Frans / Sloveens / Vul maar in.

kdekker @venigo • 27 juni 2024 14:46

Er zijn ook banken, waar je prima in het Nederlands terecht kunt en waar je meer krijgt dan bij de bekende NL banken. Ook als je zonder Raisin aan de slag wilt. LloydBank, NIBC. En vast meer. Helaas is het overzicht op spaarrente.nl niet zo makkelijk meer te doorzoeken.

Persoonlijk vond ik de indirectie via Raisin een reden om het niet te willen gebruiken. Wel is overboeken van spaarbank naar tegenrekening (bij een bekende NL bank) toch vaak iets dat 1 dag duurt. Dat is dan wel weer een beetje jammer, maar daar krijg je dan (iets) hogere rente voor. Met een beetje geluk houd je de inflatie bij.

HSG @kdekker • 27 juni 2024 14:52

Ik heb een rekening bij Opebank. Een Spaanse bank waar je inderdaad prima met het Nederlands terecht kan komen. Beter dan N26.

Zeerob @HSG • 27 juni 2024 16:39

Bij Openbank is er dan wel weer het addertje onder het gras, dat als de rekeninghouder overlijdt, er in Spanje erfbelasting moet worden betaald. Afhankelijk van de relatie van de nabestaanden tot de overledene, wel tot 82% !!!
Verder moet je een Spaanse accountant (of iets dergelijks) in de hand nemen. Oftewel een groot drama.
Google er maar op.

HSG @Zeerob • 27 juni 2024 22:19

Ik gebruik de bank alleen maar om een paar honderd Euro per maand op te zetten voor leuke dingen. Hoezo moet ik dan erfbelasting aan Spanje betalen?

DefaultError @Zeerob • 27 juni 2024 22:39

Neobanking met Openbank, goed om te weten.
Laat de discussie maar los komen.
Dank je.

Dennisb1 @HSG • 27 juni 2024 18:44

Hoezo beter dan n26??

Zeerob @Dennisb1 • 27 juni 2024 18:50

Inderdaad.
Voordeel van N26 is dat er een gunstige wisselkoers (zonder opslag of zoiets) wordt gehanteerd voor aankopen in buitenlandse valuta. Dus vooral voor online aankopen in bv dollars.

Dennisb1 @Zeerob • 27 juni 2024 19:38

Ik gebruik eigenlijk N26 voor alles, maak vaak verre reizen en betaal ook vaak om die reden in buitenlandse valuta idd

phubert @venigo • 27 juni 2024 15:01

Raisin heeft, voor zover ik weet een Nederlandse bankvergunning en klantenservice maar werkt met Europees opererende banken. Deze banken lijken allemaal onder het Europese deposito garantie stelsel te vallen. Ik heb even zitten kijken op hun website naar de aanbieders maar vooral rentes en voor wie wat spaargeld heeft, zeker met bijna 80-100% meer rente (3.31% kwam ik tegen voor gewone spaarrekening) dan Nederlandse systeembanken loont het de moeite er naar te kijken.

Maar wat je zegt je moet identificeren en ik lees dat dit niet altijd in het Nederlands kan, maar in het Engels.

Parlay @phubert • 27 juni 2024 15:56

Je moet jezelf in een korte video call identificeren. Stelt verder niks voor, is binnen een minuut klaar.

Ryuukami @Parlay • 27 juni 2024 22:47

Klopt stelt echt niks voor tijdens kantooruren kan het in het Nederlands daarbuiten in het Engels. Hele vriendelijke Italiaanse dame fluitje van een cent.

Evert de Wit @venigo • 27 juni 2024 20:10

N26 opereert in NL.

OriginalFlyingdutchman @B64 • 27 juni 2024 15:28

Op zich vallen ze gewoon onder het depositogarantiestelsel, dus je kan er veilig tot een ton neerzetten.

B64

@OriginalFlyingdutchman • 27 juni 2024 18:13

Veilig? Heb je onlangs nog een krant gelezen?

Quintiemero @B64 • 27 juni 2024 13:22

Daarom is er privacy by design, om de juiste afstemming te vinden

Landhuisje @B64 • 27 juni 2024 17:15

Juist een moderne IT-speler moet zich juist in hoge mate bewust zijn van de strenge privacy wetgeving in de EU die ook vooral op de informatietechnologie en internet sector heeft gericht.

Fidesnl @bartvb • 27 juni 2024 12:50

Het principe dat iedereen je volledig zou moeten kunnen ondersteunen sta ik wel achter. Alleen is het natuur slecht als er geen verificatiestap in zit.
Ik zou dan zelf verwachten dat de klant het moet goedkeuren via de app of, zoals sommige banken, dat je inlogt met een code tijdens het gesprek.
Het is vreemd dat je direct een rekening in kunt zonder gaan zonder enige barrière. Dit betekent dus ook dat medewerkers NAW gegevens kunnen verkopen met alle gevolgen van dien.

locke960 @Fidesnl • 27 juni 2024 12:58

Het is vreemd dat je als klant die audit log niet te zien krijgt. Zou verplicht in het bankportaal zichtbaar moeten zijn. Eventueel met een automatische e-mail notificatie als je gegevens bekeken worden.

Je sh*t zichtbaar voor je klanten is over het algemeen een geweldige motivator om het wel goed te regelen.

Keypunchie

Beveiliging

@locke960 • 27 juni 2024 13:36

Mja, beetje irritant wel als dan een bankmedewerker een foutje maakt.

"Zoek in de systemen, rekeningnummer van meneer Locke960, huh wacht, oh verdorie heb ik meneer Locke963 te pakken, even door naar de juiste".

Maar dan zie jij dat een bankmedewerker je rekening bekeken heeft...

Intern hoort dat wel gelogd te zijn, want intern is dat prima te verklaren bij een (randomized) audit, maar het is heel slecht voor de klantervaring en gaat tot spookverhalen leiden.

Overigens wat Bunq nu heeft gedaan is natuurlijk totaal waanzinnig. En vooral dat het de cultuur lijkt te zijn.

Als iemand die (meermalen!) de bankierseed heeft afgelegd (als IT'er), vind ik dit echt onacceptabel en *moet* tot vragen van toezichthouders leiden. De essentie van het Nederlandse bankwezen is vertrouwen en bij de organisaties waar ik gewerkt heb (denk grootbanken) moet ik zeggen dat in ieder geval in de IT-tak aldaar de basishouding als zeer professioneel heb ervaren.

[Reactie gewijzigd door Keypunchie op 22 juli 2024 13:55]

locke960 @Keypunchie • 27 juni 2024 13:49

Mja, beetje irritant wel als ...

Dat is precies de bedoeling. Klanten irriteren is een slecht strategie. Banken willen dat voorkomen en zullen daarom hun processen en beveiliging verbeteren.

Keypunchie

Beveiliging

@locke960 • 27 juni 2024 13:58

Ja, maar zoekakties op een verkeerde rekening doen is zo'n "common" issue, dat het meer problemen creeert dan oplevert.

Idem als je op *jouw* rekeningnummer kijkt voor een probleem en vervolgens op die van een tegenpartij om te controleren of boekingen overeenkomen, dan krijgt iemand anders in jouw voorstel iets te zien in het auditlog, terwijl ze niet weten waarom (en vanwege de privacy van de andere partij dat ook niet zouden hoeven te weten).

Het is dus een leuk idee, maar met net iets te veel nadeel.

locke960 @Keypunchie • 27 juni 2024 21:38

Ja, maar zoekakties op een verkeerde rekening doen is zo'n "common" issue, dat het meer problemen creeert dan oplevert.

Nogmaals, dat is precies de bedoeling. Het feit dat het "common" is, betekent dat ongewenste toegang door een medewerker eenvoudig gemaskeerd kan worden als een 'typefoutje in een zoekactie' oid.
Dat is een probleem. Dat is een slecht systeem. Dat het niet opgelost wordt is een nog groter probleem. Blijkbaar hebben banken meer motivatie nodig om het netjes te regelen.

Idem als je op *jouw* rekeningnummer kijkt voor een probleem en vervolgens op die van een tegenpartij om te controleren of boekingen overeenkomen, dan krijgt iemand anders in jouw voorstel iets te zien in het auditlog, terwijl ze niet weten waarom (en vanwege de privacy van de andere partij dat ook niet zouden hoeven te weten).

Ik zie niet in waarom niet. Het gaat om een betaling die beide partijen aangaat.
- Of de betaling staat op beide rekeningen, zoals het hoort. Dan is het geen enkel probleem om beide partijen te informeren dat gecontroleerd is of die boeking op beide rekeningen aanwezig was op verzoek van 1 van de partijen.
- Of de betaling staat niet op beide rekeningen. Dan is er iets serieus fout gegaan en is het wel zo netjes beide partijen te informeren dat er iets is fout gegaan.

Keypunchie

Beveiliging

@locke960 • 27 juni 2024 22:31

Dan wordt een fraude-onderzoek wel een stuk lastiger…

“sorry we hebben naar uw transacties gekeken omdat we Locke960 op fraude onderzoeken”

ik denk dat jij daar niet vrolijk zou worden, want jij hebt uiteraard geen fraude gepleegd, het is een vals alarm blijkt, maar ja, de tegenpartij heeft nu toch een beeld van je…

locke960 @Keypunchie • 27 juni 2024 22:47

Voor een fraude onderzoek hoef je niet op 2 rekeningen te kijken. Alleen naar de rekening van de verdachte.

Keypunchie

Beveiliging

@locke960 • 27 juni 2024 22:52

Zelf ben ik geen fraude-expert, maar lijkt me dat een beetje onderzoek probeert om
een geldstroom/netwerk in kaart te brengen…

Maar jij bent blijkbaar wel forensisch financieel specialist en het is niet nodig. Ik neem je op je woord!

vrow @Keypunchie • 27 juni 2024 23:36

Maar beste mensen, het ging om de toegang van medewerkers tot de rekening van wie dan ook, om support-vragen te beantwoorden.
Nu gaat het over grootschalige fraude-onderzoeken, witwassen en weet ik wat :-)

Volgens mij was het voorstel / idee van iemand dat als een willekeurige medewerker op je rekening kijkt, dat jij daar dan melding over krijgt. Niet als de fraude-afdeling samen met de Belastingdienst en het OM een onderzoek naar je doet.

‘Hallo, dit is een berichtje van Bunq. We zien dat het OM bezig is met een onderzoek naar je. Wij zijn de bank of the free, dus we zien je liever niet in de gevangenis. Vandaar deze melding. We raden je aan over te stappen naar Banco du eilando kaaimanno. Cheers, Bunq’

Keypunchie

Beveiliging

@vrow • 27 juni 2024 23:45

Makkelijker is het en dan is denk ook voor @.oisyn een antwoord, om toegang tot rollen te beperken.

Niet elke medewerker toegang, maar sommige medewerkers specifieke toegang, omdat die voor hun rol nodig is.

vrow @Keypunchie • 27 juni 2024 15:28

Hmm, als er staat dat op rekening NLxxBUNQxxx geld is overgemaakt naar rekening NLxxBUNQxxx en je moet als support-medewerker dan op rekening A én op rekening B kijken om te zien of boekingen overeenkomen, dan is er echt iets heel erg grondig mis met je bank en zou ik gillend naar buiten rennen :-)

Maar ik snap wat je ongeveer bedoelt, maar persoon A die iets vraagt over een overboeking die hij gedaan of ontvangen heeft, kan er nooit toe leiden dat de medewerker ook op de rekening van die tegenpartij zou moeten kijken. Sterker nog, als de tegenpartij bij een andere bank zit, dan kán dat ook helemaal niet.

indexample @vrow • 27 juni 2024 22:21

Dat kan wel, dat doet TransactieMonitoring Nederland (TMNL)

vrow @indexample • 27 juni 2024 23:31

Dat is toch niet hélemaal hetzelfde als waar we hier over hadden

“ De vijf Nederlandse banken ABN AMRO, ING, Rabobank, Triodos Bank en de Volksbank hebben hun krachten gebundeld onder de naam Transactie Monitoring Nederland (TMNL). Samen gaan zij de strijd aan tegen financiële criminaliteit, door in samenhang de betalingstransacties van de banken te monitoren op signalen die mogelijk kunnen duiden op witwassen en terrorismefinanciering.”

Maar hier hebben wij sowieso weinig aan met onze soort bankproblemen. Witwassen en terrorismefinanciering…. Ja, terrorisme - fijn als ze dat opsporen natuurlijk. Witwassen lijkt me een grijs gebied… Maar misschien dat het daarom een keer gewassen moet worden.

.oisyn Moderator Devschuur®

Beveiliging

@Keypunchie • 27 juni 2024 16:39

"Zoek in de systemen, rekeningnummer van meneer Locke960, huh wacht, oh verdorie heb ik meneer Locke963 te pakken, even door naar de juiste".

Dat is typisch een situatie die überhaupt al niet voor zou moeten kunnen komen. Sowieso doet bunq volgens mij al niets via de telefoon, maar alles via de app, dus het is gewoon duidelijk over welke klant en rekeningen het gaat. En als het wel over de telefoon gaat, dan zullen ze toch eerst goed moeten verifiëren dat de klant wel echt die klant is. Vanuit de gebruiker in het systeem kunnen ze dan doorklikken naar diens rekeningen, zonder dat andere rekeningen benaderbaar zijn.

Als ze een systeem hebben waarbij ze in willekeurige rekeningen kunnen kijken, dan gaat het daar dus al mis.

[Reactie gewijzigd door .oisyn op 22 juli 2024 13:55]

matk89 @Keypunchie • 27 juni 2024 16:07

Daar zijn vast ook wel oplossingen voor te bedenken: "Je gaat nu de gegevens bekijken van Locke960, is dat de gegevens die je nodig hebt" voordat je daadwerkelijk iets ziet bijvoorbeeld...

DJanmaat

@locke960 • 28 juni 2024 00:28

Daar zeg je iets; bij volgjezorg heb je dat wel en heel fijn dat het er is!

Je stalt je eigen verdiende geld bij een bank die daarvoor verscheidene diensten aanbiedt waar je maandelijks voor moet betalen; even de Rabobank of ING als voorbeeld. Dan is het toch gek dat deze bank dan willekeurig wanneer zij het nodig achten jouw gegevens kunnen opvragen.

Ik huur een opslagbox of een woning. Dan staat in het contract vaak dat ze controles mogen uitvoeren, maar er moet eerst een kennisgeving zijn. Zou van de zotte zijn dat de verhuurder ieder moment je woning binnen komt stormen.

Voor de meesten, en voor mij, is dit gewoon de normaalste zaak van de wereld. Waarom? We weten niet beter dan dat het zo is. Maar dat betekent niet dat het ook echt normaal is.

[Reactie gewijzigd door DJanmaat op 22 juli 2024 13:55]

xvilo @Fidesnl • 27 juni 2024 15:08

Ik zou dan zelf verwachten dat de klant het moet goedkeuren via de app

Ter info, dit zat er vroeger zeker wel in. Kan me dat nog wel herinneren dat ik op een knop in de chat moest drukken om de supporter toegang te geven tot mijn transactie geschiedenis van een rekening. Dus eigenlijk kunnen we wel stellen dat hier een regressie heeft plaats gevonden, of dat dit een wassen neus was .

n4m3l355 @bartvb • 27 juni 2024 14:04

Idealiter is dit het geval maar ik denk dat je raar staat te kijken hoe brede toegang tot prive gegevens de gang van zaken is. Nou is dit jaren geleden maar ik heb vroeger op de helpdesk van Liberty Global gewerkt, ik mocht daar als "supervisor" de moeilijkere zaken oplossen en was het vaak zo dat ik diverse profielen diende te bekijken en daaraan zaten dan privacy gevoelige gegevens.

Daar komt ook nog eens bij dat "men" niet bereid is te betalen voor customer service, zo ook niet bij bunq vermoedelijk. Met als gevolg dat in ieder geval Liberty Global echt niet de beste medewerkers wist aan te trekken. Er werd op de floor nogal wat gerommeld onderling maar ook met klanten bestanden toendertijd.

Get!em @bartvb • 27 juni 2024 14:31

Ik heb al even geen rekeningen meer bij Bunq. Maar als ik ze had en nog niet had opgezegd na deze toestand dan was nu wel een mooi moment geweest...
https://www.nrc.nl/nieuws...-woord-kan-staan-a4199901

Opvallend dat nog nergens de link wordt gelegd met die Phishing. Ik kreeg uit dat eerdere artikel namelijk al sterk de indruk dat het niet algemene Phishing was, maar meer nog een SpearPhishing met voorkennis over de te verkrijgen bedragen. En dat die informatie dus via de werkwijze in dit artikel bij de Phishers terecht kan komen.

Zie ook quote uit NRC:

Sinds dit jaar worden er opvallend veel bunq-klanten opgelicht voor relatief grote bedragen.

wooha @bartvb • 27 juni 2024 16:05

Eens. Nadat er geverifieerd is of het ticket ingediend is door een bevoegde persoon.

Bij een telefoontje worden verificatievragen gesteld. Heeft een helpdeskmedewerker die niet nodig om überhaupt toegang te krijgen tot de rekeninggegevens? Dan weet het systeem tenminste meteen dat de verificatie gedaan is.

ralph1212 @bartvb • 28 juni 2024 00:48

Intern is er ook al meerdere keren aangedrongen op het beperken en beter monitoren van toegang maar dit gaat in tegen de filosofie van Bunq/Ali Niknam dat alle medewerkers support requests van klanten moeten kunnen afhandelen.

Op zich snap ik dat idee, is best wat voor te zeggen. Maar om dat mogelijk te maken is het toch niet nodig dat iedereen echt overal bij kan? Je hoeft de rekening van je ex niet te kunnen openen en het hoeft niet mogelijk te zijn om de salarisstorting op de rekening van je collega's te bekijken

De bovenstaande stelling snap ik totaal niet. Ik mag hopen dat een CEO zich met andere zaken bezighoud dan met klantvragen.
Totaal onlogisch dat iedere functie klantdata in moet kunnen zien.
En als je dan eens als

Jurist, of CEO

Klantdata/klantinformatie nodig hebt om een vraagstelling te beantwoorden, dan vraag je naar mijn mening idealiter deze informatie op bij de daarvoor bestemde afdeling. Hierdoor is het zero trust principe ook veel beter te waarborgen. Bizar dat een bank dergelijke zaken niet op orde heeft.

Raymond Deen @bartvb • 27 juni 2024 13:34

Ten eerste WTF?!?

Ten tweede is er niets voor te zeggen dat iedereen maar iedere klant moet kunnen helpen; dan zou iedereen namelijk alles moeten kunnen en overal van op de hoogte moeten zijn en dat is gewoonweg onmogelijk.

Die systemen om niet iedereen maar in te kunnen laten grasduinen, zijn er met een reden en dat wordt maar weer eens bewezen met dit verhaal.
Ik geloof ook niet dat dit in overeenstemming zou zijn met de eisen die aan het verkrijgen van een banklicentie verbonden zijn; dit verhaal krijgt nog een vervelend staartje zo is mijn verwachting.

Ik ben verder niet hoog vermogend of zo, maar mij gaan ze zo niet als klant krijgen. Ik denk dat een heleboel mensen nu nog weleens extra nadenken voordat ze klant zouden willen worden.

sjongenelen @Raymond Deen • 27 juni 2024 14:08

Dit is echt bizar voor een bank en ook ik ga daar nooit naar toe

jaenster

@Raymond Deen • 27 juni 2024 14:58

Dus als jij je bank op belt, en hulp nodig hebt, en de medewerker zegt oh sorry, jou achternaam begint met een d, ik kan alleen maar mensen helpen die met en achternaam van u tot z. Of wat stel je voor? hoe moet een klantenservice je helpen zonder inzicht?

Nou is bunq slecht met klantenservice dus dat is niet echt het probleem, echter gaat het hier om access log files, niet om een of andere admin site waarmee je je account kan over nemen. Daar over gesproken, het is niet alsof een medewerker iets van je kon over maken.

Raymond Deen @jaenster • 28 juni 2024 11:44

Ik denk dat onderscheid tussen functies op een andere manier gemaakt wordt dan de eerste letter van je achternaam, maar ik wil dus graag dat de kantinemedewerker (puur als voorbeeld) niet bij mijn rekeninggegevens kan komen, simpelweg om dat dat niet bij de functieomschrijving hoort. Daarvoor heb je namelijk functieomschrijvingen.

bzuidgeest @oezie • 27 juni 2024 11:58

Je kan en het audit systeem hebben en er geen aandacht aan geven.
Ik denk dat als ze de bankierseed gaan controleren bij alle banken er nog heel veel gestraft moet worden. Die bankierseed is een wassen neus. Alsof de DNB man genoeg heeft om alles 100% in de gaten te houden. De meeste overheidsinstellingen hebben verre weg niet genoeg mensen om alles te checken.

Frame164 @bzuidgeest • 27 juni 2024 12:32

Veel van ons die niet bij een bank werken zullen ook een code of conduct of code of business ethics hebben moeten tekenen. Ik zou het niet beperken tot slechts de bankierseed.

Het belangrijkste van een eed is niet zo zeer om alles te voorkomen maar om te kunnen optreden als die overtreden wordt.

bzuidgeest @Frame164 • 27 juni 2024 14:08

correct natuurlijk. Ik heb er ook een in mijn IT werk. Ik kan voor diagnose, correctie en zo bij een schrikbarende hoeveelheid data. Maar daar ga je prof mee om. Je gaat niet snuffelen en daar teken je voor. Maar zelfs zonder tekenen ga ik niet snuffelen

Echter ik denk dat in de meest beroepen de mensen moreler zijn dan de echte "bankiers". Ik heb het niet over het admin personeel, maar de toplaag. Het enige moreel is daar zoveel mogelijk graaien en een eed zit daar bij in de weg. Als ze kunnen, gaan ze naar een land zonder eed.

StCreed @bzuidgeest • 27 juni 2024 17:26

Gezien de gevallen bij de tuchtrechter vrees ik dat je ongelijk hebt: de meerderheid zit niet in de top maar zijn gewone medewerkers.

bzuidgeest @StCreed • 28 juni 2024 09:30

Gewone medewerkers worden makkelijker afgeserveerd. De "kleine" overtredingen van medewerkers zijn ook makkelijker dan de zaken rond de grote jongens. Laten we hopen dat het is omdat de top zo eerlijk is, maar ik heb mijn twijfels daarbij. Iedere keer dat er een zaak van de top aan het licht komt overtreft al die kleine vergrijpen makkelijk.

Landhuisje @bzuidgeest • 27 juni 2024 17:18

De ironie is nog groter in de zin dat de banken tegenwoordig de FIU overspoelen met vele duizenden onzin "ongebruikelijke transacties" en tegelijkertijd gebeuren dit soort dingen intern.

bzuidgeest @Landhuisje • 27 juni 2024 17:24

De regels eisen het overspoelen. Kan de bank niets aan doen. Er zijn heel veel transacties.

Landhuisje @bzuidgeest • 27 juni 2024 18:47

Dat is niet (helemaal) waar:

https://gathering.tweakers.net/forum/view_message/78796304

https://hrif.eu/2023/10/m...-in-het-betalingsverkeer/

bzuidgeest @Landhuisje • 28 juni 2024 09:39

Dat eerste artikel lees ik eigenlijk alleen in dat banken hun kosten voor personeel willen verlagen en daar een excuus voor hebben gevonden. Het is "ons vind van ons".. blah blah politiek. En dat gezeur over de klanten? Hoe vaak hebben we de laatste jaren niet gelezen dat ze al onze transacties wilden verkopen aan derde partijen? Reclame willen tonen op basis van die transacties? Ons klanten kan ze geen zak schelen. Ze willen gewoon meer winst en uitkeren aan aandeelhouders. Eerlijk of netjes bankieren kost ze geld. Als ze lage risico groepen kunnen definiëren kunnen ze alles wat geld oplevert en ze niet willen zien makkelijk per ongeluk in zo een laag risico groepje laten vallen. Criminelen zouden binnen 2 minuten hebben uitgezocht hoe ze moeten handelen om onder de radar te vallen. En de banken profiteren daarvan.

Het grootste deel van die tranacties controles word toch al door een "AI" of ander automatisch proces afgehandeld.

Theone098 @oezie • 27 juni 2024 12:38

Een bankmedewerker dient op basis van “ need to know en least privilege” toegang te krijgen tot klantgegevens. Dus ergens dien je medewerkers te kunnen vertrouwen, maar ook te kunnen controleren. Dus als iemand klantgegevens moet kunnen inzien, prima. Maar niet meer dan nodig (met behulp van bijvoorbeeld masking) voor het uitvoeren van de taak en controleerbaar (logging, monitoring en alerting). Ik denk dat het daar bij BUNQ aan schort. Teveel privileges, geen afscherming van gegevens en geen controle. En dat is erg laakbaar. Daarnaast werken er schijnbaar (ook) medewerkers die niet erg integer zijn en is de “ tone at the top” ook niet OK. Als je weet dat er gecontroleerd wordt en dat er een reële pakkans is met consequenties (ontslag) laat je het wel uit je hoofd om zonder reden klantgevens in te zien.

Overigens vraag ik mij af waarom dit niet is opgevallen tijdens de vele audits die een bank zelf uitvoert en ook moet ondergaan (DNB en externe accountants).

Overigens is de inrichting van informatiebeveiliging geen eis bij het verlenen van een bank licentie (voor zover ik kan zien op de site van de DNB). Uiteraard daarna wel.

[Reactie gewijzigd door Theone098 op 22 juli 2024 13:55]

AceAceAce @Theone098 • 28 juni 2024 08:30

De DNB is niet de enige toko met regels waar een bank aan moet voldoen, ook de ECB en EBA zijn relevant.

Zie bijvoorbeeld:
https://www.eba.europa.eu/single-rulebook

Mayonaise @oezie • 27 juni 2024 15:02

Ik blijf het ook bijzonder vinden dat er politie is om burgers te bekeuren, maar niet voor bedrijven.

StCreed @Nijl • 27 juni 2024 17:26

Op welke manier is dat relevant?

wildhagen

Beveiliging
Privacy

27 juni 2024 11:21

Het stiekem inkijken van andermans financiële gegevens, 'rekeninggluren' genoemd, is een expliciete overtreding van de bankierseed.

[...]

De bank vroeg de krant om de namen van de (oud-)werknemers die rekeningen hebben ingezien, maar de krant wilde die vanwege bronbescherming niet onthullen.

In andere woorden, ze zouden hiermee dus wegkomen en onbestraft blijven omdat men niet weet om wie het gaat? Dat lijkt me ook niet wenselijk?

Daarnaast, worden er geen auditlogs bijgehouden wie welke rekening bekijkt? Bunq zou daarin toch moeten kunnen zien wie er gekeken heeft op die rekening? Als dat niet matched met een valide reden (zoals een telefoontje van de klant naar de servicedesk bijvoorbeeld) heb je toch bingo?

Ik zou hier als klant toch niet bepaald blij van Bunq worden met dit soort acties. En dan druk ik me nog zacht uit. Iets met privacy enzo...

GreatDictator @wildhagen • 27 juni 2024 11:27

[...]
In andere woorden, ze zouden hiermee dus wegkomen en onbestraft blijven omdat men niet weet om wie het gaat? Dat lijkt me ook niet wenselijk?

Dat een krant haar bronnen niet zomaar prijsgeeft lijkt me niet meer dan normaal, als je dat bedoelt.

Seal64 @GreatDictator • 27 juni 2024 12:49

Lijkt me niet meer dan logisch. Ten eerste omdat, zoals de anderen ook terecht opmerken, de bank daar zelf heel gemakkelijk achter zou moeten kunnen komen. Als dat niet zo is, is dat an sich al reden genoeg om te maken dat je je geld daar weg haalt, IMO.

Maar erger nog, dit riekt naar vingerwijzen. Met andere woorden, als de NRC wel bekend zou hebben gemaakt wie ze gevonden hebben, dan gaat Bunq er voor zorgen dat die publiekelijk aan het kruis genageld gaan worden onder het motto van "kijk eens hoe streng wij rekeninggluren bestraffen" en zullen ze daarmee proberen de aandacht af te leiden van het feit dat dat alleen maar mogelijk was omdat hun systeem klaarblijkelijk zo lek als een zeef is.

pepsiblik @GreatDictator • 27 juni 2024 11:36

Dat bedoelt hij niet. Wat hij bedoelt is dat vanuit compliance dit soort dingen geregistreerd en geanalyseerd dienen te worden. Dit ruikt heel erg naar gebrekkig intern toezicht. En daar mag de DNB wel eens kritisch naar kijken (en de DNB mag ook wel eens verantwoorden waarom dit gebrekkige toezicht niet door hen tijdens audits is ontdekt).

ChiLLeR

@pepsiblik • 27 juni 2024 11:43

Klopt, Bunq hoeft niet de bronnen van NRC te weten. Ze kunnen gewoon hun audit files nu nagaan en bij de desbetreffende werknemers langs gaan waarom ze bepaalde rekening hebben ingezien. Als ze daar geen geldige reden voor hebben kunnen ze stappen ondernemen. Maar dat is niet wat ze zeggen, ze blijven zeggen dat het de verantwoordelijkheid is van de werknemer die dmv eed en contract ervoor zou zorgen dat men dit niet doet.
Leuk, maar als er niet op gecontroleerd en gesanctioneerd wordt zal er altijd een deel hier zich niet aan houden. Zeker als het heel makkelijk is. Het is echt policy dat het voor alle werknemers makkelijk moet zijn om deze gegevens in te zien want dat is de filosofie , geen ingewikkelde drempels om gegevens voor een support ticket te kunnen opzoeken.

david-v

@ChiLLeR • 27 juni 2024 11:50

ze blijven zeggen dat het de verantwoordelijkheid is van de werknemer die dmv eed en contract ervoor zou zorgen dat men dit niet doet.

Je kan een papieren contract wel gaan gebruiken om jezelf vrij te pleiten, maar auditlogs is iets wat al heel lang in gebruik is om misstanden te voorkomen/onderzoeken en juist bij cyberaanvallen van wezenlijk belang is. Dat deze bank dat blijkbaar niet heeft, wat ik me niet kan voorstellen, is dan heel kwalijk. Ik vermoed dat ze de informatie wel hebben maar dat de top niet eens weet dat dit mogelijk is en met deze eerste statement zichzelf proberen vrij te pleiten.

Ik vermoed dat de DNB hierover binnenkort een pittig gesprek gaat hebben met de leiding daar

edit: werkwoorden vergeten en typos

[Reactie gewijzigd door david-v op 22 juli 2024 13:55]

Skywalker27 @david-v • 27 juni 2024 12:37

De bank is eindverantwoordelijke want deze is verantwoordelijk voor het beleid en de handhaving hiervan. Maar ik ben bang dat dit maar het topje is. Veel processen in de informatie beveiliging, leunen op dit proces betreft log en monitoring namelijk veel processen binnen IAM en ISER,

pepsiblik @Skywalker27 • 27 juni 2024 12:43

Maar DNB geeft de vergunning af en is als toezichthouder van het bankwezen aansprakelijk. Die vergunning wordt alleen afgegeven wanneer dit soort zaken in orde zijn. Dus als het echt zo erg is als het nu klinkt, dan zou die vergunning kunnen worden ingetrokken.

Rarz @pepsiblik • 27 juni 2024 12:57

Ik verwacht dat Bunq wel onder verscherpte toezicht gaat komen met al deze meldingen.

Skywalker27 @pepsiblik • 27 juni 2024 12:50

Zeker als toezicht houder maar eind verantwoordelijk is directie van de bank die hoort zich gewoon aan wet en regelgeving te houden. Die krijgen ook de boetes/sancties om de oren als met zich niet aan o.a. de DORA houd.

pepsiblik @Skywalker27 • 27 juni 2024 12:55

Maar uiteindelijk komt de rekening bij DNB te liggen. Bankgarantie stelsel, wet op toezicht bankwezen, etc. Toen in Cyprus de Bank of Cyprus en Laiki Bank kopje onder gingen, mocht de Central Bank of Cyprus een paar miljard ophoesten aan gedupeerde klanten. En de top van beide banken is uiteindelijk niet veroordeeld. Hetzelfde gebeurde met Icesave.

Skywalker27 @pepsiblik • 27 juni 2024 12:58

Ja zo op die manier

, Maar je kan als bestuurder wel degelijk vervolgt worden maar ja in hoe verre dat gebeurd is een tweede. En wie uit eindelijk de rekening betaald het garantie stelsel is natuurlijk een potje voor dit soort uitzonderlijke gevallen om de klanten te beschermen en niet een boete systeem.

[Reactie gewijzigd door Skywalker27 op 22 juli 2024 13:55]

mmniet @GreatDictator • 27 juni 2024 11:35

dat lijkt me inderdaad logisch dat de krant dat niet doet, als dat niet veilig is krijg je nog minder van dit soort situaties in het licht gebracht.

Het is vreemd dat een bunq daar geen signalering op heeft. Los van de audit trails moet je aangeven waarom je in een dossier kijkt. Zo iets van: je wilt rekeninggegevens van x bekijken. Geef hier aan waarom je toegang nodig hebt. Geef melding nummer. Etc.

Dan is je audittrail er natuurlijk bij op de achtergrond van wat je allemaal gedaan hebt, maar belangrijker is dat je kan zien wie en waarom.

Danfoss @mmniet • 27 juni 2024 12:37

Vind het ook gek dat een 'nieuwe' bank die vanaf scratch begonnen is blijkbaar niet 'security en audit bij design' heeft toegepast. Juist als je een nieuw systeem maakt is het veel makkelijker om daar rekening mee te houden dan als je een oud systeem bank bent die nog op legacy mainframes draaien

zWouter @GreatDictator • 27 juni 2024 11:38

Ik denk dat wildhagen met 'men' Bunq bedoelt.

Als NRC niet met dit nieuws was gekomen, had Bunq immers schijnbaar van niks geweten.

phubert @zWouter • 27 juni 2024 15:04

Als NRC niet met dit nieuws was gekomen, had Bunq immers schijnbaar van niks geweten.

Eerst problemen met de veiligheid, nu met de privacy van de klanten, what's next?!

emile_dem @wildhagen • 27 juni 2024 11:51

Hoe ziet die bakierseed er dan uit in de praktijk?wanneer ben je een bankier en wanneer een backend developer? Of is dat net zoiets als een code of conduct, waar iedereen wordt geacht zich aan te houden, zonder het ooit gelezen te hebben?

Tsjilp @emile_dem • 27 juni 2024 11:57

Ik heb de bankierseed ooit moeten afleggen omdat ik developer was bij het ontwikkelen van de nieuwe app.
Even een 'ja dat beloof ik' en je kunt weer verder.

Frame164 @Tsjilp • 27 juni 2024 12:30

Als jij het daadwerkelijk slechts ziet als “even een ja dat beloof ik” dan is dat best verontrustend. Ik neem aan dat je heel goed gelezen hebt waarop je dat antwoordde en je daar ook aan houdt,

phubert @Frame164 • 27 juni 2024 15:08

Als ik het goed begrepen heb leggen bepaalde beroepen en artsen, juristen, politici, etc. ook een "eed" af. En naar mijn weten is dat wettelijk geregeld dat je je er dan aan moet houden.

Tsjilp @Frame164 • 28 juni 2024 09:27

Voor iemand die nooit toegang zal krijgen tot productiedata en zich (op dat moment) alleen bezig hield met frontend code en css, ja, dan was het even een dat beloof ik. Ik vond het de reinste onzin dat ik als frontender een bankierseed af diende te leggen.
Let wel: dit speelde toen de bankierseed net in het leven was geroepen omdat een aantal grote banken massaal gefraudeerd hadden. Dus het voelde ook als een manier voor die banken om op een makkelijke manier te laten zien: Kijk, nu zijn we wel netjes, want we hebben een eed af gelegd

[Reactie gewijzigd door Tsjilp op 22 juli 2024 13:55]

DutchAddick @emile_dem • 27 juni 2024 11:55

Je legt letterlijk een eed af, bij de financiele instelling waar ik heb gewerkt moest iedereen dit doen, van bankier tot developer.

lenwar

@emile_dem • 27 juni 2024 13:19

De modeltekst ziet er zo uit:

Ik zweer/beloof binnen de grenzen van mijn functie die ik op enig moment in de bancaire sector vervul:

dat ik mijn functie integer en zorgvuldig zal uitoefenen;
dat ik een zorgvuldige afweging maak tussen de belangen van alle partijen die bij de onderneming zijn betrokken, te weten die van de klanten, de aandeelhouders, de werknemers en de samenleving waarin de onderneming opereert;
dat ik in die afweging het belang van de klant centraal zal stellen;
dat ik mij zal gedragen naar de wetten, de reglementen en de gedragscodes die op mij van toepassing zijn;
dat ik geheim zal houden wat mij is toevertrouwd;
dat ik geen misbruik zal maken van mijn kennis;
dat ik mij open en toetsbaar zal opstellen en mijn verantwoordelijkheid voor de samenleving ken;
dat ik mij zal inspannen om het vertrouwen in de financiële sector te behouden en te bevorderen.

Met als reactie:
Zo waarlijk helpe mij god Almachtig!
Of
Dat verklaar en beloof ik!

Afhankelijk van je voorkeur.
Veelal wordt bovenstaande verhaal uitgesproken (of ingekort en verwezen naar het document waar bovenstaande staat en wat je dus ondertekend).

In een notendop: Gebruik je boerenlullenverstand en wees integer

Railgunner

@wildhagen • 27 juni 2024 11:38

Bunq heeft geen telefonische servicedesk, zoals recent aan het licht is gekomen:
nieuws: NOS en NRC: bunq-klanten vaak het slachtoffer van phishing

freaky @Railgunner • 27 juni 2024 11:50

Nope.

In mijn ervaring ook de #1 bank gebruikt door oplichters. Feit dat ze niet telefonisch bereikbaar zijn bij dubieuze transacties is ook top natuurlijk.

Zou er persoonlijk nog niet dood gevonden willen worden, maar ze hebben toch een aardige schare gebruikers.

Zebby @freaky • 27 juni 2024 12:56

Ze zijn destijds opgekomen als "hippe" bank, digitaal, tof!

En nu blijkt dus dat ze het totaal niet op orde hebben, en dat terwijl de eisen toch enorm streng zijn in de financiële sector. Hoe kunnen ze geen logging hebben? Ze moeten toch wel PCI-DSS gecertificeerd zijn lijkt me...

En als je eenmaal bij een bank zit, ga je niet zo snel weg. Ik zit ook al sinds jongs af aan bij de Postbank (ING). Niet mijn favoriete bank, maar ja.

Hieronymuski @Zebby • 27 juni 2024 16:06

En als je eenmaal bij een bank zit, ga je niet zo snel weg.

Waarom niet? Tenzij je gebonden bent door een hypotheek, is overstappen tch echt een fluitje van een cent.

tormentor1985 @Zebby • 27 juni 2024 17:12

Als ik naar de prijs van zo'n hippe digitale bank kijk, ben ik er al snel klaar mee. Ze bieden niets wat de hoge prijs van een betaalrekening rechtvaardigt.

Het feit dat kennelijk iedere medewerker ook nog eens volledige toegang heeft tot de productiedatabases, er geen goede auditlogs zijn om te zien welke data een werknemer heeft ingezien en waarom (aanname, gezien medewerkers er mee weg komen), ze niets doen om phishing en oplichting te voorkomen en, als daar verwijtbaar sprake van is, er geen of onvoldoende compensatie is, doet mijn vertrouwen helemaal naar de bodem zinken.

[Reactie gewijzigd door tormentor1985 op 22 juli 2024 13:55]

moepie @freaky • 27 juni 2024 12:30

Gebruikers die ook regelmatig dood gevonden worden vlak nadat er tonnen aan dubieuze transacties plaatsvonden op hun onlangs geopende bunq rekening.

Ik heb sterk het gevoel dat er een criminele oplichters bende actief is die bejaarden pig butchered mbv bunq bank. Die daarbij zover durft te gaan dat ze zelfs mensen langsstuurt om te ‘helpen’.

[Reactie gewijzigd door moepie op 22 juli 2024 13:55]

bzuidgeest @Railgunner • 27 juni 2024 11:56

Alles gaat via de app, ze maken op allerlei manier duidelijk dat je nooit gebeld word. Dus elk belletje is een oplichter. Het kan niet makkelijker eigenlijk om het onderscheid te maken.

Er is een noodnummer voor als je verdachte dingen ziet. Dat blokkeert alles, maar dan is het vaak al te laat.

Ik zeg niet dat bunq niet aan zijn interne zaken moet werken, maar je kan niet zeggen dat er geen servicedesk is. De contactpagina is duidelijk genoeg, via de app, via email of via de hotline.

fenrirs @bzuidgeest • 27 juni 2024 14:15

Ben er gillend weggerend
Zelfs N26 heeft het beter voor elkaar

bzuidgeest @fenrirs • 27 juni 2024 16:22

Nog nooit van N26 gehoord. Gebruik bunq zelf voor lage bedragen, een hobbyrekening, dan hoef ik mijn echte rekeningen niet toegankelijk te maken op mijn mobiel. Werkt prima, 0 issues. Elke maand een beetje bijvullen via ideal

[Reactie gewijzigd door bzuidgeest op 22 juli 2024 13:55]

fenrirs @bzuidgeest • 28 juni 2024 07:27

Bunq kost geld, voor de hobby zou ik kijken baar N26, Revolut of Openbank.

Enige waar ik bij N26 tegen aan liep was een sepa betaling uit de VS, dat wilde maar niet lukken, maar ook dat is inmiddels opgelost (kan ook aan de VS kant hebben gelegen, die leven nog in het stenen tijdperk met hun bank systeem. Ik kreeg zelfs een cheque toegestuurd ondanks alle sepa info, terwijl je die al sinds 2018 niet meer in NL kan innen (ING adviseerde zelfs een België route)

bzuidgeest @fenrirs • 28 juni 2024 09:42

Als je denkt dat er banken zijn die je niets kosten dan ben je naïef. Er zijn op zijn hoogst geen direct zichtbare kosten.

Ik bekijk die anderen vast wel een keertje, maar zo veel kost bunq mij ook niet, ik gebruik het minste van het minste. Heb er niet eens een pas bij. Allemaal ideal transacties, paypal afschrijving en abbo's. Die rekening is een prima buffer die ik niet zomaar weer opnieuw inricht, vooral voor de abbo's is dat een gedoe.

fenrirs @bzuidgeest • 28 juni 2024 12:06

Naief? naar mijn weten kost de Easy Bank optie 3,99 per maand, 47,88 per jaar . Easy Savings is dan 'gratis' (net zo 'gratis' als de N26 optie, met 'gratis' inzage door werknemers).

Uit contact met de N26 helpdesk weet ik dat ze eerst toestemming vragen of ze je transacties mogen bekijken, dat wordt dus netjes gelogged.

Tintel

Privacy

@wildhagen • 27 juni 2024 11:59

Maar de reactie van Bunq en wat nu in dit artikel staat is helemaal verontrustend. Straks is het dus "Foei, stoute medewerkers" en door....

Want dat die medewerkers iets deden wat niet mocht is wel correct maar het is de bank die echt fout zit.

Zerotrust => zeroacceptance => einde Bunq.

Vaevictis_ @Tintel • 27 juni 2024 12:23

Ik hoop dat klanten gaan stemmen met de voeten dit is nooit acceptabel.

SunnieNL

@wildhagen • 27 juni 2024 11:55

Zoals ik het artikel lees kan het zijn dat:
- er geen audit systeem is dit dit opslaat
- het audit systeem er wel is maar er niets met de data gedaan wordt

Ook het stuk:

Later dat jaar klaagden werknemers echter dat ze bepaalde rekeningen niet konden bekijken, waarna het systeem weer werd afgeschaald.

Dat is natuurlijk de omgekeerde wereld. Die werknemers hadden daarop toegang moeten vragen met de reden en daarop moet iemand besluiten dat die toegang gerechtvaardigd is.
Of er had een andere RBAC rol moeten worden gemaakt met iets meer rechten, waarbij het audit platform deze personen ook weer meer in de gaten houdt.
Het afschalen van de security is een mogelijkheid, maar die zou nooit gekozen mogen worden.

Als ik het zo lees kan de Bunq bank nooit voldoen aan allerlei regels die wel worden gesteld in NIS2, DORA en al bestaande regels waar banken aan moeten voldoen. In het geval van NIS2 en DORA, zogauw deze actief worden kan dat inhouden dat gewoon de licentie wordt ingetrokken als ze dit niet gaan aanpakken.

[Reactie gewijzigd door SunnieNL op 22 juli 2024 13:55]

Minimise @SunnieNL • 27 juni 2024 15:48

NIS2 en DORA zijn zulke slappe regels dat een beetje IT-bedrijf zoals bunq er wel makkelijk omheen kan lullen!

SunnieNL

@Minimise • 27 juni 2024 18:12

Dat betwijfel ik en zeker als dit soort berichtgeving in het nieuws komt.
Dan is het aan Bunq om te bewijzen dat ze dit niet hadden kunnen voorkomen en er alles aan gedaan hebben om zaken goed te regelen.

Minimise @SunnieNL • 27 juni 2024 21:41

Kijk eens voor voor mooi lul verhaal ik heb verzonnen voor bunq 😛

DORA:

Risicogebaseerde aanpak (Art. 6):
Bunq zou kunnen stellen dat ze een bewuste afweging hebben gemaakt tussen klantenservice en privacy, waarbij ze concludeerden dat brede toegang tot klantgegevens noodzakelijk was voor efficiënte dienstverlening. Ze zouden kunnen aanvoeren dat dit past binnen een risicogebaseerde benadering zoals vereist door DORA.
Incidentrapportage (Art. 19):
Ze zouden kunnen beweren dat er geen significante incidenten zijn geweest die rapportage vereisen onder DORA. Als er wel incidenten waren, zouden ze kunnen stellen dat deze intern zijn afgehandeld zonder meldingsplicht.
ICT-risicobeheer (Art. 6-15):
Bunq zou kunnen aanvoeren dat ze controlemechanismen hebben ingesteld, zoals de bankierseed en interne gedragscodes, die voldoen aan de vereisten voor ICT-risicobeheer onder DORA.
Toegangscontrole (Art. 9):
Ze zouden kunnen stellen dat hun systeem voor brede toegang tot klantgegevens voldoet aan de vereisten voor toegangscontrole, omdat er procedures zijn voor het toekennen en intrekken van rechten.
Operationele veerkracht (Art. 11):
Bunq zou kunnen beargumenteren dat hun aanpak bijdraagt aan een flexibelere en veerkrachtigere organisatie, in lijn met de doelstellingen van DORA.
ICT-beveiligingsbewustzijn (Art. 13):
Ze zouden kunnen wijzen op trainingen en bewustmakingsprogramma's voor personeel over ICT-beveiliging.

NIS2:

Risicogebaseerde aanpak (Artikel 21):
Bunq zou kunnen stellen dat hun brede toegang tot klantgegevens past binnen een risicogebaseerde benadering zoals vereist door NIS2. Ze zouden kunnen aanvoeren dat ze een bewuste afweging hebben gemaakt tussen klantenservice en privacy, waarbij ze concludeerden dat brede toegang noodzakelijk was voor efficiënte dienstverlening.
Interne governance (Artikel 20):
Bunq zou kunnen beweren dat hun management de cybersecurity risicobeheermaatregelen heeft goedgekeurd en toezicht houdt op de implementatie ervan, zoals vereist door NIS2.
Cybersecurity risicobeheermaatregelen (Artikel 21):
Ze zouden kunnen aanvoeren dat ze passende technische, operationele en organisatorische maatregelen hebben genomen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheren. Dit zou kunnen omvatten toegangscontrolebeleid en procedures voor het toekennen en intrekken van toegangsrechten.
Rapportage van incidenten (Artikel 23):
Bunq zou kunnen stellen dat ze procedures hebben voor het melden van significante incidenten aan de bevoegde autoriteiten, zoals vereist door NIS2.
Training en bewustwording (Artikel 20(2)):
Ze zouden kunnen wijzen op eventuele cybersecurity trainingen en bewustmakingsprogramma's voor hun personeel.
Supply chain security (Artikel 21(2)(d)):
Bunq zou kunnen beargumenteren dat ze de veiligheid van hun toeleveringsketen beheren, inclusief beveiligingsaspecten met betrekking tot de relaties tussen de entiteit en zijn leveranciers.

[Reactie gewijzigd door Minimise op 22 juli 2024 13:55]

SunnieNL

@Minimise • 27 juni 2024 23:37

Leuk, maar je vergeet even dat dora en nis2 ook vereisen dat je technische pen test laat uitvoeren en dat je continue het technisch deel checked. Tevens vereist het dat je de risico afweging onderbouwt. Uit bovenstaande blijkt dat ze geen passende maatregelen genomen hebben en dat ze in plaats van het toekennen van rechten juist de beveiliging hebben afgezwakt.
Er staan harde eisen van tests in dora. Tevens kloppen de procedures niet omdat ze een meldplicht hebben bij incidenten, hoe klein ook (al bij een vermoeden) en dat hebben ze hier duidelijk ook niet gedaan.

Nis2 en dora gaan niet alleen om procedures. Iets wat veel mensen over het hoofd zien.

Minimise @SunnieNL • 28 juni 2024 01:00

NIS2 en DORA bieden ruimte voor interpretatie. Bunq zou kunnen betogen dat hun typische bunq aanpak, hoewel onconventioneel, wel degelijk gebaseerd was op een grondige risicobeoordeling en binnen de kaders van de wetgeving viel.

Bunq zou kunnen aantonen dat ze regelmatig penetratietests en veiligheidsaudits uitvoeren, zelfs als de resultaten niet optimaal waren. Dit toont aan dat ze wel degelijk technische controles uitvoeren.

Het systeem voor brede toegang zou kunnen worden gezien als deel van een uitgebreid monitoringsysteem, wat vereist is onder beide regelgevingen.

Bunq zou kunnen argumenteren dat ze een grondige risico-afweging hebben gemaakt en gedocumenteerd, waarbij ze tot de conclusie kwamen dat brede toegang noodzakelijk was voor effectieve dienstverlening en fraudebestrijding.

Ze zouden kunnen stellen dat interne toegang niet als een "incident" wordt beschouwd volgens hun interpretatie van de wetgeving, en daarom niet meldingsplichtig was.

Bunq zou kunnen betogen dat hun benadering, hoewel controversieel, gebaseerd is op een grondige risico-analyse en past binnen de risico-gebaseerde aanpak die beide regelgevingen voorschrijven.

Ze zouden kunnen wijzen op hun bereidheid om hun systemen en processen continu te verbeteren, in lijn met de vereisten van beide regelgevingen.

Bunq zou kunnen argumenteren dat hun aanpak een zorgvuldige afweging is tussen strikte beveiliging en de noodzaak voor flexibiliteit in klantenservice en fraudebestrijding.

[Reactie gewijzigd door Minimise op 22 juli 2024 13:55]

sys64738 Moderator F&V @wildhagen • 27 juni 2024 11:55

Gezien het feit dat ze aan de krant gaan vragen om welke (ex-)medewerker het gaat, verwacht ik dat ze dit zelf niet of slecht kunnen controleren. Oftewel: ze hebben een audit systeem dat rijkelijk tekort schiet of misschien wel helemaal niet aanwezig is.

Om hun werk goed te moeten doen, hebben sommige mensen toegang nodig tot dit soort gegevens. Daar ontkom je niet aan. Maar iedereen snapt toch dat er een controle-systeem moet zijn dat in de gaten houdt wie wat bekijkt.

Ik zou als klant direct mijn biezen pakken en gaan bankieren bij een bank die deze zaken wel goed op orde heeft.

dotnoting @wildhagen • 27 juni 2024 11:57

Iets met AVG of zo...

Blokker_1999

Privacy

@wildhagen • 27 juni 2024 11:50

Maar maak eens de corrolatie tussen die logs en het zonder toestemming bekijken. Dat is enorm moeilijk. Want bankiers moeten wel aan die data kunnen wanneer ze bijv. in gesprek zijn met de klant waarbij die klant hen net vragen stelt over zijn/haar rekeningen.

En dan kan je wel zeggen: het moet matchen met ... maar ik bel wel eens met een ander telefoonnummer. Of wat als die persoon beweert 8 maanden terug toen het plaats heeft gevonden op zijn GSM gebeld te zijn geweest?

Wat zou kunnen helpen is dat je als bank inzichtelijk maakt wie wanneer je rekening informatie bekijkt. Dan moet je als klant zelf nog wel altijd actie ondernemen, maar het is een eerste stap in de goede richting.

SunnieNL

@Blokker_1999 • 27 juni 2024 12:00

De correlatie is toch niet zo moeilijk te maken.
Als ik de bank spreek wordt dit ook gelogd. Als ik een afspraak maak wordt dit gelogd. Dan is de 1-op-1 relatie niet zo moeilijk te maken.

Dit is ook niet anders dan de systemen die bij de politie aktief zijn, waar ze een soortgelijke audit hebben meelopen in de systemen. En andere banken hebben blijkbaar wel een goed werkend systeem.

sys64738 Moderator F&V @Blokker_1999 • 27 juni 2024 12:56

Ten eerste, ongeacht met welke telefoon je belt, wordt er op zo'n moment een klant-contact event geregistreerd. Dus ze kunnen altijd inzien wie wanneer gebeld heeft en waarvoor. En waarom zou iemand je op je GSM bellen? Je belt toch gewoon de helpdesk van de bank en niet direct een medewerker. En mocht dat op de een of andere manier wel gebeuren dan verwijst die je hopelijk direct door naar de helpdesk.

Inzichtelijk maken wie bij je rekening kan of is geweest, lijkt me een vrij groot privacy- en beveiligingsrisico. De bank moet gewoon garanderen dat jouw info veilig is en dat zij controleren dat je data alleen bekeken wordt wanneer dit strikt noodzakelijk is voor de bedrijfsvoering.

bzuidgeest @wildhagen • 27 juni 2024 12:09

Het zou mij niet verbazen als het stilletje overal voorkomt. Wie controleert er nou? Word intern afgehandeld, anders slechte publiciteit.
De bankierseed heb ik 0 vertrouwen in, het hele doen van de bankieren lijkt vaak weinig met moreel gedrag te maken te hebben.
Het meeste personeel zal gewoon netjes zijn werk doem, maar gluiperds heb je overal.

cariolive23 @wildhagen • 27 juni 2024 13:40

We precies wie er fout zit : Bunq.

Fundamentele fout van Bunq, waar hun personeel vervolgens gebruik en misbruik van maakt.

Jerie

27 juni 2024 17:07

Dit krijgt nog een staartje.

Quotes uit NOS artikel van vandaag:

Tuchtrecht Banken wil opheldering van Bunq over gluren naar rekeningen.

Medewerkers van Bunq hebben mogelijk de bankierseed geschonden door stiekem mee te kijken met bankrekeningen. Dat oordeelt Tuchtrecht Banken, die kijkt of bankiers zich aan de regels houden, op basis van een artikel van NRC. De krant heeft vier medewerkers van de bank gesproken die zeggen dat ze onder meer om privé-redenen meekeken met andermans bankverkeer en dat er geen alarmbellen afgingen.

Ook de Autoriteit Persoonsgegevens gaat naar aanleiding van het artikel contact opnemen met de bank en noemt de beschuldigingen zorgwekkend.

Demissionair minister Van Weyenberg noemt de berichtgeving zorgelijk. Hij gaat ervan uit dat Bunq de beschuldigingen tot op de bodem uitzoekt.

[...]

Tuchtrecht Banken zegt dat ze geen meldingen heeft ontvangen van Bunq. [...]

De tuchtcommissie zegt dat het gebruikelijk is dat banken een melding maken als ze zien dat medewerkers mee hebben gekeken op een rekening. De afgelopen jaren is dat tientallen keren gebeurd, altijd door de grote banken.

De Autoriteit Persoonsgegevens laat weten dat Bunq eerder deze week een melding heeft gedaan over een potentieel datalek.

Ik ben klant bij bunq, en verbazen doet dit mij niet. Het is een bank die voor de support een blik studenten opentrekt, en die allang bezig was met Web 2.0 toen de rest van de banken dat nog niet deden. Maar daarentegen iets als een offline MFA doen ze niet aan.

Ik zou graag willen switchen maar ken geen bank die voor een schappelijke prijs een debit card en dergelijk mooie rente aanbiedt als bunq.

joco @Jerie • 27 juni 2024 17:42

N26 gratis account: 2.8% of met Metal account: 4.0%

Jerie

@joco • 27 juni 2024 18:19

Is niet vergelijkbaar.

N26 en Revolut doen aan tracking.

bunq biedt voor 10 EUR per maand dual PIN, debit card (fysiek), variabele CVC, leuke rente (vooral in GBP/USD), en zero FX in allerlei vreemde valuta.

N26 metal kost 17 EUR, is geen NL IBAN, Tikkie/iDEAL werkt sinds kort wel, en ze doen aan cryptocurrency onzin. Voor mij hoeft dat niet. Bij bunq kun je instellen waar ze wel of niet in mogen investeren met jouw spaargeld. Dat vind ik netjes.

[Reactie gewijzigd door Jerie op 22 juli 2024 13:55]

Evert de Wit @Jerie • 27 juni 2024 20:06

Waar doel je op met N26 doet aan tracking?

joco @Jerie • 28 juni 2024 13:28

hoe zijn die niet vergelijkbaar?
wat is tracking?

ja Bunq heeft wat features die N26 niet heeft (en ik denk visa versa)

Rente is gewoon beter bij N26 op dit moment (gratis account is al 2.8, metal 4)
Met rente in USD or GBP heb ik ook nog koerswisselingen (kan voordeel zijn maar ook nadeel dat je rente al weg is). (ik neem even aan dat je echt je euro's in wisselt voor USD)

Geen NL IBAN is geen probleem, ik heb all mijn incasso's over kunnen zetten naar mijn joint account mijn mijn vriendin.

Ideal werkt ja, wat ik meer irritant vind is dat het niet werkt op de Tablet omdat je maar 1 device als active kunt hebben (dus op mijn tablet snel wat bestellen met ideal is niet handig moet ik de telefoon er bij pakken...)

Fidesnl @joco • 27 juni 2024 18:12

N26 heb ik ook, maar is het daar beter?

Lisadr @Jerie • 27 juni 2024 17:39

Ken iemand die een opdracht kreeg bij Bunq voor informatiebeveiliging / data bescherming en de opdracht heel snel teruggaf. Hij schrok van hoe slecht e.e.a. was geregeld en wilde zijn carrière en reputatie niet op het spel zetten.

Bunq heeft sinds kort een vacature voor een Information Security Manager om de problemen op te lossen.

crichton @Jerie • 27 juni 2024 19:31

Ik zou graag willen switchen maar ken geen bank die voor een schappelijke prijs een debit card en dergelijk mooie rente aanbiedt als bunq.

Dan is misschien N26 wat voor je. De prijs voor een Mastercard debitcard bedraagt 0 euro, best schappelijk dus. De rente op hun spaarrekening (die sinds kort mogelijk is) bedraagt
2,8%, hoger dus dan die 2,46 bij bunq. Je krijgt wel een Duitse IBAN. Op zich geen probleem, echter sommige bedrijven en instellingen doen aan IBAN discriminatie, ook al is dat in de EU niet toegestaan. En bijv. ING vertraagt overschrijvingen naar EU rekening houders nog steeds met minimaal 1 werkdag (lees rente trekken) zolang dat nog mag.

CaptainKansloos @Jerie • 27 juni 2024 20:06

Ik zou graag willen switchen maar ken geen bank die voor een schappelijke prijs een debit card en dergelijk mooie rente aanbiedt als bunq.

Enerzijds denk ik: 'If you pay peanuts, you get monkeys'. Anderzijds; ik durf wel de voorzichtige aanname te doen dat het bij sommige andere banken ook hier en daar doorheen glipt. Ja, traditioneel zitten die erg op security, maar ik kan me niet geheel aan de indruk onttrekken dat dat ook een beetje 'smoke and mirrors' is. Toegegeven, dat is vooral gebaseerd op onderbuik gevoel en een klein beetje op N=1 ervaring.

Bij een grote NL bank heb ik een dik jaar geleden een aparte betaalrekening voor mijn formeel volwassen maar onder curatele (van zijn eigen ouders) staande zoon geopend. Daar moest ik de curatele formulieren van de rechtbank naar een 'algemene mailbox' sturen. "Want daar gaan we echt zorgvuldig mee om".

Maar goed, het gaat wellicht te ver om er een 'het is overal wel wat' statement van te maken. Waar rook is is vuur en Bunq ligt vooral _onder vuur_ de laatste paar weken.

mmniet 27 juni 2024 11:20

Bij een bank verwacht je security by design en het zero-trust principe. Dat is het blijkbaar in zijn geheel niet en geeft Bunq ook toe, want we vertrouwen immers ons personeel dat ze er goed mee om gaan. Als er een entiteit binnen je bedrijf niet kunt vertrouwen dan zijn het je mensen (ja, ik weet het, maar is wel zo. de mens is nu eenmaal de zwakke schakel).

Pinkys Brain @mmniet • 27 juni 2024 11:57

Moet de directeur dan elk telefoontje afhandelen? Laag ingeschaald personeel wat met klanten werkt heeft al snel toegang nodig voor hun werk. Meer een kwestie van loggen, toelichting, automatische detectie en controle.

Frame164 @Pinkys Brain • 27 juni 2024 12:37

Ik denk niet dat je begrijpt wat security by design en zero trust is.

Orac @Pinkys Brain • 27 juni 2024 12:45

Alsof een directeur meer betrouwbaar zou zijn...

JBVisual @mmniet • 27 juni 2024 11:35

Ik heb ooit bij SNS gewerkt.
Waarbij ik ook door mijn functie, technisch gezien toegang zou kunnen hebben tot rekeningen.

Uiteraard bij de klant "TEST ACCOUNT" kunnen zien hoe deze beveiliging op de achtergrond plaats vind.
Bij het aanklikken van de rekening, kreeg ik als IT'er het bericht dat het openen van de klantkaart dat ik niet door mocht gaan ivm mijn functie.
Ik had zoals gezegd wel bovenliggende rechten om toch door te zetten, daarvoor moest ik maar vensters aanklikken waarbij ik allemaal waarschuwingen moest accepteren.
Daarbij kreeg mijn dienstdoende leidinggevende een bericht die deze moest accorderen.

Voor normale medewerkers die wel veel met klantgegevens moesten werken, kregen deze vensters uiteraard niet. Maar er waren genoeg veiligheidsmaatregelen om te zorgen dat je niet zomaar de verkeerde klantkaart kon openen, En werd dus ook uitgebreid gelogd wat iedereen deed of inzag.
Mocht een medewerker bijvoorbeeld dezelfde klantkaart meerdere keren openen binnen xx tijd, dan markeerde het systeem dit gedrag.

daarnaast was er destijds ook een beleid waarop je indien je bekenden aan de telefoon/balie kreeg, je moest proberen dit aan een collega over te laten. Om zo eventuele vraagstellingen te voorkomen, mocht je toch een bekende helpen dan moest je dit zelf pro-actief doorgeven aan een leidinggevende om aan te geven.

De controle daar was gewoon goed ingericht en gemotiveerd richting medewerkers.
Ook zijn waren ze ook echt wel zo realistisch dat er soms fouten gemaakt worden en dat je soms ook gewoon bekenden zou helpen. Maar zolang je iedereen hier open over communiceerde en er geen patroon in beeld kwam, werd hier ook goed mee om gegaan door de afdelingen die verantwoordelijk waren voor de controles.

Eusebius @mmniet • 27 juni 2024 11:31

Het bedrijf kan nog zo goed zijn, het hoeft ook maar 1 keer fout te gaan. Een geïnfiltreerde crimineel die gevoelige data steelt en iemand kan afpersen wat weer grote gevolgen heeft.

PatrickH89 @Eusebius • 27 juni 2024 11:36

Wat natuurlijk geen reden is om zoals Bunq gewoon lekker veel mensen toegang te geven en niet te loggen (anders hadden ze het NRC niet hoeven vragen welke medewerkers dit waren).

moimeme @PatrickH89 • 27 juni 2024 18:12

Zij loggen het wel maar doen daarna niets mee.

WhatsappHack

Bunq
Privacy

@moimeme • 28 juni 2024 20:56

Wel gek dan dat ze het loggen, maar niet kunnen achterhalen wie het dan waren.

CivLord

@WhatsappHack • 1 juli 2024 08:26

@PatrickH89
Er zal wel gelogt worden welke werknemers welke rekeningen bekijken. Daarmee heb je dus voor elke medewerker een hele lijst met rekeningnummers die zijn ingekeken hebben en/ of voor elk rekeningnummer een lijst (hopelijk een korte lijst met in de meeste gevallen 0 entries) met medewerkers die dat rekeningnummer hebben ingekeken.
Voor veel medewerkers is het echter onderdeel van hun werk om rekeningen in te kijken (zoals bunq zelf zegt, o.a. om problemen op te lossen). Met puur de mededeling van NRC dat vier medewerkers ten onrechte bepaalde rekeningnummers hebben bekeken, kan bunq dus niets. De logs zeggen alleen welke medewerker welk rekeningnummer heeft ingezien, niet of dat terecht of onterecht was.

Bunq zou een soort systeem moeten hebben waarin de vragen/ problemen van rekeninghouders geregistreerd worden (alles komt via een chat-systeem in de app en de website binnen, dus dat deel bestaan al) en van waaruit elke raadpleging van een rekeningnummer moet plaatsvinden en wordt geregistreerd. Dan kan altijd gekeken worden vanuit welke support-ticket een bepaald rekeningnummer is geraadpleegd. Het systeem kan dan zelf al restrictief worden ingesteld dat vanuit een support-ticket die in de app van J. Janssen is aangemaakt enkel de aan die app gekoppelde rekeningnummers bekeken kan worden. Misschien zijn er support-cases waarin dat te restrictief is, maar dan moet er onmiddelijk een signaaltje gaan naar de manager van de medewerker om uit te laten legen waarop ook de rekening van P. Puk is bekeken.

moimeme @CivLord • 1 juli 2024 15:56

Ik heb bij een marktonderzoekburo gewerkte waar de afdelingshoofd van de helpdesk van de respondentpanel (kostbaar bezit voor het bedrijf) iedereen maand een uitdraai krijgt van het aantal aanvraag per werknemer en het afdelinggemiddeld.
Aanvragen over panelleden die niet waren uitgenodigde voor een onderzoek deze maand stonden apart vermelde (kan gebeurt maar sporadische).
Aanvragen konden alleen via een portaal om graaien tegen te gaan.
En dat helemaal geautomatiseerde.
Bij Bunq was het misbruik zo bekende dat sommige werknemers wouden geen bunqrekening om te voorkomen dat collega's te veel over hun privéleven wisten.

CivLord

@moimeme • 2 juli 2024 07:17

Dat is inderdaad zoal het zou moeten werken.

Ik heb het idee dat er in de top van bunq een soort autisme heerst waarbij er van uit wordt gegaan dat wanneer je de kat op het spek bindt maar de kat vertelt dat hij daar van af moet blijven, de kat op magische wijze vegetariër wordt. (Net zoals dat ze klanten volledig de schuld geven van banken-helpdeskfraude, terwijl de praktijk uitwijst dat mensen uit alle lagen van de bevolking en van alle opleidingsniveau's daar bevattelijk voor zijn en vrijwel alle andere banken daar ook veiligheidsmaatregelen tegen getroffen hebben.)

Het zit in de aard van de mens om nieuwsgierig te zijn en om zwak te zijn. De meeste mensen kunnen dat in de meeste omstandigheden redelijk in bedwang houden, maar vrijwel iedereen heeft van tijd tot tijd toch even wat hulp nodig om niet over de grens te kijken.
Denken dat enkel het instellen van regels alle problemen oplost, zonder deze regels te controleren en zonder overtreding van de regels te bestraffen is erg naïef.

Frame164 @Eusebius • 27 juni 2024 12:37

En in een goed bedrijf wordt dat gedetecteerd en gerepareerd.

jongetje

@mmniet • 27 juni 2024 11:49

Precies, kun je allemaal wel leuk een bankierseed gaan lopen zweren en er dan vervolgens niet mee doen...

Los van die eed, zijn die mensen niet integer.

AibohphobiA BoB

@jongetje • 27 juni 2024 13:57

Zoals in het stuk van NRC staat, werd de eed vaak pas na maanden afgenomen.
Het klopt misschien dat de medewerkers soms niet integer zijn, maar daarom zijn er systemen die dat afdwingen.
Een gebrek daaraan is de kat op het spek binden.

jongetje

@AibohphobiA BoB • 27 juni 2024 18:41

De eed is niet eens nodig want dit zou al in de arbeidsovereenkomst moeten staan. Daarnaast heb je toch ook gewoon integriteit. Tenminste, ik wel...

AibohphobiA BoB

@jongetje • 27 juni 2024 23:21

Zo'n eed is dan ook niet gemaakt voor de meeste werknemers maar voor de uitzonderingen.

Strebor

27 juni 2024 11:21

Absurd dat dit soort acties niet gelogd worden en dat de logs geanalyseerd worden

harry899 @Strebor • 27 juni 2024 11:29

Ik lees nergens dat er niks gelogd of geanalyseerd wordt

Vervolg actie komt er in elk geval niet uit

thomas_n @harry899 • 27 juni 2024 11:36

Als ze niet naar de logs kijken, dan kunnen de logs er net zo goed niet zijn. Uit het NRC-artikel:

Het probleem: bunq lijkt niet te willen weten of zijn werknemers de toegang misbruiken. De bank controleert dit niet actief en heeft volgens een woordvoerder van de Stichting Tuchtrecht Banken nog nooit een medewerker voor rekeninggluren voor de tuchtrechter gedaagd.

Dat, en het verzoek van Bunq aan NRC om bronnen prijs te geven (namen die ze kennelijk niet zelf uit hun logs kunnen achterhalen) doet vermoeden dat als er al een logsysteem is, het volstrekt inadequaat is.

Het wordt volgens mij echt tijd voor Bunq om naar een andere CEO op zoek te gaan. Ali Niknam laat hier opnieuw zien niet geschikt te zijn voor dit werk.

Uit gesprekken met vijftien (ex-)werknemers, interne documenten en interne discussies op Slack blijkt dat waarschuwingen hierover genegeerd of verworpen werden door oprichter en ceo Ali Niknam.

Cergorach @thomas_n • 27 juni 2024 12:22

Dat, en het verzoek van Bunq aan NRC om bronnen prijs te geven...

Dat is natuurlijk veel makkelijker en definitiever dan zelf gaan spitten in log files.

...(namen die ze kennelijk niet zelf uit hun logs kunnen achterhalen) doet vermoeden dat als er al een logsysteem is, het volstrekt inadequaat is.

Vaak is het issue niet dat er geen logs zijn, maar dat ze of te kort worden bewaard en/of er heel veel gelogd wordt en er geen fatsoenlijke manier is om deze logs door te spitten. Dat laatste kan een software issue zijn, maar net zo vaak is het personeel dat niet goed genoeg kan werken. Iets als Splunk is echt een super tof product! Maar als je het niet goed inricht en hele goede Splunk specialisten hebt die bouwen wat jij nodig hebt als organisatie is het gewoon vrij flut. Een beetje een formule 1 wagen aanschaffen waarmee de stagiair boodschappen gaat doen...

Vergeet daarnaast ook niet dat banken achter bepaalde wetgeving moeten aanlopen die enorme capaciteit kan eisen qua personeel, het hele 'Know Your Customer' (KYC) is daar een voorbeeld van en daar zijn heel veel banken flink op de vingers voor getikt (en zelfs beboet) omdat het niet adequaat was. Het is dus niet alsof men een banklicentie krijgt en lekker mag gaan doen wat men zelf wil, zo een bank moet flink meewaaien met de politiek en de externe ontwikkelingen. En zeker de kleinere banken hebben daar flink moeite mee omdat ze niet zelfstandig de (financiële) capaciteit hebben hebben om even 180 graden te draaien. Dat maakt het voor de klant natuurlijk niet verdedigbaar, maar verklaard wel waarom dingen zo werken.

cariolive23 @Cergorach • 27 juni 2024 13:45

Splunk werkt hier niet, dan heeft het lek al plaatsgevonden. Wat je wel en niet kan opzoeken in de banksystemen is normaal afhankelijk van jouw rol. Wat je volgens wel of niet te zien krijgt, is ook afhankelijk van je rol. Dit is bij Bunq niet gedaan, iedereen mag alles.

Geen verrassing overigens

pepsiblik @Strebor • 27 juni 2024 11:32

Dit dus! Dit is een enorm falen van Internal Compliance. Als DNB zijnde zou ik nog eens goed overwegen of je die bankvergunning nog wel kunt verantwoorden.

Frame164 @pepsiblik • 27 juni 2024 12:40

Het probleem is dat bunq al miljoenen klanten heeft. Een vergunning intrekken heeft dan verregaande economische gevolgen.

cariolive23 @Frame164 • 27 juni 2024 13:48

Die kun je overhevelen naar een andere bank. Je zou ook de directie kunnen ontslaan en een beroepsverbod kunnen opleggen, kunnen anderen het bestuur overnemen

pepsiblik @Frame164 • 27 juni 2024 12:49

Je mag hopen dat DNB zijn lesje geleerd heeft de afgelopen decennia, na debacles als DSB en SNS/Reaal.

luckylucas @Strebor • 27 juni 2024 11:25

ja hellmaal eens ik had een oud tante die een phishing bericht kreeg van bunq dit is best wel stom dit kan het zijn dat er een rechtzaak komt ?

neonite @Strebor • 27 juni 2024 12:52

Dit soort acties worden wel gelogd, maar de logs niet geanalyseerd

mrtl 27 juni 2024 11:31

Als ik een misdaad zie en niet aangeef bij de politie dan ben ik strafbaar. NRC zou hier niet mee weg moeten komen - noem de namen van medewerkers.

kamerplant @mrtl • 27 juni 2024 11:32

Vind je dat serieus? 😦 Zonder bronbescherming ís onderzoeksjournalistiek echt onmogelijk!

Mark_88 @mrtl • 27 juni 2024 11:38

Journalisten genieten een mate van wettelijke bronbescherming: https://www.nvj.nl/themas...svrijheid/bronbescherming

Ik betwijfel dat het sop de kool hier waard is als je vervolging van die medewerkers afweegt tegen het chilling effect dat dat zou hebben met betrekking tot de welwillendheid van toekomstige bronnen om hun informatie te delen met de NRC.

Finraziel

@mrtl • 27 juni 2024 11:44

Onzin.
Bovendien heeft NRC de misdaad niet gezien, het is hun verteld.
En natuurlijk dat journalisten ook al een aparte status hebben zoals anderen ook al zeggen.

goudvisblub @mrtl • 27 juni 2024 11:52

Ongelofelijk dat je denkt dat dit zo werkt, hoe zou een journalist anders te werk moeten gaan? Zonder anonieme bronnen die goed beschermd worden, zouden er nog bijzonder weinig van dit soort wantoestanden aan het licht komen. Wees blij dat er persvrijheid is.

zomaar0iemand @mrtl • 27 juni 2024 11:53

https://www.nvj.nl/themas...svrijheid/bronbescherming

Gelukkig is bronbescherming wettelijk geregeld.

gimbal @mrtl • 27 juni 2024 11:41

Nee dat is de wereld andersom. Als de politie die gevoelige informatie wil verkrijgen dan moet dat netjes via een gerechtelijk bevel.

Exitium @mrtl • 27 juni 2024 11:54

Dat hangt er vanaf om wat voor misdrijf het gaat. Als je getuige bent van een ernstig misdrijf, zoals moord of verkrachting, ben je verplicht om aangifte te doen, maar bij het overgrote deel van de misdrijven is die verplichting er niet. Je bent wel bevoegd om aangifte te doen in zo'n geval.

Polderviking

@mrtl • 27 juni 2024 12:45

Als je nooit meer een klokkenluider wil hebben moet je dat vooral doen...
Ze genieten om een reden bronbescherming.

DigitalExorcist 27 juni 2024 11:22

Dat krijg je, als je dit soort experimentele hobbyclubjes met geld om laat gaan. Bunq is toch ook geen echte bánk, laten we eerlijk zijn.

Den the Man @DigitalExorcist • 27 juni 2024 11:32

Weet je dat zeker dat Bunq geen bank is?
Ik zie bij de DNB dat ze gewoon bank mogen spelen:https://www.dnb.nl/openba...DG&relationNumber=R127999

ISaFeeliN @Den the Man • 27 juni 2024 11:36

Precies, spelen ja.

DeCo @ISaFeeliN • 27 juni 2024 11:57

Blijkbaar is dat voor DNB voldoende.
Wat mij betreft schiet DNB hier ook in te kort.

DigitalExorcist @Den the Man • 27 juni 2024 12:33

Het is gewoon een hobbyclubje. Dat DNB erin getuind is en een licentie heeft gegeven is natuurlijk al belachelijk genoeg, maar dat is dus het probleem: iedereen en z'n moeder mogen een "bank" beginnen..

Eusebius @DigitalExorcist • 27 juni 2024 11:29

Het is dan ook geen bánk maar een bunq :-P

Waarom is het een "experimenteel hobbyclubje"? Voor mijn gevoel moet je wel aan wat kwalificaties voldoen voordat je de banklicentie in huis haalt. Maar misschien toetst deze op precies de verkeerde punten (bv hoeveel vermogen je moet hebben en niet wat je policy is).

DigitalExorcist @Eusebius • 27 juni 2024 11:33

Ja die hele wetgeving deugt natuurlijk sowieso al niet, anders hadden we in 2008 al geen kredietcrisis gehad, waren aflossingsvrije hypotheken nooit een ding geworden, waren bedrijven als Enron en zo nooit omgevallen etc.

J_van_Ekris @DigitalExorcist • 27 juni 2024 14:46

Ja die hele wetgeving deugt natuurlijk sowieso al niet, anders hadden we in 2008 al geen kredietcrisis gehad,

En jij gaat er vanuit dat die wetgeving sinds 2008 niet gewijzigd is of zo? 2008;was wen aanleiding tot behoorlijk ingrijpende wijzigingen in de manier waarop banken werken namelijk...

DigitalExorcist @J_van_Ekris • 27 juni 2024 14:48

Ja, akkoord, maar in 2008 dachten we óók dat we het goed voor elkaar hadden bedoel ik. Je ziet nu dus dat we dat nog steeds niet hebben, of dat de wetgeving op ándere voor de hand liggende plekken niet deugt.

Dat wetgeving wijzigt wil niet zeggen dat voor de hand liggende zaken ineens allemaal goed geregeld zijn.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 13:55]

J_van_Ekris @DigitalExorcist • 27 juni 2024 15:02

Je ziet nu dus dat we dat nog steeds niet hebben, of dat de wetgeving op ándere voor de hand liggende plekken niet deugt.

2008 is ontstaan omdat er echt perverse prikkels in het banksysteem zaten: een klant slecht adviseren leverde serieus betere provisies op. Dus mag een bankier niet meer op provisiebasis werken, en moet de klant betalen voor een gedegen advies waardoor hij ook rechten aan dat advies kan ontlenen (voor 2008 was het verre van helder wie een bankier nu te dienen had...).

Dit is echt een ander soort probleem: in essentie een gebrek aan privacy. Er is bij mijn weten nog nooit een bank serieus beboet of anders in de problemen gekomen door gebrekkige privacy. Maar een moet de eerste zijn, zullen we maar zeggen.

White Feather

@DigitalExorcist • 27 juni 2024 16:46

Wat een onzin.

Zonder enige kennis van zaken lopen zeuren.

1) de wetgeving is erg aangescherpt.
2) het toezicht is verbeterd
3) de basis van het probleem was toen provisie die werd uitgekeerd door de klant maar zo veel mogelijk producten te laten afnemen, ook al hadden die producten geen waarde voor de klant en waren ze niet passend.
4) de financiële eisen die gesteld worden aan banken zijn veel hoger geworden, je moet veel meer eigen kapitaal ter reserve vasthouden (solvency)

Dat heeft dus allemaal niets met privacywetgeving/beveiliging te maken.

En alsof wetgeving alleen het probleem oplost.

Kunnen mensen tegenwoordig niet meer door rood rijden?

Want er staat toch duidelijk in het wetboek dat dat niet mag?

Oh nee, wacht, zo werkt het niet.

Ik ben benieuwd wat hier de consequenties van zijn bij/van:
- de DNB
- de betreffende accountant

(Er heeft iemand bij deze instanties zitten slapen of er is bewust verkeerde informatie door Bunq aangeleverd wat de audits betreft.)

- De AVG.

DigitalExorcist @White Feather • 27 juni 2024 16:50

Als je ziet wat een puinzooi auditors als PWC en KPMG ervan hebben weten te maken de afgelopen decennia zal het ongetwijfeld een combinatie van vanalles zijn.

Anoniem: 1883242 @Eusebius • 27 juni 2024 11:38

Hoewel ik dat gevoel snap weet ik dat het overschat wordt.

gimbal @Eusebius • 27 juni 2024 11:39

Waarom is het een "experimenteel hobbyclubje"?

nou ja. Ik zie hier een sterk signaal richting het ontbreken van een zeker niveau van professionaliteit wat je zou moeten verwachten van een bank. Het feit dat ze een krant moeten gaan vragen om gevoelige gegevens is schrijnend.

Hobbyclubje gaat wellicht wat ver, maar experimenteel... ja.

White Feather

@gimbal • 27 juni 2024 16:51

Het feit dat ze een krant moeten gaan vragen om gevoelige gegevens is schrijnend.

Ik mag (voor Bunq) hopen dat dit een makkelijke manier is om die mensen voor de bus te gooien en zichzelf op de borst te slaan over hoe goed ze het systeem op orde hebben.

Dat zou de aandacht namelijk afleiden van de fuckup van Bunq zelf, dat ze deze privacyschending niet zelf hebben gezien en het systeem zo lek als een mandje.

[Reactie gewijzigd door White Feather op 22 juli 2024 13:55]

latka @Eusebius • 27 juni 2024 12:10

Naast dit verhaal hadden ze al een zaak verloren met toezicht op witwassen (ken uw klant) en een phising actie die iets te succesvol was door het ontbreken van interne systemen op fraude.
Nav. het eerste melde Bunq:
"Oprichter en topman Ali Niknam laat aan de NOS weten blij te zijn met de uitspraak. "Het gaat om de periode van voor 2018 en wij waren niet perfect", erkent hij."

Met dit bericht erbij zou ik zeggen: er is nog een lange weg te gaan.

cariolive23 @Eusebius • 27 juni 2024 13:50

Ze hebben de banklicentie imho te gemakkelijk gekregen omdat Nederland een fintech wilde hebben.

komododraak @DigitalExorcist • 27 juni 2024 11:33

Het is een bank als ze volgens DNB aan de regels voldoen. Of je liever een andere benk hebt is persoonlijk.los daarvan vraag ik me ook weleens af hoe streng en modern de wet daarover is: blijkbaar is toegang loggen optioneel..

Strebor

@DigitalExorcist • 27 juni 2024 11:34

Een van de redenen dat ik weg ging bij de traditionele banken, naar Bunq, was juist dat het traditionele banken waren: Beleggen in dingen waar ik het niet mee eens ben (ING spant de kroon). Enorm achter blijven met functies die de klant helpen (meerdere rekeningen, virtuele credit cards met Apple Pay die je zelf met een druk op de knop kunt toevoegen en verwijderen). Risicovolle leningen uitgeven die voor liquiditeit-problemen kunnen zorgen. Bonussen uitgeven terwijl ze staatshulp nodig hebben.

Bij Bunq was, zoals ze zelf zeiden, de bank en de tools het product, en je betaalde daarvoor een eerlijk bedrag. Nu blijkt dat ze er op diverse fronten, net als traditionele banken, her en der een zooitje er van maken.

RobertMe @DigitalExorcist • 27 juni 2024 11:35

Wat maakt dan een echte bank? Er zijn vele Neobanks / fintechs die hun zaakjes toch echt een stuk beter op orde hebben (zoals Revolut en N26). Of in Nederland de bank die alles anders ging doen, waaronder de naam omdraaien, Knab.

Nu zou ik zelf ook geen klant van Bunq willen zijn (ook 2 jaar terug niet toen dit nieuws en dat opkichtingsgebeuren van paar weken terug niet speelde). Maar het is IMO wel echt een probleem van / met dit bedrijf (dat bankvoering doet). En niet een algemeen probleem met nieuwe / "vernieuwde" / "online only" banken. Bunq straalt naar mijn idee gewoon uit dat het een bedrijf is waarbij er vanalles aan de bedrijfsvoering schort (beleid en aanverwante, niet professioneel / "zaken serieus nemende" (zijn er niet ook eens laptops gestolen die voor het oprapen lagen in de entree?)), en dan zijn ze ook nog eens een bank. Qua uitstraling / beleid / ... van het bedrijf zijn ze IMO niet bijzonder (er zijn vele "onprofessionele" bedrijven, klein en groot), behalve dat ze dus wel een bank zijn, en daar zijn ze er wel "uniek" mee.

ChiLLeR

@RobertMe • 27 juni 2024 11:45

Wie zegt dat Revolut en N26 hun zaakjes beter op orde hebben? Dat is nog maar de vraag of dat zo is. Blijkbaar zegt een banklicentie niet al te veel over hoe een bank bepaalde zaken intern geregeld moet hebben en dus al helemaal niets over de privacy van de klanten.

RobertMe @ChiLLeR • 27 juni 2024 12:06

Omdat ze al een stuk minder in het nieuws komen? En ze waarschijnlijk een stuk groter zijn (internationale banken die in Nederland "bekend" zijn vs Nederlandse bank (en "bekend") die ook internationaal iets doet) en dus ook meer personeel hebben en grotere kans dat er doorsijpelt dat er bv aan "rekeninggluren" gedaan wordt.
En Revolut vast ook nog eens onder toezicht van meerdere banken staat (voor de NL IBAN die ze sinds kort hebben zal DNB vast ook toezicht houden op de Nederlandse tak, naast de Litouwse autoriteit die er uiteraard toezicht op zal houden, terwijl Litouwen ook maar weer voor de Europese activiteiten is).

Maar sure, garanties heb je nooit. Zie ook Wirecard, waarbij er vanalles mis was en na "ontdekking" de bank binnen dagen / weken was opgeheven, ondanks Duitse toezicht.

En zeker weten doen we het nooit. Hoogstens dat we (ver) achteraf te horen krijgen waar de toezichthouder gebreken heeft geconstateerd, maar tegen die zijn de problemen al opgelost (anders was de licentie wel ingetrokken). Maar Bunq hangt IMO wel veel negativiteit en aanverwanten rond. Niet nu alleen die twee dingen. Maar ook jaren terug las je al dat de CEO een rare vent was met een rare manier van bedrijfsvoering en aanverwanten. De huidige reacties ("klanten krijgen geld niet vergoed, eigen schuld dikke bult", en "geef de namen dan" (+ intern aangekaarte problemen niet oplossen)) verbazen mij dan ook niks. Zoals @DigitalExorcist het noemt komt het, ook op mij dus nogal over als "hobbyclubje" (/"onprofessioneel bedrijf" in een sector waar dat niet zou moeten kunnen).

En dan ook nog zaken als dat contact met Bunq in principe alleen via een chat(bot) kan etc. en je bij een geblokkeerde rekening (bv op basis van Wwft wetgeving) tegen een muur lijkt te praten. Terwijl dat bv bij Revolut wel eenvoudig online opgelost kan worden (afgaande op ervaringen in het Revolut topic). Ook eenvoudiger dan mijn ervaring met een Nederlandse grootbank (rekening geblokkeerd, bank niet bereikbaar gedurende het volledige weekend

Frame164 @DigitalExorcist • 27 juni 2024 12:35

Grappig om dit op tweakers te lezen. Nog niet zo lang geleden was alles wat af week van de standaard banken heilig. Een compleet ongereguleerde cryptomarkt zou geweldig moeten zijn. Terwijl dat nog veel experimenteler is dan wat bunq doet.

OverSoft @Frame164 • 27 juni 2024 12:57

Ik weet niet of wij op dezelfde Tweakers.net hebben gezet dan, want er heerst hier best een flink anti-crypto sentiment.

DigitalExorcist @Frame164 • 27 juni 2024 12:37

Mij is niks gevraagd

bzuidgeest @DigitalExorcist • 27 juni 2024 12:00

Elke bank of bedrijf begint als een quote "experimentele hobbyclubjes" .

Er zijn een heleboel van die clubjes en als je een banklicentie krijgt ben je een bank. Wat je verder ook van het bedrijf vind.

DigitalExorcist @bzuidgeest • 27 juni 2024 12:37

Dan klopt het hele proces van die licentie verkrijgen niet.

Tristan van der V. heeft van de politie ook een wapenvergunning gekregen. Ondanks alle red flags. En we weten nog wel hoe dát afgelopen is... ja dat is een extreem voorbeeld, maar het principe blijft. Dat je een licentie ergens voor kan krijgen wil niet zeggen dat het een goed idee was.

bzuidgeest @DigitalExorcist • 27 juni 2024 14:05

Het proces van licentieverkrijgen klopt. Dat de overheid niet geld investeert in controle veranderd daar niets aan. Of het nou een bankvergunning is of een licentie voor een feesttent. Controle komt pas bij overlast. Er is gewoon niet genoeg mankracht om alles na te lopen. Zelfde voor milleuvergunningen, riool gebruik door bedrijven etc etc....

Ik zou ook liever zien dat er meer actieve controle is, maar dat is niet zichtbaar voor mensen dus geen verkiezingsonderwerp. Niet onderdeel van een regeerakkoord. Als je weer mag stemmen zoek dan een partij uit die meer actieve controle wil betalen.

neps 27 juni 2024 13:00

Voor mij kwam Bunq vaak meer over als hippe roekeloze techstartup dan een bank, met de recente incidenten wordt dat gevoel steeds sterker. Corner-cutting komt in de zakelijke wereld wel vaker voor, maar bij een bank? Eerst de gebrekkige security voor hun klanten en nu ook nog privacy schendingen... twee dingen waar een klant op zou moeten kunnen rekenen.

teek2

@neps • 27 juni 2024 14:08

Er is niets mis met de security, ze zijn nog nooit gehacked oid. Ze hebben gebrekkige fail-safes voor mensen die zich laten social-engineren, dat wel. Maar daar hebben ze recent wat aan gedaan (na de vorige NRC berichtgeving).

Niet dat ik bunq nou wil verdedigingen, ik ben ook niet zo blij met dit verhaal en ook niet met het bomen sparen en de gokmachine in de app.

neps @teek2 • 27 juni 2024 14:20

Ik tel bescherming tegen phishing zelf onder security, maar had dat idd beter kunnen verwoorden. Wel fijn om te horen dat daar wat tegen is gedaan. Hopelijk gaan ze dan ook snel iets doen tegen dat gluren, liever te laat (en met druk van buitenaf) dan helemaal niet.

Maar gokmachine in de app? Huh???

teek2

@neps • 27 juni 2024 14:26

https://www.bunq.com/nl-nl/features/wheel-of-fortune

Als je het niet uitzet valt de app je er ook steeds mee lastig.

[Reactie gewijzigd door teek2 op 22 juli 2024 13:55]

PatrickH89 @teek2 • 27 juni 2024 20:50

Onderdeel van de security is dat je op zijn minst audit logs hebt en die ook analyseert, dan hoeven ze niet aan het NRC te vragen wie deze mensen zijn.

Bux666 27 juni 2024 11:40

Ik zat ooit in een ING kantoor voor een gesprek, toen de zeer jonge medewerker mij van alles over mijn uitgaven doorspeelde. Hij kon via mijn bankpas gegevens op mijn rekening meekijken en deed dat toen ook. Ik heb er toen wat van gezegd maar verder geen actie op ondernomen. Dat is jaren geleden gebeurt, maar ik was toen wel aardig verrast.

SgtElPotato @Bux666 • 27 juni 2024 11:59

Het lijkt me logisch dat de medewerkers van een bank je rekening in moet kunnen zien als jij op gesprek komt. Je komt immers niet op gesprek bij de bank voor een kopje koffie en advies over je tuin. Ook de Rabobank doet het, wel zo handig.

Ik zocht laatst een afschrijving van 3-4 jaar geleden op een rekening welke ik niet meer heb. Ik wist wel de datum en de bank kon gemakkelijk met mij mee zoeken naar de betreffende transactie en stuurde mij daar een afschrift van.

emphy

@SgtElPotato • 27 juni 2024 14:34

Het komt mij voor dat het, op zijn minst, beleefder is om eerst aan de klant te vragen of dat het mag.

Net zoals je niet bij een onbekende zomaar binnen loopt als die de deur open doet.

SgtElPotato @emphy • 27 juni 2024 14:40

Net zoals je niet bij een onbekende zomaar binnen loopt als die de deur open doet.

Dat is toch geen vergelijking? Het is hetzelfde als dat mijn huisarts of ziekenhuis mijn dossier in kan zien als ik daar op bezoek ben. Of mijn verzekeringsmaatschappij mijn gegevens in kan zien. Niks anders dan bij een bank.

HugoBoss1985 @Bux666 • 27 juni 2024 11:42

De Rabobank doet dit ook, in ieder geval bij zakelijk klanten.

Ik kan iedereen aanraden om bij Bunq weg te blijven.
Oplichters gebruiken vaak ook rekeningen van Bunq.
Wanneer de rekening van de oplichter op slot gaat/bevroren wordt kun je ook fluiten naar je geld als je opgelicht bent.
Want Bunq houdt het geld vast totdat de Politie er iets mee doet (totdat er aangifte opgenomen is).
En die doen helaas nooit iets met oplichting oplossen/bestraffen.

[Reactie gewijzigd door HugoBoss1985 op 22 juli 2024 13:55]

moepie @Bux666 • 27 juni 2024 12:40

Dit is normaal. De medewerken kan de informatie van de klant inzien na goedkeuring door de klant (bv met bankpas).

Soms zijn er extra autorisatie procedures. Ik moest iets regelen voor mijn moeder en toen kwam er een schermpje bij de bankmedewerker: bel dit nummer. En daar zat iemand die tijdelijk toegang verleende aan die medewerker.

Lisadr @Bux666 • 27 juni 2024 17:41

Er is een verschil tussen een medewerker waarbij je op dat moment toestemming geeft om jouw gegevens in te zien en een situatie (zoals bij Bunq) waarbij de meeste medewerkers zomaar op bankrekeningen kunnen kijken.

Mizgala28 27 juni 2024 11:22

Het stapelt zich maar op bij Bunq.

Zelf geen rekening daar (gelukkig), maar ik had een kennis die daar een rekening wou openen, verteld dat hij beter voorlopig de situatie in gaten kan houden, of een andere bank kiest.

DefaultError @Mizgala28 • 27 juni 2024 14:42

Enig idee wat dan wel een betere ‘Neobank’ optie is? Ze bieden rente, gratis een rekening, die beperkt is, en vallen onder de toezicht van Nederlandse banken.

Is er ook een Europese toezichthouder?

Een overzicht van neobanks;
N26 (Duitsland), Finom (deel Nederlands), Qonto (Frans), Bunq, Tinkof (Russisch), Revolut (Engeland), Monobank (Oekraïne), Montese (Engeland), Vivid Money.

Ooit geprobeerd om bij N26 een rekening te openen, lukte niet. Bij Bunq gaat dat makkelijker.

Op dit item kan niet meer gereageerd worden.

NRC: bunq-werknemers konden meekijken in klantrekeningen - Update

Reactie bunq

Lees meer

IT-banen

Reacties (275)

Sorteer op:

Weergave: