Privacy bij bunq – de realiteit

Fintech bunq zegt te staan voor privacy: ze beschermen jouw data alsof het hun eigen data is. Dat klinkt geweldig, maar is dat wel zo? 🔐

Ik volg bunq al jaren en zie telkens weer het privacy-argument. De bank (en haar trouwe fans) zijn helder: bunq geeft om privacy en heeft het beter geregeld dan traditionele banken. Laat ik maar meteen met de deur in huis vallen: het is marketing. Als je kritisch kijkt naar hoe bunq met de privacy en data van gebruikers omgaat, doen ze het slecht voor een fintech.

Datalek

Ik wil beginnen met een persoonlijk verhaal. Een tijd geleden heb ik een inzageverzoek gedaan bij bunq en wat ik terugkreeg verbaasde mij. Ik kreeg een mengelmoes van mijn eigen data en data van iemand anders terug.

Onder andere naam, adresgegevens, IBAN’s, IP-adressen en meer. Ik heb ter verificatie contact opgenomen met de eigenaar en hij was geschokt.

Natuurlijk kunnen fouten gebeuren, maar bedenk je even: bunq doet er exact een maand over om een inzageverzoek af te handelen. Niet zo snel mogelijk, zoals je zou hopen, maar precies een maand. Dan mag je toch verwachten dat dit soort datalekken niet voorkomen? But here we are.

Helaas was dat niet het enige datalek. Zo hebben ze in 2019 een mail gestuurd naar klanten, maar waren ze vergeten ontvangers in het bcc-veld te plaatsen. Het gevolg: 82 mailadressen en namen gelekt. Opmerkelijk genoeg hebben ze dit niet gemeld bij de Autoriteit Persoonsgegevens ‘omdat het enkel mailadressen betreft’, aldus bunq 😬

Website

Als we Ghostery (een anti-tracking tool) installeren en kijken op de website, zien we al meteen een leger aan trackers verschijnen. Onder andere Google (4), Facebook (2), LinkedIn (2), Snapchat (1), Hotjar (1) en HubSpot (1) kijken mee. Dit feit alleen is al opmerkelijk, want met zoveel tracking- en analytics op een website bescherm je de privacy van je gebruikers niet alsof het je eigen is.

Nu weet ik wat mensen gaan zeggen: andere websites doen dit ook en het valt allemaal wel mee. Maar het punt is dat bunq zichzelf neerzet als dé bank waar je privacy goed geregeld is. Echter, de realiteit is heel anders.

Data zoals je IP-adres wordt over de schutting gegooid naar niet alleen Google en Facebook, maar ook naar andere grote dataverzamelaars die mensen volgen en profielen opbouwen. Moeten we dat willen bij een bank?

bunq zou natuurlijk ook kunnen zeggen: we gaan het helemaal anders doen en gebruiken privacy-vriendelijke alternatieven die we zelf in beheer hebben, zoals Matomo ❤️

App

We gaan eens kijken naar de Android-app. Om technische redenen laat ik de iOS-app even buiten dit artikel, maar je kunt er vanuit gaan dat beide apps (vrijwel) dezelfde trackers bevatten.

Om te zien welke trackers in Android-apps zitten kun je zoeken bij Exodus. Daar zien we dat versie 13.13.1 van de bunq-app 5 trackers bevat: Google Analytics, Google Tag Manager, Adjust, MixPanel en Segment. Versie 7.3.1 bevatte er maar 2: Google Firebase Analytics en Adjust.

Als we deze resultaten vergelijken met andere grote banken: ING: 0 trackers, Rabobank: 1 tracker, ABN AMRO: 2 trackers, Triodos: 1 tracker.

Het wordt nog mooier: bunq is bezig met het testen van bunq V3. Dat is een compleet opnieuw ontworpen versie van de app, die momenteel in beta is. Een van de meest prominente functies is de Instagram-feed. Daarin komen berichten te staan die mensen plaatsen over bunq.

Dat lees je goed: bunq is bezig met het maken van een soort Instagram 😂

Natuurlijk kwam hier meteen veel kritiek op, want waarom zou iemand dat in vredesnaam willen in een bank-app? Hoe dan ook: een van de kritiekpunten was het feit dat foto’s bij Instagram opgevraagd worden en daarmee je IP-adres gelekt wordt, zonder uitdrukkelijke toestemming.

Geen reden voor paniek, want volgens bunq zijn IP-adressen geen gevoelige informatie en kunnen ze ook niet worden misbruikt. And there you have it: een fintech die claimt privacy belangrijk te vinden verkondigt complete onzin. En belangrijker nog: bunq heeft lak aan privacy en besluit voor de gebruikers dat het wel prima is dat deze informatie gedeeld wordt met een van de grootste dataverzamelaars van deze tijd: Facebook.

Gelukkig waren een aantal gebruikers er snel bij om deze onjuistheid aan te kaarten, maar het punt blijft: bunq kan met droge ogen zeggen dat ze onze privacy respecteren en beschermen, maar tegelijkertijd beweren dat een IP-adres echt geen gevoelige informatie is en niet misbruikt kan worden.

Update (10–06–2020): het topic over de Instagram-feed is, net als vrijwel alle kritiek op V3, verwijderd van Together. De zoveelste actie van bunq om kritiek te smoren. Ook op het r/bunq subreddit zijn ze lekker bezig geweest.

“To the best of our knowledge, and taking GDPR regulations into account, this information is not considered sensitive nor can be abused”

Ik heb een déjà vu denk ik, want dit is een beetje hetzelfde als de leugen dat ze voldeden aan de App Store guidelines van Apple, terwijl hun commerciële notificatie-spam juist nadrukkelijk verboden was 😬

Safe haven

In 2018 was er ophef over de Facebook Tracking Pixel op bunq’s website. Veel mensen vonden dit niet passen bij een bedrijf, een bank, die zegt te staan voor privacy. CEO Ali Niknam reageerde zelf ook op de ophef 👇🏻

Kortom: de website valt onder het publieke domein en tracking is nodig, maar als je zorgen hebt kun je gewoon anti-tracking installeren. De app is een ander verhaal, want dat is een veilige haven voor je geld, data en privacy.

Maar is dat wel zo? Het lijkt er niet op met alle tracking in de app. Heeft Ali wellicht een andere definitie in gedachten als hij over ‘safe haven’ spreekt? IP-adressen zijn blijkbaar geen gevoelige informatie, dus wat nog meer niet?

Consumentenbond

De Consumentenbond heeft onderzoek gedaan naar de privacy bij 13 banken die in Nederland actief zijn. Resultaat: bunq deed het slechter dan de meeste traditionele banken, zoals ABN, ING, Rabobank en Triodos.

Er waren 3 uitkomsten: goed, matig en slecht. 9 banken zijn bestempeld als goed, 3 als matig en 1 als slecht. bunq viel, samen met N26 en Openbank onder matig. Alle resultaten van het onderzoek kun je hier bekijken.

About Privacy

Ook About Privacy heeft onderzoek gedaan naar bunq. De conclusie: bunq is niet privacy by default. Ze schrijven het volgende: “Als je met koeienletters op je website claimt dat je de privacy van je bezoekers en gebruikers garandeert moet je dat ook waarmaken en naleven”, en ook schrijven ze:

“Als je ziet met hoeveel bedrijven bunq jouw persoonlijke gegevens deelt is het moeilijk om te geloven dat bunq hard kan maken dat je privacy gegarandeerd is”

About Privacy gaat ook meer in op alle tracking in de app en op de website, dus hun artikel is zeker het lezen waard als je daar meer over wil weten 🔍

Tot slot

Ik vind het jammer dat bunq op deze manier omgaat met de privacy van gebruikers, en een enorm nonchalante houding heeft. Sommige van deze voorbeelden zijn menselijke fouten en die zijn op zich niet ernstig als je ervan leert en processen beter maakt.

Helaas lijkt er bij bunq weinig sprake van leren en verbeteren, want dezelfde fouten worden steeds opnieuw gemaakt. Niet alleen met privacy, maar ook met communicatie. Ik hoop dat daar snel verandering in komt.

Vond je dit artikel leuk?

Dat is mooi! Heb je opmerkingen of een suggestie voor een volgend artikel? Neem dan gerust contact met me op. En vergeet het artikel niet te delen ❤️

Tech 💻 • Vaccinations ⚗️ • Science 🔬 • Misinformation 🗞 • Factchecker 💡

Tech 💻 • Vaccinations ⚗️ • Science 🔬 • Misinformation 🗞 • Factchecker 💡