Bunq-klanten kunnen de aandelenhandel zien van hun contacten

zondag, 7 december 2025 (12:05) - Het Financieele Dagblad

In dit artikel:

Bunq-gebruikers hebben ontdekt dat een beleggingsfunctie in de bankapp het koop- en verkoopgedrag van andere klanten kan tonen wanneer zij ooit toegang tot elkaars contactenlijst hebben toegestaan. De weergave toont wél welke transacties (kopen/verkopen) plaatsvonden, maar niet de prijs of het aantal aandelen. Het probleem kwam aan het licht nadat Sebastiaan den Boer zag dat een bekende van het schoolplein, Arjan Egges, een positie in MSCI World had geopend; Egges bleek niet te weten dat zijn trades zo zichtbaar werden.

De functie staat automatisch aan voor wie eerder toestemming gaf voor toegang tot het telefoonboek: Bunq vraagt bij installatie twee keer om die toestemming en gebruikt de lijst om verbindingen tussen Bunq-klanten te leggen, aldus een woordvoerder. Volgens Bunq moeten beide partijen toestemming hebben en zijn trades alleen zichtbaar als beiden bij Bunq bankieren; gebruikers kunnen de functie uitzetten, waarna ook eerdere informatie niet meer zichtbaar zou zijn. De aandelenfunctie draait sinds de lancering van het beleggingsproduct eind 2024, en Bunq zegt dit tot nu toe weinig klachten te hebben ontvangen maar wil de situatie nader bekijken.

Privacyexperts waarschuwen dat deze werkwijze mogelijk tegen de Algemene Verordening Gegevensbescherming (AVG/GDPR) ingaat. Bart Jacobs (Radboud Universiteit) stelt dat toestemming onder de AVG specifiek en goed geïnformeerd moet zijn; volgens hem is hier sprake van een onduidelijke uitbreiding van toestemming. Privacyadviseur Floor Terra wijst op de plicht tot privacy by design: standaardinstellingen moeten privacyvriendelijk zijn en gebruikers duidelijk geïnformeerd worden over wat toegang tot hun contacten betekent.

Er speelt ook een principiële vraag over het verzamelen en delen van contactgegevens: Jacobs benadrukt dat iemand door toestemming te geven niet automatisch het recht heeft om persoonsgegevens van anderen vrij te geven aan een derde partij. De Autoriteit Persoonsgegevens zou moeten onderzoeken of Bunq’s werkwijze voldoet aan de AVG; de AP herhaalt dat toestemming alleen geldt voor het doel dat de verwerkingsverantwoordelijke toen heeft gecommuniceerd en dat standaardinstellingen privacybewust moeten zijn.