Bunq verliest kort geding: NRC hoeft publicatie over rekeninggluren niet te rectificeren

Het zit Bunq niet mee de laatste tijd. Althans, niet in termen van publiciteit. In mei van dit jaar kwam Bunq negatief in het nieuws omdat – naar verluidt – opvallend veel klanten van Bunq het slachtoffer worden van phishing. Daar kwam in juni nog een ander artikel van NRC bij. Vrijwel alle medewerkers van Bunq blijken toegang te hebben tot rekeninggegevens van klanten. En daarvan zouden in ieder geval een aantal oud-werknemers van Bunq misbruik hebben gemaakt. Zij keken voor persoonlijke doeleinden stiekem in klantrekeningen en deden daarover een boekje open in het artikel van NRC. Bunq verloor deze week een kort geding waarin deze publicatie van NRC centraal stond. Bunq vorderde dat NRC de publicatie over het rekeninggluren rectificeerde, maar die vordering kan NRC dus naast zich neerleggen.

Publicatie NRC

Op 26 juni 2024 kopte NRC met de titel “Bunq-werknemers keken stiekem in klantrekeningen: ‘Het was te verleidelijk’ “. In het artikel komen een aantal oud-medewerkers aan het woord die vertellen dat ze in klantgegevens hebben gekeken voor privédoeleinden, bijvoorbeeld om salarissen van collega’s te bekijken of gegevens over een geliefde te achterhalen. Rekeninggegevens bieden natuurlijk een schat aan (gevoelige) persoonsgegevens. In de publicatie van NRC wordt de suggestie gewekt dat Bunq niet genoeg zou doen om dit gluren door medewerkers te voorkomen.

Interne documenten

NRC baseerde zich voor haar publicatie niet alleen op verklaringen van oud-medewerkers, maar ook op een aantal interne documenten van Bunq. Zo beschikte zij allereerst over screenshots van een interne discussie via een zakelijke chat-app die medewerkers van Bunq intern gebruiken. In die discussie kaartte een medewerker aan dat zij zich zorgen maakte over een gebrek aan privacy omdat álle medewerkers van Bunq toegang hebben tot álle klantgegevens. In de discussie mengde zich onder meer de CEO van Bunq, Ali Niknam.

NRC baseerde haar publicatie verder op een interne risico-inventarisatie van Bunq uit 2022 die zij via een (oud)medewerker in handen zou hebben gekregen. Uit dat rapport viel onder meer op te maken dat de toegang tot klantgegevens door Bunq wel wordt vastgelegd, maar dat de logs niet actief worden gemonitord. Dat zou datalekken mogelijk maken zonder dat deze worden gedetecteerd, aldus het eigen rapport van Bunq.

Kort geding

Bunq was niet te spreken over de publicatie van NRC en meende dat NRC onrechtmatig handelde door voor haar artikel gebruik te maken van interne documenten. NRC maakte daarmee inbreuk op bedrijfsgeheimen, aldus Bunq. NRC zou bovendien zeer selectief uit de documenten hebben geciteerd. Daardoor zou NRC een ongenuanceerd beeld hebben geschetst. Genoeg redenen voor Bunq om bij kort geding een rectificatie te vorderen, evenals een bevel tot het wijzigen van het bestaande artikel en een publicatieverbod voor de toekomst.

Vrijheid van meningsuiting

De vorderingen van Bunq houden een behoorlijke beperking in van het recht op de vrijheid van meningsuiting. Dat is alleen toegestaan wanneer die beperking bij wet is voorzien, bijvoorbeeld om de goede naam en rechten van anderen te beschermen. Een dergelijke beperking doet zich bijvoorbeeld voor wanneer een publicatie onrechtmatig is in de zin van artikel 6:162 BW.

Om te beoordelen of een publicatie onrechtmatig is, weegt de rechter de wederzijdse belangen tegen elkaar af. In dit geval houdt het belang van Bunq in dat zij niet lichtvaardig wordt blootgesteld aan verdachtmakingen. Het belang van NRC is dat zij zich als krant in het openbaar kritisch, informerend en waarschuwend moet kunnen uitlaten over kwesties (of misstanden) die de samenleving raken. NRC heeft als journalistiek medium namelijk de functie van public watchdog.

Bijdrage aan een publiek debat?

In de rechtspraak – met name van het EHRM – zijn in de laatste decennia verschillende gezichtspunten ontwikkeld die inmiddels standaard worden betrokken in deze belangenafweging. Een belangrijke vraag is of een publicatie een bijdrage levert aan een debat over een onderwerp van algemeen belang. Daar is volgens de rechtbank in dit geval sprake van wanneer medewerkers bij Bunq zich inderdaad oneigenlijke toegang tot klantgegevens verschaffen, en wanneer de wijze waarop Bunq haar werkprocessen en waarborgen heeft ingericht daaraan bijdraagt.

De rechtbank besteedt ook aandacht aan de methode van het verkrijgen van de relevante informatie. NRC heeft wat dat betreft niet onrechtmatig gehandeld volgens de rechtbank. Het screenshot van de discussie heeft zij namelijk gekregen van een (oud-)medewerker, evenals de interne risicoanalyse. Beide documenten vallen misschien aan te merken als interne communicatie, maar er worden volgens de rechtbank geen bedrijfsgeheimen in prijsgegeven. Er wordt in algemene zin gediscussieerd over de wenselijkheid van toegang tot klantgegevens voor alle medewerkers en de wijze waarop de privacy is gewaarborgd. Die informatie levert volgens de rechtbank een bijdrage aan het publieke debat over de vraag of Bunq de bedrijfsprocessen en waarborgen tegen privacy-inbreuken op orde heeft.

Waarheidsgetrouw?

De rechtbank beoordeelt vervolgens of de door NRC gepubliceerde informatie waarheidsgetrouw is. Bunq ontkende echter niet zozeer dát medewerkers hebben gegluurd in rekeningen van klanten. Zij stelde voornamelijk dat NRC een ongenuanceerd beeld heeft geschetst waardoor Bunq ten onrechte te negatief zou zijn afgeschilderd.

Zo zou NRC selectief hebben geciteerd uit de interne discussie en verschillende belangrijke zaken achterwege hebben gelaten. De Data Protection Officer zou zich bijvoorbeeld op enig moment in de discussie hebben gemengd met een oproep om zich anoniem bij hem te melden in het geval van misbruik. NRC zou bovendien hebben gesteld dat Bunq om de namen van de oud-medewerkers had verzocht, maar NRC zou daarbij achterwege hebben gelaten dat zij dat deed vanwege haar verplichting tot het doen van een melding bij de Autoriteit Persoonsgegevens.

De rechtbank oordeelt uiteindelijk dat NRC uitgebreid onderzoek heeft gedaan. Bovendien heeft NRC een uitgebreide reactie van Bunq onderaan het artikel geplaatst. Tot slot heeft NRC ook in het artikel opgenomen dat medewerkers een geheimhoudingsverklaring moeten tekenen, een bankierseed afleggen, en dat er een intern waarschuwingssysteem is (ook al wordt niet actief gecontroleerd op privacyschendingen). NRC heeft daarmee volgens de rechtbank voldaan aan het beginsel van hoor- en wederhoor.

Conclusie rechtbank: geen onrechtmatige publicatie

De rechtbank komt in dit geval tot het oordeel dat de belangenafweging in het voordeel van NRC uitvalt. De publicatie is dus niet onrechtmatig. Er bestaat dan geen reden om het recht op de vrijheid van meningsuiting te beperken. Bunq vangt dus bot. Het loont dus niet altijd om negatieve publiciteit te bestrijden in een juridische procedure. Dat kan zelfs resulteren in nog meer negatieve publiciteit. Soms is het dus beter om stil te zitten als je wordt geschoren…

Vragen?