Bitvavo-top had jaren toegang tot klantgegevens

Privacy-schending bij Nederlandse cryptoreus onthuld

In een significante privacy-onthulling heeft de Nederlandse cryptobeurs Bitvavo bevestigd dat het management en eigenaren jarenlang toegang hadden tot klantgegevens en rekeningen, wat serieuze vragen oproept over de naleving van Europese privacyregels. Het bedrijf erkende dat deze toegang voortduurde tot het voorjaar van 2024, ondanks privacyregels die strikte beperkingen vereisen over wie gevoelige klantinformatie mag inzien.

Systematische privacy-problemen

Volgens meerdere rapporten, waaronder berichtgeving door Financieele Dagblad, behield het leiderschap van Bitvavo brede toegang tot klantgegevens tijdens de groeifase van het bedrijf. De beurs, die in 2023 meer dan €34 miljard aan transacties verwerkte en daarmee Europa's grootste cryptoplatform werd, verdedigde de praktijk door te stellen dat het nodig was tijdens de beginjaren van het bedrijf toen het management hielp met klantregistratie en ondersteuning.

Hoogleraar privacyrecht Gerrit-Jan Zwenne reageerde op de situatie: 'Hoewel het handig kan zijn voor het management om brede toegangsrechten te hebben in een groeiend bedrijf, staat dit op gespannen voet met de eisen van privacywetgeving.' De onthulling komt op een moment waarop cryptobeurzen toenemende controle ondervinden over hun gegevensbeschermingspraktijken onder de GDPR-regels.

Intern onderzoek gaande

Bitvavo heeft een intern onderzoek gestart dat wordt uitgevoerd door advocatenkantoor Stibbe en accountantskantoor PwC om vast te stellen of medewerkers zich hebben gehouden aan privacy- en gedragsregels. Dit onderzoek werd gelanceerd na het aftreden van CEO Mark Nuvelstijn afgelopen zomer na berichten over onjuiste bankinformatie en mogelijke zorgen over handel met voorkennis.

Een woordvoerder van Bitvavo legde de positie van het bedrijf uit: 'Bitvavo was destijds een veel kleiner bedrijf. We zijn gegroeid van ongeveer 160 naar 460 voltijdsbanen, en tegenwoordig hebben alleen geautoriseerde afdelingen toegang tot klantgegevens.' Het bedrijf benadrukte dat het sindsdien strengere toegangscontroles heeft geïmplementeerd.

Regelgevingscontext en implicaties

De situatie benadrukt de voortdurende spanning tussen de operationele behoeften van cryptoplatforms en hun verplichtingen onder de Algemene Verordening Gegevensbescherming (AVG). Onder de AVG moeten bedrijven gegevensbescherming door ontwerp en standaard implementeren, ervoor zorgend dat persoonsgegevens alleen worden verwerkt voor gespecificeerde doeleinden en alleen toegankelijk zijn voor geautoriseerd personeel.

Deskundigen merken op dat cryptobeurzen bijzondere uitdagingen hebben bij het balanceren van hun Know Your Customer (KYC) vereisten met privacyverplichtingen. De Markets in Crypto-Assets Regulation (MiCAR), die volledig van kracht is geworden in de EU, versterkt verder de vereisten voor gegevensprivacy terwijl het een uitgebreid toezicht op digitale activa vaststelt.

De Autoriteit Persoonsgegevens weigerde commentaar te geven op de specifieke zaak, in overeenstemming met haar beleid om niet over individuele onderzoeken te praten. De autoriteit heeft echter eerder benadrukt dat financiële instellingen strikte controles moeten handhaven over de toegang tot klantgegevens.

Vooruitblik

Het huidige management van Bitvavo beweert dat het bedrijf de juiste waarborgen heeft geïmplementeerd en dat alleen afdelingen met legitieme zakelijke behoeften nu toegang hebben tot klantinformatie. De beurs blijft opereren als een van Europa's toonaangevende cryptoplatforms, waarbij het miljoenen klanten op het continent bedient.

Naarmate de cryptobranche volwassener wordt en regelgevingskaders evolueren, benadrukken incidenten als deze het belang van robuuste gegevensbeheer- en compliancesystemen. De uitkomst van het interne onderzoek van Bitvavo zal nauwlettend worden gevolgd door toezichthouders, concurrenten en klanten.