Амстердамська криптобіржа Bitvavo підтвердила, що керівництво компанії протягом кількох років мало доступ до облікових записів і персональних даних клієнтів. Доступ діяв до весни 2024 року, що викликало серйозні питання щодо дотримання норм приватності та захисту даних.
Представники Bitvavo пояснили, що в перші роки існування компанії менеджмент мав технічний доступ до даних користувачів, оскільки допомагав з реєстрацією облікових записів і підтримкою клієнтів. За словами речника, на той час компанія була «набагато меншою», тому такий доступ нібито був виправданим.
Однак експерти з права заявляють, що така практика суперечить європейському законодавству про захист персональних даних. Як зазначив професор Герріт-Ян Звенне з Університету Лейдена, доступ до особистої інформації має бути обмежений лише тими працівниками, яким це необхідно для виконання конкретних завдань — наприклад, відділу фінансового моніторингу або служби підтримки. Надмірні повноваження менеджменту, на його думку, становлять серйозний ризик і порушують принцип мінімізації доступу.
Додатковий резонанс викликали повідомлення про колишнього CEO компанії Марка Нювелстейна, який, за даними нідерландських ЗМІ, обговорював доступ до клієнтських даних у переписці з особою, засудженою за інвестиційне шахрайство. Сам Нювелстейн заперечує, що реально переглядав бази користувачів, і стверджує, що лише «загалом намагався допомогти». Після цього інциденту компанія запустила внутрішнє розслідування щодо можливих порушень конфіденційності з його боку.
Криптобіржа Bitvavo, заснована в Нідерландах, є одним із найбільших європейських майданчиків для обміну криптовалют. Компанія працює під контролем De Nederlandsche Bank (DNB) та декларує повну відповідність вимогам GDPR. Після публікацій у ЗМІ представники Bitvavo заявили, що сьогодні система безпеки компанії має багаторівневий контроль доступу та автоматичне виявлення спроб несанкціонованого входу.
Інцидент із Bitvavo ще раз продемонстрував, наскільки важливою є сувора регламентація доступу до персональних даних навіть у стартапах. Те, що починається як «тимчасовий захід» у невеликій компанії, може згодом перерости у масштабну проблему для приватності користувачів. У час, коли крипторинок стає все більш регульованим, подібні порушення ризикують суттєво підірвати довіру до галузі.
