De bank richtte een mail aan 82 klanten, maar in plaats van de e-mailadressen in de bcc te plaatsen – waardoor de ontvangers de andere adressen niet zien – plaatste de bank alle adressen in het Aan-veld, waardoor alle ontvangers elkaars naam en e-mailadres te zien kregen. Bunq stuurde een uur na de originele mail een excuusmail waarin het zei de interne processen te gaan herzien zodat dit in het vervolg niet meer kan gebeuren. Ook vraagt de bank de e-mail met alle adressen te verwijderen.
In gesprek met BNR laat bunq weten het lek niet bij de Autoriteit Persoonsgegevens te melden, omdat het enkel om e-mailadressen gaat. Eerder maakte de Autoriteit Persoonsgegevens een soortgelijke fout toen ze via het cc-veld per ongeluk tientallen e-mailadressen van journalisten en redacties lekte. De toezichthouder meldde het lek vervolgens bij zichzelf.