We houden van reizen en India stond al lang op ons verlanglijstje. Na het kopen van een ticket gingen we een visum voor India aanvragen. Wat wij niet wisten was dat sinds april 2014 de visa regels voor India verscherpt zijn. Je moest al een hoop gegevens aanleveren, maar sinds april moet je nu ook voor het visum je biometrische gegevens inleveren! En vervolgens bleek ook bij het invullen van je persoonlijke gegevens de website niet beveiligd. Identiteitsfraude wordt zo wel erg gemakkelijk.
Niet professionele website
Een mooie professionele uitziende website wil niet zeggen dat het bedrijf, of in dit geval het land, zijn IT op orde heeft. Maar een slordige en verouderde website is wel een indicatie voor het tegengestelde. En de website van de Indiase ambassade is knullig en amateuristisch. Er ontstaan dan dus vraagtekens bij de veiligheid van hun IT systemen, zeker als die jouw persoonlijke gegevens gaan opslaan. Voorbeelden van een verouderde en slordige website zijn de roterende tekst op de India visum aanvraag website, dusdanig geplaatst dat het menu-item toeristen visa niet aanklikbaar is. Ook komen we bij het zoeken naar informatie een scheef ingescande visa on arrival PDF. Als we de visa aanvraagpagina opvragen blijkt de applicatie die daarachter zit op dat moment niet te werken.
Geen beveiligde verbinding en heel veel gegevens
Een paar dagen later was de applicatie weer online en konden we de benodigde gegevens invullen. Wat opviel was dat de verbinding niet beveiligd was. Een ‘man in the middle‘, dus als er iemand tussen jouw computer en die van indianvisaonline.gov.in meeluistert, kan al die gegevens inzien.
Naast de standaard gegevens (naam, paspoortgegevens, aankomst, vertrek) moet je de gegevens van je ouders (waar zijn ze geboren) en je BSN geven. Waarom hebben ze je BSN nodig als je al je paspoortnummer hebt gegeven? Bovendien willen ze weten in welke landen je de laatste 10 jaar bent geweest. Het invoerveldje hiervoor is zo klein dat een beetje reiziger daar lang niet genoeg aan heeft, dus wat is de zin van deze vraag. Optioneel kan je ook je foto uploaden. Een hacker heeft nu alle informatie die hij nodig heeft voor identiteitsfraude.
Ook je biometrische gegevens zijn nodig
Als je tussen de 12 en 70 jaar oud bent willen ze voor je visa aanvraag je biometrische gegevens. Dit betekent dat je in Amsterdam van al je vingers vingerafdrukken gemaakt worden. Van je ogen wordt een retina scan gemaakt. Met het inleveren van je foto zijn ook de biometrische gegevens van je gezicht bekend. Al deze gegevens worden opgeslagen in het systeem Aadhar.
Zelfs voor een Nederlands paspoort zijn niet zoveel biometrische gegevens geregistreerd, alleen 4 vingerafdrukken. Verder geeft de Indiase ambassade niet aan hoelang en welke gegevens ze van je bewaren. Wel wordt aangegeven als je binnen 5 jaar weer een visum aanvraagt dan hoef je niet nog een keer je vingerafdrukken af te geven. Je vingerafdrukken worden dus in ieder geval 5 jaar bewaard.
Inleveren rekeningafschrift met daarop storting van salaris
En dan zijn we er nog niet, ze willen ook een recent bankafschrift hebben met alle bij- en afschrijvingen van de laatste drie weken. Een internetprint wordt niet geaccepteerd en er mogen geen transacties met zwarte stift weggestreept zijn, want het consulaat wilt letterlijk alle bij en afschrijvingen kunnen zien, inclusief de storting van salaris of uitkering. Je naam moet erop staan en het saldo moet minimaal 500 euro in de plus staan voor elke maand dat je in India bent. Ga je 1 maand dan heb je een positief saldo nodig van minimaal 500 euro, voor 2 maanden minimaal 1000 euro. Ga je met twee personen dan moet je de bedragen keer twee doen. De saldo-check is voor een hoop Europeanen complete onzin, voor velen onder ons is hun saldo op de betaalrekening totaal geen indicatie van hun vermogen omdat je daar geen rente op krijgt.
Wat kunnen de gevolgen zijn.
Het aanleveren van al deze privégegevens voelt niet goed. Maar je wilt op vakantie, dus daar zou je je overheen kunnen zetten. Maar na het aanleveren van al deze gegevens zitten er wel heel veel privacy-gevoelige gegevens in de databases van de Indiase overheid. En hoe veilig zijn die? De Nederlandse overheid blundert vaak genoeg met zijn beveiliging en waarom zou India dat beter doen? Voorop staat dat je zelf verantwoordelijk bent voor je persoonlijke (en dus ook je biometrische) gegevens. Hoe meer systemen jouw gegevens bevatten hoe meer kans dat op een zeker moment een van die systemen gehackt wordt of dat via menselijke fouten die gegevens in verkeerde handen vallen. Beveiliging van die systemen kan nu op orde zijn, maar dat is geen garantie voor de toekomst. Neem als voorbeeld gemeentes waar DigiD-gegevens bijna een jaar open stonden om te hacken. Hier een voorbeeld van identiteitsfraude als je DigiD gestolen is. Check zelf voor recente incidenten door te zoeken op identiteitsfraude, fraude paspoorten etc.
Bovenstaande fraudegevallen waren nog met wijzigbare gegevens als paspoortnummer of wachtwoorden. Maar je biometrische gegevens veranderen nooit. Je biometrische gegevens worden steeds belangrijker op internet. Hoe ga je later aan je bank uitleggen dat die geldopname met die vingerafdruk of retina scan echt niet door jou gedaan is? Betalen met je vingerafdruk of met Apple pay via je iPhone 6 is dichterbij dan je denkt.
Conclusie
Heb je geen problemen om je gegevens via een onbeveiligde lijn te versturen, vind je het geen probleem om je biometrische en financiële gegevens af te staan aan een instelling of overheid dan staat niets in de weg voor een vakantie in India. Wij hebben onze eigen conclusie getrokken.
Geef een reactie