Emirates ID: Frauderisico’s, wetten van de VAE en hoe u uw gegevens veilig kunt houden

In 2020 werd in Dubai een expat gearresteerd nadat hij die van een andere man zou hebben gebruikt Emirates ID om cheques in te wisselen in een fraudeplan van Dh350.000 waarbij meerdere transacties en medeplichtigen betrokken waren. De zaak benadrukte hoe identiteitsdocumenten kunnen worden uitgebuit wanneer individuen de toegangs- en verificatieprotocollen niet volgen.
Het risico begint niet bij georganiseerde fraude. Het begint vaak op routinematige momenten waarop inwoners wordt gevraagd hun Emirates ID te overhandigen of kopieën te sturen bij winkels, afleverpunten of servicebalies. Maar deze ogenschijnlijk standaardverzoeken kunnen gaan over hoe gevoelige persoonlijke gegevens lekken als ze worden gekopieerd, opgeslagen of gedeeld zonder de juiste bescherming.
Emirates ID-kaarten bevatten uitgebreide persoonlijke en biometrische informatie, waaronder verblijfsnummer, paspoortgegevens, vingerafdrukken, irisscans en meer. Als kopieën verkeerd worden behandeld, onveilig worden opgeslagen of zonder controle worden verspreid, kunnen ze worden misbruikt voor nabootsing van identiteit, fraude of accountovername.
Blijf op de hoogte van het laatste nieuws. Volg KT op WhatsApp-kanalen.
Spreken met Khaleej-tijdenExperts zeggen dat het probleem niet het bezit van de kaart is, maar de onbeheerde duplicatie van de gegevens ervan bij alledaagse transacties, die vaak plaatsvinden buiten gecontroleerde of gereguleerde systemen.
De autoriteiten van de VAE hebben inwoners geadviseerd dit te vermijden het delen van gevoelige informatie en om onderscheid te maken tussen legitieme verificatievereisten en onnodige verzoeken om gegevensverzameling. Niet elke entiteit die een kopie van een identiteitsbewijs van Emirates aanvraagt, heeft wettelijk het recht om deze te bewaren.
ICP-regels en gegevenswetgeving van de VAE op Emirates ID
De Federale Autoriteit voor Identiteit, Burgerschap, Douane en Havenveiligheid (ICP) waarschuwde daarvoor Emirates ID-kaarten mogen niet worden gebruikt voor commerciële prikkels zoals kortingen of beloningen, noch als onderpand voor diensten. Het benadrukte ook dat particuliere entiteiten geen identiteitskaarten kunnen bewaren tenzij ze daartoe wettelijk zijn gemachtigd, en dat het achterhouden ervan zonder gerechtelijk of officieel gezag verboden is.
Volgens Federaal Wetsdecreet nr. 45 van 2021 over de bescherming van persoonsgegevens verwerkt elke entiteit die Emirates ID-gegevens verzamelt, opslaat, kopieert of gebruikt persoonsgegevens. Dergelijke verwerking moet wettig, eerlijk, transparant zijn en beperkt tot een bepaald doel, met sterke waarborgen tegen ongeoorloofde toegang, misbruik of openbaarmaking.
De autoriteit drong er bij de inwoners op aan om hun identiteitsdocumenten te beschermen en deze alleen te delen als dit wettelijk verplicht is of als een entiteit officiële toestemming heeft om deze op te vragen.
Bij het aanvragen van een Emirates ID is dit legaal
Een juridisch expert zei dat de vraag niet is of identiteitsverzoeken van Emirates in principe geldig zijn, maar of ze proportioneel zijn en naar behoren worden gecontroleerd.
“Het probleem is niet dat er nooit om een identiteitsbewijs van de Emiraten kan worden gevraagd”, zegt Nikhat Sardar Khan, proces- en DIFC-advocaat. “Bepaalde entiteiten kunnen daar een wettige basis voor hebben, bijvoorbeeld KYC, banknaleving, telecomregistratie of onboarding. Het verzoek moet echter proportioneel zijn. Het kopiëren of bewaren van Emirates ID-gegevens zonder een wettig doel is niet gerechtvaardigd en de organisatie moet ervoor zorgen dat deze niet wordt misbruikt.”
Ze voegde eraan toe dat individuen rechtsmiddelen hebben als er sprake is van misbruik. Betrokkenen kunnen klachten indienen tegen organisaties die hun gegevens verwerken in strijd met de wet, en kunnen verzoeken om correctie, verwijdering, beperking of toegang tot hun informatie. In ernstigere gevallen van inbreuken hebben organisaties ook meldings- en rapportageverplichtingen.
Een rechtszaak in Dubai laat zien hoe identiteitsmisbruik door Emirates tot fraude leidde
Nikhat benadrukte ook een afzonderlijk geval om te laten zien hoe identiteitsmisbruik tot grote fraude kan leiden. Een rechtbank in Dubai beoordeelde een geschil waarbij een werknemer betrokken was die naar verluidt de Emirates-ID van zijn werkgever had misbruikt om een bedrijfsaccount te openen en zichzelf als tekenbevoegde te positioneren.
Voordat de werkgever op reis ging, zou de werknemer een cheque van een kleine waarde hebben verkregen en later tijdens zijn afwezigheid de waarde ervan hebben gewijzigd. Hij schakelde ook de sms-alerts van de werkgever via een telecomkanaal uit, waardoor de zichtbaarheid van transacties werd verminderd.
De situatie verergerde toen een nieuwe bedrijfsrekening werd geopend en de werknemer tekenbevoegd werd, naar verluidt omdat dienstverleners de zaken niet goed hadden geverifieerd. Het chequebedrag steeg van ongeveer Dh96 naar Dh1.000.000, waardoor opnames van ongeveer Dh350.000 mogelijk waren.
Een deel van het geld werd teruggevorderd. “De zaak was slechts gedeeltelijk succesvol omdat het Hof oordeelde dat de werkgever ook nalatig was geweest door het Emirates ID toegankelijk op kantoor achter te laten”, aldus Nikhat.
Hoe cybercriminelen ID-gegevens kunnen gebruiken
Cybersecurity-expert Rayad Kamal Ayub, MD, Rayad Group, zei Emirates ID-gerelateerde fraude volgt doorgaans identificeerbare patronen in plaats van geïsoleerde incidenten.
“Veelvoorkomende fraudescenario’s zijn onder meer SIM-swap-fraude, nep-KYC-onboarding, UAE PASS-gerelateerde social engineering en identiteitshechting”, zei hij.
Bij SIM-swap-fraude gebruiken aanvallers persoonlijke identiteitsgegevens om telecomaccounts over te nemen en OTP’s van banken te onderscheppen. Valse KYC-onboarding creëert muilezelaccounts of frauduleuze financiële profielen. Identity stitching combineert fragmenten van gelekte gegevens, zoals contactgegevens, om volledige identiteitsprofielen op te bouwen voor fraude.
Rayad wees ook op een aanhoudende operationele zwakte bij het informeel delen van documenten.
“Een van de meest hardnekkige zwakke punten blijft het informeel delen van documenten. Inwoners wordt vaak gevraagd kopieën van hun Emirates-ID’s te sturen via WhatsApp, e-mail of andere onbeveiligde kanalen voor diensten zoals leveringsverificatie, toegangscontrole of administratieve verwerking. Eenmaal gedeeld, verliezen individuen vaak de controle over waar de gegevens worden opgeslagen, wie er toegang toe heeft en hoe lang ze worden bewaard”, zei hij.
Emirates ID is veilig
Het Emirates ID-systeem is ontworpen om veilige identificatie te bieden. De chip van de kaart bevat gecodeerde gegevens waartoe alleen geautoriseerde systemen toegang hebben. Het heeft ook verschillende fysieke beveiligingsfuncties en de hoofddatabase houdt identiteitsgegevens bij voor officiële controles.
“De meeste risico’s komen niet van het systeem zelf. Iets eenvoudigs als het scannen, fotograferen, e-mailen of doorsturen van een fotokopie van Emirates ID wordt beschouwd als ‘verwerking’ van persoonlijke gegevens onder de Wet Bescherming Persoonsgegevens. Dit leidt tot wettelijke verplichtingen voor organisaties om dataminimalisatie, doelbinding en veilige opslagpraktijken toe te passen”, legt Rayad uit.
Hoe Emirates ID-gegevens in de VAE te beschermen
Regelgevers en cyberbeveiligingsexperts zijn het eens over een eenvoudige reeks stappen die zowel individuen als organisaties moeten volgen.
De belangrijkste aanbevelingen zijn onder meer:
-
Deel Emirates ID-gegevens alleen wanneer dit strikt noodzakelijk is en voor een bepaald doel
-
Geef waar mogelijk de voorkeur aan VAE PASS-verificatie in plaats van het delen van documenten
-
Voeg watermerken, datums en doellabels toe aan alle ingediende kopieën
-
Vermijd het verzenden van Emirates ID-afbeeldingen via WhatsApp of onbeveiligde kanalen
-
Deel nooit kopieën van Emirates-ID’s samen met bankgegevens of OTP’s
-
Controleer de legitimiteit van verzoeken, vooral in informele of ad-hocsituaties
-
Bewaar alle verzamelde kopieën veilig met encryptie en toegangscontrole




