Webinar Kansspelautoriteit - Centraal Register Uitsluiting Kansspelen (Cruks)

(allereerst is Franklin Neuteboom als host aan het woord)

Goedemorgen allemaal. Welkom bij dit webinar van de Nederlandse Kansspelautoriteit. De Kansspelautoriteit begeleidt de introductie en de implementatie van de nieuwe wet Kansspelen op afstand. Een belangrijk onderdeel van deze nieuwe wet is het Centraal Register Uitsluiting Kansspelen, oftewel Cruks. Over Cruks gaan we het vandaag hebben in dit webinar, en dan specifiek gaat het over het technische aansluitproces. Dit webinar is dan ook primair bedoeld voor de ICT-ers die binnen hun organisatie verantwoordelijk zijn of betrokken zijn bij het aansluiten van Cruks. En vandaag richten we ons specifiek op de landgebonden aanbieders, dus de speelcasino's en de speelhallen. Ik zal me even heel kort voorstellen.
Mijn naam is Franklin Neuteboom. Ik ben als Senior Communicatie adviseur werkzaam bij de Kansspelautoriteit en ik zal vandaag optreden als host van dit webinar. De inhoudelijke informatie wordt verzorgd door twee van mijn collega's. Dat zijn Roderick Huizing, hij is de Product Owner van Cruks, en daarnaast Robert de Wolff. Hij is als Business Analist betrokken bij de ontwikkeling van het product Cruks.

Dit webinar vindt plaats in bijzondere omstandigheden wegens Covid. Daar zijn we ons bij de Ksa ook van bewust. We weten dat de casino's en speelhallen gesloten zijn momenteel en dat de kansspelbranche – net zoals veel andere marktsegmenten – momenteel een hele moeilijke tijd doormaakt. Er is ook goed nieuws, positief nieuws. De minister heeft enkele dagen geleden de nieuwe datum bekend gemaakt voor de inwerkingtreding van de Wet Koa en die nieuwe datum is 1 april. Waarschijnlijk weet u dat al en tijdens dit webinar en de presentatie van Roderick gaan we daar nader op in.

Voordat ik het woord geef aan Roderick, neem ik u heel kort even mee door het programma en het proces van dit webinar. Het duurt één uur, dus tot 12 uur zijn we samen. Roderick gaat dus een presentatie verzorgen en u kunt als deelnemer vragen stellen via de chat. Die vragen die binnenkomen die bekijken wij even. Of we beantwoorden ze tijdens de presentatie van Roderick, of we bundelen ze en gaan dan wat dieper in op die vragen na afloop van de presentatie. Maar dus nog wel tijdens dit webinar. Moet ik nog even bij benadrukken dat we vandaag alleen kijken naar vragen over het technische aansluitproces. Heeft u andere vragen, bijvoorbeeld over andere onderdelen van de Wet Koa of over andere aspecten die met Cruks te maken hebben, dan wil ik u vragen die vragen te stellen via onze e-mail. U kunt ze sturen naar info@kansspelautoriteit.nl. Nog een laatste opmerking over de chat. U kunt dus zelf vragen stellen, maar vanwege privacy issues kunt u niet de vragen zien die andere deelnemers stellen. Dus denk vooral niet het stil is in de chat. Er worden waarschijnlijk al vragen gesteld en we zien ze nu al binnenkomen. Goed, Cruks. Op de website van de Ksa is al de nodige informatie gepubliceerd. Ook over het technisch aansluitproces, maar vandaag gaan we wat dieper op de materie in. Daarvoor gaan we nu schakelen naar Roderick. Goedemorgen, Roderick. Na mijn inleiding geef ik nu graag aan jou het woord voor je presentatie.

(vervolgens geeft Franklin het woord aan Roderick voor het geven van een presentatie)

Goedemorgen iedereen, Dank je wel Franklin. Welkom, ook namens mij, bij deze webinar. Ik zal mij kort even voorstellen. Ik ben als Product Owner bij de Kansspelautoriteit werkzaam, waarbij ik verantwoordelijk ben voor de Cruks applicatie. Hierbij ben ik vooral verantwoordelijk voor de technische kant van Cruks. Dat wil zeggen het onderhoud op Cruks en de doorontwikkeling van Cruks en het aansluiten van vergunninghouders. Als je begint met aansluiten, dan kom je waarschijnlijk in eerste instantie bij mij terecht. En daarnaast ben ik ook het primaire aanspreekpunt voor vragen die er binnenkomen over Cruks. Wat ik vandaag ga vertellen, even in het kort. Ik begin met een overzicht op Cruks: Wat is Cruks? Daarna ga ik kijken naar de gegevens die in Cruks staan: Wat verwerken we eigenlijk aan gegevens en waarom? Dan kijk ik daarna naar de koppelvlakken en het aansluitproces zelf. Tot slot ga ik nog even in op het doorontwikkelen van Cruks: Wat onze plannen zijn en hoe we die vorm willen geven. Om te beginnen met Cruks zelf: Wat is Cruks? Zoals Franklin zei Cruks staat voor

Centraal Register Uitsluiting Kansspelen. Kort door de bocht is het een lijst met alle personen

die uitgesloten zijn van deelname aan risicovolle kansspelen. Dat zijn de online kansspelen,

als ook de speelhallen en casino's. Het doel van Cruks is om deze spelers en hun omgeving te beschermen. En om die reden staan er zowel spelers die zichzelf vrijwillig uitgesloten hebben in Cruks, als ook de spelers die onvrijwillig uitgesloten zijn. We gaan het vandaag niet hebben over het proces van hoe een speler onvrijwillig uitgesloten wordt. Als u vragen daarover heeft, zoals

Franklin zei, kunt u die naar ons mailen.

Om een schematische weergave te geven bij wat Cruks eigenlijk is. De speler komt in dit overzicht bovenaan de pagina binnen bij de kansspelaanbieder. De kansspelaanbieder zelf moet de identiteit van de speler vaststellen. En vervolgens gaat hij door het raadplegen van de API Cruks kijken of dat deze speler geregistreerd staat in Cruks. Als wij persoonsgegevens binnen krijgen van Cruks, dan controleren wij deze eerst in het BSN-register om te kijken of dat deze gegevens correct zijn, of dat deze persoon bestaat. En daarna gaan wij in onze database kijken of dat deze speler daar geregistreerd staat. Het antwoord op deze zoekopdracht die geven we terug, opnieuw via de API, aan de kansspelaanbieder. Waarbij het als resultaat heeft of deze speler mag spelen, of deze speler mag niet spelen. De onderste laag van het schema is volledig intern. Dat hebben bewust afgescheiden van de rest. Dat zijn de services waar de spelers zich registreren. Dat is waar we de verificatie van de persoonsgegevens doen. Om zo een zo klein mogelijk raakvlak te hebben naar de buitenwereld toe. Over hoe de systemen van kansspelaanbieders eruit moeten zien, hebben we de afgelopen tijd al een aantal vragen gehad en hier kunnen wij helaas eigenlijk geen goede uitspraken over doen. Probleem hiermee is dat iedere spelaanbieder een eigen invulling geeft aan hoe hij deze omgeving inricht en het heel aanbiederafhankelijk is hoe die omgeving eruitziet.

Daar kunnen we helaas geen advies over geven. Dan nog even wat Cruks niet is. Het is geen register waar we alle deelnemers aan kansspelen in opslaan. Alleen die personen die uitgesloten zijn van deelname aan kansspelen, die staan geregistreerd in Cruks. Mensen die alleen maar gecontroleerd worden en die vervolgens niet uitgesloten zijn - dat zal het merendeel van de mensen zijn - die registreren we ook niet in Cruks. Die kunnen we daar ook niet in terugvinden. Als zodanig is het ook geen monitoringstool. We gaan geen overzicht opbouwen van het gedrag van spelers in Cruks. We gaan niet bijhouden hoe vaak een specifieke speler deel wil nemen aan kansspelen. We gaan geen fraudedetectie doen op speelgedrag. De Crukscode, de code waarmee spelers geregistreerd staan in Cruks en die gecontroleerd kan worden in Cruks, is ook geen unieke identifier voor spelers. Het is niet een code die gebruikt kan worden om in een administratie een speler te identificeren. Het is een code die ook door de tijd heen kan wijzigen, als bijvoorbeeld wat verandert in hoe wij de Crukscode opbouwen. Als zodanig is het ook daar niet voor geschikt. Tot slot is het ook geen database waarin gecontroleerd kan worden of spelers een nieuwsbrief mogen ontvangen of niet. De reden hiervoor is dat Cruks alleen bedoeld is om te kijken of dat spelers mogen deelnemen aan een kansspel, ja of nee. Er is geen juridische grondslag voor het uitvoeren van additionele controles, zoals bijvoorbeeld: Is deze persoon uitgesloten van het ontvangen van een nieuwsbrief, ja of nee? Tot zover het onderdeel over een overzicht van wat Cruks is.

(Roderick stelt de volgende vraag aan Franklin)
Zijn er al vragen binnengekomen, Franklin?

(Franklin antwoordt)
Ja, Roderick. Verschillende mensen hebben gevraagd of dit webinar gedeeld wordt. Het antwoord is: ja, en straks aan het einde van deze sessie kom ik nog even op terug hoe en wanneer we dat gaan doen. Dat is de belangrijkste vraag om nu even te beantwoorden. Ik stel voor dat jij doorgaat met je vervolg van je verhaal.

(Roderick gaat verder met zijn presentatie)

Is goed, dank je wel. Dan om wat dieper in te gaan op de gegevens die in Cruks staan. Omdat Cruks nogal privacygevoelige gegevens bevat is de AVG zeker van toepassing op het Cruksregister en hebben ook contact gehad, onder andere met de Autoriteit Persoonsgegevens, over hoe we daarmee om moeten gaan. Bij het bouwen van Cruks hebben we alles gericht op het minimaliseren van de data die in Cruks staan. We zijn er als ontwerpprincipe vanuit gegaan dat we geen enkele gegevens bijhouden, tenzij deze gegevens strikt noodzakelijk zijn voor het identificeren van spelers. Van personen die uitgesloten zijn van kansspelen, of dat ze nodig zijn voor het deugdelijk beheer van het register. Om ervoor te zorgen dat het register in de lucht kan blijven, hebben we bepaalde gegevens nodig van mensen die in Cruks geregistreerd staan. Hierbij werken we eraan om de gegevens die in Cruks staan zo kort mogelijk te bewaren. Als de speler uitgesloten is, staat alleen gedurende de tijd dat hij uitgesloten is, zijn gegevens geregistreerd in Cruks. Daarnaast hebben we ook alles erop gericht om deze gegevens zo veilig mogelijk te bewaren. Dat is bijvoorbeeld de reden waarom we alleen een database met Crukscodes zelf publiek toegankelijk hebben en alle spelergegevens afgeschermd hebben van de buitenwereld. Wat de AVG voor kansspelaanbieders betekent, daar kunnen wij zelf niks over zeggen, buiten dat er in zowel de nieuwe Wet Koa een aantal verwijzingen staan naar privacy, als ook dat de AVG gewoon van toepassing is op het Cruksregister. Ons advies is dan ook om met je functionaris gegevensbescherming te overleggen, over hoe je met deze gegevens om moet gaan. Wat staat er dan aan persoonsgegevens in Cruks? Daar staan de gegevens die nodig zijn om spelers die uitgesloten zijn te indexeren en daar maken we onderscheid tussen spelers die een BSN hebben en spelers die dat niet hebben. Op het moment dat een speler een BSN heeft, dan hebben wij aan het BSN, de geboortedatum en de achternaam genoeg om met voldoende zekerheid vast te stellen dat deze persoon bestaat en wie hij is, met behulp van de check die wij in het BSN-register kunnen doen. Heeft een speler geen BSN dan moeten we naast de achternaam en geboortedatum ook de voornamen en de geboorteplaats van deze persoon hebben. Als we deze gegevens combineren dan hebben we ook daarmee voldoende zekerheid over wie deze persoon is. Daarnaast houden we ook wat onderzoeksgegevens bij in Cruks. In de Wet Koa staat expliciet vermeld dat we deze gegevens bij moeten houden. Dat doen we voor beleidsontwikkeling en voor statistisch onderzoek. De gegevens die we zelf bijhouden die zijn volledig geanalyseerd. Het gaat dan om hoeveel mensen er ingeschreven staan in Cruks, hoeveel mensen er in de loop der tijd uitgeschreven zijn. We houden de leeftijdsgroep van mensen die ingeschreven staan in Cruks bij. Niet de leeftijd zelf, maar alleen of dat een speler in de range van 18 tot 20 of van 20 tot 30 valt, enzovoort. Daarnaast het aantal raadplegingen dat gedaan wordt in Cruks. Op het moment dat een kansspelaanbieder een controle doet van een speler dan hogen wij een tellertje met één op en dan weten we dat er een raadpleging heeft plaatsgevonden. Tot zover de gegevens die in Cruks staan.

(Roderick stelt een vraag aan Franklin)

Voordat we verder gaan, Franklin zijn er nog vragen binnengekomen?

(Franklin antwoordt)

Ja Roderick. Er is een vraag binnengekomen die ik graag even aan jou voorleg nu: 'Hoe krijgen we die Crukscode in relatie tot de toegangscontrole?' Kun jij daarop reageren?

(Roderick beantwoordt de vraag)

Over de Crukscode zelf, daar gaan we in het aankomende deel op in. Hoe deze relatie gelegd moet worden met de persoon, dat is denk ik aan de kansspelaanbieder. Die moet op moment dat een speler toegang wil krijgen tot deelname aan kansspelen, moet hij de identiteit vaststellen van de persoon en daarbij een controle in Cruks uitvoeren en dan krijgt daar de kansspelaanbieder de Crukscode vervolgens terug en kan hij zelf in zijn systeem die relatie leggen.

(Franklin neemt weer het woord)
Dank je wel. Er zijn nog twee vragen die ik je graag even kort voorleg. "Hoe check je een gast in Cruks via het scannen van een document?" is de vraag.

(Roderick reageert op de vraag)
Dat kan. Opnieuw, dat is vooral aan de kansspelaanbieder zelf hoe hij het proces inricht. De Wet op de Kansspelen stelt dat de aanbieder de identiteit van de persoon met voldoende zekerheid

vast moet stellen. Dus dat is door controle van het identiteitsdocument. Dit kan een aanbieder handmatig doen. Dit kan ook geautomatiseerd worden met een scansysteem. Dat kan allebei.

(Franklin legt weer een vraag voor)
Dank je. De laatste vraag voor nu even. Ik lees het voor: "Gebruikelijk is dat gasten een formulier invullen waarmee men een vrijwillig verbod aanvraagt. Hoe voer je die gegevens, 'ID-bewijs' staat tussen haakjes, in bij het Crukssysteem?"

(Roderick antwoordt)
Er zijn twee manieren waarop een speler vrijwillig uitgesloten kan worden. We hebben een portal voor Cruks, waar mensen met hun DigiD in kunnen loggen en dan kunnen vragen of ze

uitgesloten kunnen worden. Daarnaast hebben we ook op dezelfde website een formulier staan, wat gedownload kan worden, en dan ingevuld en teruggestuurd kan worden naar de Kansspelautoriteit. Ja, dank je wel. Ik denk dat je bij het laatste ook aangeeft dat het een beetje buiten het onderwerp valt van het technische aansluitproces. - Ja. - Maar dat gasten, in de toekomst, dus dat vrijwillig verbod aanvragen via de Ksa. - Ja, klopt. Daarin is voorzien en dat gaat via de Ksa.

(Franklin reageert)
Duidelijk. Wil jij doorgaan Roderick? - Ja!

(Roderick gaat weer door met zijn presentatie)

En dan nu over het aansluiten op Cruks zelf. Franklin die zei het al in zijn introductie;

De minister heeft de datum waarop de Wet Koa in werking treedt vastgesteld. Die staat nu op 1

april van dit jaar. Cruks wordt zes maanden later op 1 oktober 2021 operationeel. Vanaf die datum moeten controles van spelers uitgevoerd worden. Consequentie daarvan is ook dat als je op 1 oktober nog niet aangesloten bent, dat je dan niet meer mag exploiteren. Dus dan

mag je geen spelers meer binnenlaten. Omdat wij verwachten dat er erg veel aansluitingen op Cruks zullen komen, hebben wij halverwege die periode, op 1 juli 2021, hebben wij een datum gelegd waarop -als een kansspelaanbieder voor die datum zijn aansluittoets op Cruks aangevraagd heeft - dat wij dan kunnen garanderen dat die voor 1 oktober beoordeeld is, afgenomen is en beoordeeld is. Komt de aanvraag voor de aansluitingstoets na 1 juli binnen dan kunnen wij die garantie niet meer afgeven, omdat het best kan zijn dat er nog 120 andere mensen of 120 andere partijen zijn die ook diezelfde aansluittoets aangevraagd hebben, en dat we voor 1 oktober die laatste aanvragen dan niet meer verwerkt kunnen krijgen.

Met die datum in het achterhoofd ben ik wel benieuwd naar hoever men is met het aansluitproces. We hebben een kleine poll die, als het goed is, zometeen in beeld komt. Waarbij we benieuwd zijn waar mensen staan in het proces. Of dat er mensen al begonnen zijn, of dat nog niet begonnen zijn, of dat het ontwikkelwerk al onderweg is, en of dat bijvoorbeeld mensen al de aansluittoets aangevraagd hebben of niet. Als het goed is, ik heb begrepen dat er al een aantal antwoorden binnen zijn. Ik ben zelf wel heel erg benieuwd hoever we staan, ook met inachtneming dat het ontwikkelwerk zelf eigenlijk wat doorlooptijd gaat vragen. Dan gaan we zo denk ik naar Franklin toe. Die als het goed is de uitslag heeft. Ik heb de uitslag zelf nog niet in beeld.

(Vervolgens neemt Franklin het woord)

Oké, ik zie hem nu binnenkomen. Ja Roderick, jij kunt het niet zien. Ik houd het graag even tegen je aan en misschien kun je daar op reageren. Van de mensen die hebben gereageerd geeft ruim 70 procent aan dat zij nog niet begonnen zijn. 5 procent is bezig met de aanvraag.

Ongeveer 10 procent is begonnen met het ontwikkelen. Nou en dan 2 procent ontwikkelwerk afgerond en 2 procent heeft de aansluittoets al afgelegd. Dus 70 procent, ik denk dat dat het meest opvallende cijfer ook is, is nog niet begonnen.

(Roderick reageert op de resultaten van de poll)

Dat is wel een licht zorgwekkend percentage. Zoals gezegd, het ontwikkelwerk heeft wel wat voeten in de aarde. Er zijn ook een aantal vereisten, bijvoorbeeld vanuit privacyaspecten waar rekening mee gehouden moet worden. Ik had graag het percentage hoger gezien dan dat het nu is. Hopelijk, de komende tijd, neemt het percentage toe en gaan we meer partijen zien die aanvragen om aan te mogen sluiten.

(Franklin reageert op Roderick)

Nou denk ik dat je een duidelijke reactie geeft. Ook een uitnodiging aan alle deelnemers om

misschien direct na dit webinar aan de slag te gaan. Misschien nog twee vragen even die ik graag tegen je aan houd en bepaal jij maar of je die vragen nu wilt beantwoorden, of je het wil

doorschuiven. Een vraag over gebruik van BSN en naam en geboortedatum die zijn direct herleidbaar naar natuurlijke personen. Dan is er sprake van een verhoogd risico bij een datalek.

Is dat geborgd op enige wijze?
(Roderick geeft een reactie op de vraag die Franklin stelt)
Ik denk dat ik daar zo op terug ga komen, op het moment dat we het ook over de Crukscode gaan hebben. - Prima.

(Franklin stelt nog een vraag)

Dan nog een vraag, dat gaat: "Is dat een toets per exploitant of per locatie (aanwezigheidsvergunning)?"

(Roderick antwoordt)

Ook daar komen zometeen op terug. Het korte antwoord is: het mag allebei.

(Franklin reageert)

Goed, dan wachten we dat even af. Ga jij nu door met je presentatie?

(Roderick vervolgt zijn presentatie)

Zoals eerder gezegd, de controle vindt plaats via de API, die door ons in de lucht gehouden wordt. Daarin maken we onderscheid tussen een eerste raadpleging en vervolgraadpleging. Een eerste raadpleging die wordt gedaan voor een speler waarvan geen Crukscode bekend is. Dus een nieuw persoon die binnenkomt, die nog niet gecontroleerd is in Cruks, die heeft nog geen Crukscode. Dan wordt een eerste raadpleging check uitgevoerd. Die is er in twee smaken. Die is er of met een BSN, of voor een buitenlands identiteitsdocument. Waarvan nu beide versies in beeld staan. De API is een redelijke standaard restAPI, waar een post naartoe geplaatst wordt, met daarin voor een BSN check de BSN, de geboortedatum, de naam en eventueel tussenvoegsels. Bij een buitenlands identiteitsdocument wat andere informatie. Op het moment dat het om een speler gaat die meerdere nationaliteiten heeft, hoeft er maar één check uitgevoerd te worden. Binnen Cruks kunnen wij meerdere identiteitsdocumenten en meerdere nationaliteiten van één persoon aan elkaar knopen, waardoor we voor deze persoon, op het moment dat hij geregistreerd staat in Cruks, op alle identiteiten die gecontroleerd worden, terug kunnen geven of dat deze persoon wel of niet geregistreerd staat in Cruks. Dus daarom hoeft er maar één check uitgevoerd te worden. Het antwoord dat terugkomt van de API is een hit of een no hit. En wat betekent dat als er een hit is: dan staat deze persoon geregistreerd en dan mag deze persoon dus niet deelnemen aan een kansspel. Daarnaast sturen we ook altijd de Crukscode mee terug. Deze kan dan vastgelegd worden door de aanbieder waarmee een vervolgraadpleging uitgevoerd kan worden. Die vervolgraadpleging is een stuk eenvoudiger. Dan wordt alleen de Crukscode die eerder voor een speler verkregen is, wordt gecontroleerd in Cruks. Waarbij we dan hetzelfde antwoord teruggegeven, namelijk: Deze persoon staat wel of niet geregistreerd in Cruks. Er komt ook altijd een Crukscode mee terug. Het is mogelijk dat dit een nieuwe Crukscode is, waarbij dan ons advies is om deze nieuwe Crukscode te registreren in plaats van de oude code. Om zo altijd de meest recente versie van de Crukscode bij de hand te hebben. En mogelijkheid waarom bijvoorbeeld de Crukscode kan wijzigen, is als wij intern de versleuteling van de Crukscode aangepast hebben, dan verandert de code en geven we dus ook een nieuwe code terug. De Crukscode zelf is inderdaad, zoals net gevraagd werd, gemaakt op basis van de persoonsgegevens. Wij nemen voor de BSN-Crukscode het BSN, de achternaam en geboortedatum van een persoon. Deze wordt versleuteld en die versleuteling die doen we met het certificaat van de vergunninghouder. Op die manier heeft een speler bij iedere kansspelaanbieder zijn eigen Crukscode. Dit om bijvoorbeeld het samenvoegen van lijsten van Crukscodes, om zo te kijken of dat je de versleuteling in kan verbreken, is niet mogelijk. De versleuteling is ook zo gedaan dat wij kunnen controleren of dat het hier om een echte code gaat of om een willekeurige reeks tekens. Tekens die teruggegeven worden, het is een string van tenminste 700 karakters Om dan even in te gaan op het borgen van de veiligheid van de gegevens. Wij proberen zoveel mogelijk deze gegevens volledig te versleutelen. Dat is ook de reden waarom we met de Crukscode werken. Het BSN-nummer mag dan ook niet zomaar bewaard worden door de kansspelaanbieder, maar op deze manier sturen we ook slechts eenmalig voor een speler een BSN over het internet naar ons toe en daarna werken we altijd met de Cruks-code. Daarnaast hebben we de API zo ingericht dat alleen een vergunninghouder bij de API kan komen. Dus hij is niet zomaar publiek toegankelijk voor iedereen om Crukscodes te gaan controleren. Het aansluit traject: de volledige informatie hierover is op onze website terug te vinden. De website die genoemd staat als je gaat naar de kansspelautoriteit website en zoekt op Cruks, is ook één van de eerste zoekresultaten is de pagina met de aansluitinformatie. Het aansluiten zelf begint altijd met een e-mail naar het cruks@kansspelautoriteit.nl e-mailadres, met daarbij het verzoek om aan te mogen sluiten op Cruks. Als antwoord op dit verzoek krijg je bericht van ons met daarin alle documentatie die ook op de website staat. Daarin zit een overzicht van hoe Cruks eruitziet. Hoe de omgeving opgebouwd is. Daar zit een YAML-file bij met daarin alle API goals die uitgevoerd kunnen worden. Dit is een overzicht van de testcases die er zijn om zo ervoor te zorgen dat je zo snel mogelijk aan de slag kan met het bouwen van je Cruks-aansluiting. Er zijn twee zaken die wij nodig hebben om een kansspelaanbieder aan te sluiten. Dit is zowel voor de proeftuinomgeving als voor de productieomgeving het geval. We hebben een IP-adres of de IP-adressen nodig vanaf waar de verbinding wordt gemaakt, zodat we die kunnen whitelisten. En we hebben een PKI-overheidscertificaat nodig. Dit mag hetzelfde certificaat zijn voor zowel de proeftuinomgeving als de productieomgeving. Het mogen er ook meerdere zijn om bijvoorbeeld meerdere services aan te kunnen sluiten of om een certificaat dat bijna verloopt te vervangen. Hierbij, op het moment dat je begint, de opmerking dat het aanvragen en PKI-overheidscertificaat een doorlooptijd van ten minste twee weken heeft. Dus houd daar rekening mee op moment dat je aan gaat sluiten. Dat je niet te laat begint met het certificaat aanvragen, want dan zit je twee weken duim te draaien totdat je certificaat binnen is. Op het moment dat wij je die IP-adressen en je certificaat ontvangen hebben, kunnen wij je toegang geven tot de proeftuinomgeving. Vanaf dan komt de beheerpartij van Cruks in beeld, dat is Netcompany. Zij beheren de omgeving die Cruks draaiende houdt. Zij voeren ook het technisch onderhoud uit op Cruks en zij begeleiden de technische kant van het aansluiten. Dus op moment dat er vragen zijn die specifiek over de API gaan, die kunnen door Netcompany beantwoord worden. Hiervoor heeft Netcompany een eigen helpdesk ingericht en de toegang daartoe ontvang je nadat je aangevraagd hebt om aan te mogen sluiten op Cruks. Dan kan je gaan ontwikkelen. Op het moment dat je daarmee klaar bent, dan vraag je de aansluittoets aan. Dit kan opnieuw via het cruks@kansspelautoriteit.nl e-mailadres. Dan gaan we samen de aansluittoets doorlopen. De verwachte duur van deze toets is één á twee uur. In deze periode lopen we een aantal testcases af, waarmee we kunnen verifiëren of de aansluiting goed opgezet is.

Dan, de vraag die Franklin eerder stelde: Wie sluit er nou precies aan? Dit kan zowel een individuele speelhal zijn, als ook een BV waar een aantal speelhallen onder vallen, of ook een holding waar een aantal BV’s met speelhallen onder vallen. Je mag één aansluiting hebben per holding die 50 of meer speelhallen bedient.

Je kan ook ervoor kiezen om iedere speelhal individueel aan te laten sluiten. Of zelfs, mocht je willen, een variant daarop, waarbij een aantal speelhallen zelf aansluiten en de rest via een

centrale aansluiting lopen. Het maken van de aansluiting mag uitbesteed worden ook aan een IT-dienstverlener. Er zijn een aantal partijen die Cruks-aansluitingen aan willen bieden. Wij kunnen als overheidsinstantie geen partij aanraden die dit verzorgt. We hebben ook geen overzicht van marktpartijen die Cruks-aansluitingen maken en aanbieden aan kansspelaanbieders, dus daar kunnen wij zelf geen uitspraken over doen. Tot zover het aansluiten op Cruks zelf.

(Roderick stelt een vraag aan Franklin)

Zijn daar vragen over binnengekomen Franklin?

(Franklin reageert)

Ja Roderick, er zijn best veel vragen binnengekomen. Sommige vragen worden ook al direct via de chat beantwoord door Robert. Het zijn vragen die wat kleiner zijn. En hier is even Robert in beeld. Robert is dus de moderator van dit webinar. Vanwege zijn inhoudelijke en technische kennis is hij degene die ons helpt bij het beantwoorden van de vragen. Nu zijn er best wel veel vragen binnengekomen. Een deel zullen we na afloop van jouw presentatie beantwoorden Roderick, maar deze wil ik in ieder geval tegen je aanhouden. Het is toch wel een simpele, maar toch wel belangrijke vraag, denk ik, en dat is: "Waar staat de afkorting API eigenlijk voor?"

(Roderick geeft antwoord)

Het is een application programming interface. Het is een ingang waarmee computers met elkaar kunnen praten. Het zorgt ervoor dat een server naar Cruks toe een bericht kan sturen volgens een van tevoren vastgesteld format, en dan geven wij een antwoord in hetzelfde format terug, zodat er geen mensen tussen in hoeven te gaan zitten die berichten interpreteren.

(Franklin neemt het woord)

Dank je. Nog een vraag: "Is het gebruik van die Crukscode

echt verplicht of mag je altijd via BSN opvragen?" Ik weet niet of de vraag voor jou helemaal

duidelijk is, maar zo krijgen we het binnen.

(Roderick beantwoordt deze vraag)

De reden hiervoor is dat je op die manier het gebruik van BSN zo ver mogelijk beperkt,

omdat je anders mogelijk tegen privacyregels aan gaat lopen. Het is niet verplicht. Het is wel geadviseerd.

(Franklin reageert)

Ja, Dank je wel Roderick. Ik geloof dat Robert nog wat kan aanvullen op jouw antwoord.

Robert, wil jij dat doen?

(Robert reageert op de vraag van Franklin)

Ja, prima, want je hebt een eerste raadpleging op basis van de identiteitsgegevens en de vervolg raadpleging op basis van de Crukscode. Houd er rekening mee dat de eerste raadpleging voor ons wat duurder is. We gaan ook de GBA raadplegen aan de achterkant. Dus wil je heel snel toegang hebben door je poortje, is die vervolgraadpleging echt aan te raden. Die is gewoon qua snelheid al een stuk sneller.

(Franklin reageert)

Ja, dank je Robert voor deze aanvulling. Ik zou Roderick nog een vraag willen stellen die is binnengekomen. Vind ik ook wel een interessante logische vraag ook wel: "Als mensen komen met buitenlandse ID-papieren, hoe moeten we dan omgaan met tekens die er niet in de standaard Nederlandse taal zitten?" Dus ik neem aan dat hier bedoeld wordt bij ID-papieren in een ander buitenlands schrift, kun je daar iets over zeggen?

(Roderick antwoordt)

Ja, binnen Cruks accepteren we deze tekens. Op het moment dat ze binnenkomen gaan we ze normaliseren. We gaan ze omzetten naar de dichtstbijzijnde Latijnse tekens die we hebben. Om zo een zo uniform mogelijke versie van de naam opgeschreven te hebben. Dat is ook waarmee we de Crukscodes vervolgens samen gaan stellen. De ideale situatie is dat wij deze tekens doorgegeven krijgen. Dat we zelf die een normalisatieslag toe kunnen passen. Ik kan mij voorstellen dat niet alle tekens mogelijk zijn. In dat geval is het advies om een teken wat zo dicht mogelijk bij het specifieke teken in de buurt komt toe te passen.

(Franklin reageert)

Dank je wel Roderick voor dit antwoord. Er zijn nog veel meer vragen binnengekomen.

Ik stel voor dat we die even parkeren en oppakken na het einde van jouw presentatie.

Dus ik wil je vragen om door te gaan met je volgende hoofdstuk.

(Roderick gaat door met zijn presentatie)

Dan gaan we eventjes een blik op de toekomst werpen. Storingen. Het kan altijd voorkomen dat Cruks niet bereikbaar is. We doen er zelf alles aan om dit zo veel mogelijk te voorkomen. Alle systemen die we gemaakt hebben die zijn redundant uitgevoerd. We hebben meerdere versies van applicaties draaien naast elkaar. Zo dat als er eentje niet in de lucht is, de andere het nog blijven doen. Het is ook schaalbaar opgezet, dus mocht het ineens druk worden, om wat voor reden dan ook, dan kunnen we daar direct op inspelen. Desondanks, mocht het voorkomen dat Cruks geen antwoord geeft, en dit is de schuld van de Kansspelautoriteit, dan mogen spelers die zich melden toegelaten worden. Als er een storing is kan deze 24 uur per dag en 7 dagen per week bij Netcompany gemeld worden. Dit kan telefonisch en zij gaan er dan vervolgens alles aan doen om ervoor te zorgen dat Cruks weer draaiende is. Daarnaast zijn we ook bezig met het maken van een statuspagina. Dit is een eenvoudige website waarop staat of dat Cruks en alle systemen die binnen Cruks van belang zijn daarvoor, of dat alle systemen nog in de lucht zijn. Omdat zo op een snelle manier gekeken kan worden of dat er wel of geen storing is aan onze kant. Mocht de storing aan de kant van de kansspelaanbieder liggen, dan is het een ander verhaal. Dan mogen er geen spelers toegelaten worden. Dat is het belangrijke verschil tussen waar dat de storing ligt. Dan over het doorontwikkelen naar de toekomst toe. We verwachten op dit moment geen wijzigingen aan de API. Het kan altijd dat ze voor gaan komen. Bijvoorbeeld als er een keer een wetswijziging is, maar momenteel staan er voor dit jaar geen wijzigingen op de planning. Wat we wel van plan zijn om te wijzigen, is de look and feel van de portal waarbinnen de spelers zich kunnen registreren om uitgesloten te worden van kansspelen. We gaan nog werken aan het halen van de onderzoeksgegevens uit Cruks. Tot slot, de eerder genoemde statuspagina is ook nog in ontwikkeling. Mochten er wijziging op de API komen, dan staat hier hoe we daarmee omgaan. Er zijn twee verschillende soorten wijzigingen. Er zijn additieve wijzigingen: wijziging waarbij we een extra API maken die

naast de bestaande API draait. Op het moment dat we een dergelijke API gaan bouwen, dan zullen we dit tijdig aankondigen op de website van de Kansspelautoriteit. We zullen deze wijziging ook in een vroeg stadium al in de proeftuinomgeving beschikbaar maken zodat ermee getest kan worden. Mocht het verplicht zijn om deze API te gaan gebruiken, dan zullen we ook kansspelaanbieders een aantal maanden de tijd geven nadat de wijziging live staat om aan hun

kant de wijziging door te voeren. Mochten we nu op een bestaande API een wijziging doorvoeren waardoor de manier van bevraging verandert en dus bestaande API-vraag niet meer zou werken, dan gaan we daar in principe op dezelfde manier mee om als bij een additieve wijziging, maar daarnaast zullen we er ook voor zorgen dat de oude versie en de nieuwe versie gedurende een aantal maanden naast elkaar blijven draaien door te werken met verschillende versies van de API die bevraagd kunnen worden. Dit zorgt ervoor dat op moment dat de wijzigingen live gaan, niet meteen de oude versie niet meer werkt. Waardoor de kansspelaanbieders een aantal maanden de tijd hebben om de wijzigingen goed door te voeren en te testen. Dan mochten er na het webinar nog vragen komen over Cruks, dan kunnen de algemene vragen naar ons info@kansspelautoriteit.nl e-mailadres gemaild worden en dan komen ze vanaf daar bij de juiste persoon terecht die voor antwoord zorgt. Zoals gezegd, incidenten moeten gemeld worden bij Netcompany. Ze hebben hun eigen issue-management systeem waar dit soort zaken ingelogd kunnen worden En daarnaast hebben ze een telefoonnummer waarop ze beschikbaar zijn. Voor het aansluiten op Cruks is er het

cruks@kansspelautoriteit.nl e-mailadres. Tot zover mijn presentatie.

Ik denk dat het nu tijd is om terug te gaan naar de studio en vandaar te kijken wat er verder nog aan vragen binnengekomen is via de chat.

(Franklin reageert)

Ja Roderick. Het is intussen bijna 10 voor 12. Dank je wel voor je presentatie. We hebben nog

een minuutje of tien voor een vragenrondje. Er zijn inderdaad ook nog enkele vragen binnengekomen. En wat je zelf al aangaf, als er mensen zijn die vanmiddag alsnog een vraag willen stellen omdat hen iets te binnen schiet, dan kan dat natuurlijk door een mail te sturen

naar: info@kansspelautoriteit.nl. Dan pak ik nu even de vragen op die zijn binnengekomen en waarvan ik denk dat het goed is om ze hier in dit webinar al te beantwoorden.

De eerste is: "Is er een mogelijkheid om uitsluitingen in de proeftuin aan te brengen?"

Ik zie je omhoog kijken.

(Roderick geeft een reactie)

Ja ik zit even te denken wat er precies met de vraag bedoeld wordt. In de proeftuinomgeving staan er een aantal testpersonen die uitgesloten zijn en die niet uitgesloten zijn en die gecontroleerd kunnen worden. Daarnaast zijn we bezig met een algemeen BSN-nummer te maken, wat iets van waarschijnlijk negen keer nul is, om te kijken of dat op het moment dat je een persoon doorgeeft met dat BSN-nummer, dat je altijd terug krijgt dat die persoon uitgesloten is. Dus dat jij je eigen proefpersonen kan maken, waarvan je altijd weet dat op het moment dat je dat BSN-nummer mee geeft, dat die uitgesloten is. Er is niet een mogelijkheid om zelf spelers het traject door te laten lopen om uitgesloten te worden. Die koppeling is niet voor de kansspelaanbieders beschikbaar.

(Franklin neemt het woord)

Dank je. Ik neem aan dat dit voor de vragensteller als antwoord afdoende is, en zo niet stel dan opnieuw de vraag, desnoods anders geformuleerd, nog even via de chat of anders via de mail.

Dan ga ik door naar de volgende vraag: "Herkent het Cruks-systeem de oude Cruks-code van de spelers als in de tussentijd deze code om technische redenen is gewijzigd?"

(Roderick beantwoordt de vraag)

Ja, wij zorgen ervoor dat oude Crukscodes altijd herkend worden op het moment dat we de Crukscode versleuteling wijzigen, zodat er een nieuwe Crukscode terugkomt. Dus de oude variant die blijven we herkennen. Ons advies is wel om de nieuwe code te allen tijde op te slaan, omdat er mogelijk bijvoorbeeld een beveiligingslek in de codeversleuteling zat waardoor wij over zijn gaan naar een nieuwe variant.

(Franklin stelt nog een vraag)

Ja, en volgende vraag: "Per wanneer kan ik Cruks bevragen en dus de Crukscodes gaan opslaan?"

(En Roderick beantwoordt deze vraag)

Die datum staat momenteel op 1 oktober van dit jaar. Per 1 oktober wordt Cruks operationeel

en vanaf die datum kunnen ook bevragingen gedaan worden. Het heeft er onder andere mee te maken dat de aansluiting op het BSN-register, dat we die pas mogen doen vanaf het moment

dat we daar een goede reden voor hebben, namelijk dat de wet in werking getreden is en we

grondslag hebben om die bevragingen te gaan doen.

(Franklin gaat door met het stellen van een vraag)

Ik heb hier nog als vraag staan: 'Zijn fixed IP-adressen nodig voor de Cruks aansluiting?'

(Roderick reageert)

Momenteel wel. We zijn wel aan het kijken of dat we daar omheen kunnen werken.

We kunnen wel meerdere IP-adressen voor één aansluiting opslaan en ook een range van IP-adressen, maar momenteel is daar een fixed IP-adres voor nodig.

(Franklin is aan het woord)

Ja, dan kom ik nu bij de laatste vraag. Althans, die we op dit moment hebben binnengekregen.

En dat is: "Moet het Cruks een op zichzelf staand systeem zijn of mogen we dit ook samen met een loyalty registratie laten lopen?"

(Roderick reageert)

In principe maakt het voor ons niet uit hoe het systeem precies gebouwd is voor de kansspelaanbieder. Het mag allebei, met de kanttekening dat Cruks goed op zichzelf staand getest moet kunnen worden, en dat het moet voldoen aan de wettelijke eisen die gesteld zijn. Maar het mag het onderdeel zijn van het algemene gastregistratiesysteem.

(Franklin neemt het woord)

Ja, dank je. Ik krijg nog geen nieuwe vragen meer binnen. Ik kijk nog even naar Robert die naast mij staat, op een veilige anderhalve meter. Ik vraag hem of hij nog dingen heeft die hij door wil geven.

(Robert antwoordt)

Er zijn al wat vragen binnengekomen. Die heb ik eigenlijk ook al beantwoord. Dat waren hele specifieke vragen. Ik heb nu niet echt een vraag die in de groep kunnen behandelen. We gaan toch wel alle vragen nog na afloop delen. Dus heb je nu nog een vraag, zet hem

in de chat, dan geef ik hem even door.

(Franklin vult aan)

Ja, dan wachten we heel eventjes of er nog vragen binnenkomen. En zo niet, dan gaan we langzamerhand afsluiten. Het is ook bijna vijf voor twaalf, dus we zitten mooi op schema.

Ik stel nog een vraag en ik leg die dan gelijk voor aan Robert hier: "Wat moeten we precies loggen van de Cruks-check om aan een controle van de Ksa te voldoen?" Is dat een vraag die jij kunt en wil beantwoorden?

(Robert antwoordt)

Ik zou hem graag willen beantwoorden. Ik heb alleen niet geheel het antwoord daarop. Wat wel de bedoeling is, is dat je in ieder geval logt welke raadpleging je hebt gedaan bij Cruks. Dus als je dat het eerste raadpleging bericht hebt verstuurd en/of de vervolgraadpleging hebt verstuurd, dan dienen die wel gelogd te worden.

(Franklin reageert en sluit de bijeenkomst af met een bedankwoord)

Oké, in ieder geval een gedeeltelijk antwoord, dank je wel.

Ja, beste deelnemers, het is vijf voor twaalf, bijna twaalf uur. We gaan nu ook dit

vragenrondje afsluiten. Er zijn nog wat vragen die we niet helemaal hebben beantwoord, en er komen misschien nog meer vragen, die gaan we beantwoorden via de website van de Ksa. Wanneer we dat doen dan krijgt u daar vooraf persoonlijk bericht over. Dit webinar zelf kunt u later ook nog eens terugkijken en de planning is nu dat we dat begin februari gaan plaatsen op ons YouTube-kanaal. Dat als laatste informatie. Dan wil ik graag nu Roderick bedanken voor zijn presentatie, Robert voor de ondersteuning en ook Youri voor de technische ondersteuning.

En uiteraard wil ik ook alle deelnemers aan dit webinar bedanken voor hun interesse en voor hun vragen. De Ksa, de Kansspelautoriteit, hoopt dat u dit een nuttige sessie heeft gevonden. En dat horen we ook graag wat u ervan vond, want u ontvangt van ons nog een evaluatieformulier. Hierbij alvast de vraag om dat in te vullen en te retourneren. Dat helpt ons bij toekomstige webinars en andere communicatie-uitingen, om die nog beter af te stemmen op de wensen van de doelgroep. Dan sluit ik nu af met het toewensen aan alle deelnemers en alle bedrijven met heel veel succes met uw verdere voorbereidingen op die nieuwe Wet Koa en dan, in het bijzonder, wat betreft het aansluiten op Cruks. Nogmaals dank en een hele prettige dag verder.