Vraag & antwoord Wet Koa

Voor het kunnen aanbieden van kansspelen op afstand in Nederland, dient de vergunninghouder gevestigd te zijn binnen de EU of de EER. Dit is geregeld in artikel 31g, eerste lid, van de Wet Koa. Dit vestigingsvereiste wordt gehanteerd vanwege het passende beschermingsniveau binnen de EU en EER. Op dit vereiste wordt geen ontheffing verleend.

Met Brexit is het Verenigd Koninkrijk niet langer onderdeel van de EU en EER, maar geldt het als een zogeheten ‘derde land’. Kansspelaanbieders die vanuit het VK kansspelen op afstand willen aanbieden in Nederland, komen dan ook niet in aanmerking voor een vergunning.

Als vergunninghouder maakt u bij wervings- en reclameactiviteiten voor kansspelen in ieder geval geen gebruik van persoonsgegevens waarvan u weet of redelijkerwijs kunt vermoeden dat ze zijn verkregen in het kader van deelname van die personen aan een kansspel waarvoor de raad van bestuur geen vergunning heeft verleend als bedoeld in deze wet.

En, bij de inschrijving maakt u geen gebruik van gegevens van spelers, waarover u reeds beschikte voordat u een vergunning is verleend op grond van de Wet op de kansspelen. Bij deze inschrijving maakt u evenmin gebruik van gegevens van spelers, waarvan u weet of redelijkerwijs kunt vermoeden dat deze zijn gekregen door een andere aanbieder van kansspelen die toen hij de gegevens kreeg niet beschikte over een vergunning die is verleend op grond van de Wet op de kansspelen.

Artikel 4.42 van het Besluit Koa verplicht de vergunninghouder de elektronische middelen, zoals de liquidity server, in de EU/EER te plaatsen. De Kansspelautoriteit heeft er begrip voor dat (aspirant-)vergunninghouders door uiteenlopende omstandigheden niet altijd op het moment van vergunningverlening al hun elektronische middelen in de EU/EER kunnen plaatsen en dat ze wellicht meer tijd nodig hebben om dat voor elkaar te krijgen.

De plaats van de elektronische middelen hoeft niet vergunningverlening niet in de weg te staan. Ook in ons toezicht en handhavingsbeleid kunnen wij rekening houden met deze omstandigheden.

Plaatsing buiten de EU/EER mag in ieder geval niet tot gevolg hebben dat de vergunninghouder zich onttrekt aan de relevante verplichtingen die volgen uit het Unierecht, bijvoorbeeld ten aanzien van consumenten- en privacybescherming.

Controledatabank moet in Nederland staan

Een uitzondering op het bovenstaande betreft de verplichting om de controledatabank in Nederland te plaatsen, waaraan aanbieders onverkort moeten voldoen. De Kansspelautoriteit zal daar dan ook op toezien.

Als leverancier hoeft u geen eigen Koa vergunning te hebben. Als uw klant actief wil zijn als online kansspelaanbieder op de Nederlandse markt heeft hij een vergunning nodig. Uw klant kan wel informatie van u nodig hebben die relevant is voor zijn Koa vergunningaanvraag in Nederland.

Voor het assurance-rapport waarmee u aantoont te voldoen aan de voorwaarden afgescheiden spelerstegoeden kunt u een professionele standaard gebruiken. Bijvoorbeeld de Standaard 3000 NV COS of een vergelijkbare Europese standaard.

De Kansspelautoriteit bepaalt in artikel 8.1 lid 4 van de Beleidsregels vergunningverlening kansspelen op afstand dat wij van iedere aanvrager een zekerheidsstelling verwachten van €50.000. Dat bedrag is gebaseerd op artikel 5.4 van het Besluit kansspelen op afstand waarin staat dat de Kansspelautoriteit bevoegd is om de hoogte van de financiële zekerheid te bepalen, maar dat het bedrag niet hoger mag zijn dan de geldboete van de 6e categorie.

Illegaal online kansspelaanbod wegen wij als antecedent mee bij de betrouwbaarheidsbeoordeling. In artikel 3.8 van de Beleidsregels vergunningverlening kansspelen op afstand noemen we verschillende data en periodes. Illegaal spelaanbod dat binnen beschreven grenzen is gebleven wegen wij lichter mee dan aanbod buiten de beschreven grenzen. Ter verduidelijking geven wij die grenzen aan in onderstaande kalender.

De werking van artikel 3.8 heeft een beperkte geldigheidsduur en dat doen wij bewust. Het is namelijk van belang dat aanbieders zo snel mogelijk een aanvraag indienen, nadat de Wet kansspelen op afstand in werking treedt.

Aanvragen na maart 2022: illegaal aanbod weegt zwaarder mee

Bij aanvragen ingediend na maart 2022 wegen wij het illegale aanbod van kansspelen zwaarder mee bij de beoordeling, dan bij aanvragen die daarvoor zijn ingediend - ook al is het aanbod binnen de beschreven grenzen gebleven.

Aanbod na 31 december 2019: leeftijdsverificatie op orde?

De periode na 31 december 2019 is donkerrood. Daarmee geven wij aan dat ook de leeftijdsverificatie na die datum op orde moet zijn, zoals is beschreven in artikel 3.8, eerste lid, onder b. Alleen als de leeftijdsverificatie vanaf dat moment op orde was en ook aan de andere criteria van artikel 3.8 is voldaan, wegen wij illegaal aanbod lichter mee. Was dit niet op orde, dan wegen wij illegaal aanbod niet lichter op grond van dit artikel, ook al zou voldaan zijn aan de andere criteria van artikel 3.8.

Aanbod na 30 juni 2019: niet actief op Nederland gericht?

De periode na 30 juni 2019 is rood en donkerrood. Uit artikel 3.8, eerste lid, onder c, volgt dat illegaal aanbod van kansspelen op afstand in die periode niet actief op Nederland gericht mag zijn geweest. Als dat toch het geval was, kunnen wij illegaal aanbod niet lichter meewegen op grond van artikel 3.8.

Aanbod na 30 juni 2018 en voor 1 juli 2019: wachten met aanvraag?

De periode na 30 juni 2018 en voor 1 juli 2019 is oranje. Als pas vanaf enig moment in deze periode voldaan werd aan de vereisten van artikel 3.8, eerste lid, onder c, dan wegen wij illegaal aanbod pas lichter mee op grond van dit artikel bij aanvragen die zijn gedaan nadat 2 jaar en 8 maanden zijn verstreken vanaf dat moment. Natuurlijk moet dan ook aan de andere criteria van artikel 3.8 zijn voldaan.

Een voorbeeld: als sprake is van illegaal aanbod waarbij vanaf 3 september 2018 aan alle genoemde criteria wordt voldaan, dan wegen wij illegaal aanbod pas bij aanvragen gedaan vanaf 3 juni 2021 lichter mee op grond van dit artikel.

Mocht u de aanvraag toch voor 3 juni 2021 indienen, dan wegen wij illegaal aanbod bij de behandeling van die aanvraag nog zwaar mee. De weergegeven corresponderende letters (in dit geval ‘C’) geven de periode van 2 jaar en 9 maanden weer.

Aanbod voor 1 juli 2018: direct aanvragen?

De periode voor 1 juli 2018 is groen. Als al vanaf enig moment voor 1 juli 2018 aan de criteria uit artikel 3.8 wordt voldaan, dan wegen wij het illegale aanbod lichter mee op grond van dit artikel.

Het is de verantwoordelijkheid van de keuringsinstelling om vast te stellen of het onderwerp van onderzoek voldoet aan de gestelde eisen. Daarom is het ook aan de keuringsinstelling in hoeverre zij dit kunnen vaststellen op afstand.

Alleen de vergunningsaanvrager zelf mag de keuringscertificaten indienen bij de Kansspelautoriteit.

U mag 1 rapport per spel of 1 rapport voor al uw spellen aanleveren. Zolang elk keuringsrapport voldoet aan de eisen die wij stellen in het Besluit kansspelen op afstand, artikel 4.54.

De gegevens die wij in Cruks vastleggen zijn:

• BSN, naam, geboortedatum en geboorteplaats
• Periode van uitsluiting
• De reden: vrijwillig of onvrijwillig
• De herkomst van gegevens in het register:  vergunninghouder, speler zelf of een 'derde belanghebbende', zoals familie

Deze gegevens zijn nodig om om de Cruks-code te genereren en om de identiteit van de persoon vast te stellen. Zie 33h derde lid juncto 21 Besluit Koa.

Wij mogen gegevens niet voor andere doeleinden gebruiken dan waarvoor verzameld. Wij gaan met de uiterste zorgvuldigheid om met persoonsgegevens zie onze privacyverklaring.

Als een speler zich registreert in Cruks vragen wij alle nationaliteiten te registreren. Bij controle in Cruks door de aanbieder hoeft de speler zich met maar 1 van zijn nationaliteiten te identificeren.

Uitgangspunt is dat de speler zichzelf registreert, ‘vrijwillig’. Uitsluiting heeft immers het meeste zin als de speler zelf hiervoor kiest en zich zo nodig ook laat behandelen voor zijn of haar gokverslaving.

Maar er zijn 2 omstandigheden waarin een speler tegen zijn wil - ‘onvrijwillig’ - kan worden ingeschreven:

1. Op verzoek van iemand die aantoonbaar een persoonlijke relatie heeft met de speler- een zogeheten ‘derde belanghebbende’, bijvoorbeeld een partner, een familielid, een door de rechter aangewezen curator, een voogd of bewindvoerder.
2. Een aanbieder van risicovolle kansspelen is verplicht zijn spelers te monitoren op tekenen van kansspelverslaving. Als hij het vermoeden heeft dat een speler door onmatige deelname of door kansspelverslaving zichzelf of naasten schade kan berokkenen en deze speler zich na het advies van de kansspelaanbieder niet vrijwillig laat registreren in het register, moet de kansspelaanbieder dit melden bij de Kansspelautoriteit. De Kansspelautoriteit kan die speler dan in Cruks registreren.

In beide gevallen zal de Kansspelautoriteit eerst zelf onderzoek doen voordat ze eventueel overgaat tot registratie.

In het Conceptbesluit kansspelen op afstand dat de minister van Rechtsbescherming aan de Tweede Kamer heeft voorgelegd staat - in artikel 19, pagina 26 - welke gegevens een aanbieder of derde belanghebbende moet verstrekken aan de Kansspelautoriteit als hij een speler wil aandragen voor onvrijwillige inschrijving in Cruks. Op pagina 149 van het Conceptbesluit staat een toelichting op dit artikel.

De Kansspelautoriteit werkt op dit moment aan een beleidsregel waarin staat welke gegevens de Kansspelautoriteit nodig heeft van een derde belanghebbende of aanbieder en hoe de zorgvuldige afweging in beide gevallen tot stand komt.

De beslistermijn van de Kansspelautoriteit na een verzoek tot opname van aanbieders en derde belanghebbenden nemen wij op in een beleidsregel en maken wij dan hier bekend. De Kansspelautoriteit werkt op dit moment aan deze beleidsregel.

Heeft de speler geen burgerservicenummer? Dat geldt vaak voor buitenlanders, maar ook voor sommige Nederlanders, ook dan is het mogelijk een Crukscode te genereren.

Crukscode voor houders van een burgerservicenummer

• Crukscode voor BSN-houders = BSN + naam + geboortedatum

Crukscode voor spelers zonder burgerservicenummer

• Crukscode voor mensen zonder BSN = naam + voornamen + geboortedatum + geboorteplaats

Als een speler zich registreert in Cruks vragen wij alle nationaliteiten te registreren. Bij controle in Cruks door de aanbieder hoeft de speler zich met maar 1 van zijn nationaliteiten te identificeren.

Volgens de specificaties dient data binnen 30 minuten nadat het feit heeft plaatsgevonden in uw CDB te staan.  Hoe u dit uitvoert is afhankelijk van de inrichting van uw CDB. U kunt zelf de procedures en configuratie kiezen om plaatsing in CDB binnen 30 minuten te realiseren.

Als vergunninghouder moet u instaan voor de kwaliteit van procedures en configuratie en de betrouwbaarheid van de gegevens garanderen.

De regelgeving onderscheidt voor de controledatabank 3 verschillende vormen van toezicht. Dit is bijvoorbeeld terug te vinden in artikel 5.3, derde lid, Besluit Koa:

• toezicht op kansspelen (Wok)
• toezicht op belasting op kansspelen (KSB)
• toezicht op anti-witwas regelgeving (Wwft)

Via uw controledatabank verzamelen Kansspelautoriteit en Belastingdienst informatie rechtstreeks voor elk van deze vormen van toezicht. Wij wisselen informatie niet onderling uit. De naam van de XSD hangt samen met de terminologie in de betreffende wet.

Uitgangspunt bij opname van gegevens in xml is dat dit gebeurt in UTF 8, de standaard encoding van de Nederlandse overheid.

Conversie is soms nodig. Bijvoorbeeld: sessiesleutels zullen waarschijnlijk van binair naar UTF 8 moeten worden omgezet. Gewoonlijk verloopt dit via een Base64 encoding als tussenstap.

De sessiesleutel moet worden vercijferd met behulp van de openbare sleutel die door de Kansspelautoriteit wordt verstrekt met behulp van RSA-OAEP met SHA-256 en MGF1 met SHA-256.

Courtesy translation:
The session key must be encrypted using the public key provided by KSA using RSA-OAEP with SHA-256 and MGF1 with SHA-256.

Ja. Houdt u wel rekening met het volgende:

• de vergunninghouder is en blijft verantwoordelijk voor de naleving van de Wet op de kansspelen en de daarop gebaseerde regelgeving, ook bij uitbesteding aan derden
• het inschakelen van specialistische dienstverleners mag het toezicht door de Kansspelautoriteit niet belemmeren
• de Kansspelautoriteit houdt toezicht op vergunninghouders. Zij zijn verantwoordelijk voor de naleving van de wet- en regelgeving. De Kansspelautoriteit onderhoudt geen toezichtsrelaties met derden die door een vergunninghouder worden ingehuurd.

Algemene Verordening Gegevensbescherming

Let op: in de CDB worden persoonsgegevens verwerkt. De Algemene Verordening Gegevensbescherming is op deze verwerking van kracht. U bent verantwoordelijk voor naleving van deze verordening, ook bij inhuur van derden.

Wij willen tijdig op de hoogte zijn van een geplande verstoring in, aan of van uw CDB, bijvoorbeeld door onderhoud. Zo voorkomt u dat wij overbodig onderzoek doen naar mogelijk disfunctioneren van de CDB.

Volgens het Besluit Koa is de Kansspelautoriteit bevoegd om fysiek onderzoek te doen aan uw CDB. Bij fysiek onderzoek gaat het om bevoegdheden in het kader van toezicht zoals:

• betreding van de ruimte waar de CDB is geplaatst (artikel 5:15 Awb en artikel 34e Wok)
• het onderwerpen van de CDB aan onderzoek (artikel 5:18 Awb) en
• verzegeling van de CDB dan wel de ruimte waar die zich bevindt (artikel 34d Wok)

Als u computerapparatuur of dienstverleners huurt voor uw CDB neemt u in het contract met de verhuurder of dienstverlener op dat wij onze onderzoeksbevoegdheden kunnen uitvoeren. U neemt dan bijvoorbeeld op dat een datacenter of de dienstverlener de Kansspelautoriteit toegang geeft tot de opgeslagen gegevens.

De inhoud van bijvoorbeeld een gehuurde computer kan door de security officier van het datacenter beschikbaar worden gesteld voor overname van die gegevens door de Kansspelautoriteit.

Een exitplan CDB is verplicht bij de vergunning voor het aanbieden van kansspelen op afstand.

Met uw exitplan voldoet u aan de eisen in artikel 5:3 Besluit Koa, de leden 3 (toegang), 4 (bescherming van gegevens tegen verlies en onrechtmatige verwerking) en 5 (veilige overdracht van gegevens) bij beëindiging van een CDB.

In het bijzonder moet uw exitplan een oplossing bieden voor voor de 12-maanden-termijn (artikel 4.13, vierde lid, RKoa) bij beëindiging van de CDB.

Met uw exitplan dekt u zowel een aangekondigde als een onverwachte beëindiging van uw CDB af. De aanleiding voor een beëindiging kan bijvoorbeeld zijn: einde van uw vergunning, overname van uw bedrijf, of faillissement. Uw exitplan voorziet in de daarbij passende maatregelen.

Wanneer meld ik een exit-situatie?

In uw exitplan neemt u in elk geval op dat u een naderende beëindiging bij de Kansspelautoriteit meldt zodra deze bekend is. In elk geval doet u de melding uiterlijk 72 uur voorafgaand aan de inwerkingtreding van het exitplan.

In het plan is ook opgenomen hoe u de melding aan de Kansspelautoriteit doet. Bijvoorbeeld zowel mondeling als schriftelijk.

Hoe regel ik de overdracht van data?

In uw exitplan neemt u op hoe de Kansspelautoriteit beschikking krijgt over uw technische middelen als u zelf niet meer in staat bent om de integriteit en beschikbaarheid van de (meta)data te waarborgen, bijvoorbeeld bij een (plotseling) faillissement.

In dat geval zorgen wij voor een complete en accurate beëindiging en vernietiging van de (meta)data. De kosten hiervan worden verhaald, eventueel via de curator.