De Nederlandse casinomarkt wordt sinds de opening in oktober 2021 gereguleerd door de Kansspelautoriteit (KSA). Om kansspelverslaving tegen te gaan, werd het Centraal Register Uitsluiting Kansspelen (Cruks) in het leven geroepen, wat als doel heeft om spelers (tijdelijk) de toegang tot Nederlandse casino’s te ontzeggen wanneer ze risicovol speelgedrag vertonen. Aansluiting op het Cruks is een eis voor casino’s die de legale route willen bewandelen. Met deze invoering komen ook enkele eisen met betrekking tot de systemen die kansspel exploitanten moeten gebruiken. In dit artikel gaan we dieper in op hoe deze systemen werken en hoe veilig persoonsgegevens zijn binnen het Cruks.
Hoe werkt het Cruks-systeem?
Iedere Nederlandse casinovergunninghouder moet een streng deurbeleid handhaven. Dit betekent voor online casino’s dat zij tijdens het registratieproces de identiteit van een speler moet vaststellen en vervolgens moet controleren of die speler op dat moment al dan niet in Cruks geregistreerd staat. Pas na deze verificatie (met een negatief resultaat) mag de speler op het online platform beginnen met spelen. Bij iedere nieuwe inlog wordt het proces herhaald en het Cruks telkens opnieuw geraadpleegd.
Hetzelfde geldt voor brick-and-mortar casino’s, waar bezoekers bij de ingang worden geïdentificeerd en waar vastgesteld moet worden of een speler in het Cruks voorkomt. Als een bezoeker in het Cruks geregistreerd staat, moet de toegang worden geweigerd. De Nederlandse Kansspelautoriteit houdt toezicht op het proces en als een casino een speler toelaat die is opgenomen in het Cruks, kan de vergunning worden ingetrokken en een boete worden opgelegd.
Het Cruks registreert zowel spelers die zichzelf vrijwillig willen sluiten van deelname, als spelers die onvrijwillig uitgesloten worden. Een onvrijwillige aanmelding kan zowel vanuit aanbieders van kansspelen worden gesignaleerd, als ook via een naaste van een speler die risicovol gedrag vertoond, in welk geval de aanmelding in het Cruks na een onderzoek kan worden verwerkt door een medewerker van de KSA. Dit houdt ook in dat bij Cruks uitschrijven in de tussentijd niet mogelijk is.
Welke gegevens worden geregistreerd?
Wanneer een speler zich voor het eerst aanmeldt bij een online casino, of als de speler toegang wil tot een brick-and-mortar casino, worden de persoonlijke gegevens van die speler gebruikt om het Cruks te bevragen en registratie te controleren. Dit kan echter niet alleen met de naam van een speler, omdat een naam als Henk Jansen of Jan de Vries uiteraard meerdere resultaten kan opleveren. Spelers moeten daarom een (kopie) ID-bewijs overhandigen waarop naam, BSN-nummer, geboortedatum en geslacht staan.
De persoonsgegevens worden gevalideerd bij de Beheervoorziening Burgerservicenummer (BVBSN) en het Cruks-systeem gebruikt vervolgens de gevalideerde (en eventueel gecorrigeerde) gegevens, om een record te maken en een zogenaamde "Cruks-code" te genereren. Deze code wordt vergeleken met de lijst van geregistreerde codes en als het op de lijst voorkomt, mag de speler niet worden toegelaten. Als een klant geen BSN heeft, dan worden de naam, geboortedatum en geboorteplaats vastgelegd bij de KSA zodat er alsnog een Cruks-code kan worden gemaakt.
De codes worden opgeslagen in een aparte database waar casino’s contact mee kunnen maken. De persoonsgegevens zelf worden opgeslagen in een aparte database, die wordt onderhouden door de Kansspelautoriteit en deze zijn niet toegankelijk voor andere partijen. Aanbieders van kansspelen slaan de Cruks-code van een bij hen geregistreerde speler zelf op en moeten vervolgens het BSN van een speler verwijderen. In de Wet ter voorkoming van witwassen en financiering van terrorisme staat dat casino’s verplicht zijn om de ID-kopie tot 5 jaar te bewaren nadat iemand klant is geweest. Casino’s zijn tevens verplicht om na het controleren van de identiteit het burgerservicenummer weg te lakken op de bewaarde kopie.
Voor spelers die niet zijn opgenomen in het Cruks, slaat het systeem geen persoonlijke informatie op. Daarnaast geldt dat voor alle spelers, al dan niet geregistreerd, het Cruks geen gegevens over het spelgedrag bijhoudt, zoals het aantal keren dat iemand inlogt of bedragen die zijn gestort; dit is informatie die alleen door het casino wordt opgeslagen.
Het PKI-overheid certificaat
Om het voor de autoriteiten eenvoudig te maken om te controleren of iemand wel of niet geautoriseerd is om te spelen volgens het Cruks, moeten online casino’s een PKI-certificaat installeren. Het moet worden geïnstalleerd op de server die verbinding maakt met de KSA en zonder dit certificaat is het niet mogelijk om legaal kansspelen in Nederland aan te bieden met een vergunning. Het certificaat moeten online casino’s zelf aanschaffen en kan worden verkregen bij een erkende certificaat dienstverlener. Voordat een casino Cruks kan aanvragen, moet de publieke sleutel van het PKI-certificaat aan de KSA worden verstrekt.
Welke systemen worden er nog meer gebruikt?
Naast het Cruks zijn er systemen die zich specifiek richten op online casino’s en die helpen om een klant snel te kunnen identificeren. Casino’s mogen zelf een commercieel identificatiesysteem kiezen dat gekoppeld kan worden aan Cruks. Deze systemen zijn over het algemeen een stuk geavanceerder dan het Cruks en hiermee kan veel meer gecontroleerd worden dan alleen een code op een lijst.
Onafhankelijke partijen zoals GBG bieden bijvoorbeeld customizable opties aan voor automatische sabotagedetectie voor documenten en Face Match-technologie waarmee gezichten op ID-bewijzen worden gematcht met selfies. Zowel GBG als GetID bieden 'Liveness Detection' aan, waarmee bewezen kan worden dat de persoon op de foto of in het filmpje echt bestaat door hen een aantal simpele taken te laten uitvoeren, zoals knipperen met de ogen of naar links of rechts te draaien met het hoofd. Dit soort geavanceerde snufjes zien we niet terug in het Cruks-systeem, waardoor het aankomt op de casino’s om de identificatieplicht correct uit te voeren. Een soepel KYC-proces (Know Your Customer) is van groot belang voor casino’s, omdat klanten eenvoudig ergens anders kunnen gaan spelen, waar het proces gebruiksvriendelijker en sneller is. Om klanten zo snel mogelijk toegang te geven, is het voor casino’s dus een goede investering om een identificatiesysteem te gebruiken dat klantvriendelijk, betrouwbaar en bovendien snel is.
Casino zonder Cruks of met?
Een van de redenen dat online gokkers er vaak voor kiezen om bij een online casino zonder Cruks te spelen, is de mate van toezicht door de overheid en de KSA. Eenmaal geregistreerd, is bij het Cruks uitschrijven niet mogelijk, waardoor het Cruks omzeilen vaak de enige optie is voor (probleem)gokkers die een speelpauze van minimaal 6 maanden niet zien zitten.
Hoewel de maatregel met de beste bedoelingen in het leven is geroepen voor gokkers met problemen, zijn er ook spelers die hun online anonimiteit dusdanig waarderen, dat zij liever spelen bij een casino zonder vergunning van de Nederlandse overheid. Volgens casinozondercruks.net is feit dat er een groot aanbod buitenlandse casino’s is, waar spelers anoniem kunnen gokken zonder Cruks, is echter wel een dubbelzijdig zwaard. Dit is vooral zo omdat buitenlandse casino’s juist niet onder toezicht staan en dus geen verantwoording hoeven af te leggen aan een overheidsinstantie. Spelers kunnen daardoor geen hulp krijgen bij geschillen en kunnen het doelwit worden van fraude en aangezet worden om grote bedragen te vergokken.
Veilig gokken is wat dat betreft dus wel mogelijk bij een online casino met Cruks, als we het hebben over eerlijk spelverloop en hulp als een speler te ver gaat, maar je levert wel veel in op het gebied van privacy. Hoewel persoonsgegevens versleuteld worden opgeslagen, is dat nog geen garantie dat de informatie niet gelekt kan worden, bijvoorbeeld door een aanval op het online casino. Voor spelers die veilig (en dus privé) willen gokken, zijn er een hoop online casino’s zonder Cruks beschikbaar, hoewel je daar weer geen garantie hebt dat het casino altijd het beste met je voor heeft. De vraag blijft daarom: waar lever je liever op in, privacy of veiligheid?
