Important note for international visitors: The information below has been written in Dutch. We are describing the possibilities of compliance audits for licensed iGaming operators withing the Netherlands. While the article is in Dutch, XYLS will also be perfectly able to perform the needed services in English. Please contact us through info@xyls.nl so we can explain more on our compliance audit services.
Het aanvragen van een vergunning voor het aanbieden van kansspelen op afstand (binnen Nederland) vergt veel van organisaties. In de voor online kansspelbedrijven relevante wet- en regelgeving, zoals het Besluit kansspelen op afstand, worden uiteenlopende (procesmatige) eisen gesteld aan (potentiële) vergunninghouders. De organisatiestructuur dient volledig inzichtelijk gemaakt te worden, waarbij ook de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (Bibob) als preventief bestuursrechtelijk instrument wordt ingezet. Daarnaast dient de organisatie aan te tonen financieel stabiel te zijn, worden er eisen gesteld aan het spelsysteem, dient er voldaan te zijn aan (de relevante onderdelen) uit de Wet ter voorkoming witwassen en financieren terrorisme (Wwft), worden er onder andere beleidsstukken gevraagd met betrekking tot verslavingspreventie en nog veel meer.
Bij een positieve beoordeling door de Kansspelautoriteit (Ksa) van de aangeleverde informatie, kan een organisatie een vergunning verkrijgen voor het aanbieden van kansspelen op afstand. Waar de aanvraagprocedure vaak als zwaar wordt beschouwd, kan zonder meer gesteld worden dat het doorlopend werken volgens de wet- en regelgeving na het ontvangen van een vergunning eveneens een zware last is. Waar bijvoorbeeld in beleidsstukken keurig is opgeschreven hoe een organisatie te werk zal gaan, dient nu ook aangetoond te worden dat dit beleid ook daadwerkelijk gevolgd wordt. Vergunde aanbieders dienen hierbij te zorgen dat er toereikend intern toezicht wordt gehouden. Daarbij wordt er dan gekozen voor het aanstellen van een compliance officer, of het inrichten van een compliance afdeling.
Middels dagelijkse controles op de gang van zaken en het voeren van interne audits kan een compliance officer ‘up to speed’ blijven. Door het goed bijhouden van het werk kan vervolgens ook voldaan worden aan de strenge rapportageplichten van de Ksa. Toch kunnen de veelheid aan processen en de intensiviteit van de benodigde controles leiden tot eventuele ‘blind spots’. Het inhuren van een specialist voor het uitvoeren van externe compliance audits biedt daarbij uitkomst: met een frisse blik worden alle hoofdprocessen beoordeeld. XY Legal Solutions (XYLS) voert dergelijke compliance audits uit binnen het kader van de Wet kansspelen op afstand (Wet Koa).
XYLS heeft, onder andere door ondersteuning bij vergunningsaanvragen en ruime ervaring met Koa audits, de juiste kennis om toereikende compliance audits uit te voeren. Middels vragenlijsten, interviews, consults, documentatie- en systeemaudits; wordt een beeld geschetst van de stand van zaken bij de vergunninghouder. Over de bevindingen wordt gerapporteerd en worden concrete actiepunten aangedragen. XYLS is in staat vrijwel alle hoofdprocessen te beoordelen binnen het kader van de kansspelwet- en regelgeving, waarbij ook gekeken kan worden naar de Algemene Verordening Gegevensbescherming (AVG). Hieronder worden de processen toegelicht welke in de meeste gevallen onderdeel zijn van de compliance auditcyclus door XYLS. Let op: het is ook mogelijk om XYLS in te schakelen voor een audit van een aantal van de hieronder genoemde processen (en daarmee dus niet een volledige audit).
Bij het voeren van een audit op het proces voor verslavingspreventie bij een vergunningshouder, wordt onder andere goed gekeken naar het juridische kader. Artikel 7 lid 1 en lid 2 van het Besluit werving, reclame en verslavingspreventie kansspelen (Besluit Reclame), artikel 12 van de Regeling werving, reclame en verslavingspreventie kansspelen (Regeling Reclame) en paragraven 3.1 en 3.3 van de Beleidsregels verantwoord spelen. Te allen tijde analyseert XYLS de situatie aan de hand van de wet- en regelgeving binnen de volledige context. Ook wordt gekeken naar het huidige politieke klimaat. Gesteld kan immers worden dat verslavingspreventie en de zorgplicht van vergunninghouders doorlopend onderwerp van discussie en gesprek blijven binnen Nederland.
XYLS kijkt bij het auditen van verslavingspreventiebeleid onder andere naar de laatste versie van de beleids- en proceduredocumentatie. Er worden vragen gesteld aan verantwoordelijke personen welke volgen uit het lezen van deze documentatie, maar ook in algemene zin. Er wordt specifiek gekeken naar de wijze waarop de vergunninghouder omgaat met risico- en probleemspelers, jongvolwassenen en de manier waarop ondersteuning wordt geboden (o.a. doorverwijzingen naar relevante instanties en Cruks aanbevelingen). Ook wordt er gekeken naar de manier waarop wordt omgegaan met de gevoelige informatie over risico- en probleemspelers en naar de interactie tussen de compliance officer en de afdeling voor verslavingspreventie. Uiteindelijk zal XYLS op basis van een analyse aangeven welke zaken goed gaan, maar ook beschrijven welke verbeterpunten er liggen voor de vergunninghouder.
Te ontvangen product voor de vergunninghouder bij onderdeel audit verslavingspreventiebeleid:
Een rapport waarin de bevindingen van de audit helder worden beschreven. Referenties naar wet- en regelgeving worden gemaakt waar passend en met onderbouwing wordt uitgelegd waarom de vergunninghouder op onderdelen werkt volgens de wettelijke eisen. Waar nodig, bevat het rapport verbeterpunten met indien mogelijk suggesties voor de aanpak hiervan.
Het opzetten en beheren van een controledatabank is een integraal onderdeel van de vergunningsaanvragen en het kunnen aanbieden van kansspelen op afstand in Nederland. De controledatabank is immers vereist om near-real-time speelgegevens vast te leggen. Daarnaast dient de kansspelaanbieder altijd toegang te kunnen verschaffen aan de Kansspelautoriteit (en eventueel andere overheidsinstanties) tot de controledatabank. Dankzij deze toegang kan de Kansspelautoriteit toezicht houden. Dit toezicht is bedoeld om bijvoorbeeld te controleren of de vergunninghouder juiste risicobeoordelingen bij spelers maakt en ingrijpt indien een speler gevaarlijk speelgedrag vertoont. Hierbij dient de controledatabank aan strenge eisen te voldoen welke in wet- en regelgeving, waaronder afdeling 3 Regeling kansspelen op afstand (Regeling Koa) paragraaf 3.1.3 “CDB” van het Remote Gambling Assessment Scheme en de Specifications for the remote gambling data safe (the CDB), worden beschreven.
Verschillende documentatie dient hiervoor in orde te zijn. Denk aan het controleplan, exit plan, change management plan, acces plan, pseudonymisatiebeleid en het data mapping proceduredocument. Dit hoeven niet per se aparte documenten te zijn. Ook kunnen deze onderdelen weergegeven worden in samengevoegde documentatie. Het belangrijkste hierbij is dat alle punten uit de voornoemde wet- en regelgeving en beleidsstukken zijn verwerkt. Bij de audits zulle wij vanuit XYLS alle CDB gerelateerde documentatie controleren op de wettelijke en door de Kansspelautoriteit gestelde eisen. Daarnaast zal XYLS vragen stellen aan verantwoordelijke personen binnen de organisatie. Hierbij wordt gekeken of besproken procedures binnen de organisatie ook daadwerkelijk gevolgd worden en of verschillende beleidsstukken elkaar niet op enig punt tegenspreken. Uiteraard voeren we iedere audit uit op basis van de laatste ontwikkelingen in het kader van wet- en regelgeving en nieuwe eisen van de Kansspelautoriteit. XYLS zal daarna een analyse verschaffen waarin bevindingen worden besproken samen met (mogelijke) verbeterpunten voor de vergunninghouder.
Te ontvangen product voor de vergunninghouder bij onderdeel audit controledatabank:
De vergunninghouder ontvangt een rapport waarin alle bevindingen en de daaruit volgende verbeterpunten staan geformuleerd. De bevindingen met verbeterpunten worden voorzien van een gedegen onderbouwing, waarbij van toepassing zijnde wet- en regelgeving wordt aangehaald. Uiteindelijk kan de vergunninghouder zelf beslissen of de aangehaalde verbeterpunten ook daadwerkelijk worden geïmplementeerd. Hierbij zal XYLS aangeven welke verbeterpunten extra aandacht verdienen.
Binnen het juridische kader (onder andere het Besluit Werving, de Regeling Werving, het Besluit Orka), zorgt XYLS voor het analyseren van het marketingbeleid. Documentatie audits (beleid en proces) worden uitgevoerd, waarbij uiteraard ook goed wordt gekeken of de documentatie nog altijd up to date is. XYLS zal zich ook specifiek richten op (het stellen van vragen over) specifieke acquisitietools die gebruikt worden (advertenties, affiliatie, zoekmachine advertenties bijvoorbeeld). Ook wordt grondig nagegaan op welke wijze marketing wordt afgestemd op verslavingspreventiebeleid (en de daaraan gekoppelde risicoanalyse van spelaanbod). Er wordt eveneens goed gekeken naar bonussen, en de manier waarop deze worden aangeboden (hoe wordt hierin gehandeld met betrekking tot jongvolwassenen bijvoorbeeld?).
Te ontvangen product voor de vergunninghouder bij onderdeel audit marketingbeleid:
Na beantwoording van vragen (vragenlijsten en consults), documentatieaudits en eventueel systeemaudits; zal XYLS een helder rapport opstellen over het onderdeel marketingbeleid. Hierin komen uiteraard ook duidelijke verbeterpunten aan bod.
In 2022 gaf de Ksa te kennen dat onderzoek had uitgewezen dat Wwft-verplichting onvoldoende worden nageleefd. Zo stelde de Ksa in dit onderzoek gemerkt te hebben dat er onvoldoende treffend onderzoek naar de herkomst van geld van spelers werd gedaan. Ook op het gebied van ongebruikelijke transacties bleken er tekortkomingen: meldingen aan de FIU-Nederland werden onder andere niet tijdig gedaan.
De Ksa let goed op naleving van het Wwft-beleid (en natuurlijk de tenuitvoerlegging van dat beleid). Wwft-beleid kan gezien worden als een van de meer ingewikkelde onderdelen van het verkrijgen en onderhouden van een Koa-vergunning. Het laten verrichten van een externe audit kan daarmee waardevolle inzichten opleveren. Hierbij wordt gekeken naar risicobeoordelingen, klantonderzoek, ongebruikelijke transactie, de manier waarop documentatie wordt bewaard, op welke manieren medewerkers bij de vergunninghouder op de hoogte blijven van Wwft-plichten en bijvoorbeeld op welke wijze het Wwft-beleid geïmplementeerd is binnen de compliancestructuur van de vergunninghouder.
Te ontvangen product voor de vergunninghouder bij onderdeel audit Wwft:
XYLS begint met het stellen van een breed scala aan algemene vragen, waarna verdiepingsvragen worden gesteld op basis van de antwoorden en de documentatieaudits. Uiteindelijk ontvangt de vergunninghouder een rapport met formulering van de verkregen inzichten en de nodige verbeterpunten. Vanzelfsprekend wordt het ook benoemd als onderdelen juist erg goed worden opgepakt binnen de organisatie.
Binnen de vergunningsstructuur wordt er eveneens gelet op kwaliteitsmanagement (QMS). Artikel 4.40 sub a van het Besluit kansspelen op afstand beschrijft het volgende:
‘De vergunninghouder draagt er voor zorg dat in zijn organisatie wordt ontwikkeld, toegepast en onderhouden: …a… een kwaliteitsmanagementsysteem dat voldoet aan de bij regeling van Onze Minister gestelde vereisten.’
In de Regeling kansspelen op afstand, onder artikel 3.27 lid 1 (met verwijzing naar de vereisten uit onderdeel 3.2 van bijlage 3 bij deze regeling), wordt het QMS weer genoemd.
Te ontvangen product voor de vergunninghouder bij onderdeel audit van het QMS:
XYLS heeft kennis van de ISO 9001 (de standaard voor een kwaliteitsmanagementsysteem) en ook de technische kanten van een vergunningsaanvraag (het spelsysteem onder andere). Met deze kennis wordt het QMS van de vergunninghouder bekeken, waarbij focus wordt gelegd op de meest relevante onderdelen binnen het kader van de vergunning. De vergunninghouder ontvangt een rapport met bevindingen en verbeterpunten.
Artikel 11.1 en 11.2 van de Beleidsregels vergunningverlening kansspelen op afstand leggen uit wat een potentiële vergunninghouder dient aan te leveren bij een Koa-vergunningsaanvraag en hoe deze informatie beoordeeld wordt. Binnen de auditstructuur van XYLS wordt nagegaan of er nog altijd netjes volgens het uitbestedingsbeleid gewerkt wordt. Er wordt eveneens gekeken naar complianceprocedures bij het aangaan van samenwerking, en of deze in het licht van eventuele nieuwe wetgeving aangepast dienen te worden. Denk hierbij bijvoorbeeld aan de eisen uit het nieuwe Besluit Orka. Er wordt eveneens gekeken naar eventuele incidenten die reeds zijn voorgevallen binnen uitbestedingen door de vergunninghouder (sinds het verkrijgen van de vergunning).
Te ontvangen product voor de vergunninghouder bij onderdeel audit van het uitbestedingsbeleid:
De vergunninghouder ontvangt een rapport waarin potentiële risico’s worden beschreven. Ook wordt beschreven wat juist wel goed gaat, en eventuele verbeterpunten worden aangeboden.
De AVG is geen direct onderdeel van de vergunningsaanvraag Koa. Toch is het belangrijk om aan te geven dat bescherming van persoonsgegevens juist een grote rol speelt binnen de online kansspelsector. Er worden vaak veel gegevens verzameld (denk aan de uitgebreide registratieprocessen), er wordt veelvuldig monitoring toegepast (in het kader van verslavingspreventie en de Wwft) en het verwerken van bijzondere persoonsgegevens (gezondheidgegevens, denk aan inzichten in eventuele gediagnosticeerde gokverslavingen) is een mogelijkheid. Om deze reden heeft XYLS ervoor gekozen om een audit van het AVG-beleid onderdeel te maken van de compliance audits.
Te ontvangen product voor de vergunninghouder bij onderdeel audit van het AVG-beleid:
Een rapport met bevindingen waarbij risico’s en verbeterpunten worden besproken. XYLS kan overgaan tot concrete aanbevelingen. Denk aan het advies om een Functionaris Gegevensbescherming aan te stellen of bijvoorbeeld verwerkingsregisters aan te leggen.
XYLS zal nagaan of het integriteitsbeleid van de aanbieder sluitend is (zie ook artikel 4 van beleidsregels Koa) en of dit goed aansluit op de structuur voor het interne toezicht.
Te ontvangen product voor de vergunninghouder bij onderdeel audit van integriteitsbeleid en structuur intern toezicht:
Duidelijke rapportages met betrekking tot de bevindingen. Verbeterpunten worden aangekaart waar mogelijk.
XYLS zal nagaan of het integriteitsbeleid van de aanbieder sluitend is (zie ook artikel 4 van beleidsregels Koa) en of dit goed aansluit op de structuur voor het interne toezicht.
Te ontvangen product voor de vergunninghouder bij onderdeel audit van integriteitsbeleid en structuur intern toezicht:
Duidelijke rapportages met betrekking tot de bevindingen. Verbeterpunten worden aangekaart waar mogelijk.
XYLS heeft geruime kennis van de kansspelwet- en regelgeving, en daarnaast eveneens van auditstructuren door ISO 27001 ervaringen. XYLS heeft reeds bij Nederlandse vergunninghouders audits uitgevoerd en succesvolle resultaten geboekt. In contact komen en meer leren over de mogelijkheden voor het inplannen van audits? Mail ons via info@xyls.nl!