1.    Wat betekent de AVG voor kansspelaanbieders?

Kansspelaanbieders zijn verplicht zich aan de AVG te houden. Gelukkig is de AVG geen sta-in-de-weg. Integendeel, de AVG biedt juist de mogelijkheid om persoonsgegevens te verwerken, mits dit op een verantwoorde (compliant) manier gebeurt. Privacy wordt steeds belangrijker. Een organisatie die privacy serieus neemt, heeft een voorsprong op aanbieders die dit niet doen.

2.    Hoe verhoudt de AVG zich tot registratie en Cruks?

De Wet Kansspelen op Afstand (KOA) geeft aan dat er een bezoekersregistratieplicht moet komen. Elke (online) aanbieder van kansspelen moet dus registreren hoe vaak iemand een (online) bezoek brengt aan het (online) casino. Bij deze registratie moet ook een eventuele Cruks code worden opgeslagen. Met behulp van de Cruks code kan in Cruks worden bekeken worden of een speler geregistreerd staat als problematische speler. Mocht dit het geval zijn, dan moet de toegang deze speler worden ontzegd.

De registratieplicht treft iedereen die een bezoek wil brengen aan een (online) casino. Vragen over de proportionaliteit en subsidiariteit van deze registratieplicht en het Crukssysteem komen hierbij logischerwijs naar boven drijven. Deze vragen zijn niet gemakkelijk te beantwoorden. Het gaat hierbij namelijk om een wet. De wetgever tracht met de registratieplicht en het Crukssysteem een invulling te geven aan de preventie en bestrijding van kansspelverslaving. De wetgever heeft in haar beraadslagingen reeds een afweging gemaakt op basis van proportionaliteit en subsidiariteit in de privacy data protection impact assessment (PIA) die zij heeft gedaan op de Wet KOA. Uit deze PIA is niet gebleken dat er onoverkomelijke bezwaren zijn op dit gebied.

Onder de AVG spreken wij daarom over een rechtmatige verwerkingsgrond, welke te vinden is in artikel 6 lid 1 sub e: ‘’de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag’’. Kort gezegd: het uitvoeren van een wet is een rechtmatige verwerkingsgrondslag.

Dat gezegd hebbende, vindt binnen drie jaar na inwerkingtreding van de Wet KOA een evaluatie plaats. Hierbij zullen proportionaliteit, subsidiariteit en de algehele uitwerking nogmaals worden behandeld.

 

3.    Welke knelpunten/uitdagingen zijn er als we het hebben over cameratoezicht met gezichtsherkenning?

Cameratoezicht met gezichtsherkenning kan onder bepaalde voorwaarden en met de nodige waarborgen worden ingezet om bezoekers te identificeren. Dit kan ook een manier zijn om invulling te geven aan de registratie- en controleplicht onder de wet KOA. Bezoekers kunnen bijvoorbeeld worden gecontroleerd op basis van biometrische gezichtskenmerken. Als deze biometrische gegevens zijn gematched aan een Crukscode kan een controle plaatsvinden. Dit betekent echter wel dat een casino een database moet creëren van biometrische gezichtskenmerken. In artikel 9 van de AVG staat dat dit niet zo maar is toegestaan. Hierop is echter een uitzondering gemaakt. In de uitvoeringswet AVG, de U-AVG, is een uitzondering opgenomen in artikel 29. Deze uitzondering geeft aan dat het verbod om biometrische gegevens te verwerken niet van toepassing is indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Op basis van deze uitzondering is het dus onder bepaalde voorwaarden en met de nodige waarborgen mogelijk deze gegevens te verwerken. Aangezien er wel een behoorlijke database met biometrische persoonsgegevens moet worden gecreëerd, welke een privacy risico kan opleveren, is het verplicht een data protection impact assessment (DPIA) uit te voeren. In deze DPIA gaat u de belangen die u heeft bij het verwerken van deze biometrische gegevens afwegen tegen de privacy belangen die een bezoeker van uw casino heeft. Een DPIA is een belangrijk verantwoordingsdocument onder de AVG. Wij raden u daarom met klem aan deze uit te voeren alvorens u camera’s met gezichtsherkenning installeert.

4.    Wat is belangrijk voor kansspelaanbieders om zich te realiseren m.b.t. dataprivacy?

Privacybescherming is steeds belangrijker voor betrokkenen en ook voor aanbieders van kansspelen. Het is daarom van belang om verplichtingen op grond van de Wet KOA op een AVG-compliant manier in te richten. Hiervoor is kennis nodig op het gebied van dataverwerkingen. Laat u zich niet wijsmaken dat de AVG een drempel is voor het succesvol uitvoeren van uw onderneming, maar zie het als een kans om zich te onderscheiden ten opzichte van andere aanbieders. Onder de AVG is zelfs meer mogelijk dan het geval was voor de invoering van deze wet, mits u goed over privacy heeft nagedacht.