Ladbrokes – officieel Ladbrokes Coral sinds de fusie – is in thuisland Engeland in grote problemen gekomen. Die hebben niet te maken met hun gokactiviteiten. Maar wel met de wijze waarop Ladbrokes omgaat met privacygevoelige informatie. Het is een interessante case voor alle aanbieders – online en landbased – van casino– en andere gokspelen. Wereldwijd wordt de regelgeving rond de opslag en de beveiliging van persoonsinformatie steeds strikter. Specifiek in Europa zijn nu regels goedgekeurd die vanaf 2018 van kracht zijn in alle lidstaten. Hoe zat het precies met Ladbrokes en waar moet jouw online aanbieder aan voldoen?
De Ladbrokes case
In het Verenigd Koninkrijk bestaat voor (potentiële) probleemgokkers het systeem Moses. Dat staat voor Multi Operator Self Exclusion Scheme en is een algemene dienst waarvan wedkantoren als Ladbrokes gebruik kunnen maken om te voldoen aan de Britse wet- en regelgeving op dit gebied. Zoals gebruikelijk eist ook de Britse wet dat ieder kantoor een systeem heeft waar probleemgokkers zichzelf kunnen registreren en daarmee voorkomen dat ze bij die wedkantoren kunnen inzetten. Uiteraard moeten de kantoren voorzichtig omgaan met de uiterst privacygevoelige informatie in zo’n systeem.
En daar ging het mis bij een Ladbrokes kantoor in Glasgow. Mensen kunnen zich bij zo’n kantoor aanmelden voor het systeem. Daar voeren medewerkers de gegevens in en de papieren moeten uiteraard veilig worden opgeslagen of afgevoerd. Maar deze keer vond een voorbijganger de formulieren later bij het afval. Met daarop namen, adressen, foto’s en de reden waarom mensen zich inschreven. Ook foto’s inderdaad, want het systeem wordt in de kantoren zelf gebruikt om de deelnemers aan het programma te kunnen herkennen.
Voor Ladbrokes een behoorlijk probleem, want de Britse privacy waakhond kan hier boetes voor uitdelen die oplopen tot een half miljoen pond.
Hoe zit dat met onze (online) gokbedrijven?
Wellicht vraag je je nu af hoe dat bij ons zit. Als online gokken in Nederland legaal wordt, word je als gokker geregistreerd waarbij zelfs je BSN nummer wordt gevraagd. Reden genoeg om kritisch te zijn op de manier waarop die informatie wordt opgeslagen en beveiligd. Gelukkig is dit niet alleen binnen de kansspelwereld een belangrijke vraag. Het onderwerp krijgt brede aandacht.
General Data Protection Regulation
Parallel aan de legalisering van online gokken is binnen Europa de wetgeving op het gebied van de databeveiliging vernieuwd. In 2016 werd de General Data Protection Regulation door het Europees Parlement goedgekeurd. Daarmee wordt deze wetgeving in 2018 van kracht in alle lidstaten. Dat gaat snel, zul je wellicht zeggen met de trage invoering van de gokwetgeving in het achterhoofd. Dat klopt, want het betreft hier niet een set richtlijnen die ieder land weer in eigen wetten moet omzetten. De GDPR wordt in mei 2018 in ieder land direct wet. In Nederland staat het bekend als de Algemene Verordening Gegevensbescherming (AVG). Anders dan de online gokrichtlijnen kan dus geen land de GDPR regels op de lange baan schuiven.
Inhoud van de AVG voor gokbedrijven
En die wetgeving gaat ver:
- Er zijn strikte eisen over hoe bedrijven persoonlijke informatie mogen opslaan. Als klant moet je kunnen opvragen hoe je geregistreerd staat en die informatie ook kunnen laten verwijderen. Maar vooral moeten de bedrijven – dus ook de online gokbedrijven – jouw informatie zeer goed beveiligen. Eventuele lekken moeten ze direct melden en er staan boetes op die oplopen tot 4% van de totale omzet met een maximum van 20 miljoen euro.
- Bedrijven moeten kunnen aantonen dat ze alle noodzakelijke beveiligingsmaatregelen hebben genomen. En dat ze het ‘Privacy by Design’ principe hanteren. Dat er dus bij het ontwerp van hun systemen en procedures over is nagedacht hoe daarin de persoonlijke informatie wordt beschermd.
- Ook kunnen bedrijven zich niet verschuilen achter het feit dat ze bijvoorbeeld diensten van anderen gebruiken of de informatie in de cloud opslaan. Het bedrijf dat contact heeft met de klant is ervoor verantwoordelijk dat ook de verdere keten van bedrijven hun werk op orde heeft.
- Ook zullen bedrijven die als onderdeel van hun kernactiviteiten op grote schaal persoonsgegevens verwerken, een Functionaris voor de gegevensbescherming (Data Protection Officer) moeten aanstellen. Die persoon moet volledig onafhankelijk zijn en binnen het bedrijf bewaken dat het zich aan alle richtlijnen houdt. Hoewel niet helemaal duidelijk is in welke gevallen deze functionaris nu exact verplicht is, is mijn verwachting dat dit ook voor grotere gokbedrijven geldt.
Is mijn privacy veilig bij het online gokken?
Er zullen altijd issues zijn, maar de wetgeving op dit gebied lijkt voldoende garanties te bieden dat gokbedrijven hier voorzichtig mee om zullen gaan. Zoals Ladbrokes de persoonsgegevens van gokkers bij het reguliere afval zetten? Dat zie ik niet zo snel meer gebeuren.
