Hacker in the hood working with computer and holding credit card with payment hacking concept.

Een online casino datalek: hoe zit het precies?

Online gokken is natuurlijk hartstikke leuk. Maar toch, je wilt er zeker van zijn dat al jouw gegevens over jouw gokgedrag niet op straat komen te liggen. Daarom gaan wij in dit artikel eens in op wat er eventueel mis kan gaan met jouw persoonsgegevens bij een online casino. We gaan het hebben over datalekken, de AVG, en datalekken specifiek bij online casino’s in Nederland!

Iedere organisatie heeft een plicht om datalekken te melden aan de Autoriteit Persoonsgegevens (AP) wanneer deze plaatsvinden. Kansspelaanbieders zijn geen uitzondering op de AVG-wetgeving. Kansspelaanbieders hebben een uitgebreidere meldplicht dan een ander bedrijf, omdat ze ook datalekken moeten melden bij de Nederlandse Kansspelautoriteit (KSA). Voordat dit onderwerp aan bod komt is het belangrijk om eerst te behandelen wat een datalek is en wat voor soorten datalekken er zijn.

Eerst nog even een overzicht van online casino’s die zeer netjes omgaan met privacygevoelige informatie:

Bonusbedragen oplopend tot 250 Euro

Een echt casino voor de slotsliefhebber

Account registreren gaat lekker vlot

Bonus
9.2
5/5

Veel kwalitatieve online videoslots

Sterk aanbod sportsbook van Kambi

Verfijnd product: strakke layout en zoekfunctie

Bonus
8.5
4.0/5

Grote winnaar bij opening Nederlandse gokmarkt

Vaak hele leuke casinotoernooien aangeboden

Sportsbook, live casino en ook veel slots!

Bonus
8.3
4/5

Bij bonus accepteren maar 5x rondspelen!

Slots van kwalitatieve spelontwikkelaars

Erg goed live casino, ook Nederlandstalig

Bonus
8.1
4/5

Datalekken in algemeenheid

Datalekken zijn omschreven in de AVG onder artikel 33 en 34. De AVG omschrijft een datalek als een inbreuk in verband met persoonsgegevens. De datalekken moeten gemeld worden bij de toezichthoudende autoriteit, dit is de AP in Nederland. Datalekken met een hoog risico moeten ook gemeld worden bij de betrokkene(n).

Niet ieder datalek hoeft gemeld te worden bij de AP. Als er geen risico bestaat voor de betrokkene(n) dan hoeft er geen melding gemaakt te worden. Wel moet het datalek alsnog opgenomen worden in het register datalekken. Bestaat er wel een hoog risico voor de betrokkene(n), dan moet het datalek aan hen gemeld worden volgens artikel 34 van de AVG.

Soorten datalekken

Een datalek kan worden verdeeld in 3 categorieën:

  • Inbreuk op de vertrouwelijkheid: Zijn persoonsgegevens geopenbaard aan onbevoegde personen? Denk hierbij aan een mailtje met persoonsgegevens aan een collega die de gegevens niet mag inzien of een brief die aangeleverd is aan een verkeerd adres.
  • Inbreuk op de integriteit: Zijn persoonsgegevens onopzettelijk gewijzigd of gewijzigd door een onbevoegde? Denk hierbij aan het foutief wijzigen van de adresgegevens van een klant of wanneer een hacker een encryptie zet op persoonsgegevens.
  • Inbreuk op de beschikbaarheid: Zijn persoonsgegevens onopzettelijk of door een onbevoegde ontoegankelijk gemaakt of verwijderd? Denk hierbij aan wanneer een server kapotgaat met persoonsgegevens of dat wachtwoorden verloren zijn gegaan en dat de data niet meer toegankelijk is.

Risico’s van datalekken

Het risiconiveau van een datalek bepaald of een datalek gemeld moet worden en aan welke partijen. Het risiconiveau van een datalek hangt af van veel factoren, zoals het type datalek en hoe de data is gelekt. Ook de beveiligingsmiddelen spelen een rol. Een richtlijn is dat er gekeken moet worden naar een kwalitatief of een kwantitatief datalek:

  • Kwantitatief datalek: Betreft het datalek veel persoonsgegevens, eventueel van meerdere mensen?
  • Kwalitatief datalek: Betreft het datalek bijzondere persoonsgegevens?

Een datalek is een gradatie en een mix van een kwantitatief en kwalitatief datalek. De richtlijn voor de meldplichten is als volgt:

In het geval van een kwantitatief ernstig datalek, maar dat er geen bijzondere persoonsgegevens betrokken zijn, volstaat een melding bij de AP. Denk hierbij aan een datalek met NAW-gegevens van meerdere personen.

In het geval van een kwalitatief ernstig datalek moet het datalek ook gemeld worden bij de betrokkene(n).  Vaak gaat een kwalitatief ernstig datalek gepaard met een kwantitatief datalek, waardoor risico’s zoals identiteitsdiefstal bestaan.

Wanneer een datalek geen risico vormt voor de betrokkene(n) en de omvang van het datalek beperkt blijft, volstaat het om enkel het incident vast te leggen in het datalekkenregister. Denk hierbij aan bijvoorbeeld een onbedoeld intern mailtje van de ene professional naar de ander, waarbij een beroepsgeheim en correcte afhandeling van het lek de omvang beperkt.

Uitgebreide meldplicht van kansspelaanbieders (online casino’s)

De beleidsregels informatieplicht stelt dat een vergunninghouder voor het organiseren van kansspelen een uitgebreide meldplicht heeft van datalekken. Wanneer het datalek verlies van data (inbreuk op de beschikbaarheid) betreft, moet het datalek ook gemeld worden bij de KSA. In deze melding staat niet het datalek centraal, maar het feit dat een datalek gemeld is bij de AP over het verlies van persoonsgegevens.

De melding aan de KSA bevat als gevolg hiervan minder informatie dan de melding aan de AP. De melding aan de KSA bevat dat het datalek gemeld is bij de AP, het onderwerp van het datalek en wanneer het datalek heeft plaatsgevonden.

Wat voor datalekken kunnen online casino’s hebben

De AP en de KSA geven geen duidelijke richtlijn van datalekken die een kansspelaanbieder kan hebben. De partijen geven ook geen voorbeelden van datalekken die kunnen plaatsvinden. De beleidsregels informatieplicht stelt wel dat een inbreuk op bepaalde systemen gemeld moet worden als een incident. De voorbeelden die gegeven worden zijn de Controledatabank (CDB) en het uitsluitingssysteem voor spelers (CRUKS). Door het gebrek aan voorbeelden staan hieronder een aantal hypothetische situaties bedacht door de schrijver van dit rapport:

1. Een datalek kan zijn dat een computersysteem niet correct wordt afgesloten wanneer de medewerker zijn werkplek verlaat. Als gevolg hiervan kan een onbevoegd persoon plaatsnemen achter het computersysteem en kennis opdoen van de gegevens uit de CDB of het CRUKS.

2. Een datalek kan zijn dat een kansspelaanbieder een e-mail stuurt naar (een deel van) de spelers met een bonus of over een evenement, maar de geadresseerden staan in de CC in plaats van de BCC. Hierdoor komen alle namen en e-mailadressen vrij van de spelers.

3. Een andere vorm van een datalek is wanneer een server van een online kansspelaanbieder kapotgaat en de opgeslagen persoonsgegevens (deels) verloren gaan.

4. Een duidelijk datalek is wanneer een onbevoegd persoon toegang forceert tot de systemen, zijnde digitaal of in persoon, en toegang krijgt tot de persoonsgegevens.

5. Ook wanneer adequate beveiliging bestaat waardoor de gegevens niet leesbaar zijn in geval 4 kan er sprake zijn van een datalek. Als de onbevoegde persoon een encryptie gebruikt om de gegevens ontoegankelijk te maken voor de kansspelaanbieder en de aanbieder heeft geen toegankelijke back-ups is er ook sprake van een datalek.

Deel dit artikel:
Gokje wagen? Speel bij één onze top 5 Nederlandse Online Casino's:
5/5
9.2
5/5
9.0
4/5
8.8
4.0/5
8.5
4/5
8.3
Bekijk ook:
Alles over Mbappe 2023: vermogen, leeftijd, vriendin en veel meer
Wat maakt gokken zo verslavend?
7 redenen om bij 777 Casino te gokken

Door gebruik te maken van DutchGamblers bevestig je dat je 24 jaar of ouder bent en dat je je bewust bent van de risico’s van online kansspelen, en dat je momenteel niet bent uitgesloten van deelname aan kansspelen bij online kansspelaanbieders. Wat kost gokken jou? Stop op tijd, 18+.

Ook wijzen wij op onze informatie over verantwoord spelen. Daarnaast maken wij gebruik van cookies. Wil je daar meer over weten voordat je DutchGamblers bezoekt? Klik hier voor onze cookieverklaring, en klik hier voor onze privacyverklaring.