Senere ændringer til forskriften
Lovgivning forskriften vedrører
Ændrer i/ophæver
Links til EU direktiver, jf. note 1
32005L0060
 
Oversigt (indholdsfortegnelse)
Kapitel 1 Anvendelsesområde
Kapitel 2 Registrering m.v. af spillere
Kapitel 3 Opbevaring af identitetsoplysninger m.v.
Kapitel 4 Spilkonto og betalinger
Kapitel 5 Information til spilleren
Kapitel 6 Ansvarligt spil
Kapitel 7 Bonus
Kapitel 8 Suspension og lukning af spilkonto
Kapitel 9 Spilsystemer
Kapitel 10 Opmærksomheds-, undersøgelses- og underretningspligt
Kapitel 11 Tavshedspligt og ansvar
Kapitel 12 Interne regler og uddannelse m.v.
Kapitel 13 Klage
Kapitel 14 Tilsyn
Kapitel 15 Straf
Kapitel 16 Ikrafttræden
Bilag 1
Den fulde tekst

Bekendtgørelse om onlinekasino1)2)

I medfør af § 36, stk. 2, § 41 og § 60 i lov nr. 848 af 1. juli 2010 om spil, og § 17, stk. 2, § 19 og § 46 i lov nr. 223 af 22. marts 2011 for Grønland om visse spil fastsættes:

Kapitel 1

Anvendelsesområde

§ 1. Bekendtgørelsen finder anvendelse på drift af onlinekasino, jf. § 18 i lov om spil og § 7 i lov for Grønland om visse spil.

Stk. 2. Tilladelser til drift af onlinekasino som nævnt i § 42, stk. 5, i lov om spil og § 8, stk. 1 i lov for Grønland om visse spil, er ikke omfattet af bekendtgørelsen.

Kapitel 2

Registrering m.v. af spillere

§ 2. For at deltage i onlinekasino skal en spiller registreres som kunde hos tilladelsesindehaver. Ved tilladelsesindehaver forstås en indehaver af tilladelse til at drive onlinekasino.

Stk. 2. Kun fysiske personer kan registreres som kunder.

Stk. 3. Tilladelsesindehaver skal have kendskab til kunden i overensstemmelse med stk. 4-9, § 3 og § 4, og herunder kræve, at kunden legitimerer sig som led i registreringen.

Stk. 4. Tilladelsesindehaver skal indhente oplysning om kundens identitet, herunder navn, adresse og CPR-nr., eller anden lignende oplysning, hvis den pågældende ikke har et CPR-nr. De indhentede oplysninger skal bekræftes ved fornøden dokumentation. Omfanget af dokumentationen skal fastlægges ud fra en risikovurdering, således at tilladelsesindehaver er sikker på, at kunden er den person, som kunden udgiver sig for at være.

Stk. 5. Tilladelsesindehaver skal betinge registreringen som kunde af, at kunden udelukkende må handle på egne vegne.

Stk. 6. Hvis der er tvivl om, hvorvidt tidligere indhentede oplysninger om kundens identitet er tilstrækkelige, skal der kræves ny legitimation. Det samme gælder, hvis der er mistanke om, at en transaktion har tilknytning til hvidvask eller finansiering af terrorisme.

Stk. 7. Tilladelsesindehaver skal indhente oplysninger om kundens tilsigtede spilleomfang.

Stk. 8. Tilladelsesindehaver skal:

1) være i besiddelse af tilstrækkelige procedurer til at afgøre, om spilleren er en politisk udsat person, jf. stk. 9, bosiddende i et andet land,

2) indhente den øverste daglige ledelses godkendelse ved registrering af en sådan kunde,

3) træffe rimelige foranstaltninger for at indhente oplysninger om formue- og indtægtskilderne, der er omfattet af spilleaktiviteten, og

4) løbende være opmærksom på kundeforbindelsen.

Stk. 9. Politisk udsatte personer, jf. stk. 8, skal forstås i overensstemmelse med definitionen i § 4 i bekendtgørelse nr. 712 af 1. juli 2008 om hvilke fysiske og juridiske personer samt produkter, der kan undtages fra lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme, samt definitionen af politisk udsatte personer.

§ 3. Legitimationsproceduren skal afsluttes i forbindelse med tilladelsesindehavers etablering af kundeforholdet og senest inden udførelse af den første indbetaling, jf. dog § 7.

§ 4. Kundeforholdet skal løbende overvåges for at sikre, at spilleomfanget, herunder de enkelte transaktioner, er i overensstemmelse med tilladelsesindehavers viden om kunden, herunder det tilsigtede spilleomfang og hidtidige spillemønster. Der skal i forbindelse hermed om nødvendigt søges oplysninger om midlernes oprindelse. Dokumenter, data og andre oplysninger om kunden skal løbende ajourføres.

Kapitel 3

Opbevaring af identitetsoplysninger m.v.

§ 5. Tilladelsesindehaver skal opbevare de af bekendtgørelsen omfattede identitets- og kontroloplysninger om en registreret spiller, jf. kapitel 2, i mindst 5 år efter, at kundeforholdet er ophørt.

Stk. 2. Dokumenter og registreringer vedrørende spillernes transaktioner skal opbevares, så de kan fremfindes samlet i mindst 5 år efter transaktionernes gennemførelse.

Stk. 3. Ophører tilladelsesindehavers virksomhed, skal den senest fungerende ledelse sørge for, at identitetsoplysninger m.v. fortsat opbevares i overensstemmelse med stk. 1 og 2.

Kapitel 4

Spilkonto og betalinger

§ 6. Tilladelsesindehaver skal til en registreret spiller oprette en spilkonto.

Stk. 2. Tilladelsesindehaveren skal give spilleren adgang til oplysninger om spilkontoens saldo, spilhistorik (herunder indsatser, gevinster og tab), ind- og udbetalinger og øvrige transaktioner i tilknytning hertil. Oplysningerne skal være tilgængelige for spilleren på spilkontoen i mindst 90 dage.

Stk. 3. Tilladelsesindehaver skal på anmodning fra spilleren udlevere kontoudtog for alle transaktioner på spilkontoen de seneste 12 måneder.

§ 7. Indtil tilladelsesindehaver har kontrolleret de i § 2 nævnte oplysninger, kan der alene åbnes en midlertidig spilkonto til spilleren, jf. dog stk. 5.

Stk. 2. Hvis spilleren har afgivet urigtige oplysninger i forbindelse med registreringen, eller spilleren ikke på tilladelsesindehavers opfordring inden 30 dage har fremsendt fornøden dokumentation for oplysningernes rigtighed, skal tilladelsesindehaver lukke den midlertidige spilkonto.

Stk. 3. Der kan ikke udbetales midler fra en midlertidig spilkonto til spilleren.

Stk. 4. En spiller kan højst indbetale 10.000 kr. til en midlertidig spilkonto.

Stk. 5. Der kan ikke oprettes en midlertidig spilkonto til en spiller, der står opført i registret over selvudelukkede personer, jf. § 19.

§ 8. Tilladelsesindehaver skal sikre, at login til en spilkonto, hvor de i § 2 nævnte oplysninger er kontrolleret, sker ved anvendelse af digital signatur med et sikkerhedsniveau svarende til OCES-standarden eller højere.

Stk. 2. Tilladelsesindehaver skal kontrollere, at den anvendte digitale signatur tilhører den spiller, som er registreret i henhold til § 2.

Stk. 3. Spillemyndigheden kan tillade, at login til en spilkonto i en periode sker uden anvendelse af digital signatur, såfremt:

1) login sker fra en kunde i Grønland, eller

2) det ikke er teknisk muligt at benytte digital signatur på den tekniske platform, hvorpå spillet afvikles. Første login til spilkontoen skal dog ske fra en teknisk platform, hvor digital signatur kan anvendes.

Stk. 4. Stk. 1 og 2 gælder ikke for login til en spilkonto, hvor spilleren i henhold til § 2, stk. 4, er blevet registreret som kunde uden CPR-nr.

Stk. 5. Tilladelsesindehaver skal sikre, at der ved login til en spilkonto uden anvendelse af digital signatur, jf. stk. 3 og 4, sker betryggende identifikation af spilleren.

§ 9. Tilladelsesindehaver kan alene modtage betalinger til en spilkonto fra en udbyder af betalingstjenester, der i henhold til lov om betalingstjenester og elektroniske penge, udbydes lovligt her i landet.

Stk. 2. Der kan ikke modtages kontante indskud.

§ 10. Beløb indbetalt af spilleren skal krediteres spilkontoen umiddelbart efter at tilladelsesindehaver har modtaget indbetalingen.

Stk. 2. Vundne gevinster skal krediteres spilkontoen umiddelbart.

§ 11. En tilladelsesindehaver må ikke tillade overførsler af penge, spillemærker eller lignende mellem spilkonti.

§ 12. De midler, som spilleren har stående på spilkontoen, er betroede midler, der skal indestå på en modregningsfri konto i et pengeinstitut m.v., som holdes adskilt fra tilladelsesindehavers egne midler, og som kun tilladelsesindehaver har rådighed over. Midlerne fra kontoen kan kun udbetales til spilleren og må derfor ikke kunne anvendes til dækning af krav mod tilladelsesindehaver. Midlerne skal være sikret i tilfælde af insolvens m.v. hos tilladelsesindehaver.

Stk. 2. De midler, der står på den modregningsfri konto, skal til enhver tid mindst svare til det samlede beløb, der står på spillernes spilkonti.

Kapitel 5

Information til spilleren

§ 13. Alle informationer, som tilladelsesindehaver er forpligtet til at stille til rådighed for spilleren efter bestemmelser fastsat i lov om spil eller lov for Grønland om visse spil og tilhørende forskrifter, skal være tilgængelige på dansk på tilladelsesindehavers hjemmeside. Al anden kommunikation mellem spillere og tilladelsesindehaver skal kunne ske på dansk.

Stk. 2. En tilladelsesindehaver, som har tilladelse til at udbyde spil i Grønland, skal stille information til rådighed som nævnt i stk. 1 på dansk og grønlandsk.

§ 14. På tilladelsesindehavers hjemmeside skal:

1) Det fremgå, at det ikke er tilladt for personer under 18 år at deltage i spillene.

2) Informeres om ansvarligt spil og de potentielle skadevirkninger af spil. Informationen skal være udarbejdet i samarbejde med et behandlingscenter.

3) Formidles adgang til en selvtest for ludomani.

4) Formidles information om og kontaktadresser på danske behandlingscentre.

Stk. 2. Informationen i stk. 1 skal være placeret på en fremtrædende plads på tilladelsesindehavers hjemmeside og skal kunne tilgås fra alle sider på hjemmesiden.

Stk. 3. En tilladelsesindehaver, som har tilladelse til at udbyde spil i Grønland, skal formidle information som nævnt i stk. 1 på dansk og grønlandsk og informere om kontaktadresser på grønlandske behandlingscentre.

§ 15. På forsiden af tilladelsesindehavers hjemmeside skal det fremgå, at tilladelsesindehaver har tilladelse fra og er under tilsyn af Spillemyndigheden. Der skal formidles adgang til Spillemyndighedens hjemmeside.

§ 16. Der skal på tilladelsesindehavers hjemmeside forefindes et ur, der giver spilleren mulighed for at orientere sig om tidsforbruget på spilsiden. Uret skal være synligt for spilleren hele tiden.

Kapitel 6

Ansvarligt spil

§ 17. Tilladelsesindehaver skal stille en funktion til rådighed for spilleren, der gør det muligt at fastsætte daglige, ugentlige og månedlige indbetalingsgrænser. En spillers anmodning om at fastsætte en indbetalingsgrænse skal efterkommes umiddelbart efter anmodningen, jf. dog stk. 2.

Stk. 2. En spillers anmodning om forhøjelse af en tidligere fastsat indbetalingsgrænse må tidligst træde i kraft efter 24 timer.

§ 18. Tilladelsesindehaver skal stille en funktion til rådighed for spilleren, der gør det muligt for spilleren at anmode om midlertidig eller endelig udelukkelse fra spil. Tilladelsesindehaver skal sikre, at spilleren ikke kan indgå nye spil, efter at spilleren har anmodet om udelukkelse.

Stk. 2. En midlertidig udelukkelse kan ikke være under 30 dage, dog skal spilleren have mulighed for at vælge en kortvarig spilpause på 24 timer (afkølingsperiode). En midlertidig udelukkelse og kortvarig spilpause betyder, at spillerens spilkonto er deaktiveret i denne periode.

Stk. 3. Endelig udelukkelse af spilleren medfører, at tilladelsesindehaver skal lukke spillerens spilkonto og afslutte kundeforholdet. Spilleren kan først registreres som kunde på ny, jf. § 2, tidligst 1 år efter spilkontoens lukning.

Stk. 4. Såfremt en spiller har udelukket sig selv fra deltagelse i en tilladelsesindehavers spil, skal tilladelsesindehaver informere spilleren om rådgivnings- og behandlingstilbud for ludomani på et dansk behandlingscenter. Er spilleren en kunde fra Grønland, skal tilladelsesindehaver informere spilleren om rådgivnings- og behandlingstilbud for ludomani på et grønlandsk behandlingscenter.

§ 19. Spillemyndigheden fører et register over spillere, der ønsker midlertidig eller endelig udelukkelse fra spil hos alle tilladelsesindehavere. En spiller kan blive opført i registret på Spillemyndighedens hjemmeside eller ved at henvende sig til Spillemyndigheden. Spilleren skal give udtrykkeligt samtykke til optagelsen i registret.

Stk. 2. Tilladelsesindehaver skal informere om muligheden for opførelse i registret og skal formidle adgang til registret på Spillemyndighedens hjemmeside.

Stk. 3. Ved oprettelse af en ny spiller skal tilladelsesindehaver konsultere registret for selvudelukkede personer for at påse, at den pågældende spiller ikke står opført i registret. Står en spiller opført i registret, skal oprettelse af spilleren afvises af tilladelsesindehaver.

Stk. 4. Tilladelsesindehaver skal ved spillerens login til spilsystemet konsultere registret for selvudelukkede personer for at påse, at spilleren ikke er blevet optaget i registret. Står en spiller opført i registret, skal spilleren nægtes adgang til at spille.

Stk. 5. Får tilladelsesindehaver kendskab til, at en spiller står opført i registret for selvudelukkede personer som endeligt udelukket, skal tilladelsesindehaver lukke spillerens spilkonto og afslutte kundeforholdet.

Stk. 6. En spiller, der er blevet optaget i registret for selvudelukkede personer som endeligt udelukket, kan til enhver tid, dog tidligst 1 år efter optagelsen i registret, anmode Spillemyndigheden om at blive slettet fra registret.

Stk. 7. Stk. 1-6 finder ikke anvendelse for spillere, der i henhold til § 2, stk. 4, er blevet registreret som kunder uden CPR-nr.

§ 20. Tilladelsesindehaver skal træffe foranstaltninger til at undgå at sende markedsføring til spillere, der har udelukket sig selv fra deltagelse i spil midlertidigt eller endeligt.

Kapitel 7

Bonus

§ 21. Såfremt tilladelsesindehaver tilbyder spilleren en bonus for deltagelse i spil, skal alle vilkår være oplyst på en klar og tydelig måde i umiddelbar tilknytning til tilbuddet. Udbetaling af en bonus til spilleren skal ske uden videre, når vilkårene er opfyldt.

Stk. 2. Bonus må ikke gives til enkelte spillere på vilkår, som adskiller sig fra tilbud givet til andre spillere.

Stk. 3. Spilleren skal have minimum 60 dage til at opfylde eventuelle vilkår tilknyttet til udbetalingen af en bonus.

Kapitel 8

Suspension og lukning af spilkonto

§ 22. Ved lukning af en spilkonto skal tilladelsesindehaver hurtigst muligt og senest 5 arbejdsdage efter lukningen udbetale saldoen fra spillerens spilkonto til spilleren. Der må ikke kræves et gebyr for lukningen.

Stk. 2. Ved lukning af en midlertidig spilkonto på baggrund af § 7, stk. 2, kan alene resterende indsatte midler på spilkontoen tilbageføres til spilleren. Eventuelle vundne gevinster tilfalder tilladelsesindehaver.

Stk. 3. Ved lukning af en spilkonto på tilladelsesindehavers foranledning, skal tilladelsesindehaver sende en begrundet afgørelse med dokumentation til spilleren. En kopi af afgørelsen skal sendes til Spillemyndigheden.

§ 23. Ved suspension af en spilkonto skal tilladelsesindehaver træffe afgørelse i sagen inden for rimelig tid. I suspensionsperioden kan spilleren ikke lukke sin spilkonto. Når den endelige afgørelse er truffet, skal spilleren informeres behørigt om afgørelsen.

Stk. 2. Tilladelsesindehaver skal sende en begrundet afgørelse med dokumentation til spilleren. En kopi af afgørelsen skal sendes til Spillemyndigheden.

Kapitel 9

Spilsystemer

§ 24. Tilladelsesindehaver skal overholde de tekniske krav til kontrolsystemet og spilsystemet, der følger af bilag 1.

§ 25. Spilsystemet, hvorved forstås IT-udstyr, der anvendes til udbud af onlinekasino, jf. bilag 1, skal være placeret her i landet.

Stk. 2. Spillemyndigheden kan godkende, at kravet i stk. 1 fraviges, såfremt tilladelsesindehaver:

1) har tilladelse til udbud af spil i et andet land, hvor en offentlig myndighed fører tilsyn med tilladelsesindehavers spiludbud, og denne tilsynsmyndighed har indgået en aftale med Spillemyndigheden om tilsynet med tilladelsesindehavers udbud af spil her i landet, eller

2) kan give Spillemyndigheden adgang til at foretage en betryggende kontrol af spilsystemet ved hjælp af fjernadgang eller lignende.

§ 26. Tilladelsesindehavers spilsystemer, forretningsgange og forretningssystemer skal certificeres af en akkrediteret testvirksomhed, før spilsystemet anvendes til drift af onlinekasino. Spillemyndigheden kan fastsætte krav til certificeringen.

Stk. 2. Spillemyndigheden kan fastsætte krav til, hvordan testvirksomheder akkrediteres.

§ 27. Når et spilsystem er certificeret, kan Spillemyndigheden til enhver tid beordre tilladelsesindehaver til at foretage yderligere test, verifikation og certificering af systemet.

§ 28. Tilladelsesindehaver skal opbevare alle data om udbuddet af onlinekasino i spilsystemet i mindst 5 år.

Kapitel 10

Opmærksomheds-, undersøgelses- og underretningspligt

§ 29. Tilladelsesindehaverens ledelse og ansatte, der er beskæftiget med de omfattede spil, skal være opmærksom på spilleres aktiviteter, som på grund af deres karakter menes at kunne have tilknytning til hvidvask eller finansiering af terrorisme. Dette gælder især komplekse eller usædvanligt store transaktioner og alle usædvanlige transaktionsmønstre set i forhold til spilleren samt transaktioner, der har forbindelse til lande eller territorier, hvor der i henhold til erklæringer fra Financial Action Task Force anses at være en særlig risiko for hvidvask eller finansiering af terrorisme.

Stk. 2. Formålet med de aktiviteter og transaktioner, der er nævnt i stk. 1, skal undersøges, og resultaterne heraf skal noteres og opbevares, jf. § 5.

§ 30. Hvis der er mistanke om, at en spillers transaktion eller henvendelse har eller har haft tilknytning til hvidvask eller finansiering af terrorisme, skal tilladelsesindehaveren undersøge transaktionen eller henvendelsen nærmere. Hvis mistanken ikke kan afkræftes, skal Statsadvokaten for Særlig Økonomisk Kriminalitet omgående underrettes.

Stk. 2. Hvis mistanken vedrører hvidvask eller finansiering af terrorisme og transaktionen ikke allerede er gennemført, skal den sættes i bero, til der er underrettet efter stk. 1. Kan gennemførelsen af transaktionen ikke undlades, eller vurderes dette at kunne skade efterforskningen, skal underretning i stedet indgives umiddelbart efter gennemførelsen.

§ 31. Hvis Spillemyndigheden får kendskab til forhold, der formodes at have tilknytning til hvidvask eller finansiering af terrorisme, underretter Spillemyndigheden Statsadvokaten for Særlig Økonomisk Kriminalitet.

Kapitel 11

Tavshedspligt og ansvar

§ 32. De underretninger og oplysninger, som tilladelsesindehaver giver i god tro i medfør af § 30, påfører ikke tilladelsesindehaver, dens ansatte eller ledelse nogen form for ansvar. Videregivelse af oplysninger i forbindelse hermed anses ikke som et brud på en eventuel tavshedspligt.

§ 33. Tilladelsesindehaver, ledelse og ansatte hos denne samt revisorer og andre, der udfører eller har særlige hverv for denne, har pligt til at hemmeligholde, at der er givet underretning efter § 30, eller at dette overvejes, eller at der er eller vil blive iværksat en undersøgelse af, om der er tale om hvidvask eller terrorfinansiering, jf. dog stk. 2.

Stk. 2. Oplysninger om, at der er givet underretning efter § 30, eller at dette overvejes, eller at der er eller vil blive iværksat en undersøgelse af, om der er tale om hvidvask eller finansiering af terrorisme, kan videregives til Spillemyndigheden med det formål, at Spillemyndigheden kan behandle oplysningerne til brug for tilsynet med tilladelsesindehaverne.

Kapitel 12

Interne regler og uddannelse m.v.

§ 34. Tilladelsesindehaver skal udarbejde skriftlige interne regler om betryggende kontrol- og kommunikationsprocedurer, herunder om kundelegitimation, opmærksomheds-, undersøgelses- og noteringspligt, underretning, opbevaring af registreringer, risikovurdering, risikostyring, kommunikation og kontrol med henblik på at forebygge og forhindre hvidvask af penge eller finansiering af terrorisme.

Stk. 2. Tilladelsesindehaver skal endvidere udarbejde uddannelses- og instruktionsprogrammer for medarbejderne således, at reglerne i kapitel 2, 3, 10 og 11 overholdes.

Stk. 3. Tilladelsesindehaver skal sørge for at de ansatte, der er beskæftiget med registrering, veksling og egentlig spillevirksomhed, er gjort bekendt med de interne regler samt de pligter, der fremgår af denne bekendtgørelse samt af lov om spil og lov for Grønland om visse spil.

Stk. 4. Tilladelsesindehaver skal hvert kvartal indsende oplysninger til Spillemyndigheden om antallet af underretninger til Statsadvokaten for Særlig Økonomisk Kriminalitet og oplyse om antallet af medarbejdere, der har modtaget uddannelses- og instruktionsprogrammer efter stk. 2.

Kapitel 13

Klage

§ 35. Tilladelsesindehaver skal behandle klager fra spillere vedrørende tilladelsesindehavers udbud af spil. En klage skal indeholde information om spillerens identitet samt begrundelse for det påklagede forhold. Klagen kan afvises, hvis kravene ikke er opfyldt.

Stk. 2. Tilladelsesindehaver skal behandle klagen hurtigst muligt. Er klagen ikke afgjort inden for 14 dage, skal tilladelsesindehaver informere spilleren om, hvornår denne kan forvente en afgørelse i sagen.

Stk. 3. Tilladelsesindehaver skal opbevare dokumenter, der indgår i klagesager, herunder også dokumenter i sager om afviste klager, i minimum 2 år. På forlangende fremsendes disse til Spillemyndigheden.

Kapitel 14

Tilsyn

§ 36. Spillemyndigheden fører tilsyn med overholdelse af denne bekendtgørelse, jf. kapitel 9 i lov om spil og kapitel 6 i lov for Grønland om visse spil.

Kapitel 15

Straf

§ 37. Medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde den, der forsætligt eller groft uagtsomt overtræder § 2, stk. 1, 1. pkt., og stk. 2-8, §§ 3-7, § 8, stk. 1 og 2, stk. 3, 2. pkt., og stk. 5, §§ 9-18, § 19, stk. 2-5, § 21, § 22, stk. 1 og 3, § 23, stk. 2, § 24, § 25, stk. 1, § 26, stk. 1, 1. pkt., § 27, § 28, § 29, stk. 2, § 30, stk. 1 og stk. 2, 1. pkt., § 33, stk. 1, § 34 og § 35, stk. 1, 1. pkt., og stk. 3.

Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens kapitel 5.

Kapitel 16

Ikrafttræden

§ 38. Bekendtgørelsen træder i kraft den 1. februar 2012.

Skatteministeriet, den 25. januar 2012

Thor Möger Pedersen

/ Tina Olsen


Bilag 1

Tekniske krav til tilladelsesindehavere

A. Indledning

Dette dokument beskriver de tekniske krav, som en tilladelsesindehaver skal opfylde, herunder sikring af datagrundlag for kontrol samt krav om tilgængelighed, interne kontroller, forretningsgange og organisation.

B. Forkortelser og definitioner

SAFE:
Datalager som tilladelsesindehaver skal etablere til opbevaring af de spildata, som Spillemyndigheden stiller krav om til brug for kontrol.
RNG:
Random Number Generator (tilfældighedsgenerator).
Spilsystem:
Elektronisk eller andet udstyr, der anvendes af eller på vegne af tilladelsesindehaver til udbud og drift af onlinekasino, herunder udstyr der:
 
1.
anvendes til lagring af oplysninger vedrørende en persons deltagelse i spil, herunder historiske data og resultatoplysninger,
 
2.
frembringer og/eller præsenterer spil for spilleren, eller
 
3.
fastlægger resultatet af et spil, eller beregner hvorvidt spilleren har vundet eller tabt ved spillet.
 
SAFE er ikke en del af spilsystemet.
FTPS:
File Transfer Protocol SSL.
SSL:
Secure Sockets Layer.
XSD:
XML Standard Definition.
XML:
Extensible Markup Language.

C. Samlet systemkompleks til brug for spilkontrol

Det samlede systemkompleks består af tilladelsesindehavers spilsystem, tilladelsesindehavers datalager (SAFE), et sikkerhedssystem (Tamper Token) og et register over frivilligt udelukkede spillere (ROFUS).

1. SAFE er tilladelsesindehavers eget datalager (en filserver), hvor tilladelsesindehaver skal opbevare spildata – i henhold til Standard Records – for alle spil, der er udført hos tilladelsesindehaver. Alle tilladelsesindehavere skal etablere et datalager (SAFE). Spillemyndigheden skal kunne få online adgang til datalagret hos tilladelsesindehaver.

2. Tamper Token. Spillemyndigheden implementerer et sikkerhedssystem, som skal benyttes til Tamper Token. Tamper Token har til formål at sikre, at spildata, som tilladelsesindehaver gemmer på SAFE i form af Standard Records, ikke ændres, mens de opbevares på SAFE. Spillemyndigheden opstiller en server til udstedelsen af tokens, som udstedes dagligt til tilladelsesindehaver. Frekvensen kan reguleres efter en konkret vurdering. Tilladelsesindehaver skal implementere en funktion, der følger Spillemyndighedens specifikationer til at generere en identifikationskode ud fra de gemte spildata og den udstedte token. Identifikationskoden skal meldes tilbage til Spillemyndigheden inden udløbet af den pågældende token. Tilladelsesindehavers kommunikation med Tamper Token systemet sker via webservices.

Tamper Token hos Spillemyndigheden håndterer i øvrigt:

Skabelse af nøgler (tokens) der anvendes ved beregning af identifikationskoder.

Opbevaring af identifikationskoder til senere kontrol.

Løbende kontrol af at tidsperiode for afslutning af tokens overholdes.

Verifikation af at en hentet serie af spildata ikke er ændret i forhold til den modtagne identifikationskode.

Det er et krav, at tilladelsesindehaver kan håndtere en ændret token-frekvens i forbindelse med udstedelse af en ny token.

3. Register over frivilligt udelukkede spillere (ROFUS) er et register over alle spillere i Danmark, der frivilligt har ønsket at udelukke sig – midlertidigt eller endeligt – fra at kunne spille onlinespil i Danmark. Registret er placeret hos Spillemyndigheden, der har ansvaret for at føre registret. Tilladelsesindehaver skal forbindes til registret og sikre, at spillere, der har ladet sig registrere, ikke kan spille via tilladelsesindehavers spilsystem. Tilladelsesindehavers kommunikation med ROFUS-systemet sker via webservices.

Tilladelsesindehaver skal hurtigst muligt orientere Spillemyndigheden om fejl på Tamper Token og ROFUS.

D. Krav til spildata (Standard Records)

Tilladelsesindehaver skal gemme spildata på SAFE i XML-filer med felter og med en frekvens, som Spillemyndigheden offentliggør. Der opereres med følgende inddeling:

EndOfDay

PokerTurnering

PokerCashGame

Kasinospil

Jackpot

For spiltyper, der falder uden for den ovennævnte inddeling, aftales det med Spillemyndigheden, hvordan spildata skal gemmes på SAFE. Dette skal gennemføres forud for udbud af spil.

Spillemyndigheden offentliggør en teknisk beskrivelse af det format, hvori spildata til SAFE skal sendes (Standard Records). Den tekniske beskrivelse indeholder begrebsmodel og feltdefinitioner. Beskrivelsen omfatter en gruppe XSD-filer, hvis struktur skal overholdes ved lagring af spildata på SAFE.

E. Krav til SAFE

E. 1 Tilladelsesindehavers datalager

Tilladelsesindehaver skal etablere et datalager (SAFE) til opbevaring af spildata.

Tilladelsesindehaver skal overføre og gemme spildata i henhold til Standard Records på datalagret. Tilladelsesindehaver skal opbevare spildata på SAFE for de seneste 12 måneder samt opbevare spildata fra yderligere 48 måneder på et digitalt læsbart medie.

Dataoverførsel mellem tilladelsesindehavers SAFE og Spillemyndighedens kontrolsystem skal ske via internettet med FTPS med en minimumshastighed på 8 Mbit/s. Tilladelsesindehaver skal sikre, at forbindelsen er passende for en uproblematisk overførsel af spildata.

E. 1.1 Tekniske krav til SAFE

SAFE skal etableres på en separat server, der er fysisk adskilt fra tilladelsesindehavers spilsystem.

Spildata på SAFE skal være adskilt logisk og forsvarligt fra eventuelle andre data.

Tilladelsesindehaver skal sørge for nødvendig backup af alle spildata. SAFE og backup af SAFE skal være geografisk adskilt. Ligeledes skal dataopbevaring på digitalt læsbart medie være geografisk adskilt fra backup af samme.

SAFE skal, før den tages i anvendelse til datalager, opfylde it-sikkerhedskrav på minimum tilsvarende niveau som for tilladelsesindehavers spilsystem i medfør af bekendtgørelse om onlinekasino.

Tilladelsesindehaver skal sikre, at Spillemyndigheden har online adgang til at hente spildata fra SAFE.

Tilladelsesindehaver skal etablere adgang til SAFE via en sikker adgang (FTPS).

Mappestrukturen på SAFE skal opbygges efter den struktur, som Spillemyndigheden har specificeret, jf. afsnit E. 3 »Mappestruktur på SAFE og navngivning af Standard Records«.

Spildata på SAFE skal være gemt i henhold til de specificerede Standard Records, jf. afsnit D »Krav til spildata (Standard Records)«.

Tilladelsesindehaver skal dokumentere, at SAFE overholder de angivne krav.

Tilladelsesindehaver skal udarbejde driftsdokumentation for SAFE, herunder dokumentation for nødvendigt driftsmiljø, driftsprocedure og rutiner, backupsystem og fejlhåndtering.

Al dokumentation skal leveres på dansk. Tekniske specifikationer af generel karakter kan dog leveres på engelsk.

Dokumentation skal ved forespørgsel gøres elektronisk tilgængeligt (f.eks. pr. mail, USB-stik, CD-rom, DVD) for Spillemyndigheden uden forsinkelse og aldrig senere end 2 arbejdsdage.

Al dokumentation skal leveres i et format, som kan håndteres af Spillemyndigheden, og som kan læses i Microsoft Office eller Adobe Reader.

Dokumentationen skal ajourføres løbende og som minimum ved hver release. Der skal til hver release medfølge opdateret dokumentation, som beskriver grundlaget for releasen.

SAFE tilgængelighed pr. måned:

   
Tilgængelighed
98,50 pct.
Incident reaktionstid
Inden 1 time, mandag – fredag, i tidsrummet 08.00 – 17.00 (dansk tid).
   
Svartid
Den gennemsnitlige svartid for login skal være mindre end 10 sekunder.

SAFE servicevinduer:

Vinduestype
Servicevindue
Varighed
Varsling – udnyttelse af servicevindue
Standard changes, patchning, osv.
1 gang pr. døgn i tidsrummet mandag til fredag kl. 17:00 – 06:00 og lørdag til søndag kl. 00:00 – 23:59
120 min
5 arbejdsdages varsel
Større opdateringer
0-4 gange pr. måned i tidsrummet lørdag 00:00 – mandag 05:00
20 timer
10 arbejdsdages varsel
Omlægning af miljøer, arkitekturer og services
4 gange om året i tidsrummet lørdag 00:00 – mandag 05:00
24 timer
15 arbejdsdages varsel
Kritiske hasteopdateringer
Aftales
Aftales
Inden opgaven igangsættes

Incidents (hændelser):

Incident type:
Løst inden for
> 95,5 pct. af incidents er løst inden for tidsgrænserne, som er angivet nedenfor. Måles pr. måned. For øvrige incidents skal der aftales separat frist.
Haster (blokerende)
Mellem (omstændig work-around findes)
Normal (uhensigtsmæssighed, der kræver mindre work-around)
6 timer
2 arbejdsdage
4 arbejdsdage

Tilladelsesindehaver skal rapportere incidents via Spillemyndighedens incidentrapporteringssystem. Krav og information herom vil blive offentliggjort på Spillemyndighedens hjemmeside.

Tilladelsesindehaver er ansvarlig for drift af SAFE.

Hvis SAFE er utilgængelig, skal spildata opsamles og gemmes på SAFE efter afslutning på utilgængelighedsperioden.

E. 2 Overførsel af spildata fra spilsystem til SAFE

Tilladelsesindehaver skal overføre og gemme spildata på SAFE i henhold til Standard Records (info vedr. datastrukturer). Det er tilladelsesindehavers ansvar og opgave at sikre denne dataoverførsel.

Spillemyndigheden skal kunne overføre spildata efter behov fra SAFE til Spillemyndighedens eget datalager til kontrolbrug. Overførslen foregår via internettet med FTPS, og dataenes validitet kontrolleres med Tamper Token.

E. 3 Mappestruktur på SAFE og navngivning af Standard Records

Tilladelsesindehaver skal opbygge mappestrukturen på SAFE og navngive Standard Records ud fra følgende struktur:

Niveau 1: Den yderste mappe navngives »Folderstruktur-spilsystem«.

Niveau 2: Mappen navngives »Zip«.

Niveau 3: Der oprettes mapper for hver dag, navngivet efter datoen i formatet YYYY-MM-DD.

Niveau 4: Her placeres zip-filer, som hver knytter sig til én token. Desuden skal der være mapper for de tokens, som endnu ikke er lukkede. En mappe, som endnu ikke er lukket, navngives »SpilCertifikatIdentifikation-TamperTokenID«. Zip-filen, som indeholder mappen, navngives

»SpilCertifikatIdentifikation-TamperTokenID.zip«. SpilCertifikatIdentifikation er en unik identifikation af tilladelsesindehaveren, som Spillemyndigheden tildeler. TamperTokenID er en unik identifikation af den enkelte Tamper Token.

Niveau 5: Der oprettes mapper, i overensstemmelse med indholdet af hver enkelt zip-fil. De navngives fx »EndOfDay«, »Jackpot«, »KasinoSpil«, »PokerCashGames« og »PokerTurnering«

Niveau 6: Der oprettes mapper for de relevante datoer, navngivet efter datoen i formatet YYYY-MM-DD. De enkelte Standard Records placeres på dette niveau eller niveau 7 og placeres i den folder, som matcher det tidspunkt, hvor filen oprettes.

Niveau 7: [Valgfri] Der er mulighed for at angive undermapper med tidsintervaller i formatet HH. MM-HH. MM.

I forhold til alle andre spiltyper skal filerne placeres i den folder, hvor de forventes afsluttet.

Navngivning af mapper og Standard Records skal følge Spillemyndighedens specifikationer.

Spildata skal løbende zippes som angivet i mappestrukturen, og der skal oprettes en zip-fil for hver Tamper Token nøgle. Hver enkelt zip-fil skal indeholde netop de spildata, der pakkes med den tilhørende Tamper Token nøgle.

F. Løbende kontrol af om tilladelseskrav overholdes

F. 1 Rekvirering af spildata

Tilladelsesindehaver skal på opfordring kunne levere arkiverede spildata fra digitalt læsbart medie, jf. afsnit E. 1, til Spillemyndigheden inden for 5 arbejdsdage.

F. 2 Rekvirering af andre informationer

Udover de spildata, der er nævnt i afsnit E. 1, skal tilladelsesindehaver kunne generere informationer fra sit spilsystem og evt. tilknyttede systemer, herunder:

Oplysning om interaktive spil, fx de spillede kort i poker. Uanset om der spilles via netværk, hvor der deltager spillere fra flere spiludbydere, kan Spillemyndigheden kræve oplysninger vedrørende samtlige deltagere i hånden.

Oplysninger om spilkonti.

Statistiske oplysninger.

Udtræk af faktiske registreringer på tilladelsesindehavers spilsystem.

Disse informationer skal leveres til Spillemyndigheden inden for 5 arbejdsdage.

G. Krav til tilladelsesindehavers kontroller, forretningsgange og organisation

Tilladelsesindehaver skal udarbejde, dokumentere og gennemføre løbende kontroller af, om gældende krav i bekendtgørelsen til stadighed overholdes af både tilladelsesindehaver og dennes samarbejdspartnere. Disse skal som minimum omfatte:

Daglig kontrol udøvet af medarbejdere og ledere (i videst mulig omfang indarbejdet i forretningsgange og systemer).

Periodisk såvel som stikprøvevis intern audit.

Ekstern audit, når dette måtte være påkrævet for at opnå et tilfredsstillende niveau af dokumentation for, at gældende krav overholdes.

Behandling og arkivering af kontrolresultater.

Øjeblikkelig rapportering til Spillemyndigheden ved konstatering af fejl eller overtrædelse samt ved mistanke om fejl eller overtrædelse hos tilladelsesindehaver selv og/eller hos dennes samarbejdspartnere. Rapporteringen skal omfatte tilladelsesindehavers vurdering af konsekvenserne ved fejlen eller overtrædelsen.

Tilladelsesindehaver er ansvarlig for at udarbejde, dokumentere og følge relevante forretningsgange, der har til formål at understøtte og sikre, at både tilladelsesindehaver og dennes eventuelle samarbejdspartnere til stadighed overholder gældende krav i bekendtgørelsen. Forretningsgangene skal som minimum omfatte:

Tilladelsesindehaver sikrer overvågning af alle komponenter og datatransmissioner i det samlede spilsystem, herunder datalinjer, datapakker, netværk, SAFE, RNG, spilsystem m.v. (også komponenter og datatransmissioner hos evt. involveret tredjepart), for at sikre både pålidelighed og tilgængelighed.

Tilladelsesindehaver sikrer en backup- og restore-procedure til imødegåelse af tab af data.

Tilladelsesindehaver sikrer vedligeholdelses- og sikkerhedsprocedurer for en sikker og stabil drift i overensstemmelse med ISO 27001.

Tilladelsesindehaver skal være hensigtsmæssigt organiseret og tilstrækkeligt bemandet i forhold til at udbyde sine produkter i overensstemmelse med formålet med lov om spil samt med de krav, som Spillemyndigheden stiller.

Foruden rolle- og personrelaterede krav, som loven stiller for udstedelse af tilladelse, skal tilladelsesindehaver som minimum oprette følgende organisatoriske roller:

Ansvarlig for spilsoftware og driften af spil, herunder sikring af, at alle spil opbygges og afvikles korrekt og pålideligt uden fejl og snyd hos tilladelsesindehaver og eventuelle samarbejdspartnere.

Ansvarlig for IT-sikkerhed, herunder sikring af, at alle former for IT hardware, software og netværk anvendt af tilladelsesindehaver (og tilladelsesindehavers eventuelle samarbejdspartnere) opererer sikkerhedsmæssigt forsvarligt.

Ansvarlig for systemændringer, jf. Spillemyndighedens program for styring af systemændringer.

Ansvarlig for overvågning af hvidvask og terrorfinansiering, herunder sikring af at kravene i bekendtgørelsen overholdes.

Ansvarlig for økonomi, herunder sikring af, at SKAT altid modtager korrekt andel af bruttospilleindtægten.

Tilladelsesindehaver skal oplyse Spillemyndigheden om, hvem der bestrider ansvarsområderne.

De ansvarlige personer skal besidde de nødvendige kvalifikationer og den nødvendige erfaring for at kunne påtage sig rollen og ansvaret. Tilladelsesindehaver skal sikre, at personerne har beføjelser til at etablere foranstaltninger samt gennemføre nødvendige ændringer til sikring af, at tilladelsesindehaver overholder de stillede krav.

I forbindelse med kontrol vil de ansvarlige personer være det direkte kontaktpunkt. Personerne skal derfor altid kunne tilvejebringe og redegøre for al information og dokumentation, som Spillemyndigheden måtte forlange inden for de respektive områder.

Officielle noter

1) Bekendtgørelsen indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2005/60/EF af 26. oktober 2005 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvaskning af penge og finansiering af terrorisme (EU-Tidende 2005 nr. L 309, s. 15) som ændret ved Europa-Parlamentets og Rådets direktiv 2007/64/EF af 13. november 2007 (EU-Tidende 2007 nr. L 319, s. 1), Europa-Parlamentets og Rådets direktiv 2008/20/EF af 11. marts 2008 (EU-Tidende 2008 nr. L 76, s. 46), og Europa-Parlamentets og Rådets direktiv 2009/110/EF af 16. september 2009 (EU-Tidende 2009 nr. L 267, s. 7).

2) Bekendtgørelsen har som udkast været notificeret i overensstemmelse med Europa-Parlamentets og Rådets direktiv 98/34/EF af 22. juni 1998 om en informationsprocedure med hensyn til tekniske standarder og forskrifter, som ændret ved direktiv 98/48/EF.