AML- en KYC-beleid

1. Doel en reikwijdte

Dit beleid beschrijft de procedures van BinoBet voor het opsporen en voorkomen van financiële misdrijven, zoals witwassen, overtredingen van sancties en terrorismefinanciering. Het is van toepassing op alle producten, processen en kanalen van ons platform. Het reguleert ook de verzameling en het gebruik van consumentengegevens in overeenstemming met de regelgeving inzake consumentenbescherming en privacy. Dit beleid is bedoeld als aanvulling op onze privacyverklaring, algemene voorwaarden, beveiligingsnormen en ons beleid inzake verantwoord spelen.

Dit beleid heeft betrekking op:

• bestuur en rollen;
  
• onze risicogebaseerde aanpak;
  
• klantenonderzoek (CDD) en verbeterde due diligence (EDD);
  
• voortdurende monitoring, screening en transactiebewaking;
  
• onderzoeken en meldingen van verdachte transacties;
  
• administratie en audit;
  
• training en bewustwording;
  
• gebruik van technologie en leveranciers;
  
• gegevensbescherming en vertrouwelijkheid;
  
• inbreukbeheer en disciplinaire maatregelen.
  

2. Wettelijk en regelgevend kader

Wij opereren volgens Nederlands en EU-recht en volgen de richtlijnen van de Kansspelautoriteit (KSA) en de Financial Intelligence Unit-Nederland (FIU-NL). Belangrijke instrumenten zijn onder meer:

• Wwft — de Wet ter voorkoming van witwassen en financieren van terrorisme;
  
• Sanctions Act 1977 en bijbehorende decreten;
  
• Wet op kansspelen op afstand en door de KSA vastgestelde vergunningsvoorwaarden;
  
• EU AML-richtlijnen en technische normen;
  
• AVG/GDPR voor gegevensbescherming en rechten van betrokkenen.
  

Waar regels met elkaar in conflict zijn, volgt BinoBet de strengere eisen. We volgen de juridische ontwikkelingen en passen dit beleid en onze controles indien nodig aan.

3. Risicogebaseerde benadering (RBA)

3.1 Principes

We stemmen onze controles af op het risiconiveau. We houden rekening met klant-, product-, kanaal-, geografische en transactiefactoren. We accepteren geen klanten of activiteiten waarbij het risico niet tot een acceptabel niveau kan worden teruggebracht.

3.2 Bedrijfsbrede risicobeoordeling (EWRA)

We voeren minstens één keer per jaar, en bij materiële wijzigingen, een EWRA uit. Deze identificeert inherente risico’s, beoordeelt de effectiviteit van de beheersing en bepaalt onze resterende risicobereidheid. De resultaten worden gedocumenteerd, goedgekeurd door de Raad van Bestuur en vertaald naar controlewijzigingen, personeelsbehoeften en technologische roadmaps.

4. Bestuur en verantwoordelijkheden

4.1 Bestuur en senior management

De raad van bestuur is verantwoordelijk voor het AML/CFT-risico en bepaalt de nalevingsstrategie. De raad van bestuur keurt de EWRA, dit beleid en het jaarlijkse nalevingsplan goed. Het senior management zorgt voor de benodigde middelen, onafhankelijkheid en escalatiemogelijkheden voor de AML-functie.

4.2 Meldpunt Witwaspraktijken (MLRO)

De MLRO is verantwoordelijk voor de dagelijkse naleving, het up-to-date houden van processen, het onderzoeken van meldingen, het beslissen over FIU-NL-meldingen, de communicatie met de KSA en de wetshandhaving, en het driemaandelijks rapporteren aan de Raad. Indien nodig kan de MLRO transacties blokkeren en heeft hij onbeperkte toegang tot gegevens en systemen. Indien de MLRO niet beschikbaar is, wordt deze vervangen door een plaatsvervangend MLRO.

4.3 Eerste verdedigingslinie

De teams Operations, Customer Support, Payments, Marketing en Product zijn verantwoordelijk voor de risico’s in hun processen. Ze moeten procedures volgen, gedocumenteerde controles uitvoeren en snel escaleren.

4.4 Tweede en derde lijn

Compliance (tweede lijn) ontwerpt het raamwerk, adviseert en stelt kritische vragen. Interne Audit (derde lijn) evalueert het ontwerp en de effectiviteit van het raamwerk minstens jaarlijks onafhankelijk.

4.5 Opleiding en competentie

Alle medewerkers volgen een AML/CFT-introductietraining vóór toegang tot het systeem en volgen daarna jaarlijkse opfriscursussen. Er zijn rolgebaseerde modules voor Support, Betalingen, VIP en Techniek. Voltooiing van de training is een voorwaarde voor blijvende toegang.

5. Klantenonderzoek (CDD)

5.1 Wanneer CDD vereist is

• vóór of bij het aangaan van een zakelijke relatie;
  
• voordat u een opname verwerkt;
  
• bij verdenking van witwassen of terrorismefinanciering;
  
• wanneer wij twijfelen aan de waarheid van eerder verkregen gegevens;
  
• over risicofactoren (paragraaf 8.5).
  

5.2 Identificatie van de klant

Klanten moeten ons een groot aantal persoonsgegevens verstrekken, waaronder volledige namen, geboortedata, nationaliteiten, woonadressen en telefoonnummers. De identiteit wordt geverifieerd door betrouwbare en externe bronnen, zoals Nederlandse rijbewijzen, verblijfsvergunningen of officiële overheidsdocumenten, zoals een paspoort of een EU/EER-identiteitsbewijs. Waar mogelijk maken mensen gebruik van e-ID-tools. We kunnen om een live video of foto vragen om te controleren of u er goed uitziet.

5.3 Adresverificatie

We verifiëren het adres met een recent document (≤ 3 maanden), zoals een bankafschrift, energierekening of BRP-uittreksel. Elektronische hulpmiddelen voor adresverificatie kunnen worden gebruikt waar dit betrouwbaar is.

5.4 Eigendom van betaalmethoden

Stortingen en opnames moeten worden gedaan met methoden op naam van de klant. We kunnen bankafschriften opvragen met de naam en het IBAN van de klant, of een gemaskeerde kaartafbeelding. Betalingen door derden zijn niet toegestaan.

5.5 Doel en aard van de relatie

We begrijpen het verwachte gebruik van het platform door de speler: beoogde producten, geschatte uitgaven, financieringsbronnen en opnamepatronen. Dit helpt bij het vaststellen van een basislijn voor monitoring.

5.6 Falen van CDD

Als CDD niet kan worden voltooid, starten of continueren we de relatie niet. Rekeningen zijn beperkt en geld kan worden teruggestort indien wettelijk toegestaan. Bij een vermoeden overwegen we een FIU-NL-melding.

6. Verbeterde due diligence (EDD)

EDD wordt toegepast wanneer een hoger risico wordt geïdentificeerd. Triggers zijn onder andere de PEP-status, indicatoren voor niet-ingezetenen, complex betaalgedrag, hoge snelheid van stortingen/opnames, ongunstige media of ongebruikelijk productgebruik.

EDD-maatregelen kunnen het volgende omvatten:

• goedkeuring van het senior management vóór onboarding of vóór verhoging van limieten;
  
• aanvullende identiteitsverificatie (bijv. gewaarmerkte kopieën, meerdere documenten);
  
• gedetailleerde controles van de bron van de fondsen (SOF) en de bron van de rijkdom (SOW) met bewijsstukken;
  
• lagere transactielimieten en strengere monitoringscenario’s;
  
• periodieke beoordelingen met kortere tussenpozen.
  

Indien SOF/SOW niet redelijkerwijs kan worden aangetoond, beperken of beëindigen wij de relatie.

7. Screening en naleving van sancties

7.1 Sanctiescreening

We screenen klanten bij onboarding en dagelijks daarna aan de hand van EU-, VN-, Nederlandse, Britse en Amerikaanse lijsten, afhankelijk van wat van toepassing is onder de Sanctions Act. Een positieve of potentiële match wordt direct doorgegeven aan de MLRO. Rekeningen worden bevroren zoals wettelijk vereist totdat ze zijn vrijgegeven.

7.2 PEP-screening en -behandeling

We screenen op politiek prominente personen en naaste medewerkers/familieleden. PEP’s vereisen EDD, goedkeuring door het senior management, lagere drempels voor beoordeling en strengere limieten. We houden controleerbare registraties van beslissingen bij.

7.3 Ongewenste media

We voeren negatieve mediacontroles uit voor klanten met een hoger risico en voor risicofactoren. Geloofwaardig negatief nieuws dat wijst op financiële criminaliteit leidt tot EDD, beperkingen of exit.

8. Doorlopende monitoring en toezicht

8.1 Principes

We monitoren gedrag om ervoor te zorgen dat het overeenkomt met het gestelde doel en risicoprofiel. De monitoring is zowel geautomatiseerd als handmatig.

8.2 Scenario’s voor transactiemonitoring (illustratief)

• snelle cycli van storten-spelen-opnemen met minimale spelactiviteit;
  
• stortingen met een hoge waarde, gevolgd door spelen met een laag risico en snelle opnames;
  
• gebruik van meerdere betaalinstrumenten met verschillende IBAN’s;
  
• stortingen van en opnames naar nieuw toegevoegde methoden kort vóór een grote uitbetaling;
  
• herhaaldelijk mislukte stortingen op meerdere kaarten;
  
• apparaat- of IP-anomalieën, inclusief Tor/VPN-gebruik;
  
• structurering net onder de verificatiedrempels;
  
• activiteit die niet in overeenstemming is met het aangegeven inkomen of de betaalbaarheidscontroles;
  
• patronen tussen accounts die wijzen op syndicaten of muilezelnetwerken.
  

8.3 Verantwoordelijke speelsignalen

We integreren data over verantwoord spelen (sessieduur, het najagen van verliezen, sterke veranderingen in uitgaven). Schade-indicatoren kunnen ook indicatoren voor financiële criminaliteit zijn. We coördineren de acties tussen de AML- en Safer Gambling-teams.

8.4 Waarschuwingsafhandeling

Meldingen worden gesorteerd op risico. Meldingen met een laag risico worden gewist met aantekeningen. Meldingen met een gemiddeld en hoog risico gaan naar de onderzoeksafdeling. Waar nodig plaatsen we blokkades op opnames. Elke stap wordt vastgelegd in het casemanagementsysteem.

8.5 Beoordelingstriggers

We voeren een KYC-vernieuwing uit wanneer: limieten worden verhoogd, betaalmethoden worden gewijzigd, de risicoscore aanzienlijk stijgt, een grote opname wordt aangevraagd of in periodieke cycli (12, 24 of 36 maanden, afhankelijk van het risico).

9. Onderzoeken en rapportage

9.1 Casemanagement

Onderzoeken volgen een gedocumenteerde workflow: intake, scopebepaling, bewijsverzameling, analyse, besluit en afsluiting. We houden een volledig audittraject bij, inclusief screenshots van belangrijke gegevens.

9.2 Informatie verzamelen

We kunnen aanvullende documenten opvragen: recente bankafschriften, loonstrookjes, belastingaangiften, koopovereenkomsten, erfrechtdocumenten of bewijs van winst van een andere aanbieder. We beoordelen de aannemelijkheid, consistentie en betaalbaarheid.

9.3 Uitkomsten van beslissingen

Mogelijke uitkomsten zijn: goedkeuring zonder actie; goedkeuring met voorwaarden (limieten, toezicht); verzoek om meer informatie; beperkingen op stortingen of opnames; schorsing van de rekening; of beëindiging van de relatie.

9.4 Meldingen van verdachte transacties (STR)

Indien er een vermoeden blijft bestaan dat de gelden afkomstig zijn van misdrijven of verband houden met terrorismefinanciering, dient de MLRO onverwijld een melding van een strafbaar feit in bij de FIU-Nederland . Hierbij voegen we alle relevante feiten, redenen voor het vermoeden en ondersteunende documenten toe. Het geven van tips is verboden; we informeren de klant niet dat er een melding van een strafbaar feit is ingediend.

9.5 Contactpersoon voor wetshandhaving en toezichthouders

Wij werken mee aan rechtmatige verzoeken en gerechtelijke bevelen. Verzoeken worden gevalideerd door Legal en de MLRO voordat ze openbaar worden gemaakt. Openbaarmakingen worden geregistreerd.

10. Betalingen en opnamecontroles

• Wij accepteren alleen betalingen van rekeningen op naam van de klant.
  
• Waar mogelijk storten we geld terug via de oorspronkelijke financieringsmethode.
  
• Betaalmethoden met een hoog risico (prepaidkaarten zonder KYC, anonieme vouchers) zijn niet toegestaan.
  
• Er gelden limieten voor nieuwe betaalinstrumenten totdat de controles zijn afgerond.
  
• Wij blokkeren transacties van derden en contante transacties.
  
• De valuta is EUR. Valutaconversie, indien aangeboden, volgt transparante tarieven en wordt gecontroleerd op misbruik.
  

11. Registratie, bewaring en controle

We bewaren CDD-bestanden, transactiegeschiedenissen, waarschuwings- en casusregistraties, STR-bestanden, trainingslogboeken en audit trails gedurende de door de Wwft en de vergunningsvoorwaarden vereiste perioden. De gegevens moeten nauwkeurig, volledig en binnen een redelijke termijn opvraagbaar zijn. Elektronische gegevens zijn beschermd tegen wijziging en ongeautoriseerde toegang.

Interne Audit voert jaarlijks beoordelingen uit van het ontwerp en de operationele effectiviteit, inclusief steekproeven van CDD-bestanden, alarmafhandeling, STR-beslissingen en gegevensbeveiligingsmaatregelen. De bevindingen leiden tot tijdgebonden herstelplannen.

12. Training en bewustwording

Alle medewerkers volgen een introductie- en jaarlijkse opfriscursus over: typologieën en rode vlaggen, sancties en PEP-afhandeling, CDD/EDD-vereisten, basisprincipes van transactiemonitoring, raakvlakken tussen verantwoord handelen, gegevensbescherming en rapportagetrajecten. Er worden scenariogebaseerde workshops georganiseerd voor teams met een hoge blootstelling (betalingen, VIP, support). De effectiviteit van de training wordt gevolgd door middel van beoordelingen en QA-steekproeven.

13. Technologie en data

13.1 Systemen

We gebruiken tools voor identiteitsverificatie, documentauthenticiteitscontroles, apparaatinformatie, transactiemonitoring, screening van PEP’s/sancties/adverse media en casemanagement. Wijzigingen in regels of modellen volgen changemanagement met testen en goedkeuring door Compliance.

13.2 Gegevenskwaliteit

We minimaliseren handmatige gegevensinvoer, voeren validatieregels uit en stemmen gegevens in alle systemen op elkaar af. Dataherkomst en controle-eigendom worden gedocumenteerd. Defecten worden geprioriteerd op basis van risico voor onderzoek of rapportage.

13.3 Privacy en veiligheid

Wij verwerken persoonsgegevens conform de AVG. Toegang tot AML-gegevens vindt plaats op een need-to-know-basis, geregistreerd en beoordeeld. Gevoelige documenten worden tijdens verzending en opslag versleuteld. We bewaren alleen wat strikt noodzakelijk is en verwijderen of anonimiseren deze na afloop van de bewaartermijn.

14. Derden en uitbesteding

Wanneer we leveranciers gebruiken (voor KYC, screening, betalingen of analyses), voeren we due diligence uit met betrekking tot licenties, beveiliging, privacy en sanctiecontroles. Contracten omvatten auditrechten, SLA’s, meldplichten voor inbreuken en voorwaarden voor gegevensverwerking. We monitoren prestaties en risico’s ten minste jaarlijks. Outsourcing draagt nooit onze wettelijke verplichtingen over – BinoBet blijft verantwoordelijk.

15. Overtredingen, incidenten en disciplinaire maatregelen

Vermoedelijke schendingen van dit beleid moeten onmiddellijk aan de MLRO worden gemeld. De MLRO en de juridische afdeling coördineren het onderzoek en de corrigerende maatregelen. Ernstige schendingen kunnen worden gemeld aan de KSA of FIU-NL en kunnen leiden tot disciplinaire maatregelen, waaronder ontslag. Wanneer schade bij klanten wordt vastgesteld, geven we prioriteit aan het indammen van de schade en, indien rechtmatig, aan het informeren van de klant.

16. Communicatie en klantervaring

We schrijven klanten in duidelijke taal aan wanneer ze documenten opvragen of beperkingen uitleggen. We vermijden jargon en hanteren realistische tijdschema’s. We vragen nooit om volledige kaartnummers of wachtwoorden voor online bankieren. We leggen uit hoe we hun gegevens beschermen en waarom controles nodig zijn. We overleggen met het Responsible Play-team wanneer interacties beide gebieden raken.

17. Metrieken en managementinformatie

We volgen: de slagings-/afkeuringspercentages voor onboarding; de tijd die nodig is om te verifiëren; het aantal meldingen en de conversie naar cases; de veroudering van cases; de omvang van de STR en de doorlooptijd; PEP/sancties; de voltooiing van trainingen; de slagingspercentages voor QA; auditbevindingen; en uitkomstmaten (bijv. voorkomen verliezen, geblokkeerde opnames). De MLRO rapporteert elk kwartaal aan de Raad van Bestuur en brengt trends en resourcebehoeften in kaart.

18. Beleidsonderhoud en goedkeuringen

Dit beleid wordt ten minste jaarlijks herzien, of eerder indien wetten, risico’s of bedrijfsmodellen veranderen. Updates worden opgesteld door Compliance, beoordeeld door Legal en belangrijke stakeholders, en goedgekeurd door de Raad van Bestuur. Vervangen versies worden gearchiveerd met een wijzigingslogboek.

19. Rode vlaggen (niet-uitputtend)

• Meerdere accounts gekoppeld via apparaten of IP’s;
  
• Regelmatig storten met minimale of geen speling;
  
• Het heen en weer sturen van geld via verschillende betaalmethoden;
  
• Structureren van stortingen/opnames om drempels te vermijden;
  
• Plotselinge pieken in de uitgaven die niet overeenkomen met het bekende inkomen;
  
• Betalingen vanuit risicogebieden of gesanctioneerde gebieden via tussenpersonen;
  
• Gebruik van VPN, TOR of hulpmiddelen voor extern bureaublad;
  
• Gedrag van derden (bijvoorbeeld meerdere rekeningen met hetzelfde IBAN);
  
• Pogingen om personeel om te kopen of onder druk te zetten;
  
• Negatieve media die een klant in verband brengen met fraude, corruptie of georganiseerde misdaad;
  
• Verbanden tussen schadelijke signalen van verantwoord spelen en ongebruikelijke financieringsbronnen.
  

20. Controlemechanismen voor de levenscyclus van de klant (samenvattende checklist)

Onboarding

• Identiteitsgegevens verzamelen en verifiëren; sancties/PEP-screening; vingerafdrukken van apparaten; initiële risicoscore; standaardlimieten instellen.
  

Financiering

• Accepteer alleen benoemde methoden; verifieer eigendom; controleer de snelheid en patronen van de eerste stortingen.
  

Toneelstuk

• Controleer de gameplay ten opzichte van de uitgangswaarde; koppel AML- en Safer Gambling-meldingen; blokkeer duidelijk misbruik.
  

Opname

• Bevestig de identiteit van risicofactoren; betaal aan de bron van de fondsen; bekijk de activiteiten sinds de laatste controle.
  

Periodieke beoordeling

• Vernieuw KYC op basis van risicocycli; herzie SOF/SOW voor klanten met een hoger risico.
  

Uitgang

• Leg de redenen vast; bewaar gegevens; rapporteer indien nodig; houd toezicht op pogingen tot herintreding.
  

21. Tippen en vertrouwelijkheid

We houden ons aan de wettelijke verbodsbepalingen met betrekking tot het doorgeven van meldingen. Medewerkers mogen een klant niet informeren dat zijn of haar activiteiten worden onderzocht of dat er een melding van een verdachte transactie is ingediend. Interne communicatie over zaken is beperkt tot ontvangers die dit nodig hebben en verloopt via goedgekeurde beveiligde kanalen.

22. Interactie met andere beleidslijnen

Dit beleid moet worden gelezen in samenhang met:

• Algemene voorwaarden;
  
• Privacyverklaring en standaard voor gegevensretentie;
  
• Informatiebeveiligingsbeleid;
  
• Verantwoord Speelbeleid;
  
• Norm voor naleving van sancties;
  
• Standaard voor risicobeheer van derden;
  
• Incidentresponsplan.
  

23. Woordenlijst

• CDD : Klantenonderzoek
  
• EDD : Enhanced Due Diligence
  
• EWRA : Risicobeoordeling voor de hele onderneming
  
• FIU‑NL : Financiële Inlichtingen Eenheid – Nederland
  
• KSA : Kansspelautoriteit
  
• MLRO : Meldpunt Witwassen
  
• PEP : Politiek Prominente Persoon
  
• RBA : Risicogebaseerde benadering
  
• SOF/SOW : Bron van fondsen / Bron van rijkdom
  
• STR : Verdachte transactierapport
  
• Wwft : Nederlandse AML/CFT-wetgeving
  

24. Versiebeheer

• Eigenaar: MLRO
  
• Goedgekeurd door: Raad van Bestuur
  
• Herzieningscyclus: jaarlijks of bij materiële wijziging
  
• Wijzigingslogboek: wordt bijgehouden in de Compliance-repository