AML en CTF beleid

1) Doel, reikwijdte en leidende principes

Dit beleid legt uit hoe BinoBet witwassen, terrorismefinanciering en gerelateerde financiële criminaliteit voorkomt en detecteert, en hoe we klanten identificeren en verifiëren. Het is van toepassing op alle kanalen (website, mobiele apps, support) en op elke fase van de spelerscyclus: registratie, stortingen, spelen, bonussen, opnames, accountwijzigingen en sluiting.

Onze principes zijn eenvoudig:

• Risicogebaseerd: strengere controles waar het risico hoger is.
  
• Rechtmatig: wij houden ons aan de Wwft , de Sanctiewet 1977 en bijbehorende besluiten, de Wet Kansspelen op afstand en vergunningsvoorwaarden, en de AVG.
  
• Tijdig: controles worden uitgevoerd voordat het risico zich manifesteert (bijvoorbeeld vóór de eerste opname).
  
• Proportioneel: we verzamelen alleen wat we nodig hebben en bewaren het alleen zolang als nodig is.
  
• Gedocumenteerd: beslissingen worden vastgelegd, zodat een onafhankelijke beoordelaar het wat, waarom en wanneer kan begrijpen.
  

Dit beleid wordt ondersteund door gedetailleerde procedures en werkinstructies. Waar dit beleid en een procedure verschillen, geldt de strengste controle.

2) Wettelijk en regelgevend kader

• Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme)
  
• Sanctions Act 1977 en EU/VN-sanctieregelgeving
  
• KSA-licentievoorwaarden, beleidsregels en richtlijnen voor kansspelen op afstand
  
• AVG/GDPR voor de verwerking van persoonsgegevens
  
• Verplichtingen op het gebied van consumenten- en burgerlijk recht met betrekking tot eerlijkheid en transparantie
  

We volgen wetswijzigingen op de voet en werken procedures onmiddellijk bij. De MLRO zorgt ervoor dat medewerkers op de hoogte worden gehouden van materiële updates.

3) Bestuur, rollen en verantwoording

• Raad van Bestuur — stelt de risicobereidheid vast, keurt dit beleid en de Enterprise-Wide Risk Assessment (EWRA) goed en ontvangt elk kwartaal AML/KYC-statistieken en samenvattingen van belangrijke gevallen.
  
• MLRO — is eigenaar van het programma; keurt scenario’s goed, onderzoekt escalaties, meldt verdachte transacties (STR’s) bij de FIU-Nederland en kan gameplay of betalingen onderbreken. Rapporteert onafhankelijk aan de Raad van Bestuur.
  
• Adjunct-MLRO — zorgt voor continuïteit wanneer de MLRO niet beschikbaar is.
  
• Eerste lijn (Betalingen, Ondersteuning, VIP, Operaties, Groei) — voert CDD/EDD-incasso, transactiebeoordelingen, casusdocumentatie en tijdige escalaties uit.
  
• Tweede lijn (Compliance & Risico) — ontwerpt controles, bewaakt de effectiviteit, voert thematische beoordelingen uit en zorgt voor uitdagingen.
  
• Derde lijn (interne audit) — test het programmaontwerp en de effectiviteit minstens eenmaal per jaar.
  
• Alle werknemers moeten een training volgen voordat ze toegang krijgen tot het systeem en daarna jaarlijks. Ze moeten vermoedens onmiddellijk melden (‘bij twijfel, escaleren’).
  

een formele RACI bijgehouden voor onboarding, opnames, transactiemonitoring, sanctiemeldingen en STR-indiening.

4) Risicogebaseerde benadering (RBA)

4.1 Ondernemingsbrede risicobeoordeling (EWRA)

Ten minste eenmaal per jaar, en bij materiële wijzigingen (nieuw product, markt, partner of betaalmethode), beoordelen we het inherente risico voor klanten, producten, kanalen, regio’s en leveringen. We evalueren de sterkte van de controle, bepalen het restrisico en stellen drempelwaarden vast (bijv. snelheidslimieten, EDD-triggers). De resultaten van EWRA worden goedgekeurd door de Raad van Bestuur.

4.2 Klantrisicobeoordeling

Elke speler heeft een dynamische score bij de onboarding en gedurende de gehele levenscyclus. Het model houdt rekening met identiteitskenmerken, apparaatsignalen, betaalgedrag, stortings-/opnamepatronen, productmix, resultaten van sancties/PEP’s/adverse media, betaalbaarheidsindicatoren en eerdere nalevingsgeschiedenis. De risicoscores zijn ingedeeld in Laag/Middelhoog/Hoog/Ernstig en bepalen de CDD-diepte, de monitoringintensiteit en de frequentie van de controles.

4.3 Product- en kanaalrisico

Onboarding op afstand, directe stortingen, snelle opnames en peer-to-peer overboekingen vormen een hoger risico. We accepteren geen contant geld, anonieme vouchers zonder traceerbaarheid of cryptovaluta, tenzij expliciet toegestaan en goedgekeurd door de Raad van Bestuur en de toezichthouder. Nieuwe functies vereisen een gedocumenteerde risicobeoordeling vóór de lancering.

5) Klantenonderzoek (CDD)

5.1 Wanneer wij CDD uitvoeren

• voordat er een relatie wordt aangegaan of er wordt gespeeld;
  
• vóór de eerste opname;
  
• bij verdenking van witwassen/terrorismebestrijding;
  
• wanneer informatie onjuist, inconsistent of verouderd lijkt;
  
• wanneer de risicoscore of het gedrag van een speler aanleiding geeft tot een beoordeling.
  

5.2 Identificatiegegevens

We verzamelen uw volledige officiële naam, geboortedatum, nationaliteit, woonadres, e-mailadres, mobiele nummer en voorkeurstaal. We registreren ook apparaat-ID’s en IP-adressen voor beveiligings- en geolocatiecontroles.

5.3 Verificatiemethoden

• Identiteit: paspoort, EU/EER-identiteitskaart, Nederlands rijbewijs, verblijfsvergunning (geldig en niet verlopen).
  
• Biometrie: selfie of livevideo met detectie van levendigheid en gelijkenis, waar toegestaan.
  
• Elektronische verificatie: betrouwbare gegevensbronnen en controles op de authenticiteit van documenten.
  
• Adres: document ≤ 3 maanden oud (bankafschrift, energierekening, BRP-uittreksel) of betrouwbare e-verificatie.
  

5.4 Eigendom van de betaalmethode

Stortingen en opnames moeten worden gedaan met instrumenten op naam van de speler . We kunnen een gecensureerd bankafschrift (naam + IBAN) of een gemaskeerde kaartafbeelding (eerste 6 en laatste 4 cijfers) opvragen. Financiering door derden en moneymule-patronen zijn verboden.

5.5 Doel en beoogde aard

We registreren hoe een speler verwacht het platform te gebruiken (productselectie, geschatte uitgaven, financieringsbronnen). Deze basislijn is bepalend voor monitoring en betaalbaarheidscontroles.

5.6 Het niet voltooien van CDD

Als CDD niet binnen een redelijke termijn kan worden afgerond, beperken we de activiteiten, weigeren we transacties en – indien rechtmatig – storten we het geld terug naar de bron. Bij verdenking beoordeelt de MLRO of er een STR moet worden ingediend.

6) Verbeterde due diligence (EDD)

EDD is van toepassing wanneer er sprake is van een hoger risico, waaronder maar niet beperkt tot:

• PEP’s , hun naaste kennissen of familieleden;
  
• negatieve media die fraude, corruptie, belastingontduiking of georganiseerde misdaad suggereren;
  
• complexe structuren of ongebruikelijke, grote of snelle transacties die niet in lijn zijn met het profiel;
  
• verbindingen met gebieden of industrieën met een hoger risico;
  
• niet-residente indicatoren, frequente apparaat-/IP-wijzigingen of proxy-/VPN-gebruik;
  
• grote winsten of uitbetalingssnelheden die niet overeenkomen met eerdere activiteiten.
  

EDD-maatregelen kunnen bestaan uit goedkeuring door het senior management, aanvullend identiteitsbewijs, onafhankelijke adresverificatie, documentatie over de bron van fondsen (SOF) / bron van vermogen (SOW) , strengere limieten, frequentere controles en voortdurende monitoring. Indien SOF/SOW niet redelijkerwijs kan worden aangetoond, beperken of beëindigen we de relatie.

7) Screening (sancties, PEP, negatieve media)

• We screenen alle spelers bij de onboarding en dagelijks daarna aan de hand van sanctielijsten van de EU, de VN en Nederland; indien relevant kunnen ook lijsten van het VK en de VS in overweging worden genomen. Positieve of potentiële matches worden direct geëscaleerd. We weigeren of bevriezen transacties waar de wet dit vereist.
  
• Wij identificeren PEP’s en passen EDD plus senior goedkeuring toe; de periodieke vernieuwingscycli zijn korter voor PEP-relaties.
  
• Wij voeren controles op negatieve media uit voor spelers met een hoger risico, waarbij we gebruikmaken van betrouwbare bronnen. Materiële hits leiden tot EDD of exit.
  

Alle screeningresultaten en -beslissingen worden vastgelegd met tijdstempels en identificatiegegevens van de beoordelaar.

8) Doorlopende monitoring

8.1 Principes

Monitoring maakt gebruik van geautomatiseerde regels, machinaal aangeleerde risicosignalen en menselijke beoordeling. Gedrag wordt vergeleken met een persoonlijke baseline en met peer groups. Inzichten in AML worden gecombineerd met indicatoren voor veiliger gokken om één enkel risicobeeld te vormen.

8.2 Illustratieve scenario’s

• Snelle storting → minimale speeltijd → opnamecycli (waarderecycling).
  
• Retourneren tussen meerdere betaalinstrumenten.
  
• Vaak mislukte stortingen of geweigerde kaarten.
  
• Veel nieuwe kaarten/IBAN’s toegevoegd in korte tijd.
  
• Structureren net onder de verificatiedrempels.
  
• Nieuwe apparaten, TOR/VPN/extern bureaublad-gebruik of IP-wisselingen op afstand.
  
• Opnames naar nieuw toegevoegde instrumenten of naar bankrekeningen met niet-overeenkomende namen.
  
• Stortingspieken zijn inconsistent met het salaris of de aangegeven SOF/SOW.
  
• Patronen tussen accounts die wijzen op syndicaten of waardeoverdracht.
  

8.3 Zaakbehandeling

Meldingen worden beoordeeld als Laag/Middel/Hoog/Ernstig . Een laag risico kan worden opgelost met een gedocumenteerde onderbouwing. Een Middel+ risico leidt tot een onderzoek; opnames kunnen worden gepauzeerd in afwachting van beoordeling. Elke actie (blokkering, verzoek om documenten, limietwijziging) wordt geregistreerd met reden, eigenaar en datum van volgende beoordeling.

8.4 Periodieke vernieuwing

We vernieuwen KYC met cycli die zijn afgestemd op het risico (bijv. 12/24/36 maanden). Triggers zijn onder meer limietverhogingen, nieuwe betaalinstrumenten, grote opnames en profielwijzigingen.

9) Betalingscontroles

• Accepteer alleen stortingen van instrumenten op naam van de speler; betaal opnames indien mogelijk terug naar de bron ( pay-to-source ).
  
• Pas snelheidslimieten en afkoelingsperiodes toe op nieuwe instrumenten en nieuwe accounts.
  
• Splits grote uitbetalingen indien bank- of risicobeperkingen dit vereisen.
  
• Wijs anonieme financiering af; verbied crypto tenzij wettelijk toegestaan en goedgekeurd door de Raad.
  
• Houd terugboekingen in de gaten; winsten die verband houden met teruggeboekte stortingen kunnen als voorwaardelijk worden beschouwd totdat ze zijn opgelost.
  

10) Onderzoeken, resultaten en rapportage

10.1 Onderzoeksworkflow

1. Inname — waarschuwing die wordt gegenereerd door een regel, model of verwijzing van personeel.
   
2. Bereik — definieer de te beantwoorden vragen; stel tussentijdse controles in (bijvoorbeeld pauzeren van terugtrekking).
   
3. Gegevensverzameling — KYC-pakket, betalingen, apparaten, gameplay, communicatie, externe bronnen.
   
4. Contact met de klant : vraag indien nodig om SOF/SOW- of betalingseigendomsdocumenten.
   
5. Analyse — vergelijk het gedrag met de basisnormen en die van collega’s; beoordeel de aannemelijkheid van de financiering.
   
6. Besluit — duidelijk; duidelijk met voorwaarden; beperken; opschorten; verlaten; STR aanbevelen.
   
7. Afsluiting — noteer de onderbouwing, het bewijs en de volgende beoordeling.
   

10.2 Resultaten en acties

• Helder — geen probleem; de monitoring gaat door.
  
• Duidelijk met voorwaarden : stel limieten in, beperk producten, plan vernieuwing.
  
• Vraag meer informatie aan : specifieke documenten met deadlines.
  
• Beperken/Opschorten — tijdelijke pauze in afwachting van bewijs.
  
• Exit — relatie beëindigd; gelden teruggegeven volgens de wet.
  
• STR — Er bestaat nog steeds het vermoeden dat de gelden crimineel eigendom zijn of gekoppeld zijn aan TF.
  

10.3 Verdachte transactiemeldingen (STR’s)

Wanneer het vermoeden de meldingsdrempel bereikt, dient de MLRO onmiddellijk een melding in bij FIU-Nederland en wordt de vertrouwelijkheid gewaarborgd. Het geven van tips is verboden ; medewerkers mogen nooit onthullen dat een melding wordt overwogen of ingediend.

10.4 Samenwerking met autoriteiten

We reageren op rechtmatige verzoeken van FIU-NL, politie, OM, de Saoedische overheid en rechtbanken. Juridische instanties en MLRO valideren de meldingen; we houden audit trails bij van wat er is gedeeld en waarom.

11) Registratie en bewaring

Wij houden volledige, nauwkeurige en opvraagbare gegevens bij:

• CDD/EDD-pakketten (identiteit, adres, eigendom, SOF/SOW);
  
• screeningslogboeken (sancties, PEP, negatieve media);
  
• waarschuwingen, zaken, beslissingen en notities van beoordelaars;
  
• transactiegeschiedenissen en reconciliaties;
  
• STR-aanvragen en correspondentie (beperkte toegang);
  
• het afronden van trainingen, QA-resultaten, audits en herstelmaatregelen.
  

De bewaartermijnen voldoen aan de wettelijke en licentievoorwaarden (bijv. 5-7 jaar na sluiting van de rekening voor KYC/AML onder de Wwft; 7 jaar voor financiële administratie). Na afloop van de bewaartermijn verwijderen of anonimiseren we de gegevens. De toegang is rolgebaseerd en wordt geregistreerd.

12) Gegevensbescherming en vertrouwelijkheid

AML/KYC-verwerking volgt de AVG-principes: rechtmatigheid, eerlijkheid, transparantie, doelbinding, gegevensminimalisatie, nauwkeurigheid, opslagbeperking, integriteit en vertrouwelijkheid. Gevoelige documenten worden tijdens verzending en opslag versleuteld. We gebruiken beveiligde portals voor uploads, voorzien door de speler aangeleverde documenten van een watermerk en beperken downloads. Sommige gegevens moeten worden bewaard, zelfs als de speler om verwijdering verzoekt (wettelijke bewaartermijnen hebben voorrang).

13) Technologie, modellen en wijzigingscontrole

Alle AML/KYC-relevante systemen – IDV, documentauthenticatie, apparaatinformatie, sancties/PEP-screening, monitoring en casemanagement – vereisen goedkeuring door Compliance. Regels en modellen worden versiebeheerd en getest voordat ze live gaan. We voeren kwaliteitscontroles uit, voeren backtests uit waar nodig en monitoren de percentages vals-positieven/vals-negatieven. Datakwaliteitsafstemmingen worden dagelijks uitgevoerd met incidentpaden voor storingen.

14) Opleiding en competentie

• Introductie (vóór toegang): AML/KYC-basisprincipes, rode vlaggen, escalatie, gegevensverwerking.
  
• Jaarlijkse opfriscursus: beleidsupdates, casestudies, beoordeling (er wordt een voldoende gehaald).
  
• Rolspecifieke modules: Betalingen (chargebacks, pay-to-source), VIP (EDD/SOF/SOW), Ondersteuning (eerstelijnsvragen), Product/Tech (risico-impact, logging).
  
• Gerichte training: nieuw sanctieregime, nieuwe betaalmethode of grote regelwijziging.
  

De toegang tot systemen kan worden opgeschort als de training afloopt.

15) Kwaliteitsborging (QA) en meetgegevens

Compliance voert routinematige QA uit op een steekproef van onboardingdossiers, terugtrekkingen en afgesloten zaken. De bevindingen worden gebruikt voor coaching en systeemverbeteringen. De MLRO rapporteert elk kwartaal aan de Raad over: de percentages geslaagde/verwezen/afgewezen onboardingdossiers; documentverwerking; meldingen en omzetting naar zaken; veroudering van zaken; sancties en afhandelingstijden; STR-volumes en doorlooptijd; terugtrekkingsstops en -resultaten; voltooiing van trainingen; QA-slaagpercentages; status van auditherstel.

16) Derden en outsourcing

We screenen KYC-leveranciers, screeningpartners, betalingsverwerkers en hostingproviders. Contracten omvatten vertrouwelijkheid, gegevensverwerkingsvoorwaarden, auditrechten, serviceniveaus, incidentmelding en naleving van sancties. Outsourcing draagt onze wettelijke verplichtingen niet over; BinoBet blijft verantwoordelijk.

17) Interactie met Verantwoord Gokken (RG)

Signalen over financiële criminaliteit en spelersbescherming overlappen elkaar vaak (bijvoorbeeld snelle toename van uitgaven, nachtelijke sessies, betalingsmoeilijkheden). AML- en RG-teams werken samen aan gedeelde meldingen, spreken één contactpersoon af om tegenstrijdige signalen te voorkomen en documenteren de uitkomsten consistent. In geval van schade hebben maatregelen ter bescherming van spelers voorrang.

18) Incidenten, inbreuken en herstel

Wanneer een controle mislukt (bijvoorbeeld omdat de screening is gemist, er een uitbetaling heeft plaatsgevonden aan een externe rekening, of de STR te laat is uitgevoerd), dan doen wij het volgende:

1. onder controle krijgen (bevriezen, terugroepen of verdere actie stopzetten);
   
2. Beoordeel de impact en wettelijke verplichtingen;
   
3. Waarschuw de KSA/FIU-NL of andere instanties indien nodig;
   
4. De grondoorzaken
   aanpakken (proces, systeem, training);
5. Documenteer het incident en de geleerde lessen.
   

Materiële incidenten worden aan het bestuur gerapporteerd.

19) Beleidslevenscyclus en uitzonderingen

• Evaluatie: minimaal jaarlijks of bij juridische/operationele wijzigingen.
  
• Goedkeuring: Raad van Bestuur.
  
• Uitzonderingen: moeten op basis van het risico worden beoordeeld, een tijdslimiet hebben en door de MLRO worden goedgekeurd. Algemene uitzonderingen zijn niet toegestaan.
  
• Versiebeheer: er wordt een wijzigingslogboek bijgehouden; gearchiveerde kopieën zijn op verzoek beschikbaar voor accountants en toezichthouders.