Kort overblik
- KYC og AML: Danske online casinoer skal kende deres kunder og overvåge transaktioner for at leve op til hvidvaskloven og spilleloven.
- Dine data: Casinoet indsamler identitet, adresse, betalingsoplysninger og i nogle tilfælde dokumentation for indkomst og formue.
- Opbevaring og rettigheder: KYC/AML-data gemmes typisk i mindst fem år, men du har stadig omfattende GDPR-rettigheder.
- Sikkerhed og tryghed: Stramme regler, tilsyn fra Spillemyndigheden og Datatilsynet samt teknisk sikkerhed skal beskytte både dine penge og dine oplysninger.
Introduktion: Hvorfor KYC og AML på danske online casinoer?
Enhver dansker, der har oprettet en konto hos et licenseret online casino, har mødt krav om legitimation, adresseoplysninger og spørgsmål om økonomi. Det er ikke tilfældigt bureaukrati, men kernen i de KYC- og AML-regler, som Spillemyndigheden håndhæver på det danske marked.>
Reglerne skal blandt andet:
- forhindre hvidvask af penge og finansiering af terror
- beskytte spillere mod svindel, identitetstyveri og misbrug af betalingsmidler
- understøtte ansvarligt spil og tidlig opsporing af problematisk spilleadfærd
- sikre, at persondata behandles lovligt efter GDPR og databeskyttelsesloven
I denne artikel gennemgår vi, hvad casinoerne må og skal spørge om, hvordan dine data bruges og gemmes, og hvilke rettigheder du har som spiller i Danmark.
Hvad er KYC og AML? (og forskellen mellem dem)
Hvad betyder KYC på online casinoer?
KYC – “Know Your Customer” – er de procedurer, et casino skal følge for at kende identiteten og profilen på sine kunder. På danske online casinoer betyder det, at udbyderen både ved oprettelse og løbende skal kunne dokumentere, hvem du er, hvor du bor, og om din spilaktivitet passer til din økonomiske profil. Det er også vigtigt at forstå risici ved at spille på sider uden dansk licens, hvor KYC- og AML-krav ofte ikke overholdes.
Typisk indsamles blandt andet:
- legitimationsdokumenter (pas, kørekort eller nationalt ID)
- bekræftelse af adresse (f.eks. elregning, årsopgørelse, kontoudtog)
- alderstjek for at sikre, at du er mindst 18 år
- verifikation af betalingsmidler (kortfoto, kontoudtog, e-wallet-ejerskab)
Hvad er AML, og hvordan hænger det sammen med KYC?
AML – “Anti Money Laundering” – dækker det samlede regelsæt, der skal forhindre, at spiludbydere misbruges til hvidvask og terrorfinansiering. I Danmark er hovedreglerne samlet i hvidvaskloven, som gælder for blandt andre spiludbydere med dansk licens. Du kan sammenligne forskelle på licensregler i Danmark og udlandet for at se, hvordan KYC og AML håndteres internationalt.
KYC er et centralt redskab i AML-arbejdet, men AML omfatter også løbende overvågning, risikovurderinger, uddannelse af medarbejdere og pligt til at indberette mistænkelige forhold til Hvidvasksekretariatet.
Forskellen mellem KYC og AML i praksis
| KYC | AML |
|---|---|
| Fokus på at identificere og verificere kunden. | Fokus på at forebygge, opdage og rapportere hvidvask og terrorfinansiering. |
| Indsamling af ID, adresse, kontakt- og betalingsoplysninger. | Risikovurdering, transaktionsovervågning og rapportering til myndigheder. |
| Bruges ved oprettelse, udbetalinger og løbende opdatering. | Bruges kontinuerligt gennem hele kundeforholdet. |
| Direkte mærkbart for spilleren gennem dokumentkrav. | Foregår ofte i baggrunden via systemer og interne procedurer. |
Dansk regulering: Spillemyndigheden, hvidvaskloven, GDPR og databeskyttelsesloven
Spillemyndighedens rolle og licenskrav
Spillemyndigheden under Skatteministeriet fører tilsyn med alle udbydere, der har licens til onlinekasino i Danmark. For at få og beholde licens skal udbyderen dokumentere robuste procedurer for KYC, AML, ansvarligt spil og databeskyttelse.
Spillemyndigheden kan give påbud, udstede bøder, inddrage licenser og politianmelde udbydere, der ikke overholder reglerne. Myndigheden fører også løbende kontrol med spiludbydernes rapportering, systemer og økonomi.
Hvidvaskloven og krav til spiludbydere
Hvidvaskloven pålægger spiludbydere at:
- identificere og risikovurdere alle kunder
- indhente og verificere legitimations- og adresseoplysninger
- overvåge transaktioner og spiladfærd løbende
- undersøge og rapportere mistænkelige forhold til Hvidvasksekretariatet
- opbevare relevante oplysninger i minimum fem år
Hvor omfattende kontrollerne er, afhænger af casinoets risikovurdering. Kunder med højere risikoprofil kan blive mødt med mere detaljerede spørgsmål og krav om dokumentation.
GDPR og databeskyttelsesloven
Ud over hvidvaskloven skal casinoerne overholde GDPR og den danske databeskyttelseslov. Det betyder blandt andet, at:
- der skal være et klart, lovligt formål med at indsamle og behandle dine data
- der kun må indsamles de oplysninger, der er nødvendige (dataminimering)
- dine oplysninger skal være korrekte og opdaterede
- data skal beskyttes med passende tekniske og organisatoriske sikkerhedsforanstaltninger
- du har en række rettigheder, som casinoet skal respektere
Datatilsynet fører tilsyn med, at persondatareglerne overholdes, også hos spiludbydere.
Hvilke data indsamler casinoerne til KYC og AML?
De oplysninger, et licenseret online casino typisk indsamler i Danmark, kan opdeles i flere kategorier:
| Datatype | Eksempler | Formål |
|---|---|---|
| Identitetsoplysninger | Navn, CPR-nummer, kopi af pas eller kørekort | Identifikation, alderskontrol, forebyggelse af svindel |
| Adresse- og kontaktdata | Folkeregisteradresse, elregning, telefonnummer, e-mail | Adresseverifikation, kundekommunikation |
| Betalingsoplysninger | Kortnummer (delvist), kontonummer, e-wallet-oplysninger | Gennemførsel af ind- og udbetalinger, bekæmpelse af misbrug |
| Økonomiske oplysninger | Oplysninger om indkomst, formue, beskæftigelse | Vurdering af, om spilaktivitet matcher økonomisk profil |
| Spil- og transaktionsdata | Indsatsstørrelser, gevinster, tab, tidsforbrug | AML-overvågning og ansvarligt spil |
Ikke alle kunder bliver bedt om samme detaljeringsgrad. Jo større beløb og jo mere kompleks spiladfærd, desto mere indgående vil kontrollen typisk være.
Hvorfor stiller casinoet spørgsmål om din økonomi?
Spørgsmål om indkomst, beskæftigelse og formue udspringer af både hvidvaskloven og reglerne om ansvarligt spil. Casinoet skal kunne vurdere, om din spilaktivitet er rimelig i forhold til din økonomi.
Hvis der f.eks. indbetales meget store beløb fra en kunde med oplyst lav indkomst, kan det udløse krav om ekstra dokumentation eller begrænsning af kundeforholdet. Det beskytter både samfundet mod hvidvask og den enkelte spiller mod at komme i alvorlige økonomiske problemer.
Løbende overvågning og risikovurdering
KYC stopper ikke, når kontoen er oprettet. Casinoet er forpligtet til løbende at overvåge transaktioner og spiladfærd for at opdage mønstre, der kan indikere hvidvask, svindel eller problematisk spil.
| Eksempel på overvågning | Mulig reaktion |
|---|---|
| Hyppige store ind- og udbetalinger uden nævneværdigt spil | Nærmere undersøgelse, krav om dokumentation, evt. indberetning |
| Pludselig markant ændring i indsatsniveau | Yderligere spørgsmål om økonomi, tilbud om ansvarlig-spil-værktøjer |
| Brug af flere forskellige betalingsmidler fra forskellige personer | Afvisning af transaktioner, lukning af konto, indberetning |
Meget af overvågningen foregår automatisk via systemer, men medarbejdere foretager også manuelle vurderinger og kontroller.
Opbevaring af KYC- og AML-data
Efter hvidvaskloven skal spiludbydere som udgangspunkt opbevare KYC- og AML-relaterede oplysninger i mindst fem år efter, at kundeforholdet er ophørt. I nogle tilfælde kan perioden være længere, hvis der f.eks. verserer en sag eller myndighederne kræver det. Læs mere om hvordan Spillemyndigheden fører kontrol med danske online casinoer.
GDPR kræver samtidig, at data ikke opbevares længere end nødvendigt. Når den lovpligtige opbevaringsperiode udløber, skal oplysningerne som hovedregel slettes eller anonymiseres, medmindre der er et andet lovligt grundlag for at beholde dem. Hvis du vil vide mere om hvilke udbydere der opfylder de danske krav, kan du se vores oversigt over godkendte spiludbydere i Danmark.
Dine GDPR-rettigheder som spiller
Som kunde hos et dansk licenseret online casino har du en række rettigheder efter GDPR og databeskyttelsesloven. De vigtigste er:
- Ret til oplysning: Du skal informeres om, hvilke data der indsamles, til hvilke formål, og hvem de deles med.
- Ret til indsigt: Du kan bede om en kopi af de personoplysninger, casinoet behandler om dig.
- Ret til berigtigelse: Du kan kræve urigtige eller ufuldstændige oplysninger rettet.
- Ret til sletning: I visse tilfælde kan du kræve data slettet, f.eks. hvis de ikke længere er nødvendige. Dog kan hvidvaskloven betyde, at casinoet skal gemme visse oplysninger i en periode.
- Ret til begrænsning: Du kan i nogle situationer få begrænset behandlingen, så data kun må opbevares, men ikke bruges aktivt.
- Ret til indsigelse: Du kan gøre indsigelse mod visse former for behandling, f.eks. hvis casinoet bruger data til markedsføring.
- Ret til dataportabilitet: I nogle tilfælde kan du få udleveret data i et struktureret, maskinlæsbart format.
Hvis du mener, at et casino ikke overholder reglerne, kan du klage til Datatilsynet.
Deling af dine oplysninger med myndigheder og tredjeparter
Casinoet må dele dine oplysninger med myndigheder og udvalgte tredjeparter, når der er et lovligt grundlag for det. Det kan f.eks. være:
- Spillemyndigheden i forbindelse med tilsyn og kontrol
- Hvidvasksekretariatet ved indberetning af mistænkelige forhold
- Datatilsynet i forbindelse med databeskyttelsestilsyn
- Betalingsudbydere og banker for at gennemføre transaktioner
- Revisorer og andre rådgivere, der er underlagt tavshedspligt
Casinoet skal informere dig om de vigtigste kategorier af modtagere i sin privatlivspolitik.
ROFUS, ansvarligt spil og sammenhængen med KYC/AML
ROFUS (Register Over Frivilligt Udelukkede Spillere) er Spillemyndighedens register for spillere, der ønsker at udelukke sig selv fra online og/eller landbaseret spil. Når du opretter dig hos et licenseret online casino, skal udbyderen tjekke, om du står i ROFUS. Hvis du vil vide mere om hvordan myndighederne fører kontrol med casinoer, kan du læse videre om Spillemyndighedens arbejde og tilsyn.
Ansvarligt spil hænger tæt sammen med KYC og AML:
- Kendskab til din identitet og alder sikrer, at mindreårige ikke spiller.
- Overvågning af spiladfærd kan bruges til at opdage tegn på ludomani.
- Oplysninger om økonomi kan hjælpe med at vurdere, om dit spil er økonomisk forsvarligt.
Hvis casinoet vurderer, at din spiladfærd er problematisk, kan det tilbyde værktøjer som indbetalingsgrænser, midlertidig udelukkelse eller henvise til hjælp. Du kan også selv vælge at registrere dig i ROFUS via Spillemyndighedens hjemmeside.
Sikkerhed: Sådan skal casinoet beskytte dine data
GDPR og databeskyttelsesloven kræver, at spiludbydere beskytter dine personoplysninger med passende sikkerhedsforanstaltninger. Det omfatter blandt andet:
- kryptering af data under overførsel og ofte også ved lagring
- adgangskontrol, så kun autoriserede medarbejdere kan se følsomme oplysninger
- logning og overvågning af adgang til systemer
- regelmæssige sikkerhedstjek og opdatering af software
- interne politikker og uddannelse af medarbejdere i datasikkerhed
Hvis der sker et brud på datasikkerheden, der indebærer risiko for dig, skal casinoet som udgangspunkt anmelde det til Datatilsynet og i visse tilfælde også informere dig direkte.
Hvad bør du som spiller være opmærksom på?
Selv om reglerne er stramme, er det en god idé, at du selv er opmærksom på, hvordan dine data bruges. Overvej blandt andet at:
- læse casinoets privatlivspolitik og vilkår, før du opretter dig
- sikre, at udbyderen har dansk licens (tjek hos Spillemyndigheden)
- være kritisk over for at sende dokumenter via usikre kanaler
- bruge stærke adgangskoder og to-faktor-login, hvis det tilbydes
- kontakte kundeservice, hvis du er i tvivl om, hvorfor bestemte oplysninger efterspørges
Du kan også vælge at begrænse, hvilke oplysninger du deler til det nødvendige, og fravælge markedsføring, hvis du ikke ønsker det.
Opsummering: KYC, AML og dine rettigheder på danske online casinoer
KYC- og AML-reglerne på det danske spillemarked betyder, at licenserede online casinoer skal kende deres kunder, overvåge transaktioner og rapportere mistænkelige forhold. Det indebærer indsamling og opbevaring af en række person- og økonomioplysninger. Det er vigtigt at kende kendetegn ved ulovlige spillesider for at undgå risici ved spil uden dansk licens.
Samtidig er casinoerne bundet af GDPR og databeskyttelsesloven, som giver dig klare rettigheder og stiller krav til sikker behandling af dine data. Spillemyndigheden og Datatilsynet fører tilsyn med, at reglerne overholdes, mens ROFUS og ansvarligt-spil-kravene skal beskytte spillere mod at komme ud i alvorlige problemer.
Som spiller kan du med fordel kende dine rettigheder, stille spørgsmål til casinoets praksis og bruge de værktøjer, der findes til ansvarligt spil og databeskyttelse.
FAQ: KYC og AML på danske online casinoer
Hvorfor skal jeg uploade legitimation og dokumentation, når jeg spiller på et dansk online casino?
Det er et lovkrav efter hvidvaskloven og spilleloven, at licenserede casinoer kender deres kunder (KYC) og kan forebygge hvidvask og terrorfinansiering (AML). Derfor skal de verificere din identitet, adresse, alder og ejerskab til betalingsmidler, så de både kan beskytte dig mod svindel og leve op til Spillemyndighedens krav.
Hvilke personoplysninger må casinoet typisk indsamle om mig?
Et dansk licenseret casino må indsamle oplysninger som navn, CPR-nummer, adresse, kontaktoplysninger, kopi af ID (pas, kørekort eller nationalt ID), dokumentation for adresse (f.eks. elregning eller årsopgørelse) samt oplysninger om dine betalingsmidler. Ved større eller usædvanlig spilaktivitet kan de også bede om dokumentation for indkomst og formue.
Hvor længe gemmer casinoet mine KYC- og AML-data, og kan jeg få dem slettet?
Efter hvidvaskloven skal casinoet typisk gemme KYC/AML-oplysninger i mindst fem år efter kundeforholdets ophør. Samtidig har du GDPR-rettigheder, bl.a. ret til indsigt, berigtigelse og i nogle tilfælde sletning. Men hvis data er nødvendige for at overholde hvidvaskloven, kan casinoet lovligt afslå at slette dem, indtil den lovpligtige opbevaringsperiode er udløbet.
Hvordan beskytter danske online casinoer mine data og min økonomi?
Casinoer med dansk licens er underlagt krav om teknisk og organisatorisk sikkerhed, herunder kryptering, adgangskontrol og løbende overvågning af systemer. Spillemyndigheden og Datatilsynet fører tilsyn med, at reglerne overholdes. Derudover bruges KYC til at forhindre identitetstyveri og misbrug af betalingskort, mens AML-overvågning skal opdage mistænkelige transaktioner i tide.
Kan casinoet overvåge min spiladfærd, og hvad bruger de det til?
Ja, som led i både AML og ansvarligt spil overvåger casinoet din spiladfærd og dine transaktioner. Formålet er bl.a. at opdage mønstre, der kan tyde på hvidvask eller terrorfinansiering, men også at identificere tegn på problematisk spil. På den baggrund kan de f.eks. kontakte dig, sætte midlertidige begrænsninger eller henvise til ROFUS og andre hjælpetilbud.

