Gokken

Online gokken en privacy: wat het nieuws vaak overslaat

Je ziet het vaak: een kop over recordwinsten of een boete voor een aanbieder. Maar bijna nooit lees je wat er met jóuw gegevens gebeurt. Je e-mail. Je ID. Je speelgedrag. Wie kijkt mee? Hoe lang? En wat kun jij vandaag al doen?

Deze gids is nuchter en praktisch. We kijken naar Nederland. We leggen uit wat aanbieders mogen, wat ze soms té graag willen, en hoe jij de regie houdt. Zonder hype. Wel met stappen die je direct kunt zetten.

Waarom juist nu?

Online gokken is legaal in Nederland sinds de Wet Koa. De Kansspelautoriteit (Ksa) geeft vergunningen en houdt toezicht. Er zijn meer spelers, meer apps, meer data. En dus ook meer risico op fouten, datalekken en misbruik.

De AVG geeft jou rechten over je persoonsgegevens. De regels zijn streng, legt de Autoriteit Persoonsgegevens helder uit. Toch zien we dat privacy in het nieuws vaak bijzaak is. Deze gids vult dat gat.

Wat het nieuws overslaat: 7 blinde vlekken

  • Device fingerprinting: ook zonder cookies kan een aanbieder je apparaat herkennen via o.a. schermmaat en fonts. Zie de risico’s in de OWASP Top 10 Privacy Risks.
  • KYC uitbesteed: je ID-check gaat vaak via een verwerker. Wie is dat? Hoe lang bewaart die partij kopieën? De EDPB legt rollen en plichten van verwerkers uit.
  • iDIN en PSD2-sporen: iDIN helpt je snel in te loggen/identificeren. Zie hoe het werkt op iDIN. Betalen valt onder PSD2; de DNB legt uit wat er mag met je betaaldata.
  • CRUKS en privacy: uitsluiten is goed voor bescherming. Maar wat staat er in dit register en wie ziet dat? Officiële info staat bij de Ksa; later in dit stuk linken we daar naartoe.
  • Adtech-pixels: marketing-tags kunnen je speelinteresse doorgeven aan advertentienetwerken. Klachten en analyses vind je bij noyb.
  • Cloud-logs: veel data staat in de cloud. Logbestanden zijn handig voor storingen en fraude, maar kunnen ook te lang blijven bestaan.
  • Zwarte lijsten bij anti-fraude: chargebacks en misbruik worden gedeeld tussen aanbieders via derde partijen. Vaak is onduidelijk hoe je eraf komt.
  • Cookie-banners met trucjes: “donker” design duwt je naar “Alles accepteren”. Wat wel mag lees je bij de AP over cookies en vergelijkbare technieken.

Interlude: een kort verhaal

Jan, 31, zette een limiet en dacht: klaar. Maar weken later kreeg hij alsnog advertenties met “welkomstbonussen”. Hij had ooit “marketing” aangevinkt bij een app. De app deelde zijn segment met een advertentienetwerk. De limiet hielp tegen te lang spelen. Niet tegen volgen op het web.

Wat gebeurt er eigenlijk met jouw data?

De reis is vaak zo: je maakt een account aan (e-mail, IP, telefoon). Je deelt je ID voor KYC. Je stort via iDEAL of kaart. Je speelt. De site of app logt sessies, klikken, inzet, tijd per spel. Anti-fraudesoftware bouwt een profiel. Marketing-tags meten campagnes. Support ziet tickets. En delen van deze data gaan naar KYC-providers, betaalpartijen, cloudleveranciers en soms advertentiepartners.

Tracking is niet alleen “cookies”. Ook scripts, fingerprinting en app-SDK’s zien veel. Meer lezen over online volgen kan bij de Electronic Frontier Foundation. En om te zien hoe druk internetverkeer is en hoeveel bots er zijn, kijk eens naar Cloudflare Radar.

Welke data worden verzameld, wie ziet ze, en hoe lang?

E-mail en telefoon Aanbieder Support, marketing (indien toestemming) Overeenkomst; toestemming voor marketing Zolang account actief; marketing tot intrekking Phishing, spam, ongewenste profielen Gebruik uniek adres, beheer voorkeuren Opt-in, eenvoudige opt-out, geen bundeling
IP-adres en device-fingerprint Aanbieder, anti-fraude Anti-fraudepartners Gerechtvaardigd belang; beveiliging Kort, strikt nodig voor security Tracking over sites, foutieve blokkades Browser-trackerblokkering, VPN niet als oplossing voor wetgeving Minimalisatie, DPIA, duidelijke uitleg
ID-document (KYC) KYC-provider namens aanbieder Eventueel toezichthouders op verzoek Wettelijke plicht (Wwft) Meestal 5–7 jaar, zo kort mogelijk Datalek, identiteitsfraude Niet in galerij bewaren, watermerk bij kopie Encryptie, strikte toegang, bewaartermijn hard
Betaalgegevens (iDEAL/kaart) Betaalprovider Banken, antifraude Overeenkomst; wettelijke plicht 5–7 jaar (fiscaal/AML) Fraude, ongewenste profilering Gebruik iDEAL, check afschriften Tokenisatie, scheiding betaal- en speldata
Spelgedrag (inzet, duur) Aanbieder Verslavingspreventie, rapportage Wettelijke plicht; gerechtvaardigd belang Variabel; zo kort mogelijk Profileren, gerichte verleiding Stel limieten, vraag om inzage Alleen voor zorg en naleving, geen adprofielen
Supporttickets en chat Aanbieder, supportdienst Interne teams Overeenkomst 1–2 jaar of korter Onnodige gevoelige info in tickets Deel geen extra privédata Maskeren, rolgebaseerde toegang
Marketing- en advertentiemetingen Adtech-partners Advertentienetwerken Toestemming (cookies/SDK) Kort en transparant Tracking buiten de site/app Weiger niet-noodzakelijke cookies Regelmatige audit, CMP zonder dark patterns
CRUKS-status Aanbieder via Ksa-systeem Niet gedeeld met derden Wettelijke plicht Volgens wet; niet langer dan nodig Stigma als data lekt Controleer registratie, bewaar bevestiging Alleen check, geen opslag buiten systeem

Let op: termijnen verschillen per aanbieder en wet. Check altijd de privacyverklaring van de aanbieder.

Wet- en toezichtskader in NL

Ksa: geeft vergunningen, controleert aanbieders en CRUKS. Zie meer over CRUKS bij de officiële Ksa-pagina.

AVG: je hebt recht op inzage, correctie, wissing, dataportabiliteit en bezwaar. De Autoriteit Persoonsgegevens legt jouw rechten en de plichten van bedrijven uit.

PSD2: regels rond betalen en toegang tot betaaldata met jouw toestemming. Uitleg staat bij de De Nederlandsche Bank. Voor iDEAL-veiligheid zie ook iDEAL.

Cookies/ePrivacy: toestemming is nodig voor niet-noodzakelijke cookies en vergelijkbare technieken. De AP geeft richtsnoeren over cookies.

Beveiligings- en privacyhygiëne voor spelers

Vandaag nog regelen

  • Gebruik een wachtwoordmanager. Zet 2FA aan waar het kan.
  • Maak een apart e-mailadres voor gokken. Zo blijft spam weg van je hoofdmail.
  • Controleer de vergunning: staat de aanbieder op de site van de Ksa?
  • Lees de privacyverklaring. Hoe lang bewaren ze ID-kopieën? Met wie delen ze data?
  • Weiger marketing-cookies. Klik niet achteloos op “Alles accepteren”.
  • Verwijder app-permissies die niet nodig zijn (locatie, contacten).
  • Sla ID-kopieën niet op in je galerij. Gebruik een watermerk “alleen voor KYC”.

Voor wie een stap verder wil

  • Zet trackerblokkering in je browser aan. Zie tips van Mozilla.
  • Vraag eenmaal per jaar om inzage (AVG). Vraag om wissing als je stopt.
  • Monitor datalekken van je e-mail. Pas wachtwoorden direct aan.
  • Controleer altijd het domein en het slotje (TLS) voor je inlogt.
  • Gebruik CRUKS als je pauze wilt. Het is verplicht voor aanbieders om te checken.

Wat aanbieders wél moeten doen

  • Doe een DPIA voor KYC, tracking en adtech. Minimaliseer data.
  • Zet bewaartermijnen hard in systemen. Verwijder actief na einde termijn.
  • Versleutel ID-documenten. Beperk toegang tot “need-to-know”.
  • Gebruik een eerlijke cookie-keuze. Geen dark patterns.
  • Maak fraudeprofielen transparant: doel, grondslag, bewaartijd.
  • Laat regelmatig een onafhankelijke security-audit doen. Start een bug bounty.
  • Schrijf privacyteksten in gewoon Nederlands. Geen jargon zonder uitleg.

Kiezen tussen aanbieders: zo lees je reviews met een privacy-bril

Let op deze punten als je reviews bekijkt:

  • Heeft de aanbieder een Ksa-vergunning? Dit is stap één.
  • Hoeveel trackers staan er op de site/app? Wat gebeurt er zonder toestemming?
  • Is de cookie-keuze eerlijk en duidelijk?
  • Hoe werkt verwijderen van je gegevens? Staat er een e-mailadres of formulier?
  • Hoe praat support over AVG-rechten? Krijg je heldere antwoorden?
  • Is CRUKS netjes geïntegreerd en uitgelegd?

Wil je een lijst met casino-apps naast elkaar zien en zelf letten op privacy en rechten? Kijk dan eerst naar vergunningen en dataminimalisatie, en vergelijk daarna app-rechten en uitleg. Een handig startpunt voor een overzicht van apps is https://www.casinoenlignetop.com/applications-de-casino/. Gebruik het als oriëntatie. Controleer altijd zelf de Ksa-vergunning en de privacyverklaring van elke aanbieder.

Nieuws-checklist voor lezers

  • Noemt het stuk de Ksa en de AVG, of alleen “illegale sites” en “bonussen”?
  • Gaat het in op KYC, CRUKS en trackers, of blijft het bij algemeenheden?
  • Zijn er links naar toezichthouders of alleen naar commerciële bronnen?
  • Worden risico’s en rechten concreet gemaakt (termijnen, grondslagen)?
  • Geen “magische” tips die wetten omzeilen? Zo ja: wegklikken.

FAQ

Is gokken met een VPN legaal en zinvol voor privacy?

Een VPN verbergt je IP voor derden. Het maakt gokken niet anoniem en heft regels niet op. Een VPN om blokkades te omzeilen kan wetten schenden. Voor privacy helpt het beperkt. Goede basis is beter: 2FA, weinig delen, cookies weigeren.

Kun je anoniem online gokken in Nederland?

Nee. Voor legaal gokken is KYC verplicht. Dat is voor leeftijd, witwasregels en zorgplicht. Je kunt wel beperken wat je deelt buiten het noodzakelijke (geen marketing, minder permissies).

Hoe werkt CRUKS en wat betekent het voor je gegevens?

CRUKS is een register om je uit te sluiten. Aanbieders checken alleen of je erin staat. Ze horen geen details op te slaan. Zie de uitleg van de Ksa over CRUKS.

Hoe verwijder ik mijn gegevens bij een aanbieder?

Dien een AVG-verzoek in (recht op wissing). Betaal- en KYC-gegevens kunnen ze soms nog bewaren wegens wetgeving (Wwft/fiscaal). Vraag om bevestiging wat weg is en wat nog moet blijven, met termijnen.

Worden mijn betaalgegevens gedeeld met derden via PSD2?

Alleen met jouw toestemming en binnen regels. Betaalproviders en banken verwerken gegevens volgens PSD2. Lees de uitleg van de DNB. Kies waar mogelijk iDEAL, en hou je afschriften in de gaten.

Helpt ‘incognito’ tegen tracking?

Incognito wist lokale sporen na je sessie. Het stopt geen fingerprinting en geen netwerk-tracking. Gebruik daarnaast trackerblokkering en weiger niet-noodzakelijke cookies. Zie tips van Mozilla.

Hulp en risico’s: blijf niet alleen lopen

Merk je dat spelen je leven bijt? Praat erover. Anonieme hulp is er bij Loket Kansspel. Feiten en achtergrond vind je ook bij het Trimbos-instituut. Voor digitale risico’s en dreigingen kun je kijken naar het NCSC.

Zo speel je morgen al beter

  • Zet 2FA aan en maak een apart e-mailadres.
  • Weiger marketing-cookies en check app-permissies.
  • Dien één inzageverzoek in bij je favoriete aanbieder.
  • Stel speellimieten in. Overweeg CRUKS als je pauze wilt.

Methodologie & bronnen

We hebben richtlijnen en wetten geraadpleegd van toezichthouders en experts. Voor privacyregels in de EU keken we naar de European Data Protection Supervisor (EDPS) en de EDPB. Voor tracking en beveiliging lazen we onder meer OWASP en de EFF. Nederlands kader en handhaving staan bij de Ksa en de AP. Betaalcontext en PSD2 vind je bij de DNB en iDEAL. Cookie-regels staan bij de AP. Voor adtech-klachten: noyb. Voor burgerhulp en verslavingskennis: Trimbos en Loket Kansspel. Voor netwerk- en botinzichten: Cloudflare Radar. Voor praktische browser-privacy: Mozilla.

Hoe we werkten: we lazen wetten en richtlijnen, spraken met supportteams van drie aanbieders (NL), en bekeken privacyverklaringen van vijf sites en drie apps (Q1 2026). We hebben geen gevoelige testdata gedeeld. We deden geen instructies voor omzeilen van regels. Dit stuk is informatief, geen juridisch advies. 18+, speel bewust.

Laatst bijgewerkt: 20 februari 2026.