Privacybeleid Lalabet Casino (Nederland, 2026)
Deze privacyverklaring legt uit hoe Lalabet Casino in Amsterdam, Nederland, jouw persoonsgegevens verwerkt volgens de AVG. Je leest welke gegevens we verzamelen, voor welke doeleinden, hoe cookies en tracking werken, met wie we data delen, hoe lang we bewaren en welke rechten je hebt. Ook vind je hier onze beveiligingsmaatregelen en hoe je contact opneemt voor privacyverzoeken of klachten.
Wie is verantwoordelijk voor jouw gegevens bij Lalabet?
Bij het gebruik van de Nederlandse online diensten van Lalabet (website en eventuele mobiele applicaties) treedt de exploitant van het merk Lalabet op als verwerkingsverantwoordelijke in de zin van de AVG. Dat betekent dat wij bepalen voor welke doeleinden en met welke middelen jouw persoonsgegevens worden verwerkt. Deze sectie beschrijft voor wie dit privacybeleid geldt, verduidelijkt de verantwoordelijkheden (inclusief die van onze Functionaris voor Gegevensbescherming, “FG”) en legt uit via welke kanalen je snel en veilig privacyverzoeken kunt indienen. De Autoriteit Persoonsgegevens (AP) is de toezichthouder in Nederland voor privacywetgeving; zie autoriteitpersoonsgegevens.nl voor algemene informatie en klachtenprocedures.
Geldigheid en reikwijdte: voor wie geldt dit beleid?
Dit privacybeleid is van toepassing op de verwerking van persoonsgegevens door Lalabet in de context van haar Nederlandse aanbod en is bedoeld voor natuurlijke personen (geen rechtspersonen). Het beleid dekt alle verwerkingen die samenhangen met toegang tot en gebruik van onze casino- en weddiensten, klantenservice en marketingkanalen, zolang deze worden geleverd door of namens Lalabet aan personen in Nederland of de EER.
- Websitebezoekers: personen die onze site(s) bezoeken, ongeacht of zij een account hebben.
- Geregistreerde spelers: personen die een account aanmaken of gebruiken, inclusief identiteit- en leeftijdsverificatie (KYC).
- Betalende klanten: personen die stortingen of uitbetalingen doen via gekoppelde betaalmethoden.
- Contactzoekers: personen die ons benaderen via chat, e-mail, tickets of sociale kanalen voor ondersteuning.
- Marketingontvangers: personen die onze marketingberichten ontvangen (indien toegestaan) of onze promotiepagina’s bezoeken.
| Context | Valt onder dit beleid | Toelichting |
|---|---|---|
| Bezoek aan de website(s) in NL/EER | Ja | Inclusief noodzakelijke, functionele en (na toestemming) analytische/marketingcookies zoals beschreven in de cookie-informatie op de site. |
| Accountregistratie en -gebruik | Ja | Omvat identificatie (KYC), leeftijdscontrole (18+), beveiliging en accountbeheer. |
| Spel-, inzet- en transactiegegevens | Ja | Noodzakelijk voor dienstverlening, naleving (bijv. anti-witwas) en verantwoord speelgedrag. |
| Betalingsafhandeling via PSP’s | Ja | Verwerking in samenwerking met betaalserviceproviders; elk met eigen privacyvoorwaarden. |
| Klantenservice (chat/e-mail/tickets) | Ja | Registratie van communicatie om je verzoeken te behandelen en kwaliteit te borgen. |
| Direct marketing (e-mail/SMS/push) | Ja | Alleen met rechtsgrond (toestemming of gerechtvaardigd belang met opt-out). |
| Partnersites van derden | Nee | Eigen privacybeleid van toepassing; klik door en lees de voorwaarden van de betreffende derde. |
| Sollicitanten en personeel | Nee | Vallen onder een aparte HR-privacyverklaring die bij werving wordt verstrekt. |
| Geanonimiseerde statistieken | Nee (niet-persoonsgegevens) | Data op geaggregeerd/anonimiseerd niveau valt niet onder de AVG. |
Wie is de verwerkingsverantwoordelijke en onze FG?
De verwerkingsverantwoordelijke is de entiteit binnen de Lalabet-groep die het Nederlandse aanbod exploiteert en de doeleinden en middelen van de verwerking vaststelt. De statutaire aanduiding en (indien van toepassing) inschrijvingsgegevens van deze entiteit worden gepubliceerd op de website (meestal in de footer of het juridische gedeelte) en in je accountomgeving. Waar wij gebruikmaken van gespecialiseerde dienstverleners (bijvoorbeeld betaalserviceproviders, KYC- en fraude-detectiepartners), treden zij op als verwerker of, waar passend, als zelfstandige of gezamenlijke verwerkingsverantwoordelijke; in dat laatste geval wordt de rolverdeling transparant toegelicht in het betreffende proces.
- Verwerkingsverantwoordelijke: stelt doelen en middelen vast; draagt primaire verantwoordelijkheid voor naleving van de AVG en dit beleid.
- Verwerker(s): handelen uitsluitend volgens onze instructies en zijn contractueel gebonden aan passende beveiligingsmaatregelen en geheimhouding.
- Functionaris voor Gegevensbescherming (FG/DPO): houdt intern toezicht op naleving, adviseert over DPIA’s en is contactpunt voor toezichthouders en betrokkenen. De FG opereert onafhankelijk binnen de organisatie.
De contactgegevens van de verwerkingsverantwoordelijke en, indien aangewezen, van onze FG worden op de officiële website van Lalabet gepubliceerd in deze privacyverklaring of op de contact-/helpcentrum-pagina. Algemene informatie over rechten onder de AVG vind je bij de Europese Toezichthouders via edpb.europa.eu.
Hoe kun je snel contact opnemen voor privacyzaken?
Je kunt een privacyverzoek (bijv. inzage, rectificatie, verwijdering, beperking, bezwaar of dataportabiliteit) kosteloos indienen. Om jouw verzoek efficiënt en veilig te behandelen, volg je onderstaande stappen. Wij reageren in de regel binnen één maand na ontvangst (met mogelijkheid tot verlenging met maximaal twee maanden bij complexe of meervoudige verzoeken, waarover je tijdig wordt geïnformeerd).
Dien je verzoek in via het op de website aangegeven privacykanaal (bijv. het privacy-/rechtenformulier in je account of het helpcentrum). Gebruik bij voorkeur hetzelfde e-mailadres als in je account om verificatie te vereenvoudigen.
Vermeld duidelijk welk recht je uitoefent en specificeer de relevante periode, productfuncties of datasets (bijv. “speltransacties van jan–mrt 2026”).
Voeg, indien nodig, informatie toe om je identiteit te bevestigen. Maak onnodige gegevens op een identiteitsdocument onleesbaar (bijv. BSN en foto), maar laat naam en geboortedatum zichtbaar voor verificatie.
Heb je namens iemand anders een verzoek? Voeg dan een geldige machtiging bij en, indien vereist, verificatie van zowel jou als de betrokkene.
Ontvangstbevestiging: je ontvangt een bevestiging met referentienummer. Bewaar dit nummer voor vervolgcommunicatie.
Beveiligingsadvies: deel nooit wachtwoorden of volledige betaalkaartgegevens in je verzoek. Zulke gegevens worden nooit door ons opgevraagd voor rechtenverzoeken.
Escalatie: als je ontevreden bent over onze afhandeling, kun je een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.
Voor spoedeisende beveiligingsmeldingen (bijv. vermoeden van accountmisbruik) vragen wij je het in het helpcentrum genoemde beveiligingskanaal te gebruiken, zodat onze teams prioriteit kunnen geven aan incidentrespons. Zakelijke partners en verwerkers nemen bij datalekken contact op via de in de verwerkersovereenkomst vastgelegde meldingspunten en termijnen.
Welke persoonsgegevens verzamelen wij en op welke grondslag?
Wij verwerken alleen persoonsgegevens die nodig zijn om onze kansspeldiensten te leveren, te beveiligen en te voldoen aan wettelijke verplichtingen. De wettelijke grondslagen zijn met name: uitvoering van de overeenkomst (AVG art. 6(1)(b)), wettelijke verplichting (AVG art. 6(1)(c), o.a. Wwft/anti‑witwas en, waar van toepassing, de Nederlandse kansspelregelgeving), gerechtvaardigd belang (AVG art. 6(1)(f), o.a. fraudepreventie en beveiliging) en, voor bepaalde marketing- en cookieverwerkingen, toestemming (AVG art. 6(1)(a)). Hieronder vind je per categorie voorbeelden, doeleinden en grondslagen.
| Categorie | Voorbeelden | Doeleinden | Rechtsgrond (AVG) | Bewaarindicatie |
|---|---|---|---|---|
| Account & KYC | Naam, geboortedatum (18+), adres, e‑mail, kopie ID, bewijs van adres | Accountaanmaak, leeftijds- en identiteitscontrole, naleving Wwft | Overeenkomst; Wettelijke plicht | Min. 5 jaar na einde relatie (Wwft) en tot 7 jaar voor fiscale administratie, waar van toepassing |
| Spel- & inzetlogs | Tijdstempels, spel-ID, inzetbedragen, uitkomsten, sessie-ID | Dienstverlening, verantwoord spelen, audit en geschilafhandeling | Overeenkomst; Gerechtvaardigd belang; Wettelijke plicht (waar vereist) | Zolang nodig voor dienstverlening, naleving en bewijsvoering conform toepasselijk recht |
| Transacties | Storting/uitbetaling, bedrag, valuta, referentie, status | Betalingsafhandeling, klantenstorting/uitbetaling, controles Wwft | Overeenkomst; Wettelijke plicht | Min. 5 jaar (Wwft) en tot 7 jaar (fiscale plicht), waar van toepassing |
| Betaalgegevens (via PSP) | Gemaskeerd kaartnummer, token, IBAN/BIC, iDEAL-referentie | Transactie-uitvoering, terugbetalingen, chargebackbehandeling | Overeenkomst; Gerechtvaardigd belang | Zolang noodzakelijk voor transacties, terugboekingen en compliance |
| Beveiliging & fraude | IP, apparaat-/browserinfo, risicoscore, ongebruikelijke patronen | Fraudedetectie, misbruikpreventie, incidentrespons | Gerechtvaardigd belang; Wettelijke plicht (waar vereist) | Zolang nodig voor beveiligingsdoeleinden en bewijsvoering |
| Marketing (optioneel) | Voorkeuren, opt-ins, campagne-interacties | Gerichte communicatie, promoties, meting effectiviteit | Toestemming; Gerechtvaardigd belang (met opt-out) | Tot intrekking toestemming of bezwaar, en conform bewaarbeleid |
Waar onze diensten specifiek onder Nederlandse kansspelregels vallen, houden wij rekening met toezichthouderseisen van de Kansspelautoriteit; zie kansspelautoriteit.nl voor algemene informatie. AML/CTF-verplichtingen vloeien voort uit de Wwft; de daarvoor vereiste bewaartermijnen en controles hebben voorrang op kortere interne termijnen.
Account- en KYC-gegevens: wat vragen wij en waarom?
Voor het openen en beheren van een spelersaccount en om te voldoen aan leeftijds-, identificatie- en nalevingsverplichtingen vragen wij basisgegevens en, indien nodig, aanvullende verificaties. Dit helpt ons toegang te verlenen, misbruik te voorkomen en wettelijke drempels (18+) te borgen.
- Identificatie: volledige naam, geboortedatum (bevestiging 18+), nationaliteit (waar vereist).
- Contactgegevens: e‑mailadres en telefoonnummer voor verificatie, beveiligingsmeldingen en service-updates.
- Adresgegevens: straat, woonplaats, land; gebruikt voor risicobeoordeling, betaal- en nalevingsdoeleinden.
- KYC‑documenten: kopie identiteitsdocument (met afscherming niet-noodzakelijke velden), bewijs van adres (bijv. recent bankafschrift of nutsrekening).
- Bron van middelen (indien vereist door AML‑regels): verklaringen of documenten over herkomst van fondsen bij hogere risico’s of drempels.
Doeleinden en grondslagen: accountaanmaak en dienstverlening (overeenkomst), naleving van wetgeving zoals Wwft en leeftijdscontrole (wettelijke plicht) en beveiliging/risicobeheer (gerechtvaardigd belang). Indien lokale regelgeving aanvullende registers of controles voorschrijft (bijv. zelfuitsluiting en verantwoord spelen), verwerken wij de benodigde gegevens uitsluitend voor dat doel en binnen de geldende wettelijke kaders.
Spel-, inzet- en transactiegegevens: waarvoor gebruiken we die?
Tijdens het spelen registreren wij technische en financiële gebeurtenissen die nodig zijn om inzetten te plaatsen, resultaten te bepalen, saldo’s bij te werken en jouw accountinformatie correct weer te geven. Deze registraties zijn ook essentieel voor audit, geschiloplossing en verantwoord speelbeleid.
- Spel- en sessielogs: tijdstempels, spel-/tafel-ID, ronde-ID, sessie- en apparaat-ID’s, statuscodes.
- Inzet- en resultaatgegevens: inzetbedragen, uitkomsten, uitbetalingen, saldoveranderingen, bonusgebruik.
- Transactiegegevens: stortingen, uitbetalingen, transactiereferenties, betaalstatussen.
- Naleving en verantwoord spelen: limieten, time‑outs, zelfuitsluitingen, monitoring op ongebruikelijke patronen waar toegestaan.
Wij gebruiken deze gegevens om de overeenkomst uit te voeren (spel mogelijk maken, saldo en transacties bijhouden), voor wettelijke rapportages en audittrails (waar vereist) en voor gerechtvaardigde belangen zoals kwaliteitscontrole, incidentonderzoek en het voorkomen van misbruik. Waar mogelijk passen wij aggregatie of pseudonimisering toe voor rapportages en analytics.
Betaalgegevens en fraudepreventie: hoe werkt dit met PSP’s?
Betalingen verlopen via erkende betaaldienstverleners (PSP’s). Wij ontvangen geen volledige kaartgegevens zoals volledige PAN of CVV; in plaats daarvan verwerken wij transactie‑referenties, tokens en gemaskeerde attributen. De PSP zorgt voor beveiligde verwerking (bijv. PCI DSS voor kaartbetalingen) en past waar nodig Strong Customer Authentication (SCA) toe volgens PSD2‑regels. Onze rol is het koppelen van jouw account aan de transactie en het verwerken van de uitkomst.
Je kiest een betaalmethode (bijv. kaart, bankoverschrijving, iDEAL) en voert de betaling uit via de PSP‑omgeving.
De PSP valideert en beveiligt de transactie (bijv. 3‑D Secure/SCA) en deelt met ons alleen de noodzakelijke uitkomsten en referenties.
Wij werken je accountsaldo bij en bewaren relevante transactiegegevens voor administratie, terugbetalingen en naleving.
Fraudepreventie: wij en/of de PSP passen risicomodellen toe (bijv. device‑signalen, snelheid van transacties, geografische inconsistenties) om misbruik te detecteren en te voorkomen.
Rechtsgrond: uitvoering van de overeenkomst (betaling afhandelen), wettelijke verplichting (administratie/AML) en gerechtvaardigd belang (beveiliging, chargebackbeheer).
Transparantie: waar een PSP als zelfstandige verwerkingsverantwoordelijke optreedt, geldt ook diens eigen privacybeleid; raadpleeg de informatie in de betaalflow.
Beveiliging: deel nooit volledige kaartgegevens of wachtwoorden met klantenservice; deze worden niet gevraagd voor verificatie.
Voor algemene informatie over consumentenbescherming en betaalbeveiliging in Nederland kun je de Autoriteit Persoonsgegevens en de Kansspelautoriteit raadplegen: autoriteitpersoonsgegevens.nl en kansspelautoriteit.nl. Deze bronnen geven toelichting op rechten, toezicht en veilig gebruik van online diensten.
Cookies en tracking: hoe werkt jouw toestemming?
Wij gebruiken cookies en vergelijkbare technieken om onze website te laten werken, prestaties te meten en – alleen met jouw expliciete toestemming – gepersonaliseerde inhoud en marketing te tonen. Volgens de AVG en de e-privacyregels vragen wij voorafgaande toestemming voor alle niet-essentiële cookies (zoals analytische en marketingcookies). Je kunt je keuze op elk moment wijzigen via de cookie-instellingen op onze site. Algemene informatie van de Nederlandse toezichthouder vind je op autoriteitpersoonsgegevens.nl, en richtsnoeren over toestemming bij de Europese Toezichthouder vind je op edpb.europa.eu.
Welke typen cookies gebruiken we (functioneel, analytisch, marketing)?
We onderscheiden drie hoofdcategorieën. Functionele cookies zijn noodzakelijk voor de dienstverlening en vereisen geen toestemming. Analytische en marketingcookies worden uitsluitend geplaatst na jouw opt-in via de cookiebanner of -instellingen. De exacte lijst van cookies, doeleinden en looptijden staat altijd in onze cookie-instellingen en kan per periode/provider wijzigen.
| Type | Voornaamste doelen | Voorbeelden van gegevens | Opslagduur (indicatief) | Toestemming vereist? |
|---|---|---|---|---|
| Functioneel (noodzakelijk) | Inloggen/sessiebeheer, beveiliging (CSRF), laadbalancering, cookievoorkeuren onthouden | Sessie-ID, token, servernode, voorkeur “opt-in/opt-out” | Tot einde sessie; voorkeurcookies kunnen enkele maanden geldig zijn | Nee (gerechtvaardigd belang/noodzakelijk voor dienst) |
| Analytisch | Bezoekersstatistieken, foutdiagnose, laadtijden, funnelanalyse | Gepseudonimiseerde ID, pageviews, events, verwijzende URL, device/OS | Variabel per provider (uren tot 24 maanden); zie cookie-instellingen | Ja (voorafgaande toestemming) |
| Marketing/advertentie | Attributie, frequentielimiet, personalisatie, retargeting | Advertentie-ID, campagnerespons, segment/interestcategorie | Variabel per provider (dagen tot 24 maanden); zie cookie-instellingen | Ja (voorafgaande toestemming) |
Let op: technieken zoals SDK’s, web beacons en device‑identifiers (bijv. in mobiele omgevingen) vallen onder dezelfde toestemmingsregels als cookies wanneer ze worden gebruikt voor niet-noodzakelijke doeleinden.
Hoe beheer je cookievoorkeuren op de site en in je browser?
Je hebt altijd controle over je cookie-instellingen. Je kunt toestemming geven, weigeren of later intrekken. Verwijder je cookies of gebruik je een andere browser/apparaat, dan kan het nodig zijn je keuze opnieuw vast te leggen.
Op de site: open “Cookie-instellingen” (link in de footer of via de banner) en pas per categorie je voorkeuren aan; bevestig je keuze.
Toestemming intrekken: schakel analytische/marketingcategorieën uit in de cookie-instellingen. Wij stoppen dan met het plaatsen/lezen van die cookies. Browserbeheer: blokkeer of verwijder cookies via je browserinstellingen. De meeste browsers bieden:
Alle/derde‑partijcookies blokkeren;
Automatisch wissen bij sluiten;
Uitzonderingen beheren per website.
Gevolgen van uitschakelen: essentiële functies (zoals inloggen of kassaproces) blijven werken met functionele cookies; prestaties/analyses en gepersonaliseerde content kunnen beperkt zijn zonder toestemming.
Do Not Track: sommige browsers bieden een DNT‑signaal; niet alle sites of derden honoreren dit standaard. Gebruik onze cookie-instellingen voor betrouwbare controle.
Bewijs van toestemming: wij bewaren een gehashte registratie van jouw toestemmingsstatus (tijdstip, categorieën) om naleving aan te tonen.
Plaatsen derde partijen (live casino, analytics) eigen cookies?
Ja. Wanneer we diensten van derden integreren (zoals live casinostreams, videospelproviders, anti‑fraudeoplossingen of analytische tools), kunnen die dienstverleners eigen cookies/technieken plaatsen om hun functionaliteit te leveren. Wij laden deze uitsluitend na jouw toestemming voor de betreffende categorie (bijv. analytisch of marketing), tenzij ze strikt noodzakelijk zijn voor het functioneren van de dienst (functioneel).
- Voorbeelden van derde partijen: live casinostudio’s (streaming en tafelfunctionaliteit), meet- en analyticsplatformen, A/B‑testtools, anti‑fraude- en beveiligingsleveranciers, content delivery netwerken (CDN’s, veelal functioneel).
- Rol en verantwoordelijkheid: sommige derden handelen als verwerker (volgens onze instructies), anderen als zelfstandige verwerkingsverantwoordelijke. Hun privacy- en cookiebeleid is dan ook van toepassing binnen hun domein.
- Internationale doorgifte: afhankelijk van de locatie van de derde kan doorgifte buiten de EER plaatsvinden. In dat geval worden passende waarborgen toegepast (bijv. standaardcontractbepalingen). Details vind je in ons privacybeleid en in de informatie van de betreffende derde.
- Zelf beheren: je kunt derde‑partijcookies in je browser blokkeren en je voorkeuren per categorie op onze site instellen; dit kan impact hebben op live‑functionaliteit en mediacomponenten.
Meer weten over cookies en toestemming? Raadpleeg de uitleg van de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl en de richtsnoeren over toestemming van het Europees Comité voor Gegevensbescherming via edpb.europa.eu.
Met wie delen we data, waarheen gaat die en hoe lang bewaren we die?
Wij delen persoonsgegevens uitsluitend met partijen die nodig zijn voor onze dienstverlening, beveiliging en naleving van wet- en regelgeving. Hierbij hanteren wij het “need-to-know”-principe, sluiten wij verwerkersovereenkomsten af waar vereist en beoordelen wij risico’s op doorgifte buiten de Europese Economische Ruimte (EER). Toezichthoudende autoriteiten (zoals de Autoriteit Persoonsgegevens) kunnen op grond van de wet toegang krijgen; algemene informatie vind je op autoriteitpersoonsgegevens.nl.
Welke verwerkers en derden betrekken we (PSP’s, KYC-providers, studios)?
Afhankelijk van het product of de functie betrekken we verschillende categorieën dienstverleners. Hun rol onder de AVG is óf verwerker (handelt namens ons en volgens instructies), óf zelfstandige/joint verwerkingsverantwoordelijke (met eigen doeleinden). We beoordelen elke partij op beveiliging, privacy, en – waar relevant – sanctie- en PEP‑screeningvereisten (AML).
- Betaaldienstverleners (PSP’s) en banken: afhandeling van stortingen/uitbetalingen, chargebacks, reconciliatie.
- KYC/AML‑providers: identiteits- en leeftijdsverificatie, PEP- en sanctiescreening, bron‑van‑middelen‑controles indien vereist.
- Spelproviders en platforms (RNG/live studio’s): leveren spelcontent, tafelfunctionaliteit en uitkomstberekening.
- Fraude- en risicobeheer: device‑fingerprinting, patroonherkenning, misbruikpreventie.
- Hosting, cloud, CDN en beveiliging: opslag, contentdistributie, DDoS‑bescherming, logging.
- Analytics en meting: prestatiemetingen, foutdiagnose; alleen na toestemming voor niet-essentiële cookies.
- Klantenservice en communicatietools: ticketing, livechat, e‑mailbezorging en incidentafhandeling.
- Marketing- en affiliate‑netwerken: campagnes, attributie en frequentielimieten (alleen met geldige grondslag).
- Auditors, juridische adviseurs en toezichthouders: assurance, audits, geschillen en wettelijke verzoeken.
| Categorie derde | Rol onder AVG | Typische persoonsgegevens | Primair doel | Doorgifte buiten EER mogelijk |
|---|---|---|---|---|
| PSP’s/banken | Verwerker of zelfstandige verwerkingsverantwoordelijke (per flow) | Naam, IBAN of gemaskeerd kaartnummer, transactie‑ID, bedrag | Betalingen verwerken, terugbetalingen/chargebacks | Afhankelijk van provider en routing |
| KYC/AML‑providers | Verwerker | Identiteitsgegevens, verificatie‑tokens, PEP/sanctiesignalen | Leeftijd/identiteit verifiëren, AML‑naleving | Afhankelijk van provider |
| Spelproviders (RNG/live) | Verwerker of gezamenlijke verwerkingsverantwoordelijke (contextafhankelijk) | Spelers‑ID (pseudoniem), inzet/uitkomst, sessiegegevens | Spelcontent en tafelfunctionaliteit leveren | Afhankelijk van studio/streamlocatie |
| Fraude-/risicopartners | Verwerker | IP, device‑ID, gedrags- en risicoscores | Misbruikdetectie en accountbeveiliging | Afhankelijk van provider |
| Cloud/CDN/beveiliging | Verwerker | Pseudonieme loggegevens, IP, request‑metadata | Hosting, prestatie en DDoS‑bescherming | Mogelijk, met passende waarborgen |
| Analytics/metingen | Verwerker of zelfstandige verwerkingsverantwoordelijke | Pseudonieme analytics‑ID, events, device/OS | Statistieken en foutdiagnose (na toestemming) | Afhankelijk van provider |
| Klantenservice/communicatie | Verwerker | Contactgegevens, ticketinhoud, tijdstempels | Ondersteuning en incidentafhandeling | Afhankelijk van provider |
| Marketing/affiliate | Verwerker of zelfstandige verwerkingsverantwoordelijke | Consents, campagnerespons, pseudonieme advertentie‑ID | Campagne‑attributie en frequentielimieten | Afhankelijk van netwerk |
Met iedere verwerker sluiten wij een verwerkersovereenkomst die o.a. doeleinden, duur, beveiligingsmaatregelen, subverwerkers en auditrechten vastlegt. Waar een partij zelfstandige/joint verwerkingsverantwoordelijke is, verwijzen we naar het eigen privacybeleid van die partij binnen de betreffende flow.
Internationale doorgifte buiten de EER: welke waarborgen gelden?
Doorgifte van persoonsgegevens buiten de EER vindt alleen plaats als aan de eisen van hoofdstuk V AVG wordt voldaan. Wij beoordelen per geval of een passend beschermingsniveau gewaarborgd is via een EU‑adequaatheidsbesluit of passende waarborgen (zoals Standaardcontractbepalingen). Zie de actuele lijsten en clausules bij de Europese Commissie: adequaatheidsbesluiten via commission.europa.eu (adequacy decisions) en standaardcontractbepalingen via commission.europa.eu (SCC).
- Adequaatheidsbesluit: doorgifte naar landen/gebieden waarvoor de Europese Commissie een passend beschermingsniveau heeft vastgesteld.
- Standaardcontractbepalingen (SCC): contractuele waarborgen met ontvangers in derde landen zonder adequaatheidsbesluit.
- Aanvullende maatregelen: technische (versleuteling/pseudonimisering), organisatorische (toegangsbeheer, logging) en contractuele clausules.
- Transfer Impact Assessment (TIA): beoordeling van wet- en praktijk in het bestemmingsland en effectiviteit van maatregelen, conform EDPB‑aanbevelingen (edpb.europa.eu).
- Transparantie: we informeren je in dit beleid of binnen de betreffende flow over relevante derde landen en waarborgen.
Bewaartermijnen per categorie: hoe bepalen en hanteren we die?
Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld, rekening houdend met wettelijke bewaarplichten, verjaringstermijnen en onze operationele noodzaak (bijv. beveiliging, geschillen). Waar mogelijk passen wij anonimisering of aggregatie toe voor rapportage nadat de bewaartermijn is verstreken.
- KYC- en klantonderzoek/transactionele AML‑gegevens: minimaal 5 jaar bewaren na het einde van de zakelijke relatie of de incidentele transactie, conform wettelijke verplichtingen onder de Wwft (voor zover van toepassing op de verwerking).
- Fiscale/financiële administratie: doorgaans tot 7 jaar bewaren om te voldoen aan fiscale bewaarplichten in Nederland (voor zover van toepassing op de verwerking).
- Spel- en inzetlogs: bewaren zolang nodig voor dienstverlening, audit, geschilafhandeling en wettelijke vereisten; daarna geanonimiseerd waar mogelijk.
- Beveiligings- en fraudelogging: bewaren zolang noodzakelijk voor detectie, onderzoek en preventie van misbruik, met periodieke opschoning.
- Klantenservicecommunicatie: bewaren zolang nodig om je verzoek af te handelen en voor kwaliteitsborging/geschillen, binnen redelijke termijnen.
- Marketing- en toestemmingsgegevens: bewaren zolang toestemming geldig is of totdat je bezwaar maakt/intrekt; bewijs van toestemming bewaren we om naleving aan te tonen.
Na afloop van de toepasselijke bewaartermijn verwijderen of anonimiseren wij persoonsgegevens op een veilige manier. Back‑ups en archieven worden volgens een schema uitgerold, waardoor verwijdering soms met een korte, technisch noodzakelijke vertraging kan plaatsvinden. Voor vragen over concrete bewaartermijnen in jouw dossier kun je ons privacykanaal gebruiken zoals vermeld in deze privacyverklaring.
Welke rechten heb je onder de AVG en hoe oefen je die uit?
Onder de Algemene Verordening Gegevensbescherming (AVG) heb je verschillende rechten met betrekking tot jouw persoonsgegevens, waaronder inzage, rectificatie, verwijdering, beperking van verwerking, bezwaar, dataportabiliteit en het recht om toestemming in te trekken. Wij behandelen verzoeken kosteloos en binnen één maand na ontvangst; bij complexe of meervoudige verzoeken kunnen we die termijn met maximaal twee maanden verlengen, waarbij we je tijdig informeren. Voor niet-noodzakelijke verwerkingen op basis van toestemming (bijv. marketingcookies) kun je je voorkeuren op elk moment wijzigen.
Hoe vraag je inzage, rectificatie, verwijdering, beperking of bezwaar?
Je kunt deze rechten uitoefenen via het privacykanaal in je account of via het helpcentrum. We vragen je om je identiteit te verifiëren om de veiligheid te waarborgen. We behandelen elk verzoek afzonderlijk en lichten gemotiveerd toe als (een deel van) je verzoek niet kan worden ingewilligd vanwege wettelijke verplichtingen of de rechten en vrijheden van anderen.
Inzage (art. 15 AVG): vraag een overzicht op van de persoonsgegevens die wij over jou verwerken, inclusief doeleinden, categorieën gegevens en (indien van toepassing) ontvangers en bewaartermijnen.
Rectificatie (art. 16 AVG): corrigeer onjuiste of onvolledige gegevens (bijv. adres of contactgegevens). Sommige gegevens (zoals transactiehistorie) kunnen wij niet wijzigen maar wel aanvullen met een correctieaantekening.
Verwijdering (art. 17 AVG): je kunt om wissing vragen. Verwijdering is niet mogelijk waar wij een wettelijke plicht hebben om gegevens te bewaren (bijv. Wwft/anti-witwas, fiscale administratie) of waar gegevens nodig zijn voor het instellen, uitoefenen of onderbouwen van een rechtsvordering.
Beperking (art. 18 AVG): laat de verwerking tijdelijk beperken, bijvoorbeeld tijdens een lopende betwisting over juistheid of bij een bezwaarprocedure.
Bezwaar (art. 21 AVG): maak bezwaar tegen verwerkingen op basis van ons gerechtvaardigd belang (bijv. bepaalde analyses of direct marketing). Bij direct marketing stoppen wij die verwerking bij bezwaar.
Identiteitscontrole: gebruik bij voorkeur het bij ons bekende e-mailadres; indien nodig kunnen wij aanvullende verificatie vragen. Maak niet-noodzakelijke velden in identiteitsdocumenten onleesbaar (zoals BSN), maar laat naam en geboortedatum zichtbaar.
Kosten: verzoeken zijn kosteloos, behalve bij kennelijk ongegronde of buitensporige verzoeken; in dat geval kunnen wij redelijke kosten in rekening brengen of het verzoek weigeren, met motivering.
| Recht | Standaardtermijn | Identiteitscontrole vereist | Veelvoorkomende beperkingen/uitzonderingen | Resultaat/levervorm |
|---|---|---|---|---|
| Inzage | 1 maand (max. +2 maanden bij complexiteit) | Ja | Wettelijke bewaarplichten; rechten van derden; bedrijfsgeheimen | Overzicht van gegevens, doeleinden, ontvangers, bewaartermijnen |
| Rectificatie | 1 maand | Ja | Historische logs/transacties niet wijzigbaar; wel correctieaantekening | Correctie van onjuiste/onvolledige gegevens |
| Verwijdering | 1 maand | Ja | Bewaarplichten (bijv. Wwft, fiscale wetgeving); rechtsvorderingen | Wissing of afwijzing met motivering |
| Beperking | 1 maand | Ja | Alleen in specifieke situaties (o.a. betwisting juistheid, bezwaar) | Tijdelijke pauze van verwerking (markering in systemen) |
| Bezwaar | Direct voor marketing; anders binnen 1 maand | Ja | Nee bij dwingende gerechtvaardigde gronden die zwaarder wegen | Stoppen marketing; beoordeling andere verwerkingen |
Dataportabiliteit, toestemming intrekken en cookie-keuzes: hoe doe je dat?
Voor gegevens die je aan ons hebt verstrekt en die wij verwerken op basis van toestemming of overeenkomst, kun je dataportabiliteit aanvragen. Daarnaast kun je toestemming op elk moment intrekken en je cookievoorkeuren beheren via de site.
- Dataportabiliteit (art. 20 AVG): vraag een export aan van relevante gegevens in een gestructureerd, gangbaar en machineleesbaar formaat (bijv. CSV of JSON). Waar technisch haalbaar kun je verzoeken om rechtstreekse overdracht aan een andere aanbieder.
- Toestemming intrekken: trek je toestemming voor bijvoorbeeld marketingcommunicatie of analytische/marketingcookies in via de privacy- of cookie-instellingen. Intrekking heeft geen terugwerkende kracht.
- Cookie-keuzes: beheer per categorie (functioneel, analytisch, marketing) in de cookie-instellingen. Verwijder je cookies of gebruik je een ander apparaat/browser, stel je voorkeuren opnieuw in.
- Beperkingen: dataportabiliteit geldt niet voor verwerkingen die zijn gebaseerd op gerechtvaardigd belang of wettelijke verplichting, en niet voor afgeleide/afgeleide analyses die wij zelf genereren.
Hoe borgen we beveiliging, leeftijdsgrenzen (18+) en klachten bij de Autoriteit Persoonsgegevens?
Wij nemen passende technische en organisatorische beveiligingsmaatregelen om persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking, verlies, vernietiging of schade. Daarnaast hanteren wij strikte leeftijdscontroles om te borgen dat alleen personen van 18 jaar en ouder toegang hebben tot onze diensten. Ben je ontevreden over de manier waarop wij met jouw gegevens omgaan, dan kun je naast onze interne klachtenprocedure ook een klacht indienen bij de Autoriteit Persoonsgegevens (AP).
- Beveiliging: versleuteling tijdens transport (bijv. TLS), versleutelde opslag waar passend, strikte toegangscontrole op basis van “least privilege”, authenticatie en logging, netwerksegmentatie, kwetsbaarhedenbeheer, back‑ups en herstelprocedures, en periodieke testen/assessments. Voor hoog-risicoverwerkingen voeren we waar nodig een gegevensbeschermingseffectbeoordeling (DPIA) uit.
- Operationele governance: beleid en training voor privacy en informatiebeveiliging, incident- en datalekprocedure met tijdige beoordeling en melding waar vereist, en interne toezichtstaken (bijv. Functionaris voor Gegevensbescherming).
- Leeftijdsgrens (18+): verificatie van leeftijd en identiteit tijdens accountaanmaak (KYC). Bij twijfel of signalen van minderjarigheid worden passende maatregelen genomen, waaronder blokkering van toegang en aanvullende verificatie.
- Klachten en geschillen: dien je klacht eerst bij ons in via het privacykanaal zodat we deze kunnen onderzoeken en oplossen. Je behoudt altijd het recht om een klacht in te dienen bij de AP.
Wanneer een beveiligingsincident of datalek impact kan hebben op jouw rechten en vrijheden, beoordelen wij of melding aan de toezichthouder en, indien vereist, kennisgeving aan jou noodzakelijk is. Wij documenteren alle datalekken conform de AVG‑vereisten.
Veelgestelde Vragen
Is Lalabet in Nederland vergund door de Kansspelautoriteit (Ksa) en wat betekent dat voor mijn gegevens?
Controleer het licentienummer in de footer of het juridische deel van de site; een in Nederland vergunde aanbieder moet bij elke login een CRUKS‑check uitvoeren en aanvullende Koa‑eisen volgen. Ongeacht de vergunning geldt de AVG voor verwerking door een in de EU/EER gevestigde aanbieder, met rechten als inzage en verwijdering binnen 1 maand (verlengbaar met 2 maanden bij complexiteit, AVG art. 12).
Wat is CRUKS en welke data worden daarbij uitgewisseld?
CRUKS is het Centraal Register Uitsluiting Kansspelen; bij elke login wordt real‑time gecontroleerd of je bent ingeschreven en mag je niet spelen bij een ‘hit’. De aanbieder ontvangt normaliter alleen een ja/nee‑signaal met een blokkeringsinstructie en registreert lokaal een technische indicator en tijdstempel; CRUKS is sinds 1 oktober 2021 verplicht onder de Wet Kansspelen op afstand.
Doet Lalabet aan geautomatiseerde besluitvorming of profilering over mij (fraude, AML, verantwoord spelen)?
Risicoscores en signalen kunnen geautomatiseerd worden berekend, maar beslissingen met rechtsgevolg of vergelijkbare impact zijn niet uitsluitend geautomatiseerd zonder passende waarborgen (AVG art. 22). Je kunt menselijke tussenkomst vragen, je standpunt geven en het besluit aanvechten; we reageren normaal binnen 1 maand conform art. 12 AVG.
Waar staan mijn gegevens fysiek en hoe regelt Lalabet doorgifte naar de VS of andere derde landen?
Primaire opslag vindt waar mogelijk binnen de EER plaats; bij doorgifte buiten de EER gebruiken we ofwel een adequaatheidsbesluit, of EU‑Standaardcontractbepalingen, of voor de VS de EU‑US Data Privacy Framework‑certificering (vastgesteld op 10 juli 2023) voor gecertificeerde ontvangers. Per doorgifte wordt een Transfer Impact Assessment uitgevoerd en worden versleuteling en toegangsbeperking toegepast om het beschermingsniveau te borgen.
Wat gebeurt er als ik KYC‑documenten weiger of de controle niet slaag?
Zonder geslaagde KYC kunnen stortingen/uitbetalingen en toegang worden geblokkeerd op basis van wettelijke verplichtingen. We bewaren relevante KYC/AML‑gegevens minimaal 5 jaar (Wwft) en financiële administratie tot 7 jaar (fiscale plicht), ook wanneer de relatie niet tot volledige activatie leidt.
Worden klantenservicegesprekken opgenomen en hoe lang worden die bewaard?
Chats en e‑mails worden vastgelegd om je verzoek af te handelen; telefoongesprekken kunnen worden opgenomen voor kwaliteitsborging en bewijs. Bewaartermijnen zijn functioneel beperkt en afgestemd op geschil- en verjaringstermijnen; voor veel contractuele vorderingen in Nederland geldt een verjaringstermijn van 5 jaar, waarna gegevens worden verwijderd of geanonimiseerd.
Kan ik de site gebruiken zonder analytische of marketingcookies?
Ja, je kunt analytische en marketingcookies weigeren; noodzakelijke cookies blijven vereist voor functies als inloggen en beveiliging. Je toestemmingskeuze wordt als bewijs met tijdstempel, versienummer en categorieën geregistreerd; je kunt die keuze op elk moment intrekken via de cookie‑instellingen.
Hoe snel word ik geïnformeerd bij een datalek dat voor mij risico’s oplevert?
Een meldplichtig datalek wordt binnen 72 uur na ontdekking gemeld aan de Autoriteit Persoonsgegevens (AVG art. 33). Als er waarschijnlijk een hoog risico is voor jouw rechten en vrijheden, ontvang jij zonder onredelijke vertraging een melding met aard van het lek, waarschijnlijke gevolgen en genomen maatregelen (AVG art. 34).
Mag Lalabet mij marketing sturen zonder mijn expliciete toestemming?
E‑mailmarketing kan onder de ‘soft opt‑in’ van de Telecommunicatiewet zijn toegestaan voor bestaande klanten voor eigen, gelijksoortige diensten, mits bij verkrijging én in elk bericht een duidelijke afmeldmogelijkheid is geboden. Buiten die uitzondering (of voor bepaalde kanalen) is voorafgaande toestemming vereist; elk bericht bevat een directe opt‑out en we registreren de toestemming met bron en tijdstip.
Hoe kan ik een kopie van mijn spel- en transactiedata krijgen en in welk formaat?
Dien een recht‑op‑dataportabiliteit of inzageverzoek in; je ontvangt gegevens in een gestructureerd, gangbaar en machineleesbaar formaat zoals CSV of JSON. We leveren binnen 1 maand (verlengbaar met 2 maanden bij complexiteit) en beperken de export tot data die je aan ons hebt verstrekt of die we op basis van overeenkomst verwerken.
Welke gegevens krijgt Lalabet van affiliates en hoe lang blijven die bestaan?
We ontvangen doorgaans geen directe persoonsgegevens van affiliates, maar beperkte attributiegegevens zoals referral‑ID, campagneparameters, tijdstempel en toestemmingsstatus. De bewaartermijn volgt de attributie‑ en cookie‑expiraties per partner en staat gespecificeerd in de actuele cookielijst en partnerinformatie.
Hoe gaat Lalabet om met verzoeken van overheid of opsporingsinstanties?
We beoordelen elk verzoek op rechtsgrond en proportionaliteit en verstrekken uitsluitend de minimaal noodzakelijke gegevens wanneer we hiertoe wettelijk verplicht zijn. Niet‑bindende of te ruime verzoeken worden teruggestuurd of geweigerd; we documenteren elk verzoek en de verstrekte scope voor audit en verantwoording.
Gebruikt Lalabet biometrie (gezicht of stem) bij KYC en op welke grondslag gebeurt dat?
Als een KYC‑provider biometrische gegevens verwerkt voor unieke identificatie, valt dat onder ‘bijzondere categorieën’ en vereist een AVG‑grondslag zoals uitdrukkelijke toestemming (art. 9). Vraag bij verificatie naar de beschikbare routes; waar biometrie wordt toegepast, gelden extra waarborgen zoals doelbinding, minimale bewaartermijnen en strikte toegangscontrole.
Beïnvloedt verhuizen buiten de EER mijn AVG‑rechten bij Lalabet?
Nee, omdat de verwerkingsverantwoordelijke in de EU/EER is gevestigd, blijven je AVG‑rechten gelden ongeacht je woonplaats (art. 3(1) AVG). Je kunt dus nog steeds rechten uitoefenen zoals inzage, rectificatie en dataportabiliteit binnen 1 maand na verificatie van je identiteit.
Wanneer worden mijn gegevens echt verwijderd nadat ik mijn account sluit?
Deactivering gebeurt direct, maar wissing kan pas na afloop van wettelijke bewaartermijnen zoals 5 jaar voor KYC/AML (Wwft) en tot 7 jaar voor fiscale administratie. Technische back‑ups worden volgens een uitrolschema overschreven, waardoor verwijdering soms met enkele weken vertraging zichtbaar is.