►Afsnittet indeholder:
- Interne kontroller og underretningspligt
- Krav til spilplatformen herunder certificering
Interne kontroller og underretningspligt
Ifølge bilag 2 til bekendtgørelserne for henholdsvis online væddemål, landbaserede væddemål og onlinekasino er det et krav, at spilleverandører etablerer interne kontroller for at sikre overholdelse af de tekniske krav. Spilleverandørerne er desuden pålagt en underretningspligt til Spillemyndigheden i forhold til fejl.
Se BEK 684/2025 § 26, stk. 2, BEK 686/2025 § 27, stk. 2 og BEK 682/2025 § 33, stk. 2.
Spilleverandørens interne kontroller
Spilleverandøren skal udarbejde, dokumentere og gennemføre løbende kontroller af, om gældende krav til stadighed overholdes af spilleverandøren. Dokumentation for dette vedlægges Tillæg B-2 i forbindelse med ansøgningen om leverandørtilladelse.
Formålet med de interne kontroller er at sikre, at fejl og uregelmæssigheder ved afvikling af spil opdages og håndteres. De interne kontroller kan både være manuelle processer og automatiseret monitorering eller lignende og forventes at være tilrettelagt og skaleret efter spilleverandørens organisation og omfanget af levering af spil.
Der er ikke formkrav til beskrivelsen af spilleverandørens interne kontroller, men beskrivelserne af kontrollerne skal være specifikke og bl.a. beskrive hvilke kontroller der er etableret, og hvad de afdækker, frekvens for afvikling af kontrollen, hvem der er ansvarlig for kontrollen, hvordan fejl og uregelmæssigheder håndteres og i hvilke situationer spilleverandøren anvender extern audit (fx test og inspektion af en akkrediteret testvirksomhed).
Derudover skal spilleverandører have en procedure for rapportering til Spillemyndigheden ved konstatering af fejl eller overtrædelse samt ved mistanke om fejl. Denne rapporteringen skal omfatte spilleverandørens vurdering af konsekvenserne ved fejlen eller overtrædelsen.
Spilleverandørens underretningspligt
Spilleverandøren skal hurtigst muligt orientere Spillemyndigheden, hvis der er mistanke om eller konstateret fejl på fx et spil. Orienteringen skal indeholde en beskrivelse af fejlen, og information om hvad der foretages af handlinger for at udbedre fejlen.
Krav til spilplatformen herunder certificering
"Spilplatform" er defineret i de Generelle krav (SCP.00) i Spillemyndighedens certificeringsprogram for væddemål og onlinekasino. Defitionen af en "spilplatform" er:
- Spil samt system eller andet udstyr, der anvendes af spilleverandør eller tilladelsesindehaver til udbud og afvikling af spil, herunder systemer og udstyr der:
- frembringer og/eller præsenterer spil for spilleren,
- fastlægger og lagrer resultatet af et spil, eller beregner hvorvidt spilleren har vundet eller tabt ved spillet.
Spilleverandørens beskrivelse og illustration af spilplatform
Spilleverandøren skal udarbejde en beskrivelse og illustration af deres spilplatform, som vedlægges Tillæg B-2 i forbindelse med ansøgningen om leverandørtilladelse. Spillemyndigheden kan desuden, til brug for tilsyn, anmode om at få beskrivelsen tilsendt efter tilladelse er udstedt, så spilleverandøren forventes at vedligeholde beskrivelsen.
Beskrivelsen og illustrationen af spilplatformen skal indeholde oplysninger om platformens infrastruktur, og hvordan dette integreres med tilladelsesindehavernes platforme. Hvis spilleverandøren selv anvender underleverandører, skal beskrivelsen desuden indeholde oplysninger om dette.
Hvis spilleverandøren opererer som aggregator skal det fremgå af beskrivelsen, hvilke spiludviklere og andre spilleverandører der leverer spil til tilladelsesindehavere via denne service. Det skal fremgå af beskrivelsen, hvilket ansvar spilleverandøren, som aggregator, eventuelt har for spiludviklernes og andre spilleverandørers tekniske løsninger herunder hvem, der er ansvarlig for certificering.
Se BEK 684/2025 § 28. stk. 2, BEK 686/2025 § 29, stk. 2 og BEK 682/2025 § 35, stk. 2.
Certificering af spilplatform mv.
Det er et krav, at spilleverandørers spilplatform, forretningsgange og forretningssystemer certificeres af en akkrediteret testvirksomhed, før der kan leveres spil til tilladelsesindehavere.
Den første certificering skal ske i forbindelse med ansøgningen om tilladelse som spilleverandør. Herefter skal certificering foretages med frekvenserne anført i skemaet nedenfor.
Certificeringsprogrammet for væddemål og onlinekasino findes på Spillemyndighedens hjemmeside og omfatter følgende dokumenter, frekvenser, tidsfrister mv.:
| SCP | Navn på dokument | Ansvarlig | Frekvens | Tidsfrist for indsendelse | Indsendelsesmetode |
| 00 | Generelle krav | - | - | - | - |
| 01 | Krav til RNG | Spilleverandør og tilladelsesindehaver med egne spil | 12 måneder | 1 måned | Spilportal |
| 02 | Krav til base platform | Tilladelsesindehaver | - | - | - |
| 03 | Ledelsessystem for informationssikkerhed | Spilleverandør og tilladelsesindehaver | 12 måneder | 2 måneder | Kontaktformular |
| 04 | Krav til penetrationstest | Spilleverandør og tilladelsesindehaver | 12 måneder | 2 måneder | Kontaktformular |
| 05 | Krav til sårbarhedsscanning | Spilleverandør og tilladelsesindehaver | 3 måneder | 1 måned | Kontaktformular |
| 06 | Program for styring af systemændringer | Spilleverandør og tilladelsesindehaver | 12 måneder | 2 måneder | Kontaktformular |
| 07 | Krav til spil - 01 Online væddemål
- 02 Landbaseret væddemål
- 03 Online kasino
| Spilleverandør og tilladelsesindehaver med egne spil | 12 måneder | 1 måned | Spilportal |
For tilladelsesindehavers forpligtelser i forhold til certificering henvises til afsnit J.A.8.6.1 om væddemål og J.A.11.9.1 om onlinekasino.
De akkrediterede testvirksomheder skal teste og inspicere med udgangspunkt i de krav, der fremgår af ovenstående dokumenter. Resultaterne af test og inspektioner skal dokumenteres ved brug af standardrapporter, som findes på Spillemyndighedens hjemmeside.
Fornyet certificering af SCP. 01 og SCP. 07
Hvis det kan dokumenteres, at der ikke er foretaget ændringer af RNG eller spil i de foregående 12 måneder, kan testvirksomheden ved fornyet test og inspektion underskrive standardrapporten uden at foretage yderligere test eller inspektion. Dokumentation for, at der ikke er sket ændringer kan fx være sammenholdelse af hash-værdier genereret af testvirksomheden eller ved brug af valideringssoftware.
Hvis der er sket ændringer til RNG eller spil i de foregående 12 måneder, kan en fornyet certificering af SCP.01 og SCP.07 være baseret på stikprøver og efterlevelse af kravene i dokumentet "SCP.06 - Program for styring af systemændringer".
Brug af akkrediterede testvirksomheder
Kravene til de akkrediterede testvirksomheder og deres ansatte fremgår af de enkelte dokumenter. Kravene omfatter bl.a. akkreditering i henhold til ISO 17020, ISO 17025 og/eller ISO 17065 afhængig af, hvilket dokument i certificeringsprogrammet, der er tale om.
ISO akkrediteringen skal foretages af DANAK (Den Danske Akkrediteringsfond) eller et tilsvarende akkrediteringsorgan, som er medunderskriver af EA’s (European co-operation for Accreditation) multilaterale aftale om gensidig anerkendelse mht. prøvning og inspektion eller for laboratorier udenfor EA’s område af et akkrediteringsorgan, der er medunderskriver af ILAC’s (the International Laboratory Accreditation Co-operation) multilaterale aftale om gensidig anerkendelse mht. prøvning og inspektion.
For at kunne foretage penetrationstest i henhold til SCP.04 kan testvirksomheden i stedet for en ISO akkreditering være CREST akkrediteret for penetrationstest eller være godkendt som Approved Scanning Vendor (ASV). CREST akkrediteringen foretages af CREST. ASV godkendelsen foretages af Payment Card Industry (PCI) Security Standards Council (SSC).
For at kunne foretage sårbarhedsscanning i henhold til SCP.05 anerkender Spillemyndigheden testvirksomheder, som har en CREST akkreditering for sårbarhedsscanning eller godkendt som Approved Scanning Vendor (ASV). CREST akkrediteringen foretages af CREST. ASV godkendelsen foretages af Payment Card Industry (PCI) Security Standards Council (SSC).
Når en testvirksomhed er blevet akkrediteret eller godkendt, kan denne foretage test, inspektioner og scanninger af spilplatform mv, uden yderligere godkendelse af Spillemyndighedens. Det er spilleverandøren, der skal dokumentere overfor Spillemyndigheden, at testvirksomheden har den rette akkreditering eller godkendelse. Dette kan enten ske være via link i den enkelte rapport, hvis akkrediteringen/godkendelsen ligger online, eller som et bilag til standardrapporten.
Fysisk placering af spilplatformen
Der er ikke noget geografisk krav til, hvor spilleverandørens spilplatform skal være placeret.
On-premise eller Privat cloud
Hvis spilplatformen er placeret i et on-premises miljø eller i et privat cloudmiljø administreret af spilleverandøren selv, anføres den fysiske placering (adresse) i Tillæg B-2 i forbindelse med ansøgningen.
Public cloud
Hvis spilplatformen er placeret i et offentligt cloudmiljø (public cloud) og derved placeret ved en tredjepart, anføres oplysningerne omkring tredjeparten i et bilag som vedlægges Tillæg B-2 i forbindelse med ansøgningen. I dette tilfælde, accepterer Spillemyndigheden, at der ikke kan gives præcis oplysninger om den fysiske placering af cloudmiljøet.◄