Een native casino-, sportsbetting- of lottery-app die past binnen het kader van de Wet Kansspelen op Afstand. Met CRUKS-koppeling, zorgplicht-laag, Wwft-onboarding en GLI-19-conforme RNG vanaf de eerste sprint — niet als laatste vinkje voor de release.
Sinds 1 oktober 2021 staat de Nederlandse online kansspelmarkt open voor vergunde aanbieders. De Wet Kansspelen op Afstand (KOA) en het bijbehorende Besluit kansspelen op afstand leggen een dichte set technische, organisatorische en zorgplicht-eisen op die ver voorbij gaat aan wat een gewone B2C-app moet kunnen. De Kansspelautoriteit toetst niet alleen de organisatie en het beleid, maar ook de techniek zelf: hoe de spelflow is opgebouwd, hoe de koppeling met het Centraal Register Uitsluiting Kansspelen (CRUKS) werkt, hoe de zorgplicht-interventies in de software zijn ingebed en hoe de speltransacties worden bewaard in de Controledatabank.
Wij bouwen casino-, sportsbetting- en lottery-apps voor partijen die in dat speelveld actief zijn of het willen worden. Geen frontend op een ingehuurd platform met een eigen logo erop, maar maatwerk-applicaties waar uw eigen wallet, uw eigen zorgplicht-model en uw eigen merk de centrale rol spelen. Voor de generieke app-laag werken we vanuit onze app-ontwikkelingspraktijk, voor de wallet- en uitbetaal-laag uit ons payment-platform-werk, en voor de security-stack die de KSA en onze eigen informatiebeveiligingsbeleid-baseline vragen leunen we op de patronen uit ISO 27001-compliant software-ontwikkeling.
De gokmarkt waar deze app in landt is geconcentreerd: een handvol grote vergunninghouders — Holland Casino Online, TOTO, Unibet, Bet365, BetCity — domineert de zichtbaarheid, met daarnaast nichelicentiehouders in poker, paardenraces, esports of fantasy sports. Het verschil tussen winnen en verliezen zit zelden in de slots-bibliotheek (Pragmatic Play, Evolution, Play'n GO, NetEnt) — die is grotendeels gedeeld. Het zit in registratie-conversie, snelheid van Wwft-onboarding, hoe natuurlijk de zorgplicht-laag aanvoelt en hoe retentie-mechanismen werken zonder over de schreef te gaan van Borka.
Niet elke vergunninghouder is hetzelfde. We mappen ons werk grofweg op drie use-cases — afhankelijk van vergunningtype, doelgroep en welke speltakken onder uw KSA-licentie vallen.
Een iOS- en Android-app voor een casino-vergunninghouder die de eigen wallet, account, zorgplicht en data zelf in beheer heeft, maar de slots, table-games en live-casino van externe providers (Pragmatic, Evolution, NetEnt) integreert via gestandaardiseerde aggregator-koppelingen. De app draait native voor performance, ondersteunt App Store- en Play Store-distributie binnen de regels die beide stores stellen aan gokproducten, en heeft een full-stack wallet-laag die saldi, bonussen, vrije speelvouchers en stortingslimieten beheert. Onboarding gaat via iDIN of bankrekening-koppeling, met geautomatiseerde KYC- en sanctielijst-screening.
Een native app voor sportsbetting-vergunninghouders met live-odds van een feed-provider (Sportradar, Betgenius, Stats Perform), een wedstrijden-catalogus met diepe markten per evenement, in-play betting en cash-out, plus een paardenraces- of esports-tak waar uw vergunning dat toelaat. De odds-engine en risico-management blijven bij de feed-leverancier of uw eigen trading-desk; wij bouwen de mobile speel-ervaring, het wedslip-management, de promotie-engine en de zorgplicht-laag eromheen. Push-notificaties zijn afgesteld op de KSA-richtlijn voor verantwoorde marketing, en bonussen volgen de Borka-restricties.
Voor staatslot- of lotto-aanbieders, fantasy-sports-platforms en social-casino-apps die buiten KOA vallen omdat er geen echte geldinzet is, of binnen een afwijkende vergunning-categorie zitten. Hier is de regelgeving anders gewogen — Wwft is soms minder relevant, maar in-app-aankopen volgens de App Store- en Play Store-policies wel, en de zorgplicht-architectuur blijft belangrijk om grensoverschrijdend speelgedrag te voorkomen en de overgang naar gokken-met-geld af te vangen. We bouwen daarbij hetzelfde audit-trail- en monitoring-fundament, omdat dat ook bij een free-to-play-propositie waarde toevoegt voor advertentie-partners en regulators.
Een lijst features die in een Nederlandse casino-, sportsbetting- of lottery-app vrijwel altijd terugkomt. Niet alles hoeft in versie één, maar de KSA-eisen verdelen zich over vrijwel alle lagen — uitstel van één compliance-feature betekent uitstel van de hele release.
Veel vergunninghouders starten op een whitelabel-platform van een leverancier zoals Playtech, EveryMatrix of Pronet Gaming. Dat is voor een eerste lancering een goede route — snelle time-to-market, een groot deel van compliance al regulatorisch afgedekt. Maar er komen vier momenten waarop maatwerk de betere keus wordt.
U merkt dat uw merk en uw klantbeloften verzanden in een UI die ook bij vijf concurrenten draait. De zorgplicht-tonality, de promotie-laag en de retentie-flow lopen vast op de standaard-componenten die u niet kunt aanpassen. Dan is een eigen native app de logische volgende stap.
Op een whitelabel zit de wallet, het CRM en de zorgplicht-engine bij uw platform-leverancier. Bij contract-einde of een vendor-issue is migreren een nachtmerrie. Met een eigen wallet- en backend-laag bent u eigenaar van de relatie en kunt u providers (slots, sportsbook) wisselen zonder dat uw spelers er iets van merken.
De standaard-whitelabels dekken slots, live-casino en sportsbook prima, maar voor een poker-room, een paardenraces-app of een esports-betting-platform schiet de standaard-flow tekort. Een maatwerk-app waarin uw verticale specialisme centraal staat is dan vaak de enige route.
De KSA tilt het zorgplicht-niveau in de markt elk jaar verder op. Aanbieders die niet wachten op verscherping maar zelf met een geavanceerde zorgplicht-engine voorop willen lopen — gedragsmodel op spelersniveau, vroege-signaal-interventie, agent-coaching tools — krijgen die laag op een whitelabel zelden in eigen tempo voor elkaar.
U heeft een fysieke casino-vergunning en wilt het online-aanbod naast de zaal lanceren. Een whitelabel laat de cross-channel-laag liggen — loyalty tussen on-property en mobile, single-wallet over locaties, on-property activatie via QR. Maatwerk is dan vaak de enige manier om dat omnichannel-verhaal eruit te krijgen.
Een casino-app maken voor de Nederlandse markt is niet hetzelfde als een consumenten-app bouwen. We doorlopen een aantal stappen die de KSA-toets vooraf al meeneemt, zodat de aanvraag of de wijziging-notificatie niet tegen technische verrassingen aanloopt.
We bespreken welk type vergunning u heeft of aanvraagt, welke speltakken er onder vallen, of er een groepsstructuur met EU-licentie achter zit, en welke leverancier-relaties al lopen (whitelabel, sportsbook-feed, providers). Daaruit komt de scope-richting voor het traject.
Gezamenlijk met uw compliance-officer, juridisch adviseur of externe KSA-consultant maken we een blauwdruk: hoe ziet de CRUKS-koppeling eruit, welke zorgplicht-architectuur, welke Controledatabank-implementatie, welke audit-flow. Deze blauwdruk wordt het kader voor de bouw én de basis voor het notificatie-dossier richting KSA.
Tech-stack-keuze (native iOS en Android), backend op EU-cloud, encryptie-aanpak, wallet-architectuur, integratie-blueprint met providers en feeds. Voor de security-laag leunen we op de patronen uit ISO 27001-compliant software-ontwikkeling, met name voor key-management, access-control en logging.
Elke twee weken een werkende build. Een testgroep — meestal uw eigen interne KSA-officer plus een aantal compliance-medewerkers — speelt mee in een staging-omgeving met test-CRUKS-koppeling. Elke sprint heeft een korte compliance-review als afsluiting voordat de feature live mag.
Externe pen-test van app en backend, RNG- en game-flow-audit door een GLI- of eCOGRA-geaccrediteerd lab waar dat relevant is, en samenstelling van het keuringsdossier dat met uw KSA-aanvraag of wijziging-notificatie meegaat. Issues uit pen-test en audit worden afgehandeld voor go-live.
Gefaseerde uitrol, eerst voor een gesloten testgroep en daarna een breder publiek, met App Store- en Play Store-publicatie volgens de regels die beide stores stellen aan kansspel-apps. Daarna doorlopend beheer voor security-patches, regelgevings-wijzigingen en doorontwikkeling van de zorgplicht-laag.
Een paar keuzes maken we vroeg met u, omdat ze de hele rest van de bouw kleuren en omdat de KSA er specifieke verwachtingen bij heeft.
Voor casino-apps zetten we vrijwel altijd in op native — Swift voor iOS, Kotlin voor Android. Cross-platform (React Native, Flutter) is voor lichtere use-cases prima, maar live-casino-streaming, anti-tampering, anti-rooting en de App Store-acceptatie-eisen voor gokproducten zijn met native eenvoudiger op orde te krijgen. Voor de back-office en agent-tools werken we wel vaak in een React-webapp.
AWS Frankfurt, Microsoft Azure West Europe of een Tier-IV EU-datacenter, met key-management in een Hardware Security Module die EU-gecontroleerd is. Geen US-region voor primary of backup. Voor partijen met extra strenge eisen kunnen we on-premise of in een private-cloud-setup draaien — bijvoorbeeld een gehoste Kubernetes binnen uw eigen infrastructuur.
De wallet — saldi, bonussen, vrije ronden, pending uitbetalingen — bouwen we als een eigen service in plaats van die uit te besteden aan een provider. Dat geeft u eigendom over de speler-relatie en maakt provider-wissels mogelijk. Voor het betalings-fundament leunen we op onze payment-platform-praktijk, met PSD2-conforme flows, iDeal-integratie en uitbetalings-management op naam-rekeningen.
Voor slots, live-casino en table-games werken we met een aggregator zoals SoftSwiss, Hub88, Relax of EveryMatrix Casino Engine, of direct met provider-API's. Voor eigen in-house spellen bouwen we de RNG en speluitkomst-engine op GLI-19-niveau, met onafhankelijke audit. De keuze hangt af van vergunning-omvang en differentiatie-ambitie.
Modellen voor fraud-detectie, multi-account-screening en gedragsmatige zorgplicht-signalen bouwen we apart, met aandacht voor uitlegbaarheid en governance. We sluiten daarvoor aan op de aanpak uit onze AI-ontwikkelingspraktijk, met DPIA, EU AI Act-classificatie en menselijke review op kritieke interventies.
Identificatie via iDIN als hoofdpad voor Nederlandse spelers, met fallback naar paspoort-scan plus KYC-provider voor edge-cases. Voor zelf-uitsluiting-bevestiging en limiet-verhogingen waar dat juridisch zwaar telt, koppelen we met een eIDAS-conforme handtekening-flow zodat de instemming bewijslast-bestendig is.
Bij een KOA-app is compliance geen extra check — het is de architectuur. Een aantal kaders dat in elk traject mee-ontwerpt vanaf sprint één.
De moederwet en het uitwerkingsbesluit zijn het kader voor wie mag aanbieden, welke spelvormen, met welke spelersbescherming. De technische bijlagen bij het besluit beschrijven onder andere de Controledatabank, de spelsysteem-eisen en de standaarden waaraan de software moet voldoen. Wij ontwerpen tegen die normen en documenteren expliciet waar we ze raken.
De CRUKS-koppeling is functioneel het zwaartepunt van de zorgplicht-laag. Bij elke login én vlak voor elke spelronde wordt gecheckt of de speler in CRUKS staat. Vertraging in die check is geen optie — als de koppeling tijdelijk uitvalt, beëindigen we de sessie in plaats van door te laten spelen. Dat fail-closed-gedrag bouwen we standaard in, ook als sommige product-managers daarop pushen voor een soepelere ervaring.
Speler-onboarding is een Wwft-trigger. Identificatie, sanctielijst-screening, PEP-check en risicogebaseerde verdiepende controles zijn ingebed in de flow. Drempels voor verzwaard onderzoek (CDD-plus) staan in de beslislogica, en alle onboarding-stappen blijven in een audit-trail met onveranderlijke storage staan voor de termijn die de Wwft voorschrijft.
De zorgplicht is geen vinkjes-exercitie. We bouwen een gedragsmodel dat speltijden, inzet-escalatie, verlies-trajecten en sessieduur monitort, met getrapte interventies van pop-up tot agent-belmoment tot tijdelijke afsluiting. Het beslismodel wordt periodiek gevalideerd tegen extern kansspel-onderzoek en aangepast als de KSA de norm verschuift.
Speel-historie, zorgplicht-events en KYC-data zijn risicovolle of bijzondere persoonsgegevens onder de AVG. We doen een DPIA voor elk traject, beperken dataverzameling tot het strikt noodzakelijke, en bouwen retentie- en verwijderingsbeleid in op data-niveau. Speelhistorie wordt na de wettelijke bewaartermijn automatisch gepseudonimiseerd of verwijderd zonder handmatige tussenkomst.
De reclame-restricties uit Borka raken de marketing-laag van de app — push, in-app, e-mail, paid. We bouwen filters op leeftijd, op CRUKS-status, op cooling-off-status en op risico-profiel, zodat een campagne niet per ongeluk een speler raakt die er niet voor in aanmerking komt. Frequentie- en kanaal-opt-outs zijn op spelersniveau instelbaar.
Voor de spel-laag — RNG, RTP, jackpot-distributie, return-to-player-rapportage — werken we tegen de GLI-19-standaard die de KSA accepteert. Voor in-house spellen levert een onafhankelijk lab een certificering; voor externe providers werken we alleen met partijen die hun spellen op deze standaard hebben laten toetsen.
Apple en Google hebben specifieke restricties op gokken-apps: vergunning-bewijs, regio-beperkingen, leeftijdsverificatie, geen in-app-purchase-koppeling met geld-gokken, en aparte distributie-routes voor sommige sub-categorieën. Die policies veranderen — we onderhouden actuele lijsten en bouwen de release-flow in om de juiste subset per categorie te respecteren.
Wat we vaak horen van compliance-officers, CTO's en product-managers bij vergunde aanbieders.
Een kennismaking van een half uur, vrijblijvend. We luisteren naar uw vergunning-context, compliance-aanpak, leveranciers-stack en product-ambitie, en geven richting waar u iets aan heeft. Daarna bepalen u en wij of een vervolggesprek zinvol is.
Appfront gebruikt cookies en vergelijkbare technieken voor een goede werking van de website, voor analyse en voor marketing. Je kiest zelf wat je toestaat. Lees meer in ons privacybeleid.
