SIFS 2018:8
Vägledning för Lotteriinspektionens föreskrifter och allmänna råd om
tekniska krav samt ackreditering av organ för den som ska kontrollera,
prova och certifiera spelverksamhet (LIFS 2018:8) och för
1 och 4 kap. Lotteriinspektionens föreskrifter och allmänna råd om statligt
lotteri och lotteri för allmännyttiga ändamål (LIFS 2018:4).
Lotteriinspektionens föreskrifter och allmänna råd om tekniska krav samt
ackreditering av organ för den som ska kontrollera, prova och certifiera
spelverksamhet (LIFS 2018:8)
Den nya spelregleringen innebär att den som ansöker om licens för att tillhandahålla spel ska
införskaffa ett intyg från ett ackrediterat organ som styrker att den utrustning m.m. som
sökanden avser att använda uppfyller föreskrivna krav. Spelare ska kunna utgå från att de spel
som tillhandahålls är säkra och att de inte kan manipuleras.
Bedömningen ska utföras av ett organ som ackrediterats för uppgiften i enlighet med
Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för
ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande
av förordning (EEG) nr 339/93. I Sverige är det Swedac som är den ackrediterande
myndigheten.
Den som ansöker om licens för att tillhandahålla spel ska bland annat leva upp till kraven i
dessa föreskrifter. Utöver föreskrifterna ska sökanden också leva upp till kraven i spellagen
(2018:1138), spelförordningen (2018:1475) och Lotteriinspektionens övriga föreskrifter.
Sökandens tekniska utrustning ska bedömas innan utrustningen får användas i
spelverksamheten.
Vägledningen har till syfte att förtydliga och underlätta för den som vill ansöka om licens för
att tillhandahålla spel och för den som ansöker om att blir ackrediterad för att kontrollera,
prova och certifiera en verksamhet som tillhandahåller spel.
1 kap. Tillämpningsområde
1 § Dessa föreskrifter och allmänna råd gäller den som ansöker om att bli ackrediterad för att
utföra kontroll, provning och certifiering av spelverksamhet och den som ansöker om licens
för att bedriva spelverksamhet samt den som har licens enligt spellagen (2018:1138).
Spelinspektionen får besluta om undantag från föreskrifterna, om det är motiverat ur
säkerhetssynpunkt och i övrigt inte medför några risker för spelaren.
Föreskrifterna och de allmänna råden gäller inte för
1. landbaserat kasino i därför avsedd lokal enligt 5 kap. 1 § spellagen,
2. värdeautomatspel enligt 5 kap.7–8 §§spellagen,
3. lokalt poolspel enligt 6 kap. 8 § spellagen,
4. spel som omfattas av kommunal registrering enligt 6 kap. 9 § spellagen,
5. landbaserat kasinospel, varuspelsautomater och kortspel i turneringsform enligt 9 kap.
1 § spellagen, och
6. spel på fartyg i internationell trafik enligt 10 kap. 1 § spellagen.
För lotteri enligt 6 kap. 1 § spellagen som omsätter under fem (5) miljoner kronor gäller
endast 13 kap.
Föreskrifterna gäller inte för landbaserat kasino såsom Casino Cosmopol och
restaurangkasino, värdeautomater både på Casino Cosmopol och på restaurang samt
varuspelsautomater, kortspel i turneringsform som inte sker online, lokalt poolspel i form av
bygde- och ponnytrav, sådant lotteri som endast ska bedrivas i en kommun och som ska
registreras i den kommunen samt penning-, värdeautomatspel och restaurangkasino.
För lotteri för allmännyttigt ändamål där omsättningen understiger fem miljoner kronor gäller
bara bestämmelserna om slumptalsgeneratorer.
Uttryck i föreskrifterna och allmänna råden
2 § Om inte annat anges har de uttryck och benämningar som används i föreskrifterna samma
betydelse som i spellagen (2018:1138) och i spelförordningen (2018:1475).
I dessa föreskrifter och allmänna råd avses med
1. checksumma: siffror som bifogas tal eller meddelande för att ändringar och fel ska
kunna upptäckas. Checksummor räknas fram genom en bestämd matematisk procedur,
2. informationstillgång: information, och resurser som hanterar den, som är av värde för
en organisation. Ett spel- och affärssystem består av en eller flera informationstillgångar som
licenshavaren själv definierar i en förteckning,
3. kryptering: förvanskning av data och information med
krypteringsalgoritm som är allmänt känd och publicerad,
4. live kasinospel: kasinospel som erbjuds som onlinespel via
videolänk, dataöverförd kommunikationstjänst eller liknande där dragningsutrustning används
istället för ett spelsystem,
5. maximal belastning: definieras av den certifierade
licensinnehavaren och avser det tillfälle då spelsystemet automatiskt avvisar insatser från
spelare,
6. person i politiskt utsatt ställning (PEP):en person som har, eller
har haft en viktig offentlig funktion i ett land, eller i ledningen i en internationell organisation,
7. ombudsterminal: en teknisk utrustning som används för att
hantera olika typer av spel och spelarinformation, inte kan hanteras av spelaren, är en del av
spelsystemet och som inte fungerar utan anslutning till det övriga spelsystemet,
8. spelomgång: en kombination av händelser från det att
licenshavaren öppnar ett spel och spelaren lägger en insats tills det att resultatet av spelet
genereras,
9. inloggningstid: den tid från det att spelaren loggar in i spelsystemet
tills det att spelaren väljer att logga ut eller att spelsystemet loggar ut spelaren,
10. slumptalsgenerator: en algoritm eller fysisk enhet som är avsedd
att generera en sekvens av element (ofta tal) som har vissa statistiska egenskaper
gemensamma med talföljder, vilka uppstår rent slumpmässigt efter en given
sannolikhetsfördelning,
11. UTC: världstid UTC (Coordinated Universal Time). UTC
Sverige finns på tidsbyrån BIPM i Paris och hämtas på ett garanterat säkert sätt till RISE,
Research Institutes of Sweden – Sveriges forsknings- och innovationspartner för näringsliv
och samhälle, i Borås och kallas UTC(SP), och
12. vinstpott: alla eller delar av spelarnas insatser i enlighet med den
aktuella spelformens spelregler och där licenshavaren behåller på dessa insatser till dess att
hela eller delar av insatserna delas ut, kan t.ex. vara en jackpott, poolspel eller en fördelad
jackpott.
2 kap. Kontroll, provning och certifiering
Den som tillhandahåller spel ska se till att spelsystem, affärssystem m.m. uppfyller de krav
som finns i föreskrifter som meddelats med stöd av spellagen, 16 kap. 1 § spellagen
(2018:1138). Enligt 16 kap. 3 § samma lag ska utrustningens överensstämmelse med svensk
reglering för spelverksamhet bedömas av ett organ som ackrediterats för uppgiften. Enligt 18
kap. 4 § spellagen har Spelinspektionen bland annat rätt att få tillträde till områden,
anläggningar, lokaler m.m. där det bedrivs spel eller där utrustning för spel hanteras eller
förvaras. Syftet med tillgänglighet är att Spelinspektionen ska kunna genomföra
tillsynsinsatser.
Av 16 kap. 2 § spellagen framgår att huvudregeln är att licenshavarens spelsystem ska vara
placerat i Sverige. Spelinspektionen får meddela undantag under vissa förutsättningar. Det är
dock licenshavarens skyldighet att ansöka om ett sådant undantag. Om licenshavaren ansökt
om ett sådant undantag måste det ackrediterade organets bedömning omfatta att det går att
genomföra en kontroll av spelsystemet med fjärråtkomst eller liknande.
1 § Den som ansöker om spellicens ska vända sig till ett ackrediterat organ för kontroll,
provning och certifiering av spelsystem, affärssystem, rutiner, dragningsutrustning och
fysiska lotter i enlighet med 16 kap. 3 § spellagen (2018:1138).
Bestämmelser om ackreditering enligt första stycket som utförs av Swedac finns i lagen
(2011:791) om ackreditering och teknisk kontroll.
Allmänt råd:
Är sökanden, eller den som utför tjänster för sökandens räkning, certifierat i
förhållande till gällande ISO/IEC 27001:2014 kan kraven i 4–6 kap. dessa
föreskrifter vara uppfyllda.
Giltigt ISO/IEC 27001:2014 certifikat, uttalande om tillämplighet1 och
dokumenterad riskbedömning ska finnas tillgängliga för det ackrediterade
organet att utvärdera.
Swedac är nationellt ackrediteringsorgan för Sverige. Swedac kontrollerar efterlevnaden av
krav på kvalitet och säkerhet i syfte att underlätta för varor och tjänster att fritt röra sig över
gränserna. Inom samtliga områden har Swedac internationella uppgifter. Swedac arbetar med
internationella projekt i syfte att bidra till uppbyggnad av infrastruktur för ackreditering och
kvalitetskontroll i utvecklingsländer. Instruktion och regleringsbrev från regeringen samt
lagstiftning och överenskommelser inom Europa och globalt styr myndighetens verksamhet.
Mer information om Swedac samt kontaktuppgifter finns på
www.swedac.se
.
1 Statement of Applicability.
2 § Den som ansöker om spellicens ska skicka underlag för utförd kontroll, provning och
certifiering till Spelinspektionen.
I rapporten ska det tydligt anges vilka utvärderingsmetoder som använts i kontroll-,
provnings- och certifieringsprocesserna.
För att säkerställa att det ackrediterade organet uppfyller samtliga krav i 3 kap. ska
utfärdade certifikat och övrig dokumentation för verksamheten bifogas.
3 § Kontroll-, provnings- och certifieringsprotokoll ska förnyas minst var tolfte månad.
Om det ackrediterade organet i det löpande arbetet konstaterar brister eller felaktigheter
som är av betydelse för licensen, ska licenshavaren omedelbart underrätta Spelinspektionen.
Licenshavaren ska omedelbart meddela Spelinspektionen om certifieringsorganet återkallar
certifikat.
Business-to-business (B2B) är en marknadsstrategi som inbegriper omsättning av varor och
tjänster mellan företag. Det finns framför allt tre grupper av underleverantörer som är av
betydelse för föreskrifterna. En underleverantör som tillhandahåller olika varor såsom
ordbehandlingsprogram, en fysisk brandvägg, en underleverantör som tillhandahåller tjänster
såsom drift, underhåll eller uppdatering av hela eller delar av en speltjänst eller tjänster såsom
kundtjänst, HR-frågor etc. De olika typerna av underleverantörer är av betydelse för 4–6 kap.
i föreskriften.
Inledningsvis finns en skillnad mellan varor och tjänster. En vara kontrolleras av
licenshavaren i och med att den är köpt i färdigt skick, uppdateringar installeras av
licenshavaren och varan är en del av licenshavarens egna informationstillgångar. Vid
bedömning av ett ackrediterat organ är sådana varor en del av licenshavarens spel- och
affärssystem. En förändring i sådana informationstillgångar föranleder endast revidering inom
licenshavarens verksamhet. Omfattningen av en sådan revidering beror på hur licenshavaren
klassificerat informationstillgången. Ett ordbehandlingsprogram kan klassificeras som mindre
kritisk med låg relevans vid en förändring till skillnad från ett spelsystem som tillhandahåller
t.ex. poker.
En tjänst kontrolleras av den som tillhandahåller tjänsten, uppdateringar hanteras av den som
tillhandahåller tjänsten. Vid bedömning av ett ackrediterat organ måste bedömningen
utsträckas till att också omfatta den som tillhandahåller tjänsten åt licenshavaren. En
förändring som påverkar informationstillgången såsom t.ex. en pokertjänst innebär att en
revidering måste göras av både licenshavaren och den som tillhandahåller tjänsten. Om en
underleverantör tillhandahåller samma tjänst till många licenshavare kan det leda till en
enorm administrativ börda för licenshavarna, de ackrediterade organen och Spelinspektionen.
Den som tillhandahåller en tjänst till en eller flera licenshavare kan också vara kontrollerad,
provad eller certifierad i enlighet med 2 kap. dessa föreskrifter. En ändring som sker hos den
som tillhandahåller tjänster slår därmed igenom för samtliga licenshavare.
3 kap. Ackrediterade organ
För formulering av ackrediteringens omfattning/scope, se bilaga 1.
Omfattning
1 § Den ackrediterade processen ska omfatta informationssäkerhet, kontroll, provning och
certifiering samt risk- och sårbarhetsanalys.
Behörighetskrav för det ackrediterade organet
2 § Den som ansöker om ackreditering ska ha erfarenhet av arbete med ledningssystem för
informationssäkerhet, kontroll, provning, certifiering och risk- och sårbarhetsanalys.
Det finns inget hinder för den som vill bli ackrediterad att endast ansöka om delar av den
ackrediterade processen. Den som ansöker om ackreditering ska ha erfarenhet inom de delar
som ansökan avser.
Allmänt råd:
Med erfarenhet avses minst tre års erfarenhet av att testa och utvärdera
ledningssystem för informationssäkerhet, minst två års erfarenhet med risk- och
sårbarhetsanalys eller likvärdig erfarenhet.
Behörighetskrav för personal hos det ackrediterade organet
3 § Kontroll, provning och certifiering ska utföras av personal som har adekvat och
dokumenterad utbildning.
Det ska finnas personal som har minst fem års erfarenhet av att kontrollera och prova
spelsystem, spelverksamhet och onlineverksamhet eller motsvarande erfarenhet.
Det ska finnas personal som har minst fem års erfarenhet av risk- och sårbarhetsarbete eller
motsvarande erfarenhet.
Åberopad erfarenhet och kompetens ska styrkas genom intyg eller liknande.
Allmänt råd:
Adekvat och relevant utbildning kan också vara andra kvalifikationer som gör
att personal uppnår tillräcklig kompetens för uppgiften eller uppgifterna.
För arbete med slumptalsgeneratorer och annan dragningsutrustning bör
ansvarig arbetsledare ha en mastersexamen eller doktorsexamen inom
matematik, statistik eller annan för uppdraget relevant utbildning.
Sådana kvalifikationer ska på samma sätt som annan utbildning finnas
dokumenterade och kan för arbete med informationssäkerhet vara certifieringar i
enlighet med:
- International Information Systems Security Certification Consortium (ISC)2
Certified Information Systems Security Professional (CISSP),
- Payment card industry (PCI) Qualified Security Assessor (QSA), eller
- Information Systems Audit and Control Association (ISACA) Certified
Information Systems Auditor (CISA).
För arbete med risk- och sårbarhetsanalyser kan följande certifieringar vara
aktuella:
- International Council of E-commerce (EC-Council) Certified Ethical Hacker
(CEH),
- EC-Council Licensed Penetration Tester (LPT),
- Information Assurance Certification Review Board (IACRB) Certified
Penetration Tester (CPT),
- Global Information assurance Certification (GIAC) Certified Penetration
Tester (GPEN),
- CESG CHECK Team Leader,
- CESG CHECK Team Member,
- CREST Infrastructure Certification,
- CREST Registered Tester,
- Tiger Scheme Senior Security Tester, eller
- Tiger Scheme Qualified Security Tester.
Kontroll, provning och certifiering kan utföras av personal som sammantaget
uppfyller fastställda krav.
4 kap. Licenshavarens informationssäkerhet
Informationshantering är ett centralt stöd för alla typer av verksamheter. Det är viktigt att
kunna skydda information och ha ett högt konsumentskydd och hög säkerhet i spelen.
Tillgång till information ska kunna säkerställas både på kort och på lång sikt. För att uppnå
god informationssäkerhet räcker det inte med administrativa åtgärder som regelverk,
utbildning/information, efterlevnadskontroll och åtgärder som kan vidtas i IT-system samt
kommunikationslösningar (IT-säkerhet). Även utrustning för informationshantering måste
skyddas från olika risker, det vill säga fysiskt skydd eller fysisk IT-säkerhet.
En viktig faktor för att kunna skydda informationen är således det fysiska skydd som omger
olika typer av IT-utrymmen. Att planera, utveckla och förvalta IT-utrymmen innebär ett stort
ekonomiskt åtagande där det inte alltid är lätt att avgöra vilka åtgärder som är lämpliga och
rimliga för att ge informationen ett tillräckligt bra skydd.
Licenshavaren ska ha rutiner såsom policys, riktlinjer, regler och råd beroende på vad som ska
skyddas.
Skydd av information
1 § Viktig information ska skyddas mot fysiska och logiska intrång och annan yttre påverkan
samt trygga att information är tillgänglig då den behövs.
Det är licenshavaren själv som avgör vad som är viktig information. Enligt 5 kap. ska
licenshavaren i en förteckning klassificera sina informationstillgångar. Viktig information bör
alltid minst omfatta transaktioner, förutsättningar för spel, kunddatabas, versionsförändringar,
loggar. En stor del av informationen ska finnas tillgänglig inte bara för licenshavaren utan
också för det ackrediterade organet i samband med kontroll, provning och certifiering samt
revidering och naturligtvis också för Spelinspektionen på förfrågan.
Personaladministration
2 § Det ska finnas en policy och rutiner som reglerar anställdas behörighet i spel- och
affärssystem.
Motsvarande policy, upprättande av behörighetsbeskrivning och rutiner enligt första
stycket, ska finnas för övriga personer som behöver ha behörighet till spel- och affärssystem.
Policyer och rutiner ska vara dokumenterade och uppdateras regelbundet.
Allmänt råd:
En policy med tillhörande rutiner kan omfatta
1. detaljerade arbetsbeskrivningar för varje anställd,
2. vilken behörighet till information som krävs för respektive
arbetsbeskrivning, det vill säga för utförande av arbetsuppgifter,
3. på vilket sätt förändringar i arbetsbeskrivningen också reflekteras i
behörighet till vilken information den anställde ska ha tillgång till, och
4. beskrivning av vilka steg som tas om en anställning avslutas.
Behörigheten till ett spelsystem bör vara uppdelat i för olika funktioner avseende olika
användargrupper. De olika funktionerna t.ex. funktioner, grupper, personer, system, ska sedan
tilldelas olika funktioner och därmed olika behörigheter. Det bör finnas en
behörighetsbeskrivning med tillhörande personer eller system för varje funktion. För att
förenkla en revision bör behörighetsbeskrivningar uppdateras minst årligen i samband med att
kontroll-, provnings- och certifieringsprotokoll ska förnyas enligt 2 kap. 3 §.
Det är inte ovanligt att också väktare, servicetekniker, fastighetsansvariga, städare eller andra
liknande grupper har tillträde till utrymmen där känslig information förvaras. Dessa
personalgrupper är oftast inte anställda i den egna verksamheten. Även om kontraktstyrda
relationer finns behöver det inte betyda att ansvar och befogenheter regleras på samma sätt.
Dessa externa personalgrupper bör därför inte ha fritt eller oreglerat tillträde till sådana
utrymmen.
Tillträdesbegränsning
3 § Spel- och affärssystem ska vara placerade i utrymme som är anpassat för ändamålet.
Vid alla passerställen till den plats där spel- och affärssystem hanteras eller förvaras, ska
det finnas personell bevakning eller teknisk utrustning för tillträdeskontroll.
Tillträdeskontrollens omfattning ska vara anpassad till bestämmelserna om risk- och
sårbarhetsarbete i 5 kap.
Kort, koder och nycklar till utrymmen där spel- och affärssystem hanteras eller förvaras ska
kontrolleras så att inte obehöriga kan få åtkomst till dessa.
Allmänt råd:
Ett utrymme som är anpassat för ändamålet kan vara ett eller flera rum.
Var en verksamhet väljer att placera sina spel- och affärssystem kan betyda mycket för en
ökad säkerhet. Utrymmet bör därför vara väl anpassat för ändamålet för att undvika yttre hot
samt minska konsekvenserna om hoten realiseras.
4 § System för drift och test ska hållas logiskt skilda från varandra.
System för test av generering och validering och faktisk generering och validering av
underlag för fysiska lotter ska hållas logiskt skilda från varandra.
Tester och prov av t.ex. nya versioner eller funktioner i ett spelsystem, utförs alltid i logiskt
separata system.
Behörighetskontroll
5 § Spel- och affärssystem ska vara försedda med tekniska och administrativa åtgärder för
identifiering av användaren, användarens behörighet till systemen samt registrering av
användarens aktiviteter.
All åtkomst till spel- och affärssystemen ska registreras.
Kod, lösenord eller motsvarande till spel- och affärssystem är personliga och får inte visas
eller lämnas till andra och ska ges ett säkerhetsskydd som är anpassat till informationen.
Det är viktigt att licenshavaren har kontroll över vem som har tillträde till utrymme där spel-
och affärssystem förvaras För att kunna ha kontroll är det grundläggande att begränsa
tillträdet till spel- och affärssystem till den grupp medarbetare som har ett fastställt behov.
För att kontrollera, registrera och lagra tillträde till spel- och affärssystem kan en katalogtjänst
användas. En katalogtjänst möjliggör för behörigheterna att vara kopplade till användarens
rättigheter och att de samtidigt registreras vid användning. Koder och lösenord bör inte delas
mellan användare och bör inte vara gemensamma. Engångslösenord kan användas i det fall
man kan säkerställa vem som begärt dem och att denna är behörig.
6 § Spel- och affärssystemen ska ha en funktion som löpande registrerar användares identitet,
datum och klockslag för inloggning och utloggning samt sådana aktiviteter i övrigt som är av
betydelse för informationssäkerheten.
Se 4 kap. 19 § avseende vilken tid som ska användas.
7 § Händelser utanför den tekniska utrustningen som påverkar spel- och affärssystemen ska
registreras.
Allmänt råd:
Brand, vattenskador kan vara exempel på sådana händelser utanför den tekniska
utrustningen som påverkar spel- och affärssystemen.
Registrering av händelser enligt 7 § kan göras manuellt.
Kommunikation- och driftstyrning
8 § Spel- och affärssystem ska kunna stängas ned säkert i händelse av störning eller avbrott i
elförsörjningen eller i kommunikationen.
Det ska finnas reservkraftssystem för att säkerställa dataintegritet, registrering av historik,
säkerhetskopiering och för att pågående spel ska kunna avslutas.
9 § Spel- och affärssystem ska ha en funktion som registrerar alla försök till obehörig
åtkomst till spelsystemet, övriga händelser och skapa händelserapporter med tidsregistrering.
10 § Spel- och affärssystem ska vara skyddat mot obehörigt intrång och införande av otillåten
och skadlig kod.
Spel- och affärssystem ska ha en funktion som upptäcker skadlig kod.
Det ska finnas dokumenterade rutiner för uppdatering av skydd mot otillåten och skadlig
kod.
11 § Alla systemändringar i enlighet med 6 kap. och övriga avvikelser i spel- och
affärssystemen ska övervakas och registreras.
I 6 kap. finns bestämmelser om versionshantering och i 18 § detta kapitel regleras
lagringstiden.
12 § Spel- och affärssystem ska säkerhetskopieras minst dagligen.
Det ska säkerställas att systemen kan återskapas från tiden för senaste säkerhetskopieringen
till tidpunkten för ett eventuellt avbrott.
För att förenkla bedömningen som görs av det ackrediterade organet bör licenshavaren
tillhandahålla rutiner för säkerhetskopiering och för återskapande vid ett eventuellt avbrott.
För att förenkla en revision bör funktionerna testas minst årligen i samband med att kontroll-,
provnings- och certifieringsprotokoll ska förnyas enligt 2 kap. 3 §.
13 § Spel- och affärssystem ska förses med därför avsedd brandvägg.
Brandväggar ska inrättas på sådant sätt att inte annan utrustning inom samma nätverk kan
skapa alternativa nätverksvägar.
Behörighet till brandväggar ska dokumenteras i upprättade arbets- och
behörighetsbeskrivningar.
Tillträde till en brandvägg ska registreras.
Alla incidenter som påverkar eller syftar till att påverka brandväggar ska registreras.
Uppgifter i fjärde stycket behöver inte lagras längre än i tre månader enligt 18 § detta kapitel.
14 § Information ska lagras och överföras på ett säkert sätt.
Filer med vinstinformation ska hanteras så att ingen obehörig kan kopiera den eller på annat
sätt missbruka eller skada informationen.
Om publika nätverk används för överföring av information ska informationen vara
krypterad och de skilda undersystemen ska verifiera sändning och mottagning och vara
skyddade mot ofullständig sändning, störning samt kopiering av och utskick av
svarsmeddelande som inte är auktoriserade.
Enligt 5 kap. ska licenshavaren i en förteckning klassificera sina informationstillgångar och
utifrån den klassificeringen också bedöma vilken information ska lagras och överföras på ett
säkert sätt.
Vid krypterad överföring bör en etablerad standard användas för att kunna säkerställa att
informationen överförs och lagras på ett säkert sätt.
15 § Det ska finnas dokumenterade rutiner för hantering av flyttbara datamedia.
Skickas vinstinformation på datamedia per post, eller motsvarande, ska ett
transportalternativ väljas som säkerställer kraven i 14 § andra stycket.
Allmänt råd:
Flyttbara datamedier kan till exempel vara bärbara datorer och flyttbara minnen.
16 § Endast funktioner som är nödvändiga för syftet med installation av ny programvara ska
aktiveras.
Underhåll och uppdatering av applikationer i ett spel- och affärssystem ska ske på ett säkert
och kontrollerat sätt.
17 § En programvara ska vara identifierbar med namn och versionsnummer.
Spelsystemets programkod ska innehålla kommentarer som förklarar kodens funktion.
Lagring av registrerade uppgifter, händelser och loggar
18 § Registrerade uppgifter, händelser och loggar ska lagras i enlighet med 16 kap. 5 §
spellagen (2018:1138) och hållas i oförändrat skick och ska skyddas mot olovligt intrång.
Registrerade uppgifter enligt 13 § fjärde stycket ska lagras i minst tre månader.
Tidsreferens
19 § Spelsystemet ska registrera tid.
Alla uppgifter, händelser och loggar ska registreras i realtid.
UTC ska användas som system för tidsreferens.
5 kap. Licenshavarens risk- och sårbarhetsarbete
1 § Licenshavaren ska göra en risk- och sårbarhetsanalys och på ett systematiskt sätt
identifiera och dokumentera spel- och affärssystemens informationstillgångar i en
förteckning.
I arbetet ska även den egna verksamhetens beroenden av andra verksamheter beaktas.
Val av metod för risk- och sårbarhetsanalys ska dokumenteras.
Allmänt råd:
ISO 31000:2009 är en vägledning som innehåller principer och generella riktlinjer för
riskhantering.
En risk- och sårbarhetsanalys och en förteckning enligt 1 § kan omfatta följande
moment:
1. identifiering av informationstillgångar som alltid måste vara skyddade/fungera
(Vad ska skyddas?),
2. identifiering av riskkällor som kan påverka/hota identifierade
informationstillgångar (Vad kan hända?),
3. riskanalys (Hur sannolikt är det och vilka är konsekvenserna om det inträffar?),
4. riskutvärdering för att bedöma vilka av de identifierade riskkällorna som ska
behandlas vidare och vilka åtgärder som ska vidtas för identifierade risker,
5. bedömning av förmågan att motstå och hantera identifierade riskkällor, och
6. riskbehandling genom identifiering och prioritering av åtgärder med anledning
av analysens resultat.
2 § För varje informationstillgång i förteckningen ska följande information finnas
1. en definition av informationstillgången,
2. unikt identifieringsnummer,
3. versionsnummer,
4. identifierande kännetecken för informationstillgången,
5. beslutsfattare som äger rätt att besluta om förändringar i informationstillgången,
6. intern riskvärdering,
7. checksumma för informationstillgångar klassificerade enligt 3 §, andra stycket 2–3,
och
8. den geografiska placeringen av fysiska informationstillgångar.
Den färdiga förteckningen kommer att utgöra grunden för det ackrediterade organets
bedömning av licenshavarens informationstillgångar enligt 2 kap.
I efterföljande granskningar kommer förteckningen att visa förändringar som skett mellan
bedömningstillfällena och det ackrediterade organet kan därefter revidera tidigare bedömning.
3 § Varje definierad informationstillgång enligt 2 § ska klassificeras enligt följande fyra
kriterier:
1. spelarinformation – skyddsvärd information,
2. spel- och affärssystemens integritet,
3. tillgänglighet av spelarinformation, eller
4. spårbarhet.
Varje klassificering ska bedömas enligt följande:
1. ingen relevans (informationstillgången har ingen betydelse för kriteriet i respektive
punkt 1–4 i första stycket),
2. viss relevans (informationstillgången kan ha betydelse för kriteriet i respektive punkt
1–4 i första stycket), eller
3. hög relevans (kriteriet i respektive punkt 1–4 i första stycket är beroende av
informationstillgången).
Allmänt råd:
Beroende på om och hur virtualisering, exempelvis så kallade molntjänster, används i
spel- och affärssystemet kan redundans av och tillgänglighet till information påverkas.
Olika metoder av virtualisering kan medföra förändrad klassificering av en
informationstillgång. Licenshavaren bör vara uppmärksamt på hur klassificeringen av
en hårdvaruinformationstillgång påverkas och kan förändras beroende på val eller
utveckling av virtualisering internt eller externt.
Används en extern molntjänstleverantör bör det säkerställas att denne lever upp till
kraven i föreskrifterna.
4 § Licenshavaren ska utse en ansvarig beslutsfattare för risk- och sårbarhetsanalysarbete och
hantering av information och uppkomna incidenter i detta kapitel.
Det ska finnas dokumenterade rutiner för övervakning, upptäckt, analys, hantering och
rapportering samt registrering av säkerhets- och informationssäkerhetsincidenter.
5 § Det ska finnas en funktion och dokumenterade rutiner för hantering av intrång och försök
till intrång i spel- och affärssystemen.
Alla intrång och försök till intrång i spel- och affärssystemen ska registreras.
6 kap. Licenshavarens systemändringar
1 § Det ska finnas en dokumenterad process för versionshantering och ett
versionshanteringssystem för uppdateringar eller förändringar av de informationstillgångar
som upprättats i en förteckning enligt 5 kap. 2 §.
2 § Uppdatering eller förändring av en informationstillgång som klassificerats som kritisk
med hög relevans enligt 5 kap. 3 § andra stycket, ska utan dröjsmål granskas av ackrediterat
organ.
Uppdatering eller förändring av en informationstillgång som klassificerats med viss
relevans enligt 5 kap. 3 § andra stycket ska granskas i samband med ordinarie
certifieringsprocess enligt 2 kap. 3 § första stycket.
3 § Finns det en intern funktion som hanterar kvalitetssäkring av uppdateringar eller
förändringar av informationstillgångar kan det ackrediterade organet godkänna att ändringar
görs utan granskning enligt 2 § första stycket om
1. funktionen är organisatoriskt separerad från den funktion som implementerar
uppdateringar eller förändringar och
2. funktionen har personal med adekvat utbildning och erfarenhet.
Uppdatering eller förändring av en informationstillgång enligt första stycket ska granskas i
samband med ordinarie certifieringsprocess enligt 2 kap. 3 § första stycket.
4 § Vid uppdatering eller förändring av informationstillgångar enligt 1 § ska risk- och
sårbarhetsanalys utföras.
5 § Det ska finnas en utsedd beslutsfattare som ansvarar för och beslutar om varje
uppdatering eller förändring av en informationstillgång.
6 § Ett versionshanteringssystem ska innehålla information om begäran om ändringar,
godkännande av ändringar, och utförda ändringar av informationstillgångar.
Tidigare versioner av informationstillgångar ska lagras och hållas tillgängliga för
granskning.
Allmänt råd:
Tidigare versioner av informationstillgångar i form av hårdvara kan destrueras.
Kapitel sju och framåt
För en spelverksamhet ska ett starkt konsumentskydd säkerställas och det ska råda en hög
säkerhet i spelen. Det finns behov för att skydda spelare, dels för att hindra spel vid misstänkt
bedrägeri eller andra spelrelaterade former av brottslighet, dels om ett eller flera spel är
felaktiga. Licenshavaren måste då kunna avaktivera ett enskilt eller flera spel eller en eller
flera spelare.
För att tydliggöra för det ackrediterade organet vilka krav som ska kontrolleras, provas eller
certifieras har kraven fetmarkerats i kapitel sju och framåt. Till skillnad mot tidigare kapitel
är bestämmelserna i kapitel sju och framåt spelspecifika. Uppgifter som ska finnas i spelregler
eller som ska registreras eller dokumenteras är sådant som licenshavaren ska göra och ingår i
Spelinspektionens tillsynsansvar.
7 kap. Funktioner för licenshavarens administration av spel
Aktivering och avaktivering av spel
1 § Licenshavare ska utan dröjsmål kunna aktivera eller avaktivera varje spel eller dess
spelare; antingen ett eller flera spel eller spelare var för sig eller alla på en gång.
Åtgärder enligt första stycket ska registreras och dokumenteras.
Allmänt råd
Ett spel kan till exempel avaktiveras genom att tillfälligt döljas om
licenshavaren upptäcker felaktigheter i spelet eller för en enskild spelare.
2 § Ett spel som avaktiveras ska kunna spelas färdigt.
Ett spel i flera steg som avaktiveras ska kunna spelas färdigt vid nästa inloggning.
Avbrutna spel
3 § Ett avbrutet spel ska kunna spelas färdigt om inte något annat framgår av spelreglerna.
Ett avbrutet spel ska tillsammans med gjord insats visas för en spelare när
spelsystemet återanslutits.
Insats som avses i andra stycket ska hållas åtskild och redovisas särskilt på spelarens
spelkonto tills det spelats färdigt.
Allmänna råd:
Ett spel kan anses avbrutet exempelvis om spelsystemet tappar anslutningen mot
spelarens utrustning, spelsystemet eller spelarens utrustning startar om och
onormal nedstängning av spelsystem.
Ett spel kan också anses avbrutet om en match inte kunnat spelas färdigt eller ett
lopp ställts in.
4 § Om ett avbrutet spel inte spelas färdigt inom 90 dagar ska det avslutas.
Det ska tydligt framgå av spelreglerna vad som händer med en spelares insats, om ett spel
avslutas utan att det spelats färdigt.
Felhantering
5 § För spel ska det finnas dokumenterade rutiner för hantering av fel och brister.
Det ska tydligt framgå av spelreglerna vad som gäller gentemot spelaren vid fel och brister.
6 § Uppkomna fel och brister ska registreras och dokumenteras.
Orsaker och lösningar på fel och brister i första stycket ska registreras och dokumenteras.
Registrering och dokumentation kan göras antingen per automatik i spelsystemet eller göras
manuellt enlighet med dokumenterade rutiner. Sker registrering per automatik i spelsystemet
ska det ackrediterade organet kontrollera att den funktionen finns och fungerar.
7 § Det ska säkerställas att ett avbrutet spel eller fel och brister i övrigt inte påverkar en
spelares spelkonto eller spelsaldo negativt.
För det fall en spelare inte kan spela färdigt ett spel på grund av fel eller brister ska det
finnas en funktion som beräknar hur mycket som ska betalas till en spelare.
8 § Värdet av en vinstpott ska inte kunna påverkas av fel och brister.
8 kap. Information som ett spelsystem ska kunna generera
Utöver den information som ett spelsystem ska kunna generera enligt 8 kap. finns också krav
på rapportering till Spelinspektionen i 21 § Lotteriinspektionens föreskrifter och allmänna råd
om spelansvar (LIFS 2018:2). De uppgifter som enligt 21 § ska rapporteras halvårsvis finns
specificerade nedan.
1 § Rapporter avseende misstänkta spelfuskbrott som avses i 19 kap. 6 § spellagen
(2018:1138) ska kunna skapas i spelsystemet eller manuellt.
Rapporter om misstänkt spelfusk, otillåtet samarbete mellan spelare, försök till spelfusk och
otillåtet samarbete mellan spelarna samt övriga registrerade överträdelser av användarvillkor
och spelregler ska kunna skapas i spelsystemet eller manuellt.
Rapporter om otillbörlig påverkan av utgången av ett spel som är föremål för vadslagning
ska kunna skapas i spelsystemet eller manuellt.
2 § Spelsystemet ska ha en funktion för att generera rapporter avseende avvikelser eller
förändringar i en spelares spelvanor och spelmönster som föranleder spelansvarsåtgärder.
Enligt 14 kap. 1 § spellagen (2018:1138) regleras licenshavarens omsorgsplikt. En
licenshavare ska säkerställa att sociala och hälsomässiga hänsyn iakttas i spelverksamheten
för att skydda spelare mot överdrivet spelande och hjälpa dem att minska sitt spelande när det
finns anledning till det. Licenshavaren ska fortlöpande kontrollera spelarnas spelbeteende.
3 § Spelsystemet ska ha en funktion för att generera rapporter för alla
spelarregistreringar.
Spelsystemet ska ha en funktion för att generera rapporter för befintliga och stängda
tillfälliga spelkonton som avses i 13 kap. 4 § första stycket spellagen (2018:1138).
En licenshavare ska enligt 12 kap. 1 § spellagen registrera den som vill delta i spel. En
licenshavare med licens för onlinespel ska enligt 13 kap. 1 § öppna ett spelkonto för varje
registrerad spelare. En licenshavare får öppna tillfälliga spelkonton under vissa
förutsättningar.
4 § Spelsystemet ska ha en funktion för att generera rapporter för alla registrerade
spelare, spelarnas kontoinformation och datum för registrering.
5 § Spelsystemet ska ha en funktion för att generera rapporter med alla spelare som
stängt av sig från spel 24 timmar, under viss tid eller stängt av sig från spel tillsvidare i
enlighet med 14 kap. 12 § spellagen (2018:1138).
6 § Spelsystemet ska ha en funktion för att generera rapporter med alla spelare som
begränsat sin gräns i tid, insatser eller insättningar till spelkonton.
Spelsystemet ska också ha en funktion för att generera rapporter med antal spelare
som sänkt respektive höjt sin gräns i tid, insatser eller insättningar till spelkonton.
7 § Spelsystemet ska ha en funktion för att generera rapporter avseende inaktiva
spelkonton.
Allmänt råd:
Det bör framgå av licenshavarens avtal med spelaren när ett spelkonto blir
inaktivt och vad som händer med t.ex. tillgodohavande om kontot varit inaktivt
under viss tid.
8 § Spelsystemet ska ha en funktion för att generera rapporter för samtliga spelkonton
som avslutats.
Om ett spelkonto har avslutats ska det framgå varför det avslutats och om det har
avslutats av spelaren eller av licenshavaren.
9 § Spelsystemet ska ha en funktion för att generera rapporter för spelkonton med ett
positivt saldo som varit avslutade i mer än fem arbetsdagar.
10 § Spelsystemet ska ha en funktion för att generera en rapport för varje spelkonto.
Allmänt råd:
En rapport bör innehålla information om saldo, insättningar, insatser, vinster och
uttag.
11 § Spelsystemet ska ha en funktion för att registrera en enskild spelares hela
inloggningstid.
Följande ska kunna ingå i en eller flera rapporter enligt första stycket
1. spelar-ID,
2. tid då inloggningstiden påbörjats och avslutats,
3. spelarens utrustning,
4. total insats under inloggningstiden,
5. total utbetalad vinst under inloggningstiden,
6. total insättning på spelkonto under inloggningstiden (tidsregistrerad),
7. totalt uttag från spelkonto under inloggningstiden (tidsregistrerad),
8. tidpunkt för sista bekräftelse under inloggningstiden,
9. skäl för att en inloggning avslutats, och
10. identifiering av spel och version av spel som spelats under inloggningstiden.
12 § Spelsystemet ska ha en funktion för att registrera och kunna generera en eller flera
rapporter med information om spelarens transaktioner under inloggningstiden.
Följande information ska kunna ingå i en rapport enligt första stycket
1. spelar-ID,
2. tidpunkt för spelets start,
3. spelarens saldo vid tidpunkten för spelstart,
4. insats (tidsregistrerat),
5. avsättning till vinstpott,
6. spelets status,
7. utfall i spelet (tidsregistrerat),
8. utbetalning av vinstpott,
9. sluttid för spelet,
10. vinster,
11. spelarens saldo vid tidpunkten för sluttid, och
12. alla avbrutna spel och orsaken för varför de inte spelats färdigt.
13 § Spelsystemet ska ha en funktion för att registrera och kunna generera en eller flera
rapporter avseende händelser i spelsystemet.
Följande information ska kunna ingå i en rapport enligt första stycket
1. omfattande vinster,
2. stora överföringar av medel,
3. ändrade förutsättningar för spel,
4. ändrade förutsättningar för vinstpott,
5. nyetablerad vinstpott,
6. spelares deltagande i vinstpott,
7. utbetalning av vinstpott, och
8. avbrutna spel med vinstpott.
14 § Spelsystemet ska ha en funktion för att registrera och kunna generera individuella
och sammanställda rapporter om en eller flera av licenshavarens spelomgångar.
Följande information ska kunna ingå i en rapport enligt första stycket
1. spelomgångens namn och löpnummer,
2. datum,
3. tidpunkten för spelomgångens start,
4. tidpunkten för spelomgångens slut,
5. total omsättning,
6. antal insatser,
7. licenshavarens insats,
8. finansiering av en vinstpott,
9. en vinstpotts värde innan spelstart,
10. en vinstpotts värde vid spelets slut,
11. möjliga utfall,
12. verkligt utfall,
13. totalt antal vinster,
14. totalt antal vinnare,
15. antal vinnare per nivå,
16. antal rätt,
17. total utdelning, och
18. antal spelare som inte fullföljt spelomgången samt orsaken för varför de inte
fullföljt.
Allmänt råd:
Ett möjligt utfall kan vara en situation då det förekommer möjlighet till ett unikt
utfall som inte direkt framgår av relevant vinstplan, t.ex. en fotbollsmatch där ett
spel kan avse 1X2.
9 kap. Funktionskrav för licenshavaren gentemot spelare
Vid spel enligt 7 och 8 kap.spellagen (2018:1138) ska en spelare enligt 15 §
Lotteriinspektionens föreskrifter och allmänna råd om spelansvar vid varje inloggning få
tydlig information om licenshavares spelansvarsåtgärder, spelarens begränsningar av sina
insättningar enligt 14 kap. 7 § spellagen samt spelarens ackumulerade förluster för de tolv
senaste månaderna. Det ackrediterade organet ska kontrollera att licenshavaren uppfyller detta
krav i sin bedömning.
Registrering av spelaren och behörighet till spelsystemet
1 § Spelsystemet ska ha en funktion för att registrera en spelare.
Verifiering av spelarens behörighet ska ske genom personlig och unik behörighetskod
varje gång denne loggar in i spelsystemet.
Allmänt råd:
Efter den initiala registreringen, då spellagen kräver verifiering av spelaren via
bank-ID eller liknande, kan licenshavaren fortsatt kräva verifiering via bank-ID
eller liknande. Alternativt kan licenshavaren välja att låta spelaren skapa ett
användarnamn med tillhörande behörighetskod.
En funktion i spelsystemet bör informera hur spelaren kan skapa en unik och
säker behörighetskod.
En licenshavare ska enligt 12 kap. 1 § spellagen (2018:1138) registrera den som vill delta i
spel. När en registrerad spelare loggar in på sitt spelkonto ska licenshavaren, enligt 13 kap. 2
§ spellagen, identifiera spelaren på betryggande sätt.
2 § Spelsystemet ska ha en funktion som kontrollerar spelarens ålder.
Enligt 14 kap. 2 § spellagen (2018:1138) får inte licenspliktigt spel tillhandahållas någon som
är under 18 år. Spel får endast tillhandahållas om det går att kontrollera spelarens ålder.
3 § Om en kontroll av PEP enligt 3 kap. 10 § penningtvättslagen (2017:630) har gjorts ska
kontrollen registreras i spelsystemet.
Allmänt råd:
Registrering kan göras genom att en ruta med PEP förs in i spelarregistret och
att det där noteras ja eller nej.
Det ackrediterade organet ska kontrollera om det finns en möjlighet att registrera en kontroll
av en PEP. En PEP finns definierad i 1 kap. 2 § 6 och betyder en person som har, eller har
haft en viktig funktion i ett land, eller i en ledning i en internationell organisation.
4 § Alla inloggningar på ett spelkonto och alla försök till inloggning som har gjorts ska
registreras.
Det ska finnas en funktion i spelsystemet för att upptäcka om någon utan behörighet
försöker logga in på en spelares spelkonto.
Om någon obehörig har försökt ta sig in på en spelares spelkonto ska spelaren informeras
om detta omedelbart och därefter i enlighet med licenshavarens avtal med spelaren.
Allmänt råd:
Meddelande om att någon obehörig försökt ta sig in på en spelares spelkonto
kan göras på sätt som licenshavaren anser vara mest lämpligt vid tillfället, till
exempel genom sms, e-postmeddelande eller information vid inloggning.
5 § En spelares identitet, datum och tidpunkt ska registreras vid varje inloggning och
utloggning.
När en spelare loggar in i spelsystemet ska dennes senaste inloggning med tid och
datum finnas tillgängligt för spelaren.
6 § Spelsystemet ska ha en funktion och dokumenterade rutiner för säkert byte av
behörighetskod.
En spelares behörighetskod ska inte kunna ändras ensidigt av licenshavaren.
Allmänt råd:
Vid behov kan en engångskod skickas till spelarens registrerade e-postadress
eller registrerade mobilnummer.
Spelkonto
En licenshavare med licens för onlinespel ska enligt 13 kap. 1 § spellagen (2018:1138) öppna
ett spelkonto för varje registrerad spelare.
Enligt 7 § Lotteriinspektionens föreskrifter och allmänna råd om spelansvar (LIFS2018:2) ska
en kund i samband med att ett spelkonto öppnas, särskilt godkänna villkor som rör det skydd
spelarnas pengar har vid händelse av att licenshavaren hamnar på ekonomiskt obestånd. Det
ackrediterade organet ska kontrollera att det finns en funktion där en spelare måste godkänna
sådana villkor för att få öppna ett spelkonto. Det ackrediterade organet behöver inte ta
ställning till innehållet i villkoren.
7 § Spelsystemet ska ha en funktion för att hantera och registrera alla ekonomiska
transaktioner till och från ett spelkonto i enlighet med 13 kap. 3 § spellagen (2018:1138).
Möjligheten för spelaren att ha kontroll över spelandet är grundläggande ur ett
konsumentskyddsperspektiv.
Licenshavaren ska ge spelaren tillgång till information om spelkontots saldo, spelhistorik, in-
och utbetalningar samt övriga transaktioner. Med spelhistorik avses transaktioner i form av
insatser, vinster och förluster. Övriga transaktioner kan t.ex. avse bonus. Enligt 13 kap. 3 §
spellagen (2018:1138) ska alla ekonomiska transaktioner till och från spelkontot registreras.
Informationen ska finnas tillgänglig för spelaren på spelkontot i minst tolv månader. Det
ackrediterade organet ska kontrollera att det finns en funktion som säkerställer att
informationen finns tillgänglig i tolv månader för spelaren.
För att bland annat motverka bedrägerier bör det inte vara möjligt för en licenshavare att
tillåta överföringar av pengar, spelpolletter eller liknande mellan spelkonton.
8 § Vid insättning av medel på ett spelkonto ska licenshavaren kunna säkerställa att
innehavaren av uppgett bankkort/bankkonto eller annan betaltjänst är densamme som
innehavaren av spelkontot.
Första stycket gäller även om spelaren byter bankkort, bankkonto eller annan betaltjänst.
Allmänt råd:
Säkerställande kan ske via bank-ID eller liknande.
Regleringen innebär att licenshavaren ska kunna kontrollera att kunden är behörig användare
av den betalningslösning kunden uppgivit. Vad gäller bankkonton eller annan betaltjänst bör
således licenshavaren förbehålla sig rätten att av kunden kräva de uppgifter/handlingar som
behövs för så långt det är möjligt kunna säkerställa att kunden har dispositionsrätt till det
uppgivna kontot eller är behörig användare av betaltjänsten. Vad gäller bankkort bör
licenshavaren ha sedvanlig kontroll över att kunden använder sitt eget kort samt att kortet inte
är spärrat. Bestämmelser om vissa skyldigheter för den som driver verksamhet enligt
spellagen (2018:1138), bl.a. om kundkännedom, finns i lagen (2017:630) om åtgärder mot
penningtvätt och finansiering av terrorism.
Enligt 13 kap. 5 § spellagen (2018:1138) får en licenshavare endast ta emot betalningar från
en betaltjänstleverantör enligt lagen (2010:751) om betaltjänster. Detta innebär att
licenshavaren inte får ta emot kontanter.
Det ackrediterade organet ska testa den funktion som licenshavaren har för att uppfylla
bestämmelsen.
9 § En spelare ska kunna se sitt saldo på spelkontot omedelbart efter varje utförd
transaktion.
Det ska finnas en funktion som i enlighet med 13 kap 3 § första stycket spellagen
( 2018:1138 ) visar spelaren vilka spel denne deltagit i, alla insatser som gjorts och alla
vinster som utbetalats.
Enligt 13 kap. 3 § spellagen (2018:1138) ska alla ekonomiska transaktioner till och från
spelkontot registreras. Informationen ska finnas tillgänglig för spelaren på spelkontot i minst
tolv månader. Det ackrediterade organet ska kontrollera att det finns en funktion som
säkerställer att informationen finns tillgänglig i tolv månader för spelaren.
Begränsning av insättningar, förluster och inloggningstid
Var och en ansvarar för sitt spelande, men för vissa personer är förmågan att spela
ansvarsfullt och kontrollerat begränsad. Spelberoendeproblematik ska tas på största allvar. De
negativa effekterna av spelande ska motverkas. Det finns därför behov av olika former av
spelansvarsåtgärder såsom information och andra proaktiva åtgärder från en licenshavare.
Nödvändiga åtgärder bör vidtas för att ge spelare största möjliga insyn i sina egna
spelbeteenden.
Detta kan t.ex. bestå i att skapa en modell för att på olika sätt visualisera spelkontot för
spelaren som framgår av 7 och 9 §§ samt att följa upp att spelarna sätter sina egna gränser för
tid och insatser. Licenshavarna bör vidare vara skyldiga att ge spelaren återkoppling på
spelarens spelbeteende samt tillämpa restriktioner och tillträdesbegränsningar.
Enligt 9 § Lotteriinspektionens föreskrifter och allmänna råd om spelansvar (LIFS 2018:2)
finns bestämmelser om möjligheten att begränsa sin inloggningstid. Spelaren ska kunna välja
att begränsa sin inloggningstid per dag, vecka och månad. Det ackrediterade organet ska
kontrollera att denna möjlighet finns tillgänglig för spelaren.
Enligt 13 § Lotteriinspektionens föreskrifter och allmänna råd om spelansvar (LIFS 2018:2)
finns bestämmelser att licenshavaren ska ge spelaren regelbundna, tydliga och varierande
meddelanden om sinavinster och förluster samt information om hur länge spelaren varit
inloggad. Sådana meddelanden ska visas så ofta som behövs för att motverka överdrivet
spelande. Meddelandena ska bekräftas av spelaren som ska ges möjligheten att bekräfta eller
avbryta sitt spel. Det ackrediterade organet ska kontrollera att funktionerna finns. Innehållet i
meddelandena och om meddelandena är regelbundna och varierande omfattas av
Spelinspektionens tillsynsansvar och är inget som det ackrediterade organet behöver bedöma.
10 § För onlinespel ska det finnas en funktion där spelaren på ett enkelt sätt ska ange hur
stora insättningar som kan göras fördelat på dag, vecka och månad.
En spelare som inte angett gränser för insättningar enligt första stycket får inte spela.
Vid onlinespel ska en spelare ange en övre gräns för sina insättningar enligt 14 kap. 7 §
spellagen (2018:1138). Enligt 11 kap. 3 § spelförordningen ska gränser för insättningar anges
per dag, vecka och månad.
11 § För onlinespel ska det finnas en funktion där spelaren på ett enkelt sätt kan
begränsa sin inloggningstid.
12 § Det ska finnas en funktion som under inloggningstiden ska kunna visa spelaren
varningar om vinster och förluster samt information om hur länge spelaren varit
inloggad.
13 § Endast spelaren själv ska kunna bestämma begränsningarna enligt 10 och 11 §§.
Avstängning från spel
Självavstängning vid spel anses vara en viktig spelansvarsåtgärd. För att säkerställa ett avbrott
från spel som spelaren anser sig behöva bör det vara möjligt att stänga av sig från spel
tillfälligt eller tillsvidare.
Alla licenshavare enligt spellagen ska enligt 14 kap. 11 § första stycket spellagen (2018:1138)
ge spelare möjlighet att stänga av sig från spel under viss tid eller tills vidare. En avstängning
tillsvidare får inte hävas förrän efter tolv månader.
Kasinospel online, onlinebingo och datorsimulerat automatspel är spel där spelaren snabbt
kan förlora stora summor. För dessa spel ska det därför på licenshavarens webbplats enligt 14
kap. 11 § andra stycket spellagen (2018:1138) även finnas en s.k. panikknapp där spelaren har
möjlighet att omedelbart stänga av sig från sådant spel i 24 timmar.
14 § Spelsystemet ska ha en funktion som på ett enkelt sätt tillåter en spelare att stänga
av sig från spel under viss tid eller tills vidare.
15 § Spelsystemet ska ha en funktion som kontrollerar om en spelare har stängt av sig
från spel eller begränsat sin speltid varje gång en spelare registrerar sig eller loggar in i
spelsystemet.
Påbörjat spel
16 § Vid spel ska det finnas en funktion och dokumenterade rutiner som förhindrar att
en insats kan läggas efter att licenshavarens bestämda tillfälle för att dragning eller
händelse för ett framtida resultat har startats.
Allmänt råd:
När det är relevant kan vadslagning ske under en pågående match eller liknande,
till exempel ett vad om vilket lag som gör nästa mål eller matchens spelare.
10 kap. Återbetalningsprocent
Enligt 14 kap. 4 § spellagen (2018:1138) ska en licenshavare hålla information om spelets
vinstmöjligheter lättillgänglig.
I samband med kontroll, provning eller certifiering av spel ska det ackrediterade organet
kontrollera vinstmöjligheterna samt att korrekt återbetalningsprocent visas för spelaren. Enligt
5 kap. 2 § 7 ska det finnas checksumma för vissa klassificerade informationstillgångar. För
spel ska vinstplanens återbetalningsprocent vara checksummerad. Antingen görs
checksummering för återbetalningsprocent och funktion tillsammans eller var och en för sig.
Av förteckningen ska metoden redovisas.
En checksumma definieras i 1 kap. 2 § 1 som siffror som bifogas tal eller meddelande för att
ändringar och fel ska kunna upptäckas. Checksummor räknas fram genom en bestämd
matematisk procedur.
1 § Vid spel med progressiv vinst ska återbetalningsprocentens miniminivå visas för
spelaren.
Även vid progressivt spel där utbetalningarna ökar linjärt i förhållande till den insats som
gjorts av spelaren ska spelaren få information om förutsättningarna för vinst.
2 § Spelsystemet ska ha en funktion för övervakning av återbetalningsprocenten på varje
enskilt spel.
Data som genereras enligt första stycket ska lagras och finnas tillgängligt för granskning.
Återbetalningsprocenten får vara sannolikhetsbaserad. I vissa fall kan licenshavaren redovisa
minsta garanterade återbetalningsprocent på en viss spelcykel. En spelcykel bör vara rimligt
lång.
Licenshavaren bör i rapportform kunna redovisa återbetalningsprocenten för enskilda spel.
11 kap. Spelinstruktioner, vinstplan och vinstpott
Spelinstruktioner
1 § Spelinstruktioner ska vara kompletta, tydliga och inte vilseledande.
Allmänt råd:
Spelinstruktioner får översättas till andra språk och ska då ha samma innehåll
som de ursprungliga.
2 § Spelinstruktioner och spelregler ska finnas tillgängliga utan att en insats måste göras.
3 § Spelinstruktioner ska finnas tillgängliga på samma typ av medium som det aktuella spelet.
Spelinstruktioner ska finnas lättillgängliga.
Allmänt råd:
Om ett spel tillfälligt ändrar karaktär, under pågående spel bör
spelinstruktionerna per automatik anpassas till ändringen.
Vinstplan
4 § Det ska finnas dokumenterade rutiner för att kvalitetssäkra att konfigurering av
vinstplaner är korrekt.
Det ska finnas dokumenterade rutiner för att säkerställa att beräkningarna av
vinstplanerna är korrekta.
Allmänt råd:
Rutiner kan vara både automatiska och manuella.
I samband med kontroll, provning eller certifiering av spel ska det ackrediterade organet
kontrollera att licenshavarens beräkningar av vinstplanerna är korrekta.
Vinstpott
Bestämmelserna i 5–7 §§ omfattas av Spelinspektionens tillsynsansvar och är inget som det
ackrediterade organet ska bedöma.
5 § Det ska finnas spelregler för hur en spelare kan vinna en vinstpott.
Det ska tydligt framgå hur en vinstpott är finansierad och fördelad.
6 § Det ska tydligt framgå av spelreglerna hur en vinstpott ska fördelas, om den vinns av fler
än en spelare.
7 § Det ska tydligt framgå av spelreglerna hur en licenshavare kan avbryta eller avsluta en
vinstpott.
12 kap. Onormalt spelande och spelfusk
Enligt 14 kap. 16 § spellagen (2018:1138)
ska en licenshavare ha rutiner för att upptäcka och
motverka gärningar som omfattas av regleringen om spelfusk i 19 kap. 4 § spellagen samt
överträdelser av användarvillkor och spelregler.
Rutiner för att upptäcka och motverka överträdelser av användarvillkor och spelregler ska inte
ingå i det ackrediterade organets bedömning utan omfattas av Spelinspektionens
tillsynsansvar. Även bedömning om licenshavaren har relevant kompetens för att göra de
bedömningar som krävs omfattas av Spelinspektionens tillsynsansvar.
1 § Spelsystemet ska ha en funktion och det ska finnas dokumenterade rutiner för att
upptäcka förekomsten av spelfusk och otillåtet samarbete mellan spelare, försök till spelfusk
och otillåtet samarbete mellan spelarna samt andra överträdelser av användarvillkor och
spelregler.
Av bestämmelsen följer att en licenshavare ska skapa förutsättningar för att upptäcka och
motverka brottsliga gärningar förknippande med spel. Detta innebär bland annat att
licenshavaren måste ha systemstöd för att göra de bedömningar som krävs för att möjliggöra
upptäckt av brottsliga gärningar som spelfusk, otillåtet samarbete, försök till spelfusk och
otillåtet samarbete mellan spelarna.
2 § Spelsystemet ska ha en funktion så att en spelare enkelt och omedelbart kan rapportera
misstänkt spelfusk, spelfusk, otillåtet samarbete mellan spelare, försök till spelfusk och
otillåtet samarbete mellan spelarna samt andra överträdelser av användarvillkor och
spelregler.
Det åligger licenshavaren att ge spelaren möjlighet att omedelbart kunna uppmärksamma
licenshavaren på spelfusk och andra oegentligheter kopplade till spelet.
3 § Det ska finnas en funktion för att analysera och skapa underlag för rapportering om
otillbörlig påverkan av ettresultat som utgör objekt för vadhållning.
4 § Det ska finnas dokumenterade rutiner för att upptäcka och motverka avvikelser och
onormalt spelande genom manipulation av spel och programvara.
13 kap. Funktionalitetskrav för slumptalsgeneratorer
Enligt 2 kap. 2 § ska licenshavaren skicka underlag för utförd kontroll, provning och
certifiering till Spelinspektionen. I rapporten ska det tydligt framgå vilka utvärderingsmetoder
som använts i kontroll-, provnings- och certifieringsprocesserna.
1 § Resultat från en slumptalsgenerator ska vara slumpmässigt, statistiskt oberoende, ha
korrekt standardavvikelse och ska vara korrekt sannolikhetsfördelat.
Resultatet från slumptalsgeneratorn ska inte vara förutsägbart utan kännedom om använd
algoritm, implementering och initialvärden.
Allmänt råd:
Det finns flera statistiska tester som kan användas för att säkerställa resultatet av
en slumptalsgenerator. DIEHARD-testpaketet (Marsaglia) och NIST-testpaketet
(National Institute of Standards and Technology – Statistical Test Suit) är två
tester som kan användas.
2 § Det ska finnas en dokumenterad referens till etablerad och vedertagen algoritm och
eventuell programkod samt omräkningsförfarande för slumptalsgenerator.
Om slumptalsgeneratorn är inbyggd i programvaran, ska hela denna programkod,
tillsammans med kommentarer och dokumentation, kunna redovisas.
Allmänt råd:
Den algoritm som slumptalsgeneratorn baseras på bör vara publicerad i någon
internationellt erkänd publikation.
De utfallstest som kan bli aktuella för genererade slumptal är till exempel X2-
test (chi-två-test), autokorrelationstest, runs-test.
Licenshavaren kan möjliggöra kontroll av att den fastställda vinstplanen genom
att låta den ackrediterade testverksamheten eller Spelinspektionen granska
program, tryckplåtar, loggar, kontrollistor eller annan dokumentation för
vinstplanen.
3 § Slumptalsgeneratorn ska kunna klara fastställd maximal belastning.
Tester av slumptalsalgoritmens anrop bör ha genomförts för att säkerställa att den klarat av
maximal belastning. Det får inte finnas någon risk att slumptalsgeneratorn startar om eller
upphör att fungera på grund av att den anropas för ofta. Det ska tydligt framgå vilka
utvärderingsmetoder som använts.
4 § Funktioner som inte genererar utfall i spel men som beror på slumpmässiga element ska
baseras på slumptalsgeneratorns resultat.
Allmänt råd:
Sådana funktioner kan vara till exempel en slumpad spelrad eller placering vid
ett pokerbord i en pokerturnering.
5 § Beräkningar från en slumptalsgenerator ska ha korrekt standardavvikelse och ska vara
korrekt sannolikhetsfördelade.
Slumptalsgeneratorns utfall av nummer, symboler eller händelser ska korrespondera med
de för aktuellt spel fastställda spelreglerna.
Allmänt råd:
Om slumptalen görs om till exempelvis kort bör det finnas fyra ess, fyra kungar
etc. i en normal kortlek om nu spelet använder en normal kortlek.
6 § Slumptalsgeneratorns beräkningar ska överensstämma med registrerade händelser i
spelsystemet.
7 § Om det enligt spelreglerna krävs att en sekvens av utfall från en slumptalsgenerator
bestäms i förväg, är det endast tillåtet att skapa nya sekvenser om det framgår av spelreglerna.
8 § Om inget annat framgår av spelreglerna ska utfall av en slumptalsgenerator alltid vara
oberoende av händelser i det aktuella spelet eller av tidigare spel.
Licenshavaren måste redovisa för vilka spelregler som kan påverka händelseförloppet i 8 § för
att det ackrediterade organet ska kunna göra en bedömning av tekniken.
Dragningsutrustning utan slumptalsgenerator
9 § Resultat från dragningsutrustning utan slumptalsgenerator ska vara slumpmässigt,
statistiskt oberoende, ha korrekt standardavvikelse och vara korrekt
sannolikhetsfördelat.
Allmänt råd:
De utfallstest som kan bli aktuella för genererade slumptal är till exempel X2-
test (chi-två-test), autokorrelationstest, runs-test.
10 § Fristående dragningsutrustning utan slumptalsgeneratorer ska förvaras inlåst och med
begränsad åtkomst.
Dragningsutrustning live kasinospel
11 § Dragningsutrustning i ett live kasinospel ska övervakas och spelas in.
Av det inspelade materialet ska det framgå att spelreglerna följs.
Inspelningen ska registrera datum och tid.
Enligt 16 kap. 5 § spellagen (2018:1138) ska uppgifter om driften av spelsystemet i minst fem
år.
12 § Det ska finnas en fysisk behörighetskontroll till den lokal, som används för live
kasinospel, med tillhörande utrymmen.
Det ska minst finnas skild behörighetskontroll för personer med olika
arbetstagarfunktioner.
Allmänt råd:
Kortgivare, golvchef, föreståndare och övervakningspersonal är exempel på
olika typer av arbetstagare som bör kategoriseras i olika behörighetsgrupper.
14 kap. Funktionalitetskrav när ombudsterminal används för insatser och kontroll
Kontroll av mjukvara och tekniska specifikationer avseende information ska kontrolleras för
att bedöma om funktionerna överensstämmer med föreskriften.
Stickprov på plats utförs av Spelinspektionen.
14 kap. 4 § träder i kraft den 1 januari 2020. Finns funktionerna redan vid tillfället för
bedömningen ska dessa redovisas i en kontrollrapport.
Ombudsterminal
1 § En ombudsterminal ska på ett entydigt sätt kunna identifieras av spelsystemet.
Allmänt råd:
En ombudsterminal är en del av spelsystemet och identifiering kan ske genom
validering av checksumma av terminalens individuella delar eller liknande
förfarande som säkerställer hela systemets integritet.
2 § Kommunikation mellan en ombudsterminal och övriga delar av spelsystemet ska vid
överföring skyddas av kryptering eller motsvarande.
3 § Spel- eller betaltransaktioner som skickas från en ombudsterminal till andra delar av
spelsystemet ska efter transaktionsslut valideras av terminalen innan utskrift.
Ombudsterminal för vinstvalidering
4 § Om en ombudsterminal används för vinstvalidering ska den vara försedd med en
bildskärm som är avsedd för att förmedla information till spelaren.
Följande information ska visas på den skärm som är vänd mot spelaren
1. spelform,
2. insats,
3. makulering,
4. vinstbelopp alternativt ”ingen vinst”, och
5. spelet stängt.
15 kap. Funktionalitetskrav för onlinespel
Enligt 3 kap. 1 § 1 och 3 spellagen (2018:1138) ska det dels finnas ett starkt konsumentskydd,
dels ska de negativa effekterna av spelande begränsas.
Licenshavaren ska bland annat informera om vilken typ av spel som erbjuds, kostnaderna för
att delta i spel. Vidare sa licenshavaren vidta åtgärder som för att motverka sociala och
ekonomiska skadeverkningar och problemspelande. De negativa konsekvenserna av spelandet
ska begränsas.
En spelare ska kunna se och ta till sig information som möjliggör ett aktivt och initierat val.
Av 14 kap. 1 § spellagen (2018:1138) framgår att spelaren ska skyddas mot överdrivet
spelande. Av 17 § Lotteriinspektionens föreskrifter och allmänna råd om spelansvar (LIFS
2018:2) framgår att det ska finnas logotyper som länkar till självtest, begränsningar
(spelbudget) och bestämmande av inloggningstid samt avstängning från spel. Logotyperna ska
vara placerade i ett låst fält överst på licenshavarens samtliga webbplatser, mobilanpassade
webbplatser, applikationer och liknande. Logotyperna kommer att tillhandahållas av
Spelinspektionen. Det ackrediterade organet ska bedöma om denna bestämmelse uppfylls.
Spelutförande
1 § Spel med interaktiva val ska ha illustrationer som tydligt visar aktuella och möjliga
insatser.
Spel enligt första stycket ska tydligt visa möjlighet till ändring eller återställande av
aktuell insats.
Enligt 14 kap. 5 § spellagen (2018:1138) och 19–20 §§ Lotteriinspektionens föreskrifter och
allmänna råd om spelansvar (LIFS 2018:2) får ett spel inte utformas eller programmeras så att
spelaren får intryck av att vara nära att vinna, när så inte är fallet. Inte heller får ett spel ge
intryck av att spelaren genom egen inställning eller egna val kan påverkas sin vinstchans om
vinstchansen uteslutande beror på slumpen.
2 § Varje spelomgång ska vara minst tre sekunder.
Första stycket gäller också för en autoplay-funktion.
3 § En spelares deltagande i ett spel och de val som spelaren gör i spelsystemet baseras
på frivillighet.
En spelare ska ha skälig tid att överväga konsekvenserna av ett val.
Upprepade val som görs av en spelare i spelsystemet ska inte kunna hamna i kö för att bli
utförda.
Allmänt råd:
Val som kan göras är till exempel köp, betala, ”spin”, ”play”, ”hold”, ”draw”,
”double”.
Av 20 § Lotteriinspektionens föreskrifter och allmänna råd om spelansvar (LIFS 2018:2)
framgår att valmöjligheter som påverkar spelets utfall meddelande ska visas för spelaren i
minst tre sekunder innan ett automatiskt val görs.
Visuell presentation
4 § Spelets namn ska visas på samtliga sidor som hör till det aktuella spelet.
5 § Spelsystemet ska ha en funktion som kontinuerligt visar spelaren hur länge denne
varit inloggad.
Av 13 § Lotteriinspektionens föreskrifter och allmänna råd om spelansvar (LIFS 2018:2)
framgår att spelaren ska få regelbundna meddelanden om hur länge spelaren har varit
inloggad. Av 14 kap. 1 § spellagen (2018:1138) framgår att spelaren ska skyddas mot
överdrivet spelande. Som spelare bör man få en uppfattning om tid för det egna spelandet.
Genom att för spelaren kontinuerligt visualisera den inloggade tiden kan spelaren enklare
skapa sig en uppfattning om hur länge denne faktiskt varit inloggad. Kravet om att
kontinuerligt visa spelarens inloggade tid är inget hinder eller alternativ för regelbundna,
tydliga och varierade meddelanden enligt 13 § Lotteriinspektionens föreskrifter och allmänna
råd om spelansvar.
6 § Spelsystemet ska ha en funktion som kontinuerligt visar spelarens saldo för spelaren
under hela inloggningstiden.
Av 14 kap. 1 § spellagen (2018:1138) framgår att spelaren ska skyddas mot överdrivet
spelande. Som spelare bör man få en uppfattning om det egna spelandet. Genom att för
spelaren kontinuerligt visualiseras det egna saldot kan spelaren enklare skapa sig en
uppfattning om hur mycket denne faktiskt spelat för.
7 § Ett spels insats ska visas tydligt.
Spelarens möjliga insats och faktiska insats samt vad som är minimiinsats och vad som
är maxinsats ska visas tydligt.
Spelsystemet ska ha en funktion som gör spelarens insats inklusive den totala insatsen i
spelet väl synliga.
Allmänt råd:
Exempel på när spelarens insats kan vara inkluderad i en total insats är när en
spelare kan spela på flera händelser i kombination.
Enligt 18 § Lotteriinspektionens föreskrifter och allmänna råd om spelansvar (LIFS 2018:2)
ska insatser anges i svenska kronor. Används annan valuta eller krediter eller liknande måste
dessa alltid också anges i svenska kronor. Av 14 kap. 1 § spellagen (2018:1138) framgår att
spelaren ska skyddas mot överdrivet spelande. Som spelare bör man få en uppfattning om det
egna spelandet. Genom att för spelaren kontinuerligt visualisera den faktiska kostnaden i
svenska kronor kan spelaren enklare skapa sig en uppfattning om hur mycket denne faktiskt
spelar för.
8 § En spelare ska informeras om förekomsten av faktorer utanför dennes kontroll som
kan påverka det aktuella spelet och utfallet.
Allmänt råd:
Faktorer som kan påverka en spelare är till exempel användning av
automatisering eller tilläggsapplikationer till automatisering.
9 § Ett spelresultat ska vara synligt under skälig tid.
Vad som anses vara skälig tid måste bedömas utifrån vilket spel som avses, insatsens storlek,
vinstens eller förlustens storlek och övriga faktorer som kan påverka spelresultatets
omfattning. Det viktiga är att spelaren får möjlighet att ta till sig spelresultatet.
10 § Ett datorsimulerat automatspel ska tydligt visa eller illustrera vilka symboler som
innebär vinst.
Om olika kombinationer av symboler innebär vinst ska dessa tydligt visas eller
illustreras.
11 § Om ett spel tillfälligt ändrar karaktär ska spelet tydligt visa aktuell status inför nästa
spel.
12 § En symbol som används i ett spelsystem ska ha samma form och färg i hela det
aktuella spelet.
13 § Antalet aktiva kortlekar samt vilka kort som ingår i aktuellt spel ska tydligt anges.
Kortets framsida ska tydligt visa färg och valör.
Av spelreglerna ska det tydligt framgå vid vilka tillfällen korten blandas.
Allmänt råd:
I olika spel kan andra kort än spelkorten ingå.
14 § Om inte en traditionell tärning används i ett tärningsspel ska detta klargöras för
spelaren.
Det ska tydligt anges vilken tärningssida som vinner ett spel.
15 § Ett spelsystem ska ha en funktion som förhindrar att en spelare spelar mot sig själv.
Ett spelsystem ska ha en funktion för att upptäcka och förhindra att en eller flera
spelare använder samma spelutrustning samtidigt.
16 § Det aktuella vinstpottbeloppet ska vara synligt för deltagande spelare.
17 § En spelare ska informeras om en vunnen vinstpott utan dröjsmål.
Efter det att en vinstpott vunnits ska samtliga spelare informeras om dess nya värde.
Information enligt andra stycket ska också finnas tillgängligt för spelare som inte deltagit i
den aktuella vinstpotten.
Vad som anses vara utan dröjsmål måste bedömas utifrån vilket spel som avses, vinstpottens
storlek, insatsens storlek, och övriga faktorer som kan påverka vinstpottens omfattning. Det
viktiga är att spelaren får möjlighet att ta till sig informationen.
18 § Det ska tydligt framgå om en vinstpott inte är tillgänglig för en spelare.
Det ska säkerställas att all information till spelarna är korrekt oavsett om en vinstpott är
tillgänglig eller inte.
1 kap. och 4 kap. Lotteriinspektionens föreskrifter och allmänna råd om
statligt lotteri och lotteri för allmännyttiga ändamål (LIFS 2018:4).
För ett lotteri som omfattas av Lotteriinspektionens föreskrifter och allmänna råd om tekniska
krav samt ackreditering av organ för den som ska kontrollera, prova och certifiera
spelverksamhet gäller även krav på lotters tekniska egenskaper i kapitel 4
Lotteriinspektionens föreskrifter och allmänna råd om statligt lotteri och lotteri för
allmännyttiga ändamål (LIFS 2018:4). Nedan finns dels 1 kap. och 4 kap.
Lotteriinspektionens föreskrifter och allmänna råd om statligt lotteri och lotteri för
allmännyttiga ändamål. Av 1 kap. 2 § framgår vad som avses med utryck och benämningar.
Av 4 kap. framgår vilka krav som gäller på fysiska lotters egenskaper.
För att tydliggöra för det ackrediterade organet vilka krav som ska kontrolleras, provas eller
certifieras har kraven fetmarkerats i 4 kap.
1 kap. Tillämpningsområde och uttryck
1 § Dessa föreskrifter och allmänna råd gäller den som har licens att tillhandahålla statligt
lotteri enligt 5 kap. 1 § spellagen (2018:1138) och den som har licens att tillhandahålla lotteri
enligt 6 kap. 3 § spellagen.
2 § Om inte annat anges har de uttryck och benämningar som används i föreskrifterna samma
betydelse som i spellagen (2018:1138) och spelförordningen (2018:1475).
I dessa föreskrifter och allmänna råd avses med
1. dold UV-säkring: en för ögat dold bild eller ett mönster som är tryckt med UV
fluorescerande färg. Bilden/mönstret ska endast framträda då den belyses med UV-ljus med
våglängden 365 nm och ska fluorescera i en färg som avviker från bakgrundsfärgen där den är
tryckt,
2. efterhandsdragen lott: en lott som inte är försluten där dragningen sker efter inköpet,
3. elektronisk lott: en fysisk lottbärare som kan innehålla en eller flera lotter och
innehåller elektroniska komponenter,
4. fördelningsvinstdragning: en dragning där lotten ingår i en dragning som bestämmer
hur hög vinsten blir,
5. förhandsdragen lott: en försluten lott där lottköparen direkt kan avläsa om lotten är en
vinst- eller nitlott,
6. kemiskt raderskydd: papper med kemikalier som reagerar genom att pappret
missfärgas om det utsätts för lösningsmedel eller oxidationsmedel (alkohol, syror, kolväten,
klorin, tensider etc),
7. kopieringsskydd: dokumentsäkringar som förändras eller blir felaktiga vid kopiering,
8. lyftning: borttagande av skikt, exempelvis skrapmassa, som döljer spelinformationen,
9. mikrotext: en liten text med maximal höjd 0,30 mm och minimilängd 35 mm som utan
hjälpmedel ger intrycket av att vara en linje och som är helt och tydligt läsbar i förstoring,
10. relief: bokstäver, siffror eller symboler som påförts med tjock färgbeläggning som
medför att pappersytan får en uppstående yta, eller bokstäver, siffror eller symboler som
tryckts ned i pappersytan får en nedåtgående yta,
11. reproduktion: avbildning med hjälp av teknisk utrustning med efterföljande utskrift
eller tryck,
12. spelinformation: information på lotten som avgör om det är vinst eller inte,
13. vattenmärke: bilder eller ett mönster som framställs vid papperstillverkningen
och framträder i genomlysning. Bilden/mönstret uppstår genom att pappret görs i olika
tjocklek, tjockare partier upplevs som mörkare och tunnare partier som ljusare,
14. värdetrycksmönster: tunna linjer i minst två färger och med en maximal
linjebredd på 0,10 mm och som möts i spetsiga vinklar. Kan också vara av linjerelieftyp, dvs.
där tunna hela linjer skapar ett motiv som ger intryck av att vara i relief (tredimensionell),
15. övertryck: tryckt bild eller mönster som placerats på ovansidan av ett skrapskikt
eller motsvarande som är utformat så att det ger en tydlig indikation på om skrapskiktet har
lyfts.
4 kap. Fysiska lotters egenskaper
1 § En enskild lott, som ingår i fördelningsvinstdragning, ska vara unik.
En enskild lott ska vara hänförlig till sats eller omgång i enlighet med beviljad licens.
2 § Tryckta eller elektroniska lotter får inte ha sådana fysiska defekter eller märkningar som
kan leda till att vinstlotterna skulle kunna sorteras ut.
Spelinformationen ska inte kunna avläsas i en försluten lott.
Förslutna lotter ska ha skydd mot manipulation eller reproduktion.
3 § Om det föreligger brister i lotternas egenskaper som gör att de inte längre uppfyller
kraven i dessa föreskrifter ska produktionen stoppas och producerade lotter makuleras.
4 § För förhandsdragna, förslutna lotter vars högsta vinstvärde är över ett (1) prisbasbelopp
gäller följande
1. öppnad lott ska inte kunna återförslutas,
2. spelinformation ska inte kunna avläsas med genomlysning,
3. spelinformation får inte ge en relief på förslutningens utsida,
4. lotten ska ha kopieringsskydd,
5. lotten ska vara försedd med dold UV-säkring,
6. på skrapfält ska det finnas övertryck som döljer spelinformation och kontrollfält,
7. förslutna kontrollfält ska skyddas mot lyftning och avläsning,
8. spelinformationen ska inte kunna avläsas med hjälp av statisk elektricitet,
9. spelinformationen ska inte ha fasta positioner,
10. spelinformationen ska skyddas mot förändring, och
11. lotten ska vara försedd med mikrotext.
Allmänt råd:
Som kopieringsskydd räknas till exempel svårkopierade färger, rasterfällor,
tryck eller lack som ger olika reflektion såsom blank lack på matt papper eller
specialpapper.
Mikrotext kan placeras i ett skrapfält.
5 § För efterhandsdragna lotter vars högsta vinstvärde är över ett (1) prisbasbelopp gäller
följande
1. lotten ska ha kopieringsskydd,
2. lotten ska vara försedd med dold UV-säkring,
3. lotten ska vara försedd med värdetrycksmönster,
4. spelinformationen ska skyddas mot förändring,
5. lotten ska vara försedd med mikrotext,
6. lotten ska vara tillverkad av vattenmärkt papper, eller papper med
motsvarandesäkerhet, och
7. pappret ska ha skydd mot kemisk radering.
Allmänt råd:
Som kopieringsskydd räknas till exempel svårkopierade färger, rasterfällor,
tryck eller lack som ger olika reflektion såsom blank lack på matt papper eller
specialpapper. Mikrotext kan placeras i ett skrapfält.
Papper med motsvarande säkerhet kan vara att lotten har en kombination av
olika säkerhetsdetaljer som ger motsvarande skydd som ett vattenmärkt papper.
6 § För elektroniska lotter vars högsta vinstvärde är över 1/6 prisbasbelopp gäller följande
1. aktiveras och återställs lotterna ska detta lämna tydliga spår,
2. lotten ska vara försedd med dold UV-säkring,
3. lotten ska ha kopieringsskydd,
4. lotten ska vara försedd med kontrollfält med övertryck,
5. elektronik och display ska vara skyddad mot manipulation, och
6. lotten ska vara försedd med mikrotext.
Allmänt råd:
Som kopieringsskydd räknas till exempel svårkopierade färger, rasterfällor,
tryck eller lack som ger olika reflektion såsom blank lack på matt papper eller
specialpapper. Mikrotext kan placeras i ett skrapfält.
Bilaga 1.
Bakgrundsinformation för den som vill ansöka om ackreditering enligt 2–3 kap.
Lotteriinspektionens föreskrifter och allmänna råd (LIFS
2018:8) om tekniska krav samt ackreditering av organ för den som ska kontrollera, prova och certifiera spelverksamhet.
ISO/IEC 17021-1 Krav på organ som reviderar och certifierar ledningssystem
ISO/IEC 27006 Krav på organ som reviderar och certifierar ledningssystem för informationssäkerhet
ISO/IEC 17020 Krav på verksamhet inom olika typer av kontrollorgan
ISO/IEC 17025 Allmänna kompetenskrav för provnings- och kalibreringslaboratorier
ISO/IEC 17065 Krav på organ som certifierar produkter, processer och tjänster
Enligt 16 kap. 3 § spellagen (2018:1138) och 2 kap. 1–3 §§ Lotteriinspektionens föreskrifter och allmänna råd om tekniska krav samt
ackreditering av organ för den som ska kontrollera, prova och certifiera spelverksamhet ska en stor del av en licenshavarens spelverksamhet
bedömas av ett ackrediterat organ. Nedan följer en redovisning av respektive kapitel i ovan föreskrift tillsammans med information om vilket
ackrediterat organ som utför bedömningen.
Ett spelföretag som söker licens kan välja kombinationer av certifikat/rapporter från både alternativ A och/eller alternativ B för att visa att kraven
är uppfyllda. Oavsett alternativ A eller B ska den som ansöker om licens skicka in de certifikat och rapporter som genereras som underlag till
Spelinspektionen som en del av ansökan om licens.
Lotteriinspektionens
föreskrifter och allmänna råd
om tekniska krav samt
ackreditering av organ för
den som ska kontrollera,
prova och certifiera
spelverksamhet
Alternativ A
Ackrediterad för
Kommentar för A
(Output)
Alternativ B
Ackrediterad för
Kommentar för B (Output)
4 kap. Informations-säkerhet
ISO/IEC 17021-1
och ISO/IEC
27006
ISO 27001 certifikat
ISO/IEC 17065
Utförs som ledningssystembedömning
(ISO/IEC 17021-1). Certifikat
utfärdas*
5 kap. Risk och
sårbarhetsarbete
ISO/IEC 17021-1
och ISO/IEC
27006
ISO 27001 certifikat
ISO/IEC 17065
Utförs som ledningssystembedömning
(ISO/IEC 17021-1). Certifikat
utfärdas*
6 kap. Systemändringar
ISO/IEC 17021-1
och ISO/IEC
27006
ISO 27001 certifikat
ISO/IEC 17065
Utförs som ledningssystembedömning
(ISO/IEC 17021-1). Certifikat
utfärdas*
7 kap. Funktioner för
administration av spel
ISO/IEC 17025
Provningsrapport som
visar att funktionerna
finns.
ISO/IEC 17065
Utförs som provningsaktivitet
(ISO/IEC 17025). Resultatet redovisas
som en bilaga till certifikatet.*
ISO/IEC 17020
Kontrollrapport som
visar att funktionerna
fungerar.
8 kap. Information som ett
spelsystem skall kunna
generera
ISO/IEC 17025
Provningsrapport som
visar att funktionerna
finns.
ISO/IEC 17065
Utförs som provningsaktivitet
(ISO/IEC 17025). Resultatet redovisas
som en bilaga till certifikatet.*
ISO/IEC 17020
Kontrollrapport som
visar att funktionerna
fungerar.
9 kap. Funktionskrav
gentemot spelare
ISO/IEC 17025
Provningsrapport som
visar att funktionerna
finns.
ISO/IEC 17065
Utförs som provningsaktivitet
(ISO/IEC 17025). Alt utförs detta som
kontrollaktivitet under ISO/IEC
17065. Resultatet ingår som del i
certifikatet. *
ISO/IEC 17020
Kontrollrapport som
visar att funktionerna
fungerar.
10 kap.
Återbetalningsprocess
ISO/IEC 17025
Provningsrapport som
visar att funktionerna
finns.
ISO/IEC 17065
Utförs som provningsaktivitet
(ISO/IEC 17025). Resultatet redovisas
som en bilaga till certifikatet.*
ISO/IEC 17020
Kontrollrapport som
visar att funktionerna
fungerar.
11 kap. 4 § Spelinstruktioner,
vinstplan och vinstpott
ISO/IEC 17025
Kontrollrapport som
visar att funktionerna
fungerar.
ISO/IEC 17065
Utförs som provningsaktivitet
(ISO/IEC 17025). Resultatet redovisas
som en bilaga till certifikatet.*
ISO/IEC 17020
Kontrollrapport som
visar att funktionerna
fungerar.
12 – Onormalt spelande och
fusk
-
Ingår inte
-
Ingår inte
13 – Funktionskrav för
slumptalsgeneratorer
(Alla delar)
ISO/IEC 17025
Provningsrapport som
redovisar att
slumpvisgenerator
fungerar korrekt
ISO/IEC 17065
Utförs som provningsaktivitet
(ISO/IEC 17025). Resultatet redovisas
som en bilaga till certifikatet.*
14 – Ombudsterminaler
ISO/IEC 17020
Kontrollrapport som
redovisar hur
licenshavaren
uppfyller kraven.
ISO/IEC 17065
Utförs som kontrollaktivitet under
ISO/IEC 17065. Resultatet ingår i
certifikatet.*
15 – Funktion vid onlinespel
(Intro)
ISO/IEC 17020
Kontrollrapport som
redovisar hur
licenshavaren
uppfyller kraven.
ISO/IEC 17065
Utförs som kontrollaktivitet under
ISO/IEC 17065. Resultatet ingår i
certifikatet.*
Lotteriinspektionens
föreskrifter och allmänna råd
om statligt lotteri och lotteri
för allmännyttiga ändamål.
Alternativ A
Ackrediterad för
Kommentar för A
(Output)
Alternativ B
Ackrediterad för
Kommentar för B (Output)
4 kap. Fysiska lotters
egenskaper
ISO/IEC 17025
Provningsrapport som
redovisar att de
fysiska lotterna
uppfyller kraven i 4
kap.
ISO/IEC 17065
Utförs som provningsaktivitet
(ISO/IEC 17025). Resultatet redovisas
som en bilaga till certifikatet.*
*Certifikatet kommer av produktcertifieringsorgan och inkludera samtliga krav enligt Lotteriinspektionens föreskrifter som finns redovisade i
vägledningen. Beslutet grundas delvis på de egna bedömningarna som certifieringsorganet gör men också på att giltiga provningsrapporter som
styrker att spelsystemen uppfyller kraven i föreskrifterna för de delar som det ackrediterade certifieringsorganet inte själv utfört.
De ackrediterade organen bör ha följande omfattning (scope) för sin ackreditering.
Organ
Ackrediterad enligt gällande
utgåva av standard
Omfattning / Scope
Certifieringsorgan för certifiering
ledningssystem
ISO/IEC 17021-1 och ISO/IEC
27006
ISO 27001 för IAF Kod 33 och 39**
Certifieringsorgan för certifiering
av produkt
ISO/IEC 17065
Lotteriinspektionens föreskrifter och allmänna råd (LIFS 2018:8)
om tekniska krav samt ackreditering av organ för den som ska
kontrollera, prova och certifiera spelverksamhet,
Lotteriinspektionens föreskrifter och allmänna råd (LIFS 2018:4)
om statligt lotteri och lotteri för allmännyttiga ändamål, och
Lotteriinspektionens föreskrifter och allmänna råd (LIFS 2018:2)
om spelansvar.
Provningslaboratorium*
ISO/IEC 17025
Lotteriinspektionens föreskrifter och allmänna råd (LIFS 2018:8)
om tekniska krav samt ackreditering av organ för den som ska
kontrollera, prova och certifiera spelverksamhet,
Lotteriinspektionens föreskrifter och allmänna råd (LIFS 2018:4)
om statligt lotteri och lotteri för allmännyttiga ändamål, och
Lotteriinspektionens föreskrifter och allmänna råd (LIFS 2018:2)
om spelansvar.
Kontrollorgan*
ISO/IEC 17020
Lotteriinspektionens föreskrifter och allmänna råd (LIFS 2018:8)
om tekniska krav samt ackreditering av organ för den som ska
kontrollera, prova och certifiera spelverksamhet,
Lotteriinspektionens föreskrifter och allmänna råd (LIFS 2018:4)
om statligt lotteri och lotteri för allmännyttiga ändamål, och
Lotteriinspektionens föreskrifter och allmänna råd (LIFS 2018:2)
om spelansvar.
*Kravet på oberoende för kontrollorgan är enligt Typ A samt kravet på oberoende för provningslaboratorierna är motsvarande krav som ställs på
kontrollorgan.
**IAF kod 33: IT och Datatjänster, IAF kod 39: Annan samhällsservice (vilket inkluderar lotterier).