Kaartspot zet zich actief in om fraude, witwassen, terrorismefinanciering en andere vormen van misbruik op het platform te voorkomen, te detecteren en aan te pakken. Dit beleid beschrijft de maatregelen die wij hiervoor treffen, in samenwerking met onze betaaldienstverlener Online Payment Platform B.V. (OPP), en in overeenstemming met de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), de Algemene Verordening Gegevensbescherming (AVG) en relevante internationale sanctieregelgeving.
1. Doel en reikwijdte
1.1 Dit beleid heeft als doel:
- Het beschermen van kopers en verkopers tegen frauduleus handelen op het platform;
- Het voorkomen dat het platform wordt gebruikt voor witwassen, terrorismefinanciering of het ontduiken van internationale sancties;
- Het voldoen aan onze wettelijke en contractuele verplichtingen jegens OPP, financiële toezichthouders en handhavingsinstanties;
- Het creëren van een veilige en betrouwbare handelsomgeving voor alle gebruikers.
1.2 Dit beleid is van toepassing op alle gebruikers, transacties en activiteiten op het Kaartspot-platform.
2. Categorieën van fraude die wij voorkomen
Wij richten ons op de volgende categorieën van risico's:
2.1 Transactiefraude
- Niet-levering: verkopers die betaling ontvangen maar geen product verzenden.
- Niet-conforme levering: opzettelijk verkopen van producten in mindere conditie of namaak (counterfeit) Pokémon-kaarten.
- Empty envelope / bait & switch: verzending van een leeg of vervangend pakket om kopersbescherming te omzeilen.
- Chargeback-fraude: kopers die ontvangst van een legitiem product betwisten om een terugbetaling te verkrijgen.
- Friendly fraud: kopers of verkopers die misbruik maken van het geschilsysteem.
2.2 Account-fraude
- Identiteitsdiefstal: het aanmaken van een account onder een valse of gestolen identiteit.
- Account-takeover: ongeautoriseerd gebruik van een bestaand account via phishing of gelekte wachtwoorden.
- Meervoudige accounts: het aanmaken van extra accounts om sancties te omzeilen, reputatie te manipuleren of winacties meerdere malen te claimen.
- Bot- en script-misbruik: geautomatiseerd verkeer dat het platform of het reputatiesysteem misbruikt.
2.3 Financiële criminaliteit
- Witwassen: het via Kaartspot rondpompen van geld om de illegale herkomst te verhullen.
- Terrorismefinanciering: transacties die direct of indirect bijdragen aan terroristische activiteiten.
- Sanctie-ontduiking: handel met personen of entiteiten op nationale of internationale sanctielijsten.
- Off-platform betalingen: het ontduiken van het Kaartspot/OPP-betaalsysteem om bovengenoemde controles te omzeilen.
2.4 Platform-misbruik
- Manipulatie van reputatiescores en reviews.
- Phishing of social-engineering via het berichtensysteem.
- Spam, lokken naar externe platforms (Discord, WhatsApp, etc.) en het omzeilen van platformregels.
- Intimidatie, bedreiging of harassment van andere gebruikers.
3. Onze rol versus die van OPP
3.1 Kaartspot is verantwoordelijk voor de eerstelijns platform-controle, content-moderatie, gebruikersgedrag, geschillenafhandeling en het rapporteren van verdachte activiteiten aan OPP.
3.2 OPP is, als bij De Nederlandsche Bank vergunninghoudende betaalinstelling, primair verantwoordelijk voor de wettelijke verplichtingen onder de Wwft, waaronder:
- Identificatie en verificatie van verkopers (KYC);
- Sanctie- en PEP-screening;
- Transactiemonitoring voor witwasindicatoren;
- Het melden van ongebruikelijke transacties aan de Financial Intelligence Unit (FIU-Nederland).
3.3 Kaartspot werkt nauw samen met OPP en deelt relevante signalen over verdacht gedrag. OPP kan zelfstandig besluiten een verkopersregistratie te blokkeren of een transactie te bevriezen.
4. Preventieve maatregelen
4.1 Account-onboarding
- E-mailverificatie: elke nieuwe account moet bij registratie een werkend e-mailadres bevestigen.
- Telefoonverificatie: verkopers verifiëren een mobiel telefoonnummer via SMS-code voordat ze listings kunnen plaatsen.
- Minimumleeftijd: gebruikers verklaren bij registratie 18 jaar of ouder te zijn.
- Wachtwoordvereisten: wachtwoorden moeten voldoen aan moderne complexiteitseisen. Wachtwoorden worden opgeslagen met bcrypt-hashing.
- Tweefactor-authenticatie (2FA): beschikbaar voor alle accounts en aanbevolen voor verkopers.
- Bot-protectie: Cloudflare Turnstile op registratie en login om geautomatiseerd misbruik te voorkomen.
- Rate-limiting: beperking van het aantal registraties per IP-adres binnen een tijdsvenster.
4.2 KYC-verificatie (via OPP)
- Niveau 1: e-mail, telefoonnummer en bankgegevens.
- Niveau 2: verificatie van de tenaamstelling van het opgegeven IBAN, verplicht vóór uitbetalingen.
- Niveau 3: verificatie van een geldig identiteitsbewijs zodra een verkoper de Wwft-drempel passeert (€ 250 per transactie of € 1.500 cumulatief). Voor zakelijke verkopers vanaf de eerste transactie, inclusief KvK-uittreksel en UBO-register uittreksel.
- PEP- en sanctie-screening: automatische screening tegen internationale sanctielijsten (EU, OFAC, VN) en lijsten van Politically Exposed Persons.
- Hercheck: KYC-gegevens worden periodiek geherverifieerd, zeker bij verhoogde transactievolumes.
4.3 Beveiliging van het platform
- Alle verbindingen via HTTPS/TLS-encryptie.
- Database-toegang via Row-Level Security (RLS) zodat gebruikers alleen hun eigen data zien.
- Server-side input-sanitisatie en magic-bytes controle voor alle bestandsuploads.
- Strikte Content Security Policy (CSP) en CORS-configuratie.
- Periodieke beveiligingsaudits, dependency-scanning en logging van security-events.
4.4 Content-controles
- Automatische scanning van listings, profielen en berichten op verboden inhoud (externe links, e-mailadressen, telefoonnummers, contactgegevens van externe platforms).
- Beeld-moderatie (AI, gelaagd): elke geüploade afbeelding (chat-bijlage, listing-foto inclusief bulk-CSV en camera-uploads, profielfoto) wordt gecontroleerd op expliciete, gewelddadige of illegale content via Cloudflare Workers AI. De controle gebeurt in twee fasen: (a) een client-getriggerde pre-flight check vóór de afbeelding in onze opslag (R2) terechtkomt, zodat verdachte content direct wordt geweigerd en niet onnodig wordt opgeslagen, en (b) een tweede, niet-omzeilbare check op het moment van publicatie zodat client-side bypass geen effect heeft. Gebruikers kunnen bezwaar maken via klantenservice voor handmatige beoordeling.
- Magic-bytes verificatie: de file-signature (eerste bytes) wordt server-side gecontroleerd op overeenstemming met het opgegeven MIME-type, zodat een verkapte uitvoerbare file of script niet als "afbeelding" geüpload kan worden.
- EXIF-stripping: persoonlijke metadata (GPS-coördinaten, device-serial, timestamps) wordt automatisch verwijderd van geüploade foto's om onbedoelde adres-leaks te voorkomen.
- Dimensie-cap: afbeeldingen groter dan 50 megapixels worden geweigerd om DoS-aanvallen via sparse-pixel afbeeldingen te voorkomen.
- Anti-impersonatie: gebruikersnaam kan slechts eenmaal per 14 dagen worden gewijzigd om plotselinge identiteitswisselingen te voorkomen.
- Listing-validatie: minimum twee productfoto's (voor- en achterkant) en conditiebeschrijving conform de Kaartspot-gradingstandaard. Voor bulk-CSV uploads wordt iedere rij vóór publicatie individueel gevalideerd (naam, type, set, conditie, taal, prijs, hoeveelheid, foto-URL's) en getoond in een previewscherm waar onjuiste rijen handmatig kunnen worden gecorrigeerd of verwijderd.
- Realtime invoer-validatie: verplichte velden, formaat-validatie (bv. e-mail, prijs, hoeveelheid) en kwaliteits-signalen worden direct in het formulier zichtbaar gemaakt zodat fouten en onzorgvuldige listings al bij invoer worden onderschept.
- Minimumprijs: € 0,50 per listing om bulk-witwas via € 0,01-listings te voorkomen.
4.5 Gebruikslimieten (rate-limiting)
Om misbruik en geautomatiseerde aanvallen te voorkomen hanteren wij onder meer de volgende limieten:
- Maximaal 100 nieuwe listings per gebruiker per 24 uur;
- Maximaal 100 foto-uploads per gebruiker per 24 uur (3 MB cap chat, 5 MB cap listing);
- Maximaal 20 rijen per CSV-bulkupload;
- Maximaal 100 verzonden berichten per gebruiker per 24 uur, en maximaal 20 berichten per 24 uur naar dezelfde ontvanger;
- Na 10 mislukte inlogpogingen binnen 15 minuten wordt het account 15 minuten geblokkeerd.
Limieten kunnen zonder voorafgaande kennisgeving worden bijgesteld als anti-misbruikmaatregel.
5. Detectie en monitoring
5.1 Risico-indicatoren
Wij monitoren onder meer de volgende patronen, zowel automatisch als met handmatige beoordeling:
- Nieuw account dat direct hoge transactiebedragen verwerkt;
- Sterk afwijkende prijzen (bv. € 0,50 listing voor een topkaart van >€ 500, of andersom);
- Snelle herhalingen van koop- en verkoopgedrag tussen gerelateerde accounts (mogelijk wash-trading);
- Meerdere accounts vanaf hetzelfde IP-adres, device-fingerprint of betaalmethode;
- Toegang vanuit hoog-risico jurisdicties of via anonimiseringsdiensten;
- Plotseling sterk gewijzigde transactiepatronen vergeleken met de historie van het account;
- Verdachte berichtinhoud (verzoeken tot off-platform betaling, links naar externe wallets of geldovermakingsdiensten);
- Hoge dispute- of chargebackratio op het account;
- Negatieve signalen uit de KYC- of sanctiescreening door OPP.
5.2 Logging en audit-trail
- Alle inlog-, transactie- en moderatie-acties worden gelogd met IP-adres, tijdstip en gebruikers-ID.
- Logbestanden worden 13 maanden bewaard en zijn beschikbaar voor onderzoek bij vermoedens van misbruik en op verzoek van bevoegde autoriteiten.
- Webhook-events van OPP (KYC-status, transactie-status, payout-status) worden gepersisteerd voor reconciliatie en audit.
6. Reactie op incidenten
6.1 Triage en beoordeling
Wanneer een verdacht signaal wordt gedetecteerd of gemeld, doorlopen wij de volgende stappen:
- Direct review door het Kaartspot-compliance team (binnen 24 uur op werkdagen, 48 uur in het weekend).
- Voorlopige maatregelen bij hoog risico: tijdelijke schorsing van het account, pauzering van uitbetalingen, of blokkering van specifieke listings.
- Diepgaand onderzoek: doorlopen van alle relevante audit-logs, communicatie tussen betrokken partijen, transactiepatronen en eventuele eerdere meldingen.
- Hoor en wederhoor: de betrokken gebruiker wordt in de gelegenheid gesteld een toelichting te geven, tenzij dit het onderzoek aanzienlijk belemmert of in strijd is met wettelijke verplichtingen.
- Beslissing: vrijspraak, formele waarschuwing, beperking van functies, opschorting of permanente beëindiging van het account.
6.2 Sancties
Afhankelijk van de ernst en frequentie van de overtreding kunnen wij de volgende maatregelen treffen:
- Waarschuwing: bij eerste of kleine overtredingen.
- Verwijdering van listings of berichten: bij inhoudelijke schending.
- Functiebeperking: tijdelijke onmogelijkheid om te verkopen, bieden of berichten te sturen.
- Account-schorsing: tijdelijke blokkering hangende onderzoek.
- Automatische account-schorsing: bij 3 of meer door Kaartspot bevestigde meldingen (reports) tegen dezelfde gebruiker binnen 30 dagen wordt het account automatisch geschorst.
- Permanente beëindiging: bij ernstige of herhaalde overtredingen, of bij counterfeit-handel, fraude, witwasvermoedens of KYC-falen.
- Doormelding aan OPP, politie, FIU-Nederland of andere bevoegde autoriteiten indien wettelijk verplicht of gerechtvaardigd.
6.3 Beroep
Een gebruiker tegen wie maatregelen zijn getroffen kan binnen 30 dagen schriftelijk bezwaar maken via support@kaartspot.nl met onderwerp "Beroep [accountnaam]". Kaartspot beoordeelt het bezwaar binnen 14 werkdagen. Tegen maatregelen die voortvloeien uit een wettelijke verplichting (bijvoorbeeld een sanctie-hit of een Wwft-melding door OPP) is geen intern beroep mogelijk; in dat geval kan de gebruiker zich rechtstreeks tot OPP wenden.
7. Samenwerking met autoriteiten
7.1 Kaartspot werkt actief samen met opsporings- en handhavingsinstanties zoals politie, justitie, Belastingdienst, Autoriteit Consument & Markt en FIU-Nederland.
7.2 Op grond van een rechtmatig verzoek of een wettelijke verplichting verstrekken wij gegevens over gebruikers en transacties. Wij stellen de betrokken gebruiker hiervan alleen in kennis indien dit wettelijk is toegestaan en het onderzoek niet schaadt.
7.3 Verdachte transacties die voldoen aan de meldindicatoren onder Wwft worden door OPP gemeld bij FIU-Nederland. Kaartspot ondersteunt OPP hierin met aanvullende context wanneer gevraagd.
8. Meldpunt voor gebruikers (Reporting flow)
Gebruikers kunnen verdachte activiteiten, vermoedens van fraude of beveiligingsproblemen melden via:
- In-platform "Rapporteer"-knop: bij elk inkomend bericht, listing, profiel of review staat een rapporteer-optie. Selecteer een reden (ongepaste inhoud, illegale inhoud, namaak, oplichting, spam, intimidatie, impersonatie, off-platform betaling, anders) met optionele toelichting. Meldingen worden direct in onze interne review-queue geplaatst.
- Klantenservice: support@kaartspot.nl, voor algemene meldingen en geschillen.
- Security: security@kaartspot.nl, voor technische beveiligingsproblemen, datalek-vermoedens of phishing-meldingen.
- Geschil openen: via het orderdashboard, vanaf het moment van betaling tot 14 dagen na verzendbevestiging.
Elke gebruiker kan een specifiek item slechts één keer rapporteren, dat voorkomt brigading. Bij meerdere onafhankelijke meldingen tegen dezelfde gebruiker schalen we naar handmatige beoordeling. Confirmed reports kunnen leiden tot automatische account-schorsing (zie §6.2). Alle meldingen worden vertrouwelijk verwerkt; de identiteit van de melder wordt nooit aan de gemelde gebruiker bekendgemaakt zonder toestemming. Voor de verwerking van persoonsgegevens in het kader van reports verwijzen wij naar ons privacybeleid.
9. Training en bewustwording
9.1 Het Kaartspot-team houdt zijn kennis actueel op het gebied van Wwft, AVG, sanctie-regelgeving en interne procedures, onder andere via OPP-richtlijnen, vakliteratuur en periodieke evaluaties. Naarmate het team groeit wordt deze training geformaliseerd in een opleidings- en bewustwordingsprogramma.
9.2 Toegang tot gevoelige systeemfuncties (zoals account-schorsing of uitbetalings-blokkering) is beperkt tot geautoriseerde personen en wordt gelogd.
9.3 Gebruikers worden via het platform geïnformeerd over veilige handelspraktijken en de risico's van off-platform contact.
10. Documentatie en bewaartermijnen
- KYC-documenten (bij OPP): 5 jaar na beëindiging van de zakelijke relatie (Wwft art. 33).
- Fraude-incidentdossiers: 7 jaar na sluiting van de zaak.
- Sanctie-screening-resultaten: 5 jaar conform de Sanctiewet 1977 en Wwft.
- Audit-logs: 13 maanden, met uitzondering van logs die onderdeel zijn van een lopende of afgesloten incidentzaak.
- Webhook-events OPP: minimaal 12 maanden voor reconciliatie en audit.
11. Verantwoordelijkheid en evaluatie
11.1 De eindverantwoordelijkheid voor dit beleid en de uitvoering ervan ligt bij M.L. Dalderop, eigenaar van de eenmanszaak waarvan Kaartspot een handelsnaam is.
11.2 Dit beleid wordt minimaal eenmaal per jaar geëvalueerd en bijgewerkt bij wijzigingen in wet- en regelgeving, het platformaanbod of geconstateerde risico's. Wezenlijke wijzigingen worden gecommuniceerd via het platform en, waar van toepassing, per e-mail aan gebruikers.
11.3 Voor vragen over dit beleid kunt u contact opnemen via info@kaartspot.nl.
12. Wijzigingen
Dit fraude preventie beleid kan worden gewijzigd. De meest actuele versie is altijd beschikbaar op kaartspot.nl/fraude-preventie-beleid. Het versienummer en de ingangsdatum staan bovenaan dit document.