Virksomheder og personer omfattet af denne lov skal have tilstrækkelige skriftlige politikker, forretningsgange og kontroller, som skal omfatte risikostyring, kundekendskabsprocedurer, undersøgelses-, noterings- og underretningspligt, opbevaring af oplysninger, screening af medarbejdere og intern kontrol til effektiv forebyggelse, begrænsning og styring af risici for hvidvask og finansiering af terrorisme. Politikker, kontroller og forretningsgange skal udarbejdes med udgangspunkt i risikovurderingen foretaget efter § 7 under hensyntagen til virksomhedens størrelse.
Stk. 2 Politikker, kontroller og forretningsgange, der er udarbejdet i henhold til stk. 1, skal godkendes af den i § 7, stk. 2, udpegede person.
Stk. 3 Den daglige ledelse i virksomheder, som er omfattet af § 1, stk. 1, nr. 1-7, dog ikke disses filialer, distributører og agenter her i landet, og som i henhold til anden lovgivning er forpligtet til at have en compliancefunktion, skal udpege en complianceansvarlig på ledelsesniveau, som skal kontrollere og vurdere, om forretningsgangene i henhold til stk. 1 og de foranstaltninger, der træffes for at afhjælpe eventuelle mangler, er effektive, og kontrollere, at virksomheden underretter Hvidvasksekretariatet, jf. § 26, stk. 1.
Stk. 4 Bestyrelser i virksomheder, som er omfattet af § 1, stk. 1, nr. 1-7, dog ikke disses filialer, distributører og agenter her i landet, og som har en intern revision eller intern audit, og bestyrelser i andre virksomheder, der er omfattet af § 1, stk. 1, og som i henhold til anden lovgivning er underlagt krav om en intern revision eller intern audit, skal sikre, at den interne revision eller interne audit vurderer, hvorvidt virksomhedens politikker, forretningsgange og kontroller, jf. kravene i denne lov og regler udstedt i medfør heraf, er tilrettelagt og fungerer på betryggende vis.
Stk. 5 Virksomheder, dog ikke disses filialer, distributører og agenter her i landet, skal, hvor det vurderes relevant, udpege et medlem af direktionen, der er ansvarlig for virksomhedens gennemførelse af kravene i denne lov og regler udstedt i medfør heraf.
Stk. 6 Virksomheder og personer omfattet af denne lov skal sikre, at ansatte, herunder ledelsen, har modtaget tilstrækkelig undervisning i kravene i denne lov og regler udstedt i medfør heraf samt relevante krav om databeskyttelse.