Koncerner skal ud over kravene i § 8 have tilstrækkelige skriftlige politikker for databeskyttelse samt skriftlige politikker og forretningsgange for udveksling af oplysninger, der udveksles med det formål at bekæmpe hvidvask af penge og finansiering af terrorisme, inden for koncernen.
Stk. 2 Virksomheder, der er en del af en koncern, skal ud over kravene i § 8 efterleve koncernens politikker og forretningsgange.