Identitetsoplysningerne indhentet fra kunden skal kontrolleres ved oplysninger, som stammer fra en pålidelig og uafhængig kilde. Herved forstås eksempelvis elektroniske identifikationsmidler, relevante tillidstjenester eller enhver anden sikker form for fjernidentifikationsproces eller elektronisk identifikationsproces, der er reguleret, anerkendt, godkendt eller accepteret af de kompetente nationale myndigheder.
Spiludbyderen skal sikre sig, at der er tale om en aktuel kilde, hvilket er særlig relevant, når det omhandler id-dokumenter og gyldigheden af disse. Hvis spiludbyderen vurderer, at der er øget risiko ved kunden, skal der foretages yderligere handlinger, uanset om spillerens identitetsoplysninger er kontrolleret. Det er i øvrigt en konkret vurdering, hvor meget dokumentation der skal foreligge, for at der kan siges at være tilstrækkelig kontrol af spillerens oplysninger.
Spiludbyderen kan eksempelvis foretage en søgning i en database som CPR-registret, ligesom spiludbyderen kan anmode om at få tilsendt kopi af kørekort eller pas. Det forhold, at der ved onlinespil er tale om distancekunder, fordi kunden og spiludbyderen ikke mødes fysisk, øger herudover behovet for, at spiludbyderen har mitigerende tiltag, som kan sikre, at kunden reelt set er den person, som vedkommende udgiver sig for at være.
Hvad angår NemID og brugen af dette som en pålidelig og uafhængig kilde, bemærkes det, at NemID kun kan bruges som den eneste kontrolkilde i de tilfælde, hvor der efter foretagelse af en risikovurdering er tale om, at spiludbyderen kan foretage lempede kundekendskabsprocedurer over for den pågældende spiller. I alle andre tilfælde kan kontrol med NemID ikke stå alene og skal således suppleres af en anden kontrolkilde eller andre mitigerende tiltag.