Det er et krav, at koncernforbundne virksomheder udover kravene i § 8 tillige har skriftlige politikker og forretningsgange for databeskyttelse og udveksling af oplysninger, der udveksles med det formål at bekæmpe hvidvask og terrorfinansiering, inden for koncernen.
Det er vigtigt at understrege, at kravene kun gælder de virksomheder inden for koncernen, som er omfattet af hvidvaskloven. Som eksempel kan således nævnes, at et datterselskab, der ikke er omfattet af hvidvaskloven, således heller ikke er underlagt disse krav.
Procedurerne omkring udveksling af oplysninger i koncernen skal overholde databeskyttelseslovgivningens regler herom.
Der er ligeledes krav om, at risikovurdering, politikker og forretningsgange i et moderselskab dækker hele koncernen, vel at mærke de dele, der er omfattet af hvidvaskloven. I praksis betyder dette, at procedurerne kan udarbejdes fra centralt hold i eksempelvis moderselskabet, men det kræves dog, at de enkelte procedurer er tilpasset den konkrete juridiske enheds forhold.
Se hvidvasklovens § 9.