Tilsynet skal være risikobaseret, således at Spillemyndigheden tager hensyn til det skøn, som udbydere af spil kan udøve i forhold til at prioritere deres ressourcer for bedst at bekæmpe risikoen for at blive benyttet til at hvidvaske økonomiske midler. Det er dog en forudsætning, at grundlaget for prioriteringen fremgår af fx risikovurderingen. Det betyder ikke, at spiludbyderen kan undlade at tage stilling til den enkelte risiko med henvisning til, at den ikke er prioriteret. De interne forretningsgange skal tage hensyn til alle relevante risici, som fremkommer på baggrund af virksomhedens forretningsmodel.
Spillemyndigheden fører som udgangspunkt tre forskellige typer af tilsyn: full scope-tilsyn, tematiske tilsyn og ad hoc-tilsyn. Ved et full scope-tilsyn indkaldes og gennemgås spiludbyderens materiale i forhold til overholdelse af samtlige forpligtelser i hvidvaskloven. Ved et tematisk tilsyn udvælger Spillemyndigheden et tema og gennemgår herefter typisk flere spiludbyderes materiale inden for det valgte tema. Ved et ad hoc-tilsyn indkaldes og gennemgås spiludbyderens materiale i forhold til overholdelse af specifikke dele i hvidvaskloven.
Spiludbyderen er forpligtet til at udlevere al information, som er nødvendigt for tilsynet. Omfanget af informationen fastlægges alene af Spillemyndigheden og er som udgangspunkt ikke begrænset udover, at informationsudleveringen skal kunne begrundes i det konkrete tilsynsemne. Spillemyndigheden har således vide rammer, men den udbedte information skal altid kunne anvendes til at belyse den eller de konkrete problemstillinger, som tilsynet skal varetage.
Spiludbyderens pligt til at udlevere informationer til brug for Spillemyndighedens tilsyn inkluderer også adgang til en spiludbyders lokaler for at indhente oplysninger. Adgangen kræver ikke en retskendelse, men vil forudsætte passende legitimation. Spillemyndigheden har ligeledes mulighed for at få adgang til spiludbyderens spilsystem via fjernadgang, hvis systemet ikke er geografisk placeret i Danmark. Det er i den forbindelse normal praksis efter spilleloven, at udbyderen skal give denne adgang inden for fem hverdage og sker ved, at ansatte fra udbyderen møder fysisk op hos Spillemyndigheden og giver adgangen til deres system.