Authenticatie van personen (eindgebruikers) MOET plaatsvinden op basis van minimaal twee factoren. Na succesvolle authenticatie krijgen personen alleen toegang tot hun eigen persoonlijke gezondheidsgegevens.

• Stel vast dat (minimaal) twee-factorauthenticatie van personen technisch afgedwongen wordt
• Stel vast dat voldoende maatregelen zijn ingericht die waarborgen dat na succesvolle authenticatie de personen alleen toegang krijgen tot hun eigen persoonlijke gezondheidsgegevens. Ondersteunende evidence omvat bijvoorbeeld gedocumenteerde use-cases of het uitvoeren van een ‘walk through’ vanuit het perspectief van de eindgebruiker

Ten aanzien van de in het eerste punt bedoelde twee factoren gelden de volgende twee richtlijnen.

Ten eerste moeten de factoren uit verschillende van de volgende categorieën gebruikt worden.

• drie categorieën van zogenoemde "authenticatiefactoren": factoren waarvan is bevestigd dat deze gebonden zijn aan een persoon.
  • op bezit gebaseerde authenticatiefactoren: authenticatiefactoren waarvan de betrokkene moet aantonen dat deze in zijn bezit is;
  • op kennis gebaseerde authenticatiefactoren: authenticatiefactoren waarvan de betrokkene moet aantonen dat hij ervan kennis draagt;
  • inherente authenticatiefactoren: authenticatiefactoren die op een fysiek kenmerk van een natuurlijke persoon is gebaseerd en waarbij de betrokkene moet aantonen dat hij dat fysieke kenmerk bezit;
• dynamische authenticatie: een elektronisch proces, dat met gebruikmaking van cryptografie of een andere techniek de middelen biedt om op verzoek een elektronisch bewijs op te maken dat de betrokkene de controle heeft over of in het bezit is van de identificatiegegevens, en dat verandert telkens als authenticatie plaatsvindt tussen de betrokkene en het systeem dat diens identiteit verifieert;

Ten tweede moet het gebruik van beide factoren tijdens het inloggen achter elkaar plaatsvinden en in het inlog-proces onlosmakelijk aan elkaar verbonden zijn.