Autentiseringen skal være av tilstrekkelig styrke for formålet, og ulike anvendelser vil stille ulike krav til styrken:
- For pålogging til interne systemer (nettverk, EPJ internt o.l.) bør det benyttes minimum brukernavn/passord – systemet bør konfigureres til å stille krav om minimum 7 tegn, minst et tall og både store og små bokstaver.
- Ved ekstern pålogging, det være seg fra eksterne nett eller mellom virksomheter, skal det benyttes autentisering i henhold til Normens krav i kapittel 5.2.1. Autorisering
- Ved bruk av mobilt utstyr, hjemmekontor og trådløs kommunikasjon skal autentiseringen ikke innebære økt risiko utover det som gjelder for stasjonært utstyr. En risikovurdering må vise at autentiseringsløsningen gir tilstrekkelig sikkerhet.
- Ved tilgang til helseopplysninger mellom virksomheter skal det benyttes sikker autentiseringsløsning
Tildeling av brukeridentitet og autentiseringsmekanisme må skje på en betryggende måte av virksomheten, og bør innbefatte personlig oppmøte og identifisering vha. legitimasjonsbevis med mindre den som registrerer brukeridentiteten kjenner brukeren fra før.
