Der Anbieter sollte erklären können, wie er Nutzer sicher identifiziert. Dazu gehört etwa eine Erläuterung seines ID-Managements und wie er damit sicherstellt, dass der "normale" Anwender etwa im Unterschied zum Administrator nur Zugriff auf Daten hat, die für ihn vorgesehen sind.