O.Auth_4examine

Zusätzlich zu der in O.Auth_1 definierten Authentisierung auf einem angemessenen Vertrauensniveau, KANN der Hersteller dem Nutzer gemäß § 139e Abs. 10 SGB V, nach umfassender Information und Einwilligung, eine Authentisierungsmöglichkeit auf einem niedrigeren Vertrauensniveau anbieten. Dies schließt das Anbieten zusätzlicher Verfahren basierend auf den digitalen Identitäten im Gesundheitswesen gemäß § 291 Abs. 8 SGB V mit ein.

Der Evaluator prüft das Vorhandensein von Authentisierungsmöglichkeiten mit einem niedrigeren Sicherheitsniveau. Sollten solche Verfahren angeboten werden, prüft der Evaluator durch Quelltextanalyse und praktische Tests, ob diese eine angemessene Sicherheit bieten. Angemessene Sicherheitsanforderungen für niederschwellige Verfahren sind der jeweils aktuellen Version der „Spezifikation Sektoraler Identity Provider“ der gematik GmbH zu entnehmen [gemSpec_IDP_Sek]. Die Abwägungen des Herstellers, zum Bereitstellen zusätzlicher Authentisierungsmöglichkeiten und der gewählten Implementierung, sind in der Risikobewertung zu berücksichtigen.