Dostęp do skrytki nie wymaga ciągłej, stałej weryfikacji tożsamości w sensie „codziennego potwierdzania”, ale opiera się na cyklicznej i sytuacyjnej weryfikacji, która ma zapewnić, że dostęp uzyskuje właściwa osoba.
W praktyce działa to na dwóch poziomach.
Pierwszy poziom to weryfikacja bazowa, przeprowadzana przy zawieraniu umowy i nadaniu uprawnień. W tym momencie instytucja potwierdza tożsamość i przypisuje dostęp do konkretnej osoby lub osób. Ten etap jest kluczowy i stanowi podstawę całego późniejszego dostępu.
Drugi poziom to weryfikacja operacyjna, która odbywa się przy każdym użyciu skrytki. Nie jest to jednak „ciągła” kontrola, tylko każdorazowe potwierdzenie tożsamości w momencie wejścia lub otwarcia dostępu. Może obejmować dokument tożsamości, identyfikację biometryczną, kartę dostępu, klucz lub inne procedury stosowane przez operatora.
Ważne jest to, że system nie monitoruje tożsamości w sposób ciągły, tylko sprawdza ją w momencie interakcji z dostępem. Pomiędzy tymi momentami zakłada się, że uprawnienia pozostają ważne, o ile nie zostały zmienione, cofnięte lub zaktualizowane.
Dodatkowo mogą występować sytuacje okresowej aktualizacji danych. Dotyczy to np. odświeżania dokumentów tożsamości, aktualizacji danych kontaktowych czy ponownego potwierdzenia uprawnień po dłuższym czasie. Nie jest to jednak stały proces, tylko element zarządzania ryzykiem i zgodności.
W praktyce oznacza to, że dostęp do skrytki jest oparty na powtarzalnej weryfikacji przy każdej operacji, a nie na ciągłym nadzorze tożsamości.