(1)
Nadzor vstopa v SISBON in identifikacija pooblaščenih oseb se izvaja s pomočjo kvalificiranih digitalnih potrdil (certifikatov) in ustreznega varnega medija za hrambo certifikatov in dostop do SISBON (pametne kartice s čipom, pametni ključki).
(2)
Dostop do podatkov SISBON je možen le z uporabo predhodno dodeljenih kvalificiranih digitalnih potrdil, izdanih s strani pooblaščenih izdajateljev. Za poizvedovanje po podatkih v SISBON preko spletne aplikacije se uporablja kvalificirano digitalno potrdilo izdano na člana oziroma vključenega dajalca kreditov za posamezno fizično (pooblaščeno) osebo pri članu oziroma vključenem dajalcu kreditov. Za poizvedovanje po podatkih v SISBON z uporabo aplikacijskega vmesnika se lahko uporablja kvalificirano digitalno potrdilo iz prejšnjega stavka, ali pa kvalificirano digitalno strežniško potrdilo. V primeru poizvedovanja preko kvalificiranega digitalnega strežniškega potrdila se upošteva enoznačni način identificiranja pooblaščene osebe v sistemu SISBON (ID pooblaščene osebe). Prepovedano je kakršnokoli posojanje ali skupinska uporaba digitalnih potrdil.
(3)
Član oziroma vključen dajalec kreditov naroči digitalno potrdilo pri pooblaščenem izdajatelju. Po prejemu digitalnega potrdila (kartice, pametnega ključka) doda generalni skrbnik v sistem SISBON pooblaščeno (fizično) osebo tako, da:
(4)
Kvalificirana digitalna potrdila morajo biti shranjena na varni lokaciji (pametnem ključku ali pametni kartici oziroma v primeru uporabe strežniškega potrdila na varovanem strežniku). Ob dostopu do sistema SISBON mora biti kvalificirano digitalno potrdilo dosegljivo, da lahko upravljavec oziroma sistem SISBON opravi identifikacijo dostopajočega.
(5)
Dostop do podatkov SISBON je dovoljen le pooblaščenim osebam pri upravljavcu in članu oziroma vključenem dajalcu kreditov, ki se za delo s SISBON povežejo na način, kot je opredeljen v drugem odstavku tega člena.
(6)
Vsak dostop do podatkov s strani pooblaščene osebe pri upravljavcu in članu oziroma vključenemu dajalcu kreditov se beleži in nadzoruje z verodostojno in celovito revizijsko sledjo ter hrani za obdobje šestih let, tako, da je omogočeno poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani (vključno z vpogledi) in kdo je to storil.