Een Authenticatiedienst kan slechts een Middelenuitgever specifiek Polymorfe identiteit (PI@MU) transformeren als hij dezelfde partij is als de Middelenuitgever. In alle andere gevallen moet een Authenticatiedienst speciaal geautoriseerd worden door de betreffende Middelenuitgever (via "MU - AD affiliation" in de Metadata). Pas dan kan de Authenticatiedienst de PI@MU transformeren naar een Ontvangende partij specifieke Versleutelde Identiteit (VI@OP). De betreffende Ontvangende Partij kan op zijn beurt deze VI@OP gebruiken om daaruit (met het juiste Sleutelmateriaal) de Gebruiker te identificeren met een originele identiteit (BSN in geval van het Publiek Domein).