De CVGG gebruikt eHerkenning voor authenticatie van bronhouders en leveranciers. Dit is de officiële overheidsstandaard. Gebruikers van de CVGG zijn er zelf voor verantwoordelijk voor tijdig over een eHerkenningsmiddel te beschikken. Ook leveranciers die namens bronhouders gegevens aanleveren hebben een eHerkenningsmiddel nodig. Zij kunnen voor de CVGG gemachtigd worden.

Identificeren

Het gebruik van eHerkenning voor de CVGG ontlast partijen op het gebied van identificatie. Met eHerkenning is de identiteit van de gebruiker vastgesteld. Voor het aanleveren van bestanden moet een bronhouder of leverancier beschikken over een eHerkenningsmiddel van minimaal niveau 2+. Bij dit niveau vindt inloggen plaats op basis van 2-factor authenticatie. Dit is een combinatie van iets dat de gebruiker weet (gebruikersnaam en wachtwoord) en krijgt (code via SMS of token). 

Het is de verantwoordelijkheid van de bronhouders en leveranciers zelf om tijdig over een eHerkenningsmiddel te beschikken. Dat betekent dat iedere medewerker die de aanlevering uitvoert een eHerkenningsmiddel zal moeten aanvragen bij een aanbieder. Een lijst van aanbieders is hier te vinden. 

Oefenomgeving CVGG

Gebruikers kunnen in de oefenomgeving van de CVGG oefenen met het aanleveren van gegevens. Toegang tot de oefenomgeving kan aangevraagd worden via cvgg@rivm.nl.

Machtigingen

Om toegang te krijgen tot de CVGG moet een individuele medewerker daarvoor gemachtigd zijn. Bij de aanvraag van het eHerkenningsmiddel kan meestal worden aangegeven voor welke dienst deze machtiging nodig is. In dit geval dus de CVGG. Er kunnen ook op een later moment machtigingen worden toegevoegd aan een eHerkenningsmiddel. Dat verloopt via de aanbieder van het eHerkenningsmiddel. 
De machtiging kan vervolgens alleen worden goedgekeurd door iemand in de organisatie die tekenbevoegd is volgens het Handelsregister van de Kamer van Koophandel (zie Figuur 1). Als er meerdere personen tekenbevoegd zijn, moeten zij mogelijk ook tekenen. Dat is afhankelijk van de statuten van de organisatie. 

De tekenbevoegde kan ook een machtigingenbeheerder aanstellen. Deze beheerder is een medewerker die zelf over een eHerkenningsmiddel beschikt en namens de organisatie machtigingen verstrekt. Als een organisatie nog geen beheerder heeft, dan is het ook mogelijk dat een medewerker bij de aanvraag van het eHerkenningsmiddel aangeeft de beheerder te zijn. Dat is administratief eenvoudiger. EMachtigingen zijn persoonsgebonden en gelden voor specifieke diensten. Machtigingen kunnen niet worden gedeeld of overgedragen. Hoe verantwoordelijkheden zijn toegekend en hoe deze processen precies verlopen is afhankelijk van afspraken binnen de organisatie. 

Sommige aanbieders van eHerkenningsmiddelen bieden beheermodules aan. Daarmee kunnen machtigingen relatief eenvoudig online worden afgehandeld. Beheerders kunnen dan machtigingen toevoegen, wijzigen, beëindigen, schorsen, activeren of verlengen. Nieuwe medewerkers met eHerkenning worden na activering automatisch getoond in de beheermodule.
 
Figuur 1 Rollen binnen eHerkenning

Verschillende rollen binnen e-herkenning. Machtiging en rolverdeling van organisatie, beheerder, wettelijk vertegenwoordiger en gebruiker

1.1    Ketenmachtigingen

Leveranciers die namens bronhouders gegevens aan de CVGG zullen leveren zullen door de bronhouders moeten worden gemachtigd. Dat kan in eHerkenning geregeld worden met een zogenaamde ketenmachtiging. Een leverancier geldt in het stelsel van eHerkenning als intermediair. Een bronhouder kan via de eigen aanbieder van eHerkenningsmiddelen een leverancier machtigen. De leverancier krijgt vervolgens van zíjn eigen aanbieder een machtiging. Hierna is de leverancier bevoegd om gegevens aan te leveren en kan eigen medewerkers machtigen voor deze specifieke bevoegdheid. Een machtiging geldt voor een periode van 5 jaar, maar hiervan kan worden afgeweken. Een ketenmachtiging kan ook tussentijds worden ingetrokken.

Het is niet noodzakelijk dat bronhouder en leverancier dezelfde aanbieder van eHerkenningsmiddelen gebruiken. De bronhouder hoeft zelfs niet over eHerkenningsmiddel te beschikken, als de aanlevering volledig is uitbesteed aan leveranciers. De bronhouder heeft dan ook geen toegang tot CVGG nodig. Het machtigingsproces kan dan ook vanuit de leverancier worden geïnitieerd.

Bepaalde aanbieders van eHerkenningsmiddelen bieden beheermodules aan waarmee ketenmachtigingen relatief eenvoudig online kunnen worden afgehandeld. Een leverancier kan dan bijvoorbeeld een aanvraag tot ketenmachtiging voor bepaalde diensten (zoals de CVGG) in één keer naar meerdere bronhouders versturen. Deze ontvangen de aanvraag via e-mail. Na goedkeuring wordt automatisch een overeenkomst voor de ketenmachtiging opgesteld. KvKKamer van Koophandel-gegevens woorden automatisch ingevoegd. 

Deze overeenkomst dient getekend en voorzien van relevante bijlagen retour te worden gestuurd naar de aanbieder van eHerkenningsmiddelen. Na verwerking wordt de ketenmachtiging actief en zichtbaar in de beheermodule. Als bronhouder en leverancier andere aanbieders van eHerkenningsmiddelen gebruiken dan zijn er extra handelingen nodig om de ketenmachtiging kenbaar te maken bij beide aanbieders.