Cultuurkaart & AVG

Stichting Cultureel Jongeren Paspoort (CJP) is al tientallen jaren verweven met cultuurontwikkeling in het voortgezet onderwijs en sinds enkele jaren in het middelbaar beroepsonderwijs. CJP beheert de subsidie die de Rijksoverheid (het ministerie van Onderwijs, Cultuur en Wetenschap) beschikbaar stelt om cultuuronderwijs te stimuleren en zorgt ervoor dat de financiële middelen worden toegewezen aan deelnemende scholen via het CJP Cultuurkaart-programma.

Daarnaast faciliteert CJP lidmaatschappen met digitale kortingspas voor studenten en docenten om cultuurparticipatie te bevorderen. Lidmaatschappen worden aan studenten en docenten toegewezen samen met, indien van toepassing, het door het ministerie van OCW beschikbaar gestelde budget voor studenten. Deze twee diensten zijn onlosmakelijk onderdeel van het CJP Cultuurkaart-programma.

Werkwijze AVG

CJP heeft in samenwerking met haar Functionaris Gegevensbescherming (FG) de werkwijze rondom de omgang met persoonsgegevens van studenten en docenten vastgesteld om tot een werkwijze te komen die voldoet aan de kaders van de AVG. Een budgethouder binnen een school voert de volledige dienstverlening uit en kan een beperkte set aan persoonsgegevens in een speciaal hiervoor gemaakt portaal uploaden. Dit portaal is via een beveiligde website (scholen.cjp.nl) te bereiken.

Rolverdeling AVG: CJP is Verwerkingsverantwoordelijke

Omdat CJP zelf bepaalt hoe zij haar dienstverlening vormgeeft en alleen voor deze dienstverlening persoonsgegevens gebruikt, is het niet nodig om een verwerkersovereenkomst te sluiten. CJP is een verwerkingsverantwoordelijke in de zin van de AVG en géén verwerker voor uw school. De school heeft in het kader van cultuureducatie een geldige grondslag om gegevens te delen. Het CJP verwerkt nooit persoonsgegevens namens of voor de school.

Deelnemende scholen bepalen zelf of en hoe ze persoonsgegevens delen met CJP voor het toewijzen van CJP-lidmaatschappen aan studenten en docenten en, indien van toepassing, OCW-budget aan studenten. Het staat de school vrij om hiervoor anonieme gegevens te gebruiken of om een andere manier van het toewijzen van CJP-lidmaatschappen te hanteren.

Gerechtvaardigd belang als grondslag voor delen persoonsgegevens

Er is voor deelnemende scholen een gerechtvaardigd belang om vanuit de studentenadministratie een set van persoonsgegevens te uploaden in het portaal. Het doel van cultuureducatie is immers verenigbaar met het doel van educatie op verschillende gebieden binnen het onderwijs. Een school heeft in het kader van cultuureducatie een geldige grondslag om gegevens van studenten en docenten in het portaal van CJP te uploaden.

De gegevens worden uitsluitend aan de school getoond in het portaal zodat alleen de budgethouder de eerder beschreven taken kan uitvoeren die horen bij het CJP Cultuurkaart-programma. CJP is geen eigenaar van de gegevens en kan de gegevens niet gebruiken voor andere doelen. In de Algemene Verwerkersovereenkomst 4.0 van het Privacy Convenant beschrijft CJP haar werkwijze informatiebeveiliging en privacy.

Als een student of docent ervoor kiest om een account aan te maken en een lidmaatschap te nemen ontstaat tussen de student (inmiddels aan te merken als CJP-lid) en het CJP een directe relatie. De school is van dat proces geen onderdeel meer maar kan in het portaal wel zien welke studenten een lidmaatschap hebben genomen en welke studenten dit nog niet hebben gedaan. Voor de CJP-leden is het Privacy Statement van CJP van toepassing. Het Privacy Statement is voor iedereen te raadplegen op https://www.cjp.nl/privacy.

Uploaden persoonsgegevens door Budgethouders

  • In het portaal kan uitsluitend de budgethouder van de school een beperkte set van persoonsgegevens uploaden vanuit de studentenadministratie. Het gaat daarbij om de voor- en achternaam, e-mailadres, studiejaar en klas of opleiding van de student;
  • De budgethouder kan als enige ook gegevens invoeren van docenten, die ook gebruik kunnen maken van het CJP-lidmaatschap. Het gaat daarbij om de voor- en achternaam en e-mailadres;
  • De budgethouder maakt voor elke student en docent een unieke token aan waarmee een CJP-lidmaatschap aangemaakt kan worden;
  • De budgethouder, of een door de budgethouder aangewezen persoon, bepaalt wanneer, aan wie en hoe vaak per e-mail de unieke token naar de studenten en docenten wordt verstuurd vanuit het portaal.
  • De budgethouder kan budget dat het ministerie van OCW ter beschikking heeft gesteld toewijzen aan de studenten die in het portaal staan;
  • Vóór 31 augustus van elk jaar worden de gegevens uit de database en het portaal gewist van alle studenten en docenten die geen lidmaatschap hebben geactiveerd. De school uploadt daarna de gegevens van het nieuwe studiejaar in het portaal en herhaalt bovenstaande stappen.

Aanmaken account en lidmaatschap door studenten en docenten

  • De student of docent kan met de unieke token, die door de school verstrekt wordt, een CJP-lidmaatschap aanmaken op de website of in de app van CJP. De student of docent accepteert daarbij de algemene voorwaarden en het Privacybeleid;
  • In dat proces maakt de student of docent een nieuw account aan of logt in in een bestaand account. In het geval van het aanmaken van een nieuw account moet het e-mailadres bevestigd worden waarmee het account aangemaakt moet worden, wordt er een wachtwoord ingesteld en worden de postcode en geboortedatum opgegeven;
  • Wanneer de student jonger dan 16 jaar is moet hij of zij een e-mailadres van de ouders opgeven ter verwittiging;
  • Na activatie van het lidmaatschap kan een student OCW-budget ontvangen en uitgeven aan culturele activiteiten en kortingen krijgen op culturele activiteiten;
  • Als een student of docent ervoor kiest om een account aan te maken en een CJP-lidmaatschap te activeren, ontstaat er met CJP een directe relatie. De school is van dat proces geen onderdeel meer.

Privacybijsluiter


Doeleinden voor het verwerken van Persoonsgegevens

Met het CJP-lidmaatschap kunnen studenten (en docenten) kunnen met korting culturele activiteiten ondernemen en korting op producten en diensten ter ondersteuning aan het beleven van culturele activiteiten. Het OCW-budget kunnen studenten inzetten bij door CJP geselecteerde culturele organisaties met een educatief programma.


Categorieën Persoonsgegevens inclusief bewaartermijnen

Persoonsgegeven

Studenten

Docenten en medewerkers

Voorna(a)m(en)

Achternaam

E-mailadres

Studiejaar

Klas/opleiding


De bewaartermijn van de persoonsgegevens is maximaal één jaar, afhankelijk van wanneer de persoonsgegevens in scholen.cjp.nl geüpload worden. De persoonsgegevens kunnen vanaf 1 september van elk jaar geüpload worden en worden op 31 augustus van elk jaar verwijderd.


Locatie van opslag en verwerking Persoonsgegevens

Verwerking

Land


Toewijzen lidmaatschappen aan studenten en docenten.


Nederland


Toewijzen OCW-budget aan studenten.


Nederland


Verwerkers

Naam

ExperienceThat B.V. (Admiralengracht 52h, 1057 GA Amsterdam).

Soort verwerking

ExperienceThat beheert namens CJP de database waar de gegevens worden opgeslagen en het portaal dat is gebouwd op de database. ExperienceThat faciliteert de producten omschreven in D en verwerkt alle gegevens omschreven in F. ExperienceThat is een dochteronderneming van CJP en 100% eigendom van CJP.

Welke gegevens

Alle persoonsgegevens. ExperienceThat maakt gebruik van de database services die door het Google Cloud Platform geleverd worden om de gegevens op te slaan. Zowel de database als de gegevens in deze database zijn eigendom van CJP. De database is enkel toegankelijk voor gemachtigde gebruikers en de gegevens worden opgeslagen in Nederland.

Daarnaast wordt er voor het versturen van e-mail uitnodigingen naar studenten en docenten gebruik gemaakt van de e-mail client van CM.com N.V. (Konijnenberg 30, 4825 BD Breda). Hiervoor worden voornaam, achternaam, e-mailadres verwerkt. De gegevens worden opgeslagen in Nederland en het vestigingsland van CM.com is Nederland.

Land opslag/verwerking

Nederland

Vestigingsland

Nederland

Beveiligingsbijlage

CJP neemt onderstaande maatregelen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, wijziging, opslag, toegang of openbaarmaking:

  • CJP heeft een passend beleid voor de beveiliging van de verwerking van persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd en – zo nodig – aangepast.
  • CJP neemt maatregelen zodat via een systeem van autorisatie enkel geautoriseerde medewerkers toegang kunnen verkrijgen tot de verwerking van persoonsgegevens. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
  • CJP heeft een coördinator voor informatiebeveiliging om risico’s omtrent de verwerking van persoonsgegevens te inventariseren, beveiligingsbewustzijn te stimuleren, voorzieningen te controleren en maatregelen te treffen die zien op naleving van het informatiebeveiligingsbeleid.
  • Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid.
  • CJP heeft een proces ingericht voor communicatie over informatiebeveiligingsincidenten.
  • CJP sluit met medewerkers geheimhoudingsverklaringen af en maakt informatiebeveiligingsafspraken.
  • CJP stimuleert bewustzijn, opleiding en training ten aanzien van informatiebeveiliging.


Third Party Memorandum security assessment

d.d. 28 oktober 2024

Resultaten security assessment

BIV-classificatie

Laatste update: augustus 2024.

Op basis van het Privacy Convenant Onderwijs "Toetsingskader Certificeringsschema voor informatiebeveiliging". Maatregelen ter waarborging continuïteit en beveiliging persoonsgegevens:

Categorie

Maatregelen

Compliance

Beschikbaarheid (laag)

Ontwerp

Voldaan

Capaciteit beheer

Voldaan

Onderhoud

Voldaan

Testen

Voldaan

Monitoring

Voldaan

Herstel

Voldaan

Integriteit (laag)

Herleidbaarheid (gebruikers)

Voldaan

Back-up

Voldaan

Application controls

Voldaan

Onweerlegbaarheid

Voldaan

Herleidbaarheid (technisch beheer)

Voldaan

Controle integriteit

Voldaan

Onweerlegbaarheid

Voldaan

Vertrouwelijkheid (hoog)

Levenscyclus gegevens

Alternatieve maatregel

Logische toegang

Voldaan

Fysieke toegang

Voldaan

Netwerktoegang

Voldaan

Scheiding omgevingen

Voldaan

Transport en fysieke opslag

Voldaan

Logging

Voldaan

Omgaan met kwetsbaarheden

Voldaan

Vragen en contact

De beschreven werkwijze is tot stand gekomen in samenwerking met de Privacy Officer en Functionaris Gegevensbescherming van CJP. Als u vragen of opmerkingen heeft over dit onderwerp dan horen wij dat graag.

Privacy Officer CJP: Robin de Baar | robin@cjp.nl | 0205210227