Cultuurkaart & AVG

CJP heeft in samenwerking met haar Functionaris Gegevensbescherming (FG) de werkwijze rondom de omgang met persoonsgegevens van studenten en docenten vastgesteld om tot een werkwijze te komen die voldoet aan de kaders van de AVG. Een budgethouder binnen een school voert de volledige dienstverlening uit en kan een beperkte set aan persoonsgegevens in een speciaal hiervoor gemaakt portaal uploaden. Dit portaal is via een beveiligde website (scholen.cjp.nl) te bereiken.

Omdat CJP zelf bepaalt hoe zij haar dienstverlening vormgeeft en alleen voor deze dienstverlening persoonsgegevens gebruikt, is het niet nodig om een verwerkersovereenkomst te sluiten. CJP is een verwerkingsverantwoordelijke in de zin van de AVG en géén verwerker voor uw school. De school heeft in het kader van cultuureducatie een geldige grondslag om gegevens te delen. Het CJP verwerkt nooit persoonsgegevens namens of voor de school.

Deelnemende scholen bepalen zelf of en hoe ze persoonsgegevens delen met CJP voor het toewijzen van CJP-lidmaatschappen aan studenten en docenten en, indien van toepassing, OCW-budget aan studenten. Het staat de school vrij om hiervoor anonieme gegevens te gebruiken of om een andere manier van het toewijzen van CJP-lidmaatschappen te hanteren.

Er is voor deelnemende scholen een gerechtvaardigd belang om vanuit de studentenadministratie een set van persoonsgegevens te uploaden in het portaal. Het doel van cultuureducatie is immers verenigbaar met het doel van educatie op verschillende gebieden binnen het onderwijs. Een school heeft in het kader van cultuureducatie een geldige grondslag om gegevens van studenten en docenten in het portaal van CJP te uploaden.

De gegevens worden uitsluitend aan de school getoond in het portaal zodat alleen de budgethouder de eerder beschreven taken kan uitvoeren die horen bij het CJP Cultuurkaart-programma. CJP is geen eigenaar van de gegevens en kan de gegevens niet gebruiken voor andere doelen. In de Algemene Verwerkersovereenkomst 4.0 van het Privacy Convenant beschrijft CJP haar werkwijze informatiebeveiliging en privacy.

Als een student of docent ervoor kiest om een account aan te maken en een lidmaatschap te nemen ontstaat tussen de student (inmiddels aan te merken als CJP-lid) en het CJP een directe relatie. De school is van dat proces geen onderdeel meer maar kan in het portaal wel zien welke studenten een lidmaatschap hebben genomen en welke studenten dit nog niet hebben gedaan. Voor de CJP-leden is het Privacy Statement van CJP van toepassing. Het Privacy Statement is voor iedereen te raadplegen op https://www.cjp.nl/privacy.

• In het portaal kan uitsluitend de budgethouder van de school een beperkte set van persoonsgegevens uploaden vanuit de studentenadministratie. Het gaat daarbij om de voor- en achternaam, e-mailadres, studiejaar en klas of opleiding van de student;
• De budgethouder kan als enige ook gegevens invoeren van docenten, die ook gebruik kunnen maken van het CJP-lidmaatschap. Het gaat daarbij om de voor- en achternaam en e-mailadres;
• De budgethouder maakt voor elke student en docent een unieke token aan waarmee een CJP-lidmaatschap aangemaakt kan worden;
• De budgethouder, of een door de budgethouder aangewezen persoon, bepaalt wanneer, aan wie en hoe vaak per e-mail de unieke token naar de studenten en docenten wordt verstuurd vanuit het portaal.
• De budgethouder kan budget dat het ministerie van OCW ter beschikking heeft gesteld toewijzen aan de studenten die in het portaal staan;
• Vóór 31 augustus van elk jaar worden de gegevens uit de database en het portaal gewist van alle studenten en docenten die geen lidmaatschap hebben geactiveerd. De school uploadt daarna de gegevens van het nieuwe studiejaar in het portaal en herhaalt bovenstaande stappen.

• De student of docent kan met de unieke token, die door de school verstrekt wordt, een CJP-lidmaatschap aanmaken op de website of in de app van CJP. De student of docent accepteert daarbij de algemene voorwaarden en het Privacybeleid;
• In dat proces maakt de student of docent een nieuw account aan of logt in in een bestaand account. In het geval van het aanmaken van een nieuw account moet het e-mailadres bevestigd worden waarmee het account aangemaakt moet worden, wordt er een wachtwoord ingesteld en worden de postcode en geboortedatum opgegeven;
• Wanneer de student jonger dan 16 jaar is moet hij of zij een e-mailadres van de ouders opgeven ter verwittiging;
• Na activatie van het lidmaatschap kan een student OCW-budget ontvangen en uitgeven aan culturele activiteiten en kortingen krijgen op culturele activiteiten;
• Als een student of docent ervoor kiest om een account aan te maken en een CJP-lidmaatschap te activeren, ontstaat er met CJP een directe relatie. De school is van dat proces geen onderdeel meer.

Doeleinden voor het verwerken van Persoonsgegevens

Met het CJP-lidmaatschap kunnen studenten (en docenten) kunnen met korting culturele activiteiten ondernemen en korting op producten en diensten ter ondersteuning aan het beleven van culturele activiteiten. Het OCW-budget kunnen studenten inzetten bij door CJP geselecteerde culturele organisaties met een educatief programma.

Categorieën Persoonsgegevens inclusief bewaartermijnen

De bewaartermijn van de persoonsgegevens is maximaal één jaar, afhankelijk van wanneer de persoonsgegevens in scholen.cjp.nl geüpload worden. De persoonsgegevens kunnen vanaf 1 september van elk jaar geüpload worden en worden op 31 augustus van elk jaar verwijderd.

Locatie van opslag en verwerking Persoonsgegevens

Verwerkers

CJP neemt onderstaande maatregelen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, wijziging, opslag, toegang of openbaarmaking:

• CJP heeft een passend beleid voor de beveiliging van de verwerking van persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd en – zo nodig – aangepast.
• CJP neemt maatregelen zodat via een systeem van autorisatie enkel geautoriseerde medewerkers toegang kunnen verkrijgen tot de verwerking van persoonsgegevens. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
• CJP heeft een coördinator voor informatiebeveiliging om risico’s omtrent de verwerking van persoonsgegevens te inventariseren, beveiligingsbewustzijn te stimuleren, voorzieningen te controleren en maatregelen te treffen die zien op naleving van het informatiebeveiligingsbeleid.
• Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid.
• CJP heeft een proces ingericht voor communicatie over informatiebeveiligingsincidenten.
• CJP sluit met medewerkers geheimhoudingsverklaringen af en maakt informatiebeveiligingsafspraken.
• CJP stimuleert bewustzijn, opleiding en training ten aanzien van informatiebeveiliging.

Third Party Memorandum security assessment

d.d. 28 oktober 2024

Resultaten security assessment

BIV-classificatie

Laatste update: augustus 2024.

Op basis van het Privacy Convenant Onderwijs "Toetsingskader Certificeringsschema voor informatiebeveiliging". Maatregelen ter waarborging continuïteit en beveiliging persoonsgegevens:

De beschreven werkwijze is tot stand gekomen in samenwerking met de Functionaris Gegevensbescherming van CJP. Als u vragen heeft over dit onderwerp dan horen wij dat graag. U kunt uw vraag sturen naar support@cjp.nl.