Stichting Cultureel Jongeren Paspoort (CJP) is al tientallen jaren verweven met cultuurontwikkeling in het voortgezet onderwijs en sinds enkele jaren in het middelbaar beroepsonderwijs. CJP beheert de subsidie die de Rijksoverheid (het ministerie van Onderwijs, Cultuur en Wetenschap) beschikbaar stelt om cultuuronderwijs te stimuleren en zorgt ervoor dat de financiële middelen worden toegewezen aan deelnemende scholen via het CJP Cultuurkaart-programma.
Daarnaast faciliteert CJP lidmaatschappen met digitale kortingspas voor studenten en docenten om cultuurparticipatie te bevorderen. Lidmaatschappen worden aan studenten en docenten toegewezen samen met, indien van toepassing, het door het ministerie van OCW beschikbaar gestelde budget voor studenten. Deze twee diensten zijn onlosmakelijk onderdeel van het CJP Cultuurkaart-programma.
CJP heeft in samenwerking met haar Functionaris Gegevensbescherming (FG) de werkwijze rondom de omgang met persoonsgegevens van studenten en docenten vastgesteld om tot een werkwijze te komen die voldoet aan de kaders van de AVG. Een budgethouder binnen een school voert de volledige dienstverlening uit en kan een beperkte set aan persoonsgegevens in een speciaal hiervoor gemaakt portaal uploaden. Dit portaal is via een beveiligde website (scholen.cjp.nl) te bereiken.
Omdat CJP zelf bepaalt hoe zij haar dienstverlening vormgeeft en alleen voor deze dienstverlening persoonsgegevens gebruikt, is het niet nodig om een verwerkersovereenkomst te sluiten. CJP is een verwerkingsverantwoordelijke in de zin van de AVG en géén verwerker voor uw school. De school heeft in het kader van cultuureducatie een geldige grondslag om gegevens te delen. Het CJP verwerkt nooit persoonsgegevens namens of voor de school.
Deelnemende scholen bepalen zelf of en hoe ze persoonsgegevens delen met CJP voor het toewijzen van CJP-lidmaatschappen aan studenten en docenten en, indien van toepassing, OCW-budget aan studenten. Het staat de school vrij om hiervoor anonieme gegevens te gebruiken of om een andere manier van het toewijzen van CJP-lidmaatschappen te hanteren.
Er is voor deelnemende scholen een gerechtvaardigd belang om vanuit de studentenadministratie een set van persoonsgegevens te uploaden in het portaal. Het doel van cultuureducatie is immers verenigbaar met het doel van educatie op verschillende gebieden binnen het onderwijs. Een school heeft in het kader van cultuureducatie een geldige grondslag om gegevens van studenten en docenten in het portaal van CJP te uploaden.
De gegevens worden uitsluitend aan de school getoond in het portaal zodat alleen de budgethouder de eerder beschreven taken kan uitvoeren die horen bij het CJP Cultuurkaart-programma. CJP is geen eigenaar van de gegevens en kan de gegevens niet gebruiken voor andere doelen. In de Algemene Verwerkersovereenkomst 4.0 van het Privacy Convenant beschrijft CJP haar werkwijze informatiebeveiliging en privacy.
Als een student of docent ervoor kiest om een account aan te maken en een lidmaatschap te nemen ontstaat tussen de student (inmiddels aan te merken als CJP-lid) en het CJP een directe relatie. De school is van dat proces geen onderdeel meer maar kan in het portaal wel zien welke studenten een lidmaatschap hebben genomen en welke studenten dit nog niet hebben gedaan. Voor de CJP-leden is het Privacy Statement van CJP van toepassing. Het Privacy Statement is voor iedereen te raadplegen op https://www.cjp.nl/privacy.
Met het CJP-lidmaatschap kunnen studenten (en docenten) kunnen met korting culturele activiteiten ondernemen en korting op producten en diensten ter ondersteuning aan het beleven van culturele activiteiten. Het OCW-budget kunnen studenten inzetten bij door CJP geselecteerde culturele organisaties met een educatief programma.
Persoonsgegeven |
Studenten |
Docenten en medewerkers |
Voorna(a)m(en) |
☒ |
☒ |
Achternaam |
☒ |
☒ |
E-mailadres |
☒ |
☒ |
Studiejaar |
☒ |
|
Klas/opleiding |
☒ |
De bewaartermijn van de persoonsgegevens is maximaal één jaar, afhankelijk van wanneer de persoonsgegevens in scholen.cjp.nl geüpload worden. De persoonsgegevens kunnen vanaf 1 september van elk jaar geüpload worden en worden op 31 augustus van elk jaar verwijderd.
Verwerking |
Land |
Toewijzen lidmaatschappen aan studenten en docenten. |
Nederland |
Toewijzen OCW-budget aan studenten. |
Nederland |
Naam |
ExperienceThat B.V. (Admiralengracht 52h, 1057 GA Amsterdam). |
Soort verwerking |
ExperienceThat beheert namens CJP de database waar de gegevens worden opgeslagen en het portaal dat is gebouwd op de database. ExperienceThat faciliteert de producten omschreven in D en verwerkt alle gegevens omschreven in F. ExperienceThat is een dochteronderneming van CJP en 100% eigendom van CJP. |
Welke gegevens |
Alle persoonsgegevens. ExperienceThat maakt gebruik van de database services die door het Google Cloud Platform geleverd worden om de gegevens op te slaan. Zowel de database als de gegevens in deze database zijn eigendom van CJP. De database is enkel toegankelijk voor gemachtigde gebruikers en de gegevens worden opgeslagen in Nederland. Daarnaast wordt er voor het versturen van e-mail uitnodigingen naar studenten en docenten gebruik gemaakt van de e-mail client van CM.com N.V. (Konijnenberg 30, 4825 BD Breda). Hiervoor worden voornaam, achternaam, e-mailadres verwerkt. De gegevens worden opgeslagen in Nederland en het vestigingsland van CM.com is Nederland. |
Land opslag/verwerking |
Nederland |
Vestigingsland |
Nederland |
CJP neemt onderstaande maatregelen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, wijziging, opslag, toegang of openbaarmaking:
d.d. 28 oktober 2024
Resultaten security assessment
Laatste update: augustus 2024.
Op basis van het Privacy Convenant Onderwijs "Toetsingskader Certificeringsschema voor informatiebeveiliging". Maatregelen ter waarborging continuïteit en beveiliging persoonsgegevens:
Categorie |
Maatregelen |
Compliance |
Beschikbaarheid (laag) |
Ontwerp |
Voldaan |
Capaciteit beheer |
Voldaan |
|
Onderhoud |
Voldaan |
|
Testen |
Voldaan |
|
Monitoring |
Voldaan |
|
Herstel |
Voldaan |
|
Integriteit (laag) |
Herleidbaarheid (gebruikers) |
Voldaan |
Back-up |
Voldaan |
|
Application controls |
Voldaan |
|
Onweerlegbaarheid |
Voldaan |
|
Herleidbaarheid (technisch beheer) |
Voldaan |
|
Controle integriteit |
Voldaan |
|
Onweerlegbaarheid |
Voldaan |
|
Vertrouwelijkheid (hoog) |
Levenscyclus gegevens |
Alternatieve maatregel |
Logische toegang |
Voldaan |
|
Fysieke toegang |
Voldaan |
|
Netwerktoegang |
Voldaan |
|
Scheiding omgevingen |
Voldaan |
|
Transport en fysieke opslag |
Voldaan |
|
Logging |
Voldaan |
|
Omgaan met kwetsbaarheden |
Voldaan |
De beschreven werkwijze is tot stand gekomen in samenwerking met de Privacy Officer en Functionaris Gegevensbescherming van CJP. Als u vragen of opmerkingen heeft over dit onderwerp dan horen wij dat graag.
Privacy Officer CJP: Robin de Baar | robin@cjp.nl | 0205210227