Cultuurkaart & AVG

CJP heeft in samenwerking met haar Functionaris Gegevensbescherming (FG) de werkwijze rondom de omgang met persoonsgegevens van studenten en docenten vastgesteld om tot een werkwijze te komen die voldoet aan de kaders van de AVG. Een budgethouder binnen een school voert de volledige dienstverlening uit en kan een beperkte set aan persoonsgegevens in een speciaal hiervoor gemaakt portaal uploaden. Dit portaal is via een beveiligde website te bereiken.

Omdat CJP zelf bepaalt hoe zij haar dienstverlening vormgeeft en alleen voor deze dienstverlening persoonsgegevens gebruikt, is het niet nodig om een verwerkersovereenkomst te sluiten. CJP en het ministerie van OCW zijn gezamenlijke verwerkingsverantwoordelijken voor het uitvoeren van de concessieovereenkomst die ten grondslag ligt aan het CJP Cultuurkaart-programma. CJP is géén verwerker voor jouw school. De school heeft in het kader van cultuureducatie een geldige grondslag om gegevens te delen. Het CJP verwerkt nooit persoonsgegevens namens of voor de school.

Deelnemende scholen bepalen zelf of en hoe ze persoonsgegevens delen met CJP voor het toewijzen van CJP-passen aan studenten en docenten en, indien van toepassing, OCW-budget aan studenten. Het staat de school vrij om hiervoor anonieme gegevens te gebruiken of om een andere manier van het toewijzen van CJP-passen te hanteren.

Er is voor deelnemende scholen een gerechtvaardigd belang om vanuit de studentenadministratie een set van persoonsgegevens te uploaden in het portaal. Het doel van cultuureducatie is immers verenigbaar met het doel van educatie op verschillende gebieden binnen het onderwijs. Een school heeft in het kader van cultuureducatie een geldige grondslag om gegevens van studenten en docenten in het portaal van CJP te uploaden.

De gegevens worden uitsluitend aan de school getoond in het portaal zodat alleen de budgethouder de eerder beschreven taken kan uitvoeren die horen bij het CJP Cultuurkaart-programma. CJP is geen eigenaar van de gegevens en kan de gegevens niet gebruiken voor andere doelen. In de Algemene Verwerkersovereenkomst 4.0 van het Privacy Convenant beschrijft CJP haar werkwijze informatiebeveiliging en privacy.

Als een student of docent ervoor kiest om een account aan te maken en een CJP-pas te activeren ontstaat tussen de student en CJP een directe relatie. De school is van dat proces geen onderdeel meer maar kan in het portaal wel zien welke studenten een CJP-pas hebben geactiveerd en welke studenten dit nog niet hebben gedaan. Voor de accounthouders en CJP-pashouders is het Privacy Statement van CJP van toepassing. Het privacybeleid is voor iedereen te raadplegen op https://www.cjp.nl/privacy.

• In het portaal kan uitsluitend de budgethouder van de school een beperkte set van persoonsgegevens uploaden vanuit de studentenadministratie. Het gaat daarbij om de voor- en achternaam, e-mailadres, studiejaar en klas of opleiding van de student;
• De budgethouder kan als enige ook gegevens invoeren van docenten, die ook gebruik kunnen maken van de CJP-pas. Het gaat daarbij om de voor- en achternaam en e-mailadres;
• De budgethouder maakt voor elke student en docent een unieke token aan waarmee een CJP-pas geactiveerd kan worden;
• De token heeft een geldigheid van 1 september tot en met 31 december van het volgende jaar;
• De budgethouder, of een door de budgethouder aangewezen persoon, bepaalt wanneer, aan wie en hoe vaak per e-mail de unieke token naar de studenten en docenten wordt verstuurd vanuit het portaal.
• De budgethouder kan budget dat het ministerie van OCW ter beschikking heeft gesteld toewijzen aan de studenten die in het portaal staan;
• Vóór 31 augustus van elk jaar worden de gegevens uit het portaal gewist van alle studenten en docenten, en gearchiveerd. De school uploadt vanaf september de gegevens van het nieuwe schooljaar in het portaal en herhaalt bovenstaande stappen.

• De student of docent kan met de unieke token, die door de school verstrekt wordt, een CJP-pas activeren op de website of in de app van CJP. De student of docent accepteert daarbij de algemene voorwaarden en het privacybeleid van CJP;
• In dat proces maakt de student of docent een nieuw account aan of logt in in een bestaand account. In het geval van het aanmaken van een nieuw account moet het e-mailadres bevestigd worden waarmee het account aangemaakt moet worden, wordt er een wachtwoord ingesteld en worden de postcode en geboortedatum opgegeven;
• Wanneer de student jonger dan 16 jaar is moet een e-mailadres van een ouder worden opgeven ter verwittiging;
• Na activatie van het van de CJP-pas kan een student OCW-budget ontvangen en uitgeven aan culturele activiteiten en kortingen krijgen op culturele activiteiten;
• Als een student of docent ervoor kiest om een account aan te maken en een CJP-pas te activeren, ontstaat er met CJP een directe relatie. De school is van dat proces geen onderdeel meer.

Doeleinden voor het verwerken van Persoonsgegevens

Met de CJP-pas kunnen studenten (en docenten) met korting culturele activiteiten ondernemen en korting op producten en diensten ter ondersteuning aan het beleven van culturele activiteiten. Het OCW-budget kunnen studenten inzetten bij door CJP geselecteerde culturele organisaties met een educatief programma.

Categorieën Persoonsgegevens inclusief bewaartermijnen

De bewaartermijn van de persoonsgegevens is maximaal anderhalf jaar, afhankelijk van wanneer de persoonsgegevens in het portaal geüpload worden. De persoonsgegevens worden in augustus van elk jaar gearchiveerd en in de eerste week van januari geanonimiseerd.

Locatie van opslag en verwerking Persoonsgegevens

Verwerkers

CJP neemt onderstaande maatregelen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, wijziging, opslag, toegang of openbaarmaking:

• CJP heeft een passend beleid voor de beveiliging van de verwerking van persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd en – zo nodig – aangepast.
• CJP neemt maatregelen zodat via een systeem van autorisatie enkel geautoriseerde medewerkers toegang kunnen verkrijgen tot de verwerking van persoonsgegevens. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
• CJP heeft een coördinator voor informatiebeveiliging om risico’s omtrent de verwerking van persoonsgegevens te inventariseren, beveiligingsbewustzijn te stimuleren, voorzieningen te controleren en maatregelen te treffen die zien op naleving van het informatiebeveiligingsbeleid.
• Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid.
• CJP heeft een proces ingericht voor communicatie over informatiebeveiligingsincidenten.
• CJP sluit met medewerkers geheimhoudingsverklaringen af en maakt informatiebeveiligingsafspraken.
• CJP stimuleert bewustzijn, opleiding en training ten aanzien van informatiebeveiliging.

Third Party Memorandum security assessment

d.d. 28 oktober 2024

Resultaten security assessment

BIV-classificatie

Laatste update: augustus 2024.

Op basis van het Privacy Convenant Onderwijs "Toetsingskader Certificeringsschema voor informatiebeveiliging". Maatregelen ter waarborging continuïteit en beveiliging persoonsgegevens:

De beschreven werkwijze is tot stand gekomen in samenwerking met de Privacy Officer en Functionaris Gegevensbescherming van CJP. Als je vragen of opmerkingen heeft over dit onderwerp dan horen wij dat graag. Stuur een e-mail naar support@cjp.nl en vraag naar de Privacy Officer van CJP.