Security policy QIT online
Laatste update: 20/05/2021

Inleiding

 

QIT online is een webapplicatie ter ondersteuning van hulpverleners in de geestelijke gezondheidszorg, gebouwd door Quality in Treatment BV, een vennootschap gevestigd in België op Koning Albertlaan 104, 3010 Leuven.

Omdat in QIT online belangrijke en zeer persoonlijke informatie wordt verzameld en bewaard, spant QIT zich tot het uiterste in om de juistheid en de confidentialiteit van gegevens te garanderen en om gegevens alleen ter beschikking te stellen aan personen die daartoe geautoriseerd zijn.

Dit document biedt een overzicht van de maatregelen die QIT bvba heeft genomen om de kwaliteit en beveiliging van informatie te garanderen en ongeautoriseerd gebruik te voorkomen.

Operationele beveiliging

QIT online is een web applicatie die een groot deel van de activiteiten van zelfstandige therapeuten, groepspraktijken en grote instellingen in de geestelijke gezondheidszorg digitaal ondersteunt. Hieronder geven we een overzicht van de principes die zijn ingebouwd voor de operationele beveiliging bij het gebruik van QIT.

Rollen en permissies

We voorzien 3 rollen in QIT online:

  • Organisatie admin: draagt de eindverantwoordelijkheid over de activiteiten binnen de organisatie. Dit omhelst:

    • Het toevoegen en beheren van medewerkers​

    • Administratieve zaken m.b.t. facturatie

    • Toezicht op het naleven van de algemene gebruikersvoorwaarden voor de organisatie

    • Overzicht van de dossiers in de organisatie: de organisatie admin kan een overzicht raadplegen van de actieve dossiers overheen de hele organisatie maar dit overzicht is beperkt tot een voornaam, achternaam, telefoonnummer en mailadres van de cliënt, traject type, naam therapeut, aantal sessies en start behandelingstraject. De specifieke gegevens en traject activiteiten binnenin een dossier zijn enkel toegankelijk voor de behandelende therapeut.

  • Therapeut: maakt deel uit van een organisatie en kan de volgende handelingen treffen:

    • Aanmaken van dossiers: bij aanmaak geeft de therapeut een email adres in van de cliënt zodoende die cliënt een account kan aanmaken indien gewenst.

    • Opladen van documenten in de online interface en deze optioneel ook delen met de cliënt. Wanneer een document gedeeld wordt met de cliënt, wordt dit ook toegankelijk voor die cliënt wanneer hij/zij inlogt op QIT online

    • Chat functionaliteit met de cliënt: deze berichtenuitwisseling is enkel toegankelijk voor de behandelende therapeut en de cliënt via de online interface

    • Beveiligd beeldbellen via Jitsi

    • Toevoegen van leden van het cliëntsysteem, betrokkenen bij de behandeling. Deze personen kunnen specifieke vragenlijsten invullen als deel van de behandeling wanneer de therapeut hen daar specifiek voor uitnodigt

  • Cliënt:

    • Cliënten worden uitgenodigd door de therapeut o.b.v. hun email adres en maken een beveiligd account aan​

    • Zij krijgen toegang tot een eigen interface waarin ze hun persoonlijke informatie zelf kunnen beheren en specifieke behandelingsinformatie kunnen raadplegen. De therapeut heeft de volledige regie in handen m.b.t. hetgeen zichtbaar is voor de cliënt

    • Cliënten kunnen via hun online interface documenten uitwisselen, chatten en hun behandelingstraject raadplegen.

    • In het behandelingstraject zien cliënten een chronologisch overzicht van alle behandelingsactiviteiten die hebben plaatsgevonden of die ingepland staan (sessies, metingen, taken).

    • De cliënt krijgt notificaties via mail en in-app over de zaken die zijn/haar therapie aanbelangen. Er wordt ook een wekelijkse mail gestuurd met een samenvatting van de meest recente activiteiten in het account.

Bewaren van dossiers

Therapeuten dragen de eindverantwoordelijkheid over het correcte gebruik, onderhoud en de bewaartermijnen van de dossiers in QIT online. Er staat geen limiet op de bewaartermijn voor dossiers op QIT online. Therapeuten kunnen dossiers downloaden met het oog op lokale opslag en kunnen dossiers in hun geheel verwijderen.

 

Technische beveiliging

 

Database

QIT online is opgebouwd rond een relationele mySQL database.

Veilige verbindingen

De QIT-online web toepassing is enkel bereikbaar via een versleutelde HTTPS verbinding. Er wordt gebruik gemaakt van het sterke AES-128 bit encryptie algoritme. Alle communicatie tussen de laptop, desktop, tablet of mobiele telefoon van de hulpverlener en de applicatie wordt dus versleuteld. Hetzelfde geldt voor alle verbindingen die tot stand gebracht worden door de cliënten van deze hulpverleners.

 

Afgeschermde toegang

QIT-online gebruikt salted hashed paswoorden, met voor elk paswoord een eigen salt. Een salt is een random getal dat door software gegenereerd wordt om de versleuteling van paswoorden te versterken. Alle paswoorden worden op die manier versleuteld alvorens ze worden opgeslagen in de databank.

Gescheiden omgevingen met gecontroleerde overdracht

QIT-online beschikt over strikt gescheiden omgevingen voor software ontwikkeling (development), acceptance testing (staging) en productie. Overdracht van code tussen deze omgevingen gebeurt op een gecontroleerde manier na autorisatie van QIT bvba.

 

Technische beveiliging in de ontwikkelingsmethodologie (PHP Symfony)

De webapplicatie van QIT-online is gebouwd met de programmeertaal PHP en specifiek met het Symfony framework (https://symfony.com/). Er wordt een REST API gebruikt als protocol voor communicatie tussen de back-end applicatie en de front-end applicatie (deze is gebouwd met React). Het Symfony framework voorziet belangrijke principes ter beveiliging. Binnen de applicatie worden de API endpoints beveiligd via stateless authorization (JWT).

 

Subverwerkers QIT-online

 

 

DigitalOcean beveiliging

 

QIT-online wordt gehost bij DigitalOcean, één van de toonaangevende hosting providers wereldwijd. DigitalOcean levert uitgebreide garanties op gebied van kwaliteit, veiligheid en bescherming van de privacy.

 

ISO/IEC 27001:2013 kwaliteitslabel DigitalOcean

DigitalOcean is sinds 2018 in het bezit van een ISO/IEC 27001:2013 certificaat.

ISO/IEC 27001:2013 is het resultaat van een uitgebreide externe audit op het gebied van Security Management. Dit certificaat biedt de meest verregaande garanties voor de veiligheid van de hostingomgeving, vergelijkbaar met wat banken aan hun klanten aanbieden.

De ISO 27001:2013 norm, ontstaan uit de Engelse "Code of Practice for Information Security Management (BS7799)”, verwijst naar een management systeem speciaal voor informatieveiligheid (Information Security Management System ISMS) en specificeert hoe men security risico's aantoonbaar kan beheersen.

 

De ISO 27001:2013 norm betreft alle aspecten van informatiebeveiliging:

  • Beleidsmatig (management)

  • Organisatorisch (verantwoordelijkheden)

  • Bedrijfsmiddelen (infrastructuur, netwerk, systemen en overige bedrijfsmiddelen)

  • Personeel (huisregels, fouten, diefstal, fraude, misbruik)

  • Fysiek (sloten, brandbeveiliging)

  • Communicatie en operatie (beheer van systemen, processen en procedures)

  • Toegangscontrole (paswoord, biometrie)

  • Systeem- en softwareontwikkeling en onderhoud (documentatie, processen)

  • Continuïteit (calamiteiten voorzieningen)

  • Regelgeving (Wet Computercriminaliteit, Wet Bescherming Persoonsgegevens)

 

Bekijk hier het DigitalOcean ISO/IEC 27001:2013 certificaat.

 

Terms of Service Agreement: https://www.digitalocean.com/legal/terms-of-service-agreement/

Privacy Policy: https://www.digitalocean.com/legal/privacy-policy/ 

DMCA Copyright Policy: https://www.digitalocean.com/legal/dmca-copyright-policy/ 

Trademark Notification Policy: https://www.digitalocean.com/legal/trademark-notification-policy/ 

Transparency Report: https://www.digitalocean.com/legal/transparency-report/ 

Law Enforcement Policy: https://www.digitalocean.com/legal/law-enforcement-guidelines/ 

Acceptable Use Policy: https://www.digitalocean.com/legal/acceptable-use-policy/ 

Hatch Terms of Service Policy: https://www.digitalocean.com/legal/hatch-terms-of-service/ 

Marketplace T&C: https://www.digitalocean.com/legal/marketplace-vendor-terms/ 

Data Security: https://www.digitalocean.com/legal/data-security/ 

Certifications: https://www.digitalocean.com/legal/certifications/ 

GDPR: https://www.digitalocean.com/legal/gdpr/ 

Privacy Shield: https://www.digitalocean.com/legal/privacy-shield/ 

Contact Security: https://www.digitalocean.com/legal/contact-security/ 

 

Panenco bvba beveiliging

 

QIT bvba doet exclusief beroep op Panenco bvba voor alle dienstverlening met betrekking tot de webapplicatie. Deze verantwoordelijkheden betreffen zowel analyse, architectuur, design als software ontwikkeling. Panenco bvba is een professionele dienstverlener met vooraanstaande (internationale) klanten, en draagt confidentialiteit hoog in het vaandel. Om volledig in haar verantwoordelijkheden te voldoen, heeft Panenco bvba toegang tot productiegegevens. De nodige onderlinge overeenkomsten zijn aanwezig om de integriteit van de data te garanderen en de toegang te beperken tot de strikt noodzakelijke gegevens.

Security policy: https://www.panenco.com/security-policy

Updates m.b.t. deze security policy

QIT online behoudt zich het recht om de security policy te wijzigen overheen de tijd en verbindt zich ertoe om haar gebruikers hier ten gepaste wijze van op de hoogte te brengen.