Veiligheidsbeleid QIT online

Laatste update: 06/09/2021

Hey, aangename kennismaking! 👋

 

Wij doen er alles aan om jouw privacy te beschermen! Ons veiligheidsbeleid verduidelijkt alle maatregelen die wij hebben genomen om de kwaliteit en de beveiliging van informatie te garanderen en ongeautoriseerd gebruik te voorkomen. Het is belangrijk dat je ons veiligheidsbeleid aandachtig leest, het licht je namelijk in hoe wij er alles aan doen om de juistheid én confidentialiteit van alle soorten gegevens te garanderen.

Even een korte herinnering: door gebruik te maken van QIT online ga je automatisch akkoord met onze Algemene Voorwaarden. Je kan geen gebruik maken van onze web applicatie zonder akkoord te gaan met onze Algemene Voorwaarden.

Wij garanderen aan al onze gebruikers dat we hun gegevens slechts ter beschikking stellen aan personen die daartoe zijn geautoriseerd en dat we deze gegevens bewaren in een uiterst beveiligde omgeving. Jouw gegevens zullen nooit terecht komen in de handen van eender welke commerciële partner, laten we daar duidelijk over zijn. 

 

Ziezo, nu dat we de inleiding achter de rug hebben kunnen we verder gaan naar het echter werk. Klaar?

Wie zijn wij?

QIT online is een webapplicatie ter ondersteuning van hulpverleners in de geestelijke gezondheidszorg, gebouwd door Quality in Treatment BV, een vennootschap gevestigd in België op Koning Albertlaan 104, 3010 Leuven.

Hoe gaan wij om met de operationele beveiliging?

QIT online is een web applicatie die een groot deel van de activiteiten van zelfstandige therapeuten, groepspraktijken en grote instellingen in de geestelijke gezondheidszorg digitaal ondersteunt. Hieronder gaan we dieper in op alle verschillende principes die wij hebben ingebouwd voor de operationele beveiliging bij het gebruik van QIT.

Rollen en permissies

Binnen QIT online voorzien wij 3 verschillende rollen met elk hun eigen verantwoordelijkheid en bevoegdheid:

  1. Organisatie admin: draagt de eindverantwoordelijkheid over de activiteiten binnen de organisatie

  2. Therapeut: maakt deel uit van een organisatie 

  3. Cliënt: worden uitgenodigd door de therapeut o.b.v. hun emailadres en kunnen zelf een beveiligd account aanmaken

Organisatie

Toevoegen & beheren van medewerkers

Administratieve zaken m.b.t. de facturatie

Toezicht op het naleven van de algemene gebruikersvoorwaarden

Overzicht van de actieve dossiers in de hele organisatie*

Therapeut

Aanmaken van dossiers inclusief invoer van het emailadres van de cliënt zodoende de cliënt een account kan aanmaken indien gewenst

Opladen van documenten in de online interface en deze optioneel ook delen met de klant

Chat functionaliteit met de cliënt: enkel toegankelijk voor de behandelende therapeut en de cliënt

Beveiligd beeldbellen via Jitsi

Toevoegen van leden aan het cliëntsysteem (betrokkenen): deze personen kunnen specifieke vragenlijsten invullen als deel van de behandeling wanneer de therapeut hen daarvoor specifiek uitnodigt

Cli​ënt

Toegang tot een eigen interface waarin ze hun persoonlijke informatie zelf kunnen beheren en specifieke behandelingsinformatie zelf kunnen raadplegen **

Cliënt kan documenten uitwisselen, chatten en het behandelingsinformatie raadplegen via de online interface

Chronologisch overzicht van alle behandelingen activiteiten die hebben plaatsgevonden op ingepland staan (sessies, metingen, taken) via de online interface

Notificaties via mail en in-app over zaken die zijn/haar therapie aanbelangen inclusief een wekelijkse mail met een samenvatting van de meest recente activiteiten

* Dit overzicht is beperkt tot een voornaam, achternaam, telefoonnummer en mailadres van de cliënt, traject types, naam therapeut, aantal sessies en de startdatum van het behandelingstraject

** De therapeut heeft de volledige regie in handen m.b.t. hetgeen zichtbaar is voor de cliënt

Bewaren van dossiers

Binnen QIT online zijn het de therapeuten die de eindverantwoordelijkheid dragen over het correcte gebruik, onderhoud en de bewaartermijnen van de aangemaakte dossiers. Er staat echter geen limiet op de bewaartermijn voor dossiers op QIT online en therapeuten hebben de mogelijkheid om dossiers te downloaden met het oog op lokale opslag. Verder hebben therapeuten ook de keuze om dossiers in hun geheel te verwijderen.

Hoe zit het met onze technische beveiliging?


Wij hanteren 5 pilaren die de technische beveiliging van QIT online ondersteunen. 1. Database: QIT online is opgebouwd rond een relationele mySQL database. 2. Veilige verbindingen: onze web toepassing is enkel bereikbaar via een versleutelde HTTPS-verbinding en daar bovenop maken we ook nog gebruik van het sterke AES-128 bit encryptie algoritme. Maar wat houdt dit AES-128 bit encryptie algoritme nu juist in? Dit betekent dat alle communicatie tussen de laptop, desktop, tablet of mobiele telefoon van de hulpverlener en de applicatie versleuteld wordt. Hetzelfde geldt voor alle verbindingen die tot stand worden gebracht door de cliënten van deze hulpverleners 3. Afgeschermde toegang: binnen QIT online maken we gebruik van salted hashed paswoorden, waarbij elk paswoord zijn eigen salt bezit. En wat is een salt dan juist? Een salt is een random getal dat door software gegenereerd wordt om de versleuteling van paswoorden te versterken. We zorgen er op deze manier voor dat alle paswoorden versleuteld worden alvorens ze worden opgeslagen in de databank. 4. Gescheiden omgevingen met gecontroleerde overdracht: door gebruik te maken van strikt gescheiden omgevingen voor software ontwikkeling (development), acceptance testing (staging) en productie kunnen we verzekeren dat de overdracht van code tussen deze omgevingen op een gecontroleerde manier en slechts na autorisatie van QIT bv. 5. Technische beveiliging in de ontwikkelingsmethodologie: onze webapplicatie is gebouwd met de programmeertaal PHP en specifiek met het Symfony framework. Verder maken we ook gebruik van een REST API als protocol voor communicatie tussen de back-end appliciatie en de front-end applicatie, deze is opgebouwd met React). Welk voordeel brengt dit nu met zich mee? Het Symfony framework voorziet belangrijke principes ter beveiliging. Binnen de applicatie worden de API endpoints beveiligd via stateless authorization (JWT)




QIT online is een bruisende community


Wij werken samen met diverse digitale platformen om ons eigen platform zo gebruiksvriendelijk mogelijk te maken. Ook deze diverse platformen hanteren hun eigen veiligheidsbeleid. Door te klikken op onze partners verwijzen we je graag door naar hun veiligheidsbeleid zodanig dat jij ook daar weet van hebt. 🔗 DigitalOcean: hosting infrastructuur 🔗 Panenco bv: dienstverlening software ontwikkeling 🔗 Intercom: marketing, communicatie, onboarding en support doeleinden 🔗 Sendgrid: betrouwbare afhandeling van email verzendingen 🔗 Stripe: behandeling van online betalingen 🔗 Google Analytics & Google Tag manager: statistieken m.b.t. het gebruik van de applicatie




Samenwerking tussen QIT online en DigitalOcean


QIT online wordt gehost bij DigitalOcean, één van de meest toonaangevende providers wereldwijd. Deze samenwerking levert ons én jullie een uitgebreide garantie op gebied van kwaliteit, veiligheid en bescherming van de privacy. DigitalOcean is sinds 2018 in het bezit van een ISO/IEC 27001:2013 certificaat. Dit certificaat is het resultaat van een uitgebreide externe audit op het gebied van Security Management en biedt de meest vergaande garanties voor de veiligheid van de hostingomgeving. Je kan dit vergelijken met de garantie die banken bieden aan hun klanten! Deze I SO 27001:2013 norm, is ontstaan uit de Engelse “Code of Practice for Information Security Management (BS7799). Dit verwijst naar een management systeem speciaal voor informatieveiligheid (Information Security Management System), specificeert hoe men security risico’s aantoonbaar kan beheersen en houdt rekening met alle onderstaand aspecten van informatiebeveiliging: 🔹 Beleidsmatig: management 🔹 Organisatorisch: verantwoordelijkheden 🔹 Bedrijfsmiddelen: infrastructuur, netwerk, systemen en overige bedrijfsmiddelen 🔹 Personeel: huisregels, fouten, diefstal, fraude en misbruik 🔹 Fysiek: sloten en brandbeveiliging 🔹 Communicatie en operatie: beheer van systemen, processen en procedures 🔹 T oegangscontrole: paswoord en biometrie 🔹 Systeem- en softwareontwikkeling + onderhoud: documentatie en processen 🔹 Continuïteit: calamiteiten voorzieningen 🔹 Regelgeving: Wet Computercriminaliteit en Wet Bescherming Persoonsgegevens Wil je meer te weten komen over het beleid van DigitalOcean? Dan kan je doorklikken om het ISO/IEC 27001:2013 certificaat te bekijken of meer te weten te komen over specifieke onderdelen van hun veiligheidsbeleid. Terms of Service Agreement: https://www.digitalocean.com/legal/terms-of-service-agreement/ Privacy Policy: https://www.digitalocean.com/legal/privacy-policy/ DMCA Copyright Policy: https://www.digitalocean.com/legal/dmca-copyright-policy/ Trademark Notification Policy: https://www.digitalocean.com/legal/trademark-notification-policy/ Transparency Report: https://www.digitalocean.com/legal/transparency-report/ Law Enforcement Policy: https://www.digitalocean.com/legal/law-enforcement-guidelines/ Acceptable Use Policy: https://www.digitalocean.com/legal/acceptable-use-policy/ Hatch Terms of Service Policy: https://www.digitalocean.com/legal/hatch-terms-of-service/ Marketplace T&C: https://www.digitalocean.com/legal/marketplace-vendor-terms/ Data Processing Agreement: https://www.digitalocean.com/legal/data-processing-agreement/ Certifications: https://www.digitalocean.com/trust/certification-reports/ GDPR: https://www.digitalocean.com/legal/gdpr/ Privacy Shield: https://www.digitalocean.com/legal/privacy-shield/ Contact Security: https://www.digitalocean.com/legal/contact-security/




Samenwerking tussen QIT online en Panenco


QIT bv doet exclusief beroep op Panenco bv voor alle dienstverlening met betrekking tot de webapplicatie. Deze verantwoordelijkheden betreffen zowel analyse, architectuur, design als software ontwikkeling. Panenco bv is een professionele dienstverlener met vooraanstaande (internationale) klanten, en draagt confidentialiteit hoog in het vaandel. Om volledig in haar verantwoordelijkheden te voldoen, heeft Panenco bv toegang tot productiegegevens. Je mag er zeker van zijn dat de nodige onderlinge overeenkomsten aanwezig zijn om de integriteit van de data te garanderen en de toegang te beperken tot de strikt noodzakelijke gegevens. Wil je meer weten over het veiligheidsbeleid van Panenco? Surf dan naar https://www.panenco.com/security-policy.





Ziezo!

Dit was het veiligheidsbeleid van QIT online.


Indien je met vragen zit mag je ze stellen door een berichtje te sturen naar info@qit.online. Wij zullen zo snel mogelijk antwoorden.

QIT online behoudt zich het recht om de security policy te wijzigen overheen de tijd en verbindt zich ertoe om haar gebruikers hier ten gepaste wijze van op de hoogte te brengen.