Deontologische Code Questi

Questi BVBA is een onderneming die platformen beheert waarmee leraren, begeleiders, administratief personeel en directie van scholen en scholengemeenschappen waarmee Questi een overeenkomst heeft gesloten gegevens omtrent leerlingen kunnen verwerken. Questi is er zich van bewust dat bepaalde gegevens die door scholen op onze platformen worden verwerkt een gevoelig karakter kunnen hebben.

Questi heeft dan ook met haar medewerkers duidelijke afspraken gemaakt die als oogmerk hebben de vertrouwelijkheid van deze gegevens en de integriteit van onze platformen te bewaken. Tevens heeft zij stappen ondernomen om ervoor te zorgen dat de Questi-platformen en de gegevens die erop worden beheerd op een veilige manier worden verwerkt.

 

1. Technische ondersteuning

De medewerkers van Questi hebben de verplichting om omzichtig met deze gegevens om te gaan, en enkel en alleen te verwerken wanneer zij het expliciete verzoek krijgen van de school waarmee Questi een overeenkomst heeft gesloten, zoals - bij wijze van voorbeeld - bij het leveren van technische ondersteuning aan scholen en eventueel het wegwerken van fouten.

Elke school kan dezelfde functionaliteiten terugvinden op de Questi-platformen – de werking hiervan is voor alle scholen gelijk.

Indien er vanuit een bepaalde school een vraag wordt gesteld met betrekking tot de inhoud en werking van de Questi-platformen, zullen de Questi-medewerkers deze school in eerste instantie met algemene bewoordingen adviseren, zonder dat zij hiervoor noodzakelijkerwijze toegang dienen te verkrijgen tot persoonsgegevens die via de Questi-platformen worden verwerkt.

 

2. Algemene principes

Questi’s deontologische code heeft als doel bindende richtlijnen voor medewerkers van Questi op te stellen met betrekking tot persoonsgegevens die via de Questi-platformen worden verwerkt. Deze deontologische code wordt tevens op de website van Questi gepubliceerd om aldus:

  • Drempelverlagend te werken voor leerkrachten en zorgverstrekkers, zodat zij in vertrouwen informatie over kinderen die gekend zijn door de Questi-medewerkers kunnen verwerken op de Questi-platformen;

  • Bekende ouders verzekeren dat de informatie over hun kinderen strikt binnen de schoolcontext blijft;

  • Questi-medewerkers afschermen van informatie die niet voor hen bedoeld is en op enige manier de relatie tussen hen en gekende kinderen / ouders kan beïnvloeden.

 Als belangrijkste en vaststaande regels gelden dat :

  • Informatie die door een school geplaatst wordt, van welke aard ook, zal nooit door Questi aan onbevoegden getoond, meegedeeld of verspreid worden. Questi zal onbevoegden nooit, op welke manier dan ook, toegang geven tot deze informatie.

  • Bevoegden zijn personen of instanties die van de school of scholengemeenschap waarmee Questi een overeenkomst heeft gesloten toegang hebben verkregen om  deze informatie te verwerken.

  • Het is voor alle Questi-medewerkers verboden gegevens te consulteren zonder dat hiervoor enige  technisch/operationele of functionele redenen kunnen worden aangehaald.

  • Bij support- of ondersteuningsvragen wordt in eerste instantie gewerkt in een demo-omgeving, waarin fictieve data wordt verwerkt, maar dezelfde functionaliteit bevatten.

  • Questi zal al het nodige doen om de deontologische code door alle Questi-medewerkers te laten naleven. Bij inbreuk zullen sancties genomen worden.

  • Questi streeft ernaar om elke toegang tot gegevens te registreren op niet-vervalbare wijze. De toegang door Questi-medewerkers wordt op regelmatige tijdstippen gescreend.


 

3. Minimale toegang tot gegevens

Medewerkers van Questi kunnen op verzoek van een school toegang hebben tot alle gegevens die door deze school op de Questi-platformen worden verwerkt.

Wanneer zij dergelijke toegang hebben, dienen de Questi-medewerkers het principe van “minimaal nodige toegang” te respecteren. Dit impliceert dat medewerkers enkel toegang zullen krijgen tot gegevens voor zover en in de mate dit noodzakelijk is voor de uitoefening van hun taken.

Indien het toch noodzakelijk zou zijn om toegang te krijgen tot een specifiek dossier, zal de Questi-medewerker in de eerste plaats de gebruiker die ondersteuning vraagt identificeren. Dit gebeurt op volgende wijze:

  • De Questi-medewerker vraagt de gebruiker om de inhoud van zijn of haar scherm te delen met de Questi-medewerker met behulp van een programma dat deze functionaliteit ondersteunt. Vermits enkel rechtmatige gebruikers die ingelogd zijn op Questi technische ondersteuning kunnen verkrijgen, kan de Questi-medewerker er redelijkerwijze vanuit gaan dat de ingelogde gebruiker wel daadwerkelijk rechtmatig gebruik maakt van de Questi-platformen;

  • De Questi-medewerker verzoekt de gebruiker om zijn vraag toe te lichten aan de hand van de stappen die hij op de Questi-platformen heeft ondernomen, welke aanleiding geven tot het technisch probleem waarmee de gebruiker wordt geconfronteerd;

  • De Questi-medewerker kan de gebruiker verzoeken om het gebruik van het Questi-platform overnemen, teneinde de technische ondersteuning te leveren, alternatieven voor te stellen, enz.

In het kader van de bovenstaande procedure heeft de Questi-gebruiker vanzelfsprekend toegang tot de gegevens die door de gebruiker in kwestie worden verwerkt via de door de school ter beschikking gestelde Questi-platformen.

 

4. Deontologie

Wanneer een Questi-medewerker toegang verkrijgt tot één of meerdere specifieke leerlingendossiers, kan er zich in bepaalde gevallen een deontologisch probleem stellen, in het bijzonder wanneer de leerling in kwestie door de Questi-medewerker gekend is. Leerlingen zijn “gekend” wanneer zij voldoen aan één van volgende kenmerken:

  1. Eigen kinderen van een Questi-medewerker;

  2. Kinderen die goed gekend zijn door een Questi-medewerker, of waarvan de ouders goed gekend zijn door de Questi-medewerker. Voorbeelden daarvan zijn (goede) vriendjes van eigen kinderen, kinderen van goede vrienden of familie van de Questi-medewerker.

  3. Kinderen die vaag gekend zijn door een Questi-medewerker, of waarvan de ouders vaag gekend zijn door de Questi-medewerker. Voorbeelden hiervan zijn kinderen van een lid van het schoolteam, kinderen uit de klas van eigen kinderen, kinderen van vage bekenden van de Questi-medewerker.

  4. Kinderen van algemeen bekende ouders (zoals, maar niet beperkt tot, politici, mensen uit entertainmentindustrie, journalisten, captains of industry, …)


Aan de hand van de gedefinieerde categorieën van kinderen en informatie, wordt toegang tot de verwerkte gegevens verstrekt overeenkomstig volgend raster:

 

 Categorie

Klassikale info

Individuele info

Gevoelige info

1.

 

 

 

2.

 

 

 

3.

 

 

 

4.

 

 

 

 

De kleuren in het raster bepalen hoe medewerkers van Questi met de informatie moeten omgaan:

 

 

De Questi-medewerker bekijkt de informatie nooit zelf. Als er een supportvraag betrekking heeft op dergelijke gegevens, schuift hij deze door naar een Questi-medewerker die in de minst ongunstige positie t.o.v. dit kind zit. Als dit vertraging in de supportvraag oplevert, wordt dit gecommuniceerd met de vraagsteller.

 

De Questi-medewerker vermijdt de informatie zelf te bekijken, en schuift deze bij voorkeur door naar de Questi-medewerker die in de minst ongunstige positie t.o.v. dit kind zit.

 

De Questi-medewerker mag autonoom de informatie van dit kind bekijken, als dat strikt noodzakelijk is voor de goede werking van de Questi-platformen.

 

5. Niet-gevoelige gegevens

De informatie die door geautoriseerde gebruikers in Questi wordt verwerkt is niet allemaal even privacygevoelig. De inhoud van een rapport heeft, bij wijze van voorbeeld, een ander privacygevoelig karakter heeft dan de items die gepost worden op het blog, of specifieke verslagen over leerlingen.

Ook die informatie kunnen we in categorieën onderverdelen:

  1. Informatie die zichtbaar is op klassikaal niveau: testresultaten klassikaal, puntenlijsten, klaslijsten, agenda;

  2. Informatie die zichtbaar is op individueel niveau, maar die minder privacygevoelig is: klashistoriek, agenda, rapport, resultaten;

  3. Informatie in de zorgfiche : blogs, verslagen, IHP, …

 Niettemin is het steeds de school of scholengemeenschappen waarmee Questi een overeenkomst heeft gesloten die beslist wie toegang verkrijgt tot welke gegevens.

 

6. Logging van gegevens

Questi houdt een log bij van iedere verwerking van gegevens.

Elke school heeft het recht om op elk moment een toegangslijst te raadplegen, zowel van eigen medewerkers (schoolteam) als van Questi-medewerkers, in zoverre de toegang betrekking heeft op gegevens van de betreffende school.

 

7. Logische beveiligingsmaatregelen

Logische beveiligingsmaatregelen hebben betrekking op de beveiliging van gebouwen.

De gebouwen van Questi zijn buiten de kantooruren gesloten; enkel medewerkers van Questi hebben sleutels tot de gebouwen (gemeenschappelijke en privatieve delen).

Alle computers van de medewerkers van Questi zijn beveiligd met een gebruikersnaam en een paswoord; de harde schijven van deze computers zijn alle geëncrypteerd. Om toegang te krijgen tot de Questi-platformen dienen medewerkers van Questi een persoonlijke gebruikersnaam en confidentieel paswoord te gebruiken.

Voor wat de verwerking van gegevens betreft, doet Questi beroep op zogenaamde Tier 3+ datacenters, en providers die alle minstens ISO 9001 en ISO 27001 gecertificeerd zijn.

Van alle verwerkingen die op de Questi-platformen plaatsvinden worden logs bijgehouden. Deze bevatten minimaal:

  • naam gebruiker of verwijzing naar gebruikers-identificatie;

  • gebeurtenis;

  • in bepaalde gevallen: het IP-adres van het toestel waarop de verwerking werd gedaan;

  • het object waarop de handeling werd uitgevoerd;

  • het resultaat van de handeling;

  • het datum en het tijdstip van de handeling.

 

8. Technische maatregelen

Enkel Questi kan medewerkers toegang verlenen tot haar systemen. Persoonlijke gebruikersnamen en paswoorden dienen confidentieel te worden gehouden; gemeenschappelijke gebruikersnamen en paswoorden dienen enkel en alleen voor demonstratiedoeleinden en geven enkel toegang tot fictieve gegevens.

Scholen en scholengemeenschappen waarmee Questi een overeenkomst heeft gesloten kiezen zelf hun gebruikers, en kennen aan hen rechten toe. Questi is hierbij geen betrokken partij.

Paswoorden zijn slechts gedurende een beperkte tijd geldig; indien deze niet tijdig worden gewijzigd door de medewerker, wordt diens gebruik van de Questi-platformen opgeschort.

De Questi-platformen zijn bovendien uitgerust met authenticatiesystemen, die Questi-medewerkers in staat stellen om gebruikers waarmee ze in contact staan te identificeren. Enkel wanneer deze identificatie kan worden uitgevoerd, zal de desbetreffende Questi-medewerker de geïdentificeerde gebruiker mogen bijstaan.

Daarnaast wordt iedere actie die door een gebruiker op de Questi-systemen wordt uitgevoerd (bvb. het consulteren van een leerlingenfiche, het invoeren van een rapport, …) automatisch nagegaan:

  • of de gebruiker een actieve gebruiker is van het Questi-platform;

  • of de gebruiker actief gelinkt is aan de school waarvoor de actie geldt;

  • of de gebruiker de nodige rechten heeft om de actie uit te voeren.

Questi test op regelmatige basis de beveiliging van haar platformen, onder meer door het uitvoeren van een zogenaamde penetratietest. Indien dergelijke tests uitwijzen dat er aanvullende stappen dienen te worden ondernomen om de beveiliging van de Questi-platformen op peil te houden, neemt Questi prompt actie.

Meer visieteksten

Pedagogische Inhoud

Communicatie en Samenwerking

Contact

Benieuwd? Neem vandaag nog contact op met Questi en laat je verrassen door de meest performante software oplossing voor basisscholen.

014 70 71 00

info@questi.be

Questi bvba
Winkelomseheide 233 bus 8
2440 Geel
BE 0849 774 042

Questi Team

Questi wordt gedreven door een passie voor het onderwijs. Dat is de gemene deler bij al onze teamleden. Benieuwd wie wat doet?

Ontdek het team

Privacy

De vertrouwelijkheid en veiligheid van gegevens die op het Questi platform gezet worden zijn een absolute prioriteit voor Questi. Met een duidelijk privacy-beleid en een deontologische code voor het Questi-team.

Meer over privacy en veiligheid