rapportage van het inspectiebezoek in het kader …...voor wat betreft het aspect van risicoanalyses...
TRANSCRIPT
xx
xxx
Utrecht, 20 december 2017
Rapportage van het inspectiebezoek in het kader van het toezicht op e-health
aan het Jeroen Bosch ziekenhuis te Den Bosch op 21 november 2017
Pagina 2 van 18
Inhoud
Inhoud ........................................................................................................................................... 2
1 Aanleiding inspectiebezoek ................................................................................................... 3
1.1 Achtergrond ........................................................................................................................ 3
1.2 Toetsingskader .................................................................................................................... 4
2 Conclusie ............................................................................................................................... 6
3 Handhaving ........................................................................................................................... 7
4 Uitvoering van het inspectiebezoek ....................................................................................... 8
4.1 Inleiding .............................................................................................................................. 8
4.2 Methodiek ........................................................................................................................... 9
5 Resultaten ........................................................................................................................... 11
5.1 Goed bestuur en verantwoord innoveren ......................................................................... 11 Strategie, implementatie en monitoring ................................................................................... 11 Aanschaf en gebruik .................................................................................................................. 12
5.2 Patiëntparticipatie ............................................................................................................ 13 Patiëntparticipatie ..................................................................................................................... 13
5.3 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens 14 Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens ......... 14
5.4 Afhankelijkheid van technologie ....................................................................................... 15 Informatiebeveiliging ................................................................................................................ 15 Continuïteit ................................................................................................................................ 15
6 Bijlage 1: Algemene toelichting beoordelingen .................................................................... 17
7 Bijlage 2: Overzicht documenten die zijn ingezien ............................................................... 18
Pagina 3 van 18
1 Aanleiding inspectiebezoek
In het kader van haar toezichthoudende taak heeft de Inspectie Gezondheidszorg en
Jeugd (hierna ‘de inspectie’) op 21 november 2017 een semi-onaangekondigd bezoek
gebracht aan het Jeroen Bosch Ziekenhuis te ‘s-Hertogenbosch (hierna ‘het
ziekenhuis’).
Het doel van het bezoek was te beoordelen of het ziekenhuis bij de inzet van
informatie- en communicatietechnologie in de zorg, of ‘e-health’, zodanige
randvoorwaarden creëert dat sprake is van verantwoorde inzet van technologie voor
goede en veilige zorg.
1.1 Achtergrond Onder e-health verstaat de inspectie de inzet van hedendaagse informatie- en
communicatietechnologie (ICT), in het bijzonder internettechnologie, om de
gezondheid en gezondheidszorg te ondersteunen of te verbeteren. Concrete
voorbeelden hiervan zijn elektronische patiëntendossiers (EPD’s), elektronische
gegevensuitwisseling, patiëntenportalen, medische apps en monitoring van
chronische patiënten op afstand.
Vooral grote zorginstellingen worden steeds afhankelijker van e-health. Zo is het EPD
een essentieel onderdeel van de bedrijfsvoering geworden. Doordat zorg in
toenemende mate in een netwerk van zorgaanbieders wordt geleverd, wordt ook
onderlinge communicatie tussen zorgverleners steeds belangrijker. Digitale middelen
kunnen hierbij helpen. De inspectie is positief over de mogelijkheden die e-health kan
bieden om de zorg te ondersteunen en te verbeteren, tegelijkertijd vindt zij het
belangrijk dat de kwaliteit en veiligheid van de zorg niet in het geding komen.
Aan de nieuwe mogelijkheden zijn helaas ook risico’s verbonden. Uit een recent
onderzoek in opdracht van de Nederlandse Vereniging voor Klinische Fysica1 blijkt dat
ICT-gerelateerde problematiek op de vierde plaats komt in een landelijke
inventarisatie van VIM-meldingen. In een recente analyse van het Emergency Care
Research Institute komen ICT-risico’s op de zesde plaats2. Ook de bedreigingen van
ransomware zijn recentelijk in het nieuws geweest3. Tegelijkertijd ontwikkelen de
wetgeving en normering zich verder, denk aan de wet ‘aanvullende bepalingen
verwerking persoonsgegevens in de zorg’, die in juli 2017 is ingegaan.
Vanaf 2018 zal de inspectie structureel aandacht gaan besteden aan het thema e-
health bij zorginstellingen. In aanloop daar naartoe oriënteert de inspectie zich nader
op de huidige stand van zaken in verschillende zorginstellingen, te weten
ziekenhuizen, GGZ-instellingen en instellingen voor gehandicaptenzorg. In het najaar
van 2017 voert de inspectie daartoe verkennende bezoeken uit. Het gaat om
1 Zie http://www.mtintegraal.nl/artikelen/489/landelijke-inventarisatie-incidentmeldingen-medische-apparatuur
2 Zie https://www.ecri.org/Resources/Whitepapers_and_reports/Haz17.pdf
3 Zie http://nos.nl/artikel/2179941-zeker-vijftien-ziekenhuizen-geinfecteerd-met-ransomware.html
Pagina 4 van 18
zorginstellingen verspreid over het land, waarvan de inspectie op basis van openbare
bronnen de indruk heeft dat deze actief e-health-producten of diensten inzetten,
echter niet noodzakelijkerwijs op grote schaal. De verkennende bezoeken zijn in dit
stadium van het toezicht op e-health niet gericht op handhaving, tenzij eventuele
risicovolle situaties worden aangetroffen die direct maatregelen behoeven. De
bevindingen van deze bezoeken gebruikt de inspectie om haar toezicht op e-health
verder in te richten en een toetsingskader nader vorm te geven.
1.2 Toetsingskader Het voorlopig toetsingskader, dat is gebruikt bij dit inspectiebezoek, is gebaseerd op
de volgende wetten en veldnormen.
Wetten - Wet kwaliteit, klachten en geschillen zorg (Wkkgz), in het
bijzonder artikel 3 (2016);
- Uitvoeringsbesluit Wkkgz, in het bijzonder artikel 4.1 (2016);
- Wet aanvullende bepalingen verwerking persoonsgegevens
in de zorg (2017);
Richtlijnen en
handreikingen
- Handreiking verantwoordelijkheidsverdeling bij
samenwerking in de zorg (KNMG, V&VN, KNOV, KNGF,
KNMP, NIP, NZV, NFU, GGZ Nederland, NPCF; 2010);
- Convenant veilige toepassing van medische technologie in
de medisch specialistische zorg (NVZ, NFU, Revalidatie
Nederland, ZKN; 2016)
- Leidraad nieuwe interventies in de medische praktijk (Orde
van Medisch Specialisten, Zorginstituut Nederland,
Kennisinstituut van medisch specialisten; 2014)
- Richtlijn online arts-patiëntcontact (KNMG, 2007)
- Richtlijn elektronisch voorschrijven (KNMG, 2013)
- Richtlijn overdracht van medicatiegegevens in de keten
(Actiz, GGZ Nederland, KNMG, KNMP, LEVV, LHV, NFU, NHG,
Nictiz, NPCF, NVZ, NVZA, Orde, V&VN, Verenso, ZN;
2008/2016)
- Artsen en social media (KNMG, 2011);
- Hoe gebruik je sociale media op een verantwoorde manier?
(V&VN, 2012)
- Medische app checker (KNMG, 2016)
Normen - NEN 8028 – kwaliteitseisen telemedicine
- NTA 8009 – veiligheidsmanagementsysteem voor
ziekenhuizen en instellingen die ziekenhuiszorg verlenen
(2011/2014)
- NEN 7510 – informatiebeveiliging in de zorg (2011)
- NEN 7512 – vertrouwensbasis voor gegevensuitwisseling
Pagina 5 van 18
(2015)
Verwante
kaders
- Kader ‘Toezicht op goed bestuur’ (IGZ/NZa), 2016
Pagina 6 van 18
2 Conclusie
De inspectie concludeert op basis van het inspectiebezoek dat het ziekenhuis bij de
inzet van informatie- en communicatietechnologie in de zorg, of ‘e-health’, voldoende
randvoorwaarden creëert, zodanig dat sprake is van verantwoorde inzet van
technologie voor goede en veilige zorg. Het managementsysteem voor
informatiebeveiliging heeft echter extra aandacht nodig.
Op basis van de resultaten van het inspectiebezoek komt de inspectie tot de volgende
deelconclusies:
Onderdelen van het e-health-organisatieproces behoeven verdere uitwerking
De raad van bestuur heeft aandacht voor de e-healthontwikkelingen en heeft
organisatorische maatregelen genomen om deze zorgvuldig te beleggen. De
verantwoordelijkheden, bevoegdheden en de besluitvormingsprocessen zijn op een
aantal punten nog onvoldoende uitgewerkt. Zo is bijvoorbeeld niet geheel duidelijk
hoe en op welk moment projecten overgaan van het innovatieproces (‘i-team’) naar
het beheersmatig proces (integraal projectoverleg). Ook zijn geen criteria benoemd
wanneer risicoanalyses of andere vormen van evaluatie nodig zijn in het
ontwikkelproces.
Het ziekenhuis betrekt patiënten voldoende actief bij e-healthontwikkelingen
Het ziekenhuis betrekt op diverse manieren patiënten bij de strategie (inclusief die op
het gebied van e-health en ICT) en bij projecten. De cliëntenraad wordt actief
betrokken bij strategiediscussies.
De samenhangende visie op en de aanpak van de informatie-uitwisseling zijn
voldoende.
Informatie-uitwisseling wordt vanuit een samenhangende visie en met oog voor de
juiste randvoorwaarden geïmplementeerd.
De organisatie van de informatiebeveiliging vraagt om extra aandacht
Bij een recente interne audit van de naleving van de NEN 7510 zijn tekortkomingen
geconstateerd. Enkele daarvan worden geadresseerd in lopende projecten. Er is ook
een plan opgesteld om verdere verbeteringen aan te brengen. Echter, het plan is
onvoldoende SMART geformuleerd, het plan biedt geen heldere streefdata wanneer
een voldoende mate van compliance met NEN 7510 bereikt moet zijn.
Daarnaast is extra inspanning nodig om uiterlijk binnen een jaar te voldoen aan de
NEN 7510.
Pagina 7 van 18
3 Handhaving
Tijdens het inspectiebezoek betreffende de inzet van informatie- en
communicatietechnologie in de zorg, of ‘e-health’, zijn geen situaties aangetroffen die
een zodanig risico vormen voor het verlenen van veilige en goede zorg, dat zij de
inspectie nopen tot het opleggen van bestuursrechtelijke maatregelen.
Wel geven de bevindingen van het inspectiebezoek aanleiding tot het nemen van de
volgende verbetermaatregelen:
1. Zorg dat uiterlijk 2018 aantoonbaar wordt voldaan aan de NEN 7510 Hoewel veel aandacht aanwezig is voor directe operationele bedreigingen zijn ook andere aspecten van het informatiebeveiligingsbeleid van belang. Aantoonbaar voldoen aan NEN 7510 biedt een waarborg dat sprake is van een lerend managementsysteem op het gebied van informatiebeveiliging. De inspectie verwacht dat het ziekenhuis op een zo kort mogelijke termijn, maar in ieder geval in 2018, voldoet aan de NEN 7510.
2. Beschrijf het organisatieproces rondom e-health in meer detail Het ziekenhuis heeft een aantal aspecten van het organisatieproces nog onvoldoende uitgewerkt. De inspectie verwacht dat deze nader worden beschreven. Het gaat met name om de verantwoordelijkheden, bevoegdheden en de besluitvormingsprocessen en de wijze waarop projecten overgaan van het innovatieproces (‘i-team’) naar het beheersmatig proces (integraal procesoverleg). Het ziekenhuis heeft verder in onvoldoende mate beschreven wanneer en op welk punt in het proces formele risico-analyses (of een ander soort evaluatie op het punt van patiëntveiligheid) nodig zijn in het proces. Voor wat betreft het aspect van risicoanalyses verwijst de inspectie naar normelement 4.9.1 van NTA 8009:2014.
De inspectie verwacht dat de raad van bestuur de op basis van het inspectiebezoek
geformuleerde verbeterpunten ter harte zal nemen en verbetermaatregelen zal
nemen. De inspectie acht actieve opvolging op dit moment niet noodzakelijk; het
getoetste onderwerp kan in het reguliere toezicht worden gevolgd door de
accounthouder.
Pagina 8 van 18
4 Uitvoering van het inspectiebezoek
4.1 Inleiding De inspectie heeft zich tijdens het bezoek op vijf thema’s geconcentreerd, die naar
haar oordeel relevant zijn voor de veilige en verantwoorde inzet van e-health. Dit
waren de volgende thema’s.
Thema Toelichting
Goed bestuur en
verantwoord
innoveren
De verantwoorde inzet van e-health vereist voldoende
aandacht op verschillende niveaus in de organisatie. Wil de
organisatie ‘in control’ zijn, dan vereist dit bestuurlijke
aandacht voor de toekenning van verantwoordelijkheden bij
toepassen van technische innovaties, zoals e-health. Verder
is aandacht nodig voor de te verwachten risico’s bij
introductie van innovaties, afgewogen tegen de te
verwachten voordelen.
Patiëntparticipatie Veel e-health-toepassingen zijn erop gericht om de patiënt
beter van dienst te zijn, bijvoorbeeld door zorg meer plaats-
en tijdsonafhankelijk aan te bieden of door betere
informatie te verstrekken. Daarbij is het belangrijk dat
aandacht is besteed aan de wijze waarop patiënten in het
innovatieproces worden betrokken, aan de juiste
informatieverstrekking aan de patiënt over de aangeboden
diensten, de gebruiksvriendelijkheid, toegankelijkheid en
veiligheid van toepassingen, de keuzevrijheid van de patiënt
en de ondersteuning en nazorg.
Samenwerken in de
keten
E-health speelt een rol bij het mogelijk maken van andere
vormen van samenwerken tussen zorgverleners onderling,
bijvoorbeeld bij overdracht, of tussen zorgverlener en
patiënt. De aandacht die is besteed aan de samenwerking is
medebepalend voor de verantwoorde inzet van de e-health-
implementatie. Daar horen heldere afspraken bij tussen
zorgaanbieders onderling, maar ook van zorgaanbieders
met hun ICT-leveranciers.
Elektronisch
vastleggen en
uitwisselen van
gegevens
In de meeste organisaties worden medische gegevens
elektronisch vastgelegd. Het uitwisselen van informatie
tussen samenwerkende partijen kan worden ondersteund
door elektronische gegevensuitwisseling. Dat vraagt om het
goed in kaart brengen van de informatiebehoefte en het
voldoen aan geldende randvoorwaarden, bijvoorbeeld op
het gebied van privacy en informatiebeveiliging.
Afhankelijkheid van
technologie
De groeiende afhankelijkheid van technologie vereist dat de
organisatie is voorbereid op de risico’s die voortkomen uit
deze afhankelijkheid, bv. voor wat betreft
informatiebeveiliging en continuïteit van zorg.
Pagina 9 van 18
Elk thema is opgebouwd uit een aantal onderdelen, gebaseerd op wetten en
veldnormen zoals opgesomd in paragraaf 1.2.
De resultaten worden per onderdeel weergegeven op een vierpuntsschaal: afwezig,
aanwezig, operationeel, geborgd. Zie bijlage 1 voor een toelichting op de definities
van deze beoordelingen. Onder de tabellen met de resultaten geeft de inspectie een
toelichting op de beoordelingen.
4.2 Methodiek Het bezoek is kort van tevoren aangekondigd om de instelling de mogelijkheid te
geven om de vereiste organisatorische voorbereidingen te treffen om het bezoek
mogelijk te maken en de inspecteurs in de gelegenheid te stellen de van te voren
opgevraagde documentatie te bestuderen.
Voorafgaand aan het bezoek is gevraagd een aantal documenten aan de inspectie te
verstrekken. Ook tijdens het bezoek zijn nog aanvullend documenten opgevraagd en
bestudeerd. De aangeleverde en door het inspectieteam bekeken documenten
worden benoemd in bijlage 2 van dit rapport. Daarnaast is gevraagd de dag tevoren
een overzicht te verstrekken van in het ziekenhuis beschikbare e-healthtoepassingen,
naar aanleiding waarvan het inspectieteam het inspectieprogramma nader heeft
ingevuld.
Het inspectieprogramma zag er als volgt uit.
Onderdeel Onderwerpen van focus
Gesprek met de Raad van Bestuur
en sleutelfunctionarissen
THEMA 1 - Goed bestuur en verantwoord
innoveren
THEMA 3 – Samenwerking in het netwerk
THEMA 5 – Afhankelijkheid van technologie
Documentatieonderzoek Onderzoek documentatie (aanschafdossier) van
twee concrete e-health-voorbeelden (1 en 2)
Inspectie e-healthtoepassing 1 THEMA 1 - Goed bestuur en verantwoord
innoveren (2: aanschaf en gebruik)
THEMA 2 - Patiëntparticipatie
Inspectie e-healthtoepassing 2 THEMA 1 - Goed bestuur en verantwoord
innoveren (2: aanschaf en gebruik)
THEMA 2 - Patiëntparticipatie
Inspectie samenwerking in het
netwerk, elektronische
gegevensuitwisseling,
infomatiebeveiliging en
continuïteitsplanning
THEMA 3 – Samenwerking in het netwerk
THEMA 4 – Elektronisch vastleggen en
uitwisselen van gegevens
THEMA 5 – Afhankelijkheid van technologie
Onderhoud met THEMA 1 - Goed bestuur en verantwoord
Pagina 10 van 18
Onderdeel Onderwerpen van focus
patiëntvertegenwoordiger innoveren
THEMA 2 - Patiëntparticipatie
Eindgesprek met de raad van
bestuur en sleutelfunctionarissen
Alle bovengenoemde thema’s
Tijdens het bezoek zijn van twee e-health-toepassingen de aanschafdossiers
opgevraagd en bestudeerd en zijn deze toepassingen nader besproken en onderzocht.
De keuze van de toepassingen is niet voorafgaand aan het bezoek bekend gemaakt.
Het gaat om de volgende toepassingen:
1. Het patiëntenportaal 2. De communicatie-app Siilo.
Tijdens het bezoek zijn gesprekken gevoerd met de volgende functionarissen
(alfabetisch):
- informatieadviseur; - information security officer; - internist/endocrinoloog; - jurist; - kinderarts; - KNO-arts; - lid cliëntenraad; - lid raad van bestuur; - manager Kwaliteit en Veiligheid; - managers MICT; - manager RvE Cardiologie, dermatologie, medische microbiologie en MKA
chirurgie (proceseigenaar ketensamenwerking); - projectmanager zorgportalen; - senior adviseur Kwaliteit en Veiligheid; - unithoofd MICT; - voorzitter Bossche Specialisten Coöperatie.
Pagina 11 van 18
5 Resultaten
5.1 Goed bestuur en verantwoord innoveren Getoetste normen:
- Strategie, implementatie en monitoring: de portefeuille van e-health is belegd bij de Raad van Bestuur. Er is op het juiste niveau aandacht voor stellen van doelen en planvorming. Verantwoordelijkheden en bevoegdheden zijn belegd in de organisatie. Er is aandacht voor risicomanagement en kwaliteitsborging van e-healthtoepassingen. Het bestuur beschikt over stuurinformatie.
- Aanschaf en gebruik: de relevante disciplines zijn betrokken bij aanschaf. Er worden programma’s van eisen opgesteld. Er worden risico-analyses uitgevoerd. Er is voldoende aandacht voor instructie van gebruikers, formele vrijgave van toepassingen en onderhoud.
Afwezig Aanwezig Operationeel Geborgd
Goed bestuur en verantwoord innoveren – strategie, implementatie en monitoring
√
Goed bestuur en verantwoord innoveren –
aanschaf en gebruik
√
Toelichting:
Strategie, implementatie en monitoring Strategie is in overleg met de regio ontwikkeld en vastgelegd
De strategie op het gebied van e-health is opgenomen in een informatiebeleidsplan
dat is vastgesteld door de raad van bestuur. Het plan benoemt drie aandachtspunten,
namelijk empowerment van patiënten, ketensamenwerking met zorgverleners en
verbeteren van de processen van het ziekenhuis. De doelen sluiten aan op een samen
met regiopartners ontwikkelde strategie voor een gezonde regio.
Verschillende aanpak voor doorontwikkeling en innovatie
De raad van bestuur heeft tijdens het inspectiebezoek toegelicht dat in de toekomst
een virtueel transmuraal ziekenhuis zal ontstaan waarbij e-health een belangrijk
ondersteunend middel is. Er zullen daarbij nieuwe platformen ontwikkeld moeten
worden voor communicatie tussen patiënt en zorgverlener en voor samenwerking
tussen zorgaanbieders in de regio. De visie is dat dit niet kan vanuit een
blauwdrukbenadering. In de aansturing van e-healthontwikkelingen maakt het
ziekenhuis daarom onderscheidt tussen twee soorten ontwikkelingen. Dit zijn: 1)
geplande doorontwikkelingen van onder beheer staande ICT-systemen (o.a. het EPD)
en 2) innovatieve, minder voorspelbare ontwikkelingen. De reguliere ICT-
ontwikkelingen worden geprioriteerd in een ‘integraal proces overleg’ (IPO) waarin de
verschillende proceseigenaren binnen het ziekenhuis vertegenwoordigd zijn. Voor
Pagina 12 van 18
IPO-projecten wordt een uitgebreide projectenkalender bijgehouden waarop de
voortgang en prioriteit te volgen is. De meer innovatieve ideeën worden op iteratieve
wijze uitgewerkt door een multidisciplinair ‘i-team’ (innovatieteam). Dit gebeurt in
dertig-dagen projecten met een evaluatiemoment. De criteria op basis waarvan
nieuwe ontwikkelingen worden gerouteerd (via IPO of i-team) zijn globaal bekend
maar zijn niet in detail uitgewerkt. Wel houden sommige proceseigenaren bij welke
zaken via het IPO zijn belegd en welke via het i-team. Hoe en op welk punt projecten
worden overgedragen van i-team naar IPO-traject is nog niet geheel
uitgekristalliseerd. Ook zijn geen criteria benoemd wanneer risicoanalyses of andere
vormen van evaluatie nodig zijn in het ontwikkelproces.
Taken en bevoegdheden nog niet volledig uitgewerkt
De taken van proceseigenaren zijn beschreven, maar verantwoordelijkheden en
bevoegdheden van de diverse betrokkenen bij de e-health/ICT-ontwikkelingen zijn
nog niet volledig uitgewerkt.
Samenvattend is het beeld dat e-healthontwikkelingen de volle aandacht hebben van
de raad van bestuur en dat organisatorische maatregelen zijn genomen om deze
zorgvuldig te beleggen. De uitwerking van de taken en verantwoordelijkheden en de
besluitvormingsprocessen moet zich nog verder uitkristalliseren.
Aanschaf en gebruik Tijdens het inspectiebezoek is gekeken naar het implementatietraject rondom twee e-healthprojecten, namelijk het patiëntenportaal en een app voor communicatie tussen zorgverleners (Siilo, kort gezegd een whatsapp-achtige app met meer controles op het gebied van informatiebeveiliging en privacy). Patiëntenportaal in nauw overleg met gebruikers voorbereid Het patiëntenportaal is aangeschaft als onderdeel van het EPD, er is geen apart pakket van eisen of aanschaftraject voor geweest. Ook is geen pakket van eisen opgesteld gericht op het patiëntportaal voorafgaand aan de aanschaf. Het is een organisch proces geweest, waarbij geleerd is van de aanpak van het UMCU. Er zijn veel groepen bij betrokken, de proceseigenaren, functioneel beheer, het bureau patiëntencommunicatie, patiënten en zorgverleners. Er zijn vier inspraakavonden georganiseerd, waar patiënten en zorgverleners open konden discussiëren over de gewenste aanpak. Onderwerpen zoals het moment dat uitslagen zichtbaar worden, zijn daarbij aan de orde geweest. Een formele risico-analyse (pri) is niet uitgevoerd, wel is er een intensief voorbereidingsproces geweest. De go-livedatum van het patiëntenportaal is bewust tegelijk gekozen met de go-livedatum van het nieuwe EPD, zodat patiënten ook de voordelen van het nieuwe EPD zouden ervaren. Communicatie-app ingevoerd via de daarvoor gebruikelijke procedures (IPO) De communicatie-app is onder de aandacht gebracht door huisartsen in de regio als mogelijkheid om efficiënter en veiliger te overleggen over patiënten. Telefonisch overleg is in de praktijk vaak lastig te plannen en de app maakt asynchroon antwoorden mogelijk op een moment dat het uitkomt. Het verzoek voor de app is gerouteerd via het IPO, waarna een advies is voorbereid door MICT. Er is geen pakket van eisen opgesteld, wel is de app vergeleken met
Pagina 13 van 18
vergelijkbare alternatieven op een aantal kritische punten. Er is vervolgens een implementatieplan gemaakt en juridische en privacy-aspecten zijn uitgewerkt. Ook is er een bewerkersovereenkomst opgesteld. Er is geen formele risico-analyse uitgevoerd omdat dit niet nodig leek. Zorgvuldig proces maar geen helderheid over criteria voor uitvoeren risico-analyses Samenvattend is het beeld is dat nieuwe ontwikkelingen een zorgvuldig traject doorlopen waarbij diverse betrokkenen tijdig hun input kunnen geven. Een aandachtspunt is wel dat geen heldere criteria bestaan wanneer en op welk punt in het proces formele risico-analyses (of een ander soort evaluatie op het punt van patiëntveiligheid) nodig zijn in het proces. Ook is niet helder wanneer wel en niet wordt overgegaan op het formeel in kaart brengen van een pakket van eisen, alvorens tot een aanschaf wordt overgegaan.
5.2 Patiëntparticipatie
Getoetste normen:
Patiënten zijn betrokken bij de introductie van voor hen relevante toepassingen.
Risico’s voor patiënten worden onderkend en geadresseerd. Bij het vaststellen van in-
en exclusiecriteria wordt rekening gehouden met de zorgbehoefte van patiënten en
de eigenschappen van de e-healthdienst. Patiënten beschikken over de informatie die
nodig is voor de keuze voor bij hun zorgvraag passend aanbod. Patiënten beschikken
over de juiste kennis en vaardigheden.
Afwezig Aanwezig Operationeel Geborgd
Patiëntparticipatie √
Toelichting:
Patiëntparticipatie Het ziekenhuis betrekt op diverse manieren patiënten bij de strategie (inclusief die op
het gebied van e-health en ICT) en bij projecten. De cliëntenraad wordt actief
betrokken bij strategiediscussies (o.a. op het gebied van zorgtechnologie). Er wordt in
dit kader bestudeerd hoe patiënten nog eerder betrokken kunnen worden bij
ontwikkelingen, bijvoorbeeld in de vorm van zogenaamde ‘patiënt-effectrapportages’.
Verder heeft het i-team op uitnodiging van de cliëntenraad presentaties gegeven over
ontwikkelingen.
Patiënten waren en zijn betrokken bij discussies over de inrichting van het
patiëntenportaal. Gebruikers van het portaal krijgen ondersteuning, daarbij is o.a.
gebleken dat sommige patiënten analfabeet zijn, hiervoor is een apart
begeleidingstraject opgezet. Er is ook een e-mailadres en telefoonnummer voor
hulpvragen over het portaal, vooralsnog tijdens kantooruren.
Pagina 14 van 18
5.3 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens Getoetste normen:
- Samenwerking: De zorgorganisatie heeft duidelijk in beeld met welke andere zorgaanbieders zorginhoudelijk wordt samengewerkt. Bij samenwerking kunnen de betrokken zorgverleners beschikken over relevante gegevens van collega’s en zijn er afspraken gemaakt over de wijze waarop samenwerkingspartners relevante informatie uit een dossier kunnen verkrijgen.
- Uitwisselen van gegevens: de zorgaanbieder maakt samenwerkingsafspraken met medezorgaanbieders voor de informatievoorziening rondom medicatieoverdracht in de regionale situatie en is zich bewust van relevante standaarden. Afspraken met partijen waarmee elektronisch gegevens worden uitgewisseld worden vastgelegd. Er wordt toestemming gevraagd aan patiënten voor het elektronisch beschikbaar maken van patiëntinformatie aan andere zorgaanbieders.
Afwezig Aanwezig Operationeel Geborgd
Samenwerken in het netwerk en elektronisch uitwisselen van gegevens
√
Toelichting:
Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens
Regionale strategiebepaling
De strategie van het ziekenhuis is opgesteld in nauw overleg met zorgaanbieders en
andere betrokken partijen in de regio, waaronder gemeente, de GGD, huisartsen en
verpleging en verzorging. Het doel is om de gezondste regio van Nederland te
worden. Er zijn ook gezamenlijke projecten, o.a. op het gebied van kinderobesitas, op
dit gebied is de regio een proeftuin voor landelijk beleid. De visie van het ziekenhuis is
dat de ontwikkelingen vragen om nieuwe ICT-platformen die een laag vormen boven
de afzonderlijke zorgaanbiedersystemen. In de uitvoering wordt samengewerkt met
de regionale samenwerkingsorganisatie UP Zuid, maar ook met andere ziekenhuizen
buiten de regio, o.a. op het gebied van beelduitwisseling.
Informatiestromen zijn in kaart gebracht en gedocumenteerd
Op het niveau van informatie-uitwisseling tussen zorgaanbieders zijn de benodigde
informatiestromen geïnventariseerd en gedocumenteerd. Tijdens het inspectiebezoek
is aangegeven dat het tot stand brengen van koppelingen in de praktijk veelal nog
Pagina 15 van 18
maatwerk vereist. Voor huisartsen en artsen in verpleeghuizen wordt inzage gegeven
in het EPD, toestemming van patiënten wordt gevraagd en in het EPD bijgehouden. Er
is een koppeling met het LSP waardoor medicatieoverzichten kunnen worden
opgevraagd. Dit gebeurt voor klinische risicopatiënten altijd, voor poliklinische
patiënten wordt informatie batchgewijs vooraf opgevraagd op basis van de
afsprakenlijsten van de poli. Er is verder een pilot met het voorschrijven van
medicatie via het LSP (waarbij recepten van de poli naar de openbare apotheek gaan).
Samenvattend is het beeld van de inspectie dat de informatie-uitwisseling vanuit een
samenhangende visie en met oog voor de juiste randvoorwaarden wordt
geïmplementeerd.
5.4 Afhankelijkheid van technologie
Getoetste normen:
- Informatiebeveiliging: het bestuur is aantoonbaar betrokken bij het vaststellen, controleren en verbeteren van het informatiebeveiligingssysteem; informatiebeveilingsgebeurtenissen worden op het juiste niveau gerapporteerd.
- Continuïteit: de organisatie heeft een continuïteitsstrategie vastgesteld, ingevoerd en getest.
Afwezig Aanwezig Operationeel Geborgd
Informatiebeveiliging √
Continuïteitsplanning √
Toelichting:
Informatiebeveiliging De organisatie voldoet aan de eisen die gesteld worden voor aansluiting op DigiD.
Echter, er is daarnaast een interne audit uitgevoerd op de NEN 7510 in de eerste helft
van 2017. Hierbij zijn diverse tekortkomingen geconstateerd. Er is daarbij ook een lijst
van aanbevelingen opgesteld om deze aan te pakken. Enkele kritische bevindingen
zijn onmiddellijk als project opgepakt, ook is er een plan opgesteld om verdere
verbeteringen aan te brengen. Het plan bevat echter geen heldere streefdata en biedt
evenmin een duidelijke stip op de horizon wanneer een voldoende mate van
compliance met NEN 7510 bereikt moet zijn.
Continuïteit Er is een groot aantal maatregelen getroffen om de continuïteit van de systemen te
garanderen in geval van een calamiteit, zoals een grote stroomstoring. Er zijn
verschillende calamiteitendraaiboeken. Er zijn twee rekencentra, failover wordt
regelmatig getest. Er is een derde rekencentrum waar in geval van nood functioneel
Pagina 16 van 18
beheerders toegang hebben tot kritische systemen. Er zijn servicecontracten gericht
op korte hersteltijden. Er zijn meerdere noodstroomaggregaten, voor aanvoer van
diesel zijn regelingen getroffen.
Pagina 17 van 18
6 Bijlage 1: Algemene toelichting beoordelingen
Niveau Toelichting
Afwezig Er wordt niet aantoonbaar aandacht besteed aan het
onderwerp en/of er is geen herkenbaar proces. Er is
geen schriftelijke procedure.
Aanwezig Er wordt aantoonbaar aandacht besteed aan het
onderwerp, er kan een gedocumenteerd proces zijn,
maar in de praktijk is dit niet bij iedereen bekend en/of
het wordt niet structureel gevolgd
Operationeel Er is een gedocumenteerd proces dat in de praktijk
bekend is en structureel wordt gevolgd
Geborgd Er is een gedocumenteerd, structureel in de praktijk
gevolgd proces, waarvan de uitkomsten worden
gemeten en dat op basis van de uitkomsten wordt
verbeterd.
Pagina 18 van 18
7 Bijlage 2: Overzicht documenten die zijn ingezien
Presentatie strategie JBZ
Informatiebeleidsplan JBZ 2016-2020, versie 0.94, juli 2016
Innovatie en Implementatie, kennisdeling MICT, oktober 2017
Poster eHealth ecosysteem, november 2017
Inrichting hoofdproces informatievoorziening, september 2016
Inrichting proces informatievoorziening, versie 1.3, oktober 2016
Projectenkalender 9 november 2017
Plan iTeam zorgportalen
Voorblad IPO-overleg, nr. 521067, secure e-mail patiënten
Voorblad IPO-overleg, nr. 559457, Siilo messenger app
Intakeformulier 559457, Siilo Messenger App, maart 2017
Bewerkersovereenkomst JBZ en Siilo B.V.
Siilo handleiding Nederlands
Siilo licentieovereenkomst, augustus 2017
Gebruiksvoorwaarden Siilo app – medisch specialisten JBZ
Verslag interne audit ‘Nulmeting NEN 7510 (Q1-Q2 2017)’
Tabel Interne Audit NEN 7510 (Q2 2017)
DigiD-beveiligingsassessment, 2016
Informatiebeveiligingsplan 2017, maart 2017
Notitie Cyberveiligheid, oktober 2017
Kaderdocument ketensamenwerking, mei 2015
Overeenkomst elektronisch gegevensuitwisseling tussen het JBZ en het EZ in het
kader van de IVF (ICSI) behandeling
ETS-ziekenhuis IVF-toestemminsformulier