Rapport van het inspectiebezoek aan SavyZorg in Nijmegen ...
Rapportage van het inspectiebezoek in het kader van het toezicht … De inspectie concludeert op...
Transcript of Rapportage van het inspectiebezoek in het kader van het toezicht … De inspectie concludeert op...
xx
xxx
Utrecht, 19 januari 2018
Rapportage van het inspectiebezoek in het kader van het toezicht op e-health
aan Philadelphia te Amersfoort op 12 december 2017
Pagina 2 van 20
Inhoud
Inhoud ........................................................................................................................................... 2
1 Aanleiding inspectiebezoek ................................................................................................... 3
1.1 Achtergrond ........................................................................................................................ 3
1.2 Toetsingskader .................................................................................................................... 4
2 Conclusie ............................................................................................................................... 6
3 Handhaving ........................................................................................................................... 8
4 Uitvoering van het inspectiebezoek ....................................................................................... 9
4.1 Inleiding .............................................................................................................................. 9
4.2 Methodiek ......................................................................................................................... 10
5 Resultaten ........................................................................................................................... 12
5.1 Goed bestuur en verantwoord innoveren ......................................................................... 12 Strategie, implementatie en monitoring ................................................................................... 12 Aanschaf en gebruik .................................................................................................................. 13
5.2 Patiëntparticipatie ............................................................................................................ 15 Patiëntparticipatie ..................................................................................................................... 15
5.3 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens 16 Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens ......... 16
5.4 Afhankelijkheid van technologie ....................................................................................... 17 Informatiebeveiliging ................................................................................................................ 17 Continuïteit ................................................................................................................................ 17
6 Bijlage 1: Algemene toelichting beoordelingen .................................................................... 18
7 Bijlage 2: Overzicht documenten die zijn ingezien ............................................................... 19
Pagina 3 van 20
1 Aanleiding inspectiebezoek
In het kader van haar toezichthoudende taak heeft de Inspectie Gezondheidszorg en
Jeugd in oprichting (hierna ‘de inspectie’) op 12 december een semi-onaangekondigd
bezoek gebracht aan Philadelphia te Amersfoort (hierna ‘de zorginstelling’).
Het doel van het bezoek was te beoordelen of de zorginstelling bij de inzet van
informatie- en communicatietechnologie in de zorg, oftewel ‘e-health’, zodanige
randvoorwaarden creëert dat sprake is van verantwoorde inzet van technologie voor
goede en veilige zorg.
1.1 Achtergrond Onder e-health verstaat de inspectie de inzet van hedendaagse informatie- en
communicatietechnologie (ICT), in het bijzonder internettechnologie, om de
gezondheid en gezondheidszorg te ondersteunen of te verbeteren. Concrete
voorbeelden hiervan zijn elektronische patiëntendossiers (EPD’s), elektronische
gegevensuitwisseling, patiëntenportalen, medische apps en monitoring van
chronische patiënten op afstand.
Vooral grote zorginstellingen worden steeds afhankelijker van e-health. Zo is het EPD
een essentieel onderdeel van de bedrijfsvoering geworden. Doordat zorg in
toenemende mate in een netwerk van zorgaanbieders wordt geleverd, wordt ook
onderlinge communicatie tussen zorgverleners steeds belangrijker. Digitale middelen
kunnen hierbij helpen. De inspectie is positief over de mogelijkheden die e-health kan
bieden om de zorg te ondersteunen en te verbeteren, tegelijkertijd vindt zij het
belangrijk dat de kwaliteit en veiligheid van de zorg niet in het geding komen.
Aan de nieuwe mogelijkheden zijn helaas ook risico’s verbonden. Uit een recent
onderzoek in opdracht van de Nederlandse Vereniging voor Klinische Fysica1 blijkt dat
ICT-gerelateerde problematiek op de vierde plaats komt in een landelijke
inventarisatie van VIM-meldingen. In een recente analyse van het Emergency Care
Research Institute komen ICT-risico’s op de zesde plaats2. Ook de bedreigingen van
ransomware zijn recentelijk in het nieuws geweest3. Tegelijkertijd ontwikkelen de
wetgeving en normering zich verder, denk aan de wet ‘aanvullende bepalingen
verwerking persoonsgegevens in de zorg’, die in juli 2017 is ingegaan.
Vanaf 2018 zal de inspectie structureel aandacht gaan besteden aan het thema e-
health bij zorginstellingen. In aanloop daar naartoe oriënteerde de inspectie zich in
2017 nader op de stand van zaken in verschillende zorginstellingen, te weten
ziekenhuizen, GGZ-instellingen en instellingen voor gehandicaptenzorg. In het najaar
van 2017 voerde de inspectie daartoe verkennende bezoeken uit. Het ging om
zorginstellingen verspreid over het land, waarvan de inspectie op basis van openbare
1 Zie http://www.mtintegraal.nl/artikelen/489/landelijke-inventarisatie-incidentmeldingen-medische-apparatuur
2 Zie https://www.ecri.org/Resources/Whitepapers_and_reports/Haz17.pdf
3 Zie http://nos.nl/artikel/2179941-zeker-vijftien-ziekenhuizen-geinfecteerd-met-ransomware.html
Pagina 4 van 20
bronnen de indruk heeft dat deze actief e-health-producten of diensten inzetten,
echter niet noodzakelijkerwijs op grote schaal. De verkennende bezoeken waren in dit
stadium van het toezicht op e-health niet gericht op handhaving, tenzij eventuele
risicovolle situaties worden aangetroffen die direct maatregelen behoeven. De
bevindingen van deze bezoeken gebruikt de inspectie om haar toezicht op e-health
verder in te richten en een toetsingskader nader vorm te geven.
1.2 Toetsingskader Het voorlopig toetsingskader, dat is gebruikt bij dit inspectiebezoek, is gebaseerd op
de volgende wetten en veldnormen.
Wetten - Wet kwaliteit, klachten en geschillen zorg (Wkkgz), in het
bijzonder artikel 3 (2016);
- Uitvoeringsbesluit Wkkgz, in het bijzonder artikel 4.1 (2016);
- Wet aanvullende bepalingen verwerking persoonsgegevens
in de zorg (2017);
Richtlijnen en
handreikingen
- Handreiking verantwoordelijkheidsverdeling bij
samenwerking in de zorg (KNMG, V&VN, KNOV, KNGF,
KNMP, NIP, NZV, NFU, GGZ Nederland, NPCF; 2010);
- Convenant veilige toepassing van medische technologie in
de medisch specialistische zorg (NVZ, NFU, Revalidatie
Nederland, ZKN; 2016)
- Leidraad nieuwe interventies in de medische praktijk (Orde
van Medisch Specialisten, Zorginstituut Nederland,
Kennisinstituut van medisch specialisten; 2014)
- Richtlijn online arts-patiëntcontact (KNMG, 2007)
- Richtlijn elektronisch voorschrijven (KNMG, 2013)
- Richtlijn overdracht van medicatiegegevens in de keten
(Actiz, GGZ Nederland, KNMG, KNMP, LEVV, LHV, NFU, NHG,
Nictiz, NPCF, NVZ, NVZA, Orde, V&VN, Verenso, ZN;
2008/2016)
- Artsen en social media (KNMG, 2011);
- Hoe gebruik je sociale media op een verantwoorde manier?
(V&VN, 2012)
- Medische app checker (KNMG, 2016)
Normen - NEN 8028 – kwaliteitseisen telemedicine
- NTA 8009 – veiligheidsmanagementsysteem voor
ziekenhuizen en instellingen die ziekenhuiszorg verlenen
(2011/2014)
- NEN 7510 – informatiebeveiliging in de zorg (2011)
- NEN 7512 – vertrouwensbasis voor gegevensuitwisseling
(2015)
Pagina 5 van 20
Verwante
kaders
- Kader ‘Toezicht op goed bestuur’ (IGZ/NZa), 2016
Pagina 6 van 20
2 Conclusie
De inspectie concludeert op basis van het inspectiebezoek dat de zorginstelling bij de
inzet van informatie- en communicatietechnologie in de zorg, of ‘e-health’, voldoende
randvoorwaarden creëert, zodanig dat sprake is van verantwoorde inzet van
technologie voor goede en veilige zorg. De zorginstelling kan deze randvoorwaarden
wel op diverse punten verder uitwerken en vastleggen.
Op basis van de constateringen komt de inspectie tot de volgende deelconclusies:
Visie op e-health is vastgelegd en de raad van bestuur is hierover in controle
De zorginstelling heeft een duidelijk gedocumenteerde visie op e-health die wordt
gedragen door de raad van bestuur en afgestemd met raad van toezicht, personeel,
cliënten en familie. In de organisatie zijn verantwoordelijken benoemd om de visie te
realiseren binnen vastgestelde financiële kaders.
e-healthimplementaties zijn met waarborgen omgeven, proces wordt nog
vastgelegd
De zorginstelling omgeeft de ontwikkeling en implementatie van e-
healthtoepassingen met diverse waarborgen en betrekt de relevante stakeholders
hierbij. De zorginstelling onderscheidt verschillende portfolio’s van projecten die om
een deels verschillende aanpak vragen. Het innovatieproces is in grote lijnen
ontwikkeld maar nog niet vastgelegd. Er wordt aantoonbaar rekening gehouden met
risico’s, maar er is nog geen formeel proces voor risicoanalyse.
De zorginstelling betrekt actief cliënten en verwanten bij de e-health-
ontwikkelingen
De zorginstelling betrekt op verschillende manieren cliënten en verwanten bij de
ontwikkeling van e-healthtoepassingen. Uit diverse adviezen blijkt actieve
betrokkenheid van cliëntenraad en familieraad. Het proces en de criteria voor
patiëntbetrokkenheid bij e-healthontwikkelingen zijn nog niet formeel vastgelegd.
Elektronische uitwisseling met ketenpartners op beperkte schaal
Op beperkte schaal vindt elektronische uitwisseling met ketenpartners plaats. Er is
geen gedocumenteerde visie op het elektronische delen van informatie met andere
partijen of een gedocumenteerde architectuur die de informatiebehoefte van de
zorgverleners in het netwerk structureel in kaart brengt.
De informatiebeveiliging is deels getoetst aan ISO 27001
Er is recent een ISO 270014-audit uitgevoerd door een externe partij. Hierbij heeft het
cluster Werk en Begeleiding van de zorginstelling een certificaat verkregen dat
4 Internationale norm voor informatiebeveiliging; de NEN 7510 is voor een belangrijk deel gebaseerd op de ISO 27001
Pagina 7 van 20
aantoont dat het organisatiedeel voldoet aan de norm. De zorginstelling heeft het
voornemen om de overige twee organisatorische clusters te laten volgen in 2018.
Pagina 8 van 20
3 Handhaving
3.1 Maatregelen
Niet van toepassing.
3.2 Aanbevelingen
De inspectie geeft de volgende aandachts- en verbeterpunten aan:
1. Werk de aanpak voor e-healthprojecten verder uit op grond van opgedane
ervaringen
Goede ervaringen uit projecten kunnen nog meer worden uitgewerkt in een
algemene aanpak. Het documenteren en naleven van een aanpak, waarbij
onderwerpen als risicoanalyse en inpassing in de architectuur tijdig aandacht krijgen,
kan het succes van projecten verder bevorderen. Dit geldt ook voor het proces en de
criteria voor patiëntbetrokkenheid bij e-healthontwikkelingen. Aandachtspunten
gegeven door OR, cliëntenraad en familieraad kunnen hierbij worden benut.
2. Werk een visie en architectuur uit voor de ondersteuning van de
informatiebehoefte in het netwerk
Een architectuur die de informatiebehoefte van de zorgverleners in het netwerk
structureel in kaart brengt kan er toe bijdragen dat de diverse zorgverleners in het
netwerk tijdig over de juiste informatie beschikken, bijvoorbeeld rondom
medicatiegebruik.
De inspectie verwacht dat de Raad van Bestuur de op basis van de inspectiebezoek
geformuleerde aandachts- en verbeterpunten ter harte zal nemen.
3.3 Vervolgacties inspectie
De inspectie acht actieve opvolging op dit moment niet noodzakelijk; het onderwerp
kan in het reguliere toezicht worden vervolgd.
Pagina 9 van 20
4 Uitvoering van het inspectiebezoek
4.1 Inleiding De inspectie heeft zich tijdens het bezoek op vijf thema’s geconcentreerd, die naar
haar oordeel relevant zijn voor de veilige en verantwoorde inzet van e-health . Dit
waren de volgende thema’s.
Thema Toelichting
Goed bestuur en
verantwoord
innoveren
De verantwoorde inzet van e-health vereist voldoende
aandacht op verschillende niveaus in de organisatie. Wil de
organisatie ‘in control’ zijn, dan vereist dit bestuurlijke
aandacht voor de toekenning van verantwoordelijkheden bij
toepassen van technische innovaties, zoals e-health. Verder
is aandacht nodig voor de te verwachten risico’s bij
introductie van innovaties, afgewogen tegen de te
verwachten voordelen.
Patiëntparticipatie Veel e-health-toepassingen zijn erop gericht om de patiënt
beter van dienst te zijn, bijvoorbeeld door zorg meer plaats-
en tijdsonafhankelijk aan te bieden of door betere
informatie te verstrekken. Daarbij is het belangrijk dat
aandacht is besteed aan de wijze waarop patiënten in het
innovatieproces worden betrokken, aan de juiste
informatieverstrekking aan de patiënt over de aangeboden
diensten, de gebruiksvriendelijkheid, toegankelijkheid en
veiligheid van toepassingen, de keuzevrijheid van de patiënt
en de ondersteuning en nazorg.
Samenwerken in de
keten
E-health speelt een rol bij het mogelijk maken van andere
vormen van samenwerken tussen zorgverleners onderling,
bijvoorbeeld bij overdracht, of tussen zorgverlener en
patiënt. De aandacht die is besteed aan de samenwerking is
medebepalend voor de verantwoorde inzet van de e-health-
implementatie. Daar horen heldere afspraken bij tussen
zorgaanbieders onderling, maar ook van zorgaanbieders
met hun ICT-leveranciers.
Elektronisch
vastleggen en
uitwisselen van
gegevens
In de meeste organisaties worden medische gegevens
elektronisch vastgelegd. Het uitwisselen van informatie
tussen samenwerkende partijen kan worden ondersteund
door elektronische gegevensuitwisseling. Dat vraagt om het
goed in kaart brengen van de informatiebehoefte en het
voldoen aan geldende randvoorwaarden, bijvoorbeeld op
het gebied van privacy en informatiebeveiliging.
Afhankelijkheid van
technologie
De groeiende afhankelijkheid van technologie vereist dat de
organisatie is voorbereid op de risico’s die voortkomen uit
deze afhankelijkheid, bv. voor wat betreft
informatiebeveiliging en continuïteit van zorg.
Pagina 10 van 20
Elk thema is opgebouwd uit een aantal onderdelen, gebaseerd op wetten en
veldnormen zoals opgesomd in paragraaf 1.2.
De resultaten worden per onderdeel weergegeven op een vierpuntsschaal: afwezig,
aanwezig, operationeel, geborgd. Zie bijlage 1 voor een toelichting op de definities
van deze beoordelingen. Onder de tabellen met de resultaten geeft de inspectie een
toelichting op de beoordelingen.
4.2 Methodiek Het bezoek is kort van tevoren aangekondigd om de instelling de mogelijkheid te
geven om de vereiste organisatorische voorbereidingen te treffen om het bezoek
mogelijk te maken en de inspecteurs in de gelegenheid te stellen de van te voren
opgevraagde documentatie te bestuderen.
Voorafgaand aan het bezoek is gevraagd een aantal documenten aan de inspectie te
verstrekken. Ook tijdens het bezoek zijn nog aanvullend documenten opgevraagd en
bestudeerd. De aangeleverde en door het inspectieteam bekeken documenten
worden benoemd in bijlage 2 van dit rapport. Daarnaast is gevraagd de dag tevoren
een overzicht te verstrekken van in de zorginstelling beschikbare e-
healthtoepassingen,naar aanleiding waarvan het inspectieteam het
inspectieprogramma nader heeft ingevuld.
Het inspectieprogramma had globaal de volgende onderdelen (het gesprek met de
patiëntvertegenwoordiger was in de praktijk gecombineerd met andere onderdelen
van het programma) .
Onderdeel Onderwerpen van focus
Gesprek met secretaris van de Raad
van Bestuur en
sleutelfunctionarissen
THEMA 1 – Goed bestuur en verantwoord
innoveren
THEMA 3 – Samenwerking in het netwerk
THEMA 5 – Afhankelijkheid van technologie
Inspectie e-healthtoepassing 1 THEMA 1 – Goed bestuur en verantwoord
innoveren (2: aanschaf en gebruik)
THEMA 2 – Patiëntparticipatie
Inspectie e-healthtoepassing 2 THEMA 1 – Goed bestuur en verantwoord
innoveren (2: aanschaf en gebruik)
THEMA 2 – Patiëntparticipatie
Inspectie samenwerking in het
netwerk, elektronische
gegevensuitwisseling,
infomatiebeveiliging en
continuïteitsplanning
THEMA 3 – Samenwerking in het netwerk
THEMA 4 – Elektronisch vastleggen en
uitwisselen van gegevens
THEMA 5 – Afhankelijkheid van technologie
Onderhoud met THEMA 1 – Goed bestuur en verantwoord
Pagina 11 van 20
Onderdeel Onderwerpen van focus
patiëntvertegenwoordiger innoveren
THEMA 2 – Patiëntparticipatie
Eindgesprek met de Raad van
Bestuur en sleutelfunctionarissen
Alle bovengenoemde thema’s
Tijdens het bezoek zijn van twee e-health-toepassingen de aanschafdossiers
opgevraagd en bestudeerd en zijn deze toepassingen nader besproken en onderzocht.
Het gaat om de volgende toepassingen:
1. Het ECD en toegang voor cliënten 2. Digicontact (beeldbellen)
Daarnaast is gesproken over andere toepassingen zoals robotica en de
multisensorische belevingscabine.
Tijdens het bezoek zijn gesprekken gevoerd met de volgende functionarissen.
Lid raad van bestuur
Secretaris raad van bestuur
Directeur informatisering & automatisering
Directeur innovatie en projecten
Senior projectleider innovatie
Senior beleidsmedewerker
Beleidsmedewerker
Begeleider
Gedragswetenschapper
Lid landelijke familieraad
Manager Digicontact
Promovendus/onderzoeker
Voorzitter landelijke cliëntenraad
Pagina 12 van 20
5 Resultaten
5.1 Goed bestuur en verantwoord innoveren Getoetste normen:
- Strategie, implementatie en monitoring: de portefeuille van e-health is belegd bij de Raad van Bestuur. Er is op het juiste niveau aandacht voor stellen van doelen en planvorming. Verantwoordelijkheden en bevoegdheden zijn belegd in de organisatie. Er is aandacht voor risicomanagement en kwaliteitsborging van e-healthtoepassingen. Het bestuur beschikt over stuurinformatie.
- Aanschaf en gebruik: de relevante disciplines zijn betrokken bij aanschaf. Er worden programma’s van eisen opgesteld. Er worden risico-analyses uitgevoerd. Er is voldoende aandacht voor instructie van gebruikers, formele vrijgave van toepassingen en onderhoud.
Afwezig Aanwezig Operationeel Geborgd
Goed bestuur en verantwoord innoveren – strategie, implementatie en monitoring
√
Goed bestuur en verantwoord innoveren –
aanschaf en gebruik
√
Toelichting:
Strategie, implementatie en monitoring Strategie op het gebied van e-health is vastgelegd en doelen zijn benoemd
Uit de voor het inspectiebezoek aangeleverde documentatie en uit de tijdens het
bezoek gevoerde gesprekken blijkt dat e-health in de strategie van Philadelphia een
belangrijke rol speelt. In de strategische koers 2016-2020 wordt ‘humanized
technology’ of mensgerichte technologie benoemd als een van vier strategische
thema’s. Aan de inzet ervan worden duidelijke doelen gekoppeld. Technologie wordt
ingezet om de kansen van cliënten op eigen regie in het dagelijks leven te vergroten
en mogelijkheden te vergroten in ontwikkeling, beweging en contact. Mensgerichte
technologie als thema is eveneens terug te vinden in het jaarplan 2017. Het
‘dreamteam Philadelphia 2030’ heeft op verzoek van de raad van bestuur een
toekomstvisie ‘Philadelphia 2030’ ontwikkeld, waarin Philadelphia de impact van
mensgerichte technologie op de zorgverlening van Philadelphia heeft verkend. Deze
visie is formeel voorgelegd aan en becommentarieerd door raad van toezicht,
ondernemingsraad, familieraad en cliëntenraad.
Tegelijkertijd geeft de strategie aan dat bedrijfsprocessen verder gedigitaliseerd en
geautomatiseerd zullen worden om te komen tot een efficiënte en effectieve
werkverdeling en indeling van processen.
Pagina 13 van 20
Taken en verantwoordelijkheden van sleutelfunctionarissen zijn vastgelegd
In de organisatiestructuur zijn op stafniveau de onderdelen ‘informatisering en
automatisering’ (I&A) en ‘innovatie en projecten’ (I&P) verantwoordelijk voor
respectievelijk de dagelijkse operatie van de informatievoorziening en verkenningen
en ontwikkeling van technologische innovaties. In I&A (ca. 35 FTE) zijn functioneel
beheer, business analyse en architectuur ondergebracht. I&P (ca. 12 FTE) is vooral
een coördinatiepunt voor projectleiders die zich in de organisatie bezig houden met
het ontwikkelen van innovaties. In de ‘Organisatieregeling Stichting Philadelphia Zorg’
zijn de taken en verantwoordelijkheden van alle stafdirecteuren in detail vastgelegd,
dus ook van de stafdirecteuren ‘ICT en informatiebeveiliging’ en de ‘stafdirecteur
innovatie en projecten’.
Investeringen worden bewaakt
De raad van bestuur heeft een financieel kader aangebracht voor de investeringen in
innovatieve projecten om te bewaken dat het investeringsniveau aanvaardbaar blijft
in verhouding tot het rendement van de organisatie. Innovatieprojecten worden
voorgelegd aan en beoordeeld door de raad van bestuur.
Samenvattend heeft de zorginstelling een duidelijk gedocumenteerde visie op e-
health die wordt gedragen door de raad van bestuur en afgestemd met raad van
toezicht, personeel, cliënten en familie. In de organisatie zijn verantwoordelijken
benoemd om de visie te realiseren binnen vastgestelde financiële kaders.
Aanschaf en gebruik Elementen van het innovatieproces zijn duidelijk, het is nog niet formeel vastgelegd
Voor het ontwikkelen van e-healthinnovaties heeft de afdeling innovatie en projecten
in grote lijnen een proces ontwikkeld, maar nog niet vastgelegd. Tijdens het
inspectiebezoek zijn wel belangrijke elementen van het proces geschetst, namelijk
multidisciplinaire aanpak, kortcyclisch werken, cocreatie met alle betrokken
stakeholders, cliëntgericht werken en flexibiliteit. Er wordt rekening gehouden met
eventuele risico’s (bv. ethische vraagstukken, privacyaspecten, informatiebeveiliging),
maar er is geen formeel proces voor risicoanalyse. Wel probeert de zorginstelling voor
het hanteren van risico’s zoveel mogelijk verantwoordelijkheid op de werkvloer te
leggen, door digitaal vakmanschap bij begeleiders te stimuleren. Tijdens het
inspectiebezoek is aangegeven dat er plannen zijn om het innovatieproces meer vast
te leggen, hierbij is o.a. een antropologe betrokken. Er zijn geen vaste criteria voor
het (moment van) betrekken van de afdeling I&A bij innovaties. Het gebeurt in de
praktijk wel, bijvoorbeeld voor review van de architectuuraspecten. Er is bijvoorbeeld
een lijst gemaakt van zogenaamde ‘exoten’, applicaties die niet bij de formele IT-
omgeving horen maar wel in de organisatie worden gebruikt. Deze zijn op een aantal
aspecten gecontroleerd en opgenomen in een catalogus van goedgekeurde
hulpmiddelen.
Er worden verschillende portfolio’s van projecten onderscheiden
Ontwikkelingen zijn ondergebracht in drie verschillende portfolio’s van projecten, elk
daarvan is ondergebracht bij een lid van de raad van bestuur:
verbeteren (aanpassingen aan bestaande diensten);
Pagina 14 van 20
vernieuwen (gericht op de nabije toekomst, bv. ontwikkeling van business intelligence oplossingen) en
innoveren (gericht op de verdere toekomst, uitkomsten minder voorspelbaar, bv. proeven met robots, slimme pillendoos, sensorische cabines).
ECD-vervangingstraject weloverwogen stilgelegd, verbeteringen op bestaande systeem vinden gecontroleerd plaats Tijdens het inspectiebezoek is onder andere ingezoomd op het ECD. De zorginstelling heeft zojuist een selectietraject uitgevoerd om te komen tot een nieuw ECD. Het traject is in de zomer stilgelegd omdat geen geschikt pakket kon worden gevonden. Er wordt nu voorlopig doorgegaan met graduele verbeteringen op het bestaande systeem, terwijl een nieuw programma wordt geformuleerd. In het selectietraject zijn allereerst functionele wensen in kaart gebracht en gedocumenteerd per cliëntendoelgroep. Tegelijk zijn er kleinschalige pilots uitgevoerd met functionaliteiten die niet in het huidige ECD aanwezig zijn, zoals een agenda voor cliënten. Er is na oriëntatie op een beperkt aantal pakketten een Request for Proposal uitgestuurd, er bleef uiteindelijk één partij over. De aangeboden pakketfunctionaliteit bleek echter niet geschikt voor alle te ondersteunen cliëntgroepen. Ook was onvoldoende duidelijk of de aanbiedende partij voldoende zekerheid en continuïteit kon bieden. De raad van bestuur heeft besloten dat de risico’s van doorzetten van het project te groot waren. Behalve over het vervangingstraject is tijdens het inspectiebezoek gesproken over enkele aspecten van het bestaande systeem. Voor gebruikerstraining is een e-learningmodule aanwezig. Verder vindt ‘training on the job’ plaats. Voor wijzigingen wordt gewerkt met een releasekalender. Er is een testinfrastructuur die een kopie is van het productiesysteem. Digicontact is met waarborgen omgeven en wordt steeds geëvalueerd Digicontact is een dienst waarmee de zorginstelling vierentwintig uur per dag via beeldcontact ondersteuning geeft aan cliënten met een hulpvraag. Hiermee kan de cliënt bediend worden op het moment dat er zich een hulpvraag voordoet en niet op het moment dat een begeleider toevallig langskomt. De dienst wordt geboden vanuit een centrale. De processen zijn vastgelegd in scripts. Dit geldt ook voor escalatieprocessen, waarbij zo nodig opgeschakeld kan worden naar het eigen netwerk van de cliënt, de locatiebegeleider, of in geval van nood naar de hulpdiensten (112). Per cliënt is er ook een omgangsadvies beschikbaar voor de medewerker. Alle medewerkers zijn geschoold op HBO-plus-niveau. Er zijn randvoorwaarden opgesteld voor de geschiktheid van cliënten om voor de dienst in aanmerking te komen; zo moet de cliënt zich verstaanbaar kunnen maken, moet de apparatuur kunnen bedienen (tablet met simpele interface) en moet adviezen kunnen opvolgen. Een zorglocatie besluit of en wanneer Digicontact wordt ingevoerd. Hieraan gaat een traject vooraf van overleg met ouders en verwanten, waarna een traject volgt van dubbeldraaien met de tot dan gebruikelijke vorm van ondersteuning. Digicontact wordt ook ingezet in de nachtzorg. De ervaringen daarmee per locatie worden geëvalueerd, blijkt o.a. uit aangeleverde documentatie (‘de nacht is om te slapen’). In het geval dat voor een cliënt Digicontact geen uitkomst biedt dan zijn
Pagina 15 van 20
andere arrangementen mogelijk (andere vormen van domotica en/of zorg nabij). De zorginstelling heeft op basis van de ervaringen de succesfactoren en belemmerende factoren voor invoeren van Digicontact geïnventariseerd. Er vindt verder momenteel ook wetenschappelijk onderzoek plaats naar Digicontact (promotietraject). Samenvattend kan worden geconstateerd dat de zorginstelling de ontwikkeling en implementatie van e-healthtoepassingen met diverse waarborgen omgeeft en de relevante stakeholders erbij betrekt. De zorginstelling onderscheidt verschillende portfolio’s van projecten die om een deels verschillende aanpak vragen. Het innovatieproces is in grote lijnen ontwikkeld maar nog niet vastgelegd. Er wordt aantoonbaar rekening gehouden met risico’s, maar er is nog geen formeel proces voor risicoanalyse.
5.2 Patiëntparticipatie
Getoetste normen:
Patiënten zijn betrokken bij de introductie van voor hen relevante toepassingen.
Risico’s voor patiënten worden onderkend en geadresseerd. Bij het vaststellen van in-
en exclusiecriteria wordt rekening gehouden met de zorgbehoefte van cliënten en de
eigenschappen van de e-healthdienst. Patiënten beschikken over de informatie die
nodig is voor de keuze voor bij hun zorgvraag passend aanbod. Patiënten beschikken
over de juiste kennis en vaardigheden.
Afwezig Aanwezig Operationeel Geborgd
Patiëntparticipatie √
Toelichting:
Patiëntparticipatie De zorginstelling betrekt op verschillende manieren cliënten en verwanten bij de
ontwikkeling van e-healthtoepassingen. Tijdens het inspectiebezoek is niet gebleken
dat er een formele procedure is voor de wijze waarop patiënten worden betrokken,
geïncludeerd en/of geïnformeerd bij het ontwikkelen van een nieuwe e-healthdienst.
Voor het besluit of en hoe patiënten betrokken worden bij specifieke e-
healthontwikkelingen zijn dus geen criteria beschreven.
In de praktijk betrekt de zorginstelling aantoonbaar cliënten en verwanten actief bij
beginnende innovaties. Een voorbeeld is het roboticaproject, waarbij een robot
enkele weken bij een cliënt in huis is geweest zodat de ervaringen van de cliënt
konden worden verzameld. Ook voor de inzage in het ECD zijn cliënten en hun
verwanten bij een pilot betrokken (o.a. inzage in de doelen uit de afsprakenkaart en
de rapportage van de begeleiders). Bij diensten zoals Digicontact wordt in kaart
gebracht voor welke cliënten een dergelijke dienst wel of niet geschikt is. Cliënten en
Pagina 16 van 20
familie hebben een keuze wat betreft de inzet hiervan. Ook in het kader van
wetenschappelijk onderzoek worden cliëntervaringen verzameld.
Familieraad en cliëntenraad zijn actief betrokken bij de ontwikkeling van het
toekomstbeeld 2030 en hebben hierop schriftelijk gereageerd. Daarbij hebben beide
groepen inhoudelijke adviezen aan de raad van bestuur meegegeven.
5.3 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens Getoetste normen:
- Samenwerking: De zorgorganisatie heeft duidelijk in beeld met welke andere zorgaanbieders zorginhoudelijk wordt samengewerkt. Bij samenwerking kunnen de betrokken zorgverleners beschikken over relevante gegevens van collega’s en zijn er afspraken gemaakt over de wijze waarop samenwerkingspartners relevante informatie uit een dossier kunnen verkrijgen.
- Uitwisselen van gegevens: de zorgaanbieder maakt samenwerkingsafspraken met medezorgaanbieders voor de informatievoorziening rondom medicatieoverdracht in de regionale situatie en is zich bewust van relevante standaarden. Afspraken met partijen waarmee elektronisch gegevens worden uitgewisseld worden vastgelegd. Er wordt toestemming gevraagd aan patiënten voor het elektronisch beschikbaar maken van patiëntinformatie aan andere zorgaanbieders.
Afwezig Aanwezig Operationeel Geborgd
Samenwerken in het netwerk en elektronisch uitwisselen van gegevens
√
Toelichting:
Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens
Op beperkte schaal vindt elektronische uitwisseling met ketenpartners plaats. Daarbij
is standaardisatie van het berichtverkeer een uitdaging omdat per gemeente
afspraken nodig zijn. Er wordt gebruik gemaakt van enkele uitwisselingsdiensten zoals
Zorgmail en Sharefile (veilige zakelijke oplossing voor het synchroniseren en delen van
bestanden). Ook aansluiting bij OZO-verbindzorg wordt onderzocht. Daarbij wordt
aandacht besteed aan informatiebeveiliginsaspecten als authenticatie en
opslaglocatie. Er worden bewerkersovereenkomsten gesloten conform de
modelovereenkomst van de VGN.
Pagina 17 van 20
De inspectie heeft geen gedocumenteerde visie aangetroffen op het elektronische
delen van informatie met andere partijen of een gedocumenteerde architectuur die
de informatiebehoefte van de zorgverleners in het netwerk structureel in kaart
brengt.
5.4 Afhankelijkheid van technologie
Getoetste normen:
- Informatiebeveiliging: het bestuur is aantoonbaar betrokken bij het vaststellen, controleren en verbeteren van het informatiebeveiligingssysteem; informatiebeveilingsgebeurtenissen worden op het juiste niveau gerapporteerd.
- Continuïteit: de organisatie heft een continuïteitsstrategie vastgesteld, ingevoerd en getest.
Afwezig Aanwezig Operationeel Geborgd
Informatiebeveiliging √
Continuïteitsplanning √
Toelichting:
Informatiebeveiliging Er is recent een ISO 270015-audit uitgevoerd door een externe partij. Hierbij heeft het
cluster Werk en Begeleiding van de zorginstelling een certificaat verkregen dat
aantoont dat het organisatiedeel voldoet aan de norm. De zorginstelling heeft het
voornemen om de overige twee organisatorische clusters te laten volgen in 2018.
Continuïteit Alle kritische applicaties zijn ondergebracht in een centraal datacenter op
gevirtualiseerde infrastructuur. Er is een tweede datacenter met een
acceptatieomgeving, die in geval van nood de rol van het primaire datacentrum kan
overnemen met een maximale opstarttijd van 4 uur. Er is gezorgd voor redundantie
op het niveau van opslag, netwerk en applicaties.
5 Internationale norm voor informatiebeveiliging; de NEN 7510 is voor een belangrijk deel gebaseerd op de ISO 27001
Pagina 18 van 20
6 Bijlage 1: Algemene toelichting beoordelingen
Niveau Toelichting
Afwezig Er wordt niet aantoonbaar aandacht besteed aan het
onderwerp en/of er is geen herkenbaar proces. Er is
geen schriftelijke procedure.
Aanwezig Er wordt aantoonbaar aandacht besteed aan het
onderwerp, er kan een gedocumenteerd proces zijn,
maar in de praktijk is dit niet bij iedereen bekend en/of
het wordt niet structureel gevolgd
Operationeel Er is een gedocumenteerd proces dat in de praktijk
bekend is en structureel wordt gevolgd
Geborgd Er is een gedocumenteerd, structureel in de praktijk
gevolgd proces, waarvan de uitkomsten worden
gemeten en dat op basis van de uitkomsten wordt
verbeterd.
Pagina 19 van 20
7 Bijlage 2: Overzicht documenten die zijn ingezien
- Philadelphia 2.0, de volgende stappen, Stichting Philadelphia Zorg, Strategische koers 2016-2020
- Jaarplan 2017 Stichting Philadelphia Zorg
- Presentatie ‘Contouren jaarplan 2017’, november 2016
- Presentatie ‘Een blik op de toekomst van Philadelphia – impact van mensgerichte technologie’
- RvB17-119 brief ondernemingsraad - Advies Philadelphia 2030 (mensgerichte technologie), augustus 2017
- RvB17-139 brief landelijke familieraad - Advies Philadelphia 2030, oktober 2017
- RvB17-148 brief landelijke cliëntenraad - Advies Philadelphia 2030, oktober 2017
- Presentatie ‘De nacht is om te slapen - slimme nachtzorg binnen Philadelphia, stand van zaken oktober 2017’
- Presentatie ‘Digicontact’
- Intentieovereenkomst (memorandum of understanding) tussen Stichting Philadelphia Zorg en Cisco Systems International, september 2017
- Organigram Philadelphia 2017
- Organisatieregeling Stichting Philadelphia Zorg, juli 2017
- RvT17-004 - Bericht van de Raad van Bestuur aan de Raad van Toezicht, april 2017
- RvT17-013 - Bericht van de Raad van Bestuur aan de Raad van Toezicht, mei 2017
- RvT17-018 - Bericht van de Raad van Bestuur aan de Raad van Toezicht, september 2017
- RvT17-030 - Bericht van de Raad van Bestuur aan de Raad van Toezicht, december 2017
- Visie ECD 2.0
- Korte inleiding/begeleidende tekst ECD
- Slimme luierupdate, november 2017
- Informatiebeveiligingsbeleid Stichting Philadelphia Zorg
- IB-01 Organisatie van informatiebeveiliging, juni 2017
- IB-02 Classificatie van informatie, oktober 2017
- IB-03 Autorisatiebeleid en autorisatiemaatregelen, oktober 2017
- IB-3a Beleid voor Identificatie en authenticatie, oktober 2017
- IB-05 Beveiliging en beheermaatregelen en informatie- en communicatiemiddelen, oktober 2017
- IB-06 Maatregelen ter bevordering van beschikbaarheid bedrijfsprocessen, informatiesystemen en ICT infrastructuur, oktober 2017
- Intranetpagina Informatiebeveiliging
- Informatiebeveiliging Training herkennen en melden incidenten
- Protocol Elektronisch communicatieverkeer en informatievoorzieningen
- Juridische bepalingen, bijlage bij het Protocol Elektronisch Communicatieverkeer en informatievoorzieningen, januari 2016
- Procedure melden en afhandelen informatiebeveiligingsincidenten, oktober 2017
- Protocol melden datalekken
- Handreiking social media
Pagina 20 van 20
- Factsheet Philadelphia online – ernstig meervoudig beperkte cliënten / (intensief) verzorgingsbehoeftige ouderen
- Factsheet ‘Van wegwijs naar mediawijs; LVB VB Jeugd en Gezin’
- Interim rapport fase 2 voor Werk & Begeleiding Holding BV (Audit rapport ISO 27001:2013), november 2017