xx

xxx

Utrecht, 20 december 2017

Rapportage van het inspectiebezoek in het kader van het toezicht op e-health

aan het Jeroen Bosch ziekenhuis te Den Bosch op 21 november 2017

Pagina 2 van 18

Inhoud

Inhoud ........................................................................................................................................... 2

1 Aanleiding inspectiebezoek ................................................................................................... 3

1.1 Achtergrond ........................................................................................................................ 3

1.2 Toetsingskader .................................................................................................................... 4

2 Conclusie ............................................................................................................................... 6

3 Handhaving ........................................................................................................................... 7

4 Uitvoering van het inspectiebezoek ....................................................................................... 8

4.1 Inleiding .............................................................................................................................. 8

4.2 Methodiek ........................................................................................................................... 9

5 Resultaten ........................................................................................................................... 11

5.1 Goed bestuur en verantwoord innoveren ......................................................................... 11 Strategie, implementatie en monitoring ................................................................................... 11 Aanschaf en gebruik .................................................................................................................. 12

5.2 Patiëntparticipatie ............................................................................................................ 13 Patiëntparticipatie ..................................................................................................................... 13

5.3 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens 14 Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens ......... 14

5.4 Afhankelijkheid van technologie ....................................................................................... 15 Informatiebeveiliging ................................................................................................................ 15 Continuïteit ................................................................................................................................ 15

6 Bijlage 1: Algemene toelichting beoordelingen .................................................................... 17

7 Bijlage 2: Overzicht documenten die zijn ingezien ............................................................... 18

Pagina 3 van 18

1 Aanleiding inspectiebezoek

In het kader van haar toezichthoudende taak heeft de Inspectie Gezondheidszorg en

Jeugd (hierna ‘de inspectie’) op 21 november 2017 een semi-onaangekondigd bezoek

gebracht aan het Jeroen Bosch Ziekenhuis te ‘s-Hertogenbosch (hierna ‘het

ziekenhuis’).

Het doel van het bezoek was te beoordelen of het ziekenhuis bij de inzet van

informatie- en communicatietechnologie in de zorg, of ‘e-health’, zodanige

randvoorwaarden creëert dat sprake is van verantwoorde inzet van technologie voor

goede en veilige zorg.

1.1 Achtergrond Onder e-health verstaat de inspectie de inzet van hedendaagse informatie- en

communicatietechnologie (ICT), in het bijzonder internettechnologie, om de

gezondheid en gezondheidszorg te ondersteunen of te verbeteren. Concrete

voorbeelden hiervan zijn elektronische patiëntendossiers (EPD’s), elektronische

gegevensuitwisseling, patiëntenportalen, medische apps en monitoring van

chronische patiënten op afstand.

Vooral grote zorginstellingen worden steeds afhankelijker van e-health. Zo is het EPD

een essentieel onderdeel van de bedrijfsvoering geworden. Doordat zorg in

toenemende mate in een netwerk van zorgaanbieders wordt geleverd, wordt ook

onderlinge communicatie tussen zorgverleners steeds belangrijker. Digitale middelen

kunnen hierbij helpen. De inspectie is positief over de mogelijkheden die e-health kan

bieden om de zorg te ondersteunen en te verbeteren, tegelijkertijd vindt zij het

belangrijk dat de kwaliteit en veiligheid van de zorg niet in het geding komen.

Aan de nieuwe mogelijkheden zijn helaas ook risico’s verbonden. Uit een recent

onderzoek in opdracht van de Nederlandse Vereniging voor Klinische Fysica1 blijkt dat

ICT-gerelateerde problematiek op de vierde plaats komt in een landelijke

inventarisatie van VIM-meldingen. In een recente analyse van het Emergency Care

Research Institute komen ICT-risico’s op de zesde plaats2. Ook de bedreigingen van

ransomware zijn recentelijk in het nieuws geweest3. Tegelijkertijd ontwikkelen de

wetgeving en normering zich verder, denk aan de wet ‘aanvullende bepalingen

verwerking persoonsgegevens in de zorg’, die in juli 2017 is ingegaan.

Vanaf 2018 zal de inspectie structureel aandacht gaan besteden aan het thema e-

health bij zorginstellingen. In aanloop daar naartoe oriënteert de inspectie zich nader

op de huidige stand van zaken in verschillende zorginstellingen, te weten

ziekenhuizen, GGZ-instellingen en instellingen voor gehandicaptenzorg. In het najaar

van 2017 voert de inspectie daartoe verkennende bezoeken uit. Het gaat om

1 Zie http://www.mtintegraal.nl/artikelen/489/landelijke-inventarisatie-incidentmeldingen-medische-apparatuur

2 Zie https://www.ecri.org/Resources/Whitepapers_and_reports/Haz17.pdf

3 Zie http://nos.nl/artikel/2179941-zeker-vijftien-ziekenhuizen-geinfecteerd-met-ransomware.html

Pagina 4 van 18

zorginstellingen verspreid over het land, waarvan de inspectie op basis van openbare

bronnen de indruk heeft dat deze actief e-health-producten of diensten inzetten,

echter niet noodzakelijkerwijs op grote schaal. De verkennende bezoeken zijn in dit

stadium van het toezicht op e-health niet gericht op handhaving, tenzij eventuele

risicovolle situaties worden aangetroffen die direct maatregelen behoeven. De

bevindingen van deze bezoeken gebruikt de inspectie om haar toezicht op e-health

verder in te richten en een toetsingskader nader vorm te geven.

1.2 Toetsingskader Het voorlopig toetsingskader, dat is gebruikt bij dit inspectiebezoek, is gebaseerd op

de volgende wetten en veldnormen.

Wetten - Wet kwaliteit, klachten en geschillen zorg (Wkkgz), in het

bijzonder artikel 3 (2016);

- Uitvoeringsbesluit Wkkgz, in het bijzonder artikel 4.1 (2016);

- Wet aanvullende bepalingen verwerking persoonsgegevens

in de zorg (2017);

Richtlijnen en

handreikingen

- Handreiking verantwoordelijkheidsverdeling bij

samenwerking in de zorg (KNMG, V&VN, KNOV, KNGF,

KNMP, NIP, NZV, NFU, GGZ Nederland, NPCF; 2010);

- Convenant veilige toepassing van medische technologie in

de medisch specialistische zorg (NVZ, NFU, Revalidatie

Nederland, ZKN; 2016)

- Leidraad nieuwe interventies in de medische praktijk (Orde

van Medisch Specialisten, Zorginstituut Nederland,

Kennisinstituut van medisch specialisten; 2014)

- Richtlijn online arts-patiëntcontact (KNMG, 2007)

- Richtlijn elektronisch voorschrijven (KNMG, 2013)

- Richtlijn overdracht van medicatiegegevens in de keten

(Actiz, GGZ Nederland, KNMG, KNMP, LEVV, LHV, NFU, NHG,

Nictiz, NPCF, NVZ, NVZA, Orde, V&VN, Verenso, ZN;

2008/2016)

- Artsen en social media (KNMG, 2011);

- Hoe gebruik je sociale media op een verantwoorde manier?

(V&VN, 2012)

- Medische app checker (KNMG, 2016)

Normen - NEN 8028 – kwaliteitseisen telemedicine

- NTA 8009 – veiligheidsmanagementsysteem voor

ziekenhuizen en instellingen die ziekenhuiszorg verlenen

(2011/2014)

- NEN 7510 – informatiebeveiliging in de zorg (2011)

- NEN 7512 – vertrouwensbasis voor gegevensuitwisseling

Pagina 5 van 18

(2015)

Verwante

kaders

- Kader ‘Toezicht op goed bestuur’ (IGZ/NZa), 2016

Pagina 6 van 18

2 Conclusie

De inspectie concludeert op basis van het inspectiebezoek dat het ziekenhuis bij de

inzet van informatie- en communicatietechnologie in de zorg, of ‘e-health’, voldoende

randvoorwaarden creëert, zodanig dat sprake is van verantwoorde inzet van

technologie voor goede en veilige zorg. Het managementsysteem voor

informatiebeveiliging heeft echter extra aandacht nodig.

Op basis van de resultaten van het inspectiebezoek komt de inspectie tot de volgende

deelconclusies:

Onderdelen van het e-health-organisatieproces behoeven verdere uitwerking

De raad van bestuur heeft aandacht voor de e-healthontwikkelingen en heeft

organisatorische maatregelen genomen om deze zorgvuldig te beleggen. De

verantwoordelijkheden, bevoegdheden en de besluitvormingsprocessen zijn op een

aantal punten nog onvoldoende uitgewerkt. Zo is bijvoorbeeld niet geheel duidelijk

hoe en op welk moment projecten overgaan van het innovatieproces (‘i-team’) naar

het beheersmatig proces (integraal projectoverleg). Ook zijn geen criteria benoemd

wanneer risicoanalyses of andere vormen van evaluatie nodig zijn in het

ontwikkelproces.

Het ziekenhuis betrekt patiënten voldoende actief bij e-healthontwikkelingen

Het ziekenhuis betrekt op diverse manieren patiënten bij de strategie (inclusief die op

het gebied van e-health en ICT) en bij projecten. De cliëntenraad wordt actief

betrokken bij strategiediscussies.

De samenhangende visie op en de aanpak van de informatie-uitwisseling zijn

voldoende.

Informatie-uitwisseling wordt vanuit een samenhangende visie en met oog voor de

juiste randvoorwaarden geïmplementeerd.

De organisatie van de informatiebeveiliging vraagt om extra aandacht

Bij een recente interne audit van de naleving van de NEN 7510 zijn tekortkomingen

geconstateerd. Enkele daarvan worden geadresseerd in lopende projecten. Er is ook

een plan opgesteld om verdere verbeteringen aan te brengen. Echter, het plan is

onvoldoende SMART geformuleerd, het plan biedt geen heldere streefdata wanneer

een voldoende mate van compliance met NEN 7510 bereikt moet zijn.

Daarnaast is extra inspanning nodig om uiterlijk binnen een jaar te voldoen aan de

NEN 7510.

Pagina 7 van 18

3 Handhaving

Tijdens het inspectiebezoek betreffende de inzet van informatie- en

communicatietechnologie in de zorg, of ‘e-health’, zijn geen situaties aangetroffen die

een zodanig risico vormen voor het verlenen van veilige en goede zorg, dat zij de

inspectie nopen tot het opleggen van bestuursrechtelijke maatregelen.

Wel geven de bevindingen van het inspectiebezoek aanleiding tot het nemen van de

volgende verbetermaatregelen:

1. Zorg dat uiterlijk 2018 aantoonbaar wordt voldaan aan de NEN 7510 Hoewel veel aandacht aanwezig is voor directe operationele bedreigingen zijn ook andere aspecten van het informatiebeveiligingsbeleid van belang. Aantoonbaar voldoen aan NEN 7510 biedt een waarborg dat sprake is van een lerend managementsysteem op het gebied van informatiebeveiliging. De inspectie verwacht dat het ziekenhuis op een zo kort mogelijke termijn, maar in ieder geval in 2018, voldoet aan de NEN 7510.

2. Beschrijf het organisatieproces rondom e-health in meer detail Het ziekenhuis heeft een aantal aspecten van het organisatieproces nog onvoldoende uitgewerkt. De inspectie verwacht dat deze nader worden beschreven. Het gaat met name om de verantwoordelijkheden, bevoegdheden en de besluitvormingsprocessen en de wijze waarop projecten overgaan van het innovatieproces (‘i-team’) naar het beheersmatig proces (integraal procesoverleg). Het ziekenhuis heeft verder in onvoldoende mate beschreven wanneer en op welk punt in het proces formele risico-analyses (of een ander soort evaluatie op het punt van patiëntveiligheid) nodig zijn in het proces. Voor wat betreft het aspect van risicoanalyses verwijst de inspectie naar normelement 4.9.1 van NTA 8009:2014.

De inspectie verwacht dat de raad van bestuur de op basis van het inspectiebezoek

geformuleerde verbeterpunten ter harte zal nemen en verbetermaatregelen zal

nemen. De inspectie acht actieve opvolging op dit moment niet noodzakelijk; het

getoetste onderwerp kan in het reguliere toezicht worden gevolgd door de

accounthouder.

Pagina 8 van 18

4 Uitvoering van het inspectiebezoek

4.1 Inleiding De inspectie heeft zich tijdens het bezoek op vijf thema’s geconcentreerd, die naar

haar oordeel relevant zijn voor de veilige en verantwoorde inzet van e-health. Dit

waren de volgende thema’s.

Thema Toelichting

Goed bestuur en

verantwoord

innoveren

De verantwoorde inzet van e-health vereist voldoende

aandacht op verschillende niveaus in de organisatie. Wil de

organisatie ‘in control’ zijn, dan vereist dit bestuurlijke

aandacht voor de toekenning van verantwoordelijkheden bij

toepassen van technische innovaties, zoals e-health. Verder

is aandacht nodig voor de te verwachten risico’s bij

introductie van innovaties, afgewogen tegen de te

verwachten voordelen.

Patiëntparticipatie Veel e-health-toepassingen zijn erop gericht om de patiënt

beter van dienst te zijn, bijvoorbeeld door zorg meer plaats-

en tijdsonafhankelijk aan te bieden of door betere

informatie te verstrekken. Daarbij is het belangrijk dat

aandacht is besteed aan de wijze waarop patiënten in het

innovatieproces worden betrokken, aan de juiste

informatieverstrekking aan de patiënt over de aangeboden

diensten, de gebruiksvriendelijkheid, toegankelijkheid en

veiligheid van toepassingen, de keuzevrijheid van de patiënt

en de ondersteuning en nazorg.

Samenwerken in de

keten

E-health speelt een rol bij het mogelijk maken van andere

vormen van samenwerken tussen zorgverleners onderling,

bijvoorbeeld bij overdracht, of tussen zorgverlener en

patiënt. De aandacht die is besteed aan de samenwerking is

medebepalend voor de verantwoorde inzet van de e-health-

implementatie. Daar horen heldere afspraken bij tussen

zorgaanbieders onderling, maar ook van zorgaanbieders

met hun ICT-leveranciers.

Elektronisch

vastleggen en

uitwisselen van

gegevens

In de meeste organisaties worden medische gegevens

elektronisch vastgelegd. Het uitwisselen van informatie

tussen samenwerkende partijen kan worden ondersteund

door elektronische gegevensuitwisseling. Dat vraagt om het

goed in kaart brengen van de informatiebehoefte en het

voldoen aan geldende randvoorwaarden, bijvoorbeeld op

het gebied van privacy en informatiebeveiliging.

Afhankelijkheid van

technologie

De groeiende afhankelijkheid van technologie vereist dat de

organisatie is voorbereid op de risico’s die voortkomen uit

deze afhankelijkheid, bv. voor wat betreft

informatiebeveiliging en continuïteit van zorg.

Pagina 9 van 18

Elk thema is opgebouwd uit een aantal onderdelen, gebaseerd op wetten en

veldnormen zoals opgesomd in paragraaf 1.2.

De resultaten worden per onderdeel weergegeven op een vierpuntsschaal: afwezig,

aanwezig, operationeel, geborgd. Zie bijlage 1 voor een toelichting op de definities

van deze beoordelingen. Onder de tabellen met de resultaten geeft de inspectie een

toelichting op de beoordelingen.

4.2 Methodiek Het bezoek is kort van tevoren aangekondigd om de instelling de mogelijkheid te

geven om de vereiste organisatorische voorbereidingen te treffen om het bezoek

mogelijk te maken en de inspecteurs in de gelegenheid te stellen de van te voren

opgevraagde documentatie te bestuderen.

Voorafgaand aan het bezoek is gevraagd een aantal documenten aan de inspectie te

verstrekken. Ook tijdens het bezoek zijn nog aanvullend documenten opgevraagd en

bestudeerd. De aangeleverde en door het inspectieteam bekeken documenten

worden benoemd in bijlage 2 van dit rapport. Daarnaast is gevraagd de dag tevoren

een overzicht te verstrekken van in het ziekenhuis beschikbare e-healthtoepassingen,

naar aanleiding waarvan het inspectieteam het inspectieprogramma nader heeft

ingevuld.

Het inspectieprogramma zag er als volgt uit.

Onderdeel Onderwerpen van focus

Gesprek met de Raad van Bestuur

en sleutelfunctionarissen

THEMA 1 - Goed bestuur en verantwoord

innoveren

THEMA 3 – Samenwerking in het netwerk

THEMA 5 – Afhankelijkheid van technologie

Documentatieonderzoek Onderzoek documentatie (aanschafdossier) van

twee concrete e-health-voorbeelden (1 en 2)

Inspectie e-healthtoepassing 1 THEMA 1 - Goed bestuur en verantwoord

innoveren (2: aanschaf en gebruik)

THEMA 2 - Patiëntparticipatie

Inspectie e-healthtoepassing 2 THEMA 1 - Goed bestuur en verantwoord

innoveren (2: aanschaf en gebruik)

THEMA 2 - Patiëntparticipatie

Inspectie samenwerking in het

netwerk, elektronische

gegevensuitwisseling,

infomatiebeveiliging en

continuïteitsplanning

THEMA 3 – Samenwerking in het netwerk

THEMA 4 – Elektronisch vastleggen en

uitwisselen van gegevens

THEMA 5 – Afhankelijkheid van technologie

Onderhoud met THEMA 1 - Goed bestuur en verantwoord

Pagina 10 van 18

Onderdeel Onderwerpen van focus

patiëntvertegenwoordiger innoveren

THEMA 2 - Patiëntparticipatie

Eindgesprek met de raad van

bestuur en sleutelfunctionarissen

Alle bovengenoemde thema’s

Tijdens het bezoek zijn van twee e-health-toepassingen de aanschafdossiers

opgevraagd en bestudeerd en zijn deze toepassingen nader besproken en onderzocht.

De keuze van de toepassingen is niet voorafgaand aan het bezoek bekend gemaakt.

Het gaat om de volgende toepassingen:

1. Het patiëntenportaal 2. De communicatie-app Siilo.

Tijdens het bezoek zijn gesprekken gevoerd met de volgende functionarissen

(alfabetisch):

- informatieadviseur; - information security officer; - internist/endocrinoloog; - jurist; - kinderarts; - KNO-arts; - lid cliëntenraad; - lid raad van bestuur; - manager Kwaliteit en Veiligheid; - managers MICT; - manager RvE Cardiologie, dermatologie, medische microbiologie en MKA

chirurgie (proceseigenaar ketensamenwerking); - projectmanager zorgportalen; - senior adviseur Kwaliteit en Veiligheid; - unithoofd MICT; - voorzitter Bossche Specialisten Coöperatie.

Pagina 11 van 18

5 Resultaten

5.1 Goed bestuur en verantwoord innoveren Getoetste normen:

- Strategie, implementatie en monitoring: de portefeuille van e-health is belegd bij de Raad van Bestuur. Er is op het juiste niveau aandacht voor stellen van doelen en planvorming. Verantwoordelijkheden en bevoegdheden zijn belegd in de organisatie. Er is aandacht voor risicomanagement en kwaliteitsborging van e-healthtoepassingen. Het bestuur beschikt over stuurinformatie.

- Aanschaf en gebruik: de relevante disciplines zijn betrokken bij aanschaf. Er worden programma’s van eisen opgesteld. Er worden risico-analyses uitgevoerd. Er is voldoende aandacht voor instructie van gebruikers, formele vrijgave van toepassingen en onderhoud.

Afwezig Aanwezig Operationeel Geborgd

Goed bestuur en verantwoord innoveren – strategie, implementatie en monitoring

√

Goed bestuur en verantwoord innoveren –

aanschaf en gebruik

√

Toelichting:

Strategie, implementatie en monitoring Strategie is in overleg met de regio ontwikkeld en vastgelegd

De strategie op het gebied van e-health is opgenomen in een informatiebeleidsplan

dat is vastgesteld door de raad van bestuur. Het plan benoemt drie aandachtspunten,

namelijk empowerment van patiënten, ketensamenwerking met zorgverleners en

verbeteren van de processen van het ziekenhuis. De doelen sluiten aan op een samen

met regiopartners ontwikkelde strategie voor een gezonde regio.

Verschillende aanpak voor doorontwikkeling en innovatie

De raad van bestuur heeft tijdens het inspectiebezoek toegelicht dat in de toekomst

een virtueel transmuraal ziekenhuis zal ontstaan waarbij e-health een belangrijk

ondersteunend middel is. Er zullen daarbij nieuwe platformen ontwikkeld moeten

worden voor communicatie tussen patiënt en zorgverlener en voor samenwerking

tussen zorgaanbieders in de regio. De visie is dat dit niet kan vanuit een

blauwdrukbenadering. In de aansturing van e-healthontwikkelingen maakt het

ziekenhuis daarom onderscheidt tussen twee soorten ontwikkelingen. Dit zijn: 1)

geplande doorontwikkelingen van onder beheer staande ICT-systemen (o.a. het EPD)

en 2) innovatieve, minder voorspelbare ontwikkelingen. De reguliere ICT-

ontwikkelingen worden geprioriteerd in een ‘integraal proces overleg’ (IPO) waarin de

verschillende proceseigenaren binnen het ziekenhuis vertegenwoordigd zijn. Voor

Pagina 12 van 18

IPO-projecten wordt een uitgebreide projectenkalender bijgehouden waarop de

voortgang en prioriteit te volgen is. De meer innovatieve ideeën worden op iteratieve

wijze uitgewerkt door een multidisciplinair ‘i-team’ (innovatieteam). Dit gebeurt in

dertig-dagen projecten met een evaluatiemoment. De criteria op basis waarvan

nieuwe ontwikkelingen worden gerouteerd (via IPO of i-team) zijn globaal bekend

maar zijn niet in detail uitgewerkt. Wel houden sommige proceseigenaren bij welke

zaken via het IPO zijn belegd en welke via het i-team. Hoe en op welk punt projecten

worden overgedragen van i-team naar IPO-traject is nog niet geheel

uitgekristalliseerd. Ook zijn geen criteria benoemd wanneer risicoanalyses of andere

vormen van evaluatie nodig zijn in het ontwikkelproces.

Taken en bevoegdheden nog niet volledig uitgewerkt

De taken van proceseigenaren zijn beschreven, maar verantwoordelijkheden en

bevoegdheden van de diverse betrokkenen bij de e-health/ICT-ontwikkelingen zijn

nog niet volledig uitgewerkt.

Samenvattend is het beeld dat e-healthontwikkelingen de volle aandacht hebben van

de raad van bestuur en dat organisatorische maatregelen zijn genomen om deze

zorgvuldig te beleggen. De uitwerking van de taken en verantwoordelijkheden en de

besluitvormingsprocessen moet zich nog verder uitkristalliseren.

Aanschaf en gebruik Tijdens het inspectiebezoek is gekeken naar het implementatietraject rondom twee e-healthprojecten, namelijk het patiëntenportaal en een app voor communicatie tussen zorgverleners (Siilo, kort gezegd een whatsapp-achtige app met meer controles op het gebied van informatiebeveiliging en privacy). Patiëntenportaal in nauw overleg met gebruikers voorbereid Het patiëntenportaal is aangeschaft als onderdeel van het EPD, er is geen apart pakket van eisen of aanschaftraject voor geweest. Ook is geen pakket van eisen opgesteld gericht op het patiëntportaal voorafgaand aan de aanschaf. Het is een organisch proces geweest, waarbij geleerd is van de aanpak van het UMCU. Er zijn veel groepen bij betrokken, de proceseigenaren, functioneel beheer, het bureau patiëntencommunicatie, patiënten en zorgverleners. Er zijn vier inspraakavonden georganiseerd, waar patiënten en zorgverleners open konden discussiëren over de gewenste aanpak. Onderwerpen zoals het moment dat uitslagen zichtbaar worden, zijn daarbij aan de orde geweest. Een formele risico-analyse (pri) is niet uitgevoerd, wel is er een intensief voorbereidingsproces geweest. De go-livedatum van het patiëntenportaal is bewust tegelijk gekozen met de go-livedatum van het nieuwe EPD, zodat patiënten ook de voordelen van het nieuwe EPD zouden ervaren. Communicatie-app ingevoerd via de daarvoor gebruikelijke procedures (IPO) De communicatie-app is onder de aandacht gebracht door huisartsen in de regio als mogelijkheid om efficiënter en veiliger te overleggen over patiënten. Telefonisch overleg is in de praktijk vaak lastig te plannen en de app maakt asynchroon antwoorden mogelijk op een moment dat het uitkomt. Het verzoek voor de app is gerouteerd via het IPO, waarna een advies is voorbereid door MICT. Er is geen pakket van eisen opgesteld, wel is de app vergeleken met

Pagina 13 van 18

vergelijkbare alternatieven op een aantal kritische punten. Er is vervolgens een implementatieplan gemaakt en juridische en privacy-aspecten zijn uitgewerkt. Ook is er een bewerkersovereenkomst opgesteld. Er is geen formele risico-analyse uitgevoerd omdat dit niet nodig leek. Zorgvuldig proces maar geen helderheid over criteria voor uitvoeren risico-analyses Samenvattend is het beeld is dat nieuwe ontwikkelingen een zorgvuldig traject doorlopen waarbij diverse betrokkenen tijdig hun input kunnen geven. Een aandachtspunt is wel dat geen heldere criteria bestaan wanneer en op welk punt in het proces formele risico-analyses (of een ander soort evaluatie op het punt van patiëntveiligheid) nodig zijn in het proces. Ook is niet helder wanneer wel en niet wordt overgegaan op het formeel in kaart brengen van een pakket van eisen, alvorens tot een aanschaf wordt overgegaan.

5.2 Patiëntparticipatie

Getoetste normen:

Patiënten zijn betrokken bij de introductie van voor hen relevante toepassingen.

Risico’s voor patiënten worden onderkend en geadresseerd. Bij het vaststellen van in-

en exclusiecriteria wordt rekening gehouden met de zorgbehoefte van patiënten en

de eigenschappen van de e-healthdienst. Patiënten beschikken over de informatie die

nodig is voor de keuze voor bij hun zorgvraag passend aanbod. Patiënten beschikken

over de juiste kennis en vaardigheden.

Afwezig Aanwezig Operationeel Geborgd

Patiëntparticipatie √

Toelichting:

Patiëntparticipatie Het ziekenhuis betrekt op diverse manieren patiënten bij de strategie (inclusief die op

het gebied van e-health en ICT) en bij projecten. De cliëntenraad wordt actief

betrokken bij strategiediscussies (o.a. op het gebied van zorgtechnologie). Er wordt in

dit kader bestudeerd hoe patiënten nog eerder betrokken kunnen worden bij

ontwikkelingen, bijvoorbeeld in de vorm van zogenaamde ‘patiënt-effectrapportages’.

Verder heeft het i-team op uitnodiging van de cliëntenraad presentaties gegeven over

ontwikkelingen.

Patiënten waren en zijn betrokken bij discussies over de inrichting van het

patiëntenportaal. Gebruikers van het portaal krijgen ondersteuning, daarbij is o.a.

gebleken dat sommige patiënten analfabeet zijn, hiervoor is een apart

begeleidingstraject opgezet. Er is ook een e-mailadres en telefoonnummer voor

hulpvragen over het portaal, vooralsnog tijdens kantooruren.

Pagina 14 van 18

5.3 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens Getoetste normen:

- Samenwerking: De zorgorganisatie heeft duidelijk in beeld met welke andere zorgaanbieders zorginhoudelijk wordt samengewerkt. Bij samenwerking kunnen de betrokken zorgverleners beschikken over relevante gegevens van collega’s en zijn er afspraken gemaakt over de wijze waarop samenwerkingspartners relevante informatie uit een dossier kunnen verkrijgen.

- Uitwisselen van gegevens: de zorgaanbieder maakt samenwerkingsafspraken met medezorgaanbieders voor de informatievoorziening rondom medicatieoverdracht in de regionale situatie en is zich bewust van relevante standaarden. Afspraken met partijen waarmee elektronisch gegevens worden uitgewisseld worden vastgelegd. Er wordt toestemming gevraagd aan patiënten voor het elektronisch beschikbaar maken van patiëntinformatie aan andere zorgaanbieders.

Afwezig Aanwezig Operationeel Geborgd

Samenwerken in het netwerk en elektronisch uitwisselen van gegevens

√

Toelichting:

Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens

Regionale strategiebepaling

De strategie van het ziekenhuis is opgesteld in nauw overleg met zorgaanbieders en

andere betrokken partijen in de regio, waaronder gemeente, de GGD, huisartsen en

verpleging en verzorging. Het doel is om de gezondste regio van Nederland te

worden. Er zijn ook gezamenlijke projecten, o.a. op het gebied van kinderobesitas, op

dit gebied is de regio een proeftuin voor landelijk beleid. De visie van het ziekenhuis is

dat de ontwikkelingen vragen om nieuwe ICT-platformen die een laag vormen boven

de afzonderlijke zorgaanbiedersystemen. In de uitvoering wordt samengewerkt met

de regionale samenwerkingsorganisatie UP Zuid, maar ook met andere ziekenhuizen

buiten de regio, o.a. op het gebied van beelduitwisseling.

Informatiestromen zijn in kaart gebracht en gedocumenteerd

Op het niveau van informatie-uitwisseling tussen zorgaanbieders zijn de benodigde

informatiestromen geïnventariseerd en gedocumenteerd. Tijdens het inspectiebezoek

is aangegeven dat het tot stand brengen van koppelingen in de praktijk veelal nog

Pagina 15 van 18

maatwerk vereist. Voor huisartsen en artsen in verpleeghuizen wordt inzage gegeven

in het EPD, toestemming van patiënten wordt gevraagd en in het EPD bijgehouden. Er

is een koppeling met het LSP waardoor medicatieoverzichten kunnen worden

opgevraagd. Dit gebeurt voor klinische risicopatiënten altijd, voor poliklinische

patiënten wordt informatie batchgewijs vooraf opgevraagd op basis van de

afsprakenlijsten van de poli. Er is verder een pilot met het voorschrijven van

medicatie via het LSP (waarbij recepten van de poli naar de openbare apotheek gaan).

Samenvattend is het beeld van de inspectie dat de informatie-uitwisseling vanuit een

samenhangende visie en met oog voor de juiste randvoorwaarden wordt

geïmplementeerd.

5.4 Afhankelijkheid van technologie

Getoetste normen:

- Informatiebeveiliging: het bestuur is aantoonbaar betrokken bij het vaststellen, controleren en verbeteren van het informatiebeveiligingssysteem; informatiebeveilingsgebeurtenissen worden op het juiste niveau gerapporteerd.

- Continuïteit: de organisatie heeft een continuïteitsstrategie vastgesteld, ingevoerd en getest.

Afwezig Aanwezig Operationeel Geborgd

Informatiebeveiliging √

Continuïteitsplanning √

Toelichting:

Informatiebeveiliging De organisatie voldoet aan de eisen die gesteld worden voor aansluiting op DigiD.

Echter, er is daarnaast een interne audit uitgevoerd op de NEN 7510 in de eerste helft

van 2017. Hierbij zijn diverse tekortkomingen geconstateerd. Er is daarbij ook een lijst

van aanbevelingen opgesteld om deze aan te pakken. Enkele kritische bevindingen

zijn onmiddellijk als project opgepakt, ook is er een plan opgesteld om verdere

verbeteringen aan te brengen. Het plan bevat echter geen heldere streefdata en biedt

evenmin een duidelijke stip op de horizon wanneer een voldoende mate van

compliance met NEN 7510 bereikt moet zijn.

Continuïteit Er is een groot aantal maatregelen getroffen om de continuïteit van de systemen te

garanderen in geval van een calamiteit, zoals een grote stroomstoring. Er zijn

verschillende calamiteitendraaiboeken. Er zijn twee rekencentra, failover wordt

regelmatig getest. Er is een derde rekencentrum waar in geval van nood functioneel

Pagina 16 van 18

beheerders toegang hebben tot kritische systemen. Er zijn servicecontracten gericht

op korte hersteltijden. Er zijn meerdere noodstroomaggregaten, voor aanvoer van

diesel zijn regelingen getroffen.

Pagina 17 van 18

6 Bijlage 1: Algemene toelichting beoordelingen

Niveau Toelichting

Afwezig Er wordt niet aantoonbaar aandacht besteed aan het

onderwerp en/of er is geen herkenbaar proces. Er is

geen schriftelijke procedure.

Aanwezig Er wordt aantoonbaar aandacht besteed aan het

onderwerp, er kan een gedocumenteerd proces zijn,

maar in de praktijk is dit niet bij iedereen bekend en/of

het wordt niet structureel gevolgd

Operationeel Er is een gedocumenteerd proces dat in de praktijk

bekend is en structureel wordt gevolgd

Geborgd Er is een gedocumenteerd, structureel in de praktijk

gevolgd proces, waarvan de uitkomsten worden

gemeten en dat op basis van de uitkomsten wordt

verbeterd.

Pagina 18 van 18

7 Bijlage 2: Overzicht documenten die zijn ingezien

Presentatie strategie JBZ

Informatiebeleidsplan JBZ 2016-2020, versie 0.94, juli 2016

Innovatie en Implementatie, kennisdeling MICT, oktober 2017

Poster eHealth ecosysteem, november 2017

Inrichting hoofdproces informatievoorziening, september 2016

Inrichting proces informatievoorziening, versie 1.3, oktober 2016

Projectenkalender 9 november 2017

Plan iTeam zorgportalen

Voorblad IPO-overleg, nr. 521067, secure e-mail patiënten

Voorblad IPO-overleg, nr. 559457, Siilo messenger app

Intakeformulier 559457, Siilo Messenger App, maart 2017

Bewerkersovereenkomst JBZ en Siilo B.V.

Siilo handleiding Nederlands

Siilo licentieovereenkomst, augustus 2017

Gebruiksvoorwaarden Siilo app – medisch specialisten JBZ

Verslag interne audit ‘Nulmeting NEN 7510 (Q1-Q2 2017)’

Tabel Interne Audit NEN 7510 (Q2 2017)

DigiD-beveiligingsassessment, 2016

Informatiebeveiligingsplan 2017, maart 2017

Notitie Cyberveiligheid, oktober 2017

Kaderdocument ketensamenwerking, mei 2015

Overeenkomst elektronisch gegevensuitwisseling tussen het JBZ en het EZ in het

kader van de IVF (ICSI) behandeling

ETS-ziekenhuis IVF-toestemminsformulier