Web viewIn het kader van haar toezichthoudende taak heeft de Inspectie Gezondheidszorg en Jeugd in...
22
Rapportage van het inspectiebezoek in het kader van het toezicht op e-health aan het Antonius ziekenhuis te Sneek op 10 oktober 2017 xx xxx Utrecht, 20 december 2017
Transcript of Web viewIn het kader van haar toezichthoudende taak heeft de Inspectie Gezondheidszorg en Jeugd in...
Rapportage van het inspectiebezoek in het kader van het toezicht op e-health
aan het Antonius ziekenhuis te Sneekop 10 oktober 2017
xx
xxx
Utrecht, 20 december 2017
Inhoud
Inhoud......................................................................................................................................... 2
1 Aanleiding inspectiebezoek.................................................................................................3
1.1 Achtergrond.......................................................................................................................3
1.2 Toetsingskader...................................................................................................................4
2 Conclusie............................................................................................................................. 6
3 Handhaving......................................................................................................................... 7
4 Uitvoering van het inspectiebezoek.....................................................................................8
4.1 Inleiding.............................................................................................................................8
4.2 Methodiek..........................................................................................................................9
5 Resultaten......................................................................................................................... 11
5.1 Goed bestuur en verantwoord innoveren.........................................................................11Strategie, implementatie en monitoring...................................................................................11Aanschaf en gebruik.................................................................................................................12
5.2 Patiëntparticipatie...........................................................................................................13Patiëntparticipatie....................................................................................................................13
5.3 Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens. .14Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens.........14
5.4 Afhankelijkheid van technologie......................................................................................15Informatiebeveiliging................................................................................................................15Continuïteit...............................................................................................................................16
6 Bijlage 1: Algemene toelichting scorekwalificaties..............................................................17
7 Bijlage 2: Overzicht documenten die zijn ingezien..............................................................18
Pagina 2 van 17
1 Aanleiding inspectiebezoek
In het kader van haar toezichthoudende taak heeft de Inspectie Gezondheidszorg en Jeugd in oprichting (hierna ‘de inspectie’) op 10 oktober 2017 een semi-onaangekondigd1 bezoek gebracht aan het Antonius ziekenhuis te Sneek (hierna ‘de zorginstelling’), onderdeel van de Antonius zorggroep.
Het doel van het bezoek was te beoordelen of de zorginstelling bij de inzet van informatie- en communicatietechnologie in de zorg, oftewel ‘e-health’, zodanige randvoorwaarden creëert dat sprake is van verantwoorde inzet van technologie voor goede en veilige zorg.
1.1 AchtergrondOnder e-health verstaat de inspectie de inzet van hedendaagse informatie- en communicatietechnologie (ICT), in het bijzonder internettechnologie, om de gezondheid en gezondheidszorg te ondersteunen of te verbeteren. Concrete voorbeelden hiervan zijn elektronische patiëntendossiers (EPD’s), elektronische gegevensuitwisseling, patiëntenportalen, medische apps en monitoring van chronische patiënten op afstand.
Vooral grote zorginstellingen worden steeds afhankelijker van e-health. Zo is het EPD een essentieel onderdeel van de bedrijfsvoering geworden. Doordat zorg in toenemende mate in een netwerk van zorgaanbieders wordt geleverd, wordt ook onderlinge communicatie tussen zorgverleners steeds belangrijker. Digitale middelen kunnen hierbij helpen. De inspectie is positief over de mogelijkheden die e-health kan bieden om de zorg te ondersteunen en te verbeteren, tegelijkertijd vindt zij het belangrijk dat de kwaliteit en veiligheid van de zorg niet in het geding komen.
Aan de nieuwe mogelijkheden zijn helaas ook risico’s verbonden. Uit een recent onderzoek in opdracht van de Nederlandse Vereniging voor Klinische Fysica2 blijkt dat ICT-gerelateerde problematiek op de vierde plaats komt in een landelijke inventarisatie van VIM-meldingen. In een recente analyse van het Emergency Care Research Institute komen ICT-risico’s op de zesde plaats3. Ook de bedreigingen van ransomware zijn recentelijk in het nieuws geweest4. Tegelijkertijd ontwikkelen de wetgeving en normering zich verder, denk aan de wet ‘aanvullende bepalingen verwerking persoonsgegevens in de zorg’, die in juli 2017 is ingegaan.
Vanaf 2018 zal de inspectie structureel aandacht gaan besteden aan het thema
e-health bij zorginstellingen. In aanloop daar naartoe oriënteert de inspectie zich nader op de huidige stand van zaken in verschillende zorginstellingen, te weten ziekenhuizen, GGZ-instellingen en instellingen voor gehandicaptenzorg. In het najaar van 2017 voert de inspectie daartoe verkennende bezoeken uit. Het gaat om zorginstellingen verspreid over het land, waarvan de inspectie op basis van openbare bronnen de indruk heeft dat deze actief e-health-producten of diensten inzetten,
1 Dit betrof een drie werkdagen van te voren aangekondigd bezoek met onaangekondigde elementen2 Zie http://www.mtintegraal.nl/artikelen/489/landelijke-inventarisatie-incidentmeldingen-medische-apparatuur3 Zie https://www.ecri.org/Resources/Whitepapers_and_reports/Haz17.pdf4 Zie http://nos.nl/artikel/2179941-zeker-vijftien-ziekenhuizen-geinfecteerd-met-ransomware.html
Pagina 3 van 17
echter niet noodzakelijkerwijs op grote schaal. De verkennende bezoeken zijn in dit stadium van het toezicht op e-health niet gericht op handhaving, tenzij eventuele risicovolle situaties worden aangetroffen die direct maatregelen behoeven. De bevindingen van deze bezoeken gebruikt de inspectie om haar toezicht op e-health verder in te richten en een toetsingskader nader vorm te geven.
1.2 ToetsingskaderHet voorlopig toetsingskader, dat is gebruikt bij dit inspectiebezoek, is gebaseerd op de volgende wetten en veldnormen. Wetten - Wet kwaliteit, klachten en geschillen zorg (Wkkgz), in het bijzonder
artikel 3 (2016);
- Uitvoeringsbesluit Wkkgz, in het bijzonder artikel 4.1 (2016);
- Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (2017);
Richtlijnen en handreikingen
- Handreiking verantwoordelijkheidsverdeling bij samenwerking in de zorg (KNMG, V&VN, KNOV, KNGF, KNMP, NIP, NZV, NFU, GGZ Nederland, NPCF; 2010);
- Convenant veilige toepassing van medische technologie in de medisch specialistische zorg (NVZ, NFU, Revalidatie Nederland, ZKN; 2016)
- Leidraad nieuwe interventies in de medische praktijk (Orde van Medisch Specialisten, Zorginstituut Nederland, Kennisinstituut van medisch specialisten; 2014)
- Richtlijn online arts-patiëntcontact (KNMG, 2007)
- Richtlijn elektronisch voorschrijven (KNMG, 2013)
- Richtlijn overdracht van medicatiegegevens in de keten (Actiz, GGZ Nederland, KNMG, KNMP, LEVV, LHV, NFU, NHG, Nictiz, NPCF, NVZ, NVZA, Orde, V&VN, Verenso, ZN; 2008/2016)
- Artsen en social media (KNMG, 2011);
- Hoe gebruik je sociale media op een verantwoorde manier? (V&VN, 2012)
- Medische app checker (KNMG, 2016)
Normen
Normen
- NEN 8028 – kwaliteitseisen telemedicine
- NTA 8009 – veiligheidsmanagementsysteem voor ziekenhuizen en instellingen die ziekenhuiszorg verlenen (2011/2014)
- NEN 7510 – informatiebeveiliging in de zorg (2011)
- NEN 7512 – vertrouwensbasis voor gegevensuitwisseling (2015)
Verwante kaders
- Kader ‘Toezicht op goed bestuur’ (IGZ/NZa), 2016
Pagina 4 van 17
2 Conclusie
De inspectie concludeert op basis van het inspectiebezoek dat het ziekenhuis bij de inzet van informatie- en communicatietechnologie in de zorg, of ‘e-health’, voldoende randvoorwaarden creëert, zodanig dat sprake is van verantwoorde inzet van technologie voor goede en veilige zorg. Echter, de organisatorische inrichting en aansturing van e-healthprojecten verdient verdere uitwerking, waarbij geleerd kan worden van opgedane ervaringen. De aanwezige focus op informatiebeveiliging verdient voortzetting.
Op basis van de constateringen tijdens het inspectiebezoek komt de inspectie tot de volgende deelconclusies:Organisatorische inrichting van informatisering moet zich verder uitkristalliseren
De inspectie constateert dat de inrichting van de governance op het gebied van informatisering in de huidige situatie een ad-hoc karakter heeft en zich nog verder kan ontwikkelen. Er is geen sprake van een uitgekristalliseerd proces voor het opstarten en bewaken van e-healthprojecten, waardoor projecten onderling verschillen in de organisatorische inrichting en de gevolgde procedure (bv. plan van aanpak, risicoanalyse). Binnen de organisatie is de scheiding tussen informatietechnologie (proces via regiegroep) versus medische technologie (normkader Convenant, proces via investeringscommissie) nog niet geheel duidelijk.
Patiënten worden actief betrokken bij e-health-ontwikkelingen
Patiënten worden op verschillende manier betrokken bij e-health-ontwikkelingen. De cliëntenraad wordt actief zowel via mondeling overleg als wel via documenten door het ziekenhuis geïnformeerd over belangrijke projecten zoals het zorgportaal en levert hierop adviezen
De betrokkenheid bij de regio-organisatie helpt bij de informatie-uitwisseling
Er is een actieve regio-organisatie op het gebied van elektronische samenwerking (GERRIT) waarbij de zorginstelling op het niveau van de raad van bestuur bij betrokken is. De zorginstelling is actief betrokken bij projecten van deze organisatie.
Een en ander heeft geresulteerd in diverse vormen van elektronische uitwisseling van gegevens. De afspraken rondom elektronische informatie-uitwisseling zijn geregeld in diverse samenwerkingsovereenkomsten. Voor de uitwisseling van gegevens wordt expliciet (mondelinge) toestemming gevraagd aan patiënten en deze wordt vastgelegd.
Aandacht voor NEN 7510 is aanwezig en moet zich voortzetten
Hoewel volledige compliance met de NEN 7510 niet kon worden aangetoond tijdens de inspectie, heeft de inspectie op basis van de door het ziekenhuis zelf uitgevoerde NEN 7510 analyse (die 74% compliance aangeeft) de indruk dat een geconcentreerde inspanning om geconstateerde hiaten in te vullen zou moeten kunnen leiden tot een formele erkenning door een onafhankelijke partij op grond van de NEN 7510 of aanverwante norm.
Pagina 5 van 17
3 Handhaving
3.1 MaatregelenNiet van toepassing.
3.2 AanbevelingenDe inspectie geeft de volgende aandachts- en verbeterpunten aan:
1. Zorg dat het ziekenhuis uiterlijk in 2018 voldoet aan de NEN 7510Aantoonbaar voldoen aan NEN 7510 biedt een waarborg dat sprake is van een lerend managementsysteem op het gebied van informatiebeveiliging. Het ziekenhuis heeft in een eigen evaluatie in kaart gebracht welke acties nog nodig zijn om te voldoen aan de NEN 7510. De inspectie verwacht dat het ziekenhuis op een zo kort mogelijke termijn, maar in ieder geval in 2018, voldoet aan deze norm.
2. Werk de interne governance rondom e-health verder uitOntwikkel een uitgekristalliseerd proces voor het opstarten en bewaken van e-healthprojecten, waardoor projecten meer voorspelbaar worden in de organisatorische inrichting en de gevolgde procedure (bv. plan van aanpak, risicoanalyse). Werk uit hoe beheersing van de informatietechnologie en medische technologie zich tot elkaar verhouden.
De inspectie verwacht dat de Raad van Bestuur de op basis van de inspectiebezoek geformuleerde verbeterpunten ter harte zal nemen en hiervoor maatregelen zal nemen.
3.3 Vervolgacties inspectie De inspectie verwacht eind 2018 de rapportage te ontvangen van een nieuwe toets op NEN 7510.
Pagina 6 van 17
4 Uitvoering van het inspectiebezoek
4.1 InleidingDe inspectie heeft zich tijdens het bezoek op vijf hoofdthema’s geconcentreerd, die naar haar oordeel relevant zijn voor de veilige en verantwoorde inzet van e-health . Dit waren de volgende thema’s.Thema Toelichting
Goed bestuur en verantwoord innoveren
De verantwoorde inzet van e-health vereist voldoende aandacht op verschillende niveaus in de organisatie. Wil de organisatie ‘in control’ zijn, dan vereist dit bestuurlijke aandacht voor de toekenning van verantwoordelijkheden bij toepassen van technische innovaties, zoals e-health. Verder is aandacht nodig voor de te verwachten risico’s bij introductie van innovaties, afgewogen tegen de te verwachten voordelen.
Patiëntparticipatie Veel e-health-toepassingen zijn erop gericht om de patiënt beter van dienst te zijn, bijvoorbeeld door zorg meer plaats- en tijdsonafhankelijk aan te bieden of door betere informatie te verstrekken. Daarbij is het belangrijk dat aandacht is besteed aan de wijze waarop patiënten in het innovatieproces worden betrokken, aan de juiste informatieverstrekking aan de patiënt over de aangeboden diensten, de gebruiksvriendelijkheid, toegankelijkheid en veiligheid van toepassingen, de keuzevrijheid van de patiënt en de ondersteuning en nazorg.
Samenwerken in het netwerk
E-health speelt een rol bij het mogelijk maken van andere vormen van samenwerken tussen zorgverleners onderling, bijvoorbeeld bij overdracht, of tussen zorgverlener en patiënt. De aandacht die is besteed aan de samenwerking is medebepalend voor de verantwoorde inzet van de e-health-implementatie. Daar horen heldere afspraken bij tussen zorgaanbieders onderling, maar ook van zorgaanbieders met hun ICT-leveranciers.
Elektronisch vastleggen en uitwisselen van gegevens
In de meeste organisaties worden medische gegevens elektronisch vastgelegd. Het uitwisselen van informatie tussen samenwerkende partijen kan worden ondersteund door elektronische gegevensuitwisseling. Dat vraagt om het goed in kaart brengen van de informatiebehoefte en het voldoen aan geldende randvoorwaarden, bijvoorbeeld op het gebied van privacy en informatiebeveiliging.
Afhankelijkheid van technologie
De groeiende afhankelijkheid van technologie vereist dat de organisatie is voorbereid op de risico’s die voortkomen uit deze afhankelijkheid, bv. voor wat betreft informatiebeveiliging en continuïteit van zorg.
Elk thema is opgebouwd uit een aantal onderdelen, gebaseerd op onderdelen uit wetten en veldnormen zoals opgesomd in paragraaf 1.2.
De resultaten worden per onderdeel weergegeven op een vierpuntsschaal: afwezig, aanwezig, operationeel, geborgd. Zie bijlage 1 voor een toelichting op de definities
Pagina 7 van 17
van deze scores. Onder de tabellen met de resultaten geeft de inspectie een toelichting op de scores.
4.2 MethodiekHet bezoek is kort van tevoren aangekondigd om de instelling de mogelijkheid te geven om de vereiste organisatorische voorbereidingen te treffen om het bezoek mogelijk te maken en om de inspecteurs in de gelegenheid te stellen om de van te voren opgevraagde documentatie te bestuderen.
Voorafgaand aan het bezoek is gevraagd een aantal documenten aan de inspectie te verstrekken. Ook tijdens het bezoek zijn nog aanvullend documenten opgevraagd en bestudeerd. De aangeleverde en door het inspectieteam bekeken documenten worden benoemd in bijlage 2 van dit rapport. Daarnaast is gevraagd tevoren een overzicht te verstrekken van in de zorginstelling beschikbare e-healthtoepassingen,naar aanleiding waarvan het inspectieteam het inspectieprogramma nader heeft ingevuld.
Het inspectieprogramma zag er als volgt uit.
Onderdeel Onderwerpen van focus
Gesprek met de Raad van Bestuur en sleutelfunctionarissen
THEMA 1 - Goed bestuur en verantwoord innoveren
THEMA 3 – Samenwerking in het netwerk
THEMA 5 – Afhankelijkheid van technologie
Documentatieonderzoek Onderzoek documentatie (aanschafdossier) van twee concrete e-health-voorbeelden (1 en 2)
Inspectie e-healthtoepassing 1 THEMA 1 - Goed bestuur en verantwoord innoveren (2: aanschaf en gebruik)
THEMA 2 - Patiëntparticipatie
Inspectie e-healthtoepassing 2 THEMA 1 - Goed bestuur en verantwoord innoveren (2: aanschaf en gebruik)
THEMA 2 - Patiëntparticipatie
Bespreking samenwerking in het netwerk, elektronische gegevensuitwisseling, infomatiebeveiliging en continuïteitsplanning
THEMA 3 – Samenwerking in het netwerk
THEMA 4 – Elektronisch vastleggen en uitwisselen van gegevens
THEMA 5 – Afhankelijkheid van technologie
Onderhoud met patiëntvertegenwoordiger (telefonisch)
THEMA 1 - Goed bestuur en verantwoord innoveren
THEMA 2 - Patiëntparticipatie
Eindgesprek met de Raad van Bestuur en sleutelfunctionarissen
Alle bovengenoemde thema’s
Tijdens het bezoek zijn van twee specifieke e-health-toepassingen de aanschafdossiers opgevraagd en bestudeerd en zijn deze toepassingen nader
Pagina 8 van 17
besproken en onderzocht. De keuze van de toepassingen is niet voorafgaand aan het bezoek bekend gemaakt. Het gaat om de volgende toepassingen:
1. Het zorgportaal (en de uitbreiding daarvan in het kader van het VIPP5-programma)
2. Het uitwisselen van radiologische gegevens via IHE-XDS
Tijdens het bezoek zijn gesprekken gevoerd met de volgende functionarissen:
- voorzitter raad van bestuur;- lid raad van bestuur;- secretaris raad van bestuur- hoofd automatisering en informatiemanagement;- hoofd zorglogistiek;- projectleider VIPP;- coördinator systeem- en netwerkbeheer;- security officer;- juridisch adviseur;- voorzitter centrale cliëntenraad;- coördinator poli gynaecologie;- adviseur informatiemanagement- radiologisch laborant en applicatiebeheerder.
5 VIPP is een NVZ-programma, de afkorting staat voor Versnellingprogramma Informatie-uitwisseling tussen Patiënt en Professional
Pagina 9 van 17
5 Resultaten
5.1 Goed bestuur en verantwoord innoverenGetoetste normen:
- Strategie, implementatie en monitoring: de portefeuille van e-health is belegd bij de Raad van Bestuur. Er is op het juiste niveau aandacht voor stellen van doelen en planvorming. Verantwoordelijkheden en bevoegdheden zijn belegd in de organisatie. Er is aandacht voor risicomanagement en kwaliteitsborging van e-healthtoepassingen. Het bestuur beschikt over stuurinformatie.
- Aanschaf en gebruik: de relevante disciplines zijn betrokken bij aanschaf. Er worden programma’s van eisen opgesteld. Er worden risico-analyses uitgevoerd. Er is voldoende aandacht voor instructie van gebruikers, formele vrijgave van toepassingen en onderhoud.
Afwezig Aanwezig Operationeel Geborgd
Goed bestuur en verantwoord innoveren: strategie, implementatie en monitoring √
Goed bestuur en verantwoord innoveren: aanschaf en gebruik
√
Toelichting:
Strategie, implementatie en monitoringVoorafgaand aan het inspectiebezoek is een Visiedocument/Meerjarenplan 2016-2019 verstrekt van november 2015, dat vooral ingaat op verschillende mogelijkheden voor de ontwikkeling van het ICT-landschap, sterk gericht op de ontwikkelingen rondom het EPD (van ziekenhuis en thuiszorg binnen de zorggroep). De voorzitter van de raad van bestuur heeft toegelicht dat digitalisering een steeds belangrijker onderdeel is, o.a. vanwege het voornemen om meer te ontwikkelen in de richting van ziekenhuisverplaatste zorg thuis, gewenste betere integratie met de thuiszorgtak, verdere uitbouw van het zorgportaal e.d.
De raad van bestuur heeft tevens aangegeven dat in de afgelopen jaren het ziekenhuis een moeilijke periode heeft gekend met veel wisselingen in het bestuur en een lastige financiële positie. Inmiddels is er meer rust in de organisatie. Desalniettemin zijn er de afgelopen periode op ICT-gebied meerdere projecten uitgevoerd, waaronder het implementeren van een EPD bij de thuiszorgtak van de organisatie en de verdere uitbouw van het zorgportaal in combinatie met het inrichten van aanmeldzuilen voor patiënten om de zorglogistiek te verbeteren.
Op dit moment is de organisatie wat betreft de rollen op het gebied van informatiehuishouding in ontwikkeling. Er is tijdelijk geen informatiemanager, deze functie is momenteel gecombineerd met die van hoofd automatisering (rapporterend aan de concerncontroller). Er zijn wel plannen om deze rol weer apart in te vullen. Er is een regiegroep informatisering en automatisering, die adviseert over de
Pagina 10 van 17
projectportfolio op informatiegebied, maar de status ervan is niet formeel beschreven.
Er is geen sprake van een uitgekristalliseerd proces voor het opstarten en bewaken van e-healthprojecten, waardoor projecten onderling verschillen in de organisatorische inrichting en de gevolgde procedure (bv. plan van aanpak, risicoanalyse).
Binnen de organisatie is de scheiding tussen informatietechnologie (proces via regiegroep) versus medische technologie (normkader Convenant, proces via investeringscommissie) nog niet geheel duidelijk.
De inspectie constateert dat de inrichting van de governance op het gebied van informatisering in de huidige situatie een ad-hoc karakter heeft en zich nog verder kan ontwikkelen.
Aanschaf en gebruikTijdens het inspectiebezoek is specifiek gekeken naar het zorgportaal en naar elektronische uitwisseling van radiologische beelden (op basis van IHE-XDS).
Het zorgportaal is ontstaan met het oog de zorglogistiek te verbeteren en is ingevoerd in drie fasen. De eerste fase draaide om een koppeling met het verwijssysteem, de tweede fase om een uitbreiding met e-consulten, afspraken en vragenlijsten en de derde fase is de huidige uitbreiding in het kader van het NVZ-programma VIPP. Een pakket van eisen voor de eerste fase was niet zozeer aan de orde omdat het zorgportaalmodule was aangeschaft in het kader van de EPD-acquisitie.
Er is een risico-analyse uitgevoerd in het stadium dat de integratie met de aanmeldzuilen plaatsvond. De acties zijn in projectverband opgevolgd, hoe en wanneer was voor de inspectie niet direct op te maken uit de documentatie van de risico-analyse.
In het kader van de derde fase wordt gebruik gemaakt van een pakket van eisen dat opgesteld is in breder NVZ-verband, hierop heeft de zorginstelling wel inbreng gehad. Er is een uitgebreid projectplan opgesteld dat aandacht besteed aan de inrichting van de organisatie en aan projectrisico’s (zij het niet zozeer aan eventuele zorginhoudelijke risico’s).
Uit gesprekken met de betrokkenen blijkt dat zorgpersoneel dat gebruik maakt van het zorgportaal getraind is en dat er ‘key users’ zijn benoemd. Procedures zijn aangepast op gebruik van het zorgportaal (bv. wijze waarop binnenkomende consultvragen worden afgehandeld).
Over het XDS-project is tijdens de inspectie toegelicht dat dit was geïnitieerd vanuit de regio-organisatie GERRIT met het doel om de uitwisseling van radiologisch beeldmateriaal tussen de ziekenhuizen in de regio te verbeteren, met het oog op doorverwijzingen en meekijkconsulten tussen zorgverleners. Er is een convenant gesloten tussen de betrokken organisaties. Er is een stuurgroep, een beleidscommissie voor inhoudelijke projectkeuzes (waarvan de toenmalige informatiemanager deel uitmaakte) en een privacycommissie (met betrokkenheid van een juridisch adviseur van de zorginstelling). De betrokkenheid van interne medewerkers van het ziekenhuis werd vooral vanuit het GERRIT-programma
Pagina 11 van 17
aangestuurd. Er kon tijdens het inspectiebezoek geen risico-analyse worden getoond, de betrokkenen waren niet op de hoogte of deze binnen de zorginstelling was uitgevoerd en of hierbij radiologische experts betrokken waren. Het project bleek niet formeel geëvalueerd.
De inspectie constateert dat er sterke verschillen bestaan tussen verschillende projecten in projectaanpak voor wat betreft de toekenning van taken en verantwoordelijkheden en de benadering van randvoorwaarden en risico’s.
5.2 Patiëntparticipatie
Getoetste normen:
- Patiënten zijn betrokken bij de introductie van voor hen relevante toepassingen. Risico’s voor patiënten worden onderkend en geadresseerd. Bij het vaststellen van in- en exclusiecriteria wordt rekening gehouden met de zorgbehoefte van cliënten en de eigenschappen van de e-healthdienst. Patiënten beschikken over de informatie die nodig is voor de keuze voor bij hun zorgvraag passend aanbod. Patiënten beschikken over de juiste kennis en vaardigheden.
Afwezig Aanwezig Operationeel Geborgd
Patiëntparticipatie √
Toelichting:
PatiëntparticipatiePatiënten worden op verschillende manier betrokken bij e-health-ontwikkelingen. De cliëntenraad wordt actief zowel via mondeling overleg als wel via documenten door het ziekenhuis geïnformeerd over belangrijke projecten zoals het zorgportaal en levert hierop adviezen, waarbij oog is voor o.a de functionaliteit, de toegankelijkheid voor minder digitaal vaardige patiënten, het gebruiksgemak, de privacy-aspecten en de wijze van informatie overdracht. Zo heeft de cliëntenraad er o.a. op aangedrongen dat er een aangepaste aanmeldzuil kwam voor patiënten in een rolstoel. De cliëntenraad staat positief tegenover het VIPP-project.
Er komt voor het VIPP-project een zorgportaalpromotieteam, hier komen patiënten in. Verder wordt er gebruik gemaakt van een klantenpanel, een focusgroep van patiënten en een enquête. Er wordt verder gebruik gemaakt van de resultaten van een landelijk onderzoek van NIVEL naar het gebruik van patiëntportalen door mensen met verminderde gezondheidsvaardigheden.
Bij het XDS-uitwisselingstraject (en andere vormen van gegevensuitwisseling) wordt toestemming van patiënten actief verzameld en expliciet vastgelegd.
De inspectie constateert dat patiënten op diverse manieren betrokken worden bij de e-healthontwikkelingen.
Pagina 12 van 17
5.3 Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens
Getoetste normen:
- Samenwerking: De zorgorganisatie heeft duidelijk in beeld met welke andere zorgaanbieders zorginhoudelijk wordt samengewerkt. Bij samenwerking kunnen de betrokken zorgverleners beschikken over relevante gegevens van collega’s en zijn er afspraken gemaakt over de wijze waarop samenwerkingspartners relevante informatie uit een dossier kunnen verkrijgen.
- Uitwisselen van gegevens: de zorgaanbieder maakt samenwerkingsafspraken met medezorgaanbieders voor de informatievoorziening rondom medicatieoverdracht in de regionale situatie en is zich bewust van relevante standaarden. Afspraken met partijen waarmee elektronisch gegevens worden uitgewisseld worden vastgelegd. Er wordt toestemming gevraagd aan patiënten voor het elektronisch beschikbaar maken van patiëntinformatie aan andere zorgaanbieders.
Afwezig Aanwezig Operationeel Geborgd
Samenwerken in het netwerk en elektronish uitwisselen van gegevens √
Toelichting:
Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens
Er is een actieve regio-organisatie op het gebied van elektronische samenwerking (GERRIT) waarbij de zorginstelling op het niveau van de raad van bestuur bij betrokken is. De zorginstelling is actief betrokken bij projecten van deze organisatie. Er is verder een vierpartijenoverleg tezamen met twee huisartsenverenigingen en de thuiszorg. Hiermee worden o.a. afspraken gemaakt voer transmurale zorgpaden en toegang tot informatiesystemen.Er is een actieve samenwerking met de andere ziekenhuizen in de regio, o.a. rondom de zorg bij borstkanker.
Een en ander heeft geresulteerd in diverse vormen van elektronische uitwisseling van gegevens. Enkele partijen (bv. revalidatie Friesland) krijgen toegang tot een voor hen relevant deel van het EPD. Er zijn koppelingen met huisartsensystemen voor het uitwisselen van laboratoriumgegevens (van analyses die in het ziekenhuis zijn uitgevoerd). Ook is er een aansluiting op het LSP van de VZVZ. De medicatiegegevens komen in het elektronisch voorschrijfsysteem zodat deze toegankelijk zijn voor voorschrijvers. Er worden radiologische beelden uitgewisseld met ziekenhuizen in de regio via een XDS-systeem dat is opgezet door stichting GERRIT.
Pagina 13 van 17
De afspraken rondom elektronische informatie-uitwisseling zijn geregeld in diverse samenwerkingsovereenkomsten. Er is een convenant tussen de partijen betrokken bij de uitwisseling van beelden via XDS. Voor de afspraken met huisartsen wordt nog gekeken op welke schaal dit moet worden vastgelegd (per huisarts of overkoepelend).
Voor de uitwisseling van gegevens wordt expliciet (mondelinge) toestemming gevraagd aan patiënten en deze wordt vastgelegd.
5.4 Afhankelijkheid van technologieGetoetste normen:
- Informatiebeveiliging: het bestuur is aantoonbaar betrokken bij het vaststellen, controleren en verbeteren van het informatiebeveiligingssysteem; informatiebeveilingsgebeurtenissen worden op het juiste niveau gerapporteerd.
- Continuïteit: de organisatie heft een continuïteitsstrategie vastgesteld, ingevoerd en getest.
Afwezig Aanwezig Operationeel Geborgd
Informatiebeveiliging √
Continuïteitsplanning √
Toelichting:
Informatiebeveiliging
In juni 2017 is een rapport opgeleverd door een student integrale veiligheidskunde dat een gedetailleerde analyse bevat van de status van alle elementen van de NEN 7510. Het rapport concludeert dat het systeem voor informatiebeveiliging voor 74% compliant is aan de NEN 7510. In het bijzonder de onderdelen ‘beheer van communicatie en bedieningsprocessen’ en ‘naleving’ zoals genoemd in de NEN-norm bevatten volgens deze analyse verbeterpunten. Tijdens de inspectie is door de securitymanager aangegeven dat dit hoofdzakelijk een kwestie is van vastlegging van werkwijzen in procedures. Er wordt jaarlijks een plan gemaakt met acties op het gebied van informatiebeveiliging, maandelijks wordt dit geëvalueerd. De resultaten van de audit moeten hierin nog worden verwerkt. Er worden verder penetratietesten uitgevoerd en audits in het kader van DigiD-gebruik.Er is tijdens de inspectie ingegaan op enkele voorbeelden uit de NEN 7510 analyse, waaronder capaciteitsmanagement. Er werd aangegeven dat op het gebied van capaciteitsbeheer van opslagruimte in de praktijk een nauwe afstemming plaatsvindt met de functioneel betrokkenen. Deze werkwijze is echter niet gedocumenteerd.
Hoewel volledige compliance met de NEN 7510 niet kon worden aangetoond tijdens de inspectie, heeft de inspectie op basis van de uitgevoerde NEN 7510 analyse de indruk dat een geconcentreerde inspanning om geconstateerde hiaten in te vullen
Pagina 14 van 17
zou moeten kunnen leiden tot een formele erkenning door een onafhankelijke partij op grond van de NEN 7510 of aanverwante norm. Dit zou wenselijk zijn om de zorginstelling en de raad van bestuur meer zekerheid te kunnen geven over de borging van het informatiebeveiligingsbeleid.
ContinuïteitDe zorginsteling heeft aangegeven dat er een continuïteitsplan is dat voorziet in de inzet van een crisisinterventieteam. De ICT-infrastructuur is dubbel uitgevoerd op verschillende locaties. Er zijn meerdere noodaggregaten. Elke maand wordt het omzetten van het EPD naar de andere locatie getest. Er is een noodvoorziening met de gegevens van het EPD.
Pagina 15 van 17
6 Bijlage 1: Algemene toelichting scorekwalificaties
Niveau Toelichting
Afwezig Er wordt niet aantoonbaar aandacht besteed aan het onderwerp en/of er is geen herkenbaar proces. Er is geen schriftelijke procedure.
Aanwezig Er wordt aantoonbaar aandacht besteed aan het onderwerp, er kan een gedocumenteerd proces zijn, maar in de praktijk is dit niet bij iedereen bekend en/of het wordt niet structureel gevolgd
Operationeel Er is een gedocumenteerd proces dat in de praktijk bekend is en structureel wordt gevolgd
Geborgd Er is een gedocumenteerd, structureel in de praktijk gevolgd proces, waarvan de uitkomsten worden gemeten en dat op basis van de uitkomsten wordt verbeterd.
Pagina 16 van 17
7 Bijlage 2: Overzicht documenten die zijn ingezien
Visiedocument Meerjarenplan <merknaam EPD> 2016-2019 (november 2015)
Informatiebeveiligingsbeleid Antonius Zorggroep, februari 2016
Bachelorscriptie “in hoeverre is het huidige beleid en de ICT-architectuur van de Antonius Zorggroep compliant aan de NEN 7510?” (juni 2017)
Convenant XDS Noord-Nederland (april 2014)
Roadmap naar compliancy XDS, Stichting GERRIT (juni 2017)
Projectvoorstel radiogieverslagen via XDS, Stichting GERRIT (juni 2017)
XDS-test-scenario, validatie werking XDS-ziekenhuis, Stichting GERRIT (juni 2017)
Spreadsheet Algemene informatie m.b.t. validatietesten (augustus 2017)
XDS-test-scenario GERRIT viewer aanmeldende ziekenhuis (februari 2017)
Projectplan Zorgportaal Fase 2 (februari 2015)
Projectplan Versnellingsprogramma informatie-uitwisseling patiënt en professional, versie 3.1 (juni 2017)
Voortgangsrapportage VIPP (Antonius Zorggroep)
VIPP-systeemvereisten, versie 1.0, NVZ (september 2017)
VIPP vereisten aan ICT-systeem en rapportagemogelijkheden, concept, NVZ
Spreadsheet resultaten process FMEA, Zorgportaal (maart/april 2017)
Presentatie VIPP projectleidersbijeenkomst 5 oktober 2017, M&I/Partners
Pagina 17 van 17
