Embed Size (px)
Citation preview
xx
xxx
Utrecht, 5 januari 2018
Rapportage van het inspectiebezoek in het kader van het toezicht op e-health
aan het LUMC te Leiden op 14 november 2017
Pagina 2 van 19
Inhoud
Inhoud ........................................................................................................................................... 2
1 Aanleiding inspectiebezoek ................................................................................................... 3
1.1 Achtergrond ........................................................................................................................ 3
1.2 Toetsingskader .................................................................................................................... 4
2 Conclusie ............................................................................................................................... 6
3 Handhaving ........................................................................................................................... 8
3.1 Maatregelen ....................................................................................................................... 8
3.2 Aanbevelingen .................................................................................................................... 8
3.3 Vervolgacties inspectie ....................................................................................................... 8
4 Uitvoering van het inspectiebezoek ....................................................................................... 9
4.1 Inleiding .............................................................................................................................. 9
4.2 Methodiek ......................................................................................................................... 10
5 Resultaten ........................................................................................................................... 12
5.1 Goed bestuur en verantwoord innoveren ......................................................................... 12 Strategie, implementatie en monitoring ................................................................................... 12 Aanschaf en gebruik .................................................................................................................. 13
5.2 Patiëntparticipatie ............................................................................................................ 15 Patiëntparticipatie ..................................................................................................................... 15
5.3 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens 15 Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens ......... 16
5.4 Afhankelijkheid van technologie ....................................................................................... 17 Informatiebeveiliging ................................................................................................................ 17 Continuïteit ................................................................................................................................ 17
6 Bijlage 1: Algemene toelichting beoordelingen .................................................................... 18
7 Bijlage 2: Overzicht documenten die zijn ingezien ............................................................... 19
Pagina 3 van 19
1 Aanleiding inspectiebezoek
In het kader van haar toezichthoudende taak heeft de Inspectie Gezondheidszorg en
Jeugd in oprichting (hierna ‘de inspectie’) op 14 november 2017 een semi-
onaangekondigd1 bezoek gebracht aan het LUMC te Leiden (hierna ‘het ziekenhuis’).
Het doel van het bezoek was te beoordelen of de zorginstelling bij de inzet van
informatie- en communicatietechnologie in de zorg, oftewel ‘e-health’, zodanige
randvoorwaarden creëert dat sprake is van verantwoorde inzet van technologie voor
goede en veilige zorg.
Vanaf 2018 zal de inspectie structureel aandacht gaan besteden aan het thema e-
health bij zorginstellingen. In het najaar van 2017 voerde de inspectie daartoe
verkennende inspecties uit, om zich te oriënteren op de huidige stand van zaken in
verschillende zorginstellingen. Het gaat om zorginstellingen verspreid over het land,
waarvan de inspectie op basis van openbare bronnen de indruk heeft dat deze actief
e-health-producten of diensten inzetten, echter niet noodzakelijkerwijs op grote
schaal. De verkennende bezoeken waren in dit stadium van het toezicht op e-health
niet gericht op handhaving, tenzij eventuele risicovolle situaties werden aangetroffen
die direct maatregelen behoeven. De bevindingen van deze bezoeken gebruikt de
inspectie om haar toezicht op e-health verder in te richten en een toetsingskader
nader vorm te geven.
1.1 Achtergrond Onder e-health verstaat de inspectie de inzet van hedendaagse informatie- en
communicatietechnologie (ICT), in het bijzonder internettechnologie, om de
gezondheid en gezondheidszorg te ondersteunen of te verbeteren. Concrete
voorbeelden hiervan zijn elektronische patiëntendossiers (EPD’s), elektronische
gegevensuitwisseling, patiëntenportalen, medische apps en monitoring van
chronische patiënten op afstand.
Vooral grote zorginstellingen worden steeds afhankelijker van e-health. Zo is het EPD
een essentieel onderdeel van de bedrijfsvoering geworden. Doordat zorg in
toenemende mate in een netwerk van zorgaanbieders wordt geleverd, wordt ook
onderlinge communicatie tussen zorgverleners steeds belangrijker. Digitale middelen
kunnen hierbij helpen. De inspectie is positief over de mogelijkheden die e-health kan
bieden om de zorg te ondersteunen en te verbeteren, tegelijkertijd vindt zij het
belangrijk dat de kwaliteit en veiligheid van de zorg niet in het geding komen.
Aan de nieuwe mogelijkheden zijn helaas ook risico’s verbonden. Uit een recent
onderzoek in opdracht van de Nederlandse Vereniging voor Klinische Fysica2 blijkt dat
ICT-gerelateerde problematiek op de vierde plaats komt in een landelijke
inventarisatie van VIM-meldingen. In een recente analyse van het Emergency Care
1 Dit is een bezoek dat enkele werkdagen van te voren wordt aangekondigd en onaangekondigde elementen bevat
2 Zie http://www.mtintegraal.nl/artikelen/489/landelijke-inventarisatie-incidentmeldingen-medische-apparatuur
Pagina 4 van 19
Research Institute komen ICT-risico’s op de zesde plaats3. Ook de bedreigingen van
ransomware zijn recentelijk in het nieuws geweest4. Tegelijkertijd ontwikkelen de
wetgeving en normering zich verder, denk aan de wet ‘aanvullende bepalingen
verwerking persoonsgegevens in de zorg’, die in juli 2017 is ingegaan.
1.2 Toetsingskader Het voorlopig toetsingskader, dat is gebruikt bij dit inspectiebezoek, is gebaseerd op
de volgende wetten en veldnormen.
Wetten - Wet kwaliteit, klachten en geschillen zorg (Wkkgz), in het
bijzonder artikel 3 (2016);
- Uitvoeringsbesluit Wkkgz, in het bijzonder artikel 4.1 (2016);
- Wet aanvullende bepalingen verwerking persoonsgegevens
in de zorg (2017);
Richtlijnen en
handreikingen
- Handreiking verantwoordelijkheidsverdeling bij
samenwerking in de zorg (KNMG, V&VN, KNOV, KNGF,
KNMP, NIP, NZV, NFU, GGZ Nederland, NPCF; 2010);
- Convenant veilige toepassing van medische technologie in
de medisch specialistische zorg (NVZ, NFU, Revalidatie
Nederland, ZKN; 2016)
- Leidraad nieuwe interventies in de medische praktijk (Orde
van Medisch Specialisten, Zorginstituut Nederland,
Kennisinstituut van medisch specialisten; 2014)
- Richtlijn online arts-patiëntcontact (KNMG, 2007)
- Richtlijn elektronisch voorschrijven (KNMG, 2013)
- Richtlijn overdracht van medicatiegegevens in de keten
(Actiz, GGZ Nederland, KNMG, KNMP, LEVV, LHV, NFU, NHG,
Nictiz, NPCF, NVZ, NVZA, Orde, V&VN, Verenso, ZN;
2008/2016)
- Artsen en social media (KNMG, 2011);
- Hoe gebruik je sociale media op een verantwoorde manier?
(V&VN, 2012)
- Medische app checker (KNMG, 2016)
Normen - NEN 8028 – kwaliteitseisen telemedicine
- NTA 8009 – veiligheidsmanagementsysteem voor
ziekenhuizen en instellingen die ziekenhuiszorg verlenen
(2011/2014)
3 Zie https://www.ecri.org/Resources/Whitepapers_and_reports/Haz17.pdf
4 Zie http://nos.nl/artikel/2179941-zeker-vijftien-ziekenhuizen-geinfecteerd-met-ransomware.html
Pagina 5 van 19
- NEN 7510 – informatiebeveiliging in de zorg (2011)
- NEN 7512 – vertrouwensbasis voor gegevensuitwisseling
(2015)
Verwante
kaders
- Kader ‘Toezicht op goed bestuur’ (IGZ/NZa), 2016
Pagina 6 van 19
2 Conclusie
De inspectie concludeert op basis van het inspectiebezoek dat het ziekenhuis bij de
inzet van informatie- en communicatietechnologie in de zorg, of ‘e-health’, voldoende
randvoorwaarden creëert, zodanig dat sprake is van verantwoorde inzet van
technologie voor goede en veilige zorg. De implementatie van de beschreven
processen rondom e-health en van het managementsysteem voor
informatiebeveiliging hebben nog verdere aandacht nodig.
Op basis van de resultaten van het inspectiebezoek komt de inspectie tot de volgende
deelconclusies:
e-health is zowel bestuurlijk als in de organisatie verankerd, op deelaspecten is verdere uitwerking nodig De inspectie concludeert dat het onderwerp e-health op bestuurlijk niveau in de
organisatie stevig is verankerd, dat daaraan gerelateerde procedures ver ontwikkeld
zijn en dat het ziekenhuis ver op weg is om deze in te bedden in de organisatie.
Hoewel een heldere lijst van ‘stakeholders’ rondom e-health-initiatieven is
beschreven, zijn bevoegdheden en verantwoordelijkheden nog niet in alle gevallen
concreet uitgewerkt. Ook is het de inspectie niet geheel duidelijk geworden welke
criteria in de praktijk worden gehanteerd om projecten te prioriteren.
Implementatie zorgvuldig maar loopt nog niet geheel volgens gedocumenteerd proces Op basis van de bevindingen van het inspectiebezoek stelt de inspectie vast dat zorgvuldig wordt omgegaan met de introductie van e-health-initiatieven, maar dat de werkwijze nog verschilt per initiatief. De beschikbare procedure is bekend maar wordt nog niet in alle gevallen gevolgd. Hoewel in de praktijk aandacht bestaat voor diverse risico’s, is het uitvoeren van formele risico-analyses geen vast onderdeel van de beschreven procedure. Voor wat betreft methoden om meetgegevens van patiënten door te geven aan het ziekenhuis is van belang dat deze zich blijven mee ontwikkelen met de ontwikkelingen op het gebied van informatiebeveiliging en privacy.
Patiënten zijn voldoende betrokken bij e-health-ontwikkelingen Patiënten van het LUMC zijn op diverse manieren betrokken bij de e-health-
ontwikkelingen. De cliëntenraad is vertegenwoordigd in de e-healthstuurgroep. Op
projectniveau wordt gebruik gemaakt van klankbordgroepen van patiënten. Patiënten
zijn verder betrokken bij activiteiten zoals ‘hackatons’ en publieksdagen.
Het ziekenhuis besteedt voldoende aandacht aan informatie-uitwisseling ten
behoeve van zorgverlener en patiënt
Het LUMC is op niveau van de raad van bestuur betrokken bij regionale
samenwerkingsverbanden. In deze organen wordt gesproken over
instellingsoverstijgende onderwerpen zoals ketenzorg, ouderenzorg en acute zorg. Er
is tevens een regio-organisatie die initiatieven op ICT-gebied voor de regio bundelt.
Ook daarin is het LUMC bestuurlijk vertegenwoordigd. Er komen in het LUMC
kleinschalig initiatieven van de grond om informatie-uitwisseling tussen patiënt en
ziekenhuis (doorgeven van meetwaarden) mogelijk te maken.
Pagina 7 van 19
Verdere aanscherping informatiebeveiliging nodig en in gang gezet
De inspectie concludeert dat bij het LUMC een aanscherping van het
beveiligingsbeleid nodig is en in gang gezet is. De inspectie verwacht dat het
bestaande streven naar certificering op basis van NEN 7510 in 2018 hieraan verder bij
zal dragen. In het resultaat van de laatste audit op basis van NEN 7510 is
geconstateerd dat de technische maatregelen die het LUMC neemt niet volledig
aangepast waren aan de veranderende bedreigingen. De recent benoemde Chief
Information Security Officer is begonnen met het ontwikkelen van nieuw beleid.
Pagina 8 van 19
3 Handhaving
3.1 Maatregelen Niet van toepassing.
3.2 Aanbevelingen De inspectie geeft de volgende aandachts- en verbeterpunten aan:
1. Zorg dat het ziekenhuis uiterlijk in 2018 voldoet aan de NEN 7510 Aantoonbaar voldoen aan NEN 7510 biedt een waarborg dat sprake is van een lerend managementsysteem op het gebied van informatiebeveiliging. Het ziekenhuis zet al in op het versterken van de informatiebeveiliging. De inspectie verwacht dat het ziekenhuis op een zo kort mogelijke termijn, maar in ieder geval in 2018, voldoet aan de NEN 7510.
2. Werk het e-health-proces op deelaspecten verder uit en stuur op adoptie ervan Aspecten van het e-health-proces die verdere uitwerking verdienen zijn de volgende:
- Bevoegdheden en verantwoordelijkheden zijn niet in alle gevallen concreet uitgewerkt. Het is bijvoorbeeld van belang dat voor alle betrokkenen duidelijkheid bestaat over de bevoegdheden en verantwoordelijkheden van externe leden van werkgroepen met een sturende functie, zodat de ziekenhuisorganisatie eigenstandige besluiten kan nemen over zorg die onder haar eigen verantwoordelijkheid plaatsvindt.
- De criteria die in de praktijk worden gehanteerd om projecten te prioriteren zijn niet duidelijk.
- Formele risicoanalyses zouden een onderdeel moeten zijn van de beschreven procedure, in dit kader wijst de inspectie op normelement 4.9.1 van NTA 8009:2014.
De inspectie verwacht dan ook dat de raad van bestuur de op basis van dit
inspectiebezoek geformuleerde verbeterpunten ter harte zal nemen en hiervoor
maatregelen in gang zal zetten.
3.3 Vervolgacties inspectie De inspectie acht actieve opvolging op dit moment niet noodzakelijk; het getoetste onderwerp kan in het reguliere toezicht worden gevolgd door de accounthouder.
Pagina 9 van 19
4 Uitvoering van het inspectiebezoek
4.1 Inleiding De inspectie heeft zich tijdens het bezoek op vijf thema’s geconcentreerd, die naar
haar oordeel relevant zijn voor de veilige en verantwoorde inzet van e-health . Dit
waren de volgende thema’s.
Thema Toelichting
Goed bestuur en
verantwoord
innoveren
De verantwoorde inzet van e-health vereist voldoende
aandacht op verschillende niveaus in de organisatie. Wil de
organisatie ‘in control’ zijn, dan vereist dit bestuurlijke
aandacht voor de toekenning van verantwoordelijkheden bij
toepassen van technische innovaties, zoals e-health. Verder
is aandacht nodig voor de te verwachten risico’s bij
introductie van innovaties, afgewogen tegen de te
verwachten voordelen.
Patiëntparticipatie Veel e-health-toepassingen zijn erop gericht om de patiënt
beter van dienst te zijn, bijvoorbeeld door zorg meer plaats-
en tijdsonafhankelijk aan te bieden of door betere
informatie te verstrekken. Daarbij is het belangrijk dat
aandacht is besteed aan de wijze waarop patiënten in het
innovatieproces worden betrokken, aan de juiste
informatieverstrekking aan de patiënt over de aangeboden
diensten, de gebruiksvriendelijkheid, toegankelijkheid en
veiligheid van toepassingen, de keuzevrijheid van de patiënt
en de ondersteuning en nazorg.
Samenwerken in het
netwerk
E-health speelt een rol bij het mogelijk maken van andere
vormen van samenwerken tussen zorgverleners onderling,
bijvoorbeeld bij overdracht, of tussen zorgverlener en
patiënt. De aandacht die is besteed aan de samenwerking is
medebepalend voor de verantwoorde inzet van de e-health-
implementatie. Daar horen heldere afspraken bij tussen
zorgaanbieders onderling, maar ook van zorgaanbieders
met hun ICT-leveranciers.
Elektronisch
vastleggen en
uitwisselen van
gegevens
In de meeste organisaties worden medische gegevens
elektronisch vastgelegd. Het uitwisselen van informatie
tussen samenwerkende partijen kan worden ondersteund
door elektronische gegevensuitwisseling. Dat vraagt om het
goed in kaart brengen van de informatiebehoefte en het
voldoen aan geldende randvoorwaarden, bijvoorbeeld op
het gebied van privacy en informatiebeveiliging.
Afhankelijkheid van
technologie
De groeiende afhankelijkheid van technologie vereist dat de
organisatie is voorbereid op de risico’s die voortkomen uit
deze afhankelijkheid, bv. voor wat betreft
informatiebeveiliging en continuïteit van zorg.
Pagina 10 van 19
Elk thema is opgebouwd uit een aantal onderdelen, gebaseerd op wetten en
veldnormen zoals opgesomd in paragraaf 1.2.
De resultaten worden per onderdeel weergegeven op een vierpuntsschaal: afwezig,
aanwezig, operationeel, geborgd. Zie bijlage 1 voor een toelichting op de definities
van deze beoordelingen. Onder de tabellen met de resultaten geeft de inspectie een
toelichting op de beoordelingen.
4.2 Methodiek Het bezoek is kort van tevoren aangekondigd om de instelling de mogelijkheid te
geven om de vereiste organisatorische voorbereidingen te treffen om het bezoek
mogelijk te maken en de inspecteurs in de gelegenheid te stellen de van te voren
opgevraagde documentatie te bestuderen.
Voorafgaand aan het bezoek is gevraagd een aantal documenten aan de inspectie te
verstrekken. Ook tijdens het bezoek zijn nog aanvullend documenten opgevraagd en
bestudeerd. De aangeleverde en door het inspectieteam bekeken documenten
worden benoemd in bijlage 2 van dit rapport. Daarnaast is gevraagd de dag tevoren
een overzicht te verstrekken van in de zorginstelling beschikbare e-
healthtoepassingen,naar aanleiding waarvan het inspectieteam het
inspectieprogramma nader heeft ingevuld.
Het inspectieprogramma zag er als volgt uit.
Onderdeel Onderwerpen van focus
Gesprek met de Raad van Bestuur
en sleutelfunctionarissen
THEMA 1 - Goed bestuur en verantwoord
innoveren
THEMA 3 – Samenwerking in het netwerk
THEMA 5 – Afhankelijkheid van technologie
Documentatieonderzoek Onderzoek documentatie (aanschafdossier) van
twee concrete e-health-voorbeelden (1 en 2)
Inspectie e-healthtoepassing 1 THEMA 1 - Goed bestuur en verantwoord
innoveren (2: aanschaf en gebruik)
THEMA 2 - Patiëntparticipatie
Inspectie e-healthtoepassing 2 THEMA 1 - Goed bestuur en verantwoord
innoveren (2: aanschaf en gebruik)
THEMA 2 - Patiëntparticipatie
Inspectie samenwerking in het
netwerk, elektronische
gegevensuitwisseling,
infomatiebeveiliging en
continuïteitsplanning
THEMA 3 – Samenwerking in het netwerk
THEMA 4 – Elektronisch vastleggen en
uitwisselen van gegevens
THEMA 5 – Afhankelijkheid van technologie
Onderhoud met THEMA 1 - Goed bestuur en verantwoord
Pagina 11 van 19
Onderdeel Onderwerpen van focus
patiëntvertegenwoordiger innoveren
THEMA 2 - Patiëntparticipatie
Eindgesprek met de Raad van
Bestuur en sleutelfunctionarissen
Alle bovengenoemde thema’s
Tijdens het bezoek zijn van twee e-health-toepassingen de aanschafdossiers
opgevraagd en bestudeerd en zijn deze toepassingen nader besproken en onderzocht.
De keuze van de toepassingen is niet voorafgaand aan het bezoek bekend gemaakt.
Het gaat om de volgende toepassingen:
1. het patiëntenportaal; 2. ‘The Box’, een set meetapparaten voor monitoring op afstand van
hartpatiënten in de thuissituatie.
Tijdens het bezoek zijn gesprekken gevoerd met de volgende functionarissen:
- lid raad van bestuur;
- directeur ICT;
- directeur (a.i.) directoraat kwaliteit en patiëntveiligheid;
- hoogleraar public health en eerstelijns geneeskunde, voorzitter werkgroep e-health;
- medewerker van het directoraat kwaliteit en patiëntveiligheid, projectmanager;
- senior verpleegkundige polikliniek neurologie;
- voorzitter cliëntenraad LUMC;
- afdelingshoofd cardiologie;
- onderzoeker in opleiding cardiologie;
- chief information security officer, directoraat ICT.
Pagina 12 van 19
5 Resultaten
5.1 Goed bestuur en verantwoord innoveren Getoetste normen:
- Strategie, implementatie en monitoring: de portefeuille van e-health is belegd bij de Raad van Bestuur. Er is op het juiste niveau aandacht voor stellen van doelen en planvorming. Verantwoordelijkheden en bevoegdheden zijn belegd in de organisatie. Er is aandacht voor risicomanagement en kwaliteitsborging van e-healthtoepassingen. Het bestuur beschikt over stuurinformatie.
- Aanschaf en gebruik: de relevante disciplines zijn betrokken bij aanschaf. Er worden programma’s van eisen opgesteld. Er worden risico-analyses uitgevoerd. Er is voldoende aandacht voor instructie van gebruikers, formele vrijgave van toepassingen en onderhoud.
Afwezig Aanwezig Operationeel Geborgd
Goed bestuur en verantwoord innoveren – strategie, implementatie en monitoring
√
Goed bestuur en verantwoord innoveren –
aanschaf en gebruik
√
Toelichting:
Strategie, implementatie en monitoring Het ziekenhuis heeft een visie ontwikkeld op e-health
Het LUMC heeft een visie ontwikkeld op e-health die zich concentreert op drie
prioriteiten, namelijk communicatie tussen patiënt en zorgverlener,
patiëntparticipatie en informatie-uitwisseling tussen zorgpartners. De visie is
gedocumenteerd in 2015 en vastgesteld door de raad van bestuur. Er is tevens een
leerstoel ingevuld voor het onderwerp e-health.
In de organisatie zijn een stuur- en werkgroep ingericht voor het realiseren van de visie
De e-healthvisie is nader uitgewerkt in een document (‘naslag voor eHealth-
initiatieven’) dat een proces en randvoorwaarden beschrijft voor e-health-initiatieven.
Hierin is ook een checklist opgenomen voor initiatiefnemers. Er zijn in de organisatie
een multidisciplinaire werkgroep en een stuurgroep e-health ingericht om de
besluitvorming rondom initiatieven te stroomlijnen. De raad van bestuur is
vertegenwoordigd in de stuurgroep, evenals professionals, patiënten en andere
belanghebbenden.
In de samenstelling van de werkgroep e-health valt het de inspectie op dat hierin een
vertegenwoordiger van een zorgverzekeraar is opgenomen. Het is van belang dat voor
alle betrokkenen duidelijkheid bestaat over de bevoegdheden en
verantwoordelijkheden van externe leden van de werkgroep, zodat de
ziekenhuisorganisatie eigenstandige besluiten kan nemen over zorg die onder haar
Pagina 13 van 19
eigen verantwoordelijkheid plaatsvindt. Verder valt op dat in de stuurgroep
patiëntvertegenwoordiging aanwezig is, maar niet in de werkgroep.
Er wordt overzicht gehouden over de e-healthprojectportfolio
Ten behoeve van monitoring wordt een voortgangstabel gehanteerd waarin alle
bekende initiatieven zijn opgenomen. Tijdens het inspectiebezoek heeft de raad van
bestuur toegelicht dat in eerste instantie begonnen is met het zichtbaar maken van
initiatieven. Vervolgens is structuur aangebracht en is een manier ontwikkeld om de
projecten te identificeren (een ‘top 10’) die opschaling verdienen. De volgende stap is
het bestendigen van het proces en het leggen van verbinding met collega
ziekenhuizen.
Bevoegdheden en verantwoordelijkheden kunnen nog verder uitgewerkt
Hoewel de ‘naslag voor e-health-initiatieven’ een heldere lijst van ‘stakeholders’
rondom e-health-initiatieven, zijn bevoegdheden en verantwoordelijkheden nog niet
in alle gevallen concreet uitgewerkt. Ook is het de inspectie niet geheel duidelijk
geworden welke criteria in de praktijk worden gehanteerd om projecten te
prioriteren (geel gearceerde projecten in de voortgangstabel).
Alles overziend is de indruk van de inspectie dat het onderwerp e-health op
bestuurlijk niveau in de organisatie stevig is verankerd, dat daaraan gerelateerde
procedures ver ontwikkeld zijn en dat het ziekenhuis ver op weg is om deze in te
bedden in de organisatie.
Aanschaf en gebruik Checklist benoemt randvoorwaarden voor implementatie, risico-analyses zijn niet
benoemd
De ‘naslag voor e-health-initiatieven’ geeft aanwijzingen in de vorm van een checklist
voor diverse onderdelen van het implementatieproces, zoals het vaststellen van
klantwaarde, het verzamelen van bewijs, het borgen van de informatiebeveiliging en
privacy en het borgen van technische randvoorwaarden. Hoewel hierbij bij
verschillende onderdelen gekeken wordt naar risico’s, is een prospectieve risico-
analyse op het gebied van kwaliteit van zorg en patiëntveiligheid geen onderdeel van
de checklist.
Tijdens het inspectiebezoek zijn twee initiatieven op het gebied van e-health nader
bestudeerd, namelijk het patiëntenportaal en een onderzoeksproject voor
telemonitoring van patiënten na een myocartinfarct, waarbij patiënten thuis gewicht
en bloeddruk kunnen meten en ECG’s maken (met apparatuur uit ‘The Box’).
Werkwijze bij het patiëntenportaal
Het patiëntenportaal is aangeschaft als onderdeel van het EPD, waarvan het
selectieproces plaatsvond in 2009. Tijdens het inspectiebezoek is vastgesteld dat in
het toenmalige pakket van eisen voor het EPD ook eisen waren opgenomen ten
aanzien van het portaal. Uit het plan van aanpak uit 2010 voor de implementatie van
het EPD blijkt dat destijds aandacht is besteed aan diverse risico’s, o.a. ten aanzien
van continuïteit van zorgprocessen en patiëntveiligheid.
Pagina 14 van 19
Nieuwe portaalfuncties (waaronder afspraken maken) worden gefaseerd bij meer
afdelingen in gebruik genomen. Bij de polikiniek neurologie bijvoorbeeld is dit per juni
2017 gebeurd. Het portaal slaat daar goed aan, inmiddels maakt tachtig procent van
de polikliniekpatiënten er gebruik van. Aan ziekenhuisafdelingen die met het portaal
aan de slag gaan worden presentaties en demonstraties gegeven, er wordt nog
gewerkt aan het opzetten van e-learningmodules rondom het portaal.
Er loopt een project om de portaaloplossing te vervangen om beter op wensen in te
kunnen spelen. Bij het vaststellen van de eisen en wensen zijn zowel artsen als
patiënten betrokken geweest.
De naslag voor e-health-iniatieven (met checklist) is bekend bij de projectleider maar wordt niet altijd gevolgd. Het wordt wel als een goed hulpmiddel gezien. Werkwijze bij project ‘The Box’ The Box is een van de projecten van het hart-long centrum van het LUMC. De afdeling heeft ambitieuze plannen met e-health, de bedoeling is om dertig procent van de consulten digitaal te doen. Bij The Box gaat het om een gerandomiseerd onderzoek onder 200 patiënten. De helft krijgt een set meetapparatuur mee naar huis, bestaand uit een weegschaal, een bloeddrukmeter en een tweekanaals ECG-meter (AliveCor). Het betreft apparatuur die op de consumentenmarkt wordt aangeboden. Bij patiënten die herstellen van een myocartinfarct worden in het onderzoeksjaar twee van de vier consulten vervangen door een videoconsult, verder geven zij via een smartphone en een geanonimiseerd e-mailadres meetwaarden door aan het ziekenhuis. De ‘naslag voor e-healthinitiatieven’ is bekend bij de afdeling, maar is niet stap voor stap doorlopen voor het project, aangezien deze ten tijde van het opstellen van de protocollen voor ‘The Box’ nog niet beschikbaar was. Wel is gekeken naar juridische, ethische en technische aspecten van het project. Omdat het een onderzoek betreft was de medisch ethische commissie erbij betrokken, ook is er een pilot gedaan met twintig patiënten waarna het project tussentijds is geëvalueerd. Patiënten krijgen uitleg en ondersteuning wanneer ze de apparatuur krijgen uitgereikt en worden geïnstrueerd dat meetwaarden vooralsnog alleen tijdens kantooruren worden gemonitord en hoe ze om moeten gaan met spoedsituaties. Daarnaast kunnen ze gebruik maken van technische ondersteuning, waarbij ook bezoek aan huis mogelijk is in geval van problemen met het doorgeven van meetwaarden. Implementatie zorgvuldig maar loopt nog niet geheel volgens gedocumenteerd proces Op basis van de bevindingen van het inspectiebezoek stelt de inspectie vast dat zorgvuldig wordt omgegaan met de introductie van e-health-iniatieven, maar dat de werkwijze nog verschilt per initiatief. De beschikbare procedure is bekend maar wordt nog niet in alle gevallen gevolgd. Hoewel in de praktijk aandacht bestaat voor diverse risico’s, is het uitvoeren van formele risico-analyses geen onderdeel van het proces. Voor wat betreft methoden om meetgegevens van patiënten door te geven aan het ziekenhuis is van belang dat deze zich blijven mee ontwikkelen met de ontwikkelingen op het gebied van informatiebeveiliging en privacy.
Pagina 15 van 19
5.2 Patiëntparticipatie
Getoetste normen:
Patiënten zijn betrokken bij de introductie van voor hen relevante toepassingen.
Risico’s voor patiënten worden onderkend en geadresseerd. Bij het vaststellen van in-
en exclusiecriteria wordt rekening gehouden met de zorgbehoefte van cliënten en de
eigenschappen van de e-healthdienst. Patiënten beschikken over de informatie die
nodig is voor de keuze voor bij hun zorgvraag passend aanbod. Patiënten beschikken
over de juiste kennis en vaardigheden.
Afwezig Aanwezig Operationeel Geborgd
Patiëntparticipatie √
Toelichting:
Patiëntparticipatie Patiënten van het LUMC zijn in de praktijk op diverse manieren betrokken bij de e-
healthontwikkelingen. De cliëntenraad is vertegenwoordigd in de e-healthstuurgroep.
De cliëntenraad hecht onder andere belang aan het verder ontwikkelen van het
portaal. Tijdens het inspectiebezoek is verder gebleken dat op projectniveau gebruik
wordt gemaakt van klankbordgroepen van patiënten. Het hart-longcentrum
organiseert daarnaast patiëntavonden en vraagt actief feedback van patiënten.
Patiënten kunnen zelf kiezen in hoeverre zij gebruik willen maken van digitale
mogelijkheden. Patiënten kunnen een beroep doen op het ziekenhuis voor
ondersteuning als zij hierbij problemen ervaren.
Patiënten worden jaarlijks betrokken bij ‘hackatons’. Dit zijn evenementen waarbij
multidisciplinaire teams, bestaande uit zorgverleners, patiënten, programmeurs,
ontwerpers en ondernemers, in enkele dagen een oplossing bedenken en uitwerken
voor actuele zorggerelateerde problemen. Daarnaast organiseert het LUMC
publieksdagen rondom e-health voor de stad en wordt gewerkt aan een nationaal ‘e-
health living lab’.
5.3 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens Getoetste normen:
- Samenwerking: De zorgorganisatie heeft duidelijk in beeld met welke andere zorgaanbieders zorginhoudelijk wordt samengewerkt. Bij samenwerking kunnen de betrokken zorgverleners beschikken over relevante gegevens van collega’s en zijn er afspraken gemaakt over de wijze waarop samenwerkingspartners relevante informatie uit een dossier kunnen verkrijgen.
Pagina 16 van 19
- Uitwisselen van gegevens: de zorgaanbieder maakt samenwerkingsafspraken met medezorgaanbieders voor de informatievoorziening rondom medicatieoverdracht in de regionale situatie en is zich bewust van relevante standaarden. Afspraken met partijen waarmee elektronisch gegevens worden uitgewisseld worden vastgelegd. Er wordt toestemming gevraagd aan patiënten voor het elektronisch beschikbaar maken van patiëntinformatie aan andere zorgaanbieders.
Afwezig Aanwezig Operationeel Geborgd
Samenwerken in het netwerk en elektronisch uitwisselen van gegevens
√
Toelichting:
Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens
Het LUMC is op niveau van de raad van bestuur betrokken bij Transmuralis, een
samenwerkingsverband van ziekenhuizen, verpleeg- en verzorgingstehuizen,
revalidatiezorg, GGZ en thuiszorg in de regio Zuid-Holland-noord. Daarnaast is er op
bestuurlijk niveau regionaal overleg waarbij ook de huisartsen en de GGD betrokken
zijn. In deze organen wordt gesproken over instellingsoverstijgende onderwerpen
zoals ketenzorg, ouderenzorg en acute zorg. Het LUMC-bestuur staat voor dat bij
ieder regionaal project ICT als onderdeel daarvan beschouwd wordt, zodat ICT-
toepassingen altijd volgen op de zorginhoud. Partijen hebben overigens een
gelijkwaardige rol in deze samenwerkingsverbanden. Er is tevens een regio-
organisatie Sleutelnet die initiatieven op ICT-gebied voor de regio bundelt, o.a. op het
gebied van verwijzingen (Zorgdomein voor huisartsen, POINT voor de VVT) en
beveiligde e-mail. Ook in Sleutelnet is het LUMC bestuurlijk vertegenwoordigd.
Uitwisseling van informatie tussen ziekenhuizen onderling blijft vooralsnog een
uitdaging.
Er komen in het LUMC kleinschalig initiatieven van de grond om
informatieuitwisseling tussen ziekenhuis en patiënt (doorgeven van meetwaarden)
mogelijk te maken en deze gegevens te combineren met gegevens uit het ziekenhuis
(o.a. medical dashboard voor nierpatiënten). Dergelijke methoden verschillen nog
onderling tussen afdelingen (bv. polikliniek niertransplantatie versus
hartlongafdeling).
In het geval van elektronische diensten wordt een samenwerkingsovereenkomst
gesloten waarin bepalingen omtrent informatiebeveiliging en privacy worden
opgenomen. In het kader van het inspectiebezoek is een
samenwerkingsovereenkomst (met Zorgdomein) ingezien.
Pagina 17 van 19
5.4 Afhankelijkheid van technologie
Getoetste normen:
- Informatiebeveiliging: het bestuur is aantoonbaar betrokken bij het vaststellen, controleren en verbeteren van het informatiebeveiligingssysteem; informatiebeveilingsgebeurtenissen worden op het juiste niveau gerapporteerd.
- Continuïteit: de organisatie heft een continuïteitsstrategie vastgesteld, ingevoerd en getest.
Afwezig Aanwezig Operationeel Geborgd
Informatiebeveiliging √
Continuïteitsplanning √
Toelichting:
Informatiebeveiliging Er wordt jaarlijks een interne audit gedaan op basis van de NEN 7510. Het resultaat
van de laatste audit, uitgevoerd door een student van de Haagse Hogeschool, van
februari 2017 is overlegd. In het rapport wordt op sommige punten geconstateerd dat
de technische maatregelen die het LUMC neemt niet volledig aangepast zijn aan de
veranderende bedreigingen. Ook wordt opgemerkt dat sprake is van beperkte
documentatie op het gebied van de naleving, waardoor er beperkte aantoonbaarheid
is.
In het kader van aansluiting op DigiD voldoet het LUMC aan de daarvoor vereiste
beveiligingcriteria. Er worden o.a. penetratietesten uitgevoerd.
Er is sinds dit jaar een Chief Information Security Officer (CISO) benoemd. Deze is
begonnen met het ontwikkelen van nieuw beleid op het gebied van
informatiebeveiliging. Er zijn o.a. wijzigingen doorgevoerd in het wachtwoordbeleid
en men heeft werk gemaakt van het isoleren van apparatuur met verouderde
operating systemen. Het LUMC streeft naar certificering op basis van NEN 7510 in
2018, kort na het inspectiebezoek zal een eerste externe audit plaatsvinden. Ook
wordt een inhaalslag gemaakt in het vaststellen van overeenkomsten met derden.
De inspectie constateert dat bij het LUMC een aanscherping van het
beveiligingsbeleid onderweg is en gaat er vanuit dat het bestaande streven naar
certificering hieraan verder bij zal dragen.
Continuïteit Kritische systemen zijn geïdentificeerd en zijn dubbel uitgevoerd op twee locaties (wel
beide in het LUMC). Er is daarnaast een back-up. Restore procedures worden getest.
Er worden noodstroomtesten gedaan. Er is een plan voor noodgevallen met
escalatieschema’s. Het proces wordt jaarlijks ‘droog’ geoefend.
Pagina 18 van 19
6 Bijlage 1: Algemene toelichting beoordelingen
Niveau Toelichting
Afwezig Er wordt niet aantoonbaar aandacht besteed aan het
onderwerp en/of er is geen herkenbaar proces. Er is
geen schriftelijke procedure.
Aanwezig Er wordt aantoonbaar aandacht besteed aan het
onderwerp, er kan een gedocumenteerd proces zijn,
maar in de praktijk is dit niet bij iedereen bekend en/of
het wordt niet structureel gevolgd
Operationeel Er is een gedocumenteerd proces dat in de praktijk
bekend is en structureel wordt gevolgd
Geborgd Er is een gedocumenteerd, structureel in de praktijk
gevolgd proces, waarvan de uitkomsten worden
gemeten en dat op basis van de uitkomsten wordt
verbeterd.
Pagina 19 van 19
7 Bijlage 2: Overzicht documenten die zijn ingezien
De volgende documenten zijn ingezien.
- LUMC visie op eHealth, oktober 2015
- Documentatie/naslag voor eHealth initiatieven, aanvullende en ondersteunende informatie voor initiatiefnemers en betrokkenen, december 2016
- Voortgang eHealth initiatieven (tabel)
- Rapportage Audit NEN 7510 2016, februari 2017
- Productcontract verwijsapplicatie, Zorgdomein Nederland B.V. en Leids Universitair Medisch Centrum (LUMC), januari 2017
- De sleutel tot de toekomst, strategisch plan 2018-2020, Sleutelnet, september 2017.
- Patiëntenportaal als onderdeel van E-health en digitalisering ambitie in het LUMC, november 2017 (presentatie)
- Vernieuwing Zorg ICT, Plan van Aanpak LUMC/ UMC Utrecht, basisimplementatie CS-EZIS.Net, februari 2010, en daarvan in het bijzonder:
o Hoofdstuk 7 Risico’s en maatregelen, onderdeel 7.4 Risico’s ten aanzien van continuïteit van zorgprocessen en patiëntveiligheid
o Bijlage testen en acceptatie (functionele test, koppelingentest, conversietest, integratietest, stress/volume test, regressie test, acceptatietest).
- Spreadsheet; ZISEPD- Pakket van Eisen bij aanschaf 2009 voor het portaal. Eisen 1.8.144 t/m 1.8.146.
- Hart Long Centrum Leiden; E-Health, Project 1317!, 2017
- LUMC / Hart Long Centrum Leiden, Jaarplan 2017: Focus op vernieuwing, februari 2017
- Hart Long Centrum Leiden; Connect-3P, mei 2017
- R.W. Treskes et al. Comparison of the diagnostic accuracy of four smartphone compatible blood pressure monitors in post-myocardial infarction patients. LUMC.
