Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Rapport van het inspectiebezoek in het kader van het toezicht op e-health
aan Tergooi te Hilversum op 11 september 2018
xx
xxxx
Utrecht, 26 november 2018
Pagina 2 van 22
Inhoud
Inhoud ........................................................................................................................................... 2
1 Inleiding ................................................................................................................................. 3
1.1 Aanleiding en belang .......................................................................................................... 3
1.2 Onderzoeksvragen .............................................................................................................. 4
1.3 Onderzoeksmethode en toetsingskader ............................................................................. 4
2 Conclusie ............................................................................................................................... 7
3 Handhaving ........................................................................................................................... 9
4 Resultaten ........................................................................................................................... 10
4.1 Goed bestuur en verantwoord innoveren ......................................................................... 10
4.2 Invoering en gebruik van e-health-producten en -diensten .............................................. 12
4.3 Patiëntparticipatie ............................................................................................................ 15
4.4 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens 16
4.5 Informatiebeveiliging en continuïteit................................................................................ 17
Bijlage 1: Wetten, (veld)normen en richtlijnen............................................................................. 19
Bijlage 2: Algemene uitleg van de beoordelingen ......................................................................... 20
Bijlage 3: Overzicht van documenten die zijn bestudeerd ............................................................ 21
Pagina 3 van 22
1 Inleiding
De Inspectie Gezondheidszorg en Jeugd (de inspectie) bezocht op 11 september 2018
Tergooi te Hilversum (hierna: het ziekenhuis). Het onderwerp van het bezoek was de
inzet van informatie- en communicatietechnologie in de zorg. Dit heet ook wel ‘e-
health’ of ‘digitale zorg’.
De inspectie toetste of het ziekenhuis bij het gebruik van e-health zorgt voor de
nodige voorwaarden voor goede en veilige zorg, die volgen uit wetten, (veld)normen
en richtlijnen op dit gebied.
1.1 Aanleiding en belang Onder e-health verstaat de inspectie: de inzet van hedendaagse informatie- en
communicatietechnologie (ICT), in het bijzonder internettechnologie, om de
gezondheid en gezondheidszorg te ondersteunen of te verbeteren.
Voorbeelden hiervan zijn elektronische patiëntendossiers (EPD’s) en elektronische
uitwisseling van gegevens1. Maar ook patiëntenportalen, medische apps, monitoring
van chronische patiënten op afstand, en inzet van online behandeling of begeleiding.
De inspectie is positief over de mogelijkheden die e-health kan bieden. E-health kan
de zorg minder laten afhangen van tijd en plaats. Ook kan het de communicatie
tussen patiënt2 en zorgverlener helpen. En die tussen zorgverleners. Dit wordt
belangrijker nu de patiënt vaker te maken krijgt met een netwerk van zorgaanbieders.
Tegelijk vindt de inspectie het belangrijk dat de inzet van e-health doordacht gebeurt.
Ook bij de inzet van e-health moet de zorgaanbieder de kwaliteit en veiligheid van de
zorg bewaken. Vooral grote organisaties leunen steeds meer op e-health. Dat vraagt
erom dat de zorgaanbieder zorgt voor goede voorwaarden in de organisatie.
De nieuwe mogelijkheden kennen helaas ook risico’s. In een landelijk onderzoek3 van
VIM-meldingen (‘Veilig Incident Melden’) staan problemen met ICT op de vierde
plaat. In een analyse uit 2017 van het Emergency Care Research Institute staan ICT-
risico’s op de zesde plaats4. Ook de bedreigingen van ransomware zijn veel in het
nieuws geweest5. Intussen ontwikkelen de wetgeving en normering zich verder. Denk
aan de wet ‘aanvullende bepalingen verwerking persoonsgegevens in de zorg’, die in
juli 2017 is ingegaan.
Sinds het najaar van 2017 kijkt de inspectie bij zorgaanbieders naar e-health. Daarbij
toetst de inspectie of de zorgaanbieder zorgt voor de goede randvoorwaarden voor
1 Met e-health bedoelt de inspectie dus ook de meer traditionele zorg-ICT.
2 Voor patiënten kan in dit rapport ook cliënten of bewoners worden gelezen.
3 Zie http://www.mtintegraal.nl/artikelen/489/landelijke-inventarisatie-incidentmeldingen-medische-apparatuur
4 Zie https://www.ecri.org/Resources/Whitepapers_and_reports/Haz17.pdf
5 Zie http://nos.nl/artikel/2179941-zeker-vijftien-ziekenhuizen-geinfecteerd-met-ransomware.html
Pagina 4 van 22
digitale zorg. De inspectie komt onder andere bij ziekenhuizen en aanbieders van
verpleging en verzorging, geestelijke gezondheidszorg of gehandicaptenzorg.
De keuze valt op zorgaanbieders die volgens openbare bronnen actief e-health-
producten of -diensten inzetten. Verder gaat het om zorgaanbieders verspreid over
het land.
In het toezicht op e-health betrekt de inspectie verschillende wetten, veldnormen en
richtlijnen op het gebied van ICT in de zorg (zie 1.3).
1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of het ziekenhuis bij de inzet van
informatie- en communicatietechnologie (e-health) zorgt voor de nodige
voorwaarden voor goede en veilige zorg, die volgen uit wetten, (veld)normen en
richtlijnen op dit gebied.
1.3 Onderzoeksmethode en toetsingskader Bij het bezoek gebruikte de inspectie een toetsingskader. Dat is gestoeld op de
wetten, richtlijnen en veldnormen in bijlage 1.
Een toetsingskader moet praktisch bruikbaar zijn. Daarom heeft de inspectie tijdens
het bezoek gekeken naar de volgende vijf onderwerpen. Daarin zijn de verschillende
normen en richtlijnen meegenomen.6
6 Naar aanleiding van de ervaringen bij de eerste twintig e-healthbezoeken is de indeling van de thema’s licht
gewijzigd ten opzichte van eerdere bezoeken.
Pagina 5 van 22
Onderwerp Uitleg
Goed bestuur en
verantwoord
innoveren
Het bestuur van de zorgaanbieder moet ‘in control’, ook
op het gebied van e-health. Dit vraagt om een helder en
gedragen beleid. Het bestuur moet de
verantwoordelijkheden goed regelen bij inzetten van
technische innovaties, zoals e-health. Ook een goede
inrichting van de besluitvorming hoort daarbij.
Invoering en gebruik
van e-health-
producten en -
diensten
De zorgaanbieder moet bij invoering en gebruik van e-
health-producten en -diensten zorgen voor goede
voorwaarden. De zorgaanbieder zorgt bijvoorbeeld voor
duidelijke eisen aan producten en diensten. Ook moet de
zorgaanbieder goed omgaan met mogelijke risico’s.
Belangrijke voorwaarden zijn verder goede training, goed
testen en goed onderhoud.
Patiëntparticipatie De patiëntenzorg wordt steeds afhankelijker van e-health.
Daarom is het belangrijk dat de zorgaanbieder de
cliëntenraad raadpleegt over het beleid. De
zorgaanbieder kijkt hoe geschikt e-health-producten en -
diensten zijn voor patiënten. Ook zorgt de zorgaanbieder
voor goede informatie en begeleiding voor patiënten.
Samenwerken in het
netwerk en
elektronisch
vastleggen en
uitwisselen van
gegevens
E-health kan andere vormen van samenwerken mogelijk
maken tussen zorgverleners. Daarbij is het belangrijk dat
de zorgaanbieder duidelijke afspraken maakt met andere
zorgaanbieders over digitale samenwerking. Daarbij moet
de zorgaanbieder zorgen voor goede organisatorische en
technische maatregelen.
Informatiebeveiliging
en continuïteit
De groeiende afhankelijkheid van ICT vraagt erom dat de
organisatie zorgt voor de continuïteit. Daar horen goede
afspraken en maatregelen bij voor informatiebeveiliging.
De inspectie heeft het bezoek kort van tevoren bekend gemaakt. Dit was nodig om
het ziekenhuis de mogelijkheid te geven gesprekspartners vrij te maken. Ook heeft de
inspectie gevraagd om een aantal documenten ter voorbereiding op te leveren.
Tijdens het bezoek heeft de inspectie met verschillende betrokkenen gesproken over
de thema’s van het toetsingskader. Dit waren medewerkers van het ziekenhuis in de
volgende rollen:
- lid raad van bestuur - intensivist, dagelijks bestuur medische staf, portefeuillehouder kwaliteit - manager kwaliteit, projecten en innovatie – programmadirecteur virtueel
ziekenhuis - security officer - functionaris gegevensbescherming - interventiecardioloog
Pagina 6 van 22
- interventiecardioloog, CMIO - projectleider Benefit - projectleider Zorgportaal - teamleider ICT-verandering - teamleider ICT-operatie - internist-nefroloog - oncologieverpleegkundige - arts assistent interne geneeskunde
Na het bezoek sprak de inspectie telefonisch met de voorzitter van de cliëntenraad.
De inspectie heeft tijdens het bezoek twee e-health-toepassingen bestudeerd. Het
gaat om de volgende voorbeelden:
1. telemonitoring van hartpatiënten (Pilot Benefit) 2. patiëntenportaal
Bij de telemonitoring-pilot gaat het om deelname aan een vijfjarig onderzoek (Benefit) van een consortium van onderzoekers, bedrijven, patiëntenorganisaties en verzekeraars. Hartpatiënten meten onder andere bloeddruk, gewicht en buikomvang. Via een gezondheidsportaal hebben patiënten inzicht in hun dossier en kunnen zij direct contact opnemen met een gespecialiseerd verpleegkundige. Naast artsen en verpleegkundigen worden in het Benefit-onderzoek ook fysiotherapeuten, leefstijlspecialisten en diëtisten ingezet om patiënten te begeleiden en adviseren. Patiënten kunnen punten sparen met gezond gedrag. Bij het patiëntenportaal gaat het om het ziekenhuisbreed voor patiënten inrichten en in gebruik nemen van een patiëntenportaal met functies zoals dossierinzage en afspraken maken. De inspectie kreeg tijdens het bezoek een rondleiding door de e-studio en volgde daarbij de virtuele reis van een voorbeeldpatiënt door het ziekenhuis.
Vooraf en tijdens het bezoek heeft de inspectie om verschillende documenten
gevraagd. Een overzicht staat in bijlage 3 van dit rapport.
De resultaten van het inspectiebezoek staan in hoofdstuk 0 van dit rapport. De
beoordeling bij elk onderwerp volgt een vierpuntsschaal: afwezig, aanwezig,
operationeel, geborgd. Zie bijlage 2 voor een uitleg over deze begrippen.
Pagina 7 van 22
2 Conclusie
Het onderwerp van het inspectiebezoek bij het ziekenhuis was de inzet van
informatie- en communicatietechnologie in de zorg (ook wel ‘e-health’ of ‘digitale
zorg’). Het doel van het bezoek was om te beoordelen of het ziekenhuis daarbij zorgt
voor de juiste randvoorwaarden voor goede en veilige zorg, die volgen uit wetten,
(veld)normen en richtlijnen op dit gebied. De inspectie concludeert dat dit
grotendeels het geval is. Op het gebied van informatiebeveiliging voldoet het
ziekenhuis onvoldoende, op enkele andere punten is verbetering mogelijk.
Op basis van de constateringen komt de inspectie tot de volgende deelconclusies.
Het ziekenhuis besteedt voldoende aandacht e-health-strategie en organisatie,
maar kan de wijze van routering van projecten verder uitwerken
Het ziekenhuis heeft een ICT-strategie en een strategie om te werken aan een
‘virtueel ziekenhuis’. Het ziekenhuis heeft het voornemen die te integreren. De wijze
waarop het ziekenhuis kiest voor routering van projecten via de ICT-begroting of via
het programma Virtueel Ziekenhuis is niet volledig duidelijk en zou het ziekenhuis
verder moeten uitwerken om dit proces minder afhankelijk te maken van de kennis
van sleutelfunctionarissen. Het ziekenhuis heeft een CMIO en meerdere adviserende
en/of sturende organen op het gebied van ICT/e-health. Het bestuur krijgt op diverse
manieren managementinformatie over ICT/e-health.
Het ziekenhuis pakt invoeren van e-health gedegen aan, maar moet het proces meer uitwerken, vooral wat betreft risicoanalyses Het ziekenhuis kent geen standaard procesmodel voor het invoeren en
implementeren van e-health-producten en diensten. Er is dus geen vooropgezette
fasering waarbij duidelijk is wie wanneer bij het proces betrokken is. Zo stelt het
ziekenhuis niet in alle gevallen een programma van eisen op. Ook heeft het ziekenhuis
geen algemene criteria voor het al dan niet uitvoeren van een prospectieve
risicoanalyse (PRI) bij implementatie van e-health-diensten. Het ziekenhuis voert deze
wel uit bij specifieke projecten. Het ziekenhuis stemt trainingsvereisten af op de aard
van de implementatie en besteedt aandacht aan testen en het inregelen van
onderhoud.
Het ziekenhuis besteedt voldoende aandacht aan het betrekken van patiënten bij e-health-ontwikkelingen Het ziekenhuis betrekt de cliëntenraad actief bij het beleid op het gebied van e-
health. Voorbeelden zijn de selectie van het EPD, het programma Virtueel Ziekenhuis
en de ontwikkeling van de website Het ziekenhuis brengt in kaart welke eisen het
gebruik van een e-health-product of -dienst stelt aan patiënten. Het ziekenhuis
betrekt in bescheiden mate patiënten bij relevante projecten. Het ziekenhuis zorgt
voor duidelijk informatiemateriaal voor patiënten.
Pagina 8 van 22
Het ziekenhuis besteedt voldoende aandacht aan samenwerking in het netwerk en elektronische gegevensuitwisseling Het ziekenhuis werkt actief samen in de regio, ook op het vlak van ICT. Het ICT-beleid
besteedt aandacht aan elektronische gegevensdiensten. Het ziekenhuis zorgt voor het
elektronisch ophalen medicatieoverzichten. Er is een overzicht of architectuurplaat
van aanwezige koppelingen. Het ziekenhuis heeft meerdere gegevensdiensten
ingericht om de zorgverleners van de juiste informatie te voorzien. Het ziekenhuis
zorgt voor bewerkersovereenkomsten.
Het ziekenhuis kan onvoldoende aantonen dat het managementsysteem voor informatiebeveiliging op orde is en voldoet aan NEN 7510 Elementen van een managementsysteem voor informatiebeveiliging zijn aanwezig.
Het beleid voor informatiebeveiliging is echter niet actueel en beperkt zich
hoofdzakelijk tot privacyaspecten. Er is geen objectieve en onpartijdige audit
uitgevoerd op basis van NEN 7510. Op het gebied van continuïteit zijn recent
verbeteringen aangebracht. Het ziekenhuis heeft een gedocumenteerde strategie en
een plan voor continuïteit. Verder zijn diverse technische maatregelen ingevoerd.
Pagina 9 van 22
3 Handhaving
3.1 Maatregelen
De inspectie geeft de volgende verbeterpunten aan:
Voer een audit uit op NEN 7510 en maak indien nodig en verbeterplan
Het ziekenhuis moet een audit op NEN 7510 (laten) uitvoeren. Hieruit moet blijken in
hoeverre de organisatie voldoet aan de NEN 7510. Een verbeterplan moet aangeven
hoe de eventueel gevonden tekortkomingen zullen worden weggenomen en op welke
termijn.
Werk de routering van projecten en het proces van implementeren van e-health-
toepassingen verder uit
De wijze van routering van projecten via de ICT-begroting of via het programma
Virtueel Ziekenhuis zou het ziekenhuis verder moeten uitwerken. Ook moet het
ziekenhuis verder uitwerken welke fasering nodig is bij de implementatie van e-
health-producten en –diensten, zodat duidelijk is wie wanneer bij het proces
betrokken moet zijn. Daarbij horen ook algemene criteria voor het al dan niet
uitvoeren van een prospectieve risicoanalyse (PRI) bij implementatie van e-
healthdiensten.
3.2 Vervolgacties inspectie
De inspectie wil uiterlijk op 31 maart 2019 het resultaat ontvangen van een audit die
aantoont in hoeverre de zorgaanbieder voldoet aan de NEN 7510. Indien hieruit blijkt
dat er belangrijke tekortkomingen zijn dan verwacht de inspectie tevens een
verbeterplan.
Wat betreft het punt over de uitwerking van het besluitvormingsproces en het
implementatieproces vertrouwt de inspectie erop dat het bestuur dit de vereiste
aandacht zal geven voor eind maart 2019. Dit punt kan worden opgevolgd in het
reguliere toezicht.
Pagina 10 van 22
4 Resultaten
4.1 Goed bestuur en verantwoord innoveren Getoetste normen:
- De raad van bestuur heeft de controle over de e-health-ontwikkelingen. De zorgaanbieder heeft een beleid voor e-health en heeft hierbij de mensen betrokken die er belang bij hebben. Hij heeft taken en verantwoordelijkheden belegd in de organisatie. Hij regelt een duidelijke besluitvorming. De zorgaanbieder heeft aandacht voor risicomanagement en kwaliteitsborging van de e-health/ICT-omgeving. Het bestuur krijgt stuurinformatie.
Afwezig Aanwezig Operationeel Geborgd
Goed bestuur en verantwoord innoveren √
Uitleg:
Het ziekenhuis heeft een ICT-strategie en een e-health-strategie
Het ziekenhuis heeft een ICT-strategie en een strategie om te werken aan een
‘virtueel ziekenhuis’. Deze laatste is gekoppeld aan de strategie voor de nieuwbouw.
Het ziekenhuis gaat de huidige twee locaties samenbrengen op één locatie. De
toekomstige locatie is kleiner dan de huidige twee samen. Daarom is het belangrijk
om te onderzoeken welke zorg buiten het ziekenhuis kan plaatsvinden. E-health moet
dit ondersteunen.
De raad van bestuur heeft aangegeven dat de diverse inspraakorganen
(ondernemingsraad, cliëntenraad, medische staf) betrokken zijn bij het opstellen van
de strategie.
Het ziekenhuis heeft in het programma Virtueel Ziekenhuis de vernieuwende ICT-
projecten ondergebracht. Het programma heeft een eigen budget. De ‘reguliere’ ICT
maakt geen onderdeel uit van het programma maar valt onder de ICT-begroting. Het
ziekenhuis heeft het voornemen om de ICT-strategie en de strategie voor het virtueel
ziekenhuis te integreren, maar dit is nu nog niet het geval.
Het ziekenhuis heeft een CMIO en meerdere adviserende en/of sturende organen op
het gebied van ICT/e-health
Het ziekenhuis heeft een chief medical information officer (CMIO). De raad van
bestuur stelt de CMIO aan. De CMIO vertegenwoordigt de medische staf op het
gebied van ICT. De CMIO moet affiniteit hebben met ICT maar het ziekenhuis verbindt
geen speciale opleidings- of trainingseisen aan deze rol. De CMIO is lid van het
Chipsoft CMIO-netwerk én van het netwerk CMIO Nederland. Op deze manier wordt
kennis opgebouwd en ervaring uitgewisseld. De CMIO is betrokken bij de inrichting en
afspraken rondom het elektronisch patiëntendossier (EPD). Hij is eveneens betrokken
bij de nieuwe ontwikkelingen in het programma Virtueel Ziekenhuis. Een groep van
medisch specialisten, de ‘EPD-dokters’, ondersteunt de CMIO bij de overwegingen
Pagina 11 van 22
over vakgroep-overstijgende aanpassingen aan het EPD door. Daarnaast heeft het
ziekenhuis een adviserend orgaan, de EPD-commissie. De CMIO zit de EPD-commissie
voor. In de commissie zijn zowel medische staf, ICT als de resultaatverantwoordelijke
eenheden vertegenwoordigd.
Het programma virtueel ziekenhuis kent een stuurgroep. Hierin zitten naast raad van
bestuur vertegenwoordigers van de medische staf (waaronder de CMIO), de manager
Finance & Control, de manager ICT en vertegenwoordiging van de
resultaatverantwoordelijke eenheden. Onder de stuurgroep valt een
programmateam, daaronder diverse projectgroepen.
Het ziekenhuis heeft een ICT-afdeling met twee teams, één gericht op verandering,
het ander op de operatie.
Het ziekenhuis heeft de routering van IT-initiatieven niet uitgewerkt
Tijdens het inspectiebezoek is toegelicht dat in het algemeen geldt dat vernieuwende IT-initiatieven lopen via het programma Virtueel Ziekenhuis en wijzigingen en ontwikkelingen van de bestaande en beheerde omgeving via de ICT-afdeling en -begroting. Betrokkenen gaven aan dat medewerkers eenvoudig bij het juiste ‘loket’ terechtkomen en dat de CMIO hierin ook een rol heeft. Het ziekenhuis geeft aan dat het besluitvormingsproces voor alle initiatieven in het ziekenhuis vastligt in de Planning & Controlcyclus én in het reglement en de uitvoeringsprocedures van de Centrale investeringscommissie. Voor de inspectie werd tijdens het bezoek niet geheel duidelijk hoe gekozen wordt tussen routering via het programma Virtueel Ziekenhuis of via de reguliere ICT-begroting. Het bestuur krijgt managementinformatie over e-health
Elke afdeling van het ziekenhuis (waaronder de ICT-afdeling) stelt een zogenaamde
‘jaarkaart’ op met diverse aandachtsgebieden. Daarin staan acties en
verantwoordelijkheden. Een dergelijke kaart is er ook voor diverse programma’s,
waaronder Virtueel Ziekenhuis.
De stuurgroep van Virtueel Ziekenhuis (voorgezeten door een lid van de raad van
bestuur) krijgt programma-overzichten met status en voortgang van projecten. Een
dergelijk overzicht is tijdens het bezoek verstrekt.
Risicoanalyse voor ICT/e-health concentreert zich hoofdzakelijk op privacy-aspecten
Wat betreft risico's van de ICT/e-health-omgeving kijkt het ziekenhuis vooral naar
privacy-aspecten en daaraan gerelateerde informatiebeveiligingsaspecten. Het
ziekenhuis kijkt daarnaast naar risico’s voor de patiëntveiligheid via prospectieve
risicoanalyses (PRI). Het ziekenhuis heeft echter geen duidelijke criteria wanneer
dergelijke PRI’s moeten worden uitgevoerd voor e-health-producten of –diensten (zie
ook 4.2).
Samenvattend
Het ziekenhuis heeft een ICT-strategie en een strategie om te werken aan een
‘virtueel ziekenhuis’. Het ziekenhuis heeft het voornemen die te integreren. De
routering van projecten via ICT-afdeling/begroting of het programma Virtueel
Ziekenhuis heeft het ziekenhuis niet uitgewerkt. Het ziekenhuis heeft een CMIO en
meerdere adviserende en/of sturende organen op het gebied van ICT/e-health. Het
Pagina 12 van 22
bestuur krijgt op diverse manieren managementinformatie over ICT/e-health.
Risicoanalyses voor ICT/e-health concentreren zich vooral op privacy-aspecten. Het
ziekenhuis heeft geen duidelijke criteria wanneer prospectieve risicoanalyses op het
gebied van patiëntveiligheid voor e-health-producten of –diensten nodig zijn.
4.2 Invoering en gebruik van e-health-producten en -diensten Getoetste normen:
- De zorgaanbieder heeft een proces afgesproken voor de invoering van e-health-producten of -diensten. Hij brengt daarbij de nodige experts samen. De zorgaanbieder stelt programma’s van eisen op. De zorgaanbieder doet risicoanalyses. Hij zorgt voor training van gebruikers en testen van producten en diensten voor het in gebruik nemen. Ook regelt de zorgaanbieder het onderhoud.
Afwezig Aanwezig Operationeel Geborgd
Invoering en gebruik van e-health-
producten en -diensten
√
Uitleg:
Invoering en gebruik van e-health-producten en -diensten is tijdens het inspectiebezoek besproken aan de hand van twee voorbeelden: een telemonitoringprogramma voor hartpatiënten en het nieuwe zorgportaal (zie ook paragraaf 1.3). Het ziekenhuis gebruikt geen standaard procesmodel voor het invoeren van e-health Beide zijn onderdeel van het programma Virtueel Ziekenhuis. Het gevolgde proces was bij deze voorbeelden op onderdelen verschillend. Dat heeft ten dele te maken met de ontstaansgeschiedenis van de projecten. Echter, het ziekenhuis heeft geen standaard procesmodel voor het invoeren en implementeren van e-health-producten en diensten. Er is dus geen vooropgezette fasering waarbij duidelijk is wie wanneer bij het proces betrokken is. Het ziekenhuis stelt niet in alle gevallen een programma van eisen op De deelname aan het telemonitoring-traject kwam voort uit de wens van de afdeling cardiologie om zinvolle interventies te vinden om de leefstijl van patiënten gunstig te beïnvloeden na hartrevalidatie. Daarbij hoorde de afdeling over het Benefit-onderzoeksprogramma. De afdeling cardiologie heeft een voorstel gemaakt voor deelname van het ziekenhuis aan het onderzoeksprogramma als consortiumlid. Dit voorstel is ingebracht via het programma Virtueel Ziekenhuis en opgenomen in het programma. Er was geen vooropgesteld uitgewerkt programma van eisen voor een telemonitoringdienst. Wel waren er enkele bewuste wensen voor een dergelijke dienst: de mogelijkheid voor patiënten om gegevens in te vullen, de aanwezigheid van de mogelijkheid voor dialoog en chat en de mogelijkheid om patiënten op hen toegesneden gezondheidsinformatie te bieden.
Pagina 13 van 22
In het geval van het Zorgportaal is de aanschaf van de portaalmodule onderdeel geweest van de selectie en aanschaf van het EPD. Destijds bevatte het programma van eisen ook criteria voor een portaalmodule. De ziekenhuisbrede inrichting voor patiënten is echter om faseringsredenen uitgesteld tot na invoering in het ziekenhuis van het EPD. De invoering van het portaal voor patiënten is onderdeel gemaakt van het programma Virtueel Ziekenhuis. Het ziekenhuis heeft geen algemene criteria voor het al dan niet uitvoeren van een PRI bij implementatie van e-healthdiensten De zorgaanbieder heeft voor het telemonitoringprogramma een PRI uitgevoerd om patiëntveiligheidsrisico’s in kaart te brengen. Bij het zorgportaal heeft het ziekenhuis gekeken naar risico’s voor privacy en informatiebeveiliging. Er is echter geen PRI uitgevoerd. Het ziekenhuis heeft geen algemene criteria om te bepalen of dit wel of niet nodig is. Het ziekenhuis stemt trainingsvereisten af op de aard van de implementatie In het geval van het telemonitoringprogramma is het ziekenhuispersoneel in huis getraind vanuit het consortium van het Benefitprogramma. Voor het patiëntenportaal is voor de artsen geen specifieke training opgezet. Het zijn vooral de patiënten die actief gebruik gaan maken van het portaal. Wel is veel informatie verstrekt aan zorgmedewerkers over de onderdelen van het dossier die zichtbaar worden voor patiënten. Voor specifieke deelprojecten, zoals de lastmeter oncologie, is bij de betrokken ziekenhuismedewerkers het proces geïntroduceerd. Afgezien van de twee besproken voorbeelden hebben diverse medewerkers tijdens het bezoek aangegeven dat ze bij de invoering van het EPD van te voren zijn getraind. Het ziekenhuis besteedt bij implementatie aandacht aan functionele testen Tijdens het inspectiebezoek is het onderwerp ‘testen’ slechts beknopt aan de orde geweest. Bij het zorgportaal is aangetoond dat gebruik is gemaakt van testdossiers van virtuele patiënten. Ook is één patiënt betrokken geweest bij het uitvoeren van testen op het zorgportaal. Het ziekenhuis maakt afspraken over onderhoud Bij het telemonitoringproject is onderhoud van het portaal en meetapparatuur ondergebracht bij partijen die betrokken zijn bij het onderzoeksconsortium van het Benefitprogramma. In het geval van het patiëntenportaal zijn afspraken gemaakt met de EPD-leverancier, die tevens leverancier is van de portaalmodule. Samenvattend Het ziekenhuis kent geen standaard procesmodel voor het invoeren en implementeren van e-health-producten en diensten. Er is dus geen vooropgezette fasering waarbij duidelijk is wie wanneer bij het proces betrokken is. Zo stelt het ziekenhuis niet in alle gevallen een programma van eisen op. Ook heeft het ziekenhuis geen algemene criteria voor het al dan niet uitvoeren van een PRI bij implementatie van e-healthdiensten. Het ziekenhuis voert deze wel uit bij specifieke projecten. Het
Pagina 14 van 22
ziekenhuis stemt trainingsvereisten af op de aard van de implementatie en besteedt aandacht aan testen en het inregelen van onderhoud.
Pagina 15 van 22
4.3 Patiëntparticipatie
Getoetste normen:
De zorgaanbieder bespreekt de keuzes over e-health met patiëntvertegenwoordigers.
De zorgaanbieder kijkt wanneer en e-health-product of -dienst wel of niet geschikt is.
Daarbij houdt hij rekening met de zorgbehoefte van patiënten en de eigenschappen
van de e-health-dienst. Patiënten krijgen voldoende informatie. Zo kunnen zij
beslissen of een e-health-product of -dienst past bij hun zorgbehoefte. Ze zijn dus ook
op de hoogte van mogelijke risico’s. De zorgaanbieder maakt duidelijk hoe patiënten
hulp kunnen krijgen bij e-health.
Afwezig Aanwezig Operationeel Geborgd
Patiëntparticipatie √
Uitleg:
Het ziekenhuis betrekt de cliëntenraad actief bij het beleid op het gebied van e-health
De zorgaanbieder betrekt de cliëntenraad actief bij het beleid op het gebied van e-
health. Zo heeft het ziekenhuis de cliëntenraad geraadpleegd over de selectie van het
EPD, het programma Virtueel Ziekenhuis, de vernieuwing van de ziekenhuiswebsite
en de inrichting van de e-Studio. Een commissie van de cliëntenraad heeft vier keer
per jaar een bespreking over het programma Virtueel ziekenhuis met de
programmadirecteur.
Het ziekenhuis brengt in kaart welke eisen het gebruik van een e-health-product of -
dienst stelt aan patiënten.
De cliëntenraad bewaakt proactief dat e-health-toepassingen daadwerkelijk iets
opleveren voor de patiënt en geen doel op zichzelf. Zo heeft de raad georganiseerd
dat leden van een afdeling van Probus (een vereniging voor postactieven vanaf 55
jaar) een bezoek hebben gebracht aan de e-studio. Hierbij konden medewerkers van
de e-studio in gesprek gaan over de beleving van ouderen wat betreft e-health-
producten en diensten. De cliëntenraad heeft ook meegewerkt aan workshops over
de inhoud van de nieuwe website.
Het ziekenhuis heeft voor het telemonitoringprogramma in kaart gebracht wie
hiervoor in aanmerking komt. In eerste instantie richt het ziekenhuis zich op
patiënten waarbij gezondheidswinst te behalen is en die affiniteit hebben met digitale
diensten. Het zorgportaal is beschikbaar voor alle patiënten.
Het ziekenhuis betrekt in bescheiden mate patiënten bij relevante projecten
Het ziekenhuis heeft via de cliëntenraad patiënten betrokken bij de ontwikkeling van
de nieuwe website. Bij de invoering van het zorgportaal heeft de projectgroep één
cliënt betrokken bij testen. Het bleek lastig om hiervoor kandidaten te vinden. Het
ziekenhuis wil in de toekomst proberen een beroep te doen op het patiëntenpanel
Pagina 16 van 22
dat meedoet aan vragenlijstonderzoeken over het ziekenhuis, of een vergelijkbaar
panel instellen. De voorzitter van de cliëntenraad heeft aangegeven dat het
ziekenhuis nog verder zou kunnen verbeteren door nog vaker de mening van
patiënten te vragen en patiënten nog meer in de ontwikkelfase van nieuwe diensten
te betrekken.
Het ziekenhuis zorgt voor informatiemateriaal voor patiënten
Het ziekenhuis heeft informatiemateriaal opgesteld voor patiënten voor het
telemonitoringprogramma en het zorgportaal. De patiënt kan desgewenst ook in het
ziekenhuis gebruik maken van het zorgportaal.
4.4 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van
gegevens Getoetste normen:
De zorgaanbieder kent de andere zorgaanbieders met wie hij samen zorg levert aan
patiënten. Hij spreekt met hen de (zorginhoudelijke) informatie af die daarbij nodig
is. Hij regelt dat de zorgverleners deze informatie kunnen uitwisselen. De
zorgaanbieder legt afspraken over elektronische uitwisseling vast. De zorgaanbieder
vraagt de patiënt toestemming voor elektronische uitwisseling als dat moet. De
zorgaanbieder regelt samen met de mede-zorgaanbieders in de regio de
medicatieoverdracht.
Afwezig Aanwezig Operationeel Geborgd
Samenwerken in het netwerk en elektronisch uitwisselen van gegevens
√
Uitleg:
Het ziekenhuis werkt actief samen in de regio, ook op het vlak van ICT
Het ziekenhuis ziet de samenwerking met ketenpartners om de zorg zo dicht mogelijk
bij huis te brengen als onderdeel van de strategie van het virtuele ziekenhuis.
De raad van bestuur is vertegenwoordigd in het regionale netwerk Goed en Gezond
Leven. Dit is een samenwerkingsverband van organisaties voor zorg en welzijn in de
regio Gooi en Vechtstreek, waarin ook een verzekeraar deelneemt. Het netwerk
werkt ook aan ICT-initiatieven, zoals een regionaal dossier over palliatieve zorg.
Het ICT-beleid besteedt aandacht aan elektronische gegevensdiensten
In het ICT-beleid is aandacht voor uitwisseling van zorggegevens met zorgverleners
buiten de organisatie. Er is een overzicht of architectuurplaat van aanwezige
koppelingen. Het ziekenhuis heeft meerdere gegevensdiensten ingericht om de
zorgverleners van de juiste informatie te voorzien. Voorbeelden zijn aansluitingen op
het landelijk schakelpunt, zorgdomein en zorgmail. Een huisartsenportaal is in
voorbereiding. Huisartsen kunnen zo inzicht krijgen in het dossier van hun patiënten
Pagina 17 van 22
als de patiënt dit goed vindt. Het ziekenhuis legt hiervoor toestemming van patiënten
vast. Er is in de regio geen netwerk voor uitwisseling van radiologiebeelden.
Het ziekenhuis zorgt voor bewerkersovereenkomsten
Verwerkersovereenkomsten zijn aanwezig en besteden aandacht aan de
verantwoordelijkheden van partijen en informatiebeveiliging en patiëntrechten. Het
ziekenhuis heeft hiervan een voorbeeld laten zien.
Het ziekenhuis zorgt voor het elektronisch ophalen medicatieoverzichten
De zorgaanbieder heeft een apotheekservicepunt dat via het landelijk schakelpunt
(LSP) de medicatieinformatie van patiënten ophaalt, voor zover deze beschikbaar is.
Voor poliklinische patiënten staat wordt hiervoor aan de hand van de afsprakenlijst
een prefetch gedaan. Desalniettemin gaf een internist tijdens het bezoek aan blijft het
moeilijk om goede informatie binnen te krijgen omdat de informatie van de apotheek
vaak niet klopt of niet volledig is (bv. als patiënten geen toestemming hebben
gegeven of als het LSP niet up-to-date is).
4.5 Informatiebeveiliging en continuïteit
Getoetste normen:
Informatiebeveiliging: het bestuur heeft gezorgd voor het inrichten, invoeren,
onderhouden en aldoor verbeteren van een managementsysteem voor
informatiebeveiliging. De organisatie heeft een continuïteitsstrategie afgesproken,
gedocumenteerd, ingevoerd en getest.
Afwezig Aanwezig Operationeel Geborgd
Informatiebeveiliging en continuïteit √
Uitleg:
Elementen van een managementsysteem voor informatiebeveiliging zijn aanwezig Een deel van de elementen van een managementsysteem voor informatiebeveiliging zijn aanwezig. Zo zijn verantwoordelijken aangewezen (er is zowel een functionaris gegevens bescherming als een security officer). Ook zijn diverse technische en organisatorische beheersmaatregelen geïmplementeerd, zoals bijvoorbeeld een proces voor management van incidenten. Individuele medewerkers blijken een goed bewustzijn van informatiebeveiliging en privacy te hebben. Het beleid voor informatiebeveiliging is niet actueel en beperkt zich hoofdzakelijk tot privacyaspecten Het gedocumenteerd beleid voor informatiebeveiliging is echter niet actueel (er is een handboek over bescherming van persoonsgegevens uit 2013). Het ziekenhuis werkt aan een nieuw beleidsdocument en ent dit op een privacyraamwerk van Norea, de
Pagina 18 van 22
organisatie van IT-auditors. Hierbij is echter niet zonder meer duidelijk hoe de elementen van de NEN 7510 over informatiebeveiliging hierin terug te herkennen zijn. Het ziekenhuis heeft zich vooral gericht op de privacywetgeving, terwijl informatiebeveiliging bredere aandacht vereist dan alleen op het gebied van persoonsgegeven. Er is geen objectieve en onpartijdige audit uitgevoerd op basis van NEN 7510 Er is geen volledige duidelijkheid over de mate van implementatie van het managementsysteem voor informatiebeveiliging. Het ziekenhuis heeft het managementsysteem voor informatiebeveiliging niet getoetst aan de NEN 7510 door middel van een objectieve en onpartijdige audit. Wel heeft de security officer een benchmark van de Nederlandse Vereniging van Ziekenhuizen hiervoor ingevuld. Deze geeft een eerste indruk, waarbij duidelijk is dat het ziekenhuis op enkele onderdelen eind 2017 niet voldeed. Er is verder een DigiD audit gedaan op het zorgportaal. Op het gebied van continuïteit zijn recent verbeteringen doorgevoerd Het ziekenhuis heeft een gedocumenteerde strategie en een plan voor continuïteit. Verder zijn diverse technische maatregelen ingevoerd. Systemen zijn gedistribueerd over twee locaties, er zijn de afgelopen tijd verbeteringen uitgevoerd aan het netwerk en single points of failure in de opslag zijn aangepakt. Er is een afzonderlijke ‘read-only’ kopie van het EPD op een aparte locatie. Er zijn noodstroomvoorzieningen.
Pagina 19 van 22
Bijlage 1: Wetten, (veld)normen en richtlijnen
Wetten - Wet kwaliteit, klachten en geschillen zorg (Wkkgz), in het
bijzonder artikel 3 (2016);
- Uitvoeringsbesluit Wkkgz, in het bijzonder artikel 4.1
(2016);
- Wet aanvullende bepalingen verwerking
persoonsgegevens in de zorg (2017);
Richtlijnen en
handreikingen
- Handreiking verantwoordelijkheidsverdeling bij
samenwerking in de zorg (KNMG, V&VN, KNOV, KNGF,
KNMP, NIP, NZV, NFU, GGZ Nederland, NPCF; 2010);
- Convenant veilige toepassing van medische technologie in
de medisch specialistische zorg (NVZ, NFU, Revalidatie
Nederland, ZKN; 2016)
- Leidraad nieuwe interventies in de medische praktijk
(Orde van Medisch Specialisten, Zorginstituut Nederland,
Kennisinstituut van medisch specialisten; 2014)
- Richtlijn online arts-patiëntcontact (KNMG, 2007)
- Richtlijn elektronisch voorschrijven (KNMG, 2013)
- Richtlijn overdracht van medicatiegegevens in de keten
(Actiz, GGZ Nederland, KNMG, KNMP, LEVV, LHV, NFU,
NHG, Nictiz, NPCF, NVZ, NVZA, Orde, V&VN, Verenso, ZN;
2008/2016)
- Artsen en social media (KNMG, 2011/2017);
- Hoe gebruik je sociale media op een verantwoorde
manier? (V&VN, 2012)
- Medische app checker (KNMG, 2016)
- Toezichthoudende domotica, een handreiking voor
zorgaanbieders (VUmc, 2012)
Normen - NEN 8028 – kwaliteitseisen telemedicine
- NEN 8009 – veiligheidsmanagementsysteem voor
ziekenhuizen en instellingen die ziekenhuiszorg verlenen
(2018)
- NEN 7510 – informatiebeveiliging in de zorg (2011/2017)
- NEN 7512 – vertrouwensbasis voor gegevensuitwisseling
(2015)
Verwante
kaders
- Governancecode zorg (2017)
- Kader ‘Toezicht op goed bestuur’ (IGZ/NZa), 2016
Pagina 20 van 22
Bijlage 2: Algemene uitleg van de beoordelingen
Niveau Uitleg
Afwezig De zorgaanbieder besteedt niet aantoonbaar aandacht
aan het onderwerp en/of heeft geen herkenbaar
proces. Er ligt niets vast.
Aanwezig De zorgaanbieder besteedt aantoonbaar aandacht aan
het onderwerp. Er kan een gedocumenteerd proces
zijn, maar in de praktijk kent niet iedereen dit. Of
medewerkers volgen het niet altijd.
Operationeel De zorgaanbieder heeft een gedocumenteerd proces.
Medewerkers kennen dit en volgen het ook.
Geborgd De zorgaanbieder heeft een gedocumenteerd proces.
Medewerkers kennen dit en volgen het ook. De
zorgaanbieder kijkt naar de resultaten en brengt
verbeteringen aan waar mogelijk.
Pagina 21 van 22
Bijlage 3: Overzicht van documenten die zijn bestudeerd
Voor en/of tijdens het inspectiebezoek zijn de volgende documenten bestudeerd:
Algemeen
- Presentatie ICT en e-health. Bestuur en governance, september 2018
- Interne en externe koppelingenoverzicht, september 2018
- ICT continuïteitstrategie en -plan Tergooi, oktober 2017
- NOREA guide Privacy Control Framework, mei 2018
- ICTZ Zorgportaal rapportage, 1 juli - 1 augustus 2018
Projectdossier Benefit
- Overzicht ingebruikname en ontwikkeling, september 2018
- Notulen oriëntatiefase met UMC Utrecht, Jeroen Bosch ziekenhuis en Haga
ziekenhuis, g.d.
- Notitie Besluitvorming portaal, mei 2017
- Notitie Voorstel openstelling portaal, augustus 2017
- Mail met attentie voor alle medisch specialisten, september 2017
- Change formulier Launch patiëntenportaal, september 2017
- Testpatiënten patiëntenportaal, november 2017
- Risicoanalyse informatiebeveiliging patiëntenportaal, g.d.
- Projectplan Portalen, 3e fase, augustus 2018
Projectdossier Zorgportaal
- Prospectieve risicoinventarisatie Implementatie Benefit, januari 2017
- Highlight reports, februari - aPRIl 2018
- Hartstichting/ ZonMW project Benefit - Gezond leven: goed voor het Hart!,
mei 2016
- Verwerkersovereenkomst Tergooi – Vital10, g.d.
- Presentatie Cardiovitaal Hartrevalidatie, g.d.
- Procesflow, g.d.
- Patiëntenfolder Proef telemonitoring hartpatiënten, g.d.
- Informatiebrief voor patiënten, december 2016
- Protocol Uitnodiging deelname proef telemonitoring, g.d.
- Manual HEP prof stappenplan systeemgebruik voor zorgprofessional, juli 2018
- Screenshots Benefit, september 2018
- Privacy Impact assessment, g.d.
- Akkoord security officer op verwerkersovereenkomst, juli 2018
Pagina 22 van 22