Rapport van het inspectiebezoek in het kader van het ......richtlijnen op het gebied van ICT in de zorg (zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of

Rapport van het inspectiebezoek in het kader van het toezicht op e-health

aan Tergooi te Hilversum op 11 september 2018

xx

xxxx

Utrecht, 26 november 2018

Pagina 2 van 22

Inhoud

Inhoud ........................................................................................................................................... 2

1 Inleiding ................................................................................................................................. 3

1.1 Aanleiding en belang .......................................................................................................... 3

1.2 Onderzoeksvragen .............................................................................................................. 4

1.3 Onderzoeksmethode en toetsingskader ............................................................................. 4

2 Conclusie ............................................................................................................................... 7

3 Handhaving ........................................................................................................................... 9

4 Resultaten ........................................................................................................................... 10

4.1 Goed bestuur en verantwoord innoveren ......................................................................... 10

4.2 Invoering en gebruik van e-health-producten en -diensten .............................................. 12

4.3 Patiëntparticipatie ............................................................................................................ 15

4.4 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens 16

4.5 Informatiebeveiliging en continuïteit................................................................................ 17

Bijlage 1: Wetten, (veld)normen en richtlijnen............................................................................. 19

Bijlage 2: Algemene uitleg van de beoordelingen ......................................................................... 20

Bijlage 3: Overzicht van documenten die zijn bestudeerd ............................................................ 21

Pagina 3 van 22

1 Inleiding

De Inspectie Gezondheidszorg en Jeugd (de inspectie) bezocht op 11 september 2018

Tergooi te Hilversum (hierna: het ziekenhuis). Het onderwerp van het bezoek was de

inzet van informatie- en communicatietechnologie in de zorg. Dit heet ook wel ‘e-

health’ of ‘digitale zorg’.

De inspectie toetste of het ziekenhuis bij het gebruik van e-health zorgt voor de

nodige voorwaarden voor goede en veilige zorg, die volgen uit wetten, (veld)normen

en richtlijnen op dit gebied.

1.1 Aanleiding en belang Onder e-health verstaat de inspectie: de inzet van hedendaagse informatie- en

communicatietechnologie (ICT), in het bijzonder internettechnologie, om de

gezondheid en gezondheidszorg te ondersteunen of te verbeteren.

Voorbeelden hiervan zijn elektronische patiëntendossiers (EPD’s) en elektronische

uitwisseling van gegevens1. Maar ook patiëntenportalen, medische apps, monitoring

van chronische patiënten op afstand, en inzet van online behandeling of begeleiding.

De inspectie is positief over de mogelijkheden die e-health kan bieden. E-health kan

de zorg minder laten afhangen van tijd en plaats. Ook kan het de communicatie

tussen patiënt2 en zorgverlener helpen. En die tussen zorgverleners. Dit wordt

belangrijker nu de patiënt vaker te maken krijgt met een netwerk van zorgaanbieders.

Tegelijk vindt de inspectie het belangrijk dat de inzet van e-health doordacht gebeurt.

Ook bij de inzet van e-health moet de zorgaanbieder de kwaliteit en veiligheid van de

zorg bewaken. Vooral grote organisaties leunen steeds meer op e-health. Dat vraagt

erom dat de zorgaanbieder zorgt voor goede voorwaarden in de organisatie.

De nieuwe mogelijkheden kennen helaas ook risico’s. In een landelijk onderzoek3 van

VIM-meldingen (‘Veilig Incident Melden’) staan problemen met ICT op de vierde

plaat. In een analyse uit 2017 van het Emergency Care Research Institute staan ICT-

risico’s op de zesde plaats4. Ook de bedreigingen van ransomware zijn veel in het

nieuws geweest5. Intussen ontwikkelen de wetgeving en normering zich verder. Denk

aan de wet ‘aanvullende bepalingen verwerking persoonsgegevens in de zorg’, die in

juli 2017 is ingegaan.

Sinds het najaar van 2017 kijkt de inspectie bij zorgaanbieders naar e-health. Daarbij

toetst de inspectie of de zorgaanbieder zorgt voor de goede randvoorwaarden voor

1 Met e-health bedoelt de inspectie dus ook de meer traditionele zorg-ICT.

2 Voor patiënten kan in dit rapport ook cliënten of bewoners worden gelezen.

3 Zie http://www.mtintegraal.nl/artikelen/489/landelijke-inventarisatie-incidentmeldingen-medische-apparatuur

4 Zie https://www.ecri.org/Resources/Whitepapers_and_reports/Haz17.pdf

5 Zie http://nos.nl/artikel/2179941-zeker-vijftien-ziekenhuizen-geinfecteerd-met-ransomware.html

Pagina 4 van 22

digitale zorg. De inspectie komt onder andere bij ziekenhuizen en aanbieders van

verpleging en verzorging, geestelijke gezondheidszorg of gehandicaptenzorg.

De keuze valt op zorgaanbieders die volgens openbare bronnen actief e-health-

producten of -diensten inzetten. Verder gaat het om zorgaanbieders verspreid over

het land.

In het toezicht op e-health betrekt de inspectie verschillende wetten, veldnormen en

richtlijnen op het gebied van ICT in de zorg (zie 1.3).

1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of het ziekenhuis bij de inzet van

informatie- en communicatietechnologie (e-health) zorgt voor de nodige

voorwaarden voor goede en veilige zorg, die volgen uit wetten, (veld)normen en

richtlijnen op dit gebied.

1.3 Onderzoeksmethode en toetsingskader Bij het bezoek gebruikte de inspectie een toetsingskader. Dat is gestoeld op de

wetten, richtlijnen en veldnormen in bijlage 1.

Een toetsingskader moet praktisch bruikbaar zijn. Daarom heeft de inspectie tijdens

het bezoek gekeken naar de volgende vijf onderwerpen. Daarin zijn de verschillende

normen en richtlijnen meegenomen.6

6 Naar aanleiding van de ervaringen bij de eerste twintig e-healthbezoeken is de indeling van de thema’s licht

gewijzigd ten opzichte van eerdere bezoeken.

Pagina 5 van 22

Onderwerp Uitleg

Goed bestuur en

verantwoord

innoveren

Het bestuur van de zorgaanbieder moet ‘in control’, ook

op het gebied van e-health. Dit vraagt om een helder en

gedragen beleid. Het bestuur moet de

verantwoordelijkheden goed regelen bij inzetten van

technische innovaties, zoals e-health. Ook een goede

inrichting van de besluitvorming hoort daarbij.

Invoering en gebruik

van e-health-

producten en -

diensten

De zorgaanbieder moet bij invoering en gebruik van e-

health-producten en -diensten zorgen voor goede

voorwaarden. De zorgaanbieder zorgt bijvoorbeeld voor

duidelijke eisen aan producten en diensten. Ook moet de

zorgaanbieder goed omgaan met mogelijke risico’s.

Belangrijke voorwaarden zijn verder goede training, goed

testen en goed onderhoud.

Patiëntparticipatie De patiëntenzorg wordt steeds afhankelijker van e-health.

Daarom is het belangrijk dat de zorgaanbieder de

cliëntenraad raadpleegt over het beleid. De

zorgaanbieder kijkt hoe geschikt e-health-producten en -

diensten zijn voor patiënten. Ook zorgt de zorgaanbieder

voor goede informatie en begeleiding voor patiënten.

Samenwerken in het

netwerk en

elektronisch

vastleggen en

uitwisselen van

gegevens

E-health kan andere vormen van samenwerken mogelijk

maken tussen zorgverleners. Daarbij is het belangrijk dat

de zorgaanbieder duidelijke afspraken maakt met andere

zorgaanbieders over digitale samenwerking. Daarbij moet

de zorgaanbieder zorgen voor goede organisatorische en

technische maatregelen.

Informatiebeveiliging

en continuïteit

De groeiende afhankelijkheid van ICT vraagt erom dat de

organisatie zorgt voor de continuïteit. Daar horen goede

afspraken en maatregelen bij voor informatiebeveiliging.

De inspectie heeft het bezoek kort van tevoren bekend gemaakt. Dit was nodig om

het ziekenhuis de mogelijkheid te geven gesprekspartners vrij te maken. Ook heeft de

inspectie gevraagd om een aantal documenten ter voorbereiding op te leveren.

Tijdens het bezoek heeft de inspectie met verschillende betrokkenen gesproken over

de thema’s van het toetsingskader. Dit waren medewerkers van het ziekenhuis in de

volgende rollen:

- lid raad van bestuur - intensivist, dagelijks bestuur medische staf, portefeuillehouder kwaliteit - manager kwaliteit, projecten en innovatie – programmadirecteur virtueel

ziekenhuis - security officer - functionaris gegevensbescherming - interventiecardioloog

Pagina 6 van 22

- interventiecardioloog, CMIO - projectleider Benefit - projectleider Zorgportaal - teamleider ICT-verandering - teamleider ICT-operatie - internist-nefroloog - oncologieverpleegkundige - arts assistent interne geneeskunde

Na het bezoek sprak de inspectie telefonisch met de voorzitter van de cliëntenraad.

De inspectie heeft tijdens het bezoek twee e-health-toepassingen bestudeerd. Het

gaat om de volgende voorbeelden:

1. telemonitoring van hartpatiënten (Pilot Benefit) 2. patiëntenportaal

Bij de telemonitoring-pilot gaat het om deelname aan een vijfjarig onderzoek (Benefit) van een consortium van onderzoekers, bedrijven, patiëntenorganisaties en verzekeraars. Hartpatiënten meten onder andere bloeddruk, gewicht en buikomvang. Via een gezondheidsportaal hebben patiënten inzicht in hun dossier en kunnen zij direct contact opnemen met een gespecialiseerd verpleegkundige. Naast artsen en verpleegkundigen worden in het Benefit-onderzoek ook fysiotherapeuten, leefstijlspecialisten en diëtisten ingezet om patiënten te begeleiden en adviseren. Patiënten kunnen punten sparen met gezond gedrag. Bij het patiëntenportaal gaat het om het ziekenhuisbreed voor patiënten inrichten en in gebruik nemen van een patiëntenportaal met functies zoals dossierinzage en afspraken maken. De inspectie kreeg tijdens het bezoek een rondleiding door de e-studio en volgde daarbij de virtuele reis van een voorbeeldpatiënt door het ziekenhuis.

Vooraf en tijdens het bezoek heeft de inspectie om verschillende documenten

gevraagd. Een overzicht staat in bijlage 3 van dit rapport.

De resultaten van het inspectiebezoek staan in hoofdstuk 0 van dit rapport. De

beoordeling bij elk onderwerp volgt een vierpuntsschaal: afwezig, aanwezig,

operationeel, geborgd. Zie bijlage 2 voor een uitleg over deze begrippen.

Pagina 7 van 22

2 Conclusie

Het onderwerp van het inspectiebezoek bij het ziekenhuis was de inzet van

informatie- en communicatietechnologie in de zorg (ook wel ‘e-health’ of ‘digitale

zorg’). Het doel van het bezoek was om te beoordelen of het ziekenhuis daarbij zorgt

voor de juiste randvoorwaarden voor goede en veilige zorg, die volgen uit wetten,

(veld)normen en richtlijnen op dit gebied. De inspectie concludeert dat dit

grotendeels het geval is. Op het gebied van informatiebeveiliging voldoet het

ziekenhuis onvoldoende, op enkele andere punten is verbetering mogelijk.

Op basis van de constateringen komt de inspectie tot de volgende deelconclusies.

Het ziekenhuis besteedt voldoende aandacht e-health-strategie en organisatie,

maar kan de wijze van routering van projecten verder uitwerken

Het ziekenhuis heeft een ICT-strategie en een strategie om te werken aan een

‘virtueel ziekenhuis’. Het ziekenhuis heeft het voornemen die te integreren. De wijze

waarop het ziekenhuis kiest voor routering van projecten via de ICT-begroting of via

het programma Virtueel Ziekenhuis is niet volledig duidelijk en zou het ziekenhuis

verder moeten uitwerken om dit proces minder afhankelijk te maken van de kennis

van sleutelfunctionarissen. Het ziekenhuis heeft een CMIO en meerdere adviserende

en/of sturende organen op het gebied van ICT/e-health. Het bestuur krijgt op diverse

manieren managementinformatie over ICT/e-health.

Het ziekenhuis pakt invoeren van e-health gedegen aan, maar moet het proces meer uitwerken, vooral wat betreft risicoanalyses Het ziekenhuis kent geen standaard procesmodel voor het invoeren en

implementeren van e-health-producten en diensten. Er is dus geen vooropgezette

fasering waarbij duidelijk is wie wanneer bij het proces betrokken is. Zo stelt het

ziekenhuis niet in alle gevallen een programma van eisen op. Ook heeft het ziekenhuis

geen algemene criteria voor het al dan niet uitvoeren van een prospectieve

risicoanalyse (PRI) bij implementatie van e-health-diensten. Het ziekenhuis voert deze

wel uit bij specifieke projecten. Het ziekenhuis stemt trainingsvereisten af op de aard

van de implementatie en besteedt aandacht aan testen en het inregelen van

onderhoud.

Het ziekenhuis besteedt voldoende aandacht aan het betrekken van patiënten bij e-health-ontwikkelingen Het ziekenhuis betrekt de cliëntenraad actief bij het beleid op het gebied van e-

health. Voorbeelden zijn de selectie van het EPD, het programma Virtueel Ziekenhuis

en de ontwikkeling van de website Het ziekenhuis brengt in kaart welke eisen het

gebruik van een e-health-product of -dienst stelt aan patiënten. Het ziekenhuis

betrekt in bescheiden mate patiënten bij relevante projecten. Het ziekenhuis zorgt

voor duidelijk informatiemateriaal voor patiënten.

Pagina 8 van 22

Het ziekenhuis besteedt voldoende aandacht aan samenwerking in het netwerk en elektronische gegevensuitwisseling Het ziekenhuis werkt actief samen in de regio, ook op het vlak van ICT. Het ICT-beleid

besteedt aandacht aan elektronische gegevensdiensten. Het ziekenhuis zorgt voor het

elektronisch ophalen medicatieoverzichten. Er is een overzicht of architectuurplaat

van aanwezige koppelingen. Het ziekenhuis heeft meerdere gegevensdiensten

ingericht om de zorgverleners van de juiste informatie te voorzien. Het ziekenhuis

zorgt voor bewerkersovereenkomsten.

Het ziekenhuis kan onvoldoende aantonen dat het managementsysteem voor informatiebeveiliging op orde is en voldoet aan NEN 7510 Elementen van een managementsysteem voor informatiebeveiliging zijn aanwezig.

Het beleid voor informatiebeveiliging is echter niet actueel en beperkt zich

hoofdzakelijk tot privacyaspecten. Er is geen objectieve en onpartijdige audit

uitgevoerd op basis van NEN 7510. Op het gebied van continuïteit zijn recent

verbeteringen aangebracht. Het ziekenhuis heeft een gedocumenteerde strategie en

een plan voor continuïteit. Verder zijn diverse technische maatregelen ingevoerd.

Pagina 9 van 22

3 Handhaving

3.1 Maatregelen

De inspectie geeft de volgende verbeterpunten aan:

Voer een audit uit op NEN 7510 en maak indien nodig en verbeterplan

Het ziekenhuis moet een audit op NEN 7510 (laten) uitvoeren. Hieruit moet blijken in

hoeverre de organisatie voldoet aan de NEN 7510. Een verbeterplan moet aangeven

hoe de eventueel gevonden tekortkomingen zullen worden weggenomen en op welke

termijn.

Werk de routering van projecten en het proces van implementeren van e-health-

toepassingen verder uit

De wijze van routering van projecten via de ICT-begroting of via het programma

Virtueel Ziekenhuis zou het ziekenhuis verder moeten uitwerken. Ook moet het

ziekenhuis verder uitwerken welke fasering nodig is bij de implementatie van e-

health-producten en –diensten, zodat duidelijk is wie wanneer bij het proces

betrokken moet zijn. Daarbij horen ook algemene criteria voor het al dan niet

uitvoeren van een prospectieve risicoanalyse (PRI) bij implementatie van e-

healthdiensten.

3.2 Vervolgacties inspectie

De inspectie wil uiterlijk op 31 maart 2019 het resultaat ontvangen van een audit die

aantoont in hoeverre de zorgaanbieder voldoet aan de NEN 7510. Indien hieruit blijkt

dat er belangrijke tekortkomingen zijn dan verwacht de inspectie tevens een

verbeterplan.

Wat betreft het punt over de uitwerking van het besluitvormingsproces en het

implementatieproces vertrouwt de inspectie erop dat het bestuur dit de vereiste

aandacht zal geven voor eind maart 2019. Dit punt kan worden opgevolgd in het

reguliere toezicht.

Pagina 10 van 22

4 Resultaten

4.1 Goed bestuur en verantwoord innoveren Getoetste normen:

- De raad van bestuur heeft de controle over de e-health-ontwikkelingen. De zorgaanbieder heeft een beleid voor e-health en heeft hierbij de mensen betrokken die er belang bij hebben. Hij heeft taken en verantwoordelijkheden belegd in de organisatie. Hij regelt een duidelijke besluitvorming. De zorgaanbieder heeft aandacht voor risicomanagement en kwaliteitsborging van de e-health/ICT-omgeving. Het bestuur krijgt stuurinformatie.

Afwezig Aanwezig Operationeel Geborgd

Goed bestuur en verantwoord innoveren √

Uitleg:

Het ziekenhuis heeft een ICT-strategie en een e-health-strategie


‘virtueel ziekenhuis’. Deze laatste is gekoppeld aan de strategie voor de nieuwbouw.

Het ziekenhuis gaat de huidige twee locaties samenbrengen op één locatie. De

toekomstige locatie is kleiner dan de huidige twee samen. Daarom is het belangrijk

om te onderzoeken welke zorg buiten het ziekenhuis kan plaatsvinden. E-health moet

dit ondersteunen.

De raad van bestuur heeft aangegeven dat de diverse inspraakorganen

(ondernemingsraad, cliëntenraad, medische staf) betrokken zijn bij het opstellen van

de strategie.

Het ziekenhuis heeft in het programma Virtueel Ziekenhuis de vernieuwende ICT-

projecten ondergebracht. Het programma heeft een eigen budget. De ‘reguliere’ ICT

maakt geen onderdeel uit van het programma maar valt onder de ICT-begroting. Het

ziekenhuis heeft het voornemen om de ICT-strategie en de strategie voor het virtueel

ziekenhuis te integreren, maar dit is nu nog niet het geval.

Het ziekenhuis heeft een CMIO en meerdere adviserende en/of sturende organen op

het gebied van ICT/e-health

Het ziekenhuis heeft een chief medical information officer (CMIO). De raad van

bestuur stelt de CMIO aan. De CMIO vertegenwoordigt de medische staf op het

gebied van ICT. De CMIO moet affiniteit hebben met ICT maar het ziekenhuis verbindt

geen speciale opleidings- of trainingseisen aan deze rol. De CMIO is lid van het

Chipsoft CMIO-netwerk én van het netwerk CMIO Nederland. Op deze manier wordt

kennis opgebouwd en ervaring uitgewisseld. De CMIO is betrokken bij de inrichting en

afspraken rondom het elektronisch patiëntendossier (EPD). Hij is eveneens betrokken

bij de nieuwe ontwikkelingen in het programma Virtueel Ziekenhuis. Een groep van

medisch specialisten, de ‘EPD-dokters’, ondersteunt de CMIO bij de overwegingen

Pagina 11 van 22

over vakgroep-overstijgende aanpassingen aan het EPD door. Daarnaast heeft het

ziekenhuis een adviserend orgaan, de EPD-commissie. De CMIO zit de EPD-commissie

voor. In de commissie zijn zowel medische staf, ICT als de resultaatverantwoordelijke

eenheden vertegenwoordigd.

Het programma virtueel ziekenhuis kent een stuurgroep. Hierin zitten naast raad van

bestuur vertegenwoordigers van de medische staf (waaronder de CMIO), de manager

Finance & Control, de manager ICT en vertegenwoordiging van de

resultaatverantwoordelijke eenheden. Onder de stuurgroep valt een

programmateam, daaronder diverse projectgroepen.

Het ziekenhuis heeft een ICT-afdeling met twee teams, één gericht op verandering,

het ander op de operatie.

Het ziekenhuis heeft de routering van IT-initiatieven niet uitgewerkt

Tijdens het inspectiebezoek is toegelicht dat in het algemeen geldt dat vernieuwende IT-initiatieven lopen via het programma Virtueel Ziekenhuis en wijzigingen en ontwikkelingen van de bestaande en beheerde omgeving via de ICT-afdeling en -begroting. Betrokkenen gaven aan dat medewerkers eenvoudig bij het juiste ‘loket’ terechtkomen en dat de CMIO hierin ook een rol heeft. Het ziekenhuis geeft aan dat het besluitvormingsproces voor alle initiatieven in het ziekenhuis vastligt in de Planning & Controlcyclus én in het reglement en de uitvoeringsprocedures van de Centrale investeringscommissie. Voor de inspectie werd tijdens het bezoek niet geheel duidelijk hoe gekozen wordt tussen routering via het programma Virtueel Ziekenhuis of via de reguliere ICT-begroting. Het bestuur krijgt managementinformatie over e-health

Elke afdeling van het ziekenhuis (waaronder de ICT-afdeling) stelt een zogenaamde

‘jaarkaart’ op met diverse aandachtsgebieden. Daarin staan acties en

verantwoordelijkheden. Een dergelijke kaart is er ook voor diverse programma’s,

waaronder Virtueel Ziekenhuis.

De stuurgroep van Virtueel Ziekenhuis (voorgezeten door een lid van de raad van

bestuur) krijgt programma-overzichten met status en voortgang van projecten. Een

dergelijk overzicht is tijdens het bezoek verstrekt.

Risicoanalyse voor ICT/e-health concentreert zich hoofdzakelijk op privacy-aspecten

Wat betreft risico's van de ICT/e-health-omgeving kijkt het ziekenhuis vooral naar

privacy-aspecten en daaraan gerelateerde informatiebeveiligingsaspecten. Het

ziekenhuis kijkt daarnaast naar risico’s voor de patiëntveiligheid via prospectieve

risicoanalyses (PRI). Het ziekenhuis heeft echter geen duidelijke criteria wanneer

dergelijke PRI’s moeten worden uitgevoerd voor e-health-producten of –diensten (zie

ook 4.2).

Samenvattend


‘virtueel ziekenhuis’. Het ziekenhuis heeft het voornemen die te integreren. De

routering van projecten via ICT-afdeling/begroting of het programma Virtueel

Ziekenhuis heeft het ziekenhuis niet uitgewerkt. Het ziekenhuis heeft een CMIO en

meerdere adviserende en/of sturende organen op het gebied van ICT/e-health. Het

Pagina 12 van 22

bestuur krijgt op diverse manieren managementinformatie over ICT/e-health.

Risicoanalyses voor ICT/e-health concentreren zich vooral op privacy-aspecten. Het

ziekenhuis heeft geen duidelijke criteria wanneer prospectieve risicoanalyses op het

gebied van patiëntveiligheid voor e-health-producten of –diensten nodig zijn.

4.2 Invoering en gebruik van e-health-producten en -diensten Getoetste normen:

- De zorgaanbieder heeft een proces afgesproken voor de invoering van e-health-producten of -diensten. Hij brengt daarbij de nodige experts samen. De zorgaanbieder stelt programma’s van eisen op. De zorgaanbieder doet risicoanalyses. Hij zorgt voor training van gebruikers en testen van producten en diensten voor het in gebruik nemen. Ook regelt de zorgaanbieder het onderhoud.


Invoering en gebruik van e-health-

producten en -diensten

√

Uitleg:

Invoering en gebruik van e-health-producten en -diensten is tijdens het inspectiebezoek besproken aan de hand van twee voorbeelden: een telemonitoringprogramma voor hartpatiënten en het nieuwe zorgportaal (zie ook paragraaf 1.3). Het ziekenhuis gebruikt geen standaard procesmodel voor het invoeren van e-health Beide zijn onderdeel van het programma Virtueel Ziekenhuis. Het gevolgde proces was bij deze voorbeelden op onderdelen verschillend. Dat heeft ten dele te maken met de ontstaansgeschiedenis van de projecten. Echter, het ziekenhuis heeft geen standaard procesmodel voor het invoeren en implementeren van e-health-producten en diensten. Er is dus geen vooropgezette fasering waarbij duidelijk is wie wanneer bij het proces betrokken is. Het ziekenhuis stelt niet in alle gevallen een programma van eisen op De deelname aan het telemonitoring-traject kwam voort uit de wens van de afdeling cardiologie om zinvolle interventies te vinden om de leefstijl van patiënten gunstig te beïnvloeden na hartrevalidatie. Daarbij hoorde de afdeling over het Benefit-onderzoeksprogramma. De afdeling cardiologie heeft een voorstel gemaakt voor deelname van het ziekenhuis aan het onderzoeksprogramma als consortiumlid. Dit voorstel is ingebracht via het programma Virtueel Ziekenhuis en opgenomen in het programma. Er was geen vooropgesteld uitgewerkt programma van eisen voor een telemonitoringdienst. Wel waren er enkele bewuste wensen voor een dergelijke dienst: de mogelijkheid voor patiënten om gegevens in te vullen, de aanwezigheid van de mogelijkheid voor dialoog en chat en de mogelijkheid om patiënten op hen toegesneden gezondheidsinformatie te bieden.

Pagina 13 van 22

In het geval van het Zorgportaal is de aanschaf van de portaalmodule onderdeel geweest van de selectie en aanschaf van het EPD. Destijds bevatte het programma van eisen ook criteria voor een portaalmodule. De ziekenhuisbrede inrichting voor patiënten is echter om faseringsredenen uitgesteld tot na invoering in het ziekenhuis van het EPD. De invoering van het portaal voor patiënten is onderdeel gemaakt van het programma Virtueel Ziekenhuis. Het ziekenhuis heeft geen algemene criteria voor het al dan niet uitvoeren van een PRI bij implementatie van e-healthdiensten De zorgaanbieder heeft voor het telemonitoringprogramma een PRI uitgevoerd om patiëntveiligheidsrisico’s in kaart te brengen. Bij het zorgportaal heeft het ziekenhuis gekeken naar risico’s voor privacy en informatiebeveiliging. Er is echter geen PRI uitgevoerd. Het ziekenhuis heeft geen algemene criteria om te bepalen of dit wel of niet nodig is. Het ziekenhuis stemt trainingsvereisten af op de aard van de implementatie In het geval van het telemonitoringprogramma is het ziekenhuispersoneel in huis getraind vanuit het consortium van het Benefitprogramma. Voor het patiëntenportaal is voor de artsen geen specifieke training opgezet. Het zijn vooral de patiënten die actief gebruik gaan maken van het portaal. Wel is veel informatie verstrekt aan zorgmedewerkers over de onderdelen van het dossier die zichtbaar worden voor patiënten. Voor specifieke deelprojecten, zoals de lastmeter oncologie, is bij de betrokken ziekenhuismedewerkers het proces geïntroduceerd. Afgezien van de twee besproken voorbeelden hebben diverse medewerkers tijdens het bezoek aangegeven dat ze bij de invoering van het EPD van te voren zijn getraind. Het ziekenhuis besteedt bij implementatie aandacht aan functionele testen Tijdens het inspectiebezoek is het onderwerp ‘testen’ slechts beknopt aan de orde geweest. Bij het zorgportaal is aangetoond dat gebruik is gemaakt van testdossiers van virtuele patiënten. Ook is één patiënt betrokken geweest bij het uitvoeren van testen op het zorgportaal. Het ziekenhuis maakt afspraken over onderhoud Bij het telemonitoringproject is onderhoud van het portaal en meetapparatuur ondergebracht bij partijen die betrokken zijn bij het onderzoeksconsortium van het Benefitprogramma. In het geval van het patiëntenportaal zijn afspraken gemaakt met de EPD-leverancier, die tevens leverancier is van de portaalmodule. Samenvattend Het ziekenhuis kent geen standaard procesmodel voor het invoeren en implementeren van e-health-producten en diensten. Er is dus geen vooropgezette fasering waarbij duidelijk is wie wanneer bij het proces betrokken is. Zo stelt het ziekenhuis niet in alle gevallen een programma van eisen op. Ook heeft het ziekenhuis geen algemene criteria voor het al dan niet uitvoeren van een PRI bij implementatie van e-healthdiensten. Het ziekenhuis voert deze wel uit bij specifieke projecten. Het

Pagina 14 van 22

ziekenhuis stemt trainingsvereisten af op de aard van de implementatie en besteedt aandacht aan testen en het inregelen van onderhoud.

Pagina 15 van 22

4.3 Patiëntparticipatie

Getoetste normen:

De zorgaanbieder bespreekt de keuzes over e-health met patiëntvertegenwoordigers.

De zorgaanbieder kijkt wanneer en e-health-product of -dienst wel of niet geschikt is.

Daarbij houdt hij rekening met de zorgbehoefte van patiënten en de eigenschappen

van de e-health-dienst. Patiënten krijgen voldoende informatie. Zo kunnen zij

beslissen of een e-health-product of -dienst past bij hun zorgbehoefte. Ze zijn dus ook

op de hoogte van mogelijke risico’s. De zorgaanbieder maakt duidelijk hoe patiënten

hulp kunnen krijgen bij e-health.


Patiëntparticipatie √

Uitleg:

Het ziekenhuis betrekt de cliëntenraad actief bij het beleid op het gebied van e-health

De zorgaanbieder betrekt de cliëntenraad actief bij het beleid op het gebied van e-

health. Zo heeft het ziekenhuis de cliëntenraad geraadpleegd over de selectie van het

EPD, het programma Virtueel Ziekenhuis, de vernieuwing van de ziekenhuiswebsite

en de inrichting van de e-Studio. Een commissie van de cliëntenraad heeft vier keer

per jaar een bespreking over het programma Virtueel ziekenhuis met de

programmadirecteur.

Het ziekenhuis brengt in kaart welke eisen het gebruik van een e-health-product of -

dienst stelt aan patiënten.

De cliëntenraad bewaakt proactief dat e-health-toepassingen daadwerkelijk iets

opleveren voor de patiënt en geen doel op zichzelf. Zo heeft de raad georganiseerd

dat leden van een afdeling van Probus (een vereniging voor postactieven vanaf 55

jaar) een bezoek hebben gebracht aan de e-studio. Hierbij konden medewerkers van

de e-studio in gesprek gaan over de beleving van ouderen wat betreft e-health-

producten en diensten. De cliëntenraad heeft ook meegewerkt aan workshops over

de inhoud van de nieuwe website.

Het ziekenhuis heeft voor het telemonitoringprogramma in kaart gebracht wie

hiervoor in aanmerking komt. In eerste instantie richt het ziekenhuis zich op

patiënten waarbij gezondheidswinst te behalen is en die affiniteit hebben met digitale

diensten. Het zorgportaal is beschikbaar voor alle patiënten.

Het ziekenhuis betrekt in bescheiden mate patiënten bij relevante projecten

Het ziekenhuis heeft via de cliëntenraad patiënten betrokken bij de ontwikkeling van

de nieuwe website. Bij de invoering van het zorgportaal heeft de projectgroep één

cliënt betrokken bij testen. Het bleek lastig om hiervoor kandidaten te vinden. Het

ziekenhuis wil in de toekomst proberen een beroep te doen op het patiëntenpanel

Pagina 16 van 22

dat meedoet aan vragenlijstonderzoeken over het ziekenhuis, of een vergelijkbaar

panel instellen. De voorzitter van de cliëntenraad heeft aangegeven dat het

ziekenhuis nog verder zou kunnen verbeteren door nog vaker de mening van

patiënten te vragen en patiënten nog meer in de ontwikkelfase van nieuwe diensten

te betrekken.

Het ziekenhuis zorgt voor informatiemateriaal voor patiënten

Het ziekenhuis heeft informatiemateriaal opgesteld voor patiënten voor het

telemonitoringprogramma en het zorgportaal. De patiënt kan desgewenst ook in het

ziekenhuis gebruik maken van het zorgportaal.

4.4 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van

gegevens Getoetste normen:

De zorgaanbieder kent de andere zorgaanbieders met wie hij samen zorg levert aan

patiënten. Hij spreekt met hen de (zorginhoudelijke) informatie af die daarbij nodig

is. Hij regelt dat de zorgverleners deze informatie kunnen uitwisselen. De

zorgaanbieder legt afspraken over elektronische uitwisseling vast. De zorgaanbieder

vraagt de patiënt toestemming voor elektronische uitwisseling als dat moet. De

zorgaanbieder regelt samen met de mede-zorgaanbieders in de regio de

medicatieoverdracht.


Samenwerken in het netwerk en elektronisch uitwisselen van gegevens

√

Uitleg:

Het ziekenhuis werkt actief samen in de regio, ook op het vlak van ICT

Het ziekenhuis ziet de samenwerking met ketenpartners om de zorg zo dicht mogelijk

bij huis te brengen als onderdeel van de strategie van het virtuele ziekenhuis.

De raad van bestuur is vertegenwoordigd in het regionale netwerk Goed en Gezond

Leven. Dit is een samenwerkingsverband van organisaties voor zorg en welzijn in de

regio Gooi en Vechtstreek, waarin ook een verzekeraar deelneemt. Het netwerk

werkt ook aan ICT-initiatieven, zoals een regionaal dossier over palliatieve zorg.

Het ICT-beleid besteedt aandacht aan elektronische gegevensdiensten

In het ICT-beleid is aandacht voor uitwisseling van zorggegevens met zorgverleners

buiten de organisatie. Er is een overzicht of architectuurplaat van aanwezige

koppelingen. Het ziekenhuis heeft meerdere gegevensdiensten ingericht om de

zorgverleners van de juiste informatie te voorzien. Voorbeelden zijn aansluitingen op

het landelijk schakelpunt, zorgdomein en zorgmail. Een huisartsenportaal is in

voorbereiding. Huisartsen kunnen zo inzicht krijgen in het dossier van hun patiënten

Pagina 17 van 22

als de patiënt dit goed vindt. Het ziekenhuis legt hiervoor toestemming van patiënten

vast. Er is in de regio geen netwerk voor uitwisseling van radiologiebeelden.

Het ziekenhuis zorgt voor bewerkersovereenkomsten

Verwerkersovereenkomsten zijn aanwezig en besteden aandacht aan de

verantwoordelijkheden van partijen en informatiebeveiliging en patiëntrechten. Het

ziekenhuis heeft hiervan een voorbeeld laten zien.

Het ziekenhuis zorgt voor het elektronisch ophalen medicatieoverzichten

De zorgaanbieder heeft een apotheekservicepunt dat via het landelijk schakelpunt

(LSP) de medicatieinformatie van patiënten ophaalt, voor zover deze beschikbaar is.

Voor poliklinische patiënten staat wordt hiervoor aan de hand van de afsprakenlijst

een prefetch gedaan. Desalniettemin gaf een internist tijdens het bezoek aan blijft het

moeilijk om goede informatie binnen te krijgen omdat de informatie van de apotheek

vaak niet klopt of niet volledig is (bv. als patiënten geen toestemming hebben

gegeven of als het LSP niet up-to-date is).

4.5 Informatiebeveiliging en continuïteit

Getoetste normen:

Informatiebeveiliging: het bestuur heeft gezorgd voor het inrichten, invoeren,

onderhouden en aldoor verbeteren van een managementsysteem voor

informatiebeveiliging. De organisatie heeft een continuïteitsstrategie afgesproken,

gedocumenteerd, ingevoerd en getest.


Informatiebeveiliging en continuïteit √

Uitleg:

Elementen van een managementsysteem voor informatiebeveiliging zijn aanwezig Een deel van de elementen van een managementsysteem voor informatiebeveiliging zijn aanwezig. Zo zijn verantwoordelijken aangewezen (er is zowel een functionaris gegevens bescherming als een security officer). Ook zijn diverse technische en organisatorische beheersmaatregelen geïmplementeerd, zoals bijvoorbeeld een proces voor management van incidenten. Individuele medewerkers blijken een goed bewustzijn van informatiebeveiliging en privacy te hebben. Het beleid voor informatiebeveiliging is niet actueel en beperkt zich hoofdzakelijk tot privacyaspecten Het gedocumenteerd beleid voor informatiebeveiliging is echter niet actueel (er is een handboek over bescherming van persoonsgegevens uit 2013). Het ziekenhuis werkt aan een nieuw beleidsdocument en ent dit op een privacyraamwerk van Norea, de

Pagina 18 van 22

organisatie van IT-auditors. Hierbij is echter niet zonder meer duidelijk hoe de elementen van de NEN 7510 over informatiebeveiliging hierin terug te herkennen zijn. Het ziekenhuis heeft zich vooral gericht op de privacywetgeving, terwijl informatiebeveiliging bredere aandacht vereist dan alleen op het gebied van persoonsgegeven. Er is geen objectieve en onpartijdige audit uitgevoerd op basis van NEN 7510 Er is geen volledige duidelijkheid over de mate van implementatie van het managementsysteem voor informatiebeveiliging. Het ziekenhuis heeft het managementsysteem voor informatiebeveiliging niet getoetst aan de NEN 7510 door middel van een objectieve en onpartijdige audit. Wel heeft de security officer een benchmark van de Nederlandse Vereniging van Ziekenhuizen hiervoor ingevuld. Deze geeft een eerste indruk, waarbij duidelijk is dat het ziekenhuis op enkele onderdelen eind 2017 niet voldeed. Er is verder een DigiD audit gedaan op het zorgportaal. Op het gebied van continuïteit zijn recent verbeteringen doorgevoerd Het ziekenhuis heeft een gedocumenteerde strategie en een plan voor continuïteit. Verder zijn diverse technische maatregelen ingevoerd. Systemen zijn gedistribueerd over twee locaties, er zijn de afgelopen tijd verbeteringen uitgevoerd aan het netwerk en single points of failure in de opslag zijn aangepakt. Er is een afzonderlijke ‘read-only’ kopie van het EPD op een aparte locatie. Er zijn noodstroomvoorzieningen.

Pagina 19 van 22

Bijlage 1: Wetten, (veld)normen en richtlijnen

Wetten - Wet kwaliteit, klachten en geschillen zorg (Wkkgz), in het

bijzonder artikel 3 (2016);

- Uitvoeringsbesluit Wkkgz, in het bijzonder artikel 4.1

(2016);

- Wet aanvullende bepalingen verwerking

persoonsgegevens in de zorg (2017);

Richtlijnen en

handreikingen

- Handreiking verantwoordelijkheidsverdeling bij

samenwerking in de zorg (KNMG, V&VN, KNOV, KNGF,

KNMP, NIP, NZV, NFU, GGZ Nederland, NPCF; 2010);

- Convenant veilige toepassing van medische technologie in

de medisch specialistische zorg (NVZ, NFU, Revalidatie

Nederland, ZKN; 2016)

- Leidraad nieuwe interventies in de medische praktijk

(Orde van Medisch Specialisten, Zorginstituut Nederland,

Kennisinstituut van medisch specialisten; 2014)

- Richtlijn online arts-patiëntcontact (KNMG, 2007)

- Richtlijn elektronisch voorschrijven (KNMG, 2013)

- Richtlijn overdracht van medicatiegegevens in de keten

(Actiz, GGZ Nederland, KNMG, KNMP, LEVV, LHV, NFU,

NHG, Nictiz, NPCF, NVZ, NVZA, Orde, V&VN, Verenso, ZN;

2008/2016)

- Artsen en social media (KNMG, 2011/2017);

- Hoe gebruik je sociale media op een verantwoorde

manier? (V&VN, 2012)

- Medische app checker (KNMG, 2016)

- Toezichthoudende domotica, een handreiking voor

zorgaanbieders (VUmc, 2012)

Normen - NEN 8028 – kwaliteitseisen telemedicine

- NEN 8009 – veiligheidsmanagementsysteem voor

ziekenhuizen en instellingen die ziekenhuiszorg verlenen

(2018)

- NEN 7510 – informatiebeveiliging in de zorg (2011/2017)

- NEN 7512 – vertrouwensbasis voor gegevensuitwisseling

(2015)

Verwante

kaders

- Governancecode zorg (2017)

- Kader ‘Toezicht op goed bestuur’ (IGZ/NZa), 2016

Pagina 20 van 22

Bijlage 2: Algemene uitleg van de beoordelingen

Niveau Uitleg

Afwezig De zorgaanbieder besteedt niet aantoonbaar aandacht

aan het onderwerp en/of heeft geen herkenbaar

proces. Er ligt niets vast.

Aanwezig De zorgaanbieder besteedt aantoonbaar aandacht aan

het onderwerp. Er kan een gedocumenteerd proces

zijn, maar in de praktijk kent niet iedereen dit. Of

medewerkers volgen het niet altijd.

Operationeel De zorgaanbieder heeft een gedocumenteerd proces.

Medewerkers kennen dit en volgen het ook.

Geborgd De zorgaanbieder heeft een gedocumenteerd proces.

Medewerkers kennen dit en volgen het ook. De

zorgaanbieder kijkt naar de resultaten en brengt

verbeteringen aan waar mogelijk.

Pagina 21 van 22

Bijlage 3: Overzicht van documenten die zijn bestudeerd

Voor en/of tijdens het inspectiebezoek zijn de volgende documenten bestudeerd:

Algemeen

- Presentatie ICT en e-health. Bestuur en governance, september 2018

- Interne en externe koppelingenoverzicht, september 2018

- ICT continuïteitstrategie en -plan Tergooi, oktober 2017

- NOREA guide Privacy Control Framework, mei 2018

- ICTZ Zorgportaal rapportage, 1 juli - 1 augustus 2018

Projectdossier Benefit

- Overzicht ingebruikname en ontwikkeling, september 2018

- Notulen oriëntatiefase met UMC Utrecht, Jeroen Bosch ziekenhuis en Haga

ziekenhuis, g.d.

- Notitie Besluitvorming portaal, mei 2017

- Notitie Voorstel openstelling portaal, augustus 2017

- Mail met attentie voor alle medisch specialisten, september 2017

- Change formulier Launch patiëntenportaal, september 2017

- Testpatiënten patiëntenportaal, november 2017

- Risicoanalyse informatiebeveiliging patiëntenportaal, g.d.

- Projectplan Portalen, 3e fase, augustus 2018

Projectdossier Zorgportaal

- Prospectieve risicoinventarisatie Implementatie Benefit, januari 2017

- Highlight reports, februari - aPRIl 2018

- Hartstichting/ ZonMW project Benefit - Gezond leven: goed voor het Hart!,

mei 2016

- Verwerkersovereenkomst Tergooi – Vital10, g.d.

- Presentatie Cardiovitaal Hartrevalidatie, g.d.

- Procesflow, g.d.

- Patiëntenfolder Proef telemonitoring hartpatiënten, g.d.

- Informatiebrief voor patiënten, december 2016

- Protocol Uitnodiging deelname proef telemonitoring, g.d.

- Manual HEP prof stappenplan systeemgebruik voor zorgprofessional, juli 2018

- Screenshots Benefit, september 2018

- Privacy Impact assessment, g.d.

- Akkoord security officer op verwerkersovereenkomst, juli 2018

Pagina 22 van 22

Documents

Rapport van het inspectiebezoek in het kader van het ......richtlijnen op het gebied van ICT in de zorg (zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of