Bij het bezoek gebruikte de inspectie een toetsingskader, dat is gepubliceerd op de website van de IGJ1.
Een toetsingskader moet praktisch bruikbaar zijn. Daarom heeft de inspectie tijdens het bezoek gekeken naar de volgende vijf onderwerpen. Daarin zijn de
verschillende normen en richtlijnen meegenomen.
Onderwerp Uitleg Goed bestuur en
verantwoord innoveren
Het bestuur van de zorgaanbieder moet ‘in control’ zijn, ook op het gebied van e-health. Dit vraagt om een helder en gedragen beleid. Het bestuur moet de verantwoordelijkheden goed regelen bij inzetten van technische innovaties, zoals e-health. Ook een goede inrichting van de besluitvorming hoort daarbij.
Invoering en gebruik van
e-health-producten en -diensten
De zorgaanbieder moet bij invoering en gebruik van e-health-producten en -diensten zorgen voor goede voorwaarden. De zorgaanbieder zorgt bijvoorbeeld voor duidelijke eisen aan producten en diensten. Ook moet de zorgaanbieder goed omgaan met mogelijke risico’s.
Belangrijke voorwaarden zijn verder goede training, goed testen en goed onderhoud.
Patiëntparticipatie De patiëntenzorg wordt steeds afhankelijker van e-health. Daarom is het belangrijk dat de zorgaanbieder de cliëntenraad raadpleegt over het beleid. De
zorgaanbieder kijkt hoe geschikt e-health-producten en -diensten zijn voor patiënten. Ook zorgt de
zorgaanbieder voor goede informatie en begeleiding voor patiënten.
E-health kan andere vormen van samenwerken mogelijk maken tussen zorgverleners. Daarbij is het belangrijk dat de zorgaanbieder duidelijke afspraken maakt met andere zorgaanbieders over digitale samenwerking.
Daarbij moet de zorgaanbieder zorgen voor goede organisatorische en technische maatregelen.
Informatiebeveiliging
en continuïteit De groeiende afhankelijkheid van ICT vraagt erom dat de organisatie zorgt voor de continuïteit. Daar horen goede afspraken en maatregelen bij voor
informatiebeveiliging.
De inspectie heeft het bezoek kort van tevoren bekend gemaakt. Dit was nodig om de zorgaanbieder de mogelijkheid te geven gesprekspartners vrij te maken. Ook heeft de inspectie gevraagd om een aantal documenten ter voorbereiding op te leveren. Een overzicht staat in bijlage 2 van dit rapport.
1 Zie https://www.igj.nl/documenten/toetsingskaders/2018/11/15/toetsingskader-inzet-van-e-health-door-zorgaanbieders
Pagina 5 van 16
Tijdens het bezoek heeft de inspectie met verschillende betrokkenen gesproken over de thema’s van het toetsingskader. Dit waren personen in de volgende rollen:
- Chief Medical Officer (CMO);
- Chief Financial Officer (CFO);
- Manager Project Management Office;
- Manager Kwaliteit en Veiligheid;
- Manager Marketing & Sales / Digital Transformation;
- Manager ICT;
- Application & Health Outcome Officer;
- Coördinator polikliniek;
- Physician assistant;
- Secretaresse;
- Medewerker informatiecentrum;
- Voormalig cliënt.
Ook heeft de inspectie tijdens het bezoek vijf e-health-toepassingen besproken. Het gaat om de volgende voorbeelden:
1. Patiëntenportaal: een module die behoort bij het EPD en cliënten inzage biedt in de informatie over hun behandeling;
2. Zorgpadenapp: geeft de cliënt tijdens de cliëntreis passende informatie, zoals afspraakbevestigingen, routebeschrijvingen, toestemmingsformulieren en informatiefolders. Het gaat om een implementatie door de zorgaanbieder van het product MediMapp van leverancier Soulve;
3. Pulse: een door de zorgaanbieder zelf ontwikkeld platform voor het verzamelen van data en meten van uitkomsten van zorg. Via Pulse worden vragenlijsten gestuurd naar cliënten en worden gegevens verzameld voor gebruik in het primaire proces (bijvoorbeeld de anesthesiescreening) maar ook voor verbetertrajecten en wetenschappelijk onderzoek;
4. Online boeken module: module voor cliënten om online consulten te boeken bij de klinieken van de zorgaanbieder, met beoogde integratie met het EPD. Deze module was ten tijde van het inspectiebezoek in
ontwikkeling;
5. ‘Herken uw klacht’ tool: chatbot op de website van de zorgaanbieder die de cliënt aan de hand van een aantal vragen leidt naar informatie die past bij de klachten van de cliënt. Het doel van de tool is het aanbieden van passende informatie. Hierbij besteedt de tool expliciet aandacht aan het feit dat een diagnose enkel door een arts gesteld kan worden. Deze tool wordt intern ontwikkeld in samenwerking met een aanbieder van
chatbotfaciliteiten.
Onderdeel van het bezoek was een rondgang door de kliniek.
De resultaten van het inspectiebezoek staan in hoofdstuk 4 van dit rapport. De beoordeling bij elk onderwerp volgt een vierpuntsschaal: afwezig, aanwezig, operationeel en geborgd. Zie bijlage 1 voor een uitleg over deze begrippen.
Pagina 6 van 16
2 Conclusie
De inspectie concludeert dat de zorgaanbieder bij de inzet van ICT in de zorg (e-health) grotendeels zorgt voor de juiste randvoorwaarden voor goede en veilige zorg. De strategie van de zorgaanbieder geeft duidelijk richting op digitale aspecten van de zorg en de status van de projecten is goed in beeld. De werking van het managementsysteem voor informatiebeveiliging is nog onvoldoende aantoonbaar.
De inspectie komt tot de volgende deelconclusies:
De zorgaanbieder heeft een duidelijke digitale strategie en grip op de uitvoering, bijbehorende rolverdeling ontwikkelt zich nog verder De zorgaanbieder heeft een duidelijke en uitgewerkte strategie voor digitale transformatie; rollen daarbinnen zijn nog in beweging. De zorgaanbieder heeft een goed overzicht van lopende projecten en heeft grip op de voortgang daarvan. Een recent geïntroduceerde werkwijze (met een bijbehorende rolverdeling) voor het kanaliseren van initiatieven moet nog verder bestendigd worden.
De zorgaanbieder gaat zorgvuldig om met het invoeren van e-health -producten en diensten en voert de daarvoor relevante procesonderdelen uit
De zorgaanbieder heeft het proces voor implementeren van e-health-producten en diensten recent verder geoptimaliseerd (‘van idee naar oplossing’); dit proces moet in de nieuwe vorm nog verder ingericht worden. Uit de documentatie van lopende en afgeronde projecten blijkt echter dat de zorgaanbieder al voldoende aandacht besteedt aan relevante zaken zoals documentatie van pakket van eisen,
risicoanalyses, testen, training, onderhoud en beheer. Bij risicoanalyses kunnen gevolgen voor cliënten nog explicieter benoemd worden. Bij testen kan de traceerbaarheid2 verbeterd worden.
De zorgaanbieder heeft geen cliëntenraad maar besteedt wel op andere wijze voldoende aandacht aan het betrekken van cliënten bij digitale ontwikkelingen
De zorgaanbieder is er vooralsnog niet in geslaagd om leden te werven voor een cliëntenraad. De zorgaanbieder zet middelen als panels, focusgroepen en interviews in om input van cliënten te verzamelen en toetst voortdurend de klantbeleving. De zorgaanbieder werkt aan het laagdrempelig aanbieden van informatie en heeft een klantinformatiecentrum waar ook vragen kunnen worden gesteld over het digitale aanbod.
(Overleg over) elektronische informatie-uitwisseling met andere
zorgaanbieders is beperkt; in de elektronische koppelingen die nodig zijn, is/wordt voorzien
De informatie-uitwisseling met andere zorgaanbieders is beperkt omdat er weinig structurele samenwerkingsverbanden zijn. De zorgaanbieder heeft een aansluiting op diverse gangbare infrastructuren en neemt deel aan landelijke programma’s voor informatie-uitwisseling zoals Twiin en VIPP 5. Eisen en wensen voor elektronische gegevensuitwisseling komen naar voren in reguliere overleggen, maar een overzicht van eisen en wensen op dit gebied ontbrak.
2 Wie heeft op welk moment wat getest, en hoe verhield zich dit tot de aanwezige testscripts
Pagina 7 van 16
De zorgaanbieder kan nog onvoldoende aantoonbaar maken dat de informatiebeveiliging voldoet aan de wettelijke norm NEN 7510 In mei 2019 heeft de zorgaanbieder na onderzoek geconstateerd dat
verbetermaatregelen nodig waren op het gebied van informatiebeveiliging. De zorgaanbieder heeft een verbetertraject op het gebied van informatiebeveiliging uitgevoerd maar nog niet afgesloten met een nieuwe onafhankelijke beoordeling. De zorgaanbieder heeft diverse maatregelen genomen op het gebied van continuïteit.
Er waren op het moment van het inspectiebezoek echter geen directe instructies of basisregels hoe te handelen bij uitval voor personeel op locaties3.
3 Na het inspectiebezoek heeft de zorgaanbieder besloten hiervoor aanvullende maatregelen te treffen, zie voetnoot onderaan pagina 14.
Pagina 8 van 16