Getoetste normen:
De zorgaanbieder kent de andere zorgaanbieders met wie hij samen zorg levert aan patiënten. Hij spreekt met hen de (zorginhoudelijke) informatie af die daarbij nodig is. Hij regelt dat de zorgverleners deze informatie kunnen uitwisselen. De
zorgaanbieder legt afspraken over elektronische uitwisseling vast. De zorgaanbieder vraagt de patiënt toestemming voor elektronische uitwisseling als dat moet. De zorgaanbieder regelt samen met de mede-zorgaanbieders in de regio de medicatieoverdracht.
Afwezig Aanwezig Operationeel Geborgd Samenwerken in het netwerk en
elektronisch uitwisselen van
gegevens √
Pagina 13 van 16
Uitleg:
(Regionale) samenwerking
De informatie-uitwisseling met andere zorgaanbieders is beperkt omdat er weinig structurele samenwerkingsverbanden zijn. Aangezien de zorgaanbieder niet op een specifieke regio is gericht, neemt hij niet deel aan een regionale
samenwerkingsorganisatie voor informatie-uitwisseling.
Bestaande informatie-uitwisseling
De zorgaanbieder heeft een aansluiting op het Landelijk Schakelpunt voor toegang tot actuele medicatie-overzichten voor patiënten die hiervoor toestemming hebben gegeven. Verwijzingen vanuit de eerste lijn komen binnen via Zorgdomein en verslagen naar huisartsen lopen via edifact/Zorgmail. Het rapporteren van beeldvormende diagnostiek vanuit het MRI-centrum verloopt elektronisch, men is nog bezig het gehele proces (inclusief aanvragen) volledig te automatiseren. In 2022 wil de zorgaanbieder aansluiten bij Twiin voor het uitwisselen van beelden en verslagen. Ook neemt de zorgaanbieder deel aan het programma VIPP 5 (dat onder andere het uitwisselen van de basisgegevensset zorg mogelijk maakt).
Laboratoriumuitslagen gaan via de post. Er is een actueel architectuuroverzicht waarin koppelingen zijn opgenomen.
Er is geen vast beleid/werkwijze om (al dan niet) elektronische koppelingen te regelen met partijen waarmee de zorgaanbieder geen structurele relatie mee heeft.
Vaststellen van de behoefte aan informatie-uitwisseling
Intern is er overleg tussen de coördinatoren van de medisch specialistische staf, de medisch directeur en de manager kwaliteit en veiligheid. Eventuele aanvullende eisen en wensen voor elektronische gegevensuitwisseling komen op deze manier naar voren. Een overzicht van eisen en wensen voor elektronische
gegevensuitwisseling ontbrak.
Vastlegging afspraken
De zorgaanbieder zorgt voor verwerkersovereenkomsten indien nodig. Een
voorbeeld van een verwerkersovereenkomst is in het kader van het inspectiebezoek voorgelegd aan de inspectie.
4.5 Informatiebeveiliging en continuïteit Getoetste normen:
Informatiebeveiliging: de Raad van Bestuur heeft gezorgd voor het inrichten, invoeren, onderhouden en aldoor verbeteren van een managementsysteem voor informatiebeveiliging. De organisatie heeft een continuïteitsstrategie afgesproken, gedocumenteerd, ingevoerd en getest.
Afwezig Aanwezig Operationeel Geborgd Informatiebeveiliging en
continuïteit √
Pagina 14 van 16
Uitleg:
De zorgaanbieder heeft een verbetertraject op het gebied van
informatiebeveiliging uitgevoerd, maar nog niet afgesloten met een nieuwe onafhankelijke beoordeling
In mei 2019 heeft de zorgaanbieder een onafhankelijke beoordeling laten doen van het managementsysteem voor informatiebeveiliging op basis van de norm NEN 7510. Hieruit bleek dat de zorgaanbieder op een groot aantal (veertig) punten niet voldeed aan de norm (score rood op schaal groen-geel-rood). Er was geen
aantoonbaar werkende plan-do-check-act (PDCA)-cyclus.
De zorgaanbieder heeft vervolgens een project ingericht om tot verbeteringen te komen. Twee medewerkers zijn intern geschoold over de inhoud van de norm en het inrichten van een managementsysteem voor informatiebeveiliging. De
zorgaanbieder heeft diverse verbeteringen in gang gezet. Deze waren onder andere gericht op betere registratie van bijvoorbeeld het backup-restore- en
wachtwoordbeleid, procedures rondom uitgifte van hardware en bewustwording van personeel. Ook is aandacht geweest voor pentesten en een phishingactie, om operationele risico’s in beeld te krijgen. Daarnaast is gecontroleerd op de aanwezigheid van certificaten van partners.
De manager kwaliteit en veiligheid en de manager ICT gaven tijdens het bezoek aan dat de coronacrisis de aandacht voor het verder verbeteren van het
managementsysteem voor informatiebeveiliging tijdelijk naar de achtergrond had verdrongen. Zij gaven aan te verwachten in het vierde kwartaal 2021 tot een werkende PDCA-cyclus te komen en schatten in dat de organisatie door de ingevoerde verbeteringen in de bestaande situatie geen grote risico’s loopt. Een nieuwe onafhankelijke beoordeling om de status na de verbeteringen vast te stellen had op het moment van het inspectiebezoek nog niet plaats gevonden.
De zorgaanbieder heeft diverse maatregelen genomen op het gebied van continuïteit; er zijn geen directe instructies of basisregels bij uitval voor personeel op locaties
De zorgaanbieder heeft diverse maatregelen genomen om de continuïteit te
waarborgen. Er is een continuïteits- en calamiteitenplan. De zorgaanbieder gaf aan na een verstoring binnen 24 uur weer met alle systemen weer operationeel te kunnen zijn. Er is een tweede datacenter waarin de belangrijkste systemen dubbel zijn uitgevoerd. Ook is er een back-up schema. Er is een draaiboek waarin de volgorde is vastgelegd waarin systemen weer live moeten komen. Op de
OK-complexen zijn formulieren aanwezig om in geval van nood tijdelijk te kunnen registreren. Tijdens het bezoek bleek dat er geen directe instructies of basisregels zijn voor personeel op locaties hoe te handelen tijdens een storing5, bijvoorbeeld over het stoppen of voortzetten van het OK-programma. Hiervoor vertrouwt men op de bestaande interne samenwerkingsstructuur en afstemming met de
leidinggevende en/of regiomanager.
5 NB: na het inspectiebezoek heeft de zorgaanbieder aangegeven over te gaan tot de introductie van posters voor op de werkvloer. Deze posters zullen puntsgewijs de te maken afwegingen benoemen, inclusief het ‘wat te doen’ per scenario.
Pagina 15 van 16