Getoetste normen:
De zorgaanbieder kent de andere zorgaanbieders met wie hij samen zorg levert aan patiënten. Hij spreekt met hen de (zorginhoudelijke) informatie af die daarbij nodig is. Hij regelt dat de zorgverleners deze informatie kunnen uitwisselen. De
zorgaanbieder legt afspraken over elektronische uitwisseling vast. De zorgaanbieder vraagt de patiënt toestemming voor elektronische uitwisseling als dat moet. De zorgaanbieder regelt samen met de mede-zorgaanbieders in de regio de medicatieoverdracht.
Afwezig Aanwezig Operationeel Geborgd Samenwerken in het netwerk en
elektronisch uitwisselen van
gegevens √
Uitleg:
De zorgaanbieder heeft geregeld overleg met samenwerkingspartners, ICT en innovatie zijn hierbij nog geen vast onderwerp, maar hier zijn wel voornemens voor
Voor de zorgaanbieder is samenwerking met andere organisaties belangrijk. Dit is ook opgenomen in de visie die is gedocumenteerd in het informatieplan. De zorgaanbieder neemt onder andere deel aan een samenwerking van 14
V&V-organisaties in de regio. Deze samenwerking is in de coronacrisis nog verder versterkt. Er zijn voornemens om ook op het gebied van ICT en innovatie meer samen op te trekken maar dit moet nog wel verder vorm krijgen. De zorgaanbieder heeft ook geregeld overleg met de ziekenhuizen in de regio (Isala en Treant
zorggroep). Er is in de regio geen regionale samenwerkingsorganisatie zoals bv. in Twente of Friesland die faciliteert bij het inrichten van gegevensuitwisseling tussen zorgorganisaties.
De zorgaanbieder heeft diverse relevante systemen voor elektronische gegevensuitwisseling ingericht en heeft koppelingen opgenomen in een architectuuroverzicht
Het informatieplan bevat een architectuuroverzicht waarin de gegevenskoppelingen met andere (typen) organisaties zijn opgenomen, waaronder huisartsen, apotheek en ziekenhuizen. De zorgaanbieder heeft met diverse bestaande systemen voor gegevensuitwisseling aansluitingen ingeregeld (bijvoorbeeld zorgdomein, POINT, Zorgmail). Voor medicatie maakt de zorgaanbieder gebruik van elektronische toedienregistratie (Medimo); de apotheek zorgt voor de medicatielijsten.
Doseerschema’s voor bloedverdunners zijn digitaal beschikbaar via een portaal. Er zijn afdelingen waar dit overzicht wordt geprint.
Pagina 14 van 17
De zorgaanbieder legt afspraken voor o.a. informatiebeveiliging vast in verwerkersovereenkomsten
De zorgaanbieder beschikt over verwerkersovereenkomsten, in het kader van het bezoek zijn enkele hiervan ingezien. Deze stellen onder andere regels aan de informatiebeveiliging.
4.5 Informatiebeveiliging en continuïteit Getoetste normen:
Informatiebeveiliging: het bestuur heeft gezorgd voor het inrichten, invoeren, onderhouden en aldoor verbeteren van een managementsysteem voor
informatiebeveiliging. De organisatie heeft een continuïteitsstrategie afgesproken, gedocumenteerd, ingevoerd en getest.
Afwezig Aanwezig Operationeel Geborgd Informatiebeveiliging en
continuïteit √
Uitleg:
De zorgaanbieder heeft een informatiebeveiligingsbeleid en heeft diverse technische en organisatorische beheersmaatregelen ingevoerd
De zorgaanbieder beschikt over een beleid voor informatiebeveiliging. Ook zijn er diverse organisatorische en technische beheersmaatregelen uitgevoerd. Hieronder vallen ook maatregelen op het gebied van training en bewustzijn, zoals een phishing-test onder het personeel. Tijdens het bezoek kon echter niet eenduidig worden vastgesteld in welke mate het managementsysteem voor
informatiebeveiliging de bestaande risico’s voldoende in kaart brengt, in hoeverre de beheersmaatregelen effectief zijn geïmplementeerd en of ze zijn geëvalueerd.
De zorgaanbieder heeft deels in kaart gebracht of de vastlegging van maatregelen voldoende is maar beschikt niet over een onafhankelijke beoordeling van de effectiviteit van het managementsysteem voor informatiebeveiliging
De zorgaanbieder heeft een ‘implementatiematrix AVG’ waaruit de stand van zaken rondom enkele beheersmaatregelen ten dele valt af te leiden. De laatste
statusupdate is van 31 december 2019. Deze implementatiematrix is echter vooral gericht op privacy-aspecten en geeft geen systematisch inzicht in de diverse onderdelen die volgens de wettelijke norm NEN 7510 relevant zijn voor
informatiebeveiliging (informatiebeveiliging heeft niet alleen te maken met privacy, maar ook met bijvoorbeeld beschikbaarheid van de systemen). Ook de
accountantsverklaring gaat deels in op informatiebeveiliging. Deze stelt dat gebleken is dat de beheersmaatregelen in voldoende mate zijn vastgelegd in schema’s en beschrijvingen. Echter, daaruit blijkt niet of de risico’s op het gebied van informatiebeveiliging systematisch in kaart zijn gebracht en de effectiviteit van beheersmaatregelen in de praktijk wordt gemonitord en geëvalueerd, zoals de norm voor informatiebeveiliging vereist. Ook is niet duidelijk hoe de scope van deze controle zich verhoudt tot de eisen in de wettelijke norm. De zorgaanbieder beschikt niet over een onafhankelijke beoordeling van het managementsysteem voor
informatiebeveiliging en een directiebeoordeling zoals de NEN 7510 vereist.
Daardoor is de volledigheid en de effectiviteit van het managementsysteem voor informatiebeleid niet duidelijk in beeld en is niet duidelijk of de kwaliteitscyclus (plan-do-check-act) voor informatiebeveiliging in de praktijk werkt.
Pagina 15 van 17
De zorgaanbieder heeft diverse maatregelen genomen voor het borgen van de continuïteit; niet alle medewerkers blijken zich echter bewust van de voor hun werk relevante maatregelen
Op het gebied van continuïteit heeft de zorgaanbieder diverse maatregelen
genomen. Er is een dubbel uitgevoerd datacenter, zorglocaties hebben een dubbele verbinding met het internet. Ook is er een back-up en restore schema, hiervan zijn echter geen praktijktesten gepland. Voor het ECD is bij geplande updates de
acceptatieomgeving in leesmodus beschikbaar. Ook voor verschillende storingen die de elektronische toedieningsregistratie betreffen is een gedetailleerde instructie beschikbaar. Hieruit blijkt onder andere dat het systeem de toedienlijsten dagelijks als back-up naar de afdelingsmailadressen toestuurt voor het geval er een storing is bij de leverancier. Tijdens het bezoek bleek dat niet alle medewerkers zich goed bewust zijn van het bestaan van dergelijke noodinstructies.
Pagina 16 van 17