Rapport van het inspectiebezoek in het kader van het toezicht op e-health aan Equipe Zorgbedrijven, vestiging Amsterdam, op 20 juli 2021

Rapport van het inspectiebezoek in het kader van het toezicht op e-health aan Equipe Zorgbedrijven,

vestiging Amsterdam, op 20 juli 2021

XX

Utrecht, 21 september 2021 XXX

Pagina 2 van 16

Inhoud

Inhoud ... 2

1 Inleiding ... 3

1.1 Aanleiding en belang ... 3

1.2 Onderzoeksvragen... 3

1.3 Onderzoeksmethode en toetsingskader ... 4

2 Conclusie... 6

3 Handhaving ... 8

3.1 Maatregelen ... 8

3.2 Aanbevelingen ... 8

3.3 Vervolgacties inspectie ... 8

4 Resultaten ... 9

4.1 Goed bestuur en verantwoord innoveren... 9

4.2 Invoering en gebruik van e-health-producten en -diensten ... 10

4.3 Patiëntparticipatie ... 11

4.4 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens12 4.5 Informatiebeveiliging en continuïteit... 13

Bijlage 1: Algemene uitleg van de beoordelingen... 15

Bijlage 2: Overzicht van documenten die zijn bestudeerd ... 16

Pagina 3 van 16

1 Inleiding

De Inspectie Gezondheidszorg en Jeugd (de inspectie) bezocht op 20 juli 2021 Equipe Zorgbedrijven, vestiging Laarderhoogtweg 12 te Amsterdam (hierna: de zorgaanbieder). Het onderwerp van het bezoek was de inzet van informatie- en communicatietechnologie (ICT) in de zorg. Dit heet ook wel ‘e-health’ of ‘digitale zorg’.

De inspectie toetste of de zorgaanbieder bij het gebruik van e-health zorgt voor de nodige voorwaarden voor goede en veilige zorg, die volgen uit wetten, (veld)normen en richtlijnen op dit gebied.

1.1 Aanleiding en belang

Onder e-health verstaat de inspectie: de inzet van hedendaagse ICT, in het bijzonder internettechnologie, om de gezondheid en gezondheidszorg te ondersteunen of te verbeteren.

Voorbeelden hiervan zijn elektronische patiëntendossiers (EPD’s of ECD’s) en elektronische uitwisseling van gegevens. Met e-health bedoelt de inspectie dus ook de meer traditionele zorg-ICT. Maar ook patiëntenportalen, medische apps,

monitoring van chronische patiënten op afstand en inzet van onlinebehandeling of begeleiding.

De inspectie is positief over de mogelijkheden die e-health kan bieden. E-health kan de zorg minder laten afhangen van tijd en plaats. Ook kan het de communicatie tussen patiënt (of cliënt/bewoner) en zorgverlener helpen. En die tussen

zorgverleners. Dit wordt belangrijker nu de patiënt vaker te maken krijgt met een netwerk van zorgaanbieders.

Tegelijk vindt de inspectie het belangrijk dat de inzet van e-health doordacht gebeurt. Ook bij de inzet van e-health moet de zorgaanbieder de kwaliteit en veiligheid van de zorg bewaken. Vooral grote organisaties leunen steeds meer op e-health. Dat vraagt erom dat de zorgaanbieder zorgt voor goede voorwaarden in de organisatie.

De nieuwe mogelijkheden kennen helaas ook risico’s. Denk bijvoorbeeld aan de uitval van systemen, fouten ontstaan door systeemupdates of gebruikersfouten. Ook ontwikkelen de wetgeving en normering zich verder. Daarom kijkt de inspectie bij zorgaanbieders naar e-health. Daarbij toetst de inspectie of de zorgaanbieder zorgt voor de goede randvoorwaarden voor digitale zorg. In het toezicht op e-health betrekt de inspectie verschillende wetten, veldnormen en richtlijnen op het gebied van ICT in de zorg (zie 1.3).

1.2 Onderzoeksvragen

Het doel van het bezoek was om te toetsen of de zorgaanbieder bij de inzet van ICT (e-health) zorgt voor de nodige voorwaarden voor goede en veilige zorg, die volgen uit wetten, (veld)normen en richtlijnen op dit gebied.

Pagina 4 van 16

1.3 Onderzoeksmethode en toetsingskader

Bij het bezoek gebruikte de inspectie een toetsingskader, dat is gepubliceerd op de website van de IGJ¹.

Een toetsingskader moet praktisch bruikbaar zijn. Daarom heeft de inspectie tijdens het bezoek gekeken naar de volgende vijf onderwerpen. Daarin zijn de

verschillende normen en richtlijnen meegenomen.

Onderwerp Uitleg Goed bestuur en

verantwoord innoveren

Het bestuur van de zorgaanbieder moet ‘in control’ zijn, ook op het gebied van e-health. Dit vraagt om een helder en gedragen beleid. Het bestuur moet de verantwoordelijkheden goed regelen bij inzetten van technische innovaties, zoals e-health. Ook een goede inrichting van de besluitvorming hoort daarbij.

Invoering en gebruik van e-health-

producten en -diensten

De zorgaanbieder moet bij invoering en gebruik van e-health-producten en -diensten zorgen voor goede voorwaarden. De zorgaanbieder zorgt bijvoorbeeld voor duidelijke eisen aan producten en diensten. Ook moet de zorgaanbieder goed omgaan met mogelijke risico’s.

Belangrijke voorwaarden zijn verder goede training, goed testen en goed onderhoud.

Patiëntparticipatie De patiëntenzorg wordt steeds afhankelijker van e-health. Daarom is het belangrijk dat de zorgaanbieder de cliëntenraad raadpleegt over het beleid. De

zorgaanbieder kijkt hoe geschikt e-health-producten en -diensten zijn voor patiënten. Ook zorgt de

zorgaanbieder voor goede informatie en begeleiding voor patiënten.

Samenwerken in het netwerk en

elektronisch vastleggen en uitwisselen van gegevens

E-health kan andere vormen van samenwerken mogelijk maken tussen zorgverleners. Daarbij is het belangrijk dat de zorgaanbieder duidelijke afspraken maakt met andere zorgaanbieders over digitale samenwerking.

Daarbij moet de zorgaanbieder zorgen voor goede organisatorische en technische maatregelen.

Informatiebeveiliging

en continuïteit De groeiende afhankelijkheid van ICT vraagt erom dat de organisatie zorgt voor de continuïteit. Daar horen goede afspraken en maatregelen bij voor

informatiebeveiliging.

De inspectie heeft het bezoek kort van tevoren bekend gemaakt. Dit was nodig om de zorgaanbieder de mogelijkheid te geven gesprekspartners vrij te maken. Ook heeft de inspectie gevraagd om een aantal documenten ter voorbereiding op te leveren. Een overzicht staat in bijlage 2 van dit rapport.

1 Zie https://www.igj.nl/documenten/toetsingskaders/2018/11/15/toetsingskader-inzet-van-e- health-door-zorgaanbieders

Pagina 5 van 16

Tijdens het bezoek heeft de inspectie met verschillende betrokkenen gesproken over de thema’s van het toetsingskader. Dit waren personen in de volgende rollen:

- Chief Medical Officer (CMO);

- Chief Financial Officer (CFO);

- Manager Project Management Office;

- Manager Kwaliteit en Veiligheid;

- Manager Marketing & Sales / Digital Transformation;

- Manager ICT;

- Application & Health Outcome Officer;

- Coördinator polikliniek;

- Physician assistant;

- Secretaresse;

- Medewerker informatiecentrum;

- Voormalig cliënt.

Ook heeft de inspectie tijdens het bezoek vijf e-health-toepassingen besproken. Het gaat om de volgende voorbeelden:

1. Patiëntenportaal: een module die behoort bij het EPD en cliënten inzage biedt in de informatie over hun behandeling;

2. Zorgpadenapp: geeft de cliënt tijdens de cliëntreis passende informatie, zoals afspraakbevestigingen, routebeschrijvingen, toestemmingsformulieren en informatiefolders. Het gaat om een implementatie door de zorgaanbieder van het product MediMapp van leverancier Soulve;

3. Pulse: een door de zorgaanbieder zelf ontwikkeld platform voor het verzamelen van data en meten van uitkomsten van zorg. Via Pulse worden vragenlijsten gestuurd naar cliënten en worden gegevens verzameld voor gebruik in het primaire proces (bijvoorbeeld de anesthesiescreening) maar ook voor verbetertrajecten en wetenschappelijk onderzoek;

4. Online boeken module: module voor cliënten om online consulten te boeken bij de klinieken van de zorgaanbieder, met beoogde integratie met het EPD. Deze module was ten tijde van het inspectiebezoek in

ontwikkeling;

5. ‘Herken uw klacht’ tool: chatbot op de website van de zorgaanbieder die de cliënt aan de hand van een aantal vragen leidt naar informatie die past bij de klachten van de cliënt. Het doel van de tool is het aanbieden van passende informatie. Hierbij besteedt de tool expliciet aandacht aan het feit dat een diagnose enkel door een arts gesteld kan worden. Deze tool wordt intern ontwikkeld in samenwerking met een aanbieder van

chatbotfaciliteiten.

Onderdeel van het bezoek was een rondgang door de kliniek.

De resultaten van het inspectiebezoek staan in hoofdstuk 4 van dit rapport. De beoordeling bij elk onderwerp volgt een vierpuntsschaal: afwezig, aanwezig, operationeel en geborgd. Zie bijlage 1 voor een uitleg over deze begrippen.

Pagina 6 van 16

2 Conclusie

De inspectie concludeert dat de zorgaanbieder bij de inzet van ICT in de zorg (e-health) grotendeels zorgt voor de juiste randvoorwaarden voor goede en veilige zorg. De strategie van de zorgaanbieder geeft duidelijk richting op digitale aspecten van de zorg en de status van de projecten is goed in beeld. De werking van het managementsysteem voor informatiebeveiliging is nog onvoldoende aantoonbaar.

De inspectie komt tot de volgende deelconclusies:

De zorgaanbieder heeft een duidelijke digitale strategie en grip op de uitvoering, bijbehorende rolverdeling ontwikkelt zich nog verder De zorgaanbieder heeft een duidelijke en uitgewerkte strategie voor digitale transformatie; rollen daarbinnen zijn nog in beweging. De zorgaanbieder heeft een goed overzicht van lopende projecten en heeft grip op de voortgang daarvan. Een recent geïntroduceerde werkwijze (met een bijbehorende rolverdeling) voor het kanaliseren van initiatieven moet nog verder bestendigd worden.

De zorgaanbieder gaat zorgvuldig om met het invoeren van e-health -producten en diensten en voert de daarvoor relevante procesonderdelen uit

De zorgaanbieder heeft het proces voor implementeren van e-health-producten en diensten recent verder geoptimaliseerd (‘van idee naar oplossing’); dit proces moet in de nieuwe vorm nog verder ingericht worden. Uit de documentatie van lopende en afgeronde projecten blijkt echter dat de zorgaanbieder al voldoende aandacht besteedt aan relevante zaken zoals documentatie van pakket van eisen,

risicoanalyses, testen, training, onderhoud en beheer. Bij risicoanalyses kunnen gevolgen voor cliënten nog explicieter benoemd worden. Bij testen kan de traceerbaarheid² verbeterd worden.

De zorgaanbieder heeft geen cliëntenraad maar besteedt wel op andere wijze voldoende aandacht aan het betrekken van cliënten bij digitale ontwikkelingen

De zorgaanbieder is er vooralsnog niet in geslaagd om leden te werven voor een cliëntenraad. De zorgaanbieder zet middelen als panels, focusgroepen en interviews in om input van cliënten te verzamelen en toetst voortdurend de klantbeleving. De zorgaanbieder werkt aan het laagdrempelig aanbieden van informatie en heeft een klantinformatiecentrum waar ook vragen kunnen worden gesteld over het digitale aanbod.

(Overleg over) elektronische informatie-uitwisseling met andere

zorgaanbieders is beperkt; in de elektronische koppelingen die nodig zijn, is/wordt voorzien

De informatie-uitwisseling met andere zorgaanbieders is beperkt omdat er weinig structurele samenwerkingsverbanden zijn. De zorgaanbieder heeft een aansluiting op diverse gangbare infrastructuren en neemt deel aan landelijke programma’s voor informatie-uitwisseling zoals Twiin en VIPP 5. Eisen en wensen voor elektronische gegevensuitwisseling komen naar voren in reguliere overleggen, maar een overzicht van eisen en wensen op dit gebied ontbrak.

2 Wie heeft op welk moment wat getest, en hoe verhield zich dit tot de aanwezige testscripts

Pagina 7 van 16

De zorgaanbieder kan nog onvoldoende aantoonbaar maken dat de informatiebeveiliging voldoet aan de wettelijke norm NEN 7510 In mei 2019 heeft de zorgaanbieder na onderzoek geconstateerd dat

verbetermaatregelen nodig waren op het gebied van informatiebeveiliging. De zorgaanbieder heeft een verbetertraject op het gebied van informatiebeveiliging uitgevoerd maar nog niet afgesloten met een nieuwe onafhankelijke beoordeling. De zorgaanbieder heeft diverse maatregelen genomen op het gebied van continuïteit.

Er waren op het moment van het inspectiebezoek echter geen directe instructies of basisregels hoe te handelen bij uitval voor personeel op locaties³.

3 Na het inspectiebezoek heeft de zorgaanbieder besloten hiervoor aanvullende maatregelen te treffen, zie voetnoot onderaan pagina 14.

Pagina 8 van 16

3 Handhaving

3.1 Maatregelen

Zorg ervoor dat de organisatie per 31 december 2021 aantoonbaar beschikt over een managementsysteem voor informatiebeveiliging volgens NEN 7510

Voldoen aan de NEN7510 is wettelijk verplicht. Deze norm vereist dat een organisatie een lerend managementsysteem heeft voor informatiebeveiliging. Dit staat borg voor voortdurende evaluatie en verbetering. De zorgaanbieder moet aantonen dat dit lerende systeem in de praktijk functioneert. De zorgaanbieder kan dit aantonen met het resultaat van een onafhankelijke beoordeling van het

managementsysteem voor informatiebeveiliging (zie verder paragraaf 3.3).

3.2 Aanbevelingen

De inspectie geeft de volgende punten van verbetering aan. De inspectie verwacht dat de raad van bestuur de genoemde punten ter harte zal nemen.

Werk de bestaande aanpak ‘van idee naar oplossing’ verder uit

Een duidelijke methodiek bevordert de kwaliteit omdat deze bevordert dat de juiste deskundigheid op het juiste moment in het proces wordt betrokken. Besteed bij de verdere uitwerking aandacht aan onder andere de invulling van rollen en

verantwoordelijkheden, het expliciet maken van de gevolgen voor cliënten bij risicoanalyses en het bevorderen van de traceerbaarheid bij testen.

Stel een cliëntenraad⁴ in zodat (onder andere) de digitale strategie ook met de cliëntenraad kan worden afgestemd

Hoewel de zorgaanbieder op diverse manieren de wensen van cliënten ten aanzien van de digitale diensten in kaart brengt, kan een regelmatig overleg met een vaste cliëntvertegenwoordiging hieraan een extra dimensie toevoegen.

Cliëntvertegenwoordigers kunnen hierdoor een meer gelijkwaardige gesprekspartner zijn over (strategische) keuzes ten aanzien van e-health voor cliënten.

3.3 Vervolgacties inspectie

De inspectie verwacht per 31 december 2021 de resultaten van een onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging op basis van de NEN 7510. Zoals in de NEN 7510 beschreven moet deze beoordeling worden uitgevoerd door ter zake deskundige personen met een onafhankelijke positie ten opzichte van het te beoordelen gebied, bijv. door de interne auditor, een

onafhankelijke manager of een externe organisatie die gespecialiseerd is in dergelijke beoordelingen. De beoordeling moet voldoende duidelijk maken wat de status is per categorie van beheersmaatregelen (zoals aangegeven in bijlage A van de NEN 7510).

4 Op grond van de Wet medezeggenschap cliënten zorginstellingen 2018 is de zorgaanbieder verplicht tot het instellen van een cliëntenraad. De IGJ oriënteert zich op de mate van naleving door zorgaanbieders van de Wmcz 2018. In het kader van het e-health-toezicht werd bij dit bezoek vooral gekeken naar de wijze waarop de behoeften van cliënten (ook in bredere zin dan via een cliëntenraad) bij de keuzes op het gebied van e-health worden betrokken.

Pagina 9 van 16

4 Resultaten

4.1 Goed bestuur en verantwoord innoveren Getoetste normen:

- De Raad van Bestuur heeft de controle over de e-health-ontwikkelingen. De zorgaanbieder heeft een beleid voor e-health en heeft hierbij de mensen betrokken die er belang bij hebben. Hij heeft taken en

verantwoordelijkheden belegd in de organisatie. Hij regelt een duidelijke besluitvorming. De zorgaanbieder heeft aandacht voor risicomanagement en kwaliteitsborging van de e-health/ICT-omgeving. Het bestuur krijgt

stuurinformatie.

Afwezig Aanwezig Operationeel Geborgd Goed bestuur en verantwoord

innoveren √

Uitleg:

De zorgaanbieder heeft een duidelijke strategie voor digitale transformatie;

rollen daarbinnen zijn nog in beweging

De zorgaanbieder beschikt over een strategiedocument waarin digitale transformatie als een van de vier strategische pijlers wordt benoemd. Onderdelen hiervan zijn het verbeteren van de cliëntervaring met hybride vormen van zorg (offline en online), het verbeteren van de efficiëntie door digitalisering van processen en het verbeteren van businessmodellen gebaseerd op gegevensanalyse. Het document benoemt dat ook de rolverdeling in de organisatie aandacht verdient om meer focus te kunnen aanbrengen op digitale transformatie. Het document benoemt ook nieuwe rollen (bv. chief digital officer) die nog niet allemaal zijn ingevuld.

De zorgaanbieder heeft een goed overzicht van lopende projecten en heeft grip op de voortgang

De zorgaanbieder beschikt daarnaast over een roadmap digitalisering, waarin de verschillende projecten een plaats hebben. Deze roadmap volgt uit het

strategiedocument. De zorgaanbieder gebruikt de roadmap als instrument om maandelijks de verschillende digitale ontwikkelingen te volgen. In de maandelijkse rapportage is de status van de verschillende lopende projecten op overzichtelijke wijze weergegeven, waarbij ook de samenhang tussen de projecten in relatie tot de

‘cliëntreis’ duidelijk is.

Een recent geïntroduceerde werkwijze met bijbehorende rolverdeling moet nog verder bestendigd worden

In mei 2021 heeft de zorgaanbieder een hernieuwde aanpak voor digitalisering geïntroduceerd (in presentatievorm aanwezig) die ingaat op de wijze waarop kansrijke ideeën geselecteerd kunnen worden en doorontwikkeld tot succesvolle oplossingen. Hierin wordt een reviewboard geïntroduceerd, waarin verschillende belanghebbenden zijn opgenomen (waaronder directie, zakelijk verantwoordelijke, gebruikers en experts). Ideeën doorlopen een trechter waarbij zij door verschillende fasen heengaan, waaronder opstellen van een business case en het uitvoeren van een pilot. Tijdens het inspectiebezoek werd duidelijk dat de nieuwe werkwijze en de bijbehorende rolinvulling nog in ontwikkeling is binnen de organisatie van de zorgaanbieder en dat de bijbehorende terminologie nog niet consequent gebruikt wordt.

Pagina 10 van 16

4.2 Invoering en gebruik van e-health-producten en -diensten Getoetste normen:

- De zorgaanbieder heeft een proces afgesproken voor de invoering van e-health-producten of -diensten. Hij brengt daarbij de nodige experts samen. De zorgaanbieder stelt programma’s van eisen op. De zorgaanbieder doet risicoanalyses. Hij zorgt voor training van gebruikers en testen van producten en diensten voor het in gebruik nemen. Ook regelt de

zorgaanbieder het onderhoud.

Afwezig Aanwezig Operationeel Geborgd Invoering en gebruik van e-health-

producten en –diensten √

Uitleg:

Implementatieproces

Het onder hoofdstuk 4.1 genoemde proces voor het kanaliseren van ideeën gaat ook in op de stappen in de realisatie, waaronder (onder andere) functioneel ontwerp, opstellen business case, testen, pilots en overdracht naar beheer.

Zoals aangegeven moet dit proces nog verder in praktijk worden gebracht. Echter, uit de aanwezige documentatie van de verschillende e-health-toepassingen die tijdens het inspectiebezoek aan de orde kwamen en de gesprekken met betrokken medewerkers bleek dat relevante stappen in het implementatieproces aantoonbaar aanwezig waren.

Voor de verschillende deelprojecten zijn project charters beschikbaar. De

zorgaanbieder heeft het project charter voor het zorgpadentraject in het kader van het inspectiebezoek ter inzage gegeven. In het projectcharter zijn onder andere doelstellingen en op te leveren producten opgenomen, evenals mijlpalenplanning en projectrisico’s. Ook de projectorganisatie is in detail uitgewerkt. Eventuele risico’s komen verder aan de orde in prospectieve risicoanalyses die onderdeel zijn van de projecten.

De zorgaanbieder bleek zich bewust van de noodzaak om bij de ontwikkeling van tools het geheel van functionaliteiten en beoogd gebruik zorgvuldig af te wegen, omdat dit consequenties kan hebben voor de aan het product gestelde eisen. Dit is met name het geval als een product binnen de definitie komt van een medisch hulpmiddel.

Programma’s van eisen

De zorgaanbieder documenteert de relevante eisen en wensen voor nieuwe toepassingen in functionele ontwerpen. De inspectie heeft een voorbeeld van een functioneel ontwerp (online boeken) ingezien. Bij doorontwikkeling van producten werkt de zorgaanbieder volgens een ‘agile’ methodiek, waarbij de functioneel beheerder de eisen en wensen bijhoudt in een ‘tracking’ systeem (bijvoorbeeld bij het product Pulse).

Pagina 11 van 16

Risicoanalyses

De zorgaanbieder zorgt voor prospectieve risicoanalyses bij projecten. De

zorgaanbieder heeft hiervan in het kader van het inspectiebezoek twee voorbeelden verstrekt. Bij de risicoanalyses zijn niet altijd zorgverleners betrokken. In de

verstrekte voorbeelden valt op dat de risico’s (bijvoorbeeld ‘verkeerde zorgpad getoond’) niet zijn uitgewerkt op het niveau van de gevolgen voor cliënten. Het is daardoor denkbaar dat risico’s voor patiëntveiligheid onvoldoende onderkend worden. Wel zijn per risicomaatregelen gedefinieerd.

Training

De zorgaanbieder besteedt op verschillende manieren aandacht aan

gebruikerstraining. Daarbij probeert de zorgaanbieder steeds meer te werken met filmpjes, die men ook wil opnemen in de online leeromgeving (‘Equipe academy’).

De medewerkers van het informatiecentrum krijgen gesprekstraining; ook bij zaken als online boeken worden zij geïnformeerd over de gevolgen voor het

informatiecentrum. Bij de uitrol van zorgpaden krijgen de betrokken medewerkers uitleg via een presentatie. Hiervan heeft de zorgaanbieder diverse voorbeelden verstrekt in het kader van het inspectiebezoek. In de presentaties is informatie opgenomen over wat de cliënt te zien krijgt en wat dit betekent voor de

zorgverlener. Ook krijgt de zorgverlener informatie over waar de cliënt zo nodig voor hulp terecht kan.

Testen

Bij eigen ontwikkelingen (Pulse) zorgt de zorgaanbieder voor zowel testen van afzonderlijke eenheden als voor ketentesten. De meeste testen gebeuren handmatig aan de hand van actuele testscripts. In beperkte mate betrekt de zorgaanbieder ook de zorgverleners bij het testen. Bij nieuwe versies beoordeelt de zorgaanbieder aan de hand van release notes, welke wijzigingen getest moeten worden. Alle kritische applicaties moeten formeel worden vrijgegeven voor productie. In het kader van het inspectiebezoek heeft de zorgaanbieder enkele testresultaten ter inzage gedeeld.

Hierbij was niet steeds duidelijk wanneer en door wie een bepaalde test was uitgevoerd en volgens welk testscript (voorbeeld van online boeken).

Onderhoud en beheer

De zorgaanbieder heeft met alle belangrijke leveranciers contacten op operationeel en tactisch (bij afdeling ICT) en strategisch niveau (directie). Eens per jaar vindt een leveranciersbeoordeling plaats, ook voor infrastructuurdiensten. Er is een eigenaar aangewezen voor elk product, die de leveranciersrelatie onderhoudt.

4.3 Patiëntparticipatie Getoetste normen:

De zorgaanbieder bespreekt de keuzes over e-health met

patiëntvertegenwoordigers. De zorgaanbieder kijkt wanneer een e-health-product of e-health-dienst al dan niet geschikt is. Daarbij houdt hij rekening met de

zorgbehoefte van patiënten en de eigenschappen van het e-health-product of e-health-dienst. Patiënten krijgen voldoende informatie. Zo kunnen zij beslissen of een e-health-product of e-health-dienst past bij de zorgbehoefte. Ze zijn dus ook op de hoogte van mogelijke risico’s. De zorgaanbieder maakt duidelijk hoe patiënten hulp kunnen krijgen bij e-health-producten of e-health-diensten.

Afwezig Aanwezig Operationeel Geborgd

Patiëntparticipatie √

Pagina 12 van 16

Uitleg:

De zorgaanbieder heeft geen cliëntenraad

De zorgaanbieder heeft geen cliëntenraad en kan deze dus ook niet betrekken bij de totstandkoming of evaluatie van het e-health-beleid of bij afzonderlijke projecten.

Het instellen van een cliëntenraad is volgens de zorgaanbieder in de praktijk vooralsnog niet eenvoudig gebleken omdat cliënten gezien de aard van de geboden zorg in het algemeen niet lang in zorg zijn en geen langdurige relatie hebben tot de zorgaanbieder.

De zorgaanbieder zet middelen als panels, focusgroepen en interviews in input van cliënten te verzamelen en toetst voortdurend de klantbeleving De zorgaanbieder betrekt op andere wijze cliënten bij de ontwikkeling van

e-health-producten en e-health–diensten. Zo werkt de zorgaanbieder met panels en focusgroepen. De zorgaanbieder wil dit nog meer structureel gaan doen. In het geval van de ontwikkeling van de zorgpadenapp heeft de zorgaanbieder een gespecialiseerd bureau ingezet om diepte-interviews te doen met cliënten om te zien hoe zij het gebruik van de zorgpadenapp ervoeren en waar zij verbeteringen zagen. De interviews zijn (met toestemming van de cliënten) opgenomen en er is een uitgebreide rapportage gemaakt. In het kader van de behandeling vindt de zorgaanbieder het erg belangrijk om voortdurend de klantbeleving te toetsen, dit gebeurt met instrumenten als patient reported experience measures (prem) en patient reported outcome measures (prom).

De zorgaanbieder werkt aan het laagdrempelig aanbieden van informatie De zorgaanbieder besteedt aandacht aan het taalniveau in informatiemateriaal voor cliënten en maakt ook filmpjes om informatie beter over te brengen.

Tijdens het inspectiebezoek sprak de inspectie met een cliënt die zelf gebruik had gemaakt van de zorgpadenapp. Zij had de app als duidelijk en toegankelijk ervaren.

De app bevat frequently asked questions die voldoende informatie gaven. Zij gaf ook aan dat bij het inloggen tweefactor-authenticatie wordt toegepast.

In het geval van vragen en problemen kunnen cliënten terecht bij het klantinformatiecentrum.

4.4 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens

Getoetste normen:

De zorgaanbieder kent de andere zorgaanbieders met wie hij samen zorg levert aan patiënten. Hij spreekt met hen de (zorginhoudelijke) informatie af die daarbij nodig is. Hij regelt dat de zorgverleners deze informatie kunnen uitwisselen. De

zorgaanbieder legt afspraken over elektronische uitwisseling vast. De zorgaanbieder vraagt de patiënt toestemming voor elektronische uitwisseling als dat moet. De zorgaanbieder regelt samen met de mede-zorgaanbieders in de regio de medicatieoverdracht.

Afwezig Aanwezig Operationeel Geborgd Samenwerken in het netwerk en

elektronisch uitwisselen van

gegevens √

Pagina 13 van 16

Uitleg:

(Regionale) samenwerking

De informatie-uitwisseling met andere zorgaanbieders is beperkt omdat er weinig structurele samenwerkingsverbanden zijn. Aangezien de zorgaanbieder niet op een specifieke regio is gericht, neemt hij niet deel aan een regionale

samenwerkingsorganisatie voor informatie-uitwisseling.

Bestaande informatie-uitwisseling

De zorgaanbieder heeft een aansluiting op het Landelijk Schakelpunt voor toegang tot actuele medicatie-overzichten voor patiënten die hiervoor toestemming hebben gegeven. Verwijzingen vanuit de eerste lijn komen binnen via Zorgdomein en verslagen naar huisartsen lopen via edifact/Zorgmail. Het rapporteren van beeldvormende diagnostiek vanuit het MRI-centrum verloopt elektronisch, men is nog bezig het gehele proces (inclusief aanvragen) volledig te automatiseren. In 2022 wil de zorgaanbieder aansluiten bij Twiin voor het uitwisselen van beelden en verslagen. Ook neemt de zorgaanbieder deel aan het programma VIPP 5 (dat onder andere het uitwisselen van de basisgegevensset zorg mogelijk maakt).

Laboratoriumuitslagen gaan via de post. Er is een actueel architectuuroverzicht waarin koppelingen zijn opgenomen.

Er is geen vast beleid/werkwijze om (al dan niet) elektronische koppelingen te regelen met partijen waarmee de zorgaanbieder geen structurele relatie mee heeft.

Vaststellen van de behoefte aan informatie-uitwisseling

Intern is er overleg tussen de coördinatoren van de medisch specialistische staf, de medisch directeur en de manager kwaliteit en veiligheid. Eventuele aanvullende eisen en wensen voor elektronische gegevensuitwisseling komen op deze manier naar voren. Een overzicht van eisen en wensen voor elektronische

gegevensuitwisseling ontbrak.

Vastlegging afspraken

De zorgaanbieder zorgt voor verwerkersovereenkomsten indien nodig. Een

voorbeeld van een verwerkersovereenkomst is in het kader van het inspectiebezoek voorgelegd aan de inspectie.

4.5 Informatiebeveiliging en continuïteit Getoetste normen:

Informatiebeveiliging: de Raad van Bestuur heeft gezorgd voor het inrichten, invoeren, onderhouden en aldoor verbeteren van een managementsysteem voor informatiebeveiliging. De organisatie heeft een continuïteitsstrategie afgesproken, gedocumenteerd, ingevoerd en getest.

Afwezig Aanwezig Operationeel Geborgd Informatiebeveiliging en

continuïteit √

Pagina 14 van 16

Uitleg:

De zorgaanbieder heeft een verbetertraject op het gebied van

informatiebeveiliging uitgevoerd, maar nog niet afgesloten met een nieuwe onafhankelijke beoordeling

In mei 2019 heeft de zorgaanbieder een onafhankelijke beoordeling laten doen van het managementsysteem voor informatiebeveiliging op basis van de norm NEN 7510. Hieruit bleek dat de zorgaanbieder op een groot aantal (veertig) punten niet voldeed aan de norm (score rood op schaal groen-geel-rood). Er was geen

aantoonbaar werkende plan-do-check-act (PDCA)-cyclus.

De zorgaanbieder heeft vervolgens een project ingericht om tot verbeteringen te komen. Twee medewerkers zijn intern geschoold over de inhoud van de norm en het inrichten van een managementsysteem voor informatiebeveiliging. De

zorgaanbieder heeft diverse verbeteringen in gang gezet. Deze waren onder andere gericht op betere registratie van bijvoorbeeld het backup-restore- en

wachtwoordbeleid, procedures rondom uitgifte van hardware en bewustwording van personeel. Ook is aandacht geweest voor pentesten en een phishingactie, om operationele risico’s in beeld te krijgen. Daarnaast is gecontroleerd op de aanwezigheid van certificaten van partners.

De manager kwaliteit en veiligheid en de manager ICT gaven tijdens het bezoek aan dat de coronacrisis de aandacht voor het verder verbeteren van het

managementsysteem voor informatiebeveiliging tijdelijk naar de achtergrond had verdrongen. Zij gaven aan te verwachten in het vierde kwartaal 2021 tot een werkende PDCA-cyclus te komen en schatten in dat de organisatie door de ingevoerde verbeteringen in de bestaande situatie geen grote risico’s loopt. Een nieuwe onafhankelijke beoordeling om de status na de verbeteringen vast te stellen had op het moment van het inspectiebezoek nog niet plaats gevonden.

De zorgaanbieder heeft diverse maatregelen genomen op het gebied van continuïteit; er zijn geen directe instructies of basisregels bij uitval voor personeel op locaties

De zorgaanbieder heeft diverse maatregelen genomen om de continuïteit te

waarborgen. Er is een continuïteits- en calamiteitenplan. De zorgaanbieder gaf aan na een verstoring binnen 24 uur weer met alle systemen weer operationeel te kunnen zijn. Er is een tweede datacenter waarin de belangrijkste systemen dubbel zijn uitgevoerd. Ook is er een back-up schema. Er is een draaiboek waarin de volgorde is vastgelegd waarin systemen weer live moeten komen. Op de

OK-complexen zijn formulieren aanwezig om in geval van nood tijdelijk te kunnen registreren. Tijdens het bezoek bleek dat er geen directe instructies of basisregels zijn voor personeel op locaties hoe te handelen tijdens een storing⁵, bijvoorbeeld over het stoppen of voortzetten van het OK-programma. Hiervoor vertrouwt men op de bestaande interne samenwerkingsstructuur en afstemming met de

leidinggevende en/of regiomanager.

5 NB: na het inspectiebezoek heeft de zorgaanbieder aangegeven over te gaan tot de introductie van posters voor op de werkvloer. Deze posters zullen puntsgewijs de te maken afwegingen benoemen, inclusief het ‘wat te doen’ per scenario.

Pagina 15 van 16

Bijlage 1: Algemene uitleg van de beoordelingen

Niveau Uitleg

Afwezig De zorgaanbieder besteedt niet aantoonbaar aandacht aan het onderwerp en/of heeft geen herkenbaar proces. Er ligt niets vast.

Aanwezig De zorgaanbieder besteedt aantoonbaar aandacht aan het onderwerp. Er kan een gedocumenteerd proces zijn, maar in de praktijk kent niet iedereen dit. Of medewerkers volgen het niet altijd.

Operationeel De zorgaanbieder heeft een gedocumenteerd proces.

Medewerkers kennen dit en volgen het ook.

Geborgd De zorgaanbieder heeft een gedocumenteerd proces.

Medewerkers kennen dit en volgen het ook. De zorgaanbieder kijkt naar de resultaten en brengt verbeteringen aan waar mogelijk.

Pagina 16 van 16

Bijlage 2: Overzicht van documenten die zijn bestudeerd

In het kader van het inspectiebezoek heeft de inspectie de volgende documenten bestudeerd:

- ‘We deliver the right care’ – Equipe Zorgbedrijven – Strategy briefing, maart 2021

- E-health – visiedocument voor Equipe Zorgbedrijven, geen datum bekend - Digitalisering Equipe – van idee naar oplossing, mei 2021

- Status roadmap digitalisering – Digitalisering Equipe, juni 2021

- Health failure mode and effect analysis (HFMEA-light) zorgpadenapp, maart 2021

- Gap-analyse NEN 7510 Equipe Zorgbedrijven + bijlage, mei 2019 - Gebruikersovereenkomst vZVZ, april 2019

- Xpert Clinics Hand- en Polszorg – Digital self-diagnostics and triage, februari/juli 2021

- Online boeken in Emma – functioneel ontwerp, januari 2021 - Testresultaat online boeken, juni 2021

- Projectcharter zorgpaden, datum onbekend - Risicoanalyse zorgpadenapp, juli 2021

- Equipe Zorgbedrijven – gebruikersonderzoek zorgpaden, januari 2021 - Equipe zorgpad highlight video, januari 2021

- Equipe zorgpaden test formulier, juli 2021

- Online zorgpaden – Mijn zorgpad borstvergroting/-lift, juni 2021

- Livegang Mijn Xpert Clinics – Online zorgpaden – Mijn Xpert Clinics zorgpad knie, april 2021

- Livegang zorgpaden proctologie – digitale zorgpaden proctologie, juni 2021 - Jouw ‘Mijn Velthuis kliniek’ omgeving, datum onbekend

- Uw ‘Mijn Xpert Clinics omgeving’, datum onbekend - Notitie ‘Pulse’, juli 2021