Rapport van het inspectiebezoek in het kader van het toezicht op e-health aan Stichting Amerpoort op 13 januari XX XXX Utrecht, 8 maart 2021

Rapport van het inspectiebezoek in het kader van het toezicht op e-health aan

Stichting Amerpoort op 13 januari 2021 XXX XX

Utrecht, 8 maart 2021

Pagina 2 van 15

Inhoud

Inhoud ... 2

1 Inleiding ... 3

1.1 Aanleiding en belang ... 3

1.2 Onderzoeksvragen... 3

1.3 Onderzoeksmethode en toetsingskader ... 4

2 Conclusie... 6

3 Handhaving ... 7

3.1 Maatregelen ... 7

3.2 Aanbevelingen ... 7

3.3 Vervolgacties inspectie ... 7

4 Resultaten ... 8

4.1 Goed bestuur en verantwoord innoveren... 8

4.2 Invoering en gebruik van e-health-producten en -diensten ... 9

4.3 Patiëntparticipatie ... 10

4.4 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens11 4.5 Informatiebeveiliging en continuïteit... 12

Bijlage 1: Algemene uitleg van de beoordelingen... 14

Bijlage 2: Overzicht van documenten die zijn bestudeerd ... 15

Pagina 3 van 15

1 Inleiding

De Inspectie Gezondheidszorg en Jeugd (de inspectie) bezocht op 13 januari 2021 de Stichting Amerpoort, locatie Nieuwenoord te Baarn (hierna: de zorgaanbieder).

Het onderwerp van het bezoek was de inzet van informatie- en

communicatietechnologie in de zorg. Dit heet ook wel ‘e-health’ of ‘digitale zorg’.

De inspectie toetste of de zorgaanbieder bij het gebruik van e-health zorgt voor de nodige voorwaarden voor goede en veilige zorg, die volgen uit wetten, (veld)normen en richtlijnen op dit gebied.

1.1 Aanleiding en belang

Onder e-health verstaat de inspectie: de inzet van hedendaagse informatie- en communicatietechnologie (ICT), in het bijzonder internettechnologie, om de gezondheid en gezondheidszorg te ondersteunen of te verbeteren.

Voorbeelden hiervan zijn elektronische patiëntendossiers (EPD’s) en elektronische uitwisseling van gegevens. Met e-health bedoelt de inspectie dus ook de meer traditionele zorg-ICT. Maar ook patiëntenportalen, medische apps, monitoring van chronische patiënten op afstand, en inzet van online behandeling of begeleiding.

De inspectie is positief over de mogelijkheden die e-health kan bieden. E-health kan de zorg minder laten afhangen van tijd en plaats. Ook kan het de communicatie tussen patiënt (of cliënt/bewoner) en zorgverlener helpen. En die tussen

zorgverleners. Dit wordt belangrijker nu de patiënt vaker te maken krijgt met een netwerk van zorgaanbieders.

Tegelijk vindt de inspectie het belangrijk dat de inzet van e-health doordacht gebeurt. Ook bij de inzet van e-health moet de zorgaanbieder de kwaliteit en veiligheid van de zorg bewaken. Vooral grote organisaties leunen steeds meer op e-health. Dat vraagt erom dat de zorgaanbieder zorgt voor goede voorwaarden in de organisatie.

De nieuwe mogelijkheden kennen helaas ook risico’s. Denk bijvoorbeeld aan de uitval van systemen, fouten ontstaan door systeemupdates of gebruikersfouten. Ook ontwikkelen de wetgeving en normering zich verder. Denk aan de wet ‘aanvullende bepalingen verwerking persoonsgegevens in de zorg’, die in juli 2017 is ingegaan.

Sinds het najaar van 2017 kijkt de inspectie bij zorgaanbieders naar e-health.

Daarbij toetst de inspectie of de zorgaanbieder zorgt voor de goede randvoorwaarden voor digitale zorg. De inspectie komt onder andere bij ziekenhuizen en aanbieders van verpleging en verzorging, geestelijke gezondheidszorg of gehandicaptenzorg.

In het toezicht op e-health betrekt de inspectie verschillende wetten, veldnormen en richtlijnen op het gebied van ICT in de zorg (zie 1.3).

1.2 Onderzoeksvragen

Het doel van het bezoek was om te toetsen of de zorgaanbieder bij de inzet van informatie- en communicatietechnologie (e-health) zorgt voor de nodige

voorwaarden voor goede en veilige zorg, die volgen uit wetten, (veld)normen en richtlijnen op dit gebied.

Pagina 4 van 15

1.3 Onderzoeksmethode en toetsingskader

Bij het bezoek gebruikte de inspectie een toetsingskader, dat is gepubliceerd op de website van de IGJ¹.

Een toetsingskader moet praktisch bruikbaar zijn. Daarom heeft de inspectie tijdens het bezoek gekeken naar de volgende vijf onderwerpen. Daarin zijn de

verschillende normen en richtlijnen meegenomen.

Onderwerp Uitleg Goed bestuur en

verantwoord innoveren

Het bestuur van de zorgaanbieder moet ‘in control’ zijn, ook op het gebied van e-health. Dit vraagt om een helder en gedragen beleid. Het bestuur moet de verantwoordelijkheden goed regelen bij inzetten van technische innovaties, zoals e-health. Ook een goede inrichting van de besluitvorming hoort daarbij.

Invoering en gebruik van e-health-

producten en -diensten

De zorgaanbieder moet bij invoering en gebruik van e-health-producten en -diensten zorgen voor goede voorwaarden. De zorgaanbieder zorgt bijvoorbeeld voor duidelijke eisen aan producten en diensten. Ook moet de zorgaanbieder goed omgaan met mogelijke risico’s.

Belangrijke voorwaarden zijn verder goede training, goed testen en goed onderhoud.

Patiëntparticipatie De patiëntenzorg wordt steeds afhankelijker van e-health. Daarom is het belangrijk dat de zorgaanbieder de cliëntenraad raadpleegt over het beleid. De

zorgaanbieder kijkt hoe geschikt e-health-producten en -diensten zijn voor patiënten. Ook zorgt de

zorgaanbieder voor goede informatie en begeleiding voor patiënten.

Samenwerken in het netwerk en

elektronisch vastleggen en uitwisselen van gegevens

E-health kan andere vormen van samenwerken mogelijk maken tussen zorgverleners. Daarbij is het belangrijk dat de zorgaanbieder duidelijke afspraken maakt met andere zorgaanbieders over digitale samenwerking.

Daarbij moet de zorgaanbieder zorgen voor goede organisatorische en technische maatregelen.

Informatiebeveiliging

en continuïteit De groeiende afhankelijkheid van ICT vraagt erom dat de organisatie zorgt voor de continuïteit. Daar horen goede afspraken en maatregelen bij voor

informatiebeveiliging.

1 Zie https://www.igj.nl/documenten/toetsingskaders/2018/11/15/toetsingskader-inzet-van-e- health-door-zorgaanbieders

Pagina 5 van 15

De inspectie heeft het bezoek kort van tevoren bekend gemaakt. Dit was nodig om de zorgaanbieder de mogelijkheid te geven gesprekspartners vrij te maken. Ook heeft de inspectie gevraagd om een aantal documenten ter voorbereiding op te leveren. Een overzicht staat in bijlage 2 van dit rapport.

Tijdens het bezoek heeft de inspectie met verschillende betrokkenen gesproken over de thema’s van het toetsingskader. Dit waren personen in de volgende rollen:

- Voorzitter raad van bestuur;

- Directeur service organisatie;

- Directeur divisie zorg;

- Directeur expertise centrum;

- Projectleider invoering cliënten- en verwantenportaal;

- Beleidsmedewerker;

- Coördinerend begeleider / coördinerend begeleider nachtzorg;

- Praktijkverpleegkundige;

- Arts Verstandelijk Gehandicapten;

- Vertegenwoordiger namens Centrale Cliënten Raad;

- Clustermanager;

- Regievoerder I&A;

- Beheerder domotica;

- Manager nachtzorg;

- Manager gezondheidscentrum.

Ook heeft de inspectie tijdens het bezoek twee e-health-toepassingen . Het gaat om de volgende toepassingen:

1. Cliënten- en verwantenportaal

Sinds november 2020 hebben wettelijk vertegenwoordigers (verwanten) van wilsonbekwame cliënten via het Plancare-portaal inzage in het

cliëntendossier. Daarvoor is in het voorjaar van 2020 een pilot uitgevoerd onder een beperkt aantal wettelijk vertegenwoordigers, waarna het gebruik ervan is uitgebreid. Daarnaast wordt een breder in te zetten oplossing (EVA-app) voorbereid. Deze laatste app biedt meer mogelijkheden om de inhoud van het portaal af te stemmen op de doelgroep.

2. Domotica

De zorgaanbieder gebruikt domotica voor de monitoring van cliënten, bijvoorbeeld in de nacht. De toepassing van domotica heeft zich in de afgelopen jaren geleidelijk ontwikkeld.

De resultaten van het inspectiebezoek staan in hoofdstuk 4 van dit rapport.

De beoordeling bij elk onderwerp volgt een vierpuntsschaal: afwezig, aanwezig, operationeel, geborgd. Zie bijlage 1 voor een uitleg over deze begrippen.

Pagina 6 van 15

2 Conclusie

De inspectie concludeert dat de zorgaanbieder bij de inzet van ICT in de zorg (e-health) grotendeels zorgt voor de juiste randvoorwaarden voor goede en veilige zorg.

De inspectie komt tot de volgende deelconclusies:

De zorgaanbieder gebruikt een heldere programmaorganisatie om (digitale) voorzieningen en innovaties mogelijk te maken

De zorgaanbieder heeft een gedocumenteerd beleid op het gebied van ICT en e-health. Voor het realiseren van de doelstellingen in het beleid heeft de

zorgaanbieder een programmaorganisatie ingericht. Binnen die structuur zijn alle relevante partijen vertegenwoordigd en betrokken, behalve cliënten en hun verwanten.

Er is aandacht voor belangrijke invoeringsaspecten van e-health. Dit kan nog wel meer uniform en gestandaardiseerd.

De zorgaanbieder heeft aandacht voor invoeringsaspecten van e-health producten en diensten. Dit is bijvoorbeeld het geval bij testen, trainen en het aandacht geven aan risico’s. Nog niet altijd is er sprake van een uniform proces.

De zorgaanbieder betrekt op projectniveau het cliëntperspectief bij de invoering en het gebruik van e-health

De zorgaanbieder heeft aandacht voor wensen en behoeften van cliënten en de geschiktheid van e-health toepassingen. Cliënten en verwanten krijgen informatie over relevante ontwikkelingen. Binnen de programmaorganisatie hebben zij echter nog geen formele rol of structuur om invloed uit te oefenen.

De zorgaanbieder geeft aandacht aan gegevensuitwisseling, kent haar partners en gebruikt de hiervoor gangbare informatiediensten

De zorgaanbieder heeft goed in beeld met welke partners informatie uitgewisseld moet worden. Verbeterpunten in de informatie-uitwisseling, zoals een aansluiting op het Landelijk Schakelpunt, worden waar mogelijk aangepakt.

De zorgaanbieder kan niet in voldoende mate aantonen dat de informatiebeveiliging voldoet aan de norm

De bestaande beoordeling van het managementsysteem voor informatiebeveiliging gaat in op privacy-aspecten, maar niet in voldoende mate op de status van de beheersmaatregelen in het kader van informatiebeveiliging. De zorgaanbieder werkt aan versterking van het managementsysteem voor informatiebeveiliging en heeft hiervoor een verbeterplan. In het plan ontbreken elementen die voor een

implementatie van de NEN 7510 wel noodzakelijk zijn. De zorgaanbieder heeft voldoende maatregelen genomen voor het borgen van de continuïteit.

Pagina 7 van 15

3 Handhaving

3.1 Maatregelen

Richt de informatiebeveiliging in 2021 aantoonbaar in volgens NEN 7510 Zorgaanbieders zijn wettelijk verplicht te voldoen aan de NEN 7510; de kern hiervan is dat een organisatie een lerend managementsysteem heeft op het gebied van informatiebeveiliging dat leidt tot regelmatige evaluatie en verbetering van de informatiebeveiliging. Een belangrijk onderdeel daarvan is dat de zorgaanbieder met regelmaat een onafhankelijke beoordeling laat doen die inzicht geeft in de status van de benodigde beheersmaatregelen. Op basis hiervan kan de organisatie vervolgens verbeteringen doorvoeren. Zie paragraaf 3.3 voor de bijbehorende vervolgactie.

3.2 Aanbevelingen

De inspectie geeft de volgende punten van verbetering aan:

Overweeg een formele structuur en/of rol voor cliënten en verwanten in de programmaorganisatie

In de programmaorganisatie heeft de doelgroep formeel nog geen rol. Als de zorgaanbieder ook voor cliënten relevante activiteiten toevoegt, is dat wel aan te bevelen. Dat is bijvoorbeeld het geval bij apps voor cliënten en het portaal.

Betrokkenheid binnen de programmaorganisatie kan bijdragen aan een betere aansluiting tussen de plannen van de organisatie en de wensen, behoeften en mogelijkheden van cliënten.

Maak het proces van invoering van e-health producten en diensten meer uniform

De zorgaanbieder maakt gebruik van alle elementen die bijdragen aan goede invoering, zoals pakketten van eisen, risico-analyses en het trainen van gebruikers.

Dit gebeurt niet altijd volgens een standaard en navolgbaar proces. Door standaard projectdocumentatie en checklists kan de zorgaanbieder dit aanpakken.

De inspectie verwacht dat de Raad van Bestuur actie onderneemt op de genoemde punten.

3.3 Vervolgacties inspectie

De inspectie verwacht uiterlijk 16 april 2021 een aangepast plan van aanpak voor de implementatie van NEN7510 in de organisatie. Vervolgens verwacht de inspectie uiterlijk 1 maart 2022 de resultaten van een onafhankelijke beoordeling zoals aangegeven in NEN 7510. Zoals in de NEN 7510 beschreven moet deze beoordeling worden uitgevoerd door personen met een onafhankelijke positie ten opzichte van het te beoordelen gebied, bijv. door de interne auditor, een onafhankelijke manager of een externe organisatie die gespecialiseerd is in dergelijke beoordelingen. De beoordeling moet voldoende duidelijk maken wat de status is per categorie van beheersmaatregelen (zoals aangegeven in bijlage A van de NEN 7510). Indien de inhoud van de beoordeling hiertoe aanleiding geeft, dan verwacht de inspectie ook een overzicht van verdere maatregelen.

Overige zaken volgt de inspectie op in het reguliere toezicht.

Pagina 8 van 15

4 Resultaten

4.1 Goed bestuur en verantwoord innoveren Getoetste normen:

- De raad van bestuur heeft de controle over de e-health-ontwikkelingen.

De zorgaanbieder heeft een beleid voor e-health en heeft hierbij de mensen betrokken die er belang bij hebben. Hij heeft taken en

verantwoordelijkheden belegd in de organisatie. Hij regelt een duidelijke besluitvorming. De zorgaanbieder heeft aandacht voor risicomanagement en kwaliteitsborging van de e-health/ICT-omgeving. Het bestuur krijgt

stuurinformatie.

Afwezig Aanwezig Operationeel Geborgd Goed bestuur en verantwoord

innoveren √

Uitleg:

De zorgaanbieder heeft een beleid op het gebied van ICT en e-health: een heldere programmaorganisatie helpt bij het borgen van digitale initiatieven De zorgaanbieder heeft een gedocumenteerd beleid op het gebied van ICT en e-health. Tot enkele jaren terug was de aansluiting van zorg op ICT niet naar tevredenheid. Bovendien waren er veel basiszaken op ICT gebied nog niet op orde.

Het huidige beleid moet daar verandering in brengen. De zorgaanbieder richtte daarvoor in 2020 een programmaorganisatie in. In deze organisatie betrekt de zorgaanbieder alle relevante onderdelen uit de organisatie. Langs drie lijnen worden activiteiten binnen het programma uitgevoerd: continu verbeteren

(procesverbeteringen), themagericht vernieuwen (diverse infrastructurele verbeteringen) en grotere projecten, zoals de vernieuwing van het ECD. De zorgaanbieder heeft nog niet alle projecten met een digitale component in deze programmaorganisatie opgenomen. Dit is wel het streven, het programma is gestart in 2019 en relatief nieuw. De verandering van structuur is desondanks al wel

herkenbaar binnen de organisatie. Over het programma vindt regelmatig overleg plaats en er is voorzien in rapportages over de voortgang. Ook is er een duidelijke relatie met de budgetteringscyclus gelegd.

De zorgaanbieder heeft verantwoordelijkheden voor ICT en e-health helder belegd

Deels gebeurt dit via de programmaorganisatie, deels via de staande organisatie, zoals de serviceorganisatie. De zorgaanbieder neemt deel aan een groot

samenwerkingsverband, samen met andere zorgaanbieders. De zorgaanbieder neemt een groot deel van de ICT diensten van dit samenwerkingsverband af. Door vertegenwoordiging op zowel strategisch, tactisch als operationeel niveau heeft de zorgaanbieder invloed op dit samenwerkingsverband. Door de overdracht van de beheerstaken naar dit shared service center heeft de afdeling informatisering en automatisering in de afgelopen jaren de verandering ingezet van

ICT- beheerorganisatie naar een meer regievoerende rol.

Pagina 9 van 15

De zorgaanbieder neemt besluiten over ICT en e-health via een duidelijke structuur, maar het selectieproces voor initiatieven is afhankelijk van de te verwachten impact

Besluiten over digitale ontwikkelingen vinden plaats binnen de genoemde

programmaorganisatie. Of bepaalde initiatieven doorgang vinden, is afhankelijk van diverse criteria. Het selectieproces wordt afgestemd op de impact van de beoogde oplossing. Wel betrekt de zorgaanbieder alle relevante partijen. Binnen de

programmaorganisatie zijn cliënten en verwanten formeel niet vertegenwoordigd.

Zodra activiteiten die rechtstreeks betrekking hebben op cliënten en verwanten een plaats krijgen in het programma, is die betrokkenheid wel voorzien. Bijvoorbeeld bij cliënten apps, of het cliënt- en verwantenportaal, waar op projectniveau al wel cliënten en verwanten betrokken zijn.

De zorgaanbieder besteedt aandacht aan risico’s en de impact van ICT en e-health activiteiten

Dat gebeurt zowel binnen de programmaorganisatie als daarbuiten. Via kwartaalrapportages is er zicht op belangrijkste aandachtspunten en genomen maatregelen. Als belangrijke risico’s gelden niet alleen projectrisico’s (tijd, capaciteit, budget) maar ook de impact en risico’s voor de zorg. De inhoudelijke adviescommissie binnen het programma speelt hier ook een belangrijke rol bij.

4.2 Invoering en gebruik van e-health-producten en -diensten Getoetste normen:

- De zorgaanbieder heeft een proces afgesproken voor de invoering van e-health-producten of -diensten. Hij brengt daarbij de nodige experts samen. De zorgaanbieder stelt programma’s van eisen op. De zorgaanbieder doet risicoanalyses. Hij zorgt voor training van gebruikers en testen van producten en diensten voor het in gebruik nemen. Ook regelt de

zorgaanbieder het onderhoud.

Afwezig Aanwezig Operationeel Geborgd Invoering en gebruik van e-health-

producten en -diensten √

Uitleg:

Belangrijke elementen voor aanschaf en invoering van e-health zijn aanwezig, maar een uniforme aanpak hiervan ontbreekt

Een meer uniforme aanpak van onder meer het stellen van eisen, omgaan met risico’s en ook het uitfaseren/afschaffen van producten heeft zich nog niet

ontwikkeld. Als de zorgaanbieder producten niet meer gebruikt, kunnen ze worden uitgefaseerd.

Pakketten van eisen vergen aandacht

Voor kritische applicaties en grote investeringen, zoals de selectie van een nieuw ECD, stelt de zorgaanbieder altijd een pakket van eisen op. Voor digitale producten en diensten waarbij er sprake is van ‘vendor lock-in’ en geen alternatieven op de markt zijn, gebeurt dit niet. Voor aanschaf van minder kritische producten met geringe waarde stelt de zorgaanbieder een meer pragmatisch eisenpakket op. Bij domotica was sprake van een al vrij gedateerd pakket van eisen (2013), waarbij de eisen en wensen zich in de loop der tijd verder hebben ontwikkeld. De

zorgaanbieder heeft die nadere eisen en wensen nog niet vastgelegd. Bij een volgende selectie van domotica zal dit wel aan de orde zijn. De contractperiode met de huidige leverancier loopt af.

Pagina 10 van 15

De zorgaanbieder heeft aandacht voor risico’s, dit kan wel meer uniform De zorgaanbieder heeft aandacht voor de risico’s van het in gebruik nemen van digitale producten of diensten. Dat gebeurt bijvoorbeeld in de vorm van een PIA (privacy impact assessment) bij het portaal, of door af te stemmen met collega’s met meerdere disciplines. Hoewel de zorgaanbieder hier aandacht aan geeft, is er geen algemene of standaard aanpak voor het in kaart brengen van en acteren op gesignaleerde risico’s.

Voldoende aandacht voor testen, trainen en onderhoud

Na wijziging van digitale producten doen het samenwerkingsverband waarin de zorgaanbieder deelneemt of betrokken leveranciers technische testen. Het testen van functionaliteit na wijzigingen gebeurt onder meer door de afdeling functioneel applicatiebeheer van de zorgaanbieder. Ook actieve gebruikers, zoals bij het portaal, testen mee. Aandacht voor training en opleiding van medewerkers is er, bijvoorbeeld in het inwerkprogramma. Ook is er, zoals bij domotica, sprake van training on the job: ervaren collega’s die nieuwe collega’s wegwijs en vertrouwd maken met het uitluisteren van signalen. Bij eenvoudige, zeer gebruiksvriendelijke oplossingen is training niet altijd noodzakelijk. Voor het gebruik van het portaal heeft de zorgaanbieder bijvoorbeeld vooral veel instructiemateriaal voor alle betrokkenen ontwikkeld. Medewerkers kunnen met gebruikersvragen terecht bij de helpdesk; cliënten en wettelijke vertegenwoordigers kunnen via e-mail

ondersteuning vragen aan de afdeling functioneel applicatiebeheer. De

zorgaanbieder heeft contact met aanbieders van digitale producten en diensten en bewaakt het nakomen van contractafspraken.

4.3 Patiëntparticipatie Getoetste normen:

De zorgaanbieder bespreekt de keuzes over e-health met

patiëntvertegenwoordigers. De zorgaanbieder kijkt wanneer en e-health-product of -dienst wel of niet geschikt is. Daarbij houdt hij rekening met de zorgbehoefte van patiënten en de eigenschappen van de e-health-dienst. Patiënten krijgen voldoende informatie. Zo kunnen zij beslissen of een e-health-product of -dienst past bij hun zorgbehoefte. Ze zijn dus ook op de hoogte van mogelijke risico’s. De zorgaanbieder maakt duidelijk hoe patiënten hulp kunnen krijgen bij e-health.

Afwezig Aanwezig Operationeel Geborgd

Patiëntparticipatie √

Uitleg:

De zorgaanbieder betrekt het perspectief van cliënten bij digitale ontwikkelingen, maar nog niet via een structuur binnen de

programmaorganisatie

De zorgaanbieder heeft op meerdere niveaus contact met cliënten en hun

vertegenwoordigers, zowel bestuurlijk als meer op projectniveau. De betrokkenheid van cliënten in de programmaorganisatie is niet structureel. Vanuit de cliënt- en verwantenvertegenwoordiging signaleert men dat de zorgaanbieder op het gebied van ICT en de organisatie goede stappen zet. Wel zijn volgens de cliënt- en verwantenvertegenwoordiging twee onderwerpen van groot belang bij digitale ontwikkelingen: laagdrempelige communicatie naar cliënten en de evaluatie van de ervaringen die cliënten hebben.

Pagina 11 van 15

De zorgaanbieder kijkt naar de geschiktheid van digitale toepassingen voor cliënten

Binnen de verschillende projecten is aandacht voor de geschiktheid van digitale producten en diensten voor cliënten. Een voorbeeld is het eerste portaal. Bij dit product was vrijwel geen maatwerk mogelijk. Om die reden koos men dit aan te bieden aan (de wettelijke vertegenwoordigers van) wilsonbekwame cliënten. Bij wilsbekwame cliënten is meer maatwerk van belang en biedt de zorgaanbieder een andere oplossing aan. Het onderzoeken van de ervaringen van cliënten en hun verwanten gebeurt niet structureel. Men is voornemens dit rondom het portaal wel te organiseren. Ook bij domotica is dit het geval. Hier beschrijft de zorgaanbieder in duidelijke procedures hoe besloten wordt over camera’s en andere

vrijheidsbeperkende maatregelen, in afstemming met cliënt en/of

vertegenwoordiger. De procedure beschrijft onder andere de afweging om tot cameratoezicht over te gaan, met aandacht voor doel, toestemming en verantwoordelijkheid. Ook het uiteindelijk afschaffen is een expliciete stap.

Overigens constateerde de zorgaanbieder dat er nog camera’s (weliswaar buiten gebruik) hangen waar die niet nodig zijn. Door aanscherping van het Beleid Camerabewaking worden tijdelijke camera's momenteel weggehaald of wordt verlenging vastgelegd.

4.4 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens

Getoetste normen:

De zorgaanbieder kent de andere zorgaanbieders met wie hij samen zorg levert aan patiënten. Hij spreekt met hen de (zorginhoudelijke) informatie af die daarbij nodig is. Hij regelt dat de zorgverleners deze informatie kunnen uitwisselen. De

zorgaanbieder legt afspraken over elektronische uitwisseling vast. De zorgaanbieder vraagt de patiënt toestemming voor elektronische uitwisseling als dat moet. De zorgaanbieder regelt samen met de mede-zorgaanbieders in de regio de medicatieoverdracht.

Afwezig Aanwezig Operationeel Geborgd Samenwerken in het netwerk en

elektronisch uitwisselen van

gegevens √

Uitleg:

De zorgaanbieder geeft aandacht aan gegevensuitwisseling, kent zijn partners en gebruikt de hiervoor gangbare informatiediensten

De zorgaanbieder heeft in beeld met welke ketenpartners informatie uitgewisseld moet worden. Het gaat dan bijvoorbeeld om gemeenten, verzekeraars en meer medisch inhoudelijk om huisartsenposten, huisartsen in de wijk, apotheken en dergelijke. Voor veel van deze partijen maakt de zorgaanbieder gebruik van landelijke informatiediensten, zoals Vecozo, Zorgmail en het Landelijk Schakelpunt (LSP). Er is een architectuurplaat van de organisatie en haar omgeving.

Met de ketenpartners is overleg, zoals met de huisartsenposten rondom aansluiting op het LSP, en met een coöperatie van huisartsen. Overleg met een regionaal samenwerkingsverband, zoals bijvoorbeeld een Regionale Samenwerkings Organisatie als Trijn (regio Utrecht), vindt nog niet plaats.

Pagina 12 van 15

De zorgaanbieder pakt waar mogelijk beperkingen in de informatie- uitwisseling aan

De zorgaanbieder heeft veel tijd en energie besteed aan het digitaliseren van de medicatieoverdracht samen met ketenpartners. Een groot deel daarvan verloopt nu digitaal. Aan de uitbreiding wordt nog gewerkt, onder andere door aansluiting op het LSP, ook voor andere medische gegevens dan medicatie.

De zorgaanbieder heeft te maken met beperkingen bij de uitwisseling van gegevens.

Dit zijn vaak landelijke problemen die de zorgaanbieder alleen niet kan oplossen.

Een voorbeeld is het overnemen van een cliëntdossier door het

gezondheidscentrum; dit komt via een grote PDF binnen, in plaats van een gestructureerd bericht of document. Dit kost erg veel tijd en is foutgevoelig. Een andere uitdaging is het niet koppelbaar zijn van systemen, zoals het ECD en het door het gezondheidscentrum gebruikte HIS (huisartsinformatiesysteem).

4.5 Informatiebeveiliging en continuïteit Getoetste normen:

Informatiebeveiliging: het bestuur heeft gezorgd voor het inrichten, invoeren, onderhouden en aldoor verbeteren van een managementsysteem voor

informatiebeveiliging. De organisatie heeft een continuïteitsstrategie afgesproken, gedocumenteerd, ingevoerd en getest.

Afwezig Aanwezig Operationeel Geborgd Informatiebeveiliging en

continuïteit √

Uitleg:

De bestaande beoordeling van het managementsysteem voor

informatiebeveiliging en het verbeterplan missen elementen die nodig zijn voor implementatie van de NEN 7510.

De zorgaanbieder beschikt over een informatiebeveiligingsbeleid. Dit beleid loopt synchroon met het beleid van de samenwerkingsorganisatie, waarvan men een groot aantal ICT diensten afneemt. De samenwerkingsorganisatie beschikt over een ISO 27001-certificaat voor de informatiebeveiliging. Dit dekt echter niet alle eigen verantwoordelijkheden van de zorgaanbieder af. De functionaris

gegevensbescherming van de samenwerkingsorganisatie heeft bij de zorgaanbieder een nul- en een vervolgmeting gedaan naar de stand van zaken op het onderwerp gegevensbescherming (in het kader van de AVG) en informatiebeveiliging. Deze rapportage gaat overwegend in op privacy-aspecten en geeft geen inzicht in de status van de beheersmaatregelen op het gebied van informatiebeveiliging.

Mede naar aanleiding van die bevindingen heeft de zorgaanbieder een project gestart om verbeteringen door te voeren. Het daarvoor opgestelde plan van aanpak heeft een looptijd van een jaar. In het plan ontbreken nog elementen die voor een implementatie van de NEN 7510 wel noodzakelijk zijn (voorbeelden zijn verklaring van toepasselijkheid, auditplanning en directiebeoordeling). De zorgaanbieder overweegt na uitvoering van het plan certificering op de NEN7510 norm.

Pagina 13 van 15

De zorgaanbieder zorgt voor voldoende voorzieningen en duidelijke afspraken om de continuïteit te borgen

Uitval van systemen of stroomvoorziening is altijd mogelijk. De zorgaanbieder heeft gezorgd voor infrastructurele voorzieningen zoals noodstroom

(gezondheidscentrum, domotica) en dubbel uitgevoerde verbindingen (internet) om dit te voorkomen of de gevolgen te beperken. Als er onverhoopt toch uitval is kunnen medewerkers gebruik maken van reserve laptops (gezondheidscentrum).

Het is helder bij wie men terecht kan voor meldingen en vragen. De samenwerkingsorganisatie biedt een groot deel van de ICT aan. Bij die ICT producten weet de zorgaanbieder wie daarop aan te spreken. Dit kan ook een externe leverancier zijn. Er is een zorgcontinuïteitsplan, waar medewerkers met crisiskaarten heldere informatie krijgen over hoe te handelen bij uitval.

Pagina 14 van 15

Bijlage 1: Algemene uitleg van de beoordelingen

Niveau Uitleg

Afwezig De zorgaanbieder besteedt niet aantoonbaar aandacht aan het onderwerp en/of heeft geen herkenbaar proces. Er ligt niets vast.

Aanwezig De zorgaanbieder besteedt aantoonbaar aandacht aan het onderwerp. Er kan een gedocumenteerd proces zijn, maar in de praktijk kent niet iedereen dit. Of medewerkers volgen het niet altijd.

Operationeel De zorgaanbieder heeft een gedocumenteerd proces.

Medewerkers kennen dit en volgen het ook.

Geborgd De zorgaanbieder heeft een gedocumenteerd proces.

Medewerkers kennen dit en volgen het ook. De zorgaanbieder kijkt naar de resultaten en brengt verbeteringen aan waar mogelijk.

Pagina 15 van 15

Bijlage 2: Overzicht van documenten die zijn bestudeerd

Voor en/of tijdens het inspectiebezoek zijn de volgende documenten bestudeerd:

Strategie, beleid, governance

• Deelstrategie ICT & technologische innovatie, datum onbekend;

• Samen werken aan de zorg van morgen: verbeterideeën en suggesties, december 2020;

• Samen werken aan de zorg van morgen: uitwerking van plan voor toekomstbestendige ICT, mei 2020;

• Samen werken aan de zorg van morgen: programma organisatie, 2019;

• Governance en samenwerking Carante, datum onbekend;

• Standaard 3402 Type II Rapport Carante Groep, februari 2020;

• Voortgangsrapportage - Samen werken aan de Zorg van Morgen, december 2020.

Informatiebeveiliging

• Herhalingsaudit Privacy & informatiebeveiliging, oktober 2020;

• Plan van aanpak informatiebeveiliging, november 2020;

• Beleid en maatregelen Informatiebeveiliging 2020-2023, december 2020;

Elektronische uitwisseling

• Individuele Leveringsovereenkomst Amerpoort - Sherpa en UPLUS Zorgdiensten B.V., 2018 (inclusief bijlagen).

Cliënten- en verwantenportaal

• Cliënten/verwantenportaal Project Deel 1: Voortgang en voorstel en planning uitrol verwantenportaal, augustus 2020;

• Bevindingen pilot, juli 2020;

• Privacy Impact Analyse / Risico Analyse (PIA/RA) Cliënten- en verwantenportaal Amerpoort, juni 2020;

• Uitleg cliënten/verwantenportaal voor teams, 2020;

• Presentatie cliënten/verwantenportaal voor teams, 2020;

• Veel gestelde vragen van begeleiders betreft het verwanten portaal, 2020;

• Uitleg teams: privacy en rapportage, 2020;

• Toelichting over tegels voor teams, 2020;

• Informatiebrief voor verwanten, 2020;

• Veel gestelde vragen van wettelijk vertegenwoordigers, 2020;

• Algemene voorwaarden Cliënten- en Verwantenportaal Amerpoort, 2020;

• Toegang cliënten- en verwantenportaal: Instemmingsformulier wettelijk vertegenwoordiger, 2020;

• Toegang cliënten- en verwantenportaal: Machtigingsformulier, 2020;

• Toekomstige Cliënten- en Verwantenportaal Project Deel 2 & 3:

voortgangsrapportage, november 2020;

Domotica

• Implementatieplan upgrade Unicontrol 2 versie 3.7, juli 2020;

• Functioneel Programma van Eisen voor domotica van Amerpoort - Reinaerde, Vilans/Amerpoort, 2013;

• Beleid cameragebruik voor toezicht en diagnostiek Amerpoort, november 2020;

• Procedure cameragebruik voor toezicht en diagnostiek Amerpoort, november 2020;