Inspectie Gezondheidszorg en Jeugd Ministerie van Volksgezondheid, Welzijn en Sport

Inspectie Gezondheidszorg en Jeugd

Ministerie van Volksgezondheid,

Welzijn en Sport

Rapport van het inspectiebezoek in het kader van het toezicht op e-health

aan Stichting Christelijke Zonnehuisgroep Ijssel- Vecht te Zwolle

op 15 november 2019

xx xxx

Utrecht, 21januari 2020

Inhoud

Inhoud .2

1 Inleiding .3

1.1 Aanleiding en belang 3

1.2 Onderzoeksvra gen 4

1.3 Onderzoeksmethode en toetsingskader 4

2 Conclusie 7

3 Handhaving 9

4 Resultaten 11

4.1 Goed bestuur en verantwoord innoveren 11

4.2 Invoering en gebruik van e-health-producten en -diensten 13

4.3 Patiëntparticipatie 15

4.4 Samenwerken in het netwerk en elektronische vastieggen en uitwisselen van gegevens 16

4.5 Informatiebeveiliging en continuïteit 18

Bijlage 1: Algemene uitleg van de beoordelingen 20

Bijlage 2: Overzicht van documenten die zijn bestudeerd 21

Pagina 2 van 21

1 Inleiding

De Inspectie Gezondheidszorg en Jeugd bezocht op vrijdag 15 november 2019 de Stichting Christelijke Zonnehuisgroep Ijssel-Vecht te Zwolle (hierna: de

zorgaanbieder). De inspectie bezocht het hoofdkantoor van de zorgaanbieder aan de Zwartewaterallee 25 te Zwolle en het nabijgelegen woonzorgcentrum De Esdoorn.

Het onderwerp van het bezoek was de inzet van informatie- en

communicatietechnologie (ICT) in de zorg. Dit heet ook wel ‘e-health’ of ‘digitale zorg’. De inspectie toetste of de zorgaanbieder bij het gebruik van e-health zorgt voor de nodige voorwaarden voor goede en veilige zorg, die volgen uit wetten,

(veld)normen en richtlijnen op dit gebied.

1.1 Aanleiding en belang

Onder e-health verstaat de inspectie: de inzet van hedendaagse ICT, in het bijzonder internettechnologie, om de gezondheid en gezondheidszorg te ondersteunen of te verbeteren.

Voorbeelden hiervan zijn elektronische patiëntendossiers (EPD’s) en elektronische uitwisseling van gegevens’. Maar ook patiëntenportalen, medische apps, monitoring van chronische patiënten op afstand en inzet van online behandeling of begeleiding.

De inspectie is positief over de mogelijkheden die e-health kan bieden. E-health kan de zorg minder laten afhangen van tijd en plaats. Ook kan het de communicatie tussen patiënt2 en zorgverlener helpen. En die tussen zorgverleners. Dit wordt

belangrijker nu de patiënt vaker te maken krijgt met een netwerk van zorgaanbieders.

Tegelijk vindt de inspectie het belangrijk dat de inzet van e-health doordacht gebeurt.

Ook bij de inzet van e-health moet de zorgaanbieder de kwaliteit en veiligheid van de zorg bewaken. Vooral grote organisaties leunen steeds meer op e-health. Dat vraagt erom dat de zorgaanbieder zorgt voor goede voorwaarden in de Organisatie.

De nieuwe mogelijkheden kennen helaas ook risico’s. In een landelijk onderzoek3 van VIM-meldingen (‘Veilig Incident Melden’) staan problemen met ICT op de vierde plaats. In een analyse uit 2017 van het Emergency Care Research Institute staan ICT-risico’s op de zesde plaats4. Ook de bedreigingen van ransomware zijn veel in het nieuws geweest5. Intussen ontwikkelen de wetgeving en normering zich verder. Denk aan de wet ‘aanvullende bepalingen verwerking persoonsgegevens in de zorg’, die in juli 2017 is ingegaan.

1Met e-health bedoelt de inspectie dus ook de meer traditionele zorg-ICT.

2Voor patiënten kan in dit rapport ook cliënten of bewoners worden gelezen.

Zie

Zie https://www.ecri.org/Resources/Whitepapers_and_reports/Hazl7.pdf

Zie http://nos.nl/artikel/2179941-zeker-vijftien-ziekenhuizen-geinfecteerd-met-ransomware.html

Pagina 3 van 21

Sinds het najaar van 2017 kijkt de inspectie bij zorgaanbieders naar e-health. Daarbij toetst de inspectie of de zorgaanbieder zorgt voor de goede randvoorwaarden voor digitale zorg. De inspectie komt onder andere bij ziekenhuizen en aanbieders van verpleging en verzorging, geestelijke gezondheidszorg of gehandicaptenzorg.

De keuze valt op zorgaanbieders die volgens openbare bronnen actief e-health producten of -diensten inzetten. Verder gaat het om zorgaanbieders verspreid over het land.

In het toezicht op e-health betrekt de inspectie verschillende wetten, veldnormen en richtlijnen op het gebied van ICT in de zorg (zie 1.3).

1.2 Onderzoeksvragen

Het doel van het bezoek was om te toetsen of de zorgaanbieder bij de inzet van ICT (e-health) zorgt voor de nodige voorwaarden voor goede en veilige zorg, die volgen uit wetten, (veld)normen en richtlijnen op dit gebied.

1.3 Onderzoeksmethode en toetsingskader

Bij het bezoek gebruikte de inspectie een toetsingskader, dat is gepubliceerd op de website van de IGJ6.

Een toetsingskader moet praktisch bruikbaar zijn. Daarom heeft de inspectie tijdens het bezoek gekeken naar de volgende vijf onderwerpen. Daarin zijn de verschillende normen en richtlijnen meegenomen.

Onderwerp Uitleg

Goed bestuur en Het bestuur van de zorgaanbieder moet ‘in control’ zijn, verantwoord ook op het gebied van e-health. Dit vraagt om een helder innoveren en gedragen beleid. Het bestuur moet de

verantwoordelijkheden goed regelen bij inzetten van technische innovaties, zoals e-health. Ook een goede inrichting van de besluitvorming hoort daarbij.

Invoering en gebruik De zorgaanbieder moet bij invoering en gebruik van van e-health- e-health-producten en -diensten zorgen voor goede producten en voorwaarden. De zorgaanbieder zorgt bijvoorbeeld voor -diensten duidelijke eisen aan producten en diensten. Ook moet de

zorgaanbieder goed omgaan met mogelijke risico’s.

Belangrijke voorwaarden zijn verder goede training, goed testen en goed onderhoud.

Zie https://www.igj.nI/documenten/toetsingskaders/2018/11/15/toetsingskader-inzet-van-e-health-door- zorgaanbieders

Pagina4van 21

Onderwerp Uitleg

Patiëntparticipatie De patiëntenzorg wordt steeds afhankelijker van e-health.

Daarom is het belangrijk dat de zorgaanbieder de cliëntenraad raadpleegt over het beleid. De

zorgaanbieder kijkt hoe geschikt e-health-producten en -diensten zijn voor patiënten. Ook zorgt de zorgaanbieder voor goede informatie en begeleiding voor patiënten.

Samenwerken in het E-health kan andere vormen van samenwerken mogelijk netwerk en maken tussen zorgverleners. Daarbij is het belangrijk dat elektronisch de zorgaanbieder duidelijke afspraken maakt met andere vastleggen en zorgaanbieders over digitale samenwerking. Daarbij moet uitwisselen van de zorgaanbieder zorgen voor goede organisatorische en gegevens technische maatregelen.

Informatiebeveiliging De groeiende afhankelijkheid van ICT vraagt erom dat de en continuïteit Organisatie zorgt voor de continuïteit. Daar horen goede afspraken en maatregelen bij voor informatiebeveiliging.

De inspectie heeft het bezoek kort van tevoren bekend gemaakt. Dit was nodig om de zorgaanbieder de mogelijkheid te geven gesprekspartners vrij te maken. Ook heeft de inspectie gevraagd om een aantal documenten ter voorbereiding op te leveren. Een overzicht staat in bijlage 2 van dit rapport.

Tijdens het bezoek heeft de inspectie met verschillende betrokkenen gesproken over de thema’s van het toetsingskader. Dit waren personen in de volgende rollen:

- bestuurder,

- manager bedrijfsvoering, portefeuillehouder innovatie,

- coördinator ICT,

- adviseur, programmamanager innovatie,

- lid centrale cliëntenraad,

- HBO-verpleegkundige, super user QIC,

- teamcoördinator locatie De Hoekstee,

- medewerker technische dienst,

- specialist ouderengeneeskunde en

- twee verpleegkundigen werkzaam in De Esdoorn.

Ook heeft de inspectie tijdens het bezoek drie e-health-toepassingen bestudeerd, waarvan er twee in samenhang werden besproken. Het gaat om de volgende voorbeelden:

1. Het elektronisch cliëntendossier (ECD) en het elektronisch voorschrijfsysteem (EVS).

2. Dwaaldetectie

/

leefcirkels.

Pagina 5 van 21

Bij 1:

De zorgaanbieder heeft het huidige ECD al geruime tijd geleden geselecteerd, namelijk in 2009. Sindsdien hebben er twee grote overgangen plaatsgevonden, namelijk de implementatie van een door de leverancier ontwikkeld herontwerp van het ECD in 2017 en de overstap naar de SaaS-versie in 2019.

De zorgaanbieder werkt sinds 2015 met het EVS Medimo. De zorgaanbieder neemt deel aan een regionaal samenwerkingsverband van zorgorganisaties, de

Versnellingskamer Groot Zwolle. Deze groep heeft recent een gezamenlijke selectieprocedure voor een EVS uitgevoerd, in verband met een regionaal project rondom medicatieveiligheid. In dit traject hebben de betrokken partijen eveneens de voorkeur gegeven aan Medimo.

Bij 2:

De zorgaanbieder werkt nu op kleine schaal met verschillende oplossingen op het gebied van toezichthoudende domotica en oriënteert zich op een meer structurele benadering om dwaaldetectie met behulp van leefcirkels in te voeren. Hiervoor heeft de zorgaanbieder een werkgroep ingesteld die op het moment van het

inspectiebezoek in de oriëntatiefase was.

De resultaten van het inspectiebezoek staan in hoofdstuk 4 van dit rapport. De beoordeling bij elk onderwerp volgt een vierpuntsschaal: afwezig, aanwezig, operationeel en geborgd. Zie bijlage 1 voor een uitleg over deze begrippen.

Pagina 6 van 21

2 Conclusie

De inspectie concludeert dat de zorgaanbieder bij de inzet van ICT in de zorg

(e-health) voor een belangrijk deel zorgt voor de juiste randvoorwaarden voor goede en veilige zorg. Met name de goede samenwerking in de regio op het gebied van medicatie en gegevensuitwisseling viel de inspectie op. De zorgaanbieder is goed op weg met het formuleren van nieuw beleid maar moet de daarvoor benodigde ICT-ondersteuning nader afwegen. Verder moet de zorgaanbieder zo snel mogelijk aantoonbaar het managementsysteem van de informatiebeveiliging op orde brengen.

De inspectie komt tot de volgende deelconclusies:

De zorgaanbieder heeft een toekomstgerichte strategie met aandacht voor

innovatie; dit vereist dat de zorgaanbieder de benodigde ICT-ondersteuning voor de komende jaren en de risico’s op ICT-gebied nader afweegt

De zorgaanbieder maakt een periode van veranderingen door en heeft een nieuwe strategische agenda. In het nieuwe beleid staan onder andere voorgenomen innovaties ter ondersteuning van de zorg. De zorgaanbieder betrekt verschillende belanghebbenden uit de organisatie bij het innovatieprogramma. De zorgaanbieder heeft een investeringsbegroting en heeft de kosten van ICT en het

innovatieprogramma in beeld. Op ICT-gebied is de zorgaanbieder een achterstand aan het inhalen om de basis op orde te brengen. Tegelijkertijd neemt het beroep op ICT vanuit het innovatieprogramma toe. De zorgaanbieder ontbeert een uitgewerkte visie op de vereiste ondersteuning op ICT-gebied voor de komende jaren. Enkele kritische taken en verantwoordelijkheden zijn niet expliciet belegd en de kleine ICT-afdeling heeft weinig ruimte om extra taken op te pakken. Dit maakt de zorgaanbieder sterk afhankelijk van individuen met kritische deskundigheid. Verder is risicosignalering op het gebied van e-health en ICT te beperkt gedocumenteerd.

De zorgaanbieder heeft een proces geadopteerd voor invoeren van innovaties, maar moet op onderdelen duidelijker richting geven aan de uitvoeringspraktijk

De zorgaanbieder heeft een keuze gemaakt voor een algemeen proces voor het implementeren van innovaties, maar heeft dit nog niet nader uitgewerkt voor de eigen Organisatie. Bovendien geldt dit proces niet één op één voor de invoering van ICT-producten en —diensten voor het primaire zorgproces die buiten het

innovatieprogramma vallen. De zorgaanbieder documenteert van te voren wensen en eisen bij invoer van e-health-producten en —diensten. De zorgaanbieder sluit

onderhoudscontracten met toeleveranciers en evalueert de naleving. De

zorgaanbieder voert echter niet standaard risicoanalyses uit voor het aanschaffen en invoeren van e-health-diensten of—producten. Hierdoor kunnen risico’s te weinig in beeld zijn. De zorgaanbieder besteedt aandacht aan training, maar had ten tijde van het bezoek op onderdelen van de uitvoering een achterstand opgelopen. Dit kan te maken hebben met te beperkte capaciteit. De zorgaanbieder besteedt aandacht aan testen, maar gebruikt hiervoor geen gedocumenteerde testscripts, waardoor de uitvoering achteraf niet navolgbaar is. Ook is niet geheel duidelijk waar de verantwoordelijkheid voor de controle op service level agreements is belegd.

Pagina 7 van 21

De zorgaanbieder betrekt cliënten en hun vertegenwoordigers al bij e-health-initiatieven en is deze praktijk verder aan het ontwikkelen De zorgaanbieder informeert de cliëntenraad over relevante initiatieven. De

zorgaanbieder betrekt cliënten in pilots van concrete toepassingen. De zorgaanbieder wil cliënten actief gaan betrekken bij het innovatieprogramma, dit was nog niet gerealiseerd tijdens het bezoek.

De zorgaanbieder zet sterk in op samenwerking in de regio. Dit draagt bij aan de kwaliteit van medicatieoverdracht en gegevensuitwisseling

De zorgaanbieder werkt samen met andere zorgaanbieders in de regio aan verbetering van de digitale uitwisseling van gegevens. De zorgaanbieder heeft een duidelijk beeld van de koppelingen met andere zorgaanbieders. De zorgaanbieder zorgt samen met de andere zorgaanbieders in de regio voor verbetering van de medicatleoverdracht.

De zorgaanbieder heeft de informatiebeveiliging en continuiteit onvoldoende aantoonbaar geborgd

De zorgaanbieder mist een formeel informatiebeveiligingsbeleid. Er zijn wel diverse beheersmaatregelen getroffen, maar de zorgaanbieder voert geen audits uit om de effectiviteit daarvan te controleren. Er is dus ook geen proces van leren en verbeteren op dit punt. De zorgaanbieder kan niet aantonen te voldoen aan de wettelijke norm voor informatiebeveiliging NEN 7510. De zorgaanbieder heeft enkele

continuïteitsmaatregelen getroffen. Een goed overzicht hiervan ontbreekt en de verantwoordelijkheden hiervoor zijn niet duidelijk voor alle betrokkenen.

Pagina 8 van 21

3 Handhaving

3.1 Maatregelen

Ontwikkel en documenteer een visie op de vereiste ICT-ondersteuning voor de uitvoering van de strategische agenda

Dit plan moet in kaart brengen welke rollen en overlegvormen nodig zijn op het gebied van ICT-ondersteuning en innovatie in de verschillende afdelingen van de organisatie (niet beperkt tot de ICT-afdeling) en daarbuiten. Daarbij moet aandacht zijn voor welke kritische taken en verantwoordelijkheden bij welke rollen horen. Ook zou hierin aandacht moeten zijn voor verschillende vormen van deskundigheid, bijvoorbeeld architectuur, leveranciersmanagement en informatiebeveiliging.

Zorg ervoor dat de Organisatie per 31 december2020 aantoonbaar beschikt over een managementsysteem voor informatiebeveiliging volgens NEN 7510

Voldoen aan de NEN751O is wettelijk verplicht. Dit vereist dat een organisatie een lerend managementsysteem heeft voor informatiebeveiliging. Dit staat garant voor voortdurende evaluatie en verbetering. De zorgaanbieder moet dit lerende systeem inregelen en aantonen dat het systeem in de praktijk functioneert. Om dit te bereiken is het van belang dat de zorgaanbieder zorgt voor een beeld van de stand van zaken door een onafhankelijke beoordeling van het managementsysteem voor

informatiebeveiliging. Het resultaat daarvan moet beschikbaar zijn véér 30 april van 2020.

3.2 Aanbevelingen

De inspectie geeft de volgende punten van verbetering aan:

Verbeter de uitvoering van het proces voor het aanschaffen en invoeren van e-health-producten of—diensten

Op enkele punten kan de zorgaanbieder de uitvoering van het proces van aanschaf en invoering van ICT-gerelateerde producten en diensten verder verbeteren. Dit geldt voor het uitvoeren van risicoanalyses (inclusief gevolgen voor cliënten), een meer formele uitvoering en vastlegging van testen en zorgen voor voldoende uitgewerkte trainingsplannen.

De inspectie verwacht dat de raad van bestuur de genoemde punten ter harte zal nemen.

3.3 Vervolgactiesinspectie

Vereiste ICT-ondersteuning

De inspectie wil graag per 30 april 2020 geïnformeerd worden over de voortgang op dit punt door een brief van de raad van bestuur, waarin een samenvatting wordt gegeven van de ontwikkelde visie op de vereiste ICT-ondersteuning.

Pagina 9 van 21

Informatiebeveiliging

De inspectie verwacht per 30 april 2020 de resultaten van een onafhankelijke beoordeling zoals aangegeven in NEN 7510. Indien de onafhankelijke beoordeling hiertoe aanleiding geeft, dan verwacht de inspectie ook per 30 april 2020 een

verbeterplan dat erop is gericht om de kritische bevindingen uit het auditrapport weg te nemen per eind 2020. Daarbij is het aantoonbaar op gang komen van een

plan-do-check-act cyclus van belang.

Conform de NEN 7510 moet de onafhankelijke beoordeling worden uitgevoerd door personen met een onafhankelijke positie ten opzichte van het te beoordelen gebied, bijvoorbeeld door de interne auditor, een onafhankelijke manager of een externe Organisatie die gespecialiseerd is in dergelijke beoordelingen. De beoordelaar moet aantoonbaar beschikken over voldoende deskundigheid op het gebied van

informatiebeveiliging en de NEN 7510. De beoordeling moet voldoende duidelijk maken wat de status is per normelement.

Pagina 10 van 21

4 Resultaten

4.1 Goed bestuur en verantwoord innoveren Getoetste normen:

- De raad van bestuur heeft de controle over de e-health-ontwikkelingen. De zorgaanbieder heeft een beleid voor e-health en heeft hierbij de mensen betrokken die er belang bij hebben. Hij heeft taken en verantwoordelijkheden belegd in de organisatie. Hij regelt een duidelijke besluitvorming. De

zorgaanbieder heeft aandacht voor risicomanagement en kwaliteitsborging van de e-health/ICT-omgeving. Het bestuur krijgt stuurinformatie.

Afwezig Aanwezig Operationeel Geborgd

Goed bestuur en verantwoord innoveren

Uitleg:

De zorgaan bieder maakt een periode van veranderingen door en heeft een nieuwe strategische agenda

Tijdens het bezoek heeft de bestuurder toegelicht dat de zorgaanbieder een periode van grote veranderingen doormaakt. Dat geldt voor de hele organisatie en ook voor onderwerpen als ICT, e-health en innovatie. Na een bestuurlijke crisis in november 2018 moest de Organisatie uit een dal komen. Sindsdien is er een nieuwe bestuurder en hebben wisselingen in het management plaatsgevonden. De organisatie kijkt weer naar voren en heeft ambities. Deze heeft de zorgaanbieder vastgelegd in een

strategische agenda 2019-2020 (‘Waar je er als mens toe doet’). De zorgaanbieder heeft een nieuw motto, namelijk ‘Van zorg naar leven’. Dit geeft aan dat de

zorgaanbieder niet alleen de medische aspecten van de zorg, maar juist het dagelijks leven van de bewoners centraal wil stellen in het denken en doen.

Het nieuwe beleid steunt onder andere op voorgenomen innovaties ter ondersteuning van de zorg

Dit vertaalt zich ook naar keuzes op het gebied van e-health/ICT; keuzes op dit gebied dragen bij voorkeur bij aan meer zelfstandigheid van de bewoners of helpen om processen anders te organiseren in tijden van personeelskrapte. Een en ander is verder uitgewerkt in de Kaderbrief 2020, het Kwaliteitsbeleid 2019-2021, het Implementatieplan kwaliteitsbeleid 2019 en het Kwaliteitspian 2020. Deze documenten besteden op meerdere punten aandacht aan de gewenste

technologische innovatie. Zo geeft de kaderbrief 2020 aan: “De kloof tussen zorgvraag en —aanbod is niet meer te dichten met nieuwe medewerkers alleen. Inzetten op (technologische) innovatie is een noodzakelijke keuze voor ZGIJV om te komen tot nieuwe eigentijdse concepten van wonen-leven-zorg, waar menselijke handen en techniek hand in hand zullen gaan.” De zorgaanbieder heeft in september 2019 een innovatieprogramma gestart om hieraan invulling te geven. Dit programma verkent

Pagina 11 van 21

de mogelijkheid om diverse technologische innovaties in te zetten in de zorg. De organisatie wil koploper zijn in het implementeren en adapteren van bewezen technologische innovaties.

Op ICT-gebied is de zorgaanbieder een achterstand aan het inhalen om de basis op orde te brengen; tegelijkertijd neemt het beroep op ICT vanuit het

innovatieprogramma toe

Eind 2018 bestond ook op het gebied van ICT een achterstand, die onder andere bleek uit achterstallig onderhoud, bijvoorbeeld in de technische infrastructuur. De zorgaanbieder is bezig de ICT te moderniseren. Daarbij is het de bedoeling om zoveel mogelijk ‘in the cloud’ te werken en het technisch beheer extern onder te brengen.

Dit was ten tijde van het inspectiebezoek al grotendeels het geval. De zorgaanbieder heeft de verdere plannen op het gebied van ICT vastgelegd in een jaarplan ICT 2020.

Dit jaarplan gaat in op voorgenomen verbeteringen in de basis-ICT en gaat daarnaast kort in op de consequenties van het innovatieprogramma.

De zorgaan bieder betrekt verschillende belanghebbenden uit de Organisatie bij het innovatieprogramma

Het innovatieprogramma valt onder de verantwoordelijkheid van de manager bedrijfsvoering en heeft een programmamanager. Zowel de ICT, de afdeling

opleidingen als de zorg zijn in de werkgroep innovatie vertegenwoordigd. Tijdens het inspectiebezoek waren er ook plannen om een lid van de cliëntenraad toe te voegen.

De zorgaanbieder gaat uit van het concept van ‘interactieve beleidsvoering’, waartoe de zorgaanbieder uitwisseling tussen medewerkers en leidinggevenden organiseert.

Dit krijgt onder andere vorm door middel van zogenaamde ‘samentafels’, waarbij medewerkers kunnen meepraten over beleidszaken, en ‘kenniscafés’. Ook rondom het innovatieprogramma heeft de zorgaanbieder kenniscafés georganiseerd, bijvoorbeeld rondom het thema incontinentiezorg.

De zorgaan bieder heeft geen uitgewerkte visie op de vereiste ondersteuning op ICT gebied; enkele kritische taken en verantwoordelijkheden zijn niet expliciet belegd en de kleine ICT-afdeling heeft weinig ruimte om extra taken op te pakken

De zorgaanbieder heeft een kleine ICT-afdeling van 1,91 FTE (coördinator ICT plus applicatiebeheer); het jaarplan 2020 voorziet in uitbreiding naar 3,36 FTE in verband met vereiste ICT-ondersteuning voor human resources, financiën en innovatie.

Daarnaast heeft de zorgaanbieder vooralsnog een deel van het applicatiebeheer buiten de ICT-afdeling ingevuld en is het technisch beheer extern ondergebracht. Het ICT-jaarplan spreekt de zorg uit dat mogelijk weinig ruimte over zal blijven voor andere ICT-gerelateerde zaken dan het innovatieprogramma en een aantal andere lopende programma’s. De zorgaanbieder beschikt niet over een uitgewerkte visie op het geheel aan benodigde ondersteuning op het gebied van ICT en innovatie; ook zijn er geen uitgewerkte rolbeschrijvingen waaruit blijkt bij wie kritische taken zoals architectuurbeheer, informatiebeveiliging of leveranciersmanagement zijn ondergebracht.

Pagina 12 van 21

De zorgaanbieder heeft een investeringsbegroting en heeft kosten van ICT en innovatieprogramma in beeld

De zorgaanbieder stelt kaders voor de begroting in de jaarlijkse kaderbrief en stelt vervolgens mede op grond van de aanvragen vanuit de verschillende afdelingen de begroting op. De kaderbrief geeft de investeringsruimte aan voor het komende jaar.

De begroting voor het innovatieprogramma is opgenomen in het kwaliteitsplan 2020.

De ICT-begroting is onderdeel van de bedrijfsvoering.

Risicosignalering op het gebied van e-health/ICTis beperkt gedocumenteerd

Het kwaliteitsbeleid 2019-2020 gaat in op de methodiek voor risicosignalering. Hierin staat dat de jaarlijkse directiebeoordeling de basis is voor de risicosignalering op organisatieniveau en dat daarbij geconstateerde risico’s een plaats krijgen in de jaarplannen. Daarnaasthebben grotere projecten een risicoparagraaf. In het

ICT-jaarplan 2020 is echter geen risicoparagraaf opgenomen. Wel benoemt het plan belasting van de ICT-afdeling als een mogelijk probleem. Ook een risicobeoordeling op het gebied van informatiebeveiliging was op het moment van het inspectiebezoek afwezig. De zorgaanbieder heeft wel een privacy-scan uitgevoerd op het

cliëntenproces, waarin risico’s zijn opgenomen (echter zonder daaraan verbonden maatregelen). In het voorstel voor het innovatieprogramma heeft de

programmamanager een tweetal risico’s benoemd mét beheersmaatregelen. Uit de gesprekken tijdens het inspectiebezoek en de activiteiten van de ICT-afdeling in het afgelopen jaar om haast te maken met oplossingen voor de verouderde infrastructuur bleek wel sprake van risicobewustzijn bij het management.

4.2 Invoering en gebruik van e-health-producten en -diensten

Getoetste normen:

- De zorgaanbieder heeft een proces afgesproken voor de invoering van e-health-producten of -diensten. Hij brengt daarbij de nodige experts samen.

De zorgaanbieder stelt programma’s van eisen op. De zorgaanbieder doet risicoanalyses. Hij zorgt voor training van gebruikers en testen van producten en diensten voor het in gebruik nemen. Ook regelt de zorgaanbieder het onderhoud.

Afwezig Aanwezig Operationeel Geborgd

Invoering en gebruik van e-health producten en -diensten

Uitleg:

De zorgaanbieder heeft een keuze gemaakt voor een algemeen proces voor het implementeren van innovaties, maar heeft dit nog niet nader uitgewerkt voor de eigen organisatie

Pagina 13 van 21

In het kader van het innovatieprogramma heeft de zorgaanbieder een keuze gemaakt voor een proces van invoeren van innovaties, namelijk de innovatiecyclus van

ZonMw. De zorgaanbieder heeft een diagram van deze cyclus opgenomen in de beschrijving van het innovatieprogramma, maar dit nog niet nader uitgewerkt en toegespitst op de eigen organisatie. Bovendien geldt dit proces niet één op één voor de invoering van ICT-producten en —diensten voor het primaire zorgproces die buiten het innovatieprogramma vallen. De voorbeelden van e-health die de inspectie tijdens het bezoek heeft bestudeerd, waren niet ingevoerd volgens een daarvoor beschikbare procedure die richtlijnen gaf voor bijvoorbeeld fasering en vereiste betrokkenheid van deskundigen. Volgens de toelichting van de coördinator ICT tijdens het bezoek was dit ook deels bewust: de zorgaanbieder heeft ervoor gekozen vooral te leunen op

leveranciers en hun expertise omdat deze ervaring hebben met implementaties van hun product.

De zorgaanbieder documenteert van te voren wensen en eisen bi] in voer van e-health-producten en -diensten

De zorgaanbieder heeft voor ECD en EVS programma’s van eisen (PvE) opgesteld. Dit gebeurde in samenwerking met andere zorgaanbieders. In 2008 heeft de

zorgaanbieder een PvE opgesteld voor het ECD met de Zorgcombinatie Zwolle. In 2019 heeft de zorgaanbieder in het verband van de Versnellingskamer Groot Zwolle een PvE opgesteld voor een EVS. Dit gebeurde in het kader van het project

medicatieveiligheid van de versnellingskamer. Overigens was het EVS toen al bij de zorgaanbieder in gebruik sinds 2015. Een PvE uit die periode was tijdens het inspectiebezoek niet beschikbaar. Het project rondom dwaaldetectie was nog in de inventarisatiefase en een PvE was nog niet opgesteld. Wel waren er notulen van de projectgroep beschikbaar waaruit wensen van de Organisatie waren af te leiden.

De zorgaanbieder voert niet standaard risicoanalyses uit voor het aanschaffen en in voeren van e-health-diensten of —producten

De zorgaanbieder beschikt niet over een standaard aanpak voor risicoanalyse bij aanschaf en invoeren van een nieuwe e-health-dienst of product, of over criteria wanneer dit wel of niet moet gebeuren. De mate waarin aandacht wordt besteed aan risico’s en aan welke risicoaspecten (projectrisico’s, informatieveiligheid,

patiëntveiligheid, etc.) wisselt daardoor per geval. In het geval van de invoer van het ECD en in het geval van de overgang op het herontwerp in 2017 (zie ook paragraaf 1.3) had de leverancier zelf een risicoinventarisatie beschikbaar, vooral gericht op uitvoering van het project. Deze heeft de zorgaanbieder in het project als

uitgangspunt genomen. Voor het EVS was tijdens het inspectiebezoek geen

risicoanalyse beschikbaar. De leverancier beschikte wel over een data privacy impact assessment. Bij de huidige inzet van toezichthoudende domotica maakt de

zorgaanbieder een afweging op het niveau van de individuele cliënt in overleg met de familie; deze wordt opgenomen in het zorgplan.

De zorgaanbieder besteedt aandacht aan training maar had ten tijde van het bezoek op onderdelen van de uitvoering een achterstand opgelopen

In het geval van de invoering van het herontwerp van het ECD in 2017 was een e-learning vooraf beschikbaar voor de gebruikers. Het was verplicht om deze te volgen. Daarnaast kon men desgewenst oefenen in een aparte omgeving. De

Pagina 14 van 21

superuser verzorgt ook klassikale trainingen van circa 2 uur. Er was ten tijde van het inspectiebezoek een inhaalslag nodig, er staan ca. 30 scholingen gepland voor ca. 200 gebruikers voor het komende jaar. Daarnaast zijn er in de teams coaches aangesteld die uitleg kunnen geven bij kleine wijzigingen. Het project rondom leefcirkels was nog niet ver genoeg gevorderd om een beeld te kunnen geven van de trainingsaanpak.

De zorgaanbieder besteedt aandacht aan testen maar gebruikt hiervoor geen gedocumenteerde testscripts

Bij de invoering van het herontwerp van het ECD in 2017 was een testomgeving beschikbaar. Testen werd verzorgd door de super user en de applicatiebeheerder.

Ook medewerkers waren bij testen betrokken, ook op de dag van de voorgenomen ingebruikname. Er was een formeel go/no go moment om over te gaan. Er waren geen formele testscripts. Achteraf is niet goed navolgbaar wat wel en niet is getest en testen is afhankelijk van kennis van individuele medewerkers. In geval van kleinere updates testen de superuser en de applicatiebeheerder.

De zorgaanbieder sluit onderhoudscontracten met toeleveranciers en evalueert de naleving. Niet geheel duidelijk is waar de con trole op service level agreements is belegd.

De zorgaanbieder heeft een onderhoudsovereenkomst met de leverancier van het ECD en beschikt over een service level agreement. De afdeling inkoop verzorgt het contractbeheer. De inkoopprocedure geeft aan dat het contractmanagement op verschillende manieren in de Organisatie kan zijn belegd. De afdeling inkoop of een inhoudelijk verantwoordelijke afdeling beheert generieke contracten met strategische leveranciers en contracten voor erkende en voorkeursleveranciers. Inhoudelijk verantwoordelijke afdelingen beheren specifieke contracten met strategische

leveranciers. De inkoopprocedure maakt niet duidelijk wat precies het onderscheid is tussen generieke en specifieke contracten en ook niet waar de verantwoordelijkheid ligt voor het controleren van de naleving van de service level agreements met ICT-leveranciers.

4.3 Patiëntparticipatie

Getoetste normen:

De zorgaanbieder bespreekt de keuzes over e-health met patiëntvertegenwoordigers.

De zorgaanbieder kijkt wanneer en e-health-product of -dienst wel of niet geschikt is.

Daarbij houdt hij rekening met de zorgbehoefte van patiënten en de eigenschappen van de e-health-dienst. Patiënten krijgen voldoende informatie. Zo kunnen zij

beslissen of een e-health-product of -dienst past bij hun zorgbehoefte. Ze zijn dus ook op de hoogte van mogelijke risico’s. De zorgaanbieder maakt duidelijk hoe patiënten hulp kunnen krijgen bij e-health.

Pagina 15 van 21

Afwezig Aanwezig Operationeel Geborgd

Patiëntparticipatie

Uitleg:

De zorgaanbieder informeert de cliëntenraad over relevante initiatieven

Tijdens het bezoek sprak de inspectie met een vertegenwoordiger van de centrale cliëntenraad. De raad is volgens de vertegenwoordiger over verschillende initiatieven op het gebied van e-health geïnformeerd. Een voorbeeld is Familienet, een

webapplicatie voor communicatie tussen zorgverleners, cliënten en familie. Deze is eerst als pilot ingevoerd op locatie De Riethorst, inmiddels doet bij de Riethorst hieraan vrijwel iedereen mee. Hierin heeft de zorgaanbieder de raad steeds meegenomen. De vertegenwoordiger van de raad gaf aan dat nog wel behoefte bestaat aan meer achtergrond bij de toepassingen, bijvoorbeeld over de privacy en de werking. De raad heeft de indruk dat de bestuurder daar zeker voor open staat.

De zorgaanbie der wil cliënten actief gaan betrekken bij het innovatieprogramma, dit was nog niet gerealiseerd tijdens het bezoek

De vertegenwoordiger van de raad was tijdens het bezoek nog niet bekend met het innovatieprogramma, dat in september is gestart. Mogelijk waren andere leden van de raad dat wel. Op beleidsvlak hebben er de afgelopen tijd veel grote za ken gespeeld, bijvoorbeeld vanwege de wisselingen op bestuurlijk niveau, waardoor andere onderwerpen mogelijk wat zijn ondergesneeuwd. De bestuurder en de programmamanager innovatie gaven tijdens het bezoek aan dat het plan was om een vertegenwoordiger van de cliëntenraad op te nemen in de werkgroep innovatie.

De zorgaan bieder betrekt cliënten in pilots van concrete toepassingen

De vertegenwoordiger van de raad gaf aan dat het belangrijk is dat goed wordt nagedacht over technologische toepassingen en dat hierbij kritisch wordt gekeken naar de geschiktheid voor de oudere doelgroep. Bij het bespreken van het

leefcirkelproject tijdens het bezoek gaf de zorgaanbieder aan dat bij de huidige inzet van toezichthoudende domotica de zorgaanbieder steeds een afweging maakt op het niveau van de individuele cliënt in overleg met de familie. Met het cliëntenportaal is de zorgaanbieder onlangs een pilot gestart. Hierbij worden cliënten en hun wettelijke vertegenwoordigers actief betrokken in de pilot.

4.4

Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens

Getoetste normen:

De zorgaanbieder kent de andere zorgaanbieders met wie hij samen zorg levert aan patiënten. Hij spreekt met hen de (zorginhoudelijke) informatie af die daarbij nodig is. Hij regelt dat de zorgverleners deze informatie kunnen uitwisselen.

Pagina 16 van 21

De zorgaanbieder legt afspraken over elektronische uitwisseling vast. De

zorgaanbieder vraagt de patiënt toestemming voor elektronische uitwisseling als dat moet. De zorgaanbieder regelt samen met de mede-zorgaanbieders in de regio de medicatieoverdracht.

Afwezig Aanwezig Operationeel Geborgd

Samenwerken in het netwerk en elektronisch uitwisselen van gegevens

Uitleg:

De zorgaan bieder werkt samen met andere zorgaanbieders in de regio aan verbetering van de digitale uitwisseling van gegevens

De zorgaanbieder neemt actief deel aan de Versnellingskamer Groot Zwolle. Dit is een samenwerkingsverband van ziekenhuis, huisartsen, apothekers en V&V-instellingen in de regio. Het verband coördineert en versnelt de regionale ICT-ontwikkelingen. Het is gericht op samenwerking rondom ICT, denk aan onderwerpen als informatie

uitwisseling en standaardisatie. Het verband wordt o.a. gestimuleerd vanuit Actiz.

De zorgaan bieder heeft een duidelijk beeld van de koppelingen met andere zorgaanbieders

De zorgaanbieder beschikt over een architectuuroverzicht van het

applicatielandschap dat aangeeft welke koppelingen bestaan tussen interne systemen en met externe systemen. Een regionale visie op informatie-uitwisseling als geheel is nog in wording.

De zorgaan bieder zorgt samen met de andere zorgaanbieders in de regio voor verbetering van de medicatieoverdracht

Medicatieveiligheid is binnen de regionale samenwerking een belangrijk thema. De zorgaanbieder is samen met enkele andere deelnemers aan de Versnellingskamer een project gestart om medicatieveiligheid in de regio te verbeteren met een gezamenlijk elektronisch voorschrijfsysteem. De zorgaanbieder selecteert vaker systemen in samenwerking met andere organisaties in de regio, zoals ook het ECD.

De specialist ouderengeneeskunde bij de zorgaanbieder schrijft elektronisch voor via Medimo. Overdracht vanuit het ziekenhuis vindt zowel elektronisch als op papier plaats. Voor labgegevens is er een koppeling vanuit het ziekenhuis met Medimo via zorgmail. In geval van een opname vanuit de thuissituatie vraagt de zorgaanbieder informatie op bij de apotheek en zo nodig bij de huisarts. Verzorgenden kunnen ook bij het medicatieoverzicht in MediMo. Op één locatie werkt de zorgaanbieder met digitaal aftekenen en digitale toedienregistratie, dit gaat om een pilot. Ook contra indicaties worden vastgelegd in MediMo evenals berichten tussen zorgaanbieder en apotheker voor afstemming.

Pagina 17 van 21

De zorgaanbieder beschikt over verwerkersovereenkomsten maar deze zijn niet allemaal actueel

De zorgaanbieder heeft tijdens het bezoek voorbeelden verstrekt van

verwerkersovereenkomsten. Een van deze overeenkomsten was uit 2015 en daarmee niet geheel actueel in verwijzingen naar wetgeving en normen.

4.5 Informatiebeveiliging en continuïteit

Getoetste normen:

Informatiebeveiliging: het bestuur heeft gezorgd voor het inrichten, invoeren, onderhouden en aldoor verbeteren van een managementsysteem voor

informatiebeveiliging. De Organisatie heeft een continuïteitsstrategie afgesproken, gedocumenteerd, ingevoerd en getest.

Afwezig Aanwezig Operationeel Geborgd

Informatiebeveiliging en continuïteit sj

Uitleg:

De zorgaanbieder mist een formeel informatiebeveiligingsbeleid, heeft wel diverse beheersmaatregelen getroffen, maar voert geen audits uit

De zorgaanbieder beschikt niet over een formeel vastgelegd informatiebeveiligings beleid. De zorgaanbieder heeft wel een privacybeleid maar dit gaat slechts zeer summier in op informatiebeveiliging. In de praktijk heeft de zorgaanbieder wel diverse technische beheersmaatregelen genomen op het gebied van

informatiebeveiliging, bijvoorbeeld op het gebied van afscherming van het netwerk, veilige e-mail en wachtwoordbeleid. Ook stelt de zorgaanbieder eisen aan

toeleveranciers op het punt van informatiebeveiliging. De zorgaanbieder beschikt echter niet over de resultaten van interne of externe audits waaruit de effectiviteit van de beheersmaatregelen blijkt. Er is dus ook geen proces van leren en verbeteren op dit punt. De zorgaanbieder kan dan ook niet aantonen te voldoen aan de

wettelijke norm voor informatiebeveiliging NEN 7510.

Er zijn enkele continuïteitsmaatregelen getroffen, maar een goed overzicht ontbreekt en de verantwoordelijkheden hiervoor zijn niet duidelijk voor alle betrokkenen De zorgaanbieder is bezig de on premise systemen af te bouwen en naar de cloud te brengen. Over systemen die door leveranciers worden gehost maakt de

zorgaanbieder afspraken over beschikbaarheid in service level agreements. Er is ook een service level agreement met de beheerspartij die de infrastructuur beheert.

Sommige locaties hebben noodstroomvoorzieningen, waarbij een aantal

stopcontacten op noodstroom is aangesloten. Noodstroomvoorziening vallen onder

Pagina 18 van 21

de technische dienst. Niet alle locaties beschikken hierover. Locaties zijn wel voorzien van dubbele netwerkverbindingen.

Op locatie De Esdoorn wisten de medewerkers van een noodpian, voor situaties als stroomuitval. Medicatie uitdelen kan dan nog gewoon doorgaan, omdat uitgifte nog op papier wordt bijgehouden. Ook is er per cliënt een papieren zorgkaart met relevante informatie die voor noodsituaties wordt bijgewerkt.

Een centraal overzicht van noodprocedures ontbreekt en het was tijdens het inspectiebezoek niet bekend in hoeverre noodmaatregelen werden getest. Ook was niet geheel duidelijk bij de betrokkenen hoe precies de scheidslijnen liepen voor de verschillende verantwoordelijkheden voor de noodplannen en maatregelen.

Pagina 19 van 21

Bijlage 1: Algemene uitleg van de beoordelingen

Niveau Uitleg

Afwezig

De zorgaanbieder besteedt niet aantoonbaar aandacht

aan het onderwerp en/of heeft geen herkenbaar proces. Er ligt niets vast.

Aanwezig

De zorgaanbieder besteedt aantoonbaar aandacht aan

het onderwerp. Er kan een gedocumenteerd proces

zijn, maar in de praktijk kent niet iedereen dit. Of

medewerkers volgen het niet altijd.

Operationeel

De zorgaanbieder heeft een gedocumenteerd proces.

Medewerkers kennen dit en volgen het ook.

Geborgd

De zorgaanbieder heeft een gedocumenteerd proces.

Medewerkers kennen dit en volgen het ook. De zorgaanbieder kijkt naar de resultaten en brengt verbeteringen aan waar mogelijk.

Pagina 20 van 21

Bijlage 2: Overzicht van documenten die zijn bestudeerd

Voor en/of tijdens het inspectiebezoek zijn de volgende documenten bestudeerd:

- Strategische agenda 2019-2020 ‘Waar je er als mens toe doet’

- Kaderbrief 2020

- Kwaliteitsbeleid 2019-2021, oktober 2019

- Implementatieplan kwaliteitsbeleid, september 2019

- Kwaliteitspian 2020

- Inkoopbeleid 2019-2022, maart 2019

- Jaarplan ICT ZGIJV 2020, verder op de ingeslagen weg

- Statusoverzicht ICT-projecten (geen datum)

- Applicatielandschap en relaties ZGIJV eind 2018

- Applicatielandschap en relaties ZGIJV eind 2019

- Voorstel innovatieprogramma Zonnehuisgroep IJssel en Vecht, september 2019

- Presentatie innovatieprogramma Zonnehuisgroep IJssel en Vecht, september 2019

- Privacybeleid, oktober 2019

- Rapportage privacy scan, mei 2019

- Offerte beheer IT-omgeving ZGIJV, december 2013

- Voorbeeld verwerkersovereenkomst volgens Actiz-model

- Bewerkersovereenkomst Medimo, 2015

- Programma van eisen ECD Zorgcombinatie Zwolle Smart, 2008

- PID (projectplan implementatie) Quality in are UIC Zorgcombinatie Zwolle, 2010

- Zorgcombinatie Zwolle^— leveranciersbeoordelingskader le toetsing ECD-RP

- Intrakoop evaluatie Cormel IT

- Gebruiks- en onderhoudsovereenkomst voor Quality in Care (QIC), 2009

- Pakket van eisen project medicatieveiligheid pilot Groot Zwolle, september 2019

- Normen en standaarden Medimo

- Scoretabel leveranciers EVS, september 2019

- Kostenvergelijk aanbieders EVS, september 2019

- Intra koop evaluatie Medimo

- Medimo Data Protection Impact Assessment, juni 2019

- Notulen overleg domotica, september/oktober 2019

Pagina 21 van 21