Rapport van het inspectiebezoek in het kader van het toezicht op e-health aan Zorggroep Noorderboog te Meppel op 17 november 2020

Rapport van het inspectiebezoek in het kader van het toezicht op e-health aan

Zorggroep Noorderboog te Meppel op 17 november 2020

XX XXX

Utrecht, 12 januari 2021

Pagina 2 van 17

Inhoud

Inhoud ... 2

1 Inleiding ... 3

1.1 Aanleiding en belang ... 3

1.2 Onderzoeksvragen ... 3

1.3 Onderzoeksmethode en toetsingskader ... 4

2 Conclusie ... 6

3 Handhaving ... 8

3.1 Maatregelen ... 8

3.2 Aanbevelingen ... 8

3.3 Vervolgacties inspectie ... 8

4 Resultaten ... 9

4.1 Goed bestuur en verantwoord innoveren ... 9

4.2 Invoering en gebruik van e-health-producten en -diensten ... 11

4.3 Patiëntparticipatie ... 12

4.4 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens 13 4.5 Informatiebeveiliging en continuïteit... 14

Bijlage 1: Algemene uitleg van de beoordelingen ... 16

Bijlage 2: Overzicht van documenten die zijn bestudeerd ... 17

Pagina 3 van 17

1 Inleiding

De Inspectie Gezondheidszorg en Jeugd (de inspectie) bezocht op 17 november 2020 Zorggroep Noorderboog te Meppel (hierna: de zorgaanbieder). Het onderwerp van het bezoek was de inzet van informatie- en communicatietechnologie in de zorg. Dit heet ook wel ‘e-health’ of ‘digitale zorg’.

De inspectie toetste of de zorgaanbieder bij het gebruik van e-health zorgt voor de nodige voorwaarden voor goede en veilige zorg, die volgen uit wetten, (veld)normen en richtlijnen op dit gebied.

1.1 Aanleiding en belang

Onder e-health verstaat de inspectie: de inzet van hedendaagse informatie- en communicatietechnologie (ICT), in het bijzonder internettechnologie, om de gezondheid en gezondheidszorg te ondersteunen of te verbeteren.

Voorbeelden hiervan zijn elektronische patiëntendossiers (EPD’s) en elektronische uitwisseling van gegevens Met e-health bedoelt de inspectie dus ook de meer traditionele zorg-ICT. Maar ook patiëntenportalen, medische apps, monitoring van chronische patiënten op afstand, en inzet van online behandeling of begeleiding.

De inspectie is positief over de mogelijkheden die e-health kan bieden. E-health kan de zorg minder laten afhangen van tijd en plaats. Ook kan het de communicatie tussen patiënt (of cliënt/bewoner) en zorgverlener helpen. En die tussen

zorgverleners. Dit wordt belangrijker nu de patiënt vaker te maken krijgt met een netwerk van zorgaanbieders.

Tegelijk vindt de inspectie het belangrijk dat de inzet van e-health doordacht gebeurt. Ook bij de inzet van e-health moet de zorgaanbieder de kwaliteit en veiligheid van de zorg bewaken. Vooral grote organisaties leunen steeds meer op e-health. Dat vraagt erom dat de zorgaanbieder zorgt voor goede voorwaarden in de organisatie.

De nieuwe mogelijkheden kennen helaas ook risico’s. Denk bijvoorbeeld aan de uitval van systemen, fouten ontstaan door systeemupdates of gebruikersfouten. Ook ontwikkelen de wetgeving en normering zich verder. Denk aan de wet ‘aanvullende bepalingen verwerking persoonsgegevens in de zorg’, die in juli 2017 is ingegaan.

Sinds het najaar van 2017 kijkt de inspectie bij zorgaanbieders naar e-health.

Daarbij toetst de inspectie of de zorgaanbieder zorgt voor de goede randvoorwaarden voor digitale zorg. De inspectie komt onder andere bij ziekenhuizen en aanbieders van verpleging en verzorging, geestelijke gezondheidszorg of gehandicaptenzorg.

In het toezicht op e-health betrekt de inspectie verschillende wetten, veldnormen en richtlijnen op het gebied van ICT in de zorg (zie 1.3).

1.2 Onderzoeksvragen

Het doel van het bezoek was om te toetsen of de zorgaanbieder bij de inzet van ICT (e-health) zorgt voor de nodige voorwaarden voor goede en veilige zorg, die volgen uit wetten, (veld)normen en richtlijnen op dit gebied.

Pagina 4 van 17

1.3 Onderzoeksmethode en toetsingskader

Bij het bezoek gebruikte de inspectie een toetsingskader, dat is gepubliceerd op de website van de IGJ¹.

Een toetsingskader moet praktisch bruikbaar zijn. Daarom heeft de inspectie tijdens het bezoek gekeken naar de volgende vijf onderwerpen. Daarin zijn de

verschillende normen en richtlijnen meegenomen.

Onderwerp Uitleg

Goed bestuur en verantwoord innoveren

Het bestuur van de zorgaanbieder moet ‘in control’ zijn, ook op het gebied van e-health. Dit vraagt om een helder en gedragen beleid. Het bestuur moet de verantwoordelijkheden goed regelen bij inzetten van technische innovaties, zoals e-health. Ook een goede inrichting van de besluitvorming hoort daarbij.

Invoering en gebruik van e-health-

producten en -diensten

De zorgaanbieder moet bij invoering en gebruik van e-health-producten en -diensten zorgen voor goede voorwaarden. De zorgaanbieder zorgt bijvoorbeeld voor duidelijke eisen aan producten en diensten. Ook moet de zorgaanbieder goed omgaan met mogelijke risico’s.

Belangrijke voorwaarden zijn verder goede training, goed testen en goed onderhoud.

Patiëntparticipatie De patiëntenzorg wordt steeds afhankelijker van e-health. Daarom is het belangrijk dat de zorgaanbieder de cliëntenraad raadpleegt over het beleid. De

zorgaanbieder kijkt hoe geschikt e-health-producten en -diensten zijn voor patiënten. Ook zorgt de

zorgaanbieder voor goede informatie en begeleiding voor patiënten.

Samenwerken in het netwerk en

elektronisch vastleggen en uitwisselen van gegevens

E-health kan andere vormen van samenwerken mogelijk maken tussen zorgverleners. Daarbij is het belangrijk dat de zorgaanbieder duidelijke afspraken maakt met andere zorgaanbieders over digitale samenwerking.

Daarbij moet de zorgaanbieder zorgen voor goede organisatorische en technische maatregelen.

Informatiebeveiliging

en continuïteit De groeiende afhankelijkheid van ICT vraagt erom dat de organisatie zorgt voor de continuïteit. Daar horen goede afspraken en maatregelen bij voor

informatiebeveiliging.

1 Zie https://www.igj.nl/publicaties/toetsingskaders/2019/10/18/toetsingskader-inzet-van-e- health-door-zorgaanbieders

Pagina 5 van 17

De inspectie heeft het bezoek kort van tevoren bekend gemaakt. Dit was nodig om de zorgaanbieder de mogelijkheid te geven gesprekspartners vrij te maken. Ook heeft de inspectie gevraagd om een aantal documenten ter voorbereiding op te leveren. Een overzicht staat in bijlage 2 van dit rapport.

Tijdens het bezoek heeft de inspectie met verschillende betrokkenen gesproken over de thema’s van het toetsingskader. Dit waren personen in de volgende rollen:

- bestuurder;

- regiomanager;

- manager IKP (informatie, kwaliteit en processen);

- beleidsadviseur;

- logopedist (2x);

- fysiotherapeut;

- verpleegkundige GRZ (geriatrische revalidatiezorg);

- specialist ouderengeneeskunde;

- voorzitter centrale medezeggenschapsraad (CMR);

- lid CMR;

- leidinggevende;

- persoonlijk begeleider / coach voor het ECD;

- cliëntverwant;

Ook heeft de inspectie tijdens het bezoek drie e-health-toepassingen bestudeerd.

Het gaat om de volgende voorbeelden:

1. Beeldzorg.*

2. Logopedie-oefenapps.*

3. Cliënten/verwanten-app.

*voorbeeld 1 en 2 werden tegelijkertijd behandeld in gesprek met twee logopedisten.

1. Beeldzorg: de zorgaanbieder verleent beeldzorg/zorg op afstand via een

eenvoudige app, die erop is gericht dat cliënten hier makkelijk mee kunnen werken.

Onder andere de logopedisten maken hiervan gebruik; zij zetten de app in om hun cliënten op afstand te kunnen begeleiden zodat deze hiervoor niet naar de

zorglocatie hoeven te komen. De zorgaanbieder heeft de beeldzorgoplossing vanwege de coronacrisis versneld ingevoerd.

2. Logepedie-oefenapps: naast beeldzorg zetten de logopedisten ook

behandelapps in die binnen hun beroepsgroep breder worden gebruikt. Hieronder valt een app die is ontwikkeld binnen een academisch medisch centrum. In deze app kan de logopedist voor de cliënt oefeningen klaar zetten, die de cliënt vervolgens zelfstandig kan uitvoeren.

3. Cliënten/verwanten-app: de zorgaanbieder stelt een app beschikbaar voor cliënten en verwanten, waarmee de cliënt en/of verwant inzage kan krijgen in het zorgplan en in de rapportages over de zorg aan de cliënt. De app is gekoppeld met het elektronisch cliëntendossier (ECD).

De resultaten van het inspectiebezoek staan beschreven in hoofdstuk 4 van dit rapport. De beoordeling bij elk onderwerp volgt in een vierpuntsschaal: afwezig, aanwezig, operationeel en geborgd. Zie bijlage 1 voor een uitleg over deze begrippen.

Pagina 6 van 17

2 Conclusie

De inspectie concludeert dat de zorgaanbieder bij de inzet van ICT in de zorg (e-health) voor een belangrijk deel zorgt voor de juiste randvoorwaarden voor goede en veilige zorg.

De inspectie komt tot de volgende deelconclusies:

De zorgaanbieder ontwikkelt en verbetert proactief zijn aanpak van innovaties op het gebied van e-health/zorgtechnologie; dit is een lopend proces

De zorgaanbieder heeft een nieuwe e-health strategie ontwikkeld om innovaties meer vanuit een visie in te voeren en effectieve implementatie te versnellen. Men pakt innovaties multidisciplinair aan volgens een bestaande methodiek

(innovatiefilter). De nieuwe innovatiemethodiek moet vanuit de praktijkervaringen nog verder worden uitgewerkt (bijvoorbeeld met criteria voor go/no go-besluiten).

De zorgaanbieder ondersteunt innovaties met onderzoek. De afdeling verantwoordelijk voor informatisering staat dicht bij het bestuur en benadert

informatiebehoefte vanuit behoeften van het zorgproces. Het bestuur houdt zicht op de kostenontwikkeling van informatisering en innovatie. Het bestuur heeft een globaal beeld van de risico’s van de informatievoorziening maar brengt deze nog niet systematisch in beeld volgens een vaste methodiek.

De invoering van e-health gebeurt op een zorgvuldige wijze, hoewel een meer uniforme aanpak wenselijk is

De zorgaanbieder werkt op een projectmatige, gestructureerde manier aan de invoering van digitale mogelijkheden. Middelen als een programma van eisen en een prospectieve risico-inventarisatie worden hierbij ingezet. Niet alle voor invoering belangrijke aspecten zijn altijd aanwezig. Winst is dus nog te behalen door

invoeringstrajecten meer te uniformeren, bijvoorbeeld door standaard checklists of projectdocumentatie.

De zorgaanbieder betrekt op projectniveau het cliëntperspectief bij de invoering en het gebruik van e-health

De behoeften, wensen en eisen van cliënten en hun vertegenwoordigers komen naar voren in verschillende projecten en op verschillende locaties. De zorgaanbieder neemt deze inbreng ook mee. De in 2020 in gang gezette innovatie- en

onderzoeksaanpak zal helpen om ook op centraal en strategisch niveau het cliëntperspectief meer mee te nemen.

De zorgaanbieder besteedt voldoende aandacht aan elektronische gegevenswisseling

De zorgaanbieder heeft geregeld overleg met samenwerkingspartners, ICT en innovatie zijn hierbij nog geen vast onderwerp, maar hier zijn wel al voornemens voor uitgesproken in het samenwerkingsverband. De zorgaanbieder heeft diverse relevante systemen voor elektronische gegevensuitwisseling ingericht en heeft koppelingen opgenomen in een architectuuroverzicht. De zorgaanbieder legt afspraken voor o.a. informatiebeveiliging vast in verwerkersovereenkomsten.

Pagina 7 van 17

De zorgaanbieder kan onvoldoende aantonen dat het managementsysteem voor informatiebeveiliging in de praktijk de relevante risico’s afdekt en effectief is

De zorgaanbieder heeft een informatiebeveiligingsbeleid en heeft diverse technische en organisatorische beheersmaatregelen ingevoerd. De zorgaanbieder heeft deels in kaart gebracht of de vastlegging van maatregelen voldoende is maar beschikt niet over een onafhankelijke beoordeling van de effectiviteit van het

managementsysteem voor informatiebeveiliging. Daardoor is de volledigheid en de effectiviteit van het managementsysteem voor informatiebeleid niet duidelijk in beeld en is niet duidelijk of de kwaliteitscyclus (plan-do-check-act) voor

informatiebeveiliging in de praktijk werkt. De zorgaanbieder heeft diverse

maatregelen genomen voor het borgen van de continuïteit; niet alle medewerkers blijken zich echter bewust van de voor hun werk relevante maatregelen.

Pagina 8 van 17

3 Handhaving

3.1 Maatregelen

Richt de informatiebeveiliging in 2021 aantoonbaar in volgens NEN 7510 Zorgaanbieders zijn wettelijk verplicht te voldoen aan de NEN 7510; de kern hiervan is dat een organisatie een lerend managementsysteem heeft op het gebied van informatiebeveiliging dat leidt tot regelmatige evaluatie en verbetering van de informatiebeveiliging. Een belangrijk onderdeel daarvan is dat met regelmaat een onafhankelijke beoordeling wordt gedaan die inzicht geeft in de status van de benodigde beheersmaatregelen. Op basis hiervan kan de organisatie vervolgens verbeteringen doorvoeren. Zie paragraaf 3.3 voor de bijbehorende vervolgactie.

3.2 Aanbevelingen

De inspectie geeft de volgende punten van verbetering aan:

Werk het proces van de innovatiefilter verder uit

Het verder uitwerken van dit proces kan duidelijkheid geven voor betrokkenen en ervoor helpen zorgen dat aan relevante aspecten tijdig aandacht wordt besteed.

Denk bijvoorbeeld aan: het onderscheid tussen een experiment en een project (wanneer is een projectorganisatie nodig?), welke criteria gelden voor go/no go momenten, wie is verantwoordelijk voor beoordelen van welke deelcriteria, hoe kunnen evaluaties plaatsvinden?

Betrek de CMR structureel bij de uitwerking van de nieuwe strategie Cliënten en hun wensen, eisen en behoeften worden bij de invoering van e-health producten en diensten betrokken. Dit gebeurt nog onvoldoende op het niveau van de Cliënt Medezeggenschaps Raad (CMR). Hier is behoefte aan en de zorgaanbieder staat hier ook open voor.

De inspectie verwacht dat de Raad van Bestuur de genoemde punten ter harte zal nemen.

3.3 Vervolgacties inspectie

De inspectie verwacht per 30 april 2021² de resultaten van een onafhankelijke beoordeling zoals aangegeven in NEN 7510. Zoals aangegeven in de NEN 7510 moet deze beoordeling worden uitgevoerd door personen met een onafhankelijke positie ten opzichte van het te beoordelen gebied, bijv. door de interne auditor, een onafhankelijke manager of een externe organisatie die gespecialiseerd is in dergelijke beoordelingen. De beoordeling moet voldoende duidelijk maken wat de status is per categorie van beheersmaatregelen (zoals aangegeven in bijlage A van de NEN 7510). Indien de inhoud van de beoordeling hiertoe aanleiding geeft, dan verwacht de inspectie ook een aanpassing van het bestaande verbeterplan.

Overige zaken kunnen worden opgevolgd in het reguliere toezicht.

2 Indien ten gevolge van de coronacrisis termijnen onder druk komen te staan, dan verzoekt de inspectie om hierover in gesprek te gaan.

Pagina 9 van 17

4 Resultaten

4.1 Goed bestuur en verantwoord innoveren Getoetste normen:

- De raad van bestuur heeft de controle over de e-health-ontwikkelingen. De zorgaanbieder heeft een beleid voor e-health en heeft hierbij de mensen betrokken die er belang bij hebben. Hij heeft taken en

verantwoordelijkheden belegd in de organisatie. Hij regelt een duidelijke besluitvorming. De zorgaanbieder heeft aandacht voor risicomanagement en kwaliteitsborging van de e-health/ICT-omgeving. Het bestuur krijgt

stuurinformatie.

Afwezig Aanwezig Operationeel Geborgd Goed bestuur en verantwoord

innoveren √

Uitleg:

De zorgaanbieder heeft een nieuwe e-health strategie ontwikkeld om innovaties meer vanuit een visie in te voeren en effectieve implementatie te versnellen

De zorgaanbieder heeft al langere tijd ervaringen opgedaan met

e-health/zorgtechnologie. Zeer recent³ heeft een multidisciplinair team een nieuwe strategie ontwikkeld voor innovatie en de inzet van zorgtechnologie. Dit was nodig omdat men had geconstateerd dat invoer van zorgtechnologie in het verleden niet altijd gebeurde vanuit een visie of een onderbouwd plan. Sommige innovaties strandden daardoor in de praktijk. Ook kwam e-health nog te weinig terug in de afdelingsplannen en deed de zorgaanbieder voorheen nog weinig onderzoek naar redenen waarom innovaties wel of niet aansloegen.

De zorgaanbieder pakt innovaties multidisciplinair aan volgens een bestaande methodiek (innovatiefilter)

De nieuwe visie is gericht op innovaties met toegevoegde waarde voor cliënt en medewerker en voorziet in een multidisciplinaire innovatiecommissie, waarin verschillende afdelingen en deskundigen vertegenwoordigd zijn. Dit zijn

management, de afdelingen Beleid en Kwaliteit, Informatie, Kwaliteit en Processen, Communicatie, Medewerker, ontwikkeling & opleiding (MO&O) en de

Verpleegkundige en Verzorgende Adviesraad. Innovatie-ideeën komen centraal binnen bij dit team, dat vervolgens gaat over triage, budget, begeleiding bij implementatie en communicatie. Het proces volgt het ‘innovatiefilter’, zoals

ontwikkeld door Brabantzorg/Avans. Het proces bestaat uit een waardeanalyse, een quick scan, een business case en een pilot. Het gaat niet alleen om het stimuleren van nieuwe ontwikkelingen, maar ook om effectief gebruik van ingevoerde

innovaties.

3 Conceptversie 0.6, 8 oktober 2020

Pagina 10 van 17

De nieuwe innovatiemethodiek moet vanuit de praktijkervaringen nog verder worden uitgewerkt

De zorgaanbieder is pas begonnen met deze methodiek en heeft inmiddels zes aanmeldingen via het loket binnengekregen. Onderwerpen zijn onder andere

toegang van externe behandelaars tot het EPD, deuropeners en inzet van een smart glass voor inroepen van expertise op afstand. De methodiek is nog niet op alle punten uitgekristalliseerd. Zaken die tijdens het inspectiebezoek nog niet geheel duidelijk waren, waren bijvoorbeeld: het onderscheid tussen een experiment en een project (wanneer is een projectorganisatie nodig?), welke criteria gelden voor go/no go momenten, wie verantwoordelijk is voor beoordelen van welke deelcriteria, hoe evaluaties plaatsvinden.

De zorgaanbieder ondersteunt innovaties met onderzoek

De zorgaanbieder wil ook meer doen aan onderzoek naar de geïmplementeerde innovaties. Daarvoor is een commissie Kennis & Onderzoek ingesteld. Deze commissie heeft een nauwe relatie met de eerder genoemde innovatiecommissie.

Voor onderzoek werkt de zorgaanbieder onder andere samen met het UMCG (het Universitair Netwerk Ouderenzorg), Windesheim in Zwolle en het Drenthe College in Meppel. Studenten doen onder andere evaluatie-onderzoek van de inzet van

beeldzorg.

De afdeling verantwoordelijk voor informatisering staat dicht bij het bestuur en benadert informatiebehoefte vanuit behoeften van het zorgproces

Het hoofd van de afdeling IKP rapporteert direct aan de bestuurder. Er is een gedetailleerd informatieplan dat een overzicht geeft van de informatiesystemen en voorgenomen activiteiten en projecten. De afdeling combineert proceskennis met informatiemanagement en benadert informatiebehoeften vanuit de behoeften van het (zorg)proces. De afdeling is verantwoordelijk voor functioneel en technisch beheer (inclusief domotica), verzorgt een skilled servicedesk en heeft een procesontwerper met kennis van de lean-methodiek. Het hoofd IKP verzorgt het documenteren en bijhouden van architectuuroverzichten.

Het bestuur houdt zicht op de kostenontwikkeling van informatisering en innovatie

Er is een ICT-budget en een apart geoormerkt innovatiebudget. Verder is er een investeringsbegroting die er op gericht is om de afschrijvingen constant te houden.

Het ICT-budget vertoont een stijgende lijn, onder andere vanwege de inzet van domotica.

Het bestuur heeft een globaal beeld van de risico’s van de

informatievoorziening maar brengt deze nog niet systematisch in beeld volgens een vaste methodiek

Als het gaat om risico’s van e-health en ICT ziet de bestuurder die vooral op het gebied van de veiligheid en continuïteit van de systemen en op het punt van digivaardigheden van medewerkers. Op beide punten lopen acties. Systemen worden zoveel mogelijk naar de cloud gebracht en als service afgenomen om afhankelijkheden van eigen infrastructuur weg te nemen en flexibelere te kunnen werken. Op het punt van digitale vaardigheden loopt onderzoek door HBO-V studenten. Dit resulteert in een plan voor de vergroting van digitale vaardigheden van medewerkers in 2021.

Pagina 11 van 17

4.2 Invoering en gebruik van e-health-producten en -diensten Getoetste normen:

- De zorgaanbieder heeft een proces afgesproken voor de invoering van e- health-producten of -diensten. Hij brengt daarbij de nodige experts samen.

De zorgaanbieder stelt programma’s van eisen op. De zorgaanbieder doet risicoanalyses. Hij zorgt voor training van gebruikers en testen van producten en diensten voor het in gebruik nemen. Ook regelt de zorgaanbieder het onderhoud.

Afwezig Aanwezig Operationeel Geborgd Invoering en gebruik van e-health-

producten en -diensten √

Uitleg:

De invoering en het gebruik van e-health gebeuren niet altijd op een projectmatige, gestructureerde wijze. Veel elementen van zo’n aanpak zijn in de praktijk wel aanwezig, maar tijdens het inspectiebezoek bleek dat er op dit punt de nodige verschillen waren tussen afzonderlijke projecten/voorbeelden. De door de organisatie geformuleerde strategie is mede geformuleerd om dit aan te pakken.

De zorgaanbieder maakt eisen expliciet, maar niet altijd

Bij sommige projecten stelt de zorgaanbieder een pakket van eisen op voor

aanschaf van e-health producten of diensten, zoals bijvoorbeeld bij de aankoop van domotica. De zorgaanbieder heeft hier een template voor beschikbaar. Het in kaart brengen van de eisen vooraf gebeurt in de praktijk niet altijd. Tijdens het bezoek trof de inspectie geen duidelijke criteria aan voor welke selectietrajecten een pakket van eisen wel of niet een vereiste is. Bij een van de voorbeelden die tijdens het bezoek aan de orde kwamen, de verwanten-app, was er geen selectietraject, eenvoudigweg omdat er maar één marktpartij was die kon leveren wat nodig was.

Verder is tijdens de eerste golf van de covid19-pandemie noodgedwongen versneld overgegaan tot invoering van beeldzorg. De selectie daarvan verliep aan de hand van een overzicht van eigenschappen van verschillende producten; er was geen tijd voor het opstellen van een programma van eisen. De zorgaanbieder geeft aan dat bij bewezen effectieve producten of diensten de innovatiecommissie bewust kiest voor een snelle, pragmatische aanpak.

Risico-analyses aanwezig bij projecten

Bij e-health trajecten die in een projectvorm worden uitgevoerd wordt via een vaste paragraaf aandacht geschonken aan risico’s. Dat gebeurt onder meer in de vorm van een PRI (prospectieve risico inventarisatie). Voor het voorbeeld van de beeldzorg-app is een PRI getoond. Niet elk traject wordt in een projectvorm uitgevoerd en een inventarisatie van risico’s is dan ook niet standaard.

Aandacht voor training en verhogen digitale vaardigheden

Bij alle e-health trajecten speelt de digitale vaardigheid van gebruikers een rol. De zorgaanbieder speelt hier op in. Dit gebeurt bijvoorbeeld door inzet van e-learning (o.a. over de Mikzo classificatie), handleidingen en aandacht op het intranet.

Training van medewerkers op het gebruik van het ECD loopt via superusers en

‘training on the job’. Er wordt onderzoek gedaan door studenten HBO-V hoe structureel aandacht te geven aan de ontwikkeling van digitale vaardigheden.

Pagina 12 van 17

Onderhoudsafspraken belegd bij IKP

Afspraken over onderhoud van e-health producten en diensten worden bijgehouden door de afdeling Informatie-, Kwaliteit- en Procesmanagement (IKP). Medewerkers weten – eventueel via de servicedesk – deze afdeling te vinden voor nieuwe initiatieven en het doorgeven van wijzigingen.

4.3 Patiëntparticipatie Getoetste normen:

De zorgaanbieder bespreekt de keuzes over e-health met

patiëntvertegenwoordigers. De zorgaanbieder kijkt wanneer en e-health-product of -dienst wel of niet geschikt is. Daarbij houdt hij rekening met de zorgbehoefte van patiënten en de eigenschappen van de e-health-dienst. Patiënten krijgen voldoende informatie. Zo kunnen zij beslissen of een e-health-product of -dienst past bij hun zorgbehoefte. Ze zijn dus ook op de hoogte van mogelijke risico’s. De zorgaanbieder maakt duidelijk hoe patiënten hulp kunnen krijgen bij e-health.

Afwezig Aanwezig Operationeel Geborgd

Patiëntparticipatie √

De zorgaanbieder heeft aandacht voor betrekken cliënten, op

locatie/projectniveau, maar op centraal/strategisch niveau is dit nog onvoldoende ontwikkeld

De zorgaanbieder heeft medezeggenschap langs twee assen georganiseerd: inbreng via het locatieniveau (Cliëntenbelang) en meer algemene, overkoepelende inbreng via de centrale Cliënt Medezeggenschap Raad (CMR). Daarnaast nemen CMR leden plaats in specifieke werkgroepen/commissies, zoals de commissie Kennis &

Onderzoek. Het onderwerp e-health en innovatie staat op het centrale niveau nog niet op de agenda. Naar eigen zeggen was de CMR pas kort voor het bezoek op de hoogte gesteld van de in oktober vastgestelde strategie. De grote lijnen daarvan worden overigens ondersteund en men gaat hierover graag in gesprek. Het betrekken van eisen, wensen en behoeften van cliënten gebeurt bij veel van de bestudeerde toepassingen en projecten. De zorgaanbieder doet ook iets met deze inbreng, bijvoorbeeld tijdens de invoering van de verwanten-app (via

dialoogbijeenkomsten) of naar aanleiding van vragen vanuit de familie tijdens de eerste golf van de covid19-pandemie.

Digitale mogelijkheden worden met ondersteuning en passend bij voorkeuren van cliënten aangeboden

Bij e-health toepassingen voor cliënten en/of hun verwanten wordt aandacht besteed aan duidelijke handleidingen en instructies. Niet altijd zijn die instructies nodig; zo was het beeldbellen, dat versneld werd ingevoerd tijdens de eerste golf, zeer eenvoudig in gebruik. Zorgverleners geven aan de digitale mogelijkheden af te stemmen op de mogelijkheden en wensen van cliënten, zoals bijvoorbeeld bij beeldzorg en de Speech Therapy App (STAPP). Wat voor de ene cliënt een uitkomst is, kan voor de andere verontrustend zijn.

Pagina 13 van 17

Onderzoek naar ervaringen en wensen van cliënten is nog niet standaard Er is geen sprake van structurele evaluatie of onderzoeken van ervaringen van cliënten en hun verwanten. Wel zijn er initiatieven, onder meer vanuit de commissie Kennis & Onderzoek, om meer te evalueren. Studenten zijn bijvoorbeeld bezig met een kwalitatieve evaluatie van beeldzorg. Hierbij wordt ook de CMR betrokken. De nieuwe strategie op het vlak van innovatie kan ook deze onderzoekskant verder helpen.

4.4 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens

Getoetste normen:

De zorgaanbieder kent de andere zorgaanbieders met wie hij samen zorg levert aan patiënten. Hij spreekt met hen de (zorginhoudelijke) informatie af die daarbij nodig is. Hij regelt dat de zorgverleners deze informatie kunnen uitwisselen. De

zorgaanbieder legt afspraken over elektronische uitwisseling vast. De zorgaanbieder vraagt de patiënt toestemming voor elektronische uitwisseling als dat moet. De zorgaanbieder regelt samen met de mede-zorgaanbieders in de regio de medicatieoverdracht.

Afwezig Aanwezig Operationeel Geborgd Samenwerken in het netwerk en

elektronisch uitwisselen van

gegevens √

Uitleg:

De zorgaanbieder heeft geregeld overleg met samenwerkingspartners, ICT en innovatie zijn hierbij nog geen vast onderwerp, maar hier zijn wel voornemens voor

Voor de zorgaanbieder is samenwerking met andere organisaties belangrijk. Dit is ook opgenomen in de visie die is gedocumenteerd in het informatieplan. De zorgaanbieder neemt onder andere deel aan een samenwerking van 14

V&V-organisaties in de regio. Deze samenwerking is in de coronacrisis nog verder versterkt. Er zijn voornemens om ook op het gebied van ICT en innovatie meer samen op te trekken maar dit moet nog wel verder vorm krijgen. De zorgaanbieder heeft ook geregeld overleg met de ziekenhuizen in de regio (Isala en Treant

zorggroep). Er is in de regio geen regionale samenwerkingsorganisatie zoals bv. in Twente of Friesland die faciliteert bij het inrichten van gegevensuitwisseling tussen zorgorganisaties.

De zorgaanbieder heeft diverse relevante systemen voor elektronische gegevensuitwisseling ingericht en heeft koppelingen opgenomen in een architectuuroverzicht

Het informatieplan bevat een architectuuroverzicht waarin de gegevenskoppelingen met andere (typen) organisaties zijn opgenomen, waaronder huisartsen, apotheek en ziekenhuizen. De zorgaanbieder heeft met diverse bestaande systemen voor gegevensuitwisseling aansluitingen ingeregeld (bijvoorbeeld zorgdomein, POINT, Zorgmail). Voor medicatie maakt de zorgaanbieder gebruik van elektronische toedienregistratie (Medimo); de apotheek zorgt voor de medicatielijsten.

Doseerschema’s voor bloedverdunners zijn digitaal beschikbaar via een portaal. Er zijn afdelingen waar dit overzicht wordt geprint.

Pagina 14 van 17

De zorgaanbieder legt afspraken voor o.a. informatiebeveiliging vast in verwerkersovereenkomsten

De zorgaanbieder beschikt over verwerkersovereenkomsten, in het kader van het bezoek zijn enkele hiervan ingezien. Deze stellen onder andere regels aan de informatiebeveiliging.

4.5 Informatiebeveiliging en continuïteit Getoetste normen:

Informatiebeveiliging: het bestuur heeft gezorgd voor het inrichten, invoeren, onderhouden en aldoor verbeteren van een managementsysteem voor

informatiebeveiliging. De organisatie heeft een continuïteitsstrategie afgesproken, gedocumenteerd, ingevoerd en getest.

Afwezig Aanwezig Operationeel Geborgd Informatiebeveiliging en

continuïteit √

Uitleg:

De zorgaanbieder heeft een informatiebeveiligingsbeleid en heeft diverse technische en organisatorische beheersmaatregelen ingevoerd

De zorgaanbieder beschikt over een beleid voor informatiebeveiliging. Ook zijn er diverse organisatorische en technische beheersmaatregelen uitgevoerd. Hieronder vallen ook maatregelen op het gebied van training en bewustzijn, zoals een phishing-test onder het personeel. Tijdens het bezoek kon echter niet eenduidig worden vastgesteld in welke mate het managementsysteem voor

informatiebeveiliging de bestaande risico’s voldoende in kaart brengt, in hoeverre de beheersmaatregelen effectief zijn geïmplementeerd en of ze zijn geëvalueerd.

De zorgaanbieder heeft deels in kaart gebracht of de vastlegging van maatregelen voldoende is maar beschikt niet over een onafhankelijke beoordeling van de effectiviteit van het managementsysteem voor informatiebeveiliging

De zorgaanbieder heeft een ‘implementatiematrix AVG’ waaruit de stand van zaken rondom enkele beheersmaatregelen ten dele valt af te leiden. De laatste

statusupdate is van 31 december 2019. Deze implementatiematrix is echter vooral gericht op privacy-aspecten en geeft geen systematisch inzicht in de diverse onderdelen die volgens de wettelijke norm NEN 7510 relevant zijn voor

informatiebeveiliging (informatiebeveiliging heeft niet alleen te maken met privacy, maar ook met bijvoorbeeld beschikbaarheid van de systemen). Ook de

accountantsverklaring gaat deels in op informatiebeveiliging. Deze stelt dat gebleken is dat de beheersmaatregelen in voldoende mate zijn vastgelegd in schema’s en beschrijvingen. Echter, daaruit blijkt niet of de risico’s op het gebied van informatiebeveiliging systematisch in kaart zijn gebracht en de effectiviteit van beheersmaatregelen in de praktijk wordt gemonitord en geëvalueerd, zoals de norm voor informatiebeveiliging vereist. Ook is niet duidelijk hoe de scope van deze controle zich verhoudt tot de eisen in de wettelijke norm. De zorgaanbieder beschikt niet over een onafhankelijke beoordeling van het managementsysteem voor

informatiebeveiliging en een directiebeoordeling zoals de NEN 7510 vereist.

Daardoor is de volledigheid en de effectiviteit van het managementsysteem voor informatiebeleid niet duidelijk in beeld en is niet duidelijk of de kwaliteitscyclus (plan-do-check-act) voor informatiebeveiliging in de praktijk werkt.

Pagina 15 van 17

De zorgaanbieder heeft diverse maatregelen genomen voor het borgen van de continuïteit; niet alle medewerkers blijken zich echter bewust van de voor hun werk relevante maatregelen

Op het gebied van continuïteit heeft de zorgaanbieder diverse maatregelen

genomen. Er is een dubbel uitgevoerd datacenter, zorglocaties hebben een dubbele verbinding met het internet. Ook is er een back-up en restore schema, hiervan zijn echter geen praktijktesten gepland. Voor het ECD is bij geplande updates de

acceptatieomgeving in leesmodus beschikbaar. Ook voor verschillende storingen die de elektronische toedieningsregistratie betreffen is een gedetailleerde instructie beschikbaar. Hieruit blijkt onder andere dat het systeem de toedienlijsten dagelijks als back-up naar de afdelingsmailadressen toestuurt voor het geval er een storing is bij de leverancier. Tijdens het bezoek bleek dat niet alle medewerkers zich goed bewust zijn van het bestaan van dergelijke noodinstructies.

Pagina 16 van 17

Bijlage 1: Algemene uitleg van de beoordelingen

Niveau Uitleg

Afwezig De zorgaanbieder besteedt niet aantoonbaar aandacht aan het onderwerp en/of heeft geen herkenbaar proces. Er ligt niets vast.

Aanwezig De zorgaanbieder besteedt aantoonbaar aandacht aan het onderwerp. Er kan een gedocumenteerd proces zijn, maar in de praktijk kent niet iedereen dit. Of medewerkers volgen het niet altijd.

Operationeel De zorgaanbieder heeft een gedocumenteerd proces.

Medewerkers kennen dit en volgen het ook.

Geborgd De zorgaanbieder heeft een gedocumenteerd proces.

Medewerkers kennen dit en volgen het ook. De zorgaanbieder kijkt naar de resultaten en brengt verbeteringen aan waar mogelijk.

Pagina 17 van 17

Bijlage 2: Overzicht van documenten die zijn bestudeerd

Voor en/of tijdens het inspectiebezoek zijn de volgende documenten bestudeerd:

Beleid en organisatie:

• Innovatie en inzet zorgtechnologie binnen Zorggroep Noorderboog:

strategie, oktober 2020;

• Ideeënformulier, april 202;

• Innovatiefilter (illustratie), Brabantzorg, 2016;

• Informatieplan Zorggroep Noorderboog: voorbereid op de toekomst, december 2019;

• Voorbeeld SLA 1.0, november 2020;

• Programma van Eisen (referentiemodel), oktober 2018;

Gegevensuitwisseling:

• Verwerkersovereenkomst Noorderboog en Careconnections B.V., juli 2019;

• Verwerkersovereenkomst Noorderboog en Unit4 Business Software B.V., februari 2019;

Informatiebeveiliging:

• Management letter Zorggroep Noorderboog, externe accountant, 2019;

• Implementatiematrix AVG, 2019;

• Noodprocedure Medimo, februari 2018;

Beeldzorg:

• Speech Therapy App STAPP: Data Protection Impact Assessment (DPIA), april 2020;

• Behandelovereenkomst/informatiebrief STAPP – afasie cliënt, april 2020;

• Behandelovereenkomst/informatiebrief STAPP – familie, april 2020;

• Handleiding Mobiléa, januari 2020;

• Infographic Mobiléa: integratieproces van Beeldzorg in uw zorgorganisatie, juni 2020;

• Overzicht beeldbel oplossingen voor de zorg, Smarthealth, april 2020;

• Muismat instructie Mobiléa, juni 2020;

• Opdrachtbevestiging Inzet Mobiléa 'Pure eenvoud in beeldzorg', maart 2020;

• Oplegger en verwerkersovereenkomst STAPP en UMCG, december 2019;

• Toestemmingsformulier patiënt STAPP, april 2020;

Cliënten/verwantenapp:

• Beheerdocument Mijn Noorderboog Verwantenapp, februari 2020;

• Handleiding Mijn Noorderboog app: installatie en gebruik, december 2019;

• Handleiding Mijn Noorderboog app: uitdelen rechten, september 2019;

• SLA en Algemene Voorwaarden, november 2019;

• Toestemmingsformulier wilsbekwame cliënten, Mijn Noorderboog App, oktober 2020;

• Toestemmingsformulier wilsonbekwame cliënten, Mijn Noorderboog App, oktober 2020;

• Resultaten PRI (prospectieve risico inventarisatie), maart 2019;