Binnen de gezondheidssector krijgen zorginstellingen te maken met enkele belangrijke ontwikkelingen. Door deregulering en de invoering van meer marktprikkels ontstaat meer concurrentie op de kwaliteit en wordt er efficiënter gewerkt. Een andere belangrijke ontwikkeling is de invoering van het Elektronisch Patiënten Dossier (EPD) en de risico’s die dit met zich mee brengt voor de veiligheid van informatie. Wij vroegen het Jeroen Bosch Ziekenhuis (JBZ) op welke manier zij het hoofd biedt aan de uitdagingen die deze ontwikkelingen in de sector met zich mee brengen.
Druk op kostenbesparingen
De marktwerking in de zorg wordt uitgebreid. Dit jaar moet de vrij onderhandelbare zorg zelfs stijgen naar 70% van de totale zorg. Een ziekenhuis wordt zo een onderneming die zich moet positioneren op basis van een evenwichtige balans tussen prijs en kwaliteit. De druk op kostenbesparingen is voor de ICT-afdeling van het Jeroen Bosch Ziekenhuis voelbaar. Jeroen van de Ven, Unithoofd Beheer en Services van ICT van JBZ: “ Enerzijds moeten we continu op zoek naar kostenbesparingen. Anderzijds wordt de zorg duurder en worden we jaarlijks geconfronteerd met bezuinigingen vanuit de overheid.”
EPD
Ton Aben is sinds 2009 Information Security Officer bij het JBZ. “De regionale doorstart van het EPD leidt er toe dat steeds meer informatie toegankelijk moet worden gemaakt en moet worden gedeeld. Zorginstellingen zoeken immers meer en meer de samenwerking op.” Volgens Aben bereidt het JBZ zich voor op het EPD door patiëntendossiers en andere documentstromen te digitaliseren. “Digitalisering van informatie werkt kostenverlagend, vergroot de productiviteit en verbetert de kwaliteit van de zorg aan patiënten. Dat het ontsluiten van informatie op allerlei manieren mogelijk is biedt voordelen maar brengt ook risico’s met zich mee voor de veiligheid en privacy van informatie. Vooral het eigenaarschap van de data is een complex vraagstuk. Het EPD kan pas een succes zijn als alle beveiligingsissues zijn verholpen, zoals de privacy problematiek.”
NEN-7510
De herziening van de NEN 7510-norm vraagt om standaarden voor informatiegebruik en geldt voor informatie die opgeslagen is in ziekenhuis- en bedrijfsinformatiesystemen. Aben: “Het JBZ heeft in 2009 een plan van aanpak opgesteld om aan de NEN 7510-norm te voldoen. Het College bescherming persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg (IGZ) kwamen in 2008 tot de conclusie dat weinig ziekenhuizen voldeden aan de norm voor informatiebeveiliging. Dit wordt mede veroorzaakt door een zeer beperkt bewustzijn van de risico´s van onvoldoende informatiebeveiliging. De Nederlandse Vereniging van Ziekenhuizen (NVZ) heeft naar aanleiding hiervan een set van basismaatregelen voor informatiebeveiliging opgesteld voor ziekenhuizen. Deze maatregelen zijn door het IGZ goedgekeurd. Wij hebben een kwetsbaarheidanalyse uitgevoerd van de belangrijkste systemen en processen in het ziekenhuis en daarna verbeteringen doorgevoerd. Een externe audit in 2010 heeft aangetoond dat het JBZ aan de basisnorm voor informatiebeveiliging voldoet. Ons ziekenhuis is dus hard op weg om aan de NEN-normering te voldoen. Dit proces zal in ons ziekenhuis blijvend een rol spelen.”
Informatiebeveiligingssysteem
Volgens Aben zoekt het JBZ naar oplossingen die gebruikers extra voordelen bieden en tegelijk de informatiebeveiliging naar een hoger plan tillen. “Met een systeem voor authenticatiemanagement wordt de controle op het ontsluiten van gegevens geregeld. Hiermee kunnen we efficiënt goede zorg leveren, de patiëntveiligheid waarborgen en privacygevoelige gegevens conform wet -en regelgeving bewaken. Voor een succesvolle implementatie is draagvlak nodig omdat het kostbare en tijdrovende trajecten zijn die diep ingrijpen in de organisatie en de processen.”
Single sign-on
In het Jeroen Bosch Ziekenhuis draaien maar liefst 450 applicaties; een flinke uitdaging op het gebied van beheersbaarheid. De inrichting van een enterprise single sign-on voorziening met een pasjessysteem voor authenticatie biedt volgens Aben uitkomst. “Met de pas met pincode kunnen medewerkers één keer inloggen voor automatische toegang tot het gebouw, het netwerk, de applicaties, de kledingautomaat en het ziekenhuisrestaurant. Alle handelingen worden gelogd.” Voor de gebruiker biedt enterprise single sign-on vooral gebruiksgemak omdat deze te maken krijgt met minder wachtwoorden en inloggen. Ook de productiviteit neemt toe omdat er meer patiënten in dezelfde tijd geholpen kunnen worden.”
Privacyregels en databeveiliging
Jeroen van de Ven, Unithoofd Beheer en Services van ICT: “Ons ziekenhuis loopt voorop op het gebied van beveiliging. Onze Security Officer valt niet onder de verantwoordelijkheid van ICT maar rapporteert rechtstreeks aan de Raad van Bestuur wat draagvlak creëert voor een goed beveiligingsbeleid. Onze zorg kan hierdoor gestructureerd en veilig worden uitgevoerd.” Aben: “De printoplossingen van Konica Minolta bieden ondersteuning bij het efficiënt digitaliseren van papieren documenten ter verbetering van de informatiebeveiliging volgens de NEN 7510-norm. Wanneer gebruikers printopdrachten geven worden deze op een SafeQ server opgeslagen en vastgehouden. Gebruikers kunnen zich daarna identificeren bij een willekeurig afdruksysteem. Pas na toegangscontrole tot de multifunctionals, met pincode of pas, kunnen gebruikers hun prints opvragen. Hierdoor kan er vertrouwelijk geprint worden en komen patiëntendossiers niet in verkeerde handen terecht.” Ter bescherming van privacygevoelige patiëntinformatie treft het JBZ effectieve maatregelen. Aben: “Alle medewerkers volgen een geheimhoudingstraining en zij worden getraind in de bewustwording van privacyrisico’s. Daarnaast dienen protocollen en procedures om de privacy te beschermen. De privacycommissie van het JBZ behandelt in overleg met externe juristen individuele zaken op privacygebied.”
Spanningsveld
Het is volgens Aben onvermijdelijk dat er een spanningsveld ontstaan tussen de targets van het ziekenhuis en het gewenste niveau van informatiebeveiliging. “ De trend ‘bring your own device’ houdt in dat werknemers massaal tablets (iPads) en smartphones aanschaffen en meenemen naar het werk. Artsen gebruiken steeds vaker iPads wanneer zij visite lopen langs de bedden van de patiënten. Bij de keuze voor een nieuw apparaat staat de druk op efficiëntie en kwaliteit voorop; niet de bedrijfsrichtlijnen voor standaardisatie en zeker niet de beveiliging van gegevens. In overleg met de Raad van Bestuur moeten wij bepalen in hoeverre we bereid zijn om mee te gaan in deze trend. Als ziekenhuis moeten wij continu afwegen welke veiligheidsrisico’s wij bereid zijn te nemen. Hiertoe dienen strikte regels en voorschriften. De verantwoordelijkheid hoort bij de gebruikers te liggen. Het moet minimaal mogelijk zijn om de data van deze devices te wissen. Het gebruik van dropboxes, online opslagdiensten, is te risicovol. Alle data moet immers binnen het ziekenhuis blijven.” Jeroen van de Ven: “Patiënten kunnen afspraken maken met het ziekenhuis over de ontsluiting van informatie via internet. Uiteindelijk zullen zij ook hun eigen dossier in willen zien, maar zover is het nog niet. Het is een continue worsteling tussen innovaties en het in acht nemen van de beveiliging.” Aben: “Ook cloud computing is vooralsnog te risicovol voor de veiligheid van patiëntinformatie om toe te passen in het ziekenhuis.”
Jeroen Bosch Ziekenhuis en Konica Minolta
Het JBZ heeft onlangs geïnvesteerd in ruim honderd multifunctionals van Konica Minolta. Carola Janssen, Hoofd Inkoop & Logistiek: “Wij wilden onze conventionele printers vervangen door multifunctionals. In verband met de verhuizing van het ziekenhuis naar een nieuwe locatie moesten de systemen in een korte tijd worden opgeleverd. Wij zijn zeer te spreken over de adequate aanpak van Konica Minolta en de goede projectbegeleiding en samenwerking met de afdeling ICT waardoor het project binnen de gestelde termijn is uitgevoerd.” Jeroen van de Ven: “Van belang was dat het beheer werd overgenomen van een groot aantal systemen van een ander merk. Konica Minolta heeft samen met KPN het beheercontract overgenomen van deze systemen. Op termijn worden alle andere merken vervangen door systemen van Konica Minolta. Ons doel is standaardisatie en samenwerking met maar één leverancier in plaats van twee. De doelen die zijn gesteld voor de aanschaf van de nieuwe systemen zijn alle behaald.”
Kostenbesparingen door digitalisering
Uiteindelijk is het doel van Jeroen Bosch Ziekenhuis om document- en beheerskosten te verlagen. Bovendien wordt beoogd het rendement op investeringen en de productiviteit en effectiviteit van de organisatie als geheel te verhogen. Van de Ven: “Het rendement is meetbaar in een maandelijkse evaluatie. Omdat wij betalen per afdruk zijn wij in staat om de kosten exact te meten. Digitalisering geeft een meetbaar en aantoonbaar resultaat in efficiency en productiviteit. We besparen op het aantal fte’s doordat er minder wordt gewerkt met dossiers en archivering. Doordat Konica Minolta ons helpt bij het automatiseren en optimaliseren van documentstromen, kunnen wij ons beter richten op het verlenen van goede zorg.”
Auteur: Ton Aben
