Eind vorig jaar is de Inspectie Gezondheidszorg en Jeugd (IGJ) gestart met verkennende bezoeken op het gebied van eHealth. Aan de hand van een toetsingskader wordt bekeken of eHealth veilig wordt ingezet. IGJ deelt vandaag hun eerste bevindingen, toegelicht door IGJ’s eHealth inspecteur Johan Krijgsman.
De taak van de Inspectie Gezondheidszorg en Jeugd - een samenvoeging van de voormalig Inspectie voor de Gezondheidzorg en de Inspectie Jeugdzorg – is toezicht houden op de kwaliteit, veiligheid en toegankelijkheid van de gezondheidszorg en de jeugdzorg. “Net zoals zorginstellingen goede zorg moeten leveren en daarop beoordeeld kunnen worden, moeten zij ook goed met eHealth omgaan. Nu zorginstellingen steeds afhankelijker worden van ICT wordt het voor ons belangrijker om te kijken of er goed met digitale zorg omgegaan wordt”, licht Johan Krijgsman de aanleiding van de toezichtsbezoeken toe. Toezichtsbezoeken op één specifiek thema zijn voor IGJ op zichzelf niets nieuws: de inspectie voert regelmatig inspecties uit naar bijvoorbeeld infectiepreventie of medicatieveiligheid. Dat zo’n inspectie focust op het thema eHealth is wél nieuw.
Tussen september en december ging de inspectie op bezoek bij tien ziekenhuizen en GGZ- en gehandicaptenzorginstellingen: ‘s Heeren Loo en Philadelphia in Amersfoort, Antoni van Leeuwenhoek ziekenhuis in Amsterdam, Antoni van Leeuwenhoek in Sneek, Isala Zwolle, Jeroen Bosch ziekenhuis in Den Bosch, Lentis Zuidlaren, LUMC in Leiden, Spaarne Gasthuis in Hoofddorp en Tactus Verslavingszorg in Deventer. “Deze tien zorginstellingen zijn niet helemaal lukraak gekozen: we hebben voor onze eerste inspectieronde – en het testen van ons toetsingskader – een selectie gemaakt van zorginstellingen waarvan we wisten dat ze actief zijn op het gebied van eHealth”, legt Krijgsman uit.
Toetsingskader eHealth
Voor IGJ valt onder eHealth alle inzet van ICT die de zorg direct raakt. “We richten ons niet zozeer op de administratieve kant, zoals declaraties, maar wel op alles wat te maken heeft met zorgprocessen. Zowel binnen de instelling, neem het EPD, als de patiëntgerichte services en diensten, zoals het portaal, apps of telemonitoring.”
Binnen het containerbegrip eHealth keek de inspectie tijdens hun bezoeken naar vijf concrete thema’s: de rol van het bestuur (visie, plannen en organisatie), de aanschaf van eHealth producten of diensten, de betrokkenheid van patiënten, gegevensuitwisseling en informatiebeveiliging en continuïteit. Die thema’s komen voort uit het door inspectie opgestelde ‘Toetsingskader eHealth’. Binnen dat toetsingskader vallen alle - volgens de IGJ relevante - wetten, normen en richtlijnen rondom ICT in de zorg. Denk aan NEN 7510 en 7512, de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en KNMG’s richtlijnen over online arts-patiëntcontact, elektronisch voorschrijven en artsen en sociale media.
NEN7510
Het thema informatiebeveiliging is, mede vanwege de naderende ingang van de AVG, een hot topic. De eerste resultaten van de inspectie binnen dit thema zijn dan ook opvallend. Slechts twee van de tien zorginstellingen kunnen aantonen dat ze voldoen aan NEN7510, ondanks de wettelijke verplichting van deze norm. Hoewel de overige acht zorginstellingen volgens Krijgsman ‘hard aan de slag moeten om dit op orde te brengen’, is het volgens de eHealth inspecteur goed om een nuance aan te brengen op dit onderzoeksresultaat. “Het is niet zo dat de andere acht instellingen helemaal nietsdoen. Soms zijn ze namelijk al best een eind op de goede weg. NEN7510 vraagt echter een continu proces van evalueren en verbeteren, dat is vaak het punt waar men nog niet aan toe is. De interne audit is vaak niet op orde. De meeste zorginstellingen hebben simpelweg geen goed beeld waar ze zelf staan, wat al klaar is en wat er nog moet verbeteren.”
Staan de namen van de acht zorginstellingen die hun NEN7150 nog niet op orde hadden nu ergens op een gele post-it bij IGJ? “Als je kijkt naar de inspectierapporten, zul je zien dat we in de meeste gevallen om opvolging hebben gevraagd. Dan willen we graag een plan zien hoe en wanneer men wel aan de norm gaat voldoen, of alsnog de resultaten van de interne audit zien.” De zorginstellingen die nog niet voldoen aan de NEN7510 norm krijgen dus huiswerk mee van de inspectie. “Als het huiswerk er netjes uitziet, dan zijn we voor even klaar”, zegt Krijgsman. “Maar we kunnen altijd weer langskomen.”
… en de AVG?
De AVG, de nieuwe wetgeving die burgers meer rechten en bedrijven en organisaties meer verplichtingen geeft rondom (de verwerking van) persoonsgegevens, is niet opgenomen in het toetsingskader van IGJ. “We zien dat AVG volop speelt bij zorginstellingen, maar het valt niet onder ons toezicht – daar gaat de Autoriteit Persoonsgegevens (AP) over. Natuurlijk komen we het wel tegen, want net als de AP kijken we naar informatiebeveiliging. Wij doen dit alleen vanuit een ander perspectief. De inspectie kijkt naar informatiebeveiliging in het licht van kwaliteit en continuïteit van zorg – als het EPD er twee dagen uitligt heb je in de lopende zorgverlening een probleem – en de AP kijkt vanuit het perspectief van beveiliging van persoonsgegevens.” NEN7510 en de AVG hangen natuurlijk wel samen: in het kader van bescherming van persoonsgegevens moet je de nodige maatregelen treffen om informatie te beveiligen en NEN7510 vormt daarbij een standaard. “Als je aan de AP wilt laten zien dat patiënten data veilig is, dan helpt het als je aan NEN7510 voldoet.”
De inspectie heeft dan ook een samenwerkingsovereenkomst met de Autoriteit Persoonsgegevens. “Als wij problematische zaken tegenkomen op het gebied van privacy dan kunnen wij daarover contact opnemen met AP. Andersom gebeurt dit ook: als zij iets tegenkomen op het gebied van kwaliteit van zorg meldt de AP dit bij ons.”
eHealth visie ontbreekt
Twee andere thema’s binnen de bezoeken van de Inspectie zijn de rol van het bestuur en de aanschaf van eHealth toepassingen. Uit de bezoeken van IGJ blijkt dat bij sommige zorginstellingen een visie op eHealth en een stappenplan of risicoanalyse rondom de aanschaf en gebruik van eHealth toepassingen ontbreekt.
Hoe past het ontbreken van een eHealth visie binnen het controlegebied van de inspectie van Volksgezondheid? Krijgsman: “We merken dat governance, hoe gaat het bestuur ermee om, een belangrijke rol moet spelen bij eHealth. Het moet op de werkvloer gebeuren, maar er liggen ook bepaalde verantwoordelijkheden bij het bestuur. Een eHealth visie is in die zin niet verplicht, maar maakt wel onderdeel uit van op een verantwoorde manier omgaan met technologie. En dat valt onder de Wet kwaliteit, klachten en geschillen zorg (Wkkgz).”
Uit het onderzoek komt ook naar voren dat bij de meeste bezochte zorginstellingen zorgverleners een actieve rol spelen binnen de eHealth besluitvorming. Patiënten worden daarnaast – vrijwel overal – betrokken bij de ontwikkeling en invoering van digitale zorg. “Dat vonden wij een positief punt”, zegt Krijgsman. “Bij de instellingen die wij nu bezocht hebben zagen we dat men er veel aan deed om patiënten bij eHealth te betrekken. Patiënten konden meedenken of testen binnen de cliëntenraad en binnen de ontwikkel- en implementatietrajecten.”
Toetsingskader als checklist
In het kader van transparantie brengt de inspectie een factsheet met hun eerste bevindingen over de bezoeken uit. “We willen laten zien hoe zo’n bezoek werkt en wat de inspectie doet”, verklaart Krijgsman. “Sinds deze eerste tien bezoeken aan zorginstellingen zijn er al meer verkennende bezoeken geweest, inmiddels ook bij verplegings- en verzorgingsinstellingen. Wij streven ernaar om ons toetsingskader, dankzij input uit het veld, te verbeteren en door te ontwikkelen. Halverwege 2018 willen we het toetsingskader eHealth online beschikbaar maken, zodat iedere zorginstelling dit als interne checklist kan gebruiken.” De inspectierapporten naar aanleiding van het toezichtsbezoek eHealth zijn openbaar en voor iedereen in te zien op de website van IGJ.
Wat volgens Krijgsman uit de inspecties naar voren is gekomen, is dat niet alle normen rondom zorg en ICT bekend zijn bij alle sectoren in het veld. “Dat is jammer, want goede normen kunnen handvaten bieden. Wij hebben het idee dat er behoefte is aan een concreet kwaliteitskader eHealth. Kortweg: hoe moet je op een goede en veilige manier met eHealth omgaan? Wij geloven dat het veld daarmee geholpen zou zijn. Ik zou het veld willen oproepen daar gezamenlijk naar te kijken.”
Ik ben benieuwd hoe die wettelijke plicht voor NEN7510 exact gezien wordt: in de wetten kwam ik steeds iets tegen als "een met NEN7510 vergelijkbare beveiliging". Dat is iets anders dan 'aan NEN7510' voldoen en dat is weer wat anders dan 'NEN7510 gecertificeerd zijn'.
Met andere woorden, als ik een met NEN7510 vergelijkbaar beveiligingsniveau kan aantonen, ben ik dan ok?
Deze tekst is wel een stuk stelliger, gaat dan specifiek om uitwisseling-systemen, dus tussen instellingen
Artikel 3
1. De verantwoordelijke voor een elektronisch uitwisselingssysteem draagt overeenkomstig het bepaalde in NEN 7510 en NEN 7512, zorg voor een veilig en zorgvuldig gebruik van dat elektronisch uitwisselingssysteem.
of:
Artikel 4
Bij het vastleggen van beleid, procedures en verantwoordelijkheden als bedoeld in NEN 7510, NEN 7512 of NEN 7513 in documenten, gebruiken de verantwoordelijke voor een elektronisch uitwisselingssysteem en de zorgaanbieder de termen en definities als genoemd in NEN 7510, NEN 7512 of NEN 7513.
https://zoek.officielebekendmakingen.nl/stb-2017-446.html