Aan: VIR e-care Solutions B.V. T.a.v. mevrouw R. Groen. Wekeromseweg 8 A VS Arnhem. Plaats, datum : Utrecht, 15 januari 2015

Aan: VIR e-Care Solutions B.V. T.a.v. mevrouw R. Groen Wekeromseweg 8 A 6816 VS Arnhem

Plaats, datum

:

Utrecht, 15 januari 2015

Referentie

:

20150115 DBA-VIR- DOT Ecaris

Betreft

:

Certificering Ecaris versie 3.2.0.06

Geachte mevrouw Groen, In gevolge uw opdracht zoals verwoord in ons voorstel d.d. 21 maart jl. (referentie 20140321_Voorstel DBC audit Ecaris vs. 1.0 definitief) hebben wij gedurende de periode van 4 november 2014 tot 15 december 2014 de controlemaatregelen in de applicatie Ecaris beoordeeld.

Doelstelling Dit onderzoek heeft tot doel in opzet en bestaan vast te stellen in welke mate Ecaris gebruikers op betrouwbare wijze ondersteunt en daarmee mogelijkheden biedt te kunnen voldoen aan de eisen zoals vastgelegd in de publicatie ZekeRE Zorg van NOREA, Beoordelingskader DOT-systematiek – versie 10 augustus 2014. NOREA concretiseert met dit beoordelingskader de kwaliteitseisen die nodig zijn voor een betrouwbare geautomatiseerde verwerking van DBC-zorgproducten bij de zorgaanbieder. Dit beoordelingskader geeft een nadere invulling van de automatiseringsaspecten die binnen het Convenant en de Regeling medisch specialistische zorg (NR/CU-228) zijn gesteld aan de zorgaanbieders. Dit beoordelingskader vormt hiermee een essentiële grondslag voor het opzetten en handhaven van een effectief systeem van interne beheersing. Wij hebben geen onderzoek gedaan naar de werking van het stelsel van maatregelen.

Verantwoordelijkheden opdrachtgever Opdrachtgever van deze audit is VIR e-Care Solutions B.V. De directie van VIR e-Care Solutions is verantwoordelijk zorg te dragen voor een passend stelsel van maatregelen en procedures zodat de

Datum Rapportnummer Versie

15 januari 2015 20150115 DBA-VIR- DOT Ecaris 1.0 Definitief

verwerking van DBC’s in de applicatie Ecaris in overeenstemming met het normenkader (de criteria) plaatsvindt.

Verantwoordelijkheden auditor Opdrachtnemer van deze audit is Duijnborgh Audit BV. Het is de verantwoordelijkheid van de auditor om, op grond van haar werkzaamheden, een onafhankelijk oordeel te verstrekken over de opzet en het bestaan van het stelsel van maatregelen en procedures gericht op de verwerking van DBC’s in Ecaris, in overeenstemming met de van toepassing zijnde criteria.

Verantwoordelijkheden verwerkersorganisatie Ecaris kan door beheerders op veel punten naar eigen behoefte en inzicht worden aangepast. Dit om tegemoet te komen aan de verschillende wensen van verwerkersorganisaties. Ecaris is daarmee een zeer flexibele applicatie. Dit impliceert echter wel dat ten aanzien van een aantal normen de verwerkersorganisatie van Ecaris zodanige instellingen in de applicatie dient te kiezen, dat een betrouwbare werking van DBC’s in Ecaris is gewaarborgd.

Object van certificering Het object van deze certificering is de applicatie Ecaris versie 3.2.0.06.

Criteria De certificering van Ecaris versie 3.2.0.06 is uitgevoerd aan de hand van het normenkader zoals vastgelegd in de publicatie ZekerRE Zorg van NOREA Beoordelingskader DOT-systematiek – versie 10 augustus 2014, ten aanzien van registratie, validatie en declaratie van DBC’s. Wij achten deze criteria relevant en toereikend voor ons onderzoek.

Werkzaamheden Wij hebben ons onderzoek verricht in overeenstemming met Nederlands recht, waaronder Standaard 3000 ‘Assurance-opdrachten anders dan opdrachten tot controle of beoordeling van historische financiële informatie’. Dit vereist dat wij ons onderzoek zodanig plannen en uitvoeren dat een redelijke mate van zekerheid wordt verkregen dat opzet en bestaan van het stelsel van maatregelen en procedures gericht op de bescherming van persoonsgegevens geen afwijking van materieel belang bevatten ten opzichte van de van toepassing zijnde criteria. In het kader van ons onderzoek zijn als belangrijkste werkzaamheden uitgevoerd: 1. Het verkrijgen van inzicht in de kenmerken van de applicatie en de branche waarin deze wordt gebruikt, inclusief eventuele relevante maatschappelijke issues en wet- en regelgeving. 2. Het onderkennen van risico’s in de externe omgeving en de applicatie zelf, en onderzoeken in hoeverre deze risico’s qua opzet en implementatie worden afgedekt door het onderzochte stelsel. 3. Het onderzoeken van het stelsel in opzet en bestaan, ten aanzien van de volgende aspecten: a. geprogrammeerde controles in Ecaris versie 3.2.0.06; b. de mogelijkheid tot waarborgen van controle technische functiescheiding in Ecaris versie 3.2.0.06; c. de aanwezigheid van operationele rapportages, verwerkingsverslagen en loggings. 4. Het wegen van de geconstateerde afwijkingen in relatie tot de eisen zoals opgenomen in het normenkader. Wij zijn van mening dat de door ons verkregen Assurance-informatie voldoende en geschikt is om een onderbouwing voor ons oordeel te bieden. Pagina 2 van 68



Oordeel en mededeling Op grond van onze werkzaamheden zijn wij van oordeel dat in Ecaris versie 3.2.0.06 maatregelen van een toereikend niveau zijn getroffen teneinde gebruikers in staat te stellen een betrouwbare verwerking van DBC’s voor de deelgebieden registratie, validatie en declaratie, te waarborgen.

Inherente beperkingen en randvoorwaarden Ons onderzoek was gericht op het geven van een oordeel met een redelijke mate van zekerheid over de mate waarin Ecaris gebruikers op betrouwbare wijze ondersteunt en daarmee mogelijkheden biedt te kunnen voldoen aan de eisen zoals vastgelegd in de publicatie van ZekeRE Zorg van NOREA, Beoordelingskader DOT-systematiek – versie 10 augustus 2014. Het door ons uitgevoerde onderzoek brengt, naar zijn aard, inherente beperkingen met zich mee. Dit heeft tot gevolg dat bovenstaand oordeel niet zonder meer geldt. Het oordeel geldt alleen als sprake is van een betrouwbare inrichting van de applicatiecontroles in Ecaris versie 3.2.0.06, die aansluiten op de inrichting van een verwerkersorganisatie met afdoende procedurele maatregelen. Afwijkingen die leiden tot beschadiging van de belangen van organisaties of individuele personen of het niet betrouwbaar verwerken van DBC’s. kunnen door deze afhankelijkheid niet altijd worden geconstateerd. Dit onderzoek was gericht op versie 3.2.0.06 van de applicatie Ecaris. Ons onderzoek heeft geen betrekking op toekomstige versies van deze applicatie. Wij kunnen niet uitsluiten dat in de toekomstige versies van Ecaris materiele afwijkingen van het huidige stelsel van maatregelen en procedures zullen ontstaan. Indien u deze rapportage aan cliënten of derden ter beschikking wilt stellen, dan dient de volledige rapportage te worden verstrekt. Rapportage en bijlage vormen hierbij een onlosmakelijk geheel. Het is niet toegestaan deze rapportage te gebruiken in juridische conflicten tussen VIR e-Care Solutions B.V. en haar afnemers.

Hoogachtend,

Frank Kossen RE Audit manager Duijnborgh Audit BV

Pagina 3 van 68



BIJLAGE 1: NORMENKADER (Beoordelingskader DOT-systematiek – versie 10 augustus 2014) ID

Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Inrichting / Rapportage / Autorisatie / Procedure

100 Registreren patientgegevens Norm: Patiëntgegevens (NAW- en verzekeringsgegevens) dienen juist, volledig, tijdig, controleerbaar en vertrouwelijk te worden geregistreerd De patiënt is niet degene voor Juistheid 101 De zorgaanbieder beschikt over Organisatorisch Procedure wie hij/zij zich uitgeeft. een procedure waarbij de authenticatie van de patient bij ieder contact met de patiënt aan de hand van een geldig identiteitsbewijs waaruit het Burger Service Nummer (BSN) kan worden afgeleid en waarbij verificatie met de foto op het identiteitsbewijs plaatsvindt. Patiëntgegevens (NAW- en verzekeringsgegevens) worden onjuist geregistreerd.

Juistheid

102

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarmee verificatie van verzekeringsgegevens kan worden uitgevoerd. Deze verificatie kan op meerdere momenten worden uitgevoerd en met terugwerkende kracht.

Inrichting

Bevinding 2014

Organisatorische maatregelen, te nemen door Zorgaanbieder

Ecaris is voorzien van een functionaliteit waarmee de verzekeringsgegevens via het COV kunnen worden gecontroleerd.

Pagina 4 van 68


ID

Risico


Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Juistheid

103

De applicatie dient te voorzien in Geautomatiseerd functionaliteit voor de validatie van verzekeringsgegevens op basis van externe bronnen (bijv. VECOZO voor verzekeringsgegevens en SVB-Z voor BSN nummer).


Bevinding 2014

Inrichting

Ecaris is voorzien van een functionaliteit waarmee de verzekeringsgegevens via het COV kunnen worden gecontroleerd. Ook het BSN nummer wordt gecontroleerd. De controles kunnen zowel handmatig als geautomatiseerd plaatsvinden. Voor een automatische controle is een instelbare optie aanwezig (op beheerdersniveau)

Pagina 5 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Patiëntgegevens (NAW- en verzekeringsgegevens) worden onvolledig of niet geregistreerd.

Volledigheid

104

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarbij voor de registratie van Patiëntgegevens (NAW- en verzekeringsgegevens) verplichte velden dienen te worden gedefinieerd bij de inrichting van de applicatie.


Bevinding 2014

Inrichting

Ecaris is voorzien van een aantal verplichte velden. Daarnaast kunnen beheerders voor alle velden een validatieregel instellen.

Pagina 6 van 68


ID

Risico


Kwaliteitsaspect

Nr.

Beheersmaatregel

Volledigheid

105

Volledigheid

106

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd een signaleringsfunctie voor de controle van onvolledige patiëntgegevens (NAW- en verzekeringsgegevens).

Rapportage

Ecaris beschikt over een signaleringslijst waarin onvolledige patiëntgegevens gesignaleerd worden: INA0301O (Controle inschrijfgegevens),

De zorgaanbieder beschikt over een procedure betreffende periodieke analyse van de signaleringsfunctie "Onvolledige patiëntgegevens" en verricht de periodieke analyse conform de procedure.

Procedure


Organisatorisch

Pagina 7 van 68



Patiëntgegevens (NAW- en verzekeringsgegevens (BSNnummer inclusief)) worden dubbel geregistreerd

Volledigheid

107

De applicatie dient te voorzien in Geautomatiseerd invoercontroles op de invoer van dubbele patiëntgegevens (NAWen verzekeringsgegevens).

Inrichting

In de module REVALIDA ( Cliëntgegevens) wordt na het invoeren van geboortedatum en naam geautomatiseerd een controle uitgevoerd of er al een patiënt met deze geboortedatum in combinatie met dezelfde drie eerste letters van de achternaam voorkomt. Als er dergelijke patiënten zijn, wordt een scherm geopend waarin de zoekresultaten worden getoond. De gebruiker dient vervolgens te besluiten om al dan niet door te gaan met de registratie. Bij het registreren van de relatie met de verzekeraar met de applicatie BETREV_A (Betalende instanties per cliënt) wordt gecontroleerd op het hebben van twee verzekeringen bij dezelfde verzekeraar. Als er tegelijkertijd twee openstaande hoofdverzekeringen zijn, wordt een foutmelding getoond: “ORA-20999: Er zijn meerdere hoofdverzekeringen bij deze instantie in dezelfde periode (P$BIRE). Actie: Wijzig de begindatum van de nieuwe verzekering, vul in het veld 'Hoofdverzekering?' 'Nee' in of sluit de nieuwe verzekering af bij een andere betalende instantie.”

Pagina 8 van 68


ID

Risico


Kwaliteitsaspect

Nr.

Beheersmaatregel

Volledigheid

108

Volledigheid

109

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd een signaleringsfunctie voor de controle van dubbel ingevoerde patiëntgegevens (NAW- en verzekeringsgegevens).

Rapportage

Mogelijk dubbel ingevoerde patiëntgegevens met een zorgtraject worden getoond op de signaleringslijst INA0302O (Dubbele cliëntgegevens). In een matrix layout wordt door middel van een “+” getoond of er een overeenkomst is op o.a.: •Naam; •Voorletters; •Geslacht; •Postcode; •BSN.

De applicatie dient te voorzien in Geautomatiseerd koppel-functionaliteit om dubbel ingevoerde patiëntgegevens te ontdubbelen.

Inrichting

Ontdubbelen van dubbele patiëntgegevens vindt plaats door middel van het opstarten van de batch CLINUMMB (Cliëntnummers wijzigen of samenvoegen). In de batch dient aangegeven te worden welke patiëntcode verwijderd of toegevoegd dient te worden en bij welke patiëntcode de onderliggende registraties dienen te worden toegevoegd.

Pagina 9 van 68


ID


Risico

Patiëntgegevens (NAW- en verzekeringsgegevens) worden niet tijdig geregistreerd.

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel


Bevinding 2014

Volledigheid

110

De zorgaanbieder beschikt over een procedure betreffende periodieke analyse van de signaleringsfunctie "Dubbel ingevoerde patientgegevens" en verricht de periodieke analyse conform de procedure.

Organisatorisch

Procedure


Tijdigheid

111

De applicatie dient te voorzien in Geautomatiseerd functionaliteit opdat voor uitzonderingen een voorlopige registratie van patiëntgegevens (NAW- en verzekeringsgegevens) plaatsvindt (onvolledig).

Inrichting

Het voorlopig registreren van patiëntgegevens is geen standaard functionaliteit in Ecaris. Afhankelijk van de wensen van de zorgaanbieder is voorlopige registratie mogelijk door middel van het creëren van een apart gebruikersaccount waarbij de verplichting om bepaalde velden in te vullen is opgeheven of het maken van werkafspraken om voorlopige registratie op een bepaalde manier te registreren.

Pagina 10 van 68


ID

Risico


Kwaliteitsaspect

Nr.

Beheersmaatregel

Tijdigheid

112

Tijdigheid

113

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd een signaleringsfunctie van voorlopige registraties.

Rapportage

Afhankelijk van de gekozen werkwijze van voorlopige registratie kan door middel van: •De applicatie REVALIDQ (Raadplegen cliëntgegevens) een overzicht gemaakt worden met voorlopige registratie, in het omschrijvingenblok worden de patiëntgegevens getoond; •Beoordeling van de auditfile, het oneigenlijke gebruik van de gebruikersaccount voor ‘voorlopige registratie’ wordt beoordeeld .

De zorgaanbieder beschikt over Organisatorisch een procedure inzake periodieke analyse signaleringsfunctie "voorlopige registraties" en verricht de periodieke analyse conform de procedure.

Procedure


Pagina 11 van 68


ID


Risico

Kwaliteitsaspect

Nr.

De vertrouwelijkheid van mutaties op patiëntgegevens is niet controleerbaar.

Controleerbaarheid 114

De vertrouwelijkheid van mutaties op patientgegevens is niet gewaarborgd.

Vertrouwelijkheid

115

Beheersmaatregel

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarmee raadplegingen en mutaties in patiëntgegevens met gebruikersnaam, datum, tijdstip, oude en nieuwe waarde worden vastgelegd in een audit trail met inachtneming van wettelijk geldende bewaartermijnen.

Inrichting

Alle mutaties worden in Ecaris gelogd. Details kunnen voor iedere mutatie worden opgeroepen door middel van MUTATIEQ (Mutaties zoeken), in dit scherm zijn gebruikersnaam, datum/tijdstip en oude en nieuwe waarde en patiëntcode zichtbaar.

De applicatie dient te voorzien in Geautomatiseerd functionaliteit voor het afschermen van patiëntgegevens tegen onbevoegde kennisname en muteren.

Autorisatie

Door middel van menu-items en functiegroepen kan per gebruiker worden ingesteld welke menu-items wel en niet zichtbaar en toegankelijk zijn. Via DBAFUNCA (Functiegroepen) regelt men welke functiegroepen er zijn, en welk menu gebruikers van die functiegroep zien als ze Ecaris opstarten. Via DBAPRIVA (Privileges) bepaalt men welke menu-items gebruikers uit een bepaalde functiegroep mogen gebruiken.

200 Openen zorgtraject/subtraject Norm: Het openen van een zorgtraject/subtraject dient juist, volledig, tijdig, controleerbaar en vertrouwelijk plaats te vinden

Pagina 12 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

De behandelend specialist wordt niet of niet juist geregistreerd.

Juistheid

201

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarmee bij de opening van een zorgtraject/subtraject wordt de behandelend specialist toegevoegd op basis van AGBcode.


Bevinding 2014

Inrichting

Ecaris is voorzien van functionaliteit die op baiss van de AGB-code de behandelend specialist voorstelt.

Pagina 13 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Een verwijzing wordt onjuist geregistreerd.

Juistheid

202

Er wordt ten onrechte (g)een (sub)zorgtraject/subtraject geopend bij verwijzing door of dienstverlening voor een ander ziekenhuis.

Juistheid

Juistheid

Type maatregel


Bevinding 2014

De applicatie dient bij de invoer Geautomatiseerd van een verwijzing te voorzien in validatie van de verwijzende persoon/instantie (AGB-code).

Inrichting

De lijst verwijzers wordt door de organisatie in het systeem (Tabel Externe arts) ingevoerd.Om aan deze norm te voldoen, dient de organisatie een handmatig proces in te richten om te controleren of de verwijzer bevoegd is.

203

De applicatie dient te voorzien in Geautomatiseerd een signaleringsfunctie aan de hand waarvan controle kan plaatsvinden op de opening van een juist zorgtraject/subtraject indien de verwijzing plaats vindt door een ander ziekenhuis als verwijzende instantie, of dat er sprake is van onderlinge dienstverlening.

Rapportage

Ecaris beschikt over verschillende signaleringsfuncties. De verwijzende instanties zijn in veel gevallen ziekenhuizen. Er wordt dan altijd een nieuw zorgtraject geopend (code 25-revalidatie). Code 25 is een inrichtingsspecifieke code. Veel klanten gebruiken deze code voor AGB 0327 (Specialistische revalidatie), maar dat kan ook best iets anders zijn zoals code REV of MSR.

204

De zorgaanbieder beschikt over Organisatorisch een procedure inzake periodieke analyse van de signaleringsfunctie van zorgtrajecten/subtrajecten die geopend zijn naar aanleiding van een verwijzing door een ander ziekenhuis als verwijzende instantie.

Procedure


Pagina 14 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Zorgtraject/subtraject wordt toegekend aan de verkeerde patient.

Juistheid

205

De applicatie dient te voorzien in Geautomatiseerd functionaliteit betreffende het extra bevestigen van de relatie patiënt en het zorgtraject/subtraject op het scherm, bijvoorbeeld door middel van geslacht, geboortedatum en/of achternaam.


Bevinding 2014

Inrichting

Ecaris toont op het scherm de Zorgtraject-gegevens. Er is bewust voor gekozen niet om een extra bevestiging te vragen.

Pagina 15 van 68


ID

Risico


Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Juistheid

206

De applicatie dient te voorzien in Geautomatiseerd een controle op de invoer door bijvoorbeeld secretariële ondersteuning middels autorisatie door specialist bij openen zorgtraject/subtraject (vier ogenprincipe).


Bevinding 2014

Autorisatie

Ecaris voorziet in de functionaliteit om ‘secretariële medewerkers' te mandateren. Door middel van menuitems en functiegroepen kan per gebruiker worden ingesteld welke menu-items (informatie/formulieren) wel en niet zichtbaar en toegankelijk zijn. Er is geen mogelijkheid om controle op invoer door een tweede persoon te laten uitvoeren. Om aan deze norm te voldoen, dient de organisatie op basis van een risicoanalyse een controle (vier-ogen principe) in te richten.

Pagina 16 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Begindatum zorgtraject/subtraject wordt onjuist geregistreerd.

Juistheid

207

De applicatie dient te voorzien in Geautomatiseerd functionaliteit voor de registratie van de begindatum van zorgtrajecten/subtrajecten waarbij begindatum = datum van vandaag. In een nachtelijke batch dient een controle te worden uitgevoerd op records waarbij de openingsdatum zorgtraject/subtraject afwijkt van de datum eerste zorgactiviteit. Bij afwijking wordt de openingsdatum gelijk gesteld aan de datum eerste zorgactiviteit.


Bevinding 2014

Inrichting

Het moment van inschrijven wordt in Ecaris als administratief moment gezien. De behandeling start op het moment dat de eerste afspraak is gepland. De applicatie dwingt NIET af begindatum=datum vandaag. De gebruikersorganisatie dient hier naar eigen inzicht aanvullende beheersmaatregelen te treffen.

Pagina 17 van 68


ID

Risico


Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel


Bevinding 2014

Juistheid

208

De applicatie bevat een signaleringsfunctie van zorgtrajecten/subtrajecten waarbij begindatum ongelijk is aan datum eerste zorgactiviteit.

Geautomatiseerd

Rapportage

Ecaris beschikt over een querie tool (deelprodukt Dialoog) waarmee alle informatie in de database op verschillende parameters vergeleken kan worden.

Pagina 18 van 68


ID


Risico

Ten onrechte wordt (g)een parallel zorgtraject/subtraject geopend.

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel


Bevinding 2014

Juistheid

209

De zorgaanbieder beschikt over een procedure voor het periodiek analyseren van de signaleringsfunctie "zorgtrajecten/subtrajecten met afwijkende begindatum" en verricht de periodieke analyse conform de procedure.

Organisatorisch

Procedure


Juistheid

210

Inrichting

Ecaris beschikt over een querie tool (deelprodukt Dialoog) waarmee alle informatie in de database op verschillende parameters vergeleken kan worden.

Juistheid

211

De applicatie dient te voorzien in Geautomatiseerd functionaliteit die preventief uitsluit dat ten onrechte (g)een zorgtraject/subtraject wordt geopend wanneer sprake is van meerdere diagnoses die openstaan bij hetzelfde specialisme. Hiervoor beschikt de applicatie over de zogenoemde diagnosecombinatietabel. De applicatie dient te voorzien in Geautomatiseerd een signaleringsfunctie van openstaande parallelle zorgtrajecten/subtrajecten van hetzelfde specialisme.

Rapportage

Binnen een zorgtraject zijn in Ecaris geen parallelle zorgtypes/subtrajecten mogelijk. Het is wel mogelijk om voor het zelfde specialisme parallelle zorgtrajecten te openen. Bij afwijkende zorgvraag moet dit ook kunnen. Controle is in te richten met de querytool.

Juistheid

212

De zorgaanbieder beschikt over een procedure voor het periodiek analyseren van de signaleringsfunctie "openstaande parallelle zorgtrajecten/subtrajecten van hetzelfde specialisme" en voert deze conform de procedure uit.

Procedure


Organisatorisch

Pagina 19 van 68


ID


Risico

Zorgtraject/subtraject wordt onterecht geopend.

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel


Bevinding 2014

Juistheid, Volledigheid

213

De zorgaanbieder beschikt over een procedure voor het periodiek analyseren van een signaleringsfunctie van zorgtrajecten / subtrajecten met activiteiten die geen vereiste machtiging kennen en voert deze conform de procedure uit.

Organisatorisch

Procedure


Juistheid

214

De applicatie dient te voorzien in Geautomatiseerd functionaliteit betreffende visuele controle van zorgtrajectgegevens op het scherm en het extra bevestigen van gegevens bij het aanmaken van een nieuw zorgtraject/subtraject.

Inrichting


Pagina 20 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Een verwijzing wordt onvolledig geregistreerd.

Volledigheid

215

De applicatie dient te voorzien in Geautomatiseerd functionaliteit die het mogelijk maakt bij de inrichting van de applicatie verplichte velden te definiëren voor de registratie van verwijzingen o.a. voor de vastlegging van de AGB code.


Bevinding 2014

Inrichting

Ecaris beschikt over een functionaliteit waarmee beheerders verplichte velden kunnen definiëren.

Pagina 21 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Er wordt geen diagnose vastgelegd.

Volledigheid

216

Zorgtraject/subtraject wordt dubbel geopend.

Volledigheid

217

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd functionaliteit dat de diagnose verplicht wordt ingevuld.

Inrichting

Als in Ecaris de diagnose niet wordt ingevuld, wordt het zorgtraject/subtraject door de Grouper geweigerd.

De applicatie dient te voorzien in Geautomatiseerd functionaliteit betreffende visuele controle van openstaande zorgtrajecten/subtrajecten op het scherm en het extra bevestigen van ingevoerde gegevens bij het aanmaken van een nieuw zorgtraject/subtraject.

Inrichting

Ecaris beschikt over een functionaliteit om alle openstaande zorgtrajecten/subtrajecten op het scherm te tonen.

Pagina 22 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel


Bevinding 2014

Extra zorgtraject/subtraject wordt niet geregistreerd (registratie vindt plaats op het openstaande zorgtraject).

Volledigheid

218

De zorgaanbieder beschikt over de mogelijkheid een signaleringsfunctie te genereren betreffende zorgtrajecten/subtrajecten waarvan het zorgprofiel afwijkt van het gemiddelde zorgprofiel.

Geautomatiseerd

Rapportage

Ecaris beschikt over de mogelijkheid zorgprofielen vast te stellen op basis van het zorgtraject. Op basis van het protocol / de protocollen kan de zorgaanbieder beslissingen nemen m.b.t. het zorgtraject.

Volledigheid

219

De zorgaanbieder beschikt over een procedure voor het periodiek analyseren van de signaleringsfunctie betreffende zorgtrajecten/subtrajecten waarvan het zorgprofiel afwijkt van het gemiddelde zorgprofiel en voert deze conform de procedure uit.

Organisatorisch

Procedure


Volledigheid

220

De applicatie dient te voorzien in Geautomatiseerd functionaliteit dat bij het openen van het zorgtraject/subtraject een verwacht zorgproduct wordt geregistreerd.

Inrichting

Voor specialistische Revalidatie (agb 0327) bestaat een verwacht zorgproduct. Dit wordt automatisch door Ecaris afgeleid na invullen van een Zorgvraagindexformulier (scherm in Ecaris). Hier is sprake van een indirecte invoer op basis van het scherm voor de zorgvraagindex/zorgvraag. Ter controle bestaat een lijst ERA0201O ‘Lijst Prognose zorgproduct versus gerealiseerd zorgproduct’. Deze toont voor alle trajecten de prognose naast de werkelijke waarde. De Geriatrische revalidatie (GRZ) kent geen verwacht zorgproduct en bij andere specialismen wordt deze niet door Ecaris ondersteunt als deze zouden bestaan.

Niet voor elk zorgtraject/subtraject wordt een verwacht zorgproduct geregistreerd.

Pagina 23 van 68


ID

Risico


Kwaliteitsaspect

Nr.

Beheersmaatregel

Volledigheid

221

Volledigheid

222

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd een signaleringsfunctie betreffende zorgtrajecten/subtrajecten waarbij het verwachte zorgproduct niet is geregistreerd.

Rapportage

De zorgaanbieder beschikt over een procedure voor het periodiek analyseren van de signaleringsfunctie betreffende zorgtrajecten/subtrajecten waarbij het verwachte zorgproduct niet is geregistreerd en voert deze conform de procedure uit.

Procedure

Voor specialistische Revalidatie (agb 0327) bestaat een verwacht zorgproduct. Dit wordt automatisch door Ecaris afgeleid na invullen van een Zorgvraagindexformulier (scherm in Ecaris). Hier is sprake van een indirecte invoer op basis van het scherm voor de zorgvraagindex/zorgvraag. Ter controle bestaat een lijst ERA0201O ‘Lijst Prognose zorgproduct versus gerealiseerd zorgproduct’. Deze toont voor alle trajecten de prognose naast de werkelijke waarde. De Geriatrische revalidatie (GRZ) kent geen verwacht zorgproduct en bij andere specialismen wordt deze niet door Ecaris ondersteunt als deze zouden bestaan. Organisatorische maatregelen, te nemen door Zorgaanbieder

Organisatorisch

Pagina 24 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Het zorgtraject/subtraject wordt niet of niet tijdig geopend.

Tijdigheid

223

Het brondocument van de verwijzing ontbreekt.

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarbij bij de invoer van een zorgactiviteit gecontroleerd wordt op de aanwezigheid van een zorgtraject/subtraject voor de patient.

Inrichting

Ecaris beschikt over een functionaliteit (FZA0607O) die voorziet in een controle op de aanwezigheid van zorgtraject/subtraject voor de patiënt.


De applicatie dient te voorzien in Geautomatiseerd functionaliteit voor de vastlegging van een brondocument die de basis vormt voor de verwijzing.

Rapportage

Ecaris kent een eigen Dossier (EPD) dat wordt meegeleverd aan klanten. De ingescande brief kan hierin worden opgeslagen en geraadpleegd (indien gebruiker is geautoriseerd).


De zorgaanbieder beschikt over een procedure die het mogelijk maakt achteraf vast te stellen of registratie juist heeft plaatsgevonden of de vastgelegde verwijzing in overeenstemming is met het brondocument.

Procedure


Organisatorisch

Pagina 25 van 68


ID


Risico

Kwaliteitsaspect

Nr.

De vertrouwelijkheid van de mutaties op zorgtrajectgegevens is niet controleerbaar.


Zorgtraject gegevens worden ongeautoriseerd geregistreerd.

Vertrouwelijkheid

227

Beheersmaatregel

Type maatregel

De applicatie dient te voorzien in Geautomatiseerd functionaliteit opdat raadplegingen en mutaties in zorgtrajectgegevens met gebruikersnaam, datum tijdstip en oude en nieuwe waarde worden vastgelegd in een audit trail in acht nemende de wettelijk geldende bewaartermijnen. De applicatie dient te voorzien in Geautomatiseerd functionaliteit voor het afschermen van de invoer van Zorgtraject-gegevens.


Bevinding 2014

Inrichting

In Ecaris worden alle mutaties vastgelegd in een audittrail. In het dossierdeel wordt afgedwongen dat raadplegingen eveneens worden gelogd.

Autorisatie

Het invoeren van Zorgtraject gegevens kan in Ecaris worden voorbehouden aan specifieke gebruikers. Rechten kunnen zowel op schermniveau als veldniveau worden gedefinieerd.

Pagina 26 van 68


ID


Risico

De vertrouwelijkheid van de mutaties op zorgtrajectgegevens is niet gewaarborgd.

Kwaliteitsaspect

Nr.

Beheersmaatregel

Vertrouwelijkheid

228

Vertrouwelijkheid

230

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarbij eenmaal geopende zorgtrajecten/subtrajecten slechts door de betreffende specialist (of andere daartoe geautoriseerde medewerker) kan worden bewerkt.

Autorisatie

Indien gegevens via de menustructuur (i.p.v. de dossier-ingang) worden afgeschermd, is dit binnen Ecaris mogelijk.

De applicatie dient te voorzien in Geautomatiseerd functionaliteit voor het afschermen van zorgtrajectgegevens tegen onbevoegde kennisname en muteren.

Autorisatie

Het invoeren van Zorgtraject gegevens kan in Ecaris worden voorbehouden aan specifieke gebruikers. Rechten kunnen zowel op schermniveau als veldniveau worden gedefinieerd.

300 Registreren zorgactiviteiten Norm: Gegevens over zorgactiviteiten dienen juist, volledig, tijdig, controleerbaar en vertrouwelijk te worden geregistreerd

Pagina 27 van 68



Gegevens over zorgactiviteiten zijn onvolledig.

Volledigheid

301

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarbij voor het vastleggen van gegevens over zorgactiviteiten verplichte velden (o.a. AGB-codes van uitvoerend en aanvragend specialisme) dienen te worden gedefinieerd in de inrichting van de applicatie.

Inrichting

Vastgesteld is dat alle velden i Ecaris kunnen worden voorzien van validatie. Zo ook de velden waar de AGB code wordt ingevuld.

Pagina 28 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Gegevens over zorgactiviteiten zijn onjuist.

Juistheid

302

De applicatie dient te voorzien in Geautomatiseerd functionaliteit betreffende visuele controle van gegevens over zorgactiviteiten op het scherm en het extra bevestigen van deze gegevens.


Bevinding 2014

Inrichting


Pagina 29 van 68


ID

Risico


Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Juistheid

303

De applicatie dient te voorzien in Geautomatiseerd functionaliteit dat enkel de zorgactiviteiten vallend onder het betreffende specialisme geselecteerd kunnen worden.


Bevinding 2014

Inrichting

Ecaris beschikt over deze functionaliteit. De tabellen in Ecaris zijn relationeel, d.w.z., dat bij de eerste implementatie wordt gezorgd dat enkel de zorgactiviteiten vallend onder het betreffende specialisme geselecteerd kunnen worden.

Pagina 30 van 68


ID

Risico


Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Juistheid

304

De applicatie dient te voorzien in Geautomatiseerd functionaliteit voor het controleren van ingevoerde gegevens over zorgactiviteiten door bijvoorbeeld secretariële ondersteuning middels autorisatie door specialist (vier ogen principe).


Bevinding 2014

Autorisatie

Ecaris voorziet in de functionaliteit om ‘secretariële medewerkers' te mandateren. Door middel van menuitems en functiegroepen kan per gebruiker worden ingesteld welke menu-items (informatie/formulieren) wel en niet zichtbaar en toegankelijk zijn. Er is geen mogelijkheid om controle op invoer door een tweede persoon te laten uitvoeren. Ecaris kent op dit moment geen direct ingebouwde functionaliteit voor ondersteuning van het 4-ogen principe. Registratie door ondersteunend personeel wordt wel geregistreerd op gebruikersniveau. De organisatie kan (met ondersteuning van VIR) met de querytool of geautomatiseerd via e-mail notificaties de verantwoordelijk medewerkers van benodigde signalering voorzien.

Pagina 31 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Zorgtrajecten/subtrajecten worden voortgezet zonder dat een machtiging is verkregen voor het uitvoeren van een zorgactiviteit. (zie limitatieve lijst medische verrichtingen).


305

De applicatie dient te voorzien in Geautomatiseerd functionaliteit die signaleert of een machtiging wordt vereist en is afgegeven.


Bevinding 2014

Inrichting

De gehele revalidatie valt (momenteel) binnen de basisverzekering waardoor geen verrichtingen bestaan waarvoor een machtiging vereist is. Ecaris beschikt wel over deze functionaliteit.

Pagina 32 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Datum zorgactiviteiten onjuist.

Tijdigheid

306

De applicatie dient te voorzien in Geautomatiseerd datuminvoercontroles aangevuld met plausibiliteitscontroles. De datum van de zorgactiviteit mag niet voor de openingsdatum van het zorgtraject/subtraject liggen.


Bevinding 2014

Inrichting

Op verschillende niveaus worden binnen Ecaris plausibiliteitscontroles uitgevoerd.

Pagina 33 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Zorgactiviteiten worden ten onrechte meer dan één keer geregistreerd.

Juistheid

307

De applicatie dient te voorzien in Geautomatiseerd functionaliteit betreffende visuele controle van gegevens over zorgactiviteiten op het scherm en het extra bevestigen van deze gegevens.


Bevinding 2014

Inrichting


Pagina 34 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

De registratie van zorgactiviteiten vindt niet tijdig plaats.

Tijdigheid

308

De applicatie dient te voorzien in Geautomatiseerd het leggen van een relatie tussen de afsprakenagenda (poliklinisch, klinisch) en de registratie van zorgactiviteiten. Middels een signaleringsfunctie dienen afwijkingen inzichtelijk te worden gemaakt.


Bevinding 2014

Rapportage

In Ecaris wordt voor de afsprakenagenda dezelfde tabel gebruikt als voor de registratie van activiteiten. Hierdoor vindt de registratie van alle geplande zorgactiviteiten tijdig plaats.

Pagina 35 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Tijdigheid

309

Tijdigheid

310

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd een signaleringsfunctie van het aantal verschildagen tussen de uitvoeringsdatum zorgactiviteit en invoerdatum (systeemdatum) van de zorgactiviteit.

Rapportage

Ecaris beschikt over functionaliteiten om de ' gewenste startdatum en daadwerkelijke startdatum in te voeren, op basis van deze invoer kunne queries worden geschreven waarmee signaleringslijsten kunnen worden opgesteld.

De zorgaanbieder beschikt over een procedure voor periodieke analyse van afwijkingen tussen de afsprakenagenda en de registratie van zorgactiviteiten en voert de periodieke analyse conform de procedure uit.

Procedure


Organisatorisch

De vertrouwelijkheid van de mutaties op gegevens over zorgactiviteiten is niet controleerbaar.


De applicatie dient te voorzien in Geautomatiseerd functionaliteit opdat mutaties in gegevens over zorgactiviteiten met gebruikersnaam, datum tijdstip en oude en nieuwe waarde worden vastgelegd in een audit trail in acht nemende de wettelijk geldende bewaartermijnen.

Inrichting

Mutaties worden in Ecaris gelogd. Details kunnen voor iedere mutatie worden opgeroepen), waarbij gebruikersnaam, datum/tijdstip, oude en nieuwe waarde en patiëntcode zichtbaar zijn.

De vertrouwelijkheid van de mutaties op gegevens over zorgactiviteit is niet gewaarborgd.

Vertrouwelijkheid

De applicatie dient te voorzien in Geautomatiseerd functionaliteit voor het afschermen van gegevens over zorgactiviteiten tegen onbevoegd inzien en muteren.

Autorisatie

Door middel van menu-items en functiegroepen kan per gebruiker worden ingesteld welke menu-items wel en niet zichtbaar en toegankelijk zijn.

312

Pagina 36 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Er worden WBMV verrichtingen en samenhangende subtrajecten geregistreerd waarvoor de zorgaanbieder geen WBMV vergunning heeft.

Vertrouwelijkheid

313

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarbij alleen verrichtingen en samenhangende subtrajecten kunnen worden geregistreerd waarvoor de zorgaanbieder een WBMV vergunning heeft.

400 Interfaces aanleverende bronsystemen Norm: De aanlevering van gegevens inzake zorgactiviteiten dient juist, volledig en tijdig plaats te vinden Interfaces voor zorgactiviteiten Juistheid 401 De applicatie dient te voorzien in Geautomatiseerd afkomstig uit bronsystemen functionaliteit waarbij Interfaces zijn onbetrouwbaar. met bronsystemen een geautomatiseerd controlemechanisme bevatten dat vaststelt of aangeboden zorgactiviteiten voldoen aan de eisen van de applicatie.


Bevinding 2014

Inrichting

Bij de initiële implementatie worden alle mogelijke verrichtingencode voor het betreffende poortspecialisme als stamtabellen in het system geladen. Hierdoor kunnen alleen verrichtingen en samenhangende subtrajecten kunnen worden geregistreerd waarvoor de zorgaanbieder een WBMV vergunning heeft.

Inrichting

De database bevat voor imports gecodeerde bedrijfsregels. Indien aangeleverde data niet aan deze regels voldoen, wordt de data niet geaccepteerd.

Juistheid

402

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarbij interfaces met bronsystemen voorzien in een signaleringsfunctie ten aanzien van uitval van aangeboden zorgactiviteiten.

Rapportage


Juistheid/ Volledigheid

403

De zorgaanbieder beschikt over een procedure voor het periodiek analyseren van signaleringsfunctieen betreffende de werking van interfaces.

Procedure


Organisatorisch

Pagina 37 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Volledigheid

404

Tijdigheid

500 Bepalen onderhanden werk Norm: Onderhanden werk dient juist en volledig te worden bepaald Berekeningswijze van OHW in Juistheid OHW-Grouper is onjuist.

Onderhanden werk positie wordt niet juist of volledig gerapporteerd.

Juistheid en volledigheid

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarbij de interface met bronsystemen door middel van een checksum controle inzicht geeft in de volledigheid van het gegevenstransport.

Inrichting


405

De organisatie beschikt over een Organisatorisch procedure waarmee kan worden vastgesteld of de interfaces op het juiste moment en op de juiste wijze hebben gewerkt.

Procedure


501

De zorgaanbieder beschikt over een procedure voor het beoordelen van rapportages over de juistheid van de in de OHW-grouper gehanteerde berekeningswijze.

Organisatorisch

Procedure


502

De zorgaanbieder beschikt over Organisatorisch een procedure om afwijkingen in de gerapporteerde OHW-positie ten opzichte van de door de OHW-grouper gerapporteerde stand te verklaren.

Procedure


Pagina 38 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

OHW-positie is onvolledig doordat niet alle trajecten zijn aangeboden aan OHWgrouper.

Volledigheid

503

OHW-grouper rapporteert onvolledig terug (niet alle zorgtrajecten worden gewaardeerd).

Volledigheid

504

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd functionaliteit die waarborgt dat alle subtrajecten zonder einddatum worden aangeboden aan de OHW-Grouper voor het vaststellen van de OHW-positie.

Inrichting

Het proces voor het aanbieden van zorgtrajecten/subtrajecten aan de OHW-grouper is geheel in Ecaris geborgd. Wij hebben geen onderzoek gedaan naar de volledigheid van de subtrajecten. Wel hebben wij vastgesteld dat hier tijdens het ontwikkeltraject op is getest.

De applicatie dient te voorzien in Geautomatiseerd een signaleringsfunctie voor aan de OHW-Grouper aangeboden openstaande zorgtrajecten waarvoor geen terugkoppeling van een bijbehorend zorgproduct plaats heeft gevonden.

Rapportage

In de praktijk worden alle aangeboden openstaande zorgtrajecten door de OHW grouper teruggekoppeld. In de terugkoppeling kan worden aangegeven dat (bijvoorbeeld) gegevens ontbreken.

600 Sluiten zorgtraject Norm: Zorgtrajecten/subtrajecten dienen tijdig en vertrouwelijk te worden gesloten

Pagina 39 van 68



Zorgtraject/subtraject wordt te Tijdigheid vroeg afgesloten met als gevolg dat zorgactiviteiten ontbreken

601

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarmee zorgtrajecten/subtrajecten geautomatiseerd worden afgesloten conform de daarvoor geldende afsluitregels.

Inrichting

In het FO staan de zogenaamde afkeurregels beschreven in paragraaf 'E007' De reden van afkeuren. Tijdens de systeemtest is gebleken dat de afkeurregels juist geïmplementeerd zijn en dat onvolledige zorgtrajecten + subtrajecten geen doorgang vinden. De zorgtypebatch ZRGTYPEB opent en sluit voor medische en geriatrische revalidatie af met de specialisme specifieke afsluitregels. Voor overige specialismen worden alleen algemene regels uitgevoerd. De batch houdt rekening met het verschil tussen directe en indirecte patiënt gerichte tijd. Ook wordt rekening gehouden met de minimale duur van een verrichting. Verrichtingen die door de verrichtingenbatch niet zijn aangemerkt als geldig voor een DBC traject worden niet gekoppeld. Deze krijgen ook geen verrichtingcode zoals bekend bij de Grouper. Voor controle op het activiteitenprofiel bestaat het rapport PLA0305O ‘Controle initieel zorgtype zonder face-to-face contact’. Deze bij revalidatie in een initieel subtraject vereiste activiteit wordt niet door de batch afgedwongen en ook niet door de Grouper. Controle kan op dit moment dus alleen met deze lijst of uiteraard eigen controlelijsten (queries). Andere of uitgebreidere controles worden door aanlevering aan de Grouper gecontroleerd of door eigen gemaakte rapportages (queries). De Grouper controleert wel op aanwezigheid van een face-tot-face contact in het activiteitenprofiel van een initieel zorgtype voor Revalidatie. Bij ontbreken wordt geen product afgeleid. Ecaris geeft deze melding terug aan de gebruiker en kan dan dit subtraject niet factureren.

Pagina 40 van 68


ID

Risico


Kwaliteitsaspect


Nr.

Beheersmaatregel

Type maatregel

602

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarbij een rapportage wordt opgesteld over reguliere zorgtrajecten/subtrajecten.


Bevinding 2014

Rapportage

De zorgtype batch zorgt voor een correcte samenvatting van zorgactiviteiten tot een zorgtraject. De geprogrammeerde regels staan in het FO beschreven in Hoofdstuk Zorgtype BATCH (ZRGTYPEB). Uit de systeemtest bleek dat zorgactiviteiten en subtrajecten die daar niet bij hoorden, niet samengevat c.q. gefactureerd konden worden. Zo kan een ergotherapeut geen activiteiten plannen die toebehoren aan een fysiotherapeut. De zorgtypebatch (ZRGTYPEB) voert het daadwerkelijk samenvatten uit van verrichtingen met een landelijke verrichtingencode. In de verrichtingenbatch (VERRICHB) wordt daarvoor eerst aan uitgevoerde activiteiten een verrichtingencode toegekend op basis de activiteit/behandelingscode binnen Ecaris, het poortspecialisme en de discipline van de uitvoerder.

Pagina 41 van 68


ID

Risico


Kwaliteitsaspect


Nr.

Beheersmaatregel

Type maatregel


Bevinding 2014

603

De zorgaanbieder beschikt over een procedure voor periodieke analyse van afgesloten zorgtrajecten/subtrajecten.

Organisatorisch

Procedure


Pagina 42 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Zorgtraject/subtraject wordt onrechtmatig heropend

Vertrouwelijkheid

604

De applicatie dient te voorzien in Geautomatiseerd een rapportage met heropende zorgtrajecten/subtrajecten.


Bevinding 2014

Inrichting

Op basis van systeemtesten hebben wij geconcludeerd dat de DOT grouper in het proces van facturatie op een adequate manier geïmplementeerd is. Declaraties die niet door de voorliggende batches en DOT grouper zijn gekomen, komen niet in aanmerking voor verdere financiële afhandeling. De testgevallen laten zien dat de grouper een foutmelding terug geven. De DBC-verrichtingenbatch levert afgesloten subtrajecten aan bij de (externe) DOT-Grouper. Deze valideert en leidt af naar een DBC-product. Resultaat wordt vastgelegd in Ecaris.

700 Autoriseren zorgtrajecten/subtrajecten Norm: De vertrouwelijkheid van zorgtrajecten/subtrajecten is gewaarborgd Onrechtmatige autorisatie van Vertrouwelijkheid 701 zorgtrajecten/subtrajecten

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waardoor een eenmaal geopend zorgtraject/subtraject slechts onder verantwoordelijkheid van de betreffende specialist (of andere daartoe geautoriseerde medewerker) kan worden bewerkt.

Autorisatie

Door middel van menu-items en functiegroepen kan per gebruiker worden ingesteld welke menu-items wel en niet zichtbaar en toegankelijk zijn. Dit geldt ook voor het toekennen van bevoegdheden rond het sluiten en heropenen van zorgtrajecten.

800 Samenvatten zorgactiviteiten tot zorgtraject Norm: Zorgactiviteiten dienen juist en volledig te worden samengevat tot een zorgtraject

Pagina 43 van 68



Zorgactiviteiten in het Juistheid Zorgactiviteitenbestand worden onjuist samengevat tot zorgtrajecten/subtrajecten.

801

De applicatie dient te voorzien in Geautomatiseerd functionaliteit voor het juist samenvatten van zorgactiviteiten tot een zorgtraject/subtraject.

Inrichting

Door middel van steekproeven hebben wij vastgesteld dat de module ZORGTYPE BATCH zorgt dat alle zorgtrajecten conform de regels worden afgesloten.

Pagina 44 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Zorgactiviteiten in het Zorgactiviteitenbestand worden onrechtmatig aan een zorgtraject/subtraject gekoppeld (verkeerd parallel zorgtraject).

Juistheid

802

Zorgactiviteiten in het Zorgactiviteitenbestand worden onterecht aan een zorgtraject/subtraject gekoppeld (verkeerd parallel zorgtraject).

Juistheid

Juistheid

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd functionaliteit aan de hand waarvan Zorgactiviteiten kunnen worden 'omgehangen' naar een ander zorgtraject/subtraject.

Inrichting

Ecaris beschikt over een functionaliteit waarmee zorgactiviteiten kunnen worden 'omgehangen' naar een ander zorgtraject/subtraject.

803

De applicatie dient te voorzien in Geautomatiseerd een rapportage betreffende 'omgehangen' Zorgactiviteiten.

Rapportage

Ecaris voorziet niet standaard in de functionaliteit een rapportage met omgehangen verrichtingen te genereren. Dit kan wel middels de querie tool. Tevens worden handmatig verwijderde verrichtingen gelogd, de logfile is inzichtelijk te maken in LOGGINGQ (Loggingsgegevens).

804

De zorgaanbieder dient te voorzien in een periodieke analyse van het rapport met 'omgehangen' Zorgactiviteiten.

Procedure


Organisatorisch

Pagina 45 van 68



Zorgactiviteiten in het Volledigheid Zorgactiviteitenbestand worden onvolledig samengevat tot zorgtrajecten/subtrajecten.

805

De applicatie dient te voorzien in Geautomatiseerd functionaliteit voor het volledig samenvatten van zorgactiviteiten tot een zorgtraject/subtraject.

Inrichting


900 Afleiden zorgproducten Norm: Zorgproducten dienen volledig en vertrouwelijk te worden afgeleid

Pagina 46 van 68



Een zorgtraject/subtraject leidt niet tot een teruggeleverd zorgproduct.

Volledigheid

901

De applicatie dient te voorzien in Geautomatiseerd functionaliteit die signaleert middels een rapportage indien aangeleverde zorgtrajecten/subtrajecten niet resulteren in een teruggeleverd zorgproduct (declaratie result setnummer).

Rapportage

Ecaris beschikt over functionaliteit die signaleert indien aangeleverde zorgtrajecten/subtrajecten niet resulteren in een terug geleverd zorgproduct (declaratie result setnummer).

Pagina 47 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel


Bevinding 2014

Een zorgtraject/subtraject leidt niet tot een teruggeleverd zorgproduct.

Volledigheid

902

De zorgaanbieder beschikt over een procedure voor het beoordelen van rapportages over de uitwisseling van gegevens met de "Grouper".

Organisatorisch

Procedure


De door de Grouper gegenereerde zorgproductcodes kunnen worden aangepast.

Vertrouwelijkheid

903

De applicatie dient te voorzien in Geautomatiseerd functionaliteit dat de door de Grouper gegenereerde zorgproductcode niet kan worden aangepast, tenzij opnieuw opgeleverd aan de Grouper.

Inrichting

Wij hebben vastgesteld dat de door de grouper gegenereerde zorgproductcodes (voorzien van V) niet meer gewijzigd kunnen worden.

950 Valideren DBC's Norm: DBC's dienen juist, volledig, tijdig controleerbaar en geautoriseerd te worden gevalideerd.

Pagina 48 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Een DBC wordt ten onrechte goed- of afgekeurd

Juistheid

951

Een DBC typering kan niet - al dan niet automatisch - worden aangepast


Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd functionaliteit die valideert volgens de landelijke specificaties voor de validatiemodule

Inrichting

Wij hebben vastgesteld dat Ecaris voorziet in functionaliteit waarmee gevalideerd wordt volgens de landelijke specificaties.

De applicatie dient te voorzien in Geautomatiseerd functionaliteit die signaleert middels een rapportage of DBC's zijn aangepast en/of aangemaakt.

Inrichting


Pagina 49 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

DBC's kunnen niet overvolledig worden gegenereerd op basis van essentiele verrichtingen.

Volledigheid

953

De validatiemodule is niet volgens de door de Nza vastgestelde specificaties is gebouwd en/of niet naar behoren toegepast.


954

De applicatie dient te voorzien in Geautomatiseerd functionaliteit die signaleert middels een rapportage of DBC's automatisch dan wel handmatig zijn aangepast en/of aangemaakt. De zorgaanbieder beschikt over Organisatorisch een procedure dat diens accountant tijdens zijn controle verifieert of de validatiemodule volgens de door de Nza vastgestelde specificaties is gebouwd en naar behoren toegepast.


Bevinding 2014

Inrichting

Bij een aantal poortspecialismen is het niet mogelijk automatisch aan te passen. Dit geldt niet voor revalidatie waarbij alles automatisch wordt aangepast.

Procedure


1000 Corrigeren uitval (na afleiden door de Grouper) Norm: Uitval dient tijdig, controleerbaar en vertrouwelijk te worden gecorrigeerd

Pagina 50 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Correcties worden te laat of geheel niet uitgevoerd.

Tijdigheid

1001

De applicatie dient te voorzien in Geautomatiseerd functionaliteit voor de registratie van de uitvaldatum van het zorgtraject/subtraject en genereert een rapportage ten behoeve van een afloopcontrole op de uitval.


Bevinding 2014

Rapportage

Validatie vindt plaats door de DOT grouper, de uitval kan via de schermen GROUCONQ en GROUCONA (Grouper-gegevens controleren) geanalyseerd worden. Daarnaast voorziet Ecaris in de volgende signaleringslijsten op basis waarvan validatieresultaten en uitval beoordeeld kunnen worden: •ORA0401O (Openstaande zorgtrajecten zonder DBC); •ORA0402O (Controle af te sluiten DBC’s); •ONM0201O (DBC validatie aan de hand van verrichtingen); •ONM0202O (Verschil tussen geplande en daadwerkelijke DBC).

Pagina 51 van 68


ID


Risico

Kwaliteitsaspect

Nr.

De rechtmatigheid van correcties is niet controleerbaar.


De rechtmatigheid van correcties is niet gewaarborgd.

Vertrouwelijkheid

1003

Beheersmaatregel

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarmee alle bewerkingen van een zorgtraject/subtraject worden vastgelegd in een logbestand met de volgende gegevens: 1) Gebruikersnaam; 2) Datum en tijdstip; 3) Oude waarde(n) en nieuwe waarde(n) van de gegevens van het zorgtraject/subtraject.

Inrichting

Mutaties (en bewerkingen worden in Ecaris gelogd. Met MUTATIEQ (Mutaties zoeken) kunnen details voor iedere mutatie worden opgeroepen, waarbij gebruikersnaam, datum/tijdstip, oude en nieuwe waarde en patiëntcode zichtbaar zijn.

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waardoor een eenmaal geopend zorgtraject/subtraject slechts door de betreffende specialist (of andere daartoe geautoriseerde medewerker) kan worden bewerkt.

Autorisatie

Indien gegevens via de menustructuur (i.p.v. de dossier-ingang) worden afgeschermd, is dit binnen Ecaris mogelijk.

1100 Bepalen of zorgproduct declarabel is. Norm: Uitval dient juist te worden gecorrigeerd

Pagina 52 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Het kan zijn dat de patientgegevens niet actueel zijn waardoor het zorgtraject/subtraject niet declareerbaar of onterecht declareerbaar is.

Juistheid

1101

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarmee patientgegevens (NAW- en verzekeringsgegevens) op juistheid en volledigheid kunnen worden gecontroleerd voordat de declaratie aan de zorgverzekeraar/patient wordt verstuurd.


Bevinding 2014

Inrichting

In Ecaris is een preventieve controle aanwezig die voorkomt dat patiëntgegevens onvolledig worden ingevuld (afhankelijke van de inrichting door de zorgaanbieder). Er is tevens een signaleringslijst beschikbaar waarin onvolledige patiëntgegevens gesignaleerd worden: INA0301O (Controle inschrijfgegevens), deze is in het kader van de DOT grouper uitgebreid met een controle op “code (zelf)verwijzer”. Ecaris bevat geen functionaliteit voor de controle van verzekeringsgegevens. Voor de controle van verzekeringsgegevens kan de zorgaanbieder gebruik maken van een apart verkrijgbare module ‘CASScontrol’. Zie voor de controles bij de inschrijving van nieuwe patiënten norm 115a.

1200 Verwerken van declaraties Norm: Declaratie dient juist, volledig, tijdig, controleerbaar en vertrouwelijk plaats te vinden

Pagina 53 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Declaratieverwerking vindt onjuist of onvolledig plaats (gehanteerde tarieven).

Juistheid

1201

De applicatie dient te voorzien in Geautomatiseerd declaratiefunctionaliteit welke voldoet aan de landelijke specificaties voor de declaratie.


Bevinding 2014

Inrichting

Middels de modules VOORFCTUUR BATCH en FACTUUR BATCH en FACTUUR BATCH worden verschillende controles uitgevoerd die nodig zijn om te voldoen aan de landelijke specificaties voor de declaratie.

Pagina 54 van 68


ID

Risico


Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Volledigheid

1202

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarmee de volledigheid van declaraties wordt vastgesteld aan de hand van afgesloten zorgtrajecten/subtrajecten met de verwerkte declaraties in een specifieke periode.


Bevinding 2014

Inrichting

Ecaris voert controles uit aan de hand van de journaalposten. Tevens biedt Ecaris de mogelijkheid verschillende verband controles uit te voeren op de declaraties.

Pagina 55 van 68


ID

Risico


Kwaliteitsaspect

Nr.

Beheersmaatregel

Declaratieverwerking vindt niet Tijdigheid tijdig plaats.

1203

Tijdigheid

1204

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd een rapportage betreffende afgeleide en nog niet gedeclareerde zorgproducten, ouder dan een nader te bepalen periode.

Rapportage

Geen onderwerp van onderzoek. Ecaris voorziet in een rapportage betreffende afgeleide en nog niet gedeclareerde zorgproducten, ouder dan een nader te bepalen periode (middels de querie tool) Het declareren van DBC’s vindt niet plaats met behulp van Ecaris. Voor het declareren wordt gebruik gemaakt van een aparte declaratiemodule die per zorgaanbieder kan verschillen. Ecaris verzorgt wel het doorgeven van de door de DOT grouper geleverde informatie ten behoeve van de declaratie via de batch FACTUURB (Factuurbatch).

De zorgaanbieder beschikt over een procedure voor het periodiek beoordelen van een rapportage over afgeleide en nog niet gedeclareerde zorgproducten, ouder dan een nader te bepalen periode.

Procedure


Organisatorisch

Pagina 56 van 68


ID


Risico

Declaratieverwerking vindt oncontroleerbaar plaats.

Kwaliteitsaspect

Nr.

Beheersmaatregel

Tijdigheid

1205


Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd functionaliteit voor jobscheduling voor de factuurrun.

Inrichting

Geen onderwerp van onderzoek. Het declareren van DBC’s vindt niet plaats met behulp van Ecaris. Voor het declareren wordt gebruik gemaakt van een aparte declaratiemodule die per zorgaanbieder kan verschillen. Ecaris verzorgt wel het doorgeven van de door de DOT grouper geleverde informatie ten behoeve van de declaratie via de batch FACTUURB (Factuurbatch).

De applicatie dient te voorzien in Geautomatiseerd functionaliteit betreffende het genereren van een jobverslag voor de factuurrun, waarop alle niet gedeclareerde zorgproducten met reden en alle gedeclareerde zorgproducten staan vermeld.

Rapportage


Pagina 57 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Declaratieverwerking vindt onrechtmatig plaats.

Vertrouwelijkheid

1207

Vertrouwelijkheid

1208

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd functionaliteit dat slechts afgeleide zorgproducten kunnen worden gefactureerd.

Inrichting


De applicatie dient te voorzien in Geautomatiseerd autorisatie op het draaien van de factuurrun.

Autorisatie


Pagina 58 van 68


ID

Risico


Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Vertrouwelijkheid

1209

De applicatie dient te voorzien in Geautomatiseerd functionaliteit die het onmogelijk maakt om aanpassingen te verrichten in te declareren zorgproducten en/of tarieven.


Bevinding 2014

Inrichting


1300 Declareren bij zorgverzekeraar (alleen DOT) Norm: Declaratie bij zorgverzekeraar dient juist en volledig plaats te vinden

Pagina 59 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Declaraties voldoen niet aan landelijke declaratiestandaard.

Juistheid

1301

Declaraties worden onvolledig doorgestuurd aan zorgverzekeraars.

Volledigheid

1302

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd functionaliteit voor de verzending van declaraties waarbij controle plaatsvindt op het voldoen aan de dan geldende standaard.

Inrichting


De applicatie dient te voorzien in Geautomatiseerd functionaliteit in de vorm van checksums waarmee de volledigheid van de elektronische gegevensuitwisseling met de zorgverzekeraar kan worden beoordeeld.

Inrichting


Pagina 60 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

1350 Verantwoorden bij het zorgkantoor (alleen DBC) Norm: Verantwoording bij zorgkantoor dient juist en volledig plaats te vinden Het productie-overizcht bevat Volledigheid 1351 De applicatie dient te voorzien in Geautomatiseerd onjuiste gegevens of is Juistheid functionaliteit om automatisch onvolledig een productieoverzicht te genereren ter verantwoording aan het zorgkantoor


Bevinding 2014

Rapportage

Ecaris beschikt over een querie functionaliteit waarmee verschillende overzichten kunnen worden gegenereerd.

Het productie-overzicht wordt ongeautoriseerd aangepast

Volledigheid Juistheid

1352

De applicatie voorziet in functionaliteit om het muteren van het productieoverzicht af te schermen

Geautomatiseerd

Autorisatie

Het muteren van productieoverzichten kan in Ecaris worden voorbehouden aan specifieke gebruikers. Rechten kunnen zowel op schermniveau als veldniveau worden gedefinieerd.

Het productie-overizcht wordt niet tijdig opgesteld

Tijdigheid

1353

De zorgaanbieder beschikt over een procedure om periodiek het productieoverzicht te genereren ter verantwoording aan het zorgkantoor

Organisatorisch

Procedure


Het opgestelde productieControleerbaarheid 1354 overizhct wordt niet gecontroleerd en geaccordeerd alvorens naar het zorgkantoor te worden verzonden

De zorgaanbieder beschikt over een procedure om periodiek het productie-overzicht te controleren en formeel te accorderen alvorens naar het zorgkantoor te verzenden

Organisatorisch

Procedure


Het productie-overzicht wordt onvolledig verstuurd

De zorgaanbieder beschikt over een procedure om te controleren dat het productieoverzicht volledig naar het zorgkantoor wordt verstuurd

Organisatorisch

Procedure


Volledigheid

1355

Pagina 61 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel


Bevinding 2014

Het productie-overzicht wordt niet ontvangen door het zorgkantoor

Volledigheid

1356

De zorgaanbieder beschikt over een procedure om te controleren dat het productieoverzicht is ontvangen op het zorgkantoor

Organisatorisch

Procedure


1401

De applicatie voor het Geautomatiseerd declareren dient te voorzien in functionaliteit waarmee facturen conform de landelijke standaard (Factuurvereisten) kunnen worden geprint en verzonden.

Inrichting


1400 Declareren bij patiënt Norm: Declaratie bij patiënt dient juist en volledig plaats te vinden Declaraties dienen te voldoen Juistheid aan de landelijke standaard.

Pagina 62 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Niet alle declaraties worden geprint en verzonden.

Volledigheid

1402

1500 Aanleveren DIS-bestanden Norm: Het aanleveren van DIS-bestanden dient juist, volledig plaats te vinden De Data Set aan Juistheid 1501 zorgtrajecten/subtrajecten voldoet niet aan de DISstandaard (MDS).

Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarmee inzicht kan worden verkregen over de volledigheid van de geprinte en verstuurde declaraties.

Inrichting


De applicatie voor verzending van DIS-gegevens dient te voorzien in een controle op het voldoen aan de dan geldende standaard.

Inrichting

Validatie van de inhoud van de verzonden datasets vindt bij DIS plaats.

Geautomatiseerd

Pagina 63 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel


Bevinding 2014

De Data Set aan zorgtrajecten/subtrajecten wordt onvolledig doorgestuurd aan DIS.

Volledigheid

1502

De applicatie voor verzending van DIS-gegevens dient te voorzien in checksums ter controle van de volledigheid van de verzending.

Geautomatiseerd

Inrichting

De DIS export bevat een ' sluitregel' waarin is opgenomen hoeveel records worden meegeleverd.

1600 Versturen zorgactiviteiten naar verwijzende instanties Norm: Het aanleveren van zorgactiviteiten dienen juist en volledig plaats te vinden

Pagina 64 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel


Bevinding 2014

Zorgactiviteiten voldoen niet aan de standaard van verwijzende instanties.

Juistheid

1601

De applicatie voor verzending van gegevens aan verwijzende instanties dient te voorzien in een controle op het voldoen aan de geldende standaard.

Geautomatiseerd

Inrichting

N.v.t. er vindt geen elektronische terugkoppeling plaats naar verwijzende instanties.

Zorgactiviteiten worden onvolledig doorgestuurd aan verwijzende instanties.

Volledigheid

1602

De applicatie voor verzending van gegevens aan verwijzende instanties dient te voorzien in checksums ter controle van de volledigheid van de verzending.

Geautomatiseerd

Inrichting

N.v.t. er vindt geen elektronische terugkoppeling plaats naar verwijzende instanties.

Procedure


Procedure


1700 Beheren stamgegevens Norm: De juistheid, volledigheid, tijdigheid, controleerbaarheid en vertrouwelijkheid van stamgegeven is gewaarborgd Stamtabellen zijn onjuist. Juistheid 1701 De zorgaanbieder beschikt over Organisatorisch een beheersprocedure voor het onderhoud van de stamgegevens, waarin taken en verantwoordelijkheden zijn uitgewerkt. Juistheid

1702

De zorgaanbieder beschikt over een beheersprocedure voor het onderhoud van stamgegevens, waarin taken en verantwoordelijkheden zijn uitgewerkt.

Organisatorisch

Pagina 65 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel


Bevinding 2014

Stamtabellen zijn onvolledig.

Volledigheid

1703

De zorgaanbieder beschikt over een beheersprocedure voor het onderhoud van de stamgegevens, waarin taken en verantwoordelijkheden zijn uitgewerkt.

Organisatorisch

Procedure


Stamtabellen zijn niet actueel.

Tijdigheid

1704

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waardoor stamtabellen een geldigheidstermijn bevatten. Onder meer is dit van toepassing op stamtabellen als: - (Standaard) Prijs Tabel; - Afsluitreden Tabel; - Afsluitregels Tabel; - Diagnose Combinatie Tabel; - Elektronische Typeringslijst; - Limitatieve Lijst Machtigingen; - Relatie Diagnose Zorgproductgroepen Tabel; - Vertaal Tabel Zorgactiviteiten Grouper; - WBMV Code Tabel; - Zorgactiviteiten Tabel; - Zorgproducten Tabel; - Zorgproductgroepen Tabel; - Grouper Tabellen; - Uzovi Tabel; - Tarieven Tabel DBCzorgproducten en overige producten (landelijk en zorgaanbieder).

Inrichting

De stamtabellen kunnen worden ingelezen met de DBCSTAMB (Importeren landelijke DBC-tabellen), de tabellen zijn voorzien van een geldigheidstermijn.

Pagina 66 van 68


ID


Risico

Mutaties in stamgegevens zijn niet controleerbaar.

Kwaliteitsaspect

Nr.

Beheersmaatregel

Tijdigheid

1705


Type maatregel


Bevinding 2014

De applicatie dient te voorzien in Geautomatiseerd functionaliteit welke het gebruik van de juiste stamgegevens waarborgt

Inrichting

De zorgaanbieder is verantwoordelijk voor het tijdig inlezen van de juiste stamtabellen met DBCSTAMB (Importeren landelijke DBC-tabellen) . Met behulp van de batch VERRCODB (Verrichtingencodes importeren) kunnen actuele verrichtingencode worden geladen. Bij het valideren van DBC’s wordt door de DOT grouper gecontroleerd of er bij het aanmaken en afsluiten van de DBC gebruik gemaakt is van de juiste tabellen.

De applicatie dient te voorzien in Geautomatiseerd functionaliteit waarmee mutaties in stamgegevens worden vastgelegd in een logbestand met de volgende gegevens: 1) Gebruikersnaam; 2) Datum en tijdstip; 3) Oude waarde en nieuwe waarde.

Inrichting

Mutaties worden in Ecaris gelogd. Met MUTATIEQ (Mutaties zoeken) kunnen details voor iedere mutatie worden opgeroepen, waarbij gebruikersnaam, datum/tijdstip, oude en nieuwe waarde en patiëntcode zichtbaar zijn.

Pagina 67 van 68


ID


Risico

Kwaliteitsaspect

Nr.

Beheersmaatregel

Type maatregel

Mutaties in stamgegevens zijn onrechtmatig.

Vertrouwelijkheid

1707

De applicatie dient te voorzien in Geautomatiseerd autorisatiefunctionaliteit voor het aanmaken, muteren, verwijderen en weergeven van stamgegevens.


Bevinding 2014

Autorisatie

Door middel van menu-items en functiegroepen kan per gebruiker worden ingesteld welke menu-items wel en niet zichtbaar en toegankelijk zijn. Door middel van het toekennen van rechten aan gebruikers wordt de toegang tot de gegevens verder geregeld.

Pagina 68 van 68

Aan: VIR e-care Solutions B.V. T.a.v. mevrouw R. Groen. Wekeromseweg 8 A VS Arnhem. Plaats, datum : Utrecht, 15 januari 2015

Recommend Documents