ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?

Vrije Universiteit Amsterdam IT Audit opleiding

Scriptie

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg? Naam: Adres:

E–Mail: Studentnummer: Teamnummer:

drs. G.J.A.M.J. (Gert-Jan) Gerrits RA Boreel de Mauregnaultstraat 16 5361 HG Grave 0486-475895 06-29084292 [email protected] 9981285 814

Werkgever: Telefoonnummer: Fax:

Ernst&Young EDP Audit, Apeldoorn 055-5291400 055-5291350

Bedrijfscoach Ernst &Young: Begeleider VU:

ing. D.R. (Dennis) Utermark RE C.(Cees) Coumou

Telefoonnummer:

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?

INHOUDSOPGAVE 1 1.1 1.2 1.3

Aanleiding tot het onderzoek en onderzoeksvraag Aanleiding van het onderzoek De onderzoeksvraag en aanvullende deelvragen Opbouw van het rapport

1 1 2 3

2 2.1 2.2 2.3 2.4

Functioneel /(applicatie-)beheer Inleiding Wat is functioneel applicatiebeheer? Wat is de relatie met technisch beheer? Afsluiting

4 4 4 6 8

3 3.1 3.2 3.3 3.4

Inventarisatie van oorzaken en formulering van eisen Inleiding Inventarisatie van oorzaken Formulering van eisen Afsluiting

4 4.1 4.2 4.3

4.6

BiSL/ASL 13 Inleiding 13 Wat is BiSL/ASL? 13 Voldoet BiSL/ASL aan de eisen die daaraan gesteld worden vanuit de gezondheidszorg? 21 Welke aanpassingen zijn noodzakelijk om BiSL/ASL toepasbaar te maken? 25 Op welk detailniveau dient BiSL/ASL toegepast/ ingericht te worden binnen een organisatie? 25 Afsluiting 26

5 5.1 5.2 5.3

Beantwoording centrale onderzoeksvraag en wat nu? Inleiding Beantwoording centrale onderzoeksvraag Wat nu?

28 28 28 28

6

Verklarende woordenlijst

30

7

Literatuurlijst

33

4.4 4.5

9 9 10 11 12


1

Aanleiding tot het onderzoek en onderzoeksvraag

1.1

Aanleiding van het onderzoek

De gezondheidszorgbranche is een branche die constant in ontwikkeling is. Gezondheidszorginstellingen, en in het bijzonder ziekenhuizen, worden niet langer gefinancierd op basis van verrichtingen en de bijbehorende parameters (het zogenaamde FB Budget1) maar op basis van werkelijke productie uitgedrukt in DBC’s (Diagnose Behandeling Combinaties)1. Deze veranderingen hebben niet alleen een grote invloed op de financieringwijze van een ziekenhuis, maar hebben vaak ook een grote impact op de automatiseringsomgeving van deze ziekenhuizen. Ziekenhuizen beschikken veelal over een IT infrastructuur die in sommige gevallen meer dan vijfentwintig jaar oud is. Met de komst van DBC’s zijn hier IT componenten aan toegevoegd zoals een validatiemodule1, om het koppelen van verrichtingen en het valideren1 van DBC’s mogelijk te maken. Een gemiddeld ziekenhuis beschikt al snel over vijfentwintig tot vijftig verschillende applicaties, dito applicatie beheerders en dito verschillende beheerprocedures. Dit heeft vaak een onoverzichtelijk geheel tot gevolg. Naast de gewijzigde financieringsstructuur krijgen ziekenhuizen ook te maken met de invoering van een EPD1. Een duidelijke standaard voor de inrichting en beveiligingseisen van een dergelijk dossier ontbreken echter nog. Met de steeds verdere uitbaning van papierendossiers lopen ziekenhuizen grote risico’s om niet te voldoen aan de vereisten zoals neergelegd in NEN75101, de WBP1 en de WGBO1. Tevens is het voor de interne beheersing en natuurlijk ook de jaarlijkse accountantscontrole een must om te kunnen steunen op geautomatiseerde controles. Mijn klantenpakket bestaat voor ongeveer 75% uit ziekenhuizen, verpleeg- en verzorgingshuizen en softwareleveranciers in de zorg. Mijn ervaring daar leert dat veel gezondheidszorginstellingen momenteel werken aan een geleidelijke invoering van NEN 7510, informatiebeveiliging in de zorg. Echter, goede en eenduidige IT-beheerprocedures ontbreken nog steeds. Hierdoor komen wij bij gezondheidszorginstellingen meer dan eens tot de conclusie dat de procedures voor functioneel applicatiebeheer een onvoldoende basis bieden om op te steunen tijdens de accountantscontrole. De vraag is of dit het gevolg is van de veelheid aan applicaties, de veelheid aan verschillende procedures, of juist het ontbreken van procedures, de veelheid aan functioneel applicatiebeheerders, de onduidelijkheid van de inhoud van de werkzaamheden van een functioneel applicatiebeheerder of een combinatie van deze factoren? Een framework dat zich meer richt op de bedrijfsprocessen en minder op de aanwezige applicaties zou uitkomst kunnen bieden om te komen tot goede en eenduidige ITbeheerprocedures. BiSL/ASL is een voorbeeld van zo’n framework dat zich wat meer richt op de 1

Gebruikte begrippen zijn toegelicht in de verklarende woordenlijst in hoofdstuk 6.

1


onderkende processen en wat minder op de afzonderlijke applicaties, zoals dit binnen de gezondheidszorg momenteel nog erg gebruikelijk is. Maar uitsluitend de invoering van een theoretisch model, zonder adequate inrichting en toetsend kader, kan toch ook niet de oplossing zijn voor de jarenlange problemen? 1.2

De onderzoeksvraag en aanvullende deelvragen

Op basis van de in §1.1 uiteengezette aanleiding van het onderzoek is de volgende onderzoeksvraag geformuleerd:

Is het BiSL/ASL model een praktisch toepasbaar model voor het functioneel applicatiebeheer (FAB) binnen de Nederlandse gezondheidszorg?

Als afstudeeropdracht aan de postdoctorale IT Audit van de Vrije Universiteit van Amsterdam wil ik bovengenoemde onderzoeksvraag nader uitwerken. Om een antwoord te kunnen geven op de geformuleerde onderzoeksvraag dienen de volgende deelvragen beantwoord te worden: 1 Wat is functioneel applicatiebeheer? 2 Wat zijn de oorzaken waarom de procedures voor functioneel applicatiebeheer voor de Nederlandse gezondheidszorginstellingen als onvoldoende wordt ervaren? 3 Wat zijn de eisen waaraan een goede procedure voor functioneel applicatiebeheer voor de Nederlandse gezondheidszorginstellingen moet voldoen? 4 Wat is BiSL/ASL? 5 Voldoet BiSL/ ASL aan de eisen vanuit de Nederlandse gezondheidszorg en welke aanpassingen zijn noodzakelijk om BiSL/ASL toepasbaar te maken voor de gezondheidszorg? 6 Op welk detailniveau dient BiSL/ASL ingezet te worden om toepasbaar te zijn voor Nederlandse Gezondheidszorginstelling? Voor het schrijven van mijn scriptie ben ik uitgegaan van de situatie bij de Nederlandse ziekenhuizen. Hierdoor blijven de uitkomsten van mijn onderzoek breed toepasbaar voor instellingen binnen de gehele gezondheidszorg in Nederland. De reden hiervoor is dat ziekenhuizen binnen de Nederlandse gezondheidszorginstellingen kunnen worden aangemerkt als het meest complex. Dit geldt zowel voor de organisatiestructuur, financieringstructuur als voor de automatiseringsomgeving.

2


1.3

Opbouw van het rapport

Deze afstudeerscriptie is opgebouwd aan de hand van de bovengenoemde deelvragen. In hoofdstuk twee is een antwoord gegeven op deelvraag een. Deelvraag twee en drie zijn in hoofdstuk drie nader uitgewerkt. In hoofdstuk vier heb ik deelvraag drie tot en met zes nader uitgewerkt. Het laatste hoofdstuk, hoofdstuk vijf, wordt vervolgens afgesloten met beantwoording van de deelvragen en de centrale onderzoeksvraag van deze afstudeerscriptie.

3


2

Functioneel /(applicatie-)beheer

2.1

Inleiding

De naamgeving van dit hoofdstuk met de diverse leestekens ziet er wat vreemd uit en is misschien wel wat verwarrend. Deze verwarrende indruk krijg ik ook wel eens bij instellingen waar wij onze werkzaamheden uitvoeren. Begrippen als functioneel applicatiebeheer, functioneel beheer en applicatiebeheer zijn te extraheren uit deze hoofdstukomschrijving. In paragraaf 2.2 zal ik deze begrippen nader uitwerken en omschrijven wat ik in het kader van deze scriptie versta onder deze begrippen. In paragraaf 2.3 wordt een aanvullend begrip geïntroduceerd, technisch beheer. In deze paragraaf wordt tevens de relatie met de begrippen functioneel beheer en applicatiebeheer verder uitgewerkt. In paragraaf 2.4 zal ik dit hoofdstuk afsluiten door te omschrijven wat ik onder de begrippen functioneel beheer en applicatiebeheer zal verstaan voor het vervolg van mijn scriptie. 2.2

Wat is functioneel applicatiebeheer?

Functioneel applicatiebeheer is een containerbegrip. Stel een willekeurige organisatie of een willekeurige afdeling binnen een organisatie de vraag wat functioneel applicatiebeheer inhoudt en steeds weer wordt een andere invulling gegeven aan dit begrip. Opvallend hierbij is dat in veel gevallen de nadruk ligt op de IT-organisatie en de bijbehorende procedures, zoals ITIL1. De inbreng vanuit de gebruikersorganisatie krijgt hierbij vaak nog onvoldoende aandacht. Zowel de invalshoek vanuit de IT-organisatie én de invalshoek vanuit de gebruikersorganisatie zijn van belang voor de inrichting van een adequate IT beheeromgeving. Wellicht kan zelfs gesteld worden dat de invalshoek vanuit de gebruikersorganisatie van net iets groter belang is. De reden hiervoor is dat IT een ondersteunende discipline is. Hierdoor is de IT organisatie in sterke mate afhankelijk van de perceptie van de dienstverlening door de primaire disciplines (de gebruikersorganisatie) binnen een organisatie. De perceptie van deze gebruikersorganisatie bepaalt in grote mate of de werking van een IT-organisatie2 succesvol is of niet. Door deze perceptie is het in sommige gevallen van ondergeschikt belang of een IT-organisatie technisch subliem werk aflevert. Indien de werkzaamheden door de gebruikersorganisatie als ‘onvoldoende’ ervaren en gewaardeerd worden omdat ze onvoldoende aansluiten bij de wensen

2

Het succes van de IT-organisatie is bij uitstek een van de dissatisfiers uit de motivatietheorieën van Maslow en Herzberg. De IT-organisatie zal nooit te horen krijgen dat zaken goed geregeld zijn, enkel zal men te horen krijgen indien de zaken niet goed geregeld zijn.

4


van de gebruikersorganisatie zal het eindoordeel ‘onvoldoende’ zijn, ongeacht de technische kwaliteit van de werkzaamheden van de IT-organisatie3. Het is van belang zowel de invalshoek van de gebruikersorganisatie als de invalshoek van de ITorganisatie een plaats te geven binnen het geheel. De gebruikersorganisatie en de IT-organisatie vormen samen de IT-beheerorganisatie. Looijen heeft het begrip functioneel applicatiebeheer gesplitst in functioneel beheer en applicatiebeheer. Functioneel beheer is het namens de gebruikersorganisatie instandhouden van de functionaliteit van de informatiesystemen en infrastructuur. In de praktijk ziet men deze functie uitgebreid worden naar de complete aansturing van de informatievoorziening in een organisatie. Primaire aandachtsgebieden4: informatievoorziening én de gebruikersorganisatie. Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 2005 conform de definitie van Looijen

Om het begrip functioneel beheer nader te verduidelijken heb ik een aantal taken weergegeven die onder functioneel beheer kunnen vallen: • Gebruikersbeheer (aanmaken van gebruikers en toekennen van rechten); • Helpdeskfuncties (afhandelen service requests en incidenten); • Specificeren maatwerk en specificeren van eisen; • Uitvoeren van impactanalyses wijzigingen; • Uitvoeren en begeleiden van testen; • Ontwikkelen van rapportages middels rapportagetools; • Opleiden eindgebruikers; • Opleiden keyusers; • Opstellen/ beheer van procesbeschrijvingen/ werkinstructies; • Verzorgen van periode afsluitingen.

3

De wet van Maijer stelt; E=f K, A. Het betekent: Effect (E) van een activiteit is het product (*) van Kwaliteit (K) en Acceptatie (A). Dus, hoe goed een product/dienst inhoudelijk ook is (K), het gaat erom dat de activiteit wordt geaccepteerd door de gebruikers (A). Wanneer de acceptatie nihil is (A=0) is het effect nihil (E=0). Dus verspilde moeite. 4 Aanvulling door auteur van deze scriptie.

5


Applicatiebeheer is het namens de IT organisatie instandhouden applicatieprogrammatuur/ informatiesystemen en de gegevensbanken.

van

de

Primaire aandachtsgebieden5: informatiesystemen, applicaties én de IT organisatie. Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 200 conform de definitie van Looijen 5

Om het begrip applicatiebeheer ook nader te verduidelijken heb ik een aantal voorbeelden opgenomen van taken die kunnen vallen onder applicatiebeheer: • Doorvoeren van wijzigingen in applicaties; • Invoeren van nieuwe toepassingen; • Oplossen van incidenten; • Uitvoeren en begeleiden van testwerkzaamheden; • Opstellen/ beheer van beheerprocedures/ werkinstructies. De taken van applicatiebeheer zijn in tegenstelling tot functioneel beheer wat technischer van aard. Het is niet van direct belang dat beide functies expliciet benoemd zijn binnen een organisatie. Zoals reeds aangegeven, is het van belang dat aan de inhoud van beide aspecten in voldoende mate aandacht wordt besteed binnen de IT beheerorganisatie van een instelling. Voor het vervolg van mijn scriptie zal ik geen gebruik meer maken van het containerbegrip functioneel applicatiebeheer, maar beide begrippen functioneel beheer en applicatiebeheer afzonderlijk benoemen conform de definitie die ik hiervoor heb genoemd. 2.3

Wat is de relatie met technisch beheer?

Alvorens de relatie tussen functioneel beheer, applicatiebeheer en technisch beheer verder uit te werken, is het van belang te weten wat onder technisch beheer wordt verstaan. Evenals bij functioneel applicatiebeheer het geval is, speelt ook bij technisch beheer de spraakverwarring een grote rol. Binnen veel ziekenhuizen zijn bijvoorbeeld technische applicatiebeheerders aangesteld. Indien uitsluitend wordt gekeken naar de inhoud van deze functies, wordt duidelijk dat dit vaak meer weg heeft van het technische gedeelte van het applicatiebeheer6 zoals beschreven is in §2.2. Looijen7 geeft aan dat bij middelgrote en grote organisaties drie verschillende soorten aandachtsgebieden zijn te onderkennen. Naast functioneel beheer en applicatiebeheer is daar het derde aandachtsgebied: technisch beheer.

5

Aanvulling door auteur van deze scriptie. Dit zijn de functionarissen die versies van programmatuur in en uit productie nemen etc. 7 Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 2005 6

6


Technisch beheer is het namens de IT organisatie instandhouden van de operationele werking van de informatiesystemen. (bestaande uit apparatuur, programmatuur en gegevensverzamelingen) Primaire aandachtsgebieden8: infrastructuur én de IT organisatie. Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 2005

De relatie tussen technisch beheer, functioneel beheer en applicatiebeheer is middels het volgende figuur weer te geven:

Figuur 1. De vormen van beheer volgens Looijen. Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 2005

Het overzicht zoals dit door Looijen is ontwikkeld toont de wisselwerking tussen de verschillende aandachtsgebieden. Punten die haar oorsprong vinden in functioneel beheer hebben veelal ook een invloed op applicatiebeheer en technisch beheer. Hetzelfde geldt echter ook voor punten die haar oorsprong hebben binnen applicatiebeheer of technisch beheer. Tevens geldt dat de taken, bevoegdheden en verantwoordelijkheden deels binnen de gebruikersorganisatie en deels binnen de IT- organisatie liggen. Een voorbeeld hiervan is het doorvoeren van wijzigingen in applicaties. Deze wijzingen zullen veelal geïnitieerd worden vanuit de gebruikersorganisatie, doorgevoerd worden door de IT-organisatie en vervolgens geaccepteerd worden door de gebruikersorganisatie. De cirkel is bewust niet exact door midden gedeeld. De reden hiervoor is dat het overgrote deel van de werkzaamheden van de IT beheersorganisatie nog altijd binnen de IT organisatie ligt. Functioneel beheer is echter wel een belangrijke schakel die niet vergeten mag worden. Tevens zijn lang niet altijd verschillende aandachtsgebieden expliciet terug te vinden in de 8

Aanvulling door auteur van deze scriptie.

7


organisatieschema’s van een organisatie. Hiervoor grijp ik terug op een gezegde dat ik in de tijd dat ik werkzaam was als accountant heb geleerd: ‘substance over form9’. Zolang er voldoende aandacht is voor alle aandachtsgebieden binnen de IT beheerorganisatie, zijn er voldoende waarborgen dat de IT beheerorganisatie adequaat kan werken. Het is dan van minder belang dat ieder aandachtgebied afzonderlijk benoemd is in een organisatie of organigram. 2.4

Afsluiting

In dit hoofdstuk is aangegeven wat verstaan wordt onder functioneel beheer, applicatiebeheer en technisch beheer en hoe deze begrippen te relateren zijn aan elkaar. Hiermee is een antwoord gegeven op de eerste deelvraag; wat is functioneel applicatiebeheer? Voor het vervolg van mijn scriptie en de beantwoording van onderzoeksvraag zal ik gebruikmaken van de begrippen zoals deze in dit hoofdstuk zijn omschreven. Voornamelijk het begrip functioneel beheer en applicatiebeheer, redenerend vanuit het gebruikersperspectief, zal een rode draad door mijn scriptie zijn. Technisch beheer is echter wel een belangrijke schakel, zowel aan de inputzijde als aan de outputzijde van functioneel beheer en applicatiebeheer. In het vervolg van mijn scriptie zal ik nog een aantal maal, echter met een belangrijke nadruk op het gebruikersperspectief, terugkomen op technisch beheer.

9

Situatie waarin de werkelijkheid (inhoud) mag prevaleren boven de formele situatie.

8


3

Inventarisatie van oorzaken en formulering van eisen

3.1

Inleiding

Een gemiddeld ziekenhuis heeft een groot aantal applicaties in haar beheer. Om een heel globaal overzicht te geven van deze applicaties heb ik een overzicht opgesteld waarin ik een zeer beperkt aantal van de applicaties toon die gebruikt worden voor de registratie, validatie en declaratie van DBC’s. DBC Registratie applicatie

Verpleegdagen applicatie

COV Controle

Correctie functionaliteit

Tarieventabel tbv facturering

Patientregistratie applicatie

Validatiemodule

Subadministratie debiteuren

Facturatiemodule

Laboratorium applicatie

Financiële administratie

Rontgenapplicatie Tarieventabel tbv bepaling OHW

Datawarehouse

OK Planningsapplicatie

Apotheekapplicatie

Onderhanden werk bepaling

Uitvallijsten

Etc, Etc

Figuur 2. Een globale overview van de systemen voor de registratie, validatie en declaratie van DBC’s Bron: Scriptie Gerrits 2008

Naast deze primaire applicaties beschikt een ziekenhuis ook nog over een groot aantal ondersteunende applicaties, zoals een HRM-toepassing, een logistieke applicatie, kantoorautomatisering, etc. Het beheersingsvraagstuk dat dit met zich meebrengt is enorm omdat

9


deze veelheid aan applicaties in principe niet geïntegreerd zijn, er sprake is van vele interfaces en er sprake is van veel beheer en onderhoud. In dit hoofdstuk staat het beantwoorden van de tweede en derde deelvraag centraal. In §3.2 is beschreven wat mogelijke oorzaken zijn voor het onvoldoende functioneren van functioneel beheer en applicatiebeheer binnen een gezondheidszorginstelling. Vervolgens wordt aan de hand van deze oorzaken een aantal eisen geformuleerd waaraan een goede procedure voor functioneel beheer en applicatiebeheer dient te voldoen, dit is beschreven in §3.3. In §3.4 zal ik dit hoofdstuk kort afsluiten. 3.2

Inventarisatie van oorzaken

De redenen voor het ontstaan van de problemen op het gebied van functioneel beheer en applicatiebeheer vinden haar oorsprong in de situatie waar de Nederlandse gezondheidszorg vandaan komt en de situatie waarin men zich momenteel bevindt. Het is een lange tijd rustig geweest betreffende wijzigende weten regelgeving en daarmee met de wijzigingen in de automatiseringsomgeving. Met de komst van DBC’s is deze rustige situatie gestopt en is het geheel in een stroomversnelling gekomen. Veel organisaties waren te laat en daarmee zijn veel organisaties op een razende trein gestapt. Zij hebben onvoldoende tijd gekregen, maar ook onvoldoende tijd genomen10, om haar organisatie daarop aan te passen. Hierdoor is men steeds verder achterop geraakt. De gevolgen hiervan zijn dagelijks te merken De afgelopen zeven jaren heb ik (accountants)controlewerkzaamheden uitgevoerd bij diverse gezondheidszorginstellingen. Op basis van deze ervaringen, aangevuld met gesprekken die ik heb gehad met diverse functionarissen van enkele ziekenhuizen11, ben ik tot een inventarisatie van verdere oorzaken gekomen. De oorzaken die, in mijn ogen, een adequate IT beheerorganisatie in de weg staan zijn opgenomen in het overzicht. 1 Cultuur: binnen de gezondheidszorg heerst op dit moment nog steeds een bepaalde mate van aversie tegen automatisering. Daarnaast is er tegenstand tegen het beperken van rechten binnen applicaties en het doen van aanvragen middels standaard aanvraagformulieren en procedures. 2 Geen uniformiteit in inrichting en uitvoering van IT beheerprocedures: van oudsher kenmerken ziekenhuizen zich door een sterk decentraal karakter. De diverse specialismen

10

11

Ik ben van mening dat het beide kanten op werkt. Instellingen hebben te weinig prioriteit aan de implicaties van nieuwe weten regelgeving gegeven en daarmee de komst van DBC’s drastisch onderschat. Tevens heb ik bij meerdere van mijn klanten gehoord dat zij verwachtten dat DBC’s (en daarmee de problemen) wel over zouden waaien. Tijdens mijn onderzoek heb ik bewust in grote mate met controllers en hoofden van financiële afdelingen gesproken om daarmee een goed beeld te krijgen van het perspectief van de gebruikersorganisatie.

10


binnen het ziekenhuis kennen een grote mate van autonomie. De inrichting en uitvoering van IT beheerprocedures geschiedt binnen iedere afdeling anders. Onderhoud van procedures heeft onvoldoende plaatsgevonden: de gezondheidszorg is jarenlang een branche geweest met zeer weinig veranderingen. De IT organisatie en IT infrastructuur waren decennia lang stabiel. Met de komst van de gewijzigde financieringsystematiek door middel van DBC’s is de gehele organisatie (inclusief de IT beheerorganisatie) continue in beweging. Procedures zijn de afgelopen jaren niet actueel gehouden. Ontbreken van goede functieomschrijvingen: het toekennen van rechten binnen applicaties zou moeten geschieden op basis van een functieomschrijving. Het ontbreekt echter aan goede functieomschrijvingen op basis waarvan rechten binnen een applicatie toegewezen zouden kunnen worden. Ontbreken van adequate tooling: een groot aantal van de ziekenhuizen beschikt niet over adequate tooling voor haar IT-beheer. Onvoldoende centrale coördinatie en ketenmanagement: om processen en de keten van processen (bijvoorbeeld registratie, validatie en declaratie van DBC’s) adequaat te kunnen beheersen, dient er sprake te zijn van een centrale coördinatie en ketenmanagement12. Specifieke vereisten vanuit weten regelgeving: gezondheidszorginstellingen dienen aan een groot aantal specifieke vereisten vanuit weten regelgeving te voldoen. Een aantal van deze vereisten hebben een directe invloed op de IT beheeromgeving van een organisatie. Zo heeft een gezondheidszorginstelling ondermeer te maken met vereisten uit: – NEN7510: informatiebeveiliging in de zorg, dit is de zorgvariant van de Code of Practise (ISO/ IEC 17799) – WGBO: Wet op de Geneeskundige Behandelovereenkomst. – WBP: Wet bescherming persoonsgegevens Continue stroom van wijzigingen uit hoofde van weten regelgeving: de financieringsystematiek van de gezondheidszorg is de afgelopen jaren continue onderhevig aan wijzigingen. Een aantal maal per jaar worden er wijzigingen uitgebracht, soms zelfs met terugwerkende kracht. Deze wijzigen hebben vaak een belangrijke invloed op de IT beheerorganisatie van een instelling. Ontbreken van toetsing op naleving van procedures: het opstellen van procedures binnen een organisatie is een verstandige keuze. Hierbij is echter wel een belangrijke randvoorwaarde te onderkennen en dat is het toezien op de naleving van deze procedures. Hiermee kan een organisatie leren van haar fouten. Hier ontbreekt het vaak nog aan in de huidige situatie.

3

4

5 6 7

8

9

3.3

Formulering van eisen

In de voorgaande paragraaf zijn de oorzaken geformuleerd die hebben bijgedragen aan de huidige situatie binnen de Nederlandse gezondheidszorg: een niet-adequate IT beheersomgeving. 12

Wijzigingen in de ene applicatie kunnen gevolgen hebben op de andere applicatie. Het is van belang dat de gehele keten adequaat bewaakt en beheerst wordt.

11


Onderstaand heb ik een aantal eisen geformuleerd waar een adequaat beheersingskader voor functioneel beheer en applicatiebeheer aan zou moeten voldoen: • eenvoudig, laagdrempelig zijn; • ondersteunend zijn en geen doel op zich; • passen bij de cultuur van de organisatie; • uniformiteit bevorderen; • eenvoudig te onderhouden zijn; • centrale coördinatie en ketenmanagement bevorderen; • ondersteunen in het voldoen aan vigerende weten regelgeving; • flexibel zijn; • toezien op naleving eenvoudig mogelijk maken. De eisen die ik geformuleerd heb zouden ook kunnen worden toegepast binnen iedere ander organisatie die niet te maken heeft met gezondheidszorg. Er zijn echter wel enkele specifieke aandachtspunten, zoals de vereisten vanuit weten regelgeving en de cultuur die momenteel nog heerst binnen gezondheidszorginstellingen. Ik ben blij met de uitkomst van mijn onderzoek. Zeer regelmatig wordt mij door de IT afdeling van het ziekenhuis verteld dat het niet mogelijk is om haar IT beheerorganisatie adequaat in te richten. De reden hiervoor zijn de specifieke problemen waarmee men kampt. Deze uitkomst toont aan dat ‘de gezondheidszorg’ niet zo specifiek is als men soms zelf stelt en dat er niet heel andere eisen gesteld worden aan een IT beheersorganisatie binnen een gezondheidszorginstelling. Tevens sterkt deze uitkomst mij in het gevoel dat het ook voor een gezondheidzorginstelling mogelijk is om te beschikken over een adequate IT beheerorganisatie. Belangrijke randvoorwaarde hierbij blijft de inrichting, deze moet passend zijn bij de wensen van de (gebruikers-)organisatie. In §4.3 zal ik toetsen of BiSL/ASL voldoet aan de eisen zoals deze geformuleerd zijn in deze paragraaf. 3.4

Afsluiting

In dit hoofdstuk zijn de oorzaken weergegeven die leiden tot de problemen waarmee gezondheidszorginstellingen kampen op het gebied van functioneel beheer en applicatiebeheer. Op basis van deze onderkende oorzaken zijn de eisen voor een adequaat beheersingkader op het gebied van functioneel beheer en applicatiebeheer geformuleerd. In het volgende hoofdstuk zal ik toetsen of BiSL/ASL voorziet in deze eisen.

12


4

BiSL/ASL

4.1

Inleiding

In dit hoofdstuk staan deelvragen vier tot en met zes centraal. Deze deelvragen betroffen: 4. Wat is BiSL/ASL? 5. Voldoet BiSL/ ASL aan de eisen vanuit de Nederlandse gezondheidszorg en welke aanpassingen zijn noodzakelijk om BiSL/ASL toepasbaar te maken voor de gezondheidszorg? 6. Op welk detailniveau dient BiSL/ASL ingezet te worden om toepasbaar te zijn voor Nederlandse Gezondheidszorginstelling? In paragraaf 4.2 zal ik een antwoord geven op deelvraag vier. In de paragrafen 4.3 en 4.4 zal ik een antwoord geven op de vijfde deelvraag van mijn scriptie. Paragraaf 4.5 zal in het teken staan van deelvraag zes waarna ik in paragraaf 4.6 dit hoofdstuk over BiSL/ ASL zal afsluiten. 4.2

Wat is BiSL/ASL?

In deze paragraaf zal ik het ontstaan, de inhoud van BiSL en ASL beschrijven en de relatie die deze beide begrippen met elkaar hebben. 4.2.1

Het ontstaan

Een aantal decennia geleden is door het RCC (Rijks Computercentum), een van de rechtsvoorgangers van het huidige Getronics PinkRoccade, op basis van ITIL13 een beheermethodiek ontwikkeld gericht op beheer en onderhoud van applicaties. Deze methodiek biedt de mogelijkheid om beheer- en onderhoudsprocessen op gestructureerde en inzichtelijke wijze in te richten. Dit model werd toen nog R2C (Regie, Control en Continuïteit) genoemd en is, na de nodige aanpassingen, op dit moment beter bekend als het ASL framework. Met de komst van een framework dat gericht was op applicatiebeheer werd de noodzaak voor een framework voor functioneel beheer ook groter. Doel hiervan was de opdrachtgeverprocessen en de ondersteuningsprocessen binnen de gebruikersorganisatie verder te structureren. Op basis van het R2C model (nu ASL), ITIL en beheermodel van Looijen14 is vervolgens het huidige BiSL framework ontstaan. Dit model is evenals het ASL model binnen de gelederen van Getronics 13

Doordat het framework is gebaseerd op ITIL sluit het ook zeer makkelijk aan op de reeds aanwezige IT beheerprocedures. Binnen veel organisaties zijn deze immers gebaseerd op ITIL. 14 Looijen beschrijft functioneel beheer, applicatiebeheer en technisch beheer in het boek “drievoudig model voor beheer”.,. Bron: Een methodiek voor Functioneel Beheer van C.D. Deurloo, M.E.E. Meijer-Veldman, R. van der Pols (Pink Roccade) 6 november 1997 IT beheer jaarboek 1998.

13


PinkRoccade ontwikkeld. In februari 2005 is het BiSL model als eerste en enige publieke standaard voor functioneel beheer en informatiemanagement geïntroduceerd aan het publieke domein. Zowel het BiSL als het ASL model behoren tot het zogenoemde publieke domein. Dit houdt in dat de eigenaar15 (Stichting ASL BiSL Foundation) het BiSL en ASL gedachtegoed vrij voor iedereen beschikbaar stelt en dat het vrij gebruikt mag worden. De frameworks zijn van én voor iedereen. De stichting fungeert als een centraal aanspreekpunt om nieuwe ideeën in te brengen, kennis te delen, de kwaliteit en consistentie te bewaken van BiSL en ASL publicaties en uitingen. 4.2.2

De begrippen

In deze paragraaf worden de begrippen BiSL en ASL nader uitgewerkt. In §2.3 heb ik de relatie tussen technisch beheer, functioneel beheer en applicatiebeheer weergeven. Om duidelijk te maken wat de samenhang is tussen BiSL en ASL heb ik aan het figuur van §2.3 de begrippen BiSL en ASL toegevoegd.

Figuur 3. De vormen van beheer volgens Looijen aangevuld met BiSL en ASL Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 2005

Zoals uit deze rest van deze paragraaf zal blijken hebben BiSL en ASL met name op het gebied van sturende processen hele duidelijke raakvlakken. Dit is bewust op deze wijze vormgegeven omdat uit de praktijk bleek dat met name de communicatie en sturing tussen de gebruikersorganisatie en applicatiebeheer moeizaam verliep en vaak een oorzaak was voor fouten.

15Oorspronkelijk

ontwikkeld binnen Getronics PinkRoccade worden BiSL en ASL nu beheerd door de stichting ASL BiSL Foundation.

14


De theoretische definitie van BiSL is als volgt: BiSL slaat een brug tussen ICT en bedrijfsproces, en tussen functioneel beheerders en informatiemanagers. Het BiSL-procesmodel geeft inzicht in alle hoofdprocessen van hun werkveld, en de relaties tussen de processen. Het biedt aanknopingspunten voor verbetering van de processen, onder meer via 'best practises' en het verschaft een uniforme terminologie. Kernpunten16: functioneel beheer en informatiemanagement, de gebruikersorganisatie staat centraal, uniformiteit. BiSL zit heel duidelijk aan de gebruikerskant van de IT-Beheersorganisatie. Bron www.aslbislfoundation.org geraadpleegd 5 januari 2008

Om deze definitie van BiSL duidelijker te maken heb ik de volgende praktijk casus opgenomen: Praktijkvoorbeeld BiSL: Ziekenhuis X beschikt over een groot aantal applicaties voor de registratie, validatie en declaratie van DBC’s. De rechtenstructuur in deze applicaties is niet aan elkaar gekoppeld zoals dit het geval is bij veel ERP applicaties. Rechten dienen in iedere applicatie afzonderlijk toegekend te worden en zijn per applicatie ondergebracht bij een eigen functioneel beheerder. Iedere beheerder heef een eigen werkwijze. Mevrouw J. treedt in dienst bij Ziekenhuis X in de functie van verpleegster IC. Vervolgens dient zij rechten te krijgen binnen de volgende applicaties: • Mirador voor het registreren en raadplegen van DBC gegevens en het EPD; • Locati voor het registreren en raadplegen van de verpleegdagen en ligdagen; • Glims voor het registreren en raadplegen laboratorium uitslagen; • Aposys voor het doen van aanvragen voor medicatie; • Etc. Oude situatie De medewerker krijgt rechten tot het netwerk en toegang tot de bovengenoemde applicaties. Vervolgens wordt aan de functioneel beheerders gecommuniceerd dat zij mevrouw J. rechten moeten toekennen. De communicatie geschiedt middels e-mail, telefonisch of schriftelijk, eigenlijk net zoals het op dat moment uitkomt. De rechten worden toegekend op basis van het eigen inzicht van de functioneel beheerder. De functioneel beheerder geeft mevrouw J. dezelfde rechten als meneer G. hij heeft dezelfde functie en daar ontvangen we nooit klachten over. Niemand heeft zich ooit afgevraagd of meneer G. wel bij zijn functie passende toegangrechten heeft ontvangen.

16

Aanvulling door auteur van deze scriptie.

15


Situatie in geval van BiSL Bij de indiensttreding van mevrouw J wordt door haar leidinggevende een aanvraag gedaan. Hiervoor mag uitsluitend een standaardformulier voor een bepaald proces worden gebruikt. In dit geval het aanvraagformulier ‘zorgfunctie’. Hier moet de functie van mevrouw J. aangegeven worden. Dit formulier wordt beoordeeld door het serviceteam Zorg indien er voor mevrouw J. afwijkende rechten worden gevraagd. Op basis van dit geautoriseerde formulier krijgt mevrouw rechten J toegang tot het netwerk en systemen waar zij volgens haar functieprofiel toegang toe mag hebben. De beheerder tekent het formulier af en stuurt het aan de functioneel beheerder Mirador. Op basis van haar functie krijgt mevrouw J. een standaard profiel toegewezen in Mirador. Vervolgens gaat het formulier naar de volgende functioneel beheerder. De laatste functioneel beheerder stuurt het formulier terug naar het serviceteam alwaar beoordeeld wordt of het formulier geheel is afgewerkt conform de procedure. Vervolgens wordt het formulier gearchiveerd. Indien het formulier niet tijdig terug wordt ontvangen neemt het serviceteam Zorg actie. Om de gestructureerde werkwijze van BiSL mogelijk te maken, is BiSL opgebouwd uit zeven clusters. Deze clusters zijn onder te verdelen naar uitvoerende, sturende of richtinggevende clusters. Voor BiSL geeft zijn dit de volgende clusters: Uitvoerende clusters 1 cluster gebruiksbeheer: Gebruiksbeheer heeft als doel dat de informatievoorziening juist gebruikt wordt. In de praktijk richt dit zich voornamelijk op het aanmaken, wijzigingen en ontnemen van rechten voor gebruikers; 2 cluster wijzigingenbeheer en transitie: De operationele verbindende processen binnen BiSL vormen de schakel tussen het gebruik van de informatievoorziening en de verandering of vernieuwing van de informatievoorziening. Ze vormen dus de koppeling tussen ‘gebruiksbeheer’ en ‘functionaliteitenbeheer’; 3 cluster functionaliteitenbeheer: Dit cluster van processen houdt zich bezig met het vormgeven van de veranderingen aan de informatievoorziening en het zorgdragen dat deze veranderingen goed worden ontworpen en ingevuld. Dit cluster heeft een heel duidelijk raakvlak met ASL en vertegenwoordigt de functionele kant van het doorvoeren van wijzigingen in applicaties; Sturende clusters 4 cluster sturende processen: De sturende processen zijn de ontmoetingspunten van de operationele en de richtinggevende processen. De volgende sturende processen zijn benoemd in BiSL: planning en control, kostenmanagement, behoefte management en service level management; Richtinggevende clusters 5 cluster vormgeven en sturen informatievoorziening: Dit cluster behandelt het vormgeven en sturen van de informatievoorziening. Een belangrijk aandachtspunt hierbij is de betrouwbaarheid van de informatievoorziening en de mate waarin de beschikbare informatievoorziening past bij de behoeften vanuit de organisatie; 6 cluster coördinatie informatievoorziening: Dit cluster behandelt de afstemming tussen inhoud en proces. Binnen het domein van functioneel beheer zijn geregeld veel partijen

16


7

actief die moeten samenwerken op het terrein van de informatievoorziening. Deels zijn deze partijen intern, deels extern. Daarnaast is er een informatievoorziening met een opdeling in diverse lagen. Op deze terreinen moet een beleid gemaakt worden en dit beleid moet samenhangend zijn; cluster toekomst van de informatievoorziening: Het cluster ‘opstellen informatiestrategie’ richt zich, op het ontwikkelen van een ‘visie’ op de toekomst van de informatievoorziening van de organisatie. Het doel van dit cluster is om ervoor te zorgen dat de informatievoorziening van de organisatie goed aansluit en in de toekomst blijft aansluiten op de bedrijfsprocessen in de organisatie.

De theoretische definitie van ASL is als volgt: ASL biedt een framework voor application management dat gestoeld is op de best practises van professionals met jarenlange ervaring. Het model is zodanig ontwikkeld dat het de optimale ICTondersteuning van bedrijfsprocessen garandeert. Zo kan de organisatie zich concentreren op haar core-business. ASL beperkt zich tot het geven van richtlijnen voor het inrichten van processen en laat de inrichting van de beheerorganisatie geheel vrij. Hierdoor is het framework algemeen toepasbaar binnen de ICT-dienstverlening, onafhankelijk van de maat van uw organisatie. Kernpunten17: Applicatiebeheer, IT service organisatie, uniformiteit. ASL zit heel duidelijk aan de IT-organisatiekant van de IT-beheersorganisatie. Bron www.aslbislfoundation.org geraadpleegd 5 januari 2008

Om de definitie van ASL te verduidelijken maak ik ook weer gebruik van een praktijkvoorbeeld: Praktijkvoorbeeld ASL18: Ziekenhuis X beschikt over een groot aantal applicaties voor de registratie, validatie en declaratie van DBC’s. Dit zijn de ondermeer de volgende applicaties: • Mirador voor het registreren en raadplegen van DBC gegevens en het EPD; • Locati voor het registreren en raadplegen van de verpleegdagen en ligdagen; • Glims voor het registreren en raadplegen laboratorium uitslagen; • Aposys voor het doen van aanvragen voor medicatie; • Etc. Met een frequentie van bijna wekelijks worden er releasenotes voor wijzigingen in programmatuur ontvangen, bijvoorbeeld door gewijzigde weten regelgeving in diverse applicaties. 17 18

Aanvulling door auteur van deze scriptie. Ik chargeer een beetje in dit voorbeeld, de kern is echter wel gebaseerd op de waarheid. Bij klanten maak ik vaak enkele van deze voorbeelden mee, ik heb deze in dit voorbeeld gecombineerd.

17


Oude situatie Wijzigen worden beoordeeld door de betreffende applicatiebeheerder. De applicatiebeheerder kent de betreffende functioneel beheerder goed omdat ze dagelijks samen lunchen. Onder de lunch wordt de impact van de wijziging besproken, die valt wel mee. De wijziging kan doorgevoerd worden. De applicatiebeheerder voert geen test uit en legt ook niets vast. Zonde van de tijd!, de update is immers van een gerenommeerde leverancier en veel meer ziekenhuizen krijgen de deze update omdat zij ook gebruik maken van deze applicatie. Het moet wel goed gaan Situatie in geval van BiSL Ziekenhuis X beschikt over een wijzigingenkalender. Iedere derde dinsdag van de maand worden wijzigingen in applicaties doorgevoerd. Wijzigen worden vooraf beoordeeld door de betreffende functioneel beheerder en applicatiebeheerder. Aan de hand van intern vastgestelde criteria schatten zij de impact van de wijziging in. Wijzigingen met een impact groter dan X worden besproken in het maandelijkse Wijzigingen Advies Comité (WAC). In dit WAC zijn vertegenwoordigers opgenomen vanuit de diverse serviceteams, functioneel beheerder, applicatiebeheerders en technisch beheerders. Zij bepalen of en wanneer de update kan worden doorgevoerd. Dit wordt bijgehouden in een logboek met wijzigingen. Alle wijzigingen worden getest in een representatieve testomgeving. Het testen geschiedt conform de beschreven testprocedures. Van deze testen wordt een verslag opgesteld. Na afwikkeling van het testverslag wordt akkoord gegeven voor het in productie nemen van de wijzigingen. In het eerst volgende WAC wordt de wijziging geëvalueerd. Om deze gestructureerde aanpak mogelijk te maken is ASL opgebouwd uit zes clusters. Deze clusters zijn net als bij BiSL onder te verdelen naar uitvoerende, sturende of richtinggevende clusters. Voor ASL zijn de volgende clusters gedefinieerd. Uitvoerende clusters 1 cluster beheer. Dit cluster gaat over de applicatiebeheer activiteiten op het gebied van incidentbeheer, configuratiebeheer, beschikbaarheidbeheer, capaciteitsbeheer en continuïteitsbeheer; 2 cluster wijzigingenbeheer en programmabeheer en distributie. Dit cluster gaat over verbindende processen. Wijzigingenbeheer houdt zich bezig met opstellen en inplannen van releases. Daarnaast is er programma beheer en distributie dat zich bezighoudt met de logistiek in onderhoudsprocessen en de uiteindelijke uitlevering naar beheer; 3 cluster onderhoud en vernieuwing. De bedrijfsprocessen van een organisatie veranderen continue. Er is zijn nieuwe rapportages noodzakelijk, de organisatie verandert en regelingen veranderen. De processen die in dit cluster te vinden zijn, zijn de processen impactanalyse, ontwerp, realisatie, testen en implementatie; Sturende clusters 4 cluster sturende processen. De sturende processen zijn planning en control, kostenmanagement, kwaliteitsmanagement en service level management. De sturende processen zijn de ontmoetingspunten van de operationele en de richtinggevende processen;

18


Richtinggevende clusters 5 cluster organisation cycle management. Organisation cycle management hebben als doel de organisatie rondom applicatiebeheer te verbeteren en te veranderen op het terrein van technologie, klanten, klantbenadering en de positie op de markt; 6 cluster application cycle management. De doelstelling achter de processen binnen application cycle management is ervoor zorg te dragen dat informatiesystemen ook op de langere termijn blijven aansluiten op het bedrijfsproces. 4.2.3

Samenvatting en afsluiting van de begrippen BiSL en ASL

In de voorgaande paragraaf heb ik een aantal, wellicht wat chargerende, praktijkcasussen uitgewerkt voor BiSL en ASL. Het is wel de problematiek waar ik in de praktijk tegenaan loop. In het kader van deze afstudeerscriptie heb ik beide frameworks uitgebreid bestudeerd. Kenmerkend voor beide frameworks is dat zij een aantal aandachtsgebieden op uitvoerend (operationeel), sturend (organisatorisch) en richtinggevend (strategisch) niveau formuleren. Het acroniem dat vervolgens ontstaat;‘USR’ (USeR), beschrijft direct de kern van de frameworks19. De gebruikers en de communicatie met en de communicatie naar de gebruikers toe staat centraal binnen beide frameworks en vormen de rode draad door het geheel. Ook ASL, dat toch een meer technische insteek kent, onderkent de noodzakelijke input vanuit de gebruikersorganisatie expliciet. Beide frameworks zijn gebaseerd op best practises. Hierdoor is het framework niet dwingend en daarmee erg flexibel en eenvoudig aan te passen aan de wensen van de organisatie. Daarnaast sluit het BiSL/ASL framework zich zeer goed aan op reeds aanwezige frameworks zoals ITIL, omdat BiSL/ ASL voor een groot gedeelte is gebaseerd op ITIL. Verder kenmerkt de BiSL/ ASL zich door een heldere en centraal georiënteerde communicatiestructuur. De gedachte om te beheren op applicatieniveau is losgelaten en daarvoor in de plaats wordt beheerd op bedrijfsprocesniveau, waarbij serviceteams een belangrijke rol spelen. De gebruikersorganisatie krijgt hierdoor het gevoel van ‘one stop shopping’. Daarnaast wordt ook een belangrijk voordeel behaald op het gebied van ketenbeheersing. Conflicterende toegangsrechten binnen applicaties, de impact van wijzigingen in de ene applicatie op de andere applicatie zijn aspecten die hierdoor vroegtijdiger en beter zichtbaar worden. Daarmee wordt de beheersbaarheid van een proces enorm vergroot. Al deze factoren samen maakt het BiSL en ASL framework tot een zeer flexibel framework. De kern van BiSL/ ASL is als volgt omschrijven:

19

Dit betreft de interpretatie van de auteur. Het acroniem is ook door de auteur van deze scriptie opgesteld.

19


BiSL/ ASL kenmerkt zich door aandachtsgebieden te hebben op zowel uitvoerend, sturend en richtinggevend niveau. Waarbij het heden, de toekomst én de gebruikersorganisatie centraal staan. Hierbij zijn applicaties losgelaten en er wordt beheerd in bedrijfsprocessen. Uniformiteit en heldere communicatie gedurende het gehele proces én door de gehele organisatie zijn de rode draad door het BiSL/ ASL gedachtegoed. Op basis van mijn samenvatting lijkt BiSL/ASL het wondermiddel waar de Nederlandse gezondheidszorg nu al langere tijd op wacht. Hierbij moet ik echter wel twee belangrijke kanttekeningen plaatsen. • het framework kan alleen succesvol zijn indien het op een adequate wijze wordt geïmplementeerd binnen een zorginstelling; • het framework helpt bij de inrichting van een IT beheerorganisatie maar is geen toetsend framework. Er kan dus niet bij voorbaat worden vastgesteld of een IT beheerorganisatie adequaat is ingericht. Onder adequaat versta ik ‘passend’ bij de organisatie. De ogenschijnlijke tegenstrijdigheid die in bovenstaande kanttekening staat: op adequate wijze implementeren, maar het niet aanwezig zijn van een toetsingskader is exact waar ik middels deze scriptie op wil in spelen. In bijlage I heb ik een beoordelingskader voor BiSL/ASL opgenomen. In §5.3 ga ik hier verder op in.

20


4.3

Voldoet BiSL/ASL aan de eisen die daaraan gesteld worden vanuit de gezondheidszorg?

Het toetsen van de eisen aan het framework is een lastige opgave, te meer omdat het BiSL/ASL framework geen toetsend beheersingskader is. Ik heb deze toetsing uitgevoerd op basis van mijn interpretatie van het BiSL/ ASL framework en de eisen die ik heb geformuleerd in paragraaf 3.3. Deze eisen waren: • Eenvoudig, laagdrempelig zijn; • Ondersteunend zijn en geen doel op zich; • Passend bij de cultuur van de organisatie; • Uniformiteit bevorderen; • Eenvoudig te onderhouden zijn; • Centrale coördinatie en ketenmanagement bevorderen; • Ondersteunen in het voldoen aan vigerende weten regelgeving; • Flexibel zijn; • toezien op naleving eenvoudig mogelijk maken. In de volgende paragrafen heb ik aangegeven of BiSL/ ASL aan deze eis voldoet. Ik heb hierbij de volgende gradaties gehanteerd:

Voldoet Voldoet, maar niet bij voorbaat Voldoet niet 4.3.1

Eenvoudig, laagdrempelig zijn

Op basis van mijn onderzoek naar BiSL/ ASL kom ik tot de conclusie dat BiSL/ ASL zeker eenvoudig en laagdrempelig kan zijn. Dit is echter wel geheel afhankelijk van de gekozen wijze van inrichting van deze procedures binnen de organisatie. Een organisatie kan er voor kiezen om BiSL/ ASL exact conform de theorie in te richten of een organisatie kan er voor kiezen om dit te doen op een praktische en laagdrempelige manier.

21


4.3.2

Ondersteunend zijn en geen doel op zich

Hierbij geldt dezelfde opmerking als ik reeds in §4.3.1 gemaakt heb. Door BiSL/ASL te theoretisch in te richten binnen een organisatie wordt het risico gelopen dat het enige eindproduct ‘een kast vol procedures’ is en dat men uiteindelijk niet beschikt over adequaat ingericht IT beheersomgeving. Door BiSL/ASL op een wijze te implementeren die goed past bij de organisatie, is BiSL/ASL zeker een framework dat ondersteunend kan zijn. Het is aan de organisatie, maar ook aan ons als toekomstig IT-auditors’ om te waken dat de invoering van BiSL/ASL toevoegde waarde heeft aan de organisatie en geen doel op zich wordt. Deze toegevoegde waarde kan bijvoorbeeld liggen in een lagere beheerlast. 4.3.3

Passend bij de cultuur van de organisatie

Alvorens over te gaan tot de invoering van BiSL/ASL dient een duidelijk inzicht verkregen te worden in de cultuur van de betreffende zorginstelling. Eén ding is bij voorbaat al duidelijk, het is niet mogelijk om 100% van de oude werkwijzen te behouden. Zowel de IT-organisatie als de gebruikersorganisatie zullen concessies moeten doen indien overgegaan wordt naar BiSL/ASL. Deze concessies liggen bijvoorbeeld in een afname van de vrijblijvendheid van de gebruikersorganisatie voor het aanvragen van toegangsrechten op iedere manier die men wenst. Voor de IT-organisatie ligt dit op het gebied dat zij ook gestructureerde vastleggingen moeten gaan doen en alles mondeling kunnen afwikkelen. Zoals reeds aangegeven kom ik bij veel zorginstellingen en daar merk ik tegenstand tegen bepaalde vernieuwingen. Deze tegenstand is met name te voelen bij de gebruikersorganisatie die alle formaliteiten eigenlijk maar lastig vinden en er het nut niet van inzien. Indien een zorginstelling tot de invoering van BiSL/ASL wil overgaan, is het noodzakelijk dat voldoende steun wordt verkregen vanuit de leiding van de organisatie. 4.3.4

Uniformiteit bevorderen

BiSL/ASL is een helder en een overzichtelijk framework. Het grote voordeel van BiSL/ASL is dat applicaties worden losgelaten en er wordt overgegaan tot beheersing in bedrijfsprocessen middels serviceteams. Deze aanpak leidt tot een grote mate van uniformiteit omdat alle serviceteams op een gelijke wijze werken.

22


4.3.5

Eenvoudig te onderhouden zijn

Afhankelijk van de wijze van invoering van BiSL/ ASL binnen de organisatie is de vraag te beantwoorden of het framework eenvoudig te onderhouden is. De Stichting ASL BiSL Foundation helpt bij het eenvoudig onderhouden middels het verstrekken van ‘best practise’ voorbeelden op het gebied van functioneel beheer en applicatiebeheer. Op het moment dat BiSL/ASL ingevoerd wordt bij meerdere gezondheidszorginstellingen ligt hier wellicht ook een kans om BiSL/ASL eenvoudig te onderhouden middels het uitwisselen van ‘best practises’. 4.3.6

Centrale coördinatie en ketenmanagement bevorderen

Het grote voordeel van BiSL/ ASL is dat applicaties worden losgelaten en er wordt overgegaan tot beheersing in bedrijfsprocessen middels serviceteams. De serviceteams zijn verantwoordelijk voor een bepaald bedrijfsproces of een deel van dit bedrijfsproces. Door deze aanpak wordt ketenmanagement bevorderd en de centrale coördinatie vergroot. In het praktijkvoorbeeld van BiSL en ASL zoals ik dat in §4.2.2 heb opgenomen is dit goed te zien. 4.3.7

Ondersteunen in het voldoen aan vigerende weten regelgeving

BiSL/ASL ondersteunt de specifieke vereisten vanuit bijvoorbeeld de WGBO of NEN7510 niet. De zorginstelling zal zelf aanvullende maatregelen moeten nemen om te waarborgen dat toch aan deze weten regelgeving wordt voldaan. 4.3.8

Flexibel zijn

De flexibiliteit van BiSL/ ASL ligt met name in de modulaire opbouw van het framework middels de cluster. In het geval dat een aanpassing gedaan moet worden, behoeft uitsluitend het betreffende cluster aangepast te worden.

23


4.3.9

Toezien op naleving eenvoudig mogelijk maken

Door het adequaat inrichten en het inbouwen van voldoende controlemomenten is het middels BiSL/ ASL mogelijk om periodiek toe te zien op de naleving van de intern opgestelde beheerprocedures. BiSL/ ASL kent naast de uitvoerende niveaus ook sturende en richtinggevende niveaus. In deze niveaus dient voldoende aandacht te zijn op naleving van de interne procedures. 4.3.10 Afsluiting Uit deze analyse wordt duidelijk dat een goed framework zeker niet bij voorbaat het wondermiddel is voor een organisatie om haar problemen omtrent IT beheersing op te lossen. Een bij de organisatie passende inrichting en een goede risicoanalyse, om bijvoorbeeld de mogelijke risico’s op het gebied van weten regelgeving inzichtelijk te krijgen, is hierbij een absolute must. In bijlage I van deze scriptie heb ik een beoordelingskader voor BiSL en ASL opgenomen. De punten die ik een score heb toegekend van drie rode bolletjes óf twee groene bolletjes en één rood bolletje hebben extra aandacht gehad bij de uitwerking van het beoordelingskader.

24


4.4

Welke aanpassingen zijn noodzakelijk om BiSL/ASL toepasbaar te maken?

Het BiSL/ASL framework is een samenvoeging van een aantal ‘best practises’ op het gebied van IT beheersing. Het is echter geen toetsend beoordelingskader op basis waarvan een organisatie zelf een analyse kan doen in hoeverre de IT beheerorganisatie voldoet aan de daaraan te stellen eisen. Er zijn wel generieke zelfdiagnose vragenlijsten op het gebied van BiSL/ ASL beschikbaar. Specifieke punten op het gebied van organisatiecultuur en specifieke weten regelgeving wordt daarin echter gemist. In bijlage I van deze afstudeerscriptie heb ik een eerste aanzet gedaan voor een beoordelingskader dat specifiek is toegespitst op de Nederlandse gezondheidszorg en rekening houdt met de ‘eigenaardigheden’ van de Nederlandse gezondheidszorg. Ik noem het bewust een ‘eerste aanzet’. Nadat het beoordelingskader een aantal maal in de praktijk toegepast is, zullen er zeker nog wat aanpassingen aan het beoordelingskader gedaan moeten worden. Verder is ieder ziekenhuis uniek en heeft haar eigen specifieke behoeften, ook deze kunnen in het beoordelingskader opgenomen worden. Enkel op deze wijze wordt een IT beheersingskader verkregen dat laagdrempelig is en goed past bij de behoeften van een organisatie. Dit past ook precies in het beeld dat de ASL BiSL Foundation (voorheen ASL Foundation) voor ogen heeft; een flexibel, adequaat én bij de organisatie passend ITbeheersingkader. 4.5

Op welk detailniveau dient BiSL/ASL toegepast/ ingericht te worden binnen een organisatie?

De rode draad in BiSL/ASL is om de op applicatie gebaseerde beheersing los te laten en over te gaan op beheersing van bedrijfsprocessen. Hiertoe worden serviceteams geformeerd die ieder een bepaald (deel) proces beheren. In bijlage I heb ik deze serviceteams gedefinieerd op procesniveau. Hierbij zijn de volgende processen/serviceteams gedefinieerd: • Zorgproces: registratie, validatie en declaratie; • HR/ Salaris; • facilitair beheer, inkoop en logistiek; • geldverkeer/ treasury; • financiële administratie/ controlling; • overige. Afhankelijk van de veelheid van gebruikers, applicaties, specialismen en complexiteit kan een ziekenhuis het serviceteam voor het zorgproces verder detailleren, bijvoorbeeld middels de invoering van sub serviceteams. Ik kan hiervoor geen eenduidig en juiste oplossing geven, dit is geheel afhankelijk van vorengenoemde en vele andere factoren binnen de betreffende organisatie. Wel is het van essentieel belang dat dit weloverwogen, gestructureerd gebeurt en dat structurele

25


coördinatie blijft bestaan. Mijn advies is om deze sub serviceteams zoveel mogelijk te beperken omdat dit weer extra coördinatie en daarmee een verhoogd risico op fouten met zich meebrengt. Afhankelijk van het aantal sub serviceteams dat men in het leven roept is het aan te raden om een centrale coördinator aan te stellen en daarmee te waarborgen dat de procedures synchroon lopen en synchroon blijven lopen.

Figuur 4. Een voorbeeld van subservice teams waarbij een onderscheid is gemaakt tussen beschouwende, ondersteunende en snijdende specialismen.

In de bovenstaande figuur heb ik een voorbeeld gegeven hoe een Serviceteam Zorg onderverdeeld kan worden naar drie sub serviceteams, op basis van het specialisme. Er zijn echter ook andere onderverdelingen mogelijk, dit is geheel afhankelijk van de wensen en eisen van de betreffende gezondheidszorginstelling. 4.6

Afsluiting

In dit hoofdstuk is de gedachte achter BiSL/ASL beschreven. Tevens is aangegeven in hoeverre BiSL/ASL ondersteunend is om de problemen en de oorzaken van deze problemen waarmee de Nederlandse gezondheidszorginstellingen op het gebied van IT beheersing kampen op te lossen. Op basis van deze problemen en oorzaken heb ik een aantal eisen geformuleerd waaraan een IT beheersingskader moet voldoen. Daarnaast heb ik in dit hoofdstuk aangegeven op welk detailniveau BiSL/ASL geïmplementeerd dient te worden binnen een organisatie. De conclusie van mijn onderzoek is dat BiSL/ASL zeker kan voldoen aan deze eisen, maar dat er voor de instelling zelf een belangrijke taak is weggelegd om de implementatie van BiSL/ASL succesvol te maken en succesvol te houden.

26


Middels het beoordelingskader dat ik heb opgesteld in bijlage I, kunnen instellingen een eerste beoordeling uitvoeren of de aspecten van IT beheersing in voldoende mate zijn ingebed in de betreffende instelling. De ASL BiSL foundation geeft het zelf ook aan: BiSL/ASL kan enkel een succes worden indien het naadloos aansluit op de doelstellingen en cultuur van de organisatie, KISS is hierbij het sleutelwoord. (KEEP IT SHORT AND SIMPLE)

27


5

Beantwoording centrale onderzoeksvraag en wat nu?

5.1

Inleiding

In dit hoofdstuk worden de kernpunten van mijn scriptie nogmaals uiteengezet, teneinde een antwoord te kunnen geven op de centrale onderzoeksvraag zoals opgenomen in §1.2. In §5.2 zal ik een antwoord geven op de centrale onderzoeksvraag om vervolgens in §5.3 af te sluiten met de toegevoegde waarde van dit onderzoek voor de EDP Auditor. 5.2

Beantwoording centrale onderzoeksvraag

In de hoofdstukken twee tot en met vier zijn begrippen zoals functioneel applicatiebeheer en BiSL/ASL nader toegelicht. Tevens heb ik in deze hoofdstukken de problemen geschetst die de Nederlandse gezondheidszorg ervaart bij de uitvoering van haar IT beheerprocessen. Deze problemen zijn vervolgens vertaald naar eisen en getoetst aan het BiSL/ASL framework. Dit alles heb ik gedaan om een antwoord te kunnen geven op mijn centrale onderzoeksvraag: ‘Is het BiSL/ASL model een praktisch toepasbaar model voor het functioneel applicatiebeheer (FAB) binnen de Nederlandse gezondheidszorg?’ Op basis van mijn onderzoek moet ik deze vraag zeker positief beantwoorden. BiSL/ASL is met name geschikt omdat het: • de gedachte van beheersing in applicaties kantelt naar het beheersen in bedrijfsprocessen; • zowel uitvoerende, sturende en richtinggevende (USR) doelstellingen kent en de User (de gebruikersorganisatie) hierbij continu centraal staat; • flexibel en in te richten is op ieder gewenst detailniveau; • aansluit op reeds aanwezige frameworks binnen een instelling, zoals ITIL. Er is echter wel een belangrijke ‘maar’. Deze ‘maar’ geldt eigenlijk voor ieder framework dat binnen een organisatie wordt geïmplementeerd. Het framework op zich is niet het wondermiddel voor alle perikelen die men op het gebied van IT beheersing ervaart. Het framework kan enkel een succes worden indien het naadloos aansluit op de doelstellingen van de organisatie, de cultuur van de organisatie en wordt (uit)gedragen door de leiding van de organisatie. 5.3

Wat nu?

Zoals ik reeds in deze scriptie heb aangegeven is het BiSL/ASL framework geen toetsend of normstellend beheersingskader. Daarnaast is het BiSL/ASL een generiek framework. Ook de

28


‘eigenaardigheden’ binnen de gezondheidszorg, zoals de cultuur van de organisatie en de specifieke vereisten uit weten regelgeving zijn geen standaard onderdeel van het framework. Om mijn onderzoek van nut te laten zijn voor mijn collega’s binnen de sector gezondheidszorg en mijzelf als toekomstig IT auditor heb ik in bijlage I een eerste aanzet voor een beoordelingskader ‘a la BiSL/ASL’ gedaan dat specifiek is toegesneden op de gezondheidszorg. Ik heb hierbij rekening gehouden met de bevindingen uit mijn onderzoek. Hierbij is het startpunt geweest om de risico’s die op richtinggevend, sturend en uitvoerend niveau te onderkennen zijn in kaart te brengen. Voor deze risico’s zijn vervolgens interne beheersingsmaatregelen geformuleerd. Ik heb in de periode dat ik deze scriptie heb geschreven het beoordelingskader reeds éénmaal gebruikt bij de controle van een ziekenhuis. Na afstemming van het beoordelingskader en de uitvoering van onze werkzaamheden heb ik het beoordelingskader op kleine punten aangepast. Nadat het beoordelingskader nog een aantal maal in de praktijk is toegepast, zullen er zeker nog meer aanpassingen aan het beoordelingskader gedaan worden. Verder is ieder ziekenhuis uniek en heeft haar eigen specifieke behoeften, ook deze kunnen in het beoordelingskader opgenomen worden. Enkel op deze wijze is het mogelijk een IT beheersingskader te krijgen dat laagdrempelig is en goed past bij de behoeften van een organisatie. Dit past ook precies in het beeld dat de ASL BiSL Foundation (voorheen ASL Foundation) voor ogen heeft, een flexibel en bij de organisatiepassend IT beheersingskader

29


6

Verklarende woordenlijst

DBC

Declaratie

EPD

FB Budget

Een DBC (Diagnose Behandeling Combinatie) is te zien als een vooraf gedefinieerd gemiddeld zorgproduct dat de zorgverlener selecteert op basis van de zorgvraag van de patiënt. De DBC bevat informatie over de zorgvraag, de diagnose en de benodigde behandeling. De DBC benoemt elke activiteit in de behandeling van de patiënt, van het eerste contact tot en met de laatste controle. Bron www.dbconderhoud.nl Het door de zorgaanbieder bepalen aan wie en tegen welk prijs/ tarief de declarabele prestatie moet worden gefactureerd. De afhandeling van DBC declaratie door de zorgverzekeraar en/of patiënt waarbij wordt vastgesteld of er recht is op vergoeding en of de juiste declarabele prestatie en het juiste tarief is gedeclareerd. Elektronisch Patiënten Dossier. Het EPD kan gezien worden als een containerbegrip. Een functionele definitie van een EPD is dat alle relevante patiëntinformatie, 24 uur per dag, vanaf elke werkplek beschikbaar is. Als extra inhoudelijke eigenschappen van een EDP Systeem kan de ondersteuning van de zorgprofessional bij het zorgproces genoemd worden, zoals het opnemen van veiligheidsmaatregelen voor medicatie, waarschuwingssystemen voor afwijkende uitslagen, richtlijnen en protocollering. Bekostigingssysteem in de ziekenhuiszorg. Door de Nederlandse Zorgautoriteit (NZa) voorheen College Tarieven Gezondheidszorg (CTG)) wordt voor ieder ziekenhuis in Nederland een budget vastgesteld. Hiertoe hanteert de NZa door haar opgestelde en door het Ministerie van VWS goedgekeurde rekenregels. De budgettering van ziekenhuizen is gestart in 1983 op basis van een beoordeling van de exploitatie van 1982 en heeft zich ontwikkeld tot een budgettoekenning op basis van budgetparameters (FB budget). Naast toekenning van budget voor de klinische en poliklinische activiteiten van het ziekenhuis kan eveneens budget worden toegekend voor activiteiten voor derden zoals de eerstelijnszorg (huisartsen) en andere instellingen (verpleeghuizen). Tevens worden in het budget de kosten meegenomen van medisch specialisten in het geval deze in loondienst zijn.(Bron: www.minvws.nl) Het FB-systeem zal per 2009 worden vervangen door een systeem van prestatiebekostiging voor medisch specialistische zorg.

30


IT Beheerorganisatie ITIL NEN7510

Registratie

Risicoanalyse Validatiemodule

Validatie/Valideren WBP

De IT-beheerorganisatie bestaat uit de gebruikersorganisatie en de ITorganisatie. De Information Technology Infrastructure Library is ontwikkeld als een referentiekader/ best practise voor het inrichten van de beheerprocessen binnen een IT-organisatie. De norm NEN 7510 is een door het Nederlands Normalisatie-instituut ontwikkelde norm voor Informatiebeveiliging voor de zorgsector in Nederland. De norm is gebaseerd op de Code voor Informatiebeveiliging.Voor de zorgsector is een aangepaste versie van de Code opgesteld. De reden hiervoor is dat er met name specifieke extra aandachtspunten zijn, zoals privacybescherming, en het taalgebruik, dat voor de zorgsector niet volledig duidelijk is. De NEN 7510 wordt aangevuld met de NEN 7511 (Toetsbaar voorschrift voor solopraktijken, samenwerkingsverbanden en grote instellingen) en NEN 7512 (gegevensuitwisseling, gericht op de AORTA infrastructuur). Het vastleggen van Diagnose Behandeling Combinaties door of onder verantwoordelijkheid van de medisch specialist in het Ziekenhuis Informatie Systeem (ZIS). Dit wordt gedaan met behulp van de door de verschillende wetenschappelijke verenigingen opgestelde typeringslijsten en binnen de richtlijnen zoals die in de typeringsinstructies zijn opgesteld. Daarnaast moet worden voldaan aan de regels zoals die in de NZa beleidsregels zijn vastgesteld. Het op gestructureerde wijze in kaart van brengen van risico’s en beheersingmaatregelen in bedrijfsprocessen. Deel van het ICT-systeem waarmee de DBC’s worden gevalideerd voordat ze ter declaratie aan worden geboden. In deze module wordt aan de hand van de gekoppelde zorgactiviteiten een behandelas afgeleid. Indien van toepassing wordt deze afgeleide behandelas vergeleken met de ingevoerde behandelas en wanneer er verschil is, komt de betreffende DBC op de uitvallijst te staan. Wanneer de DBC niet uitvalt wordt tenslotte gecheckt of de combinatie van DBC componenten declarabel is. Controleren of de gekozen DBC-typering (met name de behandeling) past bij de uitgevoerde zorgactiviteiten. De Nederlandse Wet bescherming persoonsgegevens, afgekort Wbp, geeft regels ter bescherming van de privacy van burgers. De wet is op 1 september 2001 in werking getreden.

31


WGBO

De Wet op de Geneeskundige Behandelingsovereenkomst is een Nederlandse wet waarin rechten en plichten van behandelaar en patiënt geregeld worden, en is 1 april 1995 in werking getreden. Het is vastgelegd in boek 7, titel 7, afdeling 5 van het Burgerlijk Wetboek (Nederland) (B.W.). Het is een vorm van een overeenkomst van opdracht (titel 7.7 B.W.).In deze wet wordt onder meer recht van inzage in het eigen medische dossier geregeld. Ook bevat de WGBO een informatieplicht en toestemmingsvereiste. De zorgverlener is verplicht de patiënt te informeren en deze toestemming voor een behandeling te vragen.

32


7

Literatuurlijst

Geraadpleegde boeken 1 2 3 4

Pols, Strategisch Beheer van informatievoorziening met ASL en BISL, Academic Services 2005. Aanvulling op boek Strategisch Beheer van informatievoorziening met ASL en BISL, DEEL D website www.academicservices.nl geraadpleegd 28 december 2007. Liefers, Burk, Compliance en IT Beheer, Academic Services 2006. Praat, Suerink, Inleiding EDP-auditing, Ten Hagen en Stam november 2004.

Geraadpleegde artikelen 1 2 3 4 5 6 7 8 9 10

Deurlo, Meijer-Veldman, Pols, een methodiek voor functioneel beheer, IT beheerhandboek 1998 Outvorst, Zee, Deurlo, De praktijk van functioneel beheer – het model voor functioneel beheer in de praktijk, IT beheerhandboek 2001 Meijer, Meijers. Effectief IT-beheer: samenwerken waar nodig, zelfstandig opereren waar mogelijk. IT beheerhandboek 2002 Deurlo, Outvorst, Pols, een nieuwe functioneel-beheermodel, It Beheerhandboek 2002 Outvorst, Functioneel beheer bij pakketten. IT beheerhandboek 2003 Pols, de nieuwe rol voor informatiemanagement, IT beheerhandboek 2003 Outvorst, Donatz, functioneel beheer bij pakketten deel 2. ITSM bestpractises 2004 Van Dolder, hoe sterker de schakels, hoe beter de ketting, IT beheer 2-2004 Outvorst, Donatz/, Pols, introductie BiSL ITSM best practises 2005 Bordewijk, In samenhang met ITIL is BiSL verrijking van IT Service Management, IT beheer 10-2006

Geraadpleegde websites 1 2 3

www.aslbislfoundation.org www.getronicspinkroccade.nl www.dbconderhoud.nl

33

Scriptie ter afronding van de IT Audit opleiding aan de Vrije Universiteit van Amsterdam

Geheimhouding De inhoud van deze scriptie is vertrouwelijk. Niets uit deze scriptie mag vermenigvuldigd, noch openbaar gemaakt worden zonder de uitdrukkelijke toestemming van de auteur.

drs. G.J.A.M.J. (Gert-Jan) Gerrits RA, april 2008

ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?

Recommend Documents