DE ZORGADMINISTRATIE VAN DE TOEKOMST

139

JAARGANG 36

TIJDSCHRIFT VOOR ZORGADMINISTRATIE EN INFORMATIE

APRIL 2010 EEN KWARTAALUITGAVE VAN DE VERENIGING VOOR ZORGADMINISTRATIE EN INFORMATIE

DE ZORGADMINISTRATIE VAN DE TOEKOMST EEN INTEGRALE AANPAK BEHANDELLIJNEN EN ANTROPOSOFIE IN DE GGZ

DE 10 MEEST BEDRIJFSKRITISCHE SUCCESFACTOREN VAN INFORMATIEBEVEILIGING

1 0 10

MENSGEBONDEN ONDERZOEK EN HET MELDEN VAN NEGATIEVE GEBEURTENISSEN OM DE VEILIGHEID TE BORGEN.

NVMA Nadere professionalisering is de weg vooruit NIEUWSFLITS Grote uitdagingen staan ons te wachten! De zorgadministratie in Nederland zal deze uitdagingen moeten trotseren. Niet alleen wordt de transitie van ICD9 naar ICD10 een grote klus voor de codeurs, maar ook debij- en nascholing zal integraal moeten worden doorgelicht en moeten worden geactualiseerd. Op basis van het nieuwe curriculum zal het NVMA bestuur actie ondernemen om te zorgen dat de opleidingen worden aangepast. Ook hier wil het NVMA bestuur niet lijdzaam toezien wat er gebeurt in het veld. De golf aan opleidingsactiviteiten moet op korte termijn worden gerealiseerd. Dat is het adagium.

De opleiding van zorgadministrateurs, codeurs en andere administratieve medische beroepen is een randvoorwaarde om de professionaliteit van deze beroepen te kunnen bevorderen. De afgelopen heeft de NVMA aan de zijlijn gestaan bij de organisatie van opleidingen. Om beter haar leden te kunnen ondersteunen en adviseren heeft het NVMA bestuur de handschoen opgepakt. Het bestuur is in overleg met vele koepelorganisaties en een interne opleidingscommissie gestart met het actualiseren van het curriculum van de beroepen in de zorgadministratie en zorginformatie.

Wat betekent dit concreet voor het NVMA bestuur en de vele andere vrijwilligers die onze opleidingen een warm hart toedragen? Het betekent dat wij al een partij bereid hebben gevonden om het hele pallet aan opleidingen in haar cursusaanbod op te nemen. De Amstel Academy heeft in informeel overleg al besloten met het NVMA bestuur te gaan werken aan deze uitdaging. Het moet haalbaar worden geacht dat de nieuwe opleidingen voor zorgadministrateurs en codeurs al in september 2010 van start kunnen gaan. Dus volgt u deze nieuwsrubriek op de voet, want wij communiceren over onze vordering in het NTMA en op onze NVMA website

TIJDSCHRIFT VOOR ZORGADMINISTRATIE EN INFORMATIE NR. 139, APRIL 2010 EEN KWARTAALUITGAVE VAN DE NVMA VERENIGING VOOR ZORGADMINISTRATIE EN INFORMATIE, JAARGANG 36

REDACTIE NTMA HOOFDREDACTIE Han Runnenberg REDACTIE-SECRETARIAAT Anneke Bekker REDACTIEMEDEWERKERS Matthieu Dekker Aart van Winkoop REDACTIE-ADRES Anneke Bekker Groene Hart Ziekenhuis Postbus 1098 / j27 2800 BB Gouda telefoon 0172 617338 E-mail: [email protected] AAN DIT NUMMER WERKTEN MEE Wybe Dekker en Herman Pieterse

Mensgebonden onderzoek en het melden van negatieve gebeurtenissen om de veiligheid te borgen PAG.

4

COPYRIGHT 2010 overname van artikelen is in alle gevallen mogelijk in overleg met de redactie ABONNEMENTEN leden van de NVMA ontvangen NTMA gratis. Voor niet-leden bedraagt het abonnementsgeld €26,– per jaar, los nummer €9,–. Een abonnement kan op elk gewenst tijdstip ingaan. Abonnementen kunnen alleen schriftelijk tot uiterlijk 2 maanden voor het beëindigen van het lopende abonnement worden opgezegd. Bij niet tijdige opzegging wordt het abonnement automatisch voor een jaar verlengd. LEZERSSERVICE opgave abonnement en adreswijziging bij: T.G.R. Király Sint Lucas Andreas Ziekenhuis Medische Administratie Postbus 9243 1006 AE Amsterdam E-mail: [email protected]

DE ZORGADMINISTRATIE VAN DE TOEKOMST PAG.

10

VORMGEVING & PRODUCTIE DesignPeople, Amsterdam/Sittard UITGEVER NVMA, Hoorn, www.nvma.nl DRUK Marcelis van der Lee Adu BV, Heerhugowaard FOTOGRAFIE Richard Lotte, Zaandam ADVERTENTIE-COÖRDINATIE telefoon 072 - 5483916 telefax 072 - 5482170 telefoon telefax

Informatiebeveiliging bij huisartsen

071 - 8906610 0252 - 531995

DISTRIBUTIE NIC.Oud Direct-mail, Heerhugowaard ISSN 1381-3072

PAG.

26

INHOUD N T M A APR I L 2 0 1 0 Mensgebonden onderzoek en het melden van negatieve gebeurtenissen om de veiligheid te borgen Herman Pieterse

4

De Zorgadministratie van de toekomst, een integrale aanpak Stefan Roskam, Nils van Herpen, Myriam Martens

10

Behandellijnen en Antroposofie in de GGz: een uitdagende combinatie Harry Singeling, Joke van de Veer

16

Valideren van software systemen in de gezondheidszorg? Hoezo validatie? Wat moeten we hier nu weer mee? Column Sam Sterk

22

Informatiebeveiliging beoordeeld, verslag van een themamiddag Jaap van der Wel, Jaap van der Kamp

23

Informatiebeveiliging bij huisartsen Hossein Nabavi, Jaap van der Kamp, Kees van der Meer

26

De 10 meest bedrijfskritische succesfactoren van informatiebeveiliging Gerard Stroeve

32

15e EPD-ZORGICT CONGRES

AGENDA Nieuwsflits opleidingen IHFRO Congres Milaan / 15-19 november 2010

1 8

Training werken als AO/IC medewerker Themamiddag HSMR / 10 juni 2010

24 34

Training DBC DOT 15e EPD- ZorgICT congres / 3 juni 2010 Training DBC GGz registratie, validatie en facturatie

35 38 40

ADVERTEERDERS Q-Consult (2), IFHRO (8), COPE (14,15), Allgeier Medical Viewer (20 ), Studelta (28), Qlikview/Oneline (31), Allgeier Scanfactory (36), Marcelis van der Lee Adu (41), Jalema (achterzijde)

3 juni 2010

pag. 38

HSMR THEMAMIDDAG

10 juni 2010

pag. 34

3

MENSGEBONDEN ONDERZOEK EN HET MELDEN VAN NEGATIEVE GEBEURTENISSEN OM DE VEILIGHEID TE BORGEN IS EEN PATIËNT DIE DEELNEEMT AAN EEN MENSGEBONDEN ONDERZOEK IN NEDERLAND VEILIG? DAT IS DE HOOFDVRAAG WAAROP IK IN DEZE AFLEVERING VAN DE SERIE ARTIKELEN OVER MENSGEBONDEN ONDERZOEK EEN ANTWOORD ZAL FORMULEREN. IN HET VORIGE ARTIKEL WERD UITEENGEZET WELKE SOORTEN MENSGEBONDEN ONDERZOEK WE IN NEDERLAND ONDERSCHEIDEN. IN GROTE LIJNEN SPREKEN WE VAN WMO PLICHTIG MENSGEBONDEN ONDERZOEK. DIT SOORT ONDERZOEK KAN WORDEN UITGEVOERD MET ZOWEL GENEESMIDDELEN, MEDISCHE HULPMIDDELEN ALS VOEDINGSSUPPLEMENTEN. DIT IS ECHTER NIET DE ENIGE SOORT INTERVENTIES WAARMEE MENSGEBONDEN ONDERZOEK KAN WORDEN UITGEVOERD. OOK HET TESTEN VAN NIEUWE EXPERIMENTELE CHIRURGISCHE TECHNIEKEN OF PSYCHOLOGISCH EN PEDAGOGISCH ONDERZOEK KAN VALLEN ONDER DE WET MEDISCH-WETENSCHAPPELIJK ONDERZOEK MET MENSEN. HET HOUDT ALLEMAAL IN DAT DE ONDERZOEKSVOORSTELLEN VAN INTERVENTIE ONDERZOEK MOETEN WORDEN GETOETST DOOR EEN DOOR DE OVERHEID ERKENDE EN GEKWALIFICEERDE MEDISCH ETHISCHE TOETSINGSCOMMISSIE (METC). HET NIET-WMO PLICHTIGE ONDERZOEK BEHOEFT NIET TE WORDEN GETOETST IN HET KADER VAN DE WET WMO, MAAR ZOU WEL AAN ALGEMENE ZORGVULDIGHEIDSEISEN MOETEN VOLDOEN. WAT DAT PRECIES INHOUDT IS VOLOP IN DISCUSSIE. DIT JAAR ZAL EEN STUURGROEP WAARBIJ ALLE KOEPELORGANISATIES ZIJN BETROKKEN, HIERVOOR EEN BESLISBOOM OPSTELLEN WAARIN ZAL WORDEN WEERGEGEVEN AAN WELKE ZORGVULDIGHEIDSEISEN HET SOORT ONDERZOEK MOET VOLDOEN DAT NIET DOOR EEN METC WORDT GETOETST.

4

5

DR. HERMAN PIETERSE

Naast toetsing van de onderzoeksvoorstellen door de daartoe aangestelde commissie moet de infrastructuur van een onderzoek ook goed geregeld zijn. Het onderzoek dat wordt geëntameerd door de farma industrie voldoet al jaren aan de eis dat de infrastructuur goed geregeld dient te zijn. In casu, dit onderzoek wordt volledig in overeenstemming met een gedetailleerd kwaliteitssysteem op schrift uitgevoerd. Je zou kunnen zeggen dat deze onderzoeken volledig transparant worden uitgevoerd en dat voor alle deelprocessen en producten die worden gemaakt (studieprotocol, patiënten informatie, etc.) en diensten die worden verleend (monitoring, data management, etc.) volledige verantwoording wordt afgelegd. Bovendien is transparantie van alles wat er gebeurt een vereiste.

Tabel 1 Samenvatting resultaten 3 inspectierapport Propatria studie

6

Het is heel anders gesteld meat het onderzoek dat in de universitaire medische centra of topklinische ziekenhuizen door de onderzoekers daar wordt uitgevoerd. Terwijl de Kwaliteitswet Zorginstellingen al sinds 1996 van zorginstellingen eist dat zij al haar processen onderbrengt in een totaal zorgkwaliteitssysteem, ontbreekt het aan draaiboeken, werkvoorschriften en al wat dies meer zij in deze instellingen voor de processen gerelateerd aan mensgebonden onderzoek. Een goede infrastructuur ontbrak er ook bij de Propatria studie waarvan we zoveel hebben gehoord via de media1. De overheid heeft dit onderzoek aan een grondige inspectie onderworpen. De resultaten werden gepubliceerd in een inspectierapport dat in december 2009 is verschenen2.

Hieronder vindt u een samenvatting van de resultaten waaruit duidelijk moge blijken dat de infrastructuur van onderzoek drastisch dient te worden verbeterd en dat melden van negatieve gebeurtenissen ook de volledig aandacht zal krijgen de komende tijd. En als u wilt genieten van een patiënt die door Pauw en Witteman is opgetrommeld om zijn verhaal ten overstaan van een groot deel van de Nederlandse bevolking, op tv te vertellen moet u de volgende link maar eens volgen: http://video.google.nl/video search?q=joachim+vromans&hl=nl&emb=0&a q=f# In tabel 1 heeft de GCP inspectie samengevat hoe wij in Nederland in de nabije toekomst onderzoek met geneesmiddelen, medische hulpmiddelen en voedingssupplementen zullen moeten inrichten en uitvoeren. Tot zover even een inleiding in de problematiek. Nu voor het echte werk. Een patiënt of gezonde vrijwilliger neemt deel aan een onderzoek en wordt in overeenstemming met een goedgekeurd studieprotocol behandeld. Daartoe zal lichamelijk onderzoek worden uitgevoerd en zullen de nodige testen worden afgenomen en procedures uitgevoerd. Dit kan variëren van het afnemen van vragenlijsten tot bloedafname en andere interventies. De arts-onderzoeker zal tijdens de uitvoering van het onderzoek altijd moeten vragen aan de proefpersoon hoe het hem of haar vergaat. Of hij of zij iets anders ervaart door de deelname? Het navragen van ongewenste voorvallen kan proactief of reactief plaatsvinden. Veelal zal de proefpersoon ook worden gevraagd om zijn ervaringen te boek te stellen in een dagboekje. Als de patiënt een zogenaamd ongewenst voorval (in het Engels: adverse event) meldt dan moet de arts-onderzoeker dit registreren ongeacht of het voorval gerelateerd is aan de interventie. Ook zal de intensiteit worden geregistreerd. Vaak zal de arts-onderzoeker ook zijn mening kunnen en mogen geven over het mogelijke of waarschijnlijke verband met de interventie. Al deze gebeurtenissen worden opgetekend in het standaard verzamelformulier (In het Engels: Case Report Form [CRF]). Aan het eind van de studie worden al deze ongewenste voorvallen verzameld en zal men in de rapportage van het onderzoek volledig verslag doen van de intensiteit en frequentie van alle soorten voorvallen. Om de veiligheid van patiënten die aan onderzoek deelnemen continu te borgen als er gevaar dreigt, hebben we in mensgebonden onderzoek voor een bepaald soort negatieve gebeurtenissen aparte afspraken gemaakt. Dit zijn de ernstige ongewenste voorvallen, de zogenaamde SAE’s (in het Engels: Serious Adverse Events [SAE]). Deze ernstige ongewenste voorvallen moeten namelijk per direct (binnen 24 uur na gewaarwording) worden gemeld aan de opdrachtgever van de studie. De opdrachtgever van de studie moet het vervolgens direct doormelden aan daartoe aangestelde en aangemelde instanties. Wat zijn SAE´s? Dit staat altijd beschreven in het studieprotocol, maar het betreft voorvallen waarbij sprake is van een levensbedreigende situatie voor de deelnemen-

T

A

T

A

de proefpersoon of dat deze proefpersoon is overleden ongeacht de oorzaak. Als een proefpersoon om welke reden dan ook wordt opgenomen in een ziekenhuis voor 24 uur of als een ziekenhuisopname wordt verlengd dan zijn dit ook SAE´s. Ook kan het gebeuren dat een deelnemende proefpersoon arbeidsongeschikt raakt of blijvend invalide wordt. Ook dit zijn gebeurtenissen die direct moeten worden gemeld. Een volgende reeks zaken zijn problemen die optreden bij de geboorte van een kind of als de foetus zelf problemen heeft gekregen tijdens of vlak na de geboorte. Al deze zaken vereisen dat er direct melding van wordt gemaakt bij de oordelende METC. De laatste categorie van zaken die direct moeten worden gemeld zijn die zaken waarbij de deelnemende proefpersoon in direct levensgevaar komt of direct een interventie is vereist. Het grappige is dat de arts-onderzoeker zelf niet deze zaken zou moeten interpreteren, maar gewoon, met zijn verstand op nul, een melding moet maken van de gebeurtenis bij de METC. De arts-onderzoeker moet deze melding vanaf 1 januari 2010 maken via de databank van ToetsingOnline (Dat is het systeem waarin de arts-onderzoeker zijn Algemene Beoordeling en Registratieformulier [ABR] kan invullen).

sen niet persé gerelateerd hoeven te zijn aan de interventie. De causaliteit moet namelijk worden bepaald. De opdrachtgever (verrichter, initiatiefnemer of ook wel sponsor genoemd) van het onderzoek is hiervoor verantwoordelijk. Op basis van een serie algoritmen zal de opdrachtgever bepalen of de ernstige negatieve gebeurtenis mogelijk tot waarschijnlijk is gerelateerd aan de interventie. Als dat het geval is dan wordt de gebeurtenis betiteld als een verdachte ernstige bijwerking (in het Engels: Suspected Serious Adverse Reaction [SSAR]. Vervolgens moet de opdrachtgever evalueren of de gebeurtenis al eerder is beschreven en als zodanig is opgetekend in de documentatie van het product. Als dat het geval is dan spreken we van een verdachte, verwachte, ernstige bijwerking, maar wordt deze gebeurtenis nog steeds als een SSAR betiteld. Het zou ook zo maar kunnen dat de gebeurtenis wel onverwacht is (in het Engels: unexpected). Formeel staat de gebeurtenis dan niet beschreven, maar het zou ook een procedure of protocol gerelateerde gebeurtenis kunnen zijn. De arts-onderzoeker moet hierbij zijn of haar ‘niet-pluis gevoel’ optimaal gebruiken om altijd beter ‘safe than sorry’ te kunnen zijn. Vooral met nieuwe experimentele therapieën zal er in het begin sprake zijn van onverwachte gebeurtenissen. Hieronder schetsen we nog even in een diagram hoe een normale SAE zich verhoudt tot een SSAR en een SUSAR.

Figuur 1 ToetsingOnline: Scherm melden SAE of SUSAR

Nadat de onderzoeker zijn aanmelding en goedkeuring heeft gekregen zal er een tabblad verschijnen in zijn account waarbij hij SAE´s kan rapporteren naar het systeem. De Landelijke Associatie voor de Registratie en Evaluatie van Bijwerkingen [LAREB]4 zal ervoor zorgdragen dat de melding gecontroleerd wordt op volledigheid en consistentie. Elke oordelende METC en alle overheidsorganen hebben toegang tot ToetsingOnline en worden dus op deze wijze geïnformeerd over de negatieve gebeurtenissen die plaatsvinden in mensgebonden onderzoek. Als er een melding binnen ToetsingOnline heeft plaatsgevonden dan zal het systeem een e-mail sturen naar de oordelende ethiekcommissie om hen op de hoogte te stellen van het voorval dat is gemeld. Het is echter wel zo dat negatieve gebeurtenis-

Het aantal onverwachte zaken zal er echter afnemen naarmate de tijd vordert en meer onderzoek wordt uitgevoerd. Een SUSAR sec komt altijd maar eenmaal voor in het systeem. Als er een jaar is verstreken dan is het de bedoeling dat de SUSAR in de tabellen van de veiligheidsinformatie van de product brochure worden opgenomen. Op dat moment is de gebeurtenis beschreven en zal eenzelfde voorval als SSAR kunnen worden betiteld, maar niet meer als SUSAR. Een verdachte, onverwachte, ernstige bijwerking (in het Engels: Suspected Unexpected Serious Adverse Reaction [SUSAR]) moet op zijn beurt weer worden gemeld in de ToetsingOnline database onder een ander tabblad. Deze SUSARs moeten binnen 15 werkdagen worden gemeld en zelfs binnen 7 dagen als de melding een sterfgeval is of als er sprake was van een levensbedreigende situatie. 7

Als het onderzoek langer dan een jaar duurt moet aan het eind van het jaar een totaaloverzicht van alle SAE’s, SSAR’s en SUSAR’s naar de bevoegde overheid, de Centrale Commissie Mensgebonden Onderzoek en de oordelende METC worden gestuurd. Vele geneesmiddelen worden wereldwijd ontwikkeld. Er vindt dus behoorlijk wat onderzoek plaats in de wereld van zo’n product. Het kan dus zomaar gebeuren dat een totaaloverzicht van de negatieve gebeurtenissen van een geneesmiddel uit alle onderzoeken meer dan 3000 records bevat. U moet zich voorstellen hoeveel werkdruk dit geeft voor de overheidsinstanties om deze gegevens in detail te gaan lezen en te begrijpen. Om op basis van de beoordeling te kunnen komen tot een beslissing om het nog steeds veilig genoeg is om het onderzoek voort te zetten. Naar mijn bescheiden mening betekent het dat we digitaal in staat zijn om elkaar te informeren, maar cerebraal zijn we met elkaar niet meer in staat om tot een gewogen oordeel te komen of bepaalde situaties onveilig beginnen te worden. Door onze drift om steeds meer informatie te ontvangen, hebben we compromissen met de veiligheid moeten sluiten. In gewoon Nederlands betekent dat: we beheersen de situatie niet meer en moeten maar afwachten tot er een volgende calamiteit zich aandient.

Als we tussen de bedrijven door dit proces van melden even aan een kritische blik onderwerpen dan zien we dat in dit digitale tijdperk we mogelijk de onderzoeker zouden kunnen disciplineren om op tijd de melding te maken. Vooral als de onderzoeker ondersteunend administratief personeel ter beschikking heeft dan zal dit deel van het proces niet echt problemen opleveren. Het gevaar schuilt echter heel ergens anders. Het vullen van de database zal op termijn wel plaats gaan vinden, maar de evaluatie van alles dat in de databank is ingevoerd, dat baart mij zorgen. De instanties die alle meldingen zouden moeten beoordelen op hun merites beschikken niet over de mankracht, kennis en expertise om al de melding uit onderzoek cerebraal te verwerken tot een besluit. Als ik met grote omzichtigheid een uitspraak zou willen doen over het aantal meldingen dan is de echte worstcase 3600 meldingen. (Stel: in Nederland 900 onderzoeken met risico interventies; elk onderzoek heeft gemiddeld 40 patiënten in onderzoek en zullen er bij die 40 patienten in het algemeen 60 gebeurtenissen optreden). Dat betekent dat de ethiekcommissies gezamenlijk 3600 voorvallen zouden moeten beoordelen om te kunnen vaststellen of er een besluit moet worden genomen of het onderzoek al dan niet tijdelijk moet worden stilgelegd. Dit kan echter niet louter een kwestie zijn van een algoritme

CdkZbWZg&*"&.!'%&%qB^aVc!>iVan

PNA 1/2

ifhro

Congress of International Federation of Health Records Organitations

Better Information for Better Health The way forward to a safe, responsive and integrated healthcare

'cY6CCDJC8:B:CI86AA;DG67HIG68IH

8

HiZaaVEdaVgZ8dckZci^dc8ZcigZ";^ZgVb^aVcd

lll#^[]gd'%&%#^i

Figuur 3 Jaarlijkse veiligheidsrapportage van veiligheidsgegevens uit geneesmiddelenonderzoek

dat kan worden ingebouwd in het systeem. Als er sprake zou zijn van een besluit dan moet er zeker overleg plaatsvinden tussen de partijen die belangen hebben bij de uitvoering van dit onderzoek. Voor risico studies zal men op termijn zeker onafhankelijke data safety monitoring commissies moeten aanstellen. Deze specifieke commissies waarin experts zullen plaatsnemen die over de nodige expertise beschikken en geen belangenverstrengeling hebben zullen zich ‘realtime’ moeten buigen over de veiligheidsinformatie die naar hen wordt gestuurd. Een specifieke opdracht heeft deze commissie (in het Engels: Data Safety Monitoring Board [DSMB] als het onderzoek een dubbelblind onderzoek betreft. Dan heeft deze commissie ook de opdracht om de data te de-blinderen. Als het voor de onderzoeker en de patiënt niet bekend is welke behandeling wordt gegeven, dan is het niet mogelijk om de verwachtheid van de gebeurtenis te bepalen (N.B. Zolang je niet weet over welke interventie we spreken weet je niet in welke documenten je zou moeten nakijken of de gebeurtenissen verwacht is of niet). Negatieve gebeurtenissen van medische hulpmiddelen die in onderzoek worden getoetst moeten vandaag de dag nog worden gemeld aan de Inspectie voor de Gezondheidszorg, maar waarschijnlijk vanaf midden 2010 zal in een wijziging van de wet WMO worden besloten dat ook SAE´s en SUSARs van medische hulpmiddelen en voedingssupplementen ook moeten worden gemeld aan de bevoegde overheden via de databank ToetsingOnline. Is de proefpersoon (gezonde vrijwilliger of patiënt) die aan onderzoek deelneemt veilig in Nederland? Ja, nog wel. Wat betreft de meldingen van bijwerkingen moeten we opletten

Figuur 2 Schema van melding SAE en SUSAR

dat we het systeem niet ‘vergiftigen’ (excusez le mot) vanwege de hoeveelheid meldingen. Door de immense hoeveelheid meldingen zou het zo maar kunnen zijn dat de beoordelende instantie door de bomen het bos niet meer ziet en daarmee loopt de proefpersoon een potentieel gevaar. Aan de andere kant is de proefpersoon in een onderzoekssituatie in goede handen, want de gemotiveerde arts-onderzoeker en zijn of haar personeel begeleidt de proefpersoon meer intensief dan in de normale zorg zou kunnen. De ‘monitoring’ van deze patient is goed geregeld, omdat de arts-onderzoeker zich aan het intensieve studieprotocol dient te houden. Voorlopig zijn patiënten in onderzoek veilig, maar we zouden een dam moeten werpen tegen de tsunami van de bureaucratie. ■ Reacties op dit artikel worden op prijs gesteld. U kunt uw reactie richten aan de redactie van het tijdschrift.

Referenties 1 http://video.google.nl/videosearch? q=joachim+vromans&hl=nl&emb=0&aq=f# 2 Referentie inspectierapport 3 http://www.igz.nl/actueel/nieuws/belangrijketekortkomingenpropatriastudieverbeteringenvoorverantwoordklinischonderzoeknoodzakelijk.aspx 4 Voor het melden van bijwerkingen met geneesmiddelen buiten het kader van geneesmiddelenonderzoek, is bij het LAREB een formulier ontwikkeld. Dit formulier is te vinden op: http://www. lareb.nl/meldformulier/patient/melden.asp Artikel 78 van de Geneesmiddelenwet verplicht de beroepsbeoefenaar om SUSAR’s te melden bij het LAREB binnen 15 dagen, tenzij he teen melding is waarbij de patient is overleden of in een levensbedreigende situatie verzeild is geraakt dan moet de melding binnen 7 werkdagen plaatsvinden. 9

DE ZORGADMINISTRA TIE VAN DE TOEKOMST EEN INTEGRALE AANPAK rne veranderingen zorgen daarbij Voortdurende en ingrijpende exte ie. trat inis adm zorg de aan teld raan gekoppeld ICDEr worden hoge eisen ges datamodel van de LBZ (met daa we nieu het van g erin invo de DOT, inistratieve en het primaire proces voor extra druk. Denk hierbij aan istratie en opbrengsten. Het adm reg le ima opt een r ove en vrag cessen. Maar hoe 10 en het CBV) en interne als twee afzonderlijke, seriële pro den wor ien gez er me niet nen en kun inistratie? En hoe is de zorgadkomen dichter bij elkaar te liggen n op de inrichting van de zorgadm nge keli wik ont rse dive de ben el geeft handvatten dan wel? Welke invloed heb en vanuit de organisatie? Dit artik vrag en n nge keli wik ont e) ern (ext op de ministratie het beste voorbereid aging. uitd e voor het oppakken van dez

De rol van de zorgadministratie ‘Van volgen naar sturen’ De huidige procesinrichting van ziekenhuizen is terug te voeren tot de vroegere gast- en diaconessenhuizen. Het verzorgen en behandelen 10

van een patiënt stond centraal en de taken en verantwoordelijkheden van de administratie waren beperkt. Tot een aantal jaren geleden voldeed dit. De zorgadministratie (ZA) verwerkte de registraties vanuit het primaire proces en cor-

E T

e n

NSULT

, ADVISEUR Q-CO

NILS VAN HERPEN

DVISE

OSKAM, A

STEFAN R

SULT UR Q-CON

-CONSULT

DVISEUR Q

ARTENS, A

MYRIAM M

rigeerde geconstateerde foutieve registraties. Door de ontwikkelingen van de laatste jaren wordt de registratie steeds belangrijker en complexer. De registratiemogelijkheden zijn verder uitgebreid en de noodzaak tot verbetering van

alle registraties (zowel op medisch inhoudelijk, kwaliteits- als financieel vlak) neemt toe. Alleen het oplossen van problemen is hierdoor niet meer toereikend. De zorgadministratie moet een leidende en sturende rol op zich nemen. 11

WAT LEREN WE UIT DE INDUSTRIE? Hammer (1990) beschrijft een belangrijke organisatieontwikkeling bij de Amerikaanse autofabrikant FORD. Op de financiële afdeling werkten 500 mensen die verantwoordelijk waren voor het betalen van de facturen aan crediteuren. Bij het Japanse MAZDA waren voor dezelfde werkzaamheden 5 medewerkers verantwoordelijk. De FORD medewerkers besteedden veel tijd aan het analyseren en corrigeren van foutieve facturen en orders. Om deze tijd in te perken kon worden gewerkt aan de analysevaardigheden van de medewerkers óf aan het voorkomen dat er een verschil ontstaat tussen de order en de factuur. FORD koos voor de tweede optie en daarmee voor een decentrale verantwoordelijkheid. De medewerker die de goederen ontvangt, controleert de order en de factuur. Bij een verschil met de order stuurt hij de goederen terug naar de leverancier. Door foutieve facturen te voorkomen, bespaarde FORD 75% op de personele kosten van de financiële afdeling.

T

Bovengenoemd voorbeeld speelde in een andere tijd. Echter, het geeft duidelijk de parallelliteit in organisatieverandering tussen beide sectoren weer. De zorgadministraties staan nu voor dezelfde verandering als de industrie in de jaren ’80 en kunnen hiervan leren.

Van oplossen naar adviseren en inrichten ‘Niet serieel maar parallel aan het primaire proces’ De invoering van prestatiegerichte financiering, DBC’s en DOT, maken de financiering van het ziekenhuis voor een belangrijk deel afhankelijk van de juistheid, volledigheid en tijdigheid van de registratie. Registratie, declaratie en facturatie zijn immers van elkaar afhankelijk. Zo zal de externe webapplicatie Grouper, op basis van de door ziekenhuizen aangeleverde dataset met verrichtingen, gaan bepalen welke zorgproducten men kan gaan factureren. De vele mogelijkheden, regels en wijzigingen maken het echter voor professionals onoverzichtelijk wat hiervoor de meest efficiënte werkwijze is. Daarom is er organisatiebreed behoefte aan inzicht in het totale proces, inclusief financiën en ICT. Om aan deze nieuwe eisen te voldoen moet het administratieve proces van het ziekenhuis niet serieel, maar parallel lopen aan het primaire proces. Uiteindelijk moeten verschillende disciplines binnen het ziekenhuis steeds meer gaan samenwerken en hun processen integreren. Door de expertkennis over het hoe, wat en waarom van registreren is de zorgadministratie dé aangewezen afdeling om deze samenwerking te realiseren.

De nieuwe zorgadministratie: een integrale aanpak ‘Weet wat je wilt weten en richt dan pas je organisatie en systemen in’ De zorgadministratie wordt in de nieuwe situatie niet alleen verantwoordelijk voor het verwerken van de registratie, maar ook voor het inrichten van de registratiemogelijkheden. Dit betekent dat de zorgadministratie de afdelingen proactief benadert. Samen met de medische professio12

nal, financiën en ICT vraagt de zorgadministratie zich af welke gegevens je moet registreren, welke je wilt registreren en welke mogelijkheden daartoe zijn.

T

Registratie zal dan enerzijds leiden tot een juiste factuur en anderzijds inzicht geven in de kwaliteit en efficiëntie van het primaire proces. Alle registratie die niet bijdraagt aan deze doelen is eigenlijk energieverspilling. In onderstaand schema is het primaire proces gekoppeld aan het administratieve proces. Zo ontstaat een integraal traject. De zorgadministratie faciliteert daarbij het primaire proces en adviseert over de registratiemethode. Werkprocessen, registratiemethoden en historische denkwijzen gaan daardoor veranderen. Het is nu het moment om out-of-the-box te denken en te komen tot een optimaal registratieproces. Dit betekent dat, in plaats van validatie, facturatie en correcties, de bronregistratie centraal moet staan. Daarbij is het van belang dat de zorgadministratie het gehele administratieve proces begrijpt en beheerst. Vanaf de binnenkomst van de patiënt tot aan het versturen van de juiste factuur vervult de zorgadministratie op administratief gebied een paraplufunctie. De zorgadministratie zorgt voor de inrichting van de registratie van kwaliteitsindicatoren, kritische procesindicatoren en financiële parameters. De verantwoordelijkheid voor inhoudelijke definitievorming ligt bij de deelnemende partijen. De zorgadministratie treedt ondersteunend en adviserend op richting iedere afdeling over het inrichten van de registratie. Zij zijn verantwoordelijk voor het efficiënt en juist registreren van de gewenste indicatoren. Bij het introduceren van een nieuwe set indicatoren voor Zichtbare Zorg is bijvoorbeeld de zorgadministratie het eerste aanspreekpunt van de kwaliteitsfunctionaris om

2

de registratiemethode te definiëren. Zij brengen vervolgens een advies uit aan de betrokken afdelingen en specialismen. Wat je registreert is input voor verbetering De output van de verschillende registraties dient kritisch beoordeeld te worden. Hier komen dan punten uit waarvan de operationele invulling verbeterd moeten worden. Ter illustratie van de integrale aanpak van de registratie een voorbeeld van de diagnoseregistratie. Medisch specialisten registreren een DBC diagnose ten behoeve van de facturatie. Achteraf wordt voor andere doeleinden bijvoorbeeld een ICD-9 diagnose geregistreerd door medisch codeurs. Een separate registratie voor verschillende doeleinden. De zorgadministratie is de partij in het ziekenhuis die samen met de medisch specialist en de kwaliteitfunctionaris een organisatorische inrichting kan inzetten waarbij beide registraties worden geïntegreerd. Tevens kunnen zij continu afstemmen met ICT over de inrichting van de registratie in het ziekenhuisinformatiesysteem.

Nieuwe verantwoordelijkheden ‘Werk samen om tot duidelijke afspraken te komen’ Concluderend betekent dit dat de zorgadministratie een nieuwe set verantwoordelijkheden krijgt. Ze moet dan dus ook over de middelen en de organisatorische structuur beschikken om deze rol te vervullen. Bovendien worden aanvullende capaciteiten van de medewerkers op de zorgadministratie gevraagd om deze integrale aanpak te kunnen inzetten. Samengevat is een aantal factoren in de nieuwe situatie van belang: 1 2 3 4 5

de medewerker op de ZA integrale aanpak de inrichting van ICT duidelijke TVB’s juiste registratie op de juiste plaats

1 De medewerker op de ZA Het is belangrijk dat de zorgadministratie investeert in haar medewerkers. Er moet een sprong worden gemaakt in de capaciteiten en competenties die zij bezitten. In de eerste plaats gaat het hierbij om het kennisniveau en de analytische vaardigheden van medewerkers, maar zeker ook communicatievaardigheden en een proactieve houding zijn van groot belang. Een medewerker moet inzicht hebben in de logistieke samenhang van de activiteiten en in overleg met de afdelingen op zoek gaan naar een optimale registratie.

verantwoordelijkheid van de afdeling zelf. Een optimale registratie kan alleen plaatsvinden indien zorgadministratie, ICT en de afdeling integraal samenwerken. Het is daarbij belangrijk te bepalen welke informatie er beschikbaar moet zijn. In een aantal ziekenhuizen betekent dit dat de registratie vanaf de basis opnieuw opgezet moet worden. De zorgadministratie en de ICT moeten de afdeling vervolgens ondersteunen en adviseren over de technische en functionele inrichting. Onderscheid verantwoordelijkheden: - ICT – Beschikbaar maken van technische mogelijkheden t.b.v. de registratie - Zorgadministratie – Definiëren optimale en efficiënte registratie aan de hand van de technische mogelijkheden van de aanwezige ICT (functioneel gebruik) en de landelijke regelgeving - Afdeling – Bepalen inhoudelijke definitie wat geregistreerd moet worden in overeenstemming met het ziekenhuisbrede beleid.

3 De inrichting van ICT ICT is dusdanig ingericht dat alles wat geregistreerd wordt, optimaal benut kan worden. - Deelsystemen zijn goed gekoppeld. - Alle mogelijkheden van de systemen worden benut, bijvoorbeeld door de laatste (verbeterde) updates te gebruiken. - Degenen die verantwoordelijk zijn voor de inrichting van de systemen hebben hiervoor voldoende tijd en kennis. - Goede ordercommunicatie. 4 Duidelijke TVB’s In de organisatie zijn de taken, verantwoordelijkheden en bevoegdheden met betrekking tot de registratie helder. Duidelijk is wie een DBC opent, wie aanspreekbaar is voor vragen en wat de verantwoordelijkheden van de arts of van de ZA zijn. Problemen worden opgelost door degenen die er verantwoordelijk voor zijn. Het is belangrijk dat een leercurve ontstaat door informatie naar de probleemeigenaar terug te koppelen. 5 Juiste informatie op de juiste plaats Het registratieproces genereert de juiste management- en stuurinformatie. Met die informatie kunnen vervolgens juiste beslissingen genomen worden. Dit sluit aan bij het eerder genoemde adagium: wat je registreert is input voor verbetering.

Visie ‘Stilstand is achteruitgang’ Uw administratieve proces wordt steeds belangrijker, en u kunt met een juiste inrichting veel winnen. Voor veel zorgadministraties betekent dit dat zij grote stappen moeten zetten, echter door de veranderingen in de markt is dit onontbeerlijk. U bent daarom aan zet! ■

2 Integrale aanpak De registratie vindt plaats bij de bron, dit is de 13

INZICHT IN DE KOSTPRIJS VAN VERRICHTINGEN DUIKEN IN HET DIEPE HET AANSTUREN VAN EEN ZIEKENHUIS IS NET ALS EEN BEDRIJF MET EEN EIGEN DYNAMIEK RONDOM FINANCIERING, VERZEKERINGEN EN WACHTLIJSTEN. DIENSTEN WORDEN AANGEBODEN TEGEN EEN AFGESPROKEN VERGOEDING EN PRODUCTIEAFSPRAKEN MET VERZEKERAARS MOETEN WORDEN GEHAALD. INZICHT IN GEBUDGETTEERDE VERRICHTINGEN, VERPLEEGPRIJS, PRODUCTIEAFSPRAKEN EN AANTALLEN VERPLEEGDAGEN ZIJN VOOR U DAN OOK VAN GROOT BELANG. WANT HOE WEET U ANDERS OF UW INSTELLING KOSTENEFFICIËNT WERKT, WAT UW BEZETTINGSGRAAD IS, WELKE DBC’S WINST- OF VERLIESGEVEND ZIJN EN HOE DEZE VERHOUDING LIGT VOOR HET B-SEGMENT? ZIEKENHUIS NIJ SMELLINGHE IN DRACHTEN HAD DIT VRAAGSTUK OP TAFEL LIGGEN EN VOND EEN OPLOSSING.

14

VERRICHTINGEN PERFECT IN KAART Bij Nij Smellinghe wisten ze goed wat het eindresultaat moest zijn. Een goed en zelf onderhoudbaar business intelligence systeem, makkelijk toegankelijk voor de eindgebruiker en flexibel in te richten. Zij werken inmiddels sinds februari 2008 met de Diver Solution. Ineke Meinders, projectleider en coördinator informatievoorziening: “Voor Nij Smellinghe zijn de belangrijkste voordelen van de Diver Solution de gebruiksvriendelijkheid, toegankelijkheid van de data en goede beheersmogelijkheid van het systeem”. Nij Smellinghe gebruikt de Diver Solution nagenoeg voor alle managementinformatie en -rapportages. Alle gegevens over de handelingen van het ziekenhuis zijn beschikbaar via de Diver Solution. Via het webportaal zijn naast de managementrapportages ook activiteitenoverzichten in te zien met bijvoorbeeld informatie over duur van de opnames, het aantal verpleegdagen, aantal operaties en aantallen MRI’s. Maar ook DBC-rapportages zijn eenvoudig samen te stellen.

Ineke Meinders verklaart dat door het feit dat de gebruikers in het voortraject betrokken zijn geweest en dat werpt nu zijn vruchten af.

SNELLE IMPLEMENTATIE De Diver Solution is snel en makkelijk te implementeren. Het grote voordeel van de Diver Solution is het integreren van data uit de verschillende bronnen waarover het ziekenhuis de beschikking heeft. Hierbij is het niet nodig is om een apart datawarehouse te bouwen. Krachtige data integratie- en modelleringtools zijn het fundament voor een snelle rapportage en analyse. Met de Diver Solution wordt alle relevante data omgezet in waardevolle informatie. Ineke Meinders vertelt dat Nij Smellinghe er voor gekozen heeft zelf de interfaces te bouwen en dat zij tijdens de implementatie begeleid zijn door deskundige medewerkers van COPE. “Slechts met weinig ondersteuning vanuit COPE zijn wij in staat het systeem te onderhouden en door te ontwikkelen. Dat was een van de redenen waarom wij voor de Diver Solution hebben gekozen”, aldus Ineke Meinders.

AANPAK TOT SUCCES

DIVER SOLUTION

De technologie van de Diver Solution leent zich ervoor om beschikbare gegevens aan elkaar te koppelen en er dieper op in te duiken. Nij Smellinghe heeft alle verrichtingen binnen een DBC inzichtelijk gemaakt en hieraan een tarief toegekend. Hierdoor wordt het mogelijk om te zien of een DBC winst- of verliesgevend is. Ineke Meinders: “Met Diver duik je als gebruiker eenvoudig dieper je gegevens in. Bijvoorbeeld eerst op een specialisme en vervolgens bestaat de mogelijkheid in te zoomen op een specifiek DBC met alle onderliggende informatie. Daardoor zijn goede analyses mogelijk. Met Diver zijn we ook in staat om ‘losse vraagstukken’ op te lossen. Zo hebben we onlangs met Diver de wachttijden van de MRI geanalyseerd en zijn maatregelen genomen waardoor de wachttijden zijn teruggebracht.” Omdat het systeem intuïtief werkt was het niet nodig gebruikers op te leiden en was een korte introductie training voldoende. Onder de medewerkers van Nij Smellinghe is veel enthousiasme voor het systeem en biedt het oplossingen voor diverse vraagstukken.

De Diver Solution is een product van het Amerikaanse Dimensional Insight. COPE is in Nederland de implementatiepartner van Dimensional Insight. Met veel internationale ervaring in de zorg een samenwerkingspartner voor het oplossen van uw informatievraagstuk in uw instelling. Neem contact op met COPE voor de mogelijkheden in uw organisatie.

“

De rapportages die wij met de Diver Solution samenstellen geven een perfect overzicht van de gebudgetteerde verrichtingen. Door continue inzicht in de cijfers kunnen wij direct bijsturen en eventuele consequenties voor de kostprijs en productieafspraken voor het volgende jaar bepalen.

”

COPE, Rapenburg 8, 2311 EV Leiden, Telefoon: 017 5148887, e-mail: [email protected] www.cope.nl

15

JOKE VAN DE VEER, AFDELINGSHOOFD THERAPEUTISCHE LEEF/ WERKGEMEENSCHAP, NIEUW RIJSENBURG

HARRY SINGELING, HOOFD CENTRALE ZORGADMINISTRATIE LIEVEGOED ZORG GROEP

B E I E C

DE G

DBC

TERU

BUD

ER E

TE L

FISC

16

BEHANDELLIJNEN EN ANTROPOSOFIE IN DE GGZ EEN UITDAGENDE COMBINATIE DE GGZ ORGANISATIES WORDEN IN 2011, ONDER VOORBEHOUD VAN ACTUELE POLITIEKE ONTWIKKELINGEN, AFGEREKEND OP BASIS VAN DBC’S. IN 2008, 2009 EN 2010 HEEFT DE ZORGINKOOP AL IN DBC’S PLAATSGEVONDEN, MAAR WERD HET BUDGET UITEINDELIJK WEER TERUGGEREKEND NAAR DE OUDE BUDGETPARAMETERS. VIA VERREKENPERCENTAGES HEBBEN DE GGZ-INSTELLINGEN HUN HUIDIGE BUDGET GROTENDEELS WETEN TE BEHOUDEN. DAAR WAAR DE AFREKENING IN DBC-TERMEN HOGER WAS DAN HET OUDE BUDGET DIENDE ER ECHTER TERUG BETAALD TE WORDEN. DE DBC-SYSTEMATIEK DWINGT DE GGZ-INSTELLINGEN TOT EEN ANDERE BENADERING VAN DE TE LEVEREN ZORG. DE SYSTEMATIEK KENT GRENZEN IN DAGEN EN BEHANDELMINUTEN. VOOR EEN GGZ-INSTELLING DIE OP ANTROPOSOFISCHE GRONDSLAG WERKT, IS DEZE SYSTEMATIEK DAN OOK EEN GRUWEL.

17

Om op de DBC-toekomst te anticiperen is in de antroposofische zorginstelling de Lievegoed Zorggroep (LZG) samen met de behandelaars nagedacht hoe hier mee om te kunnen gaan. Dit heeft geleid tot de ontwikkeling van behandellijnen voor verslaafden en psychiatrische cliënten. In dit artikel willen de schrijvers kort tussentijds verslag doen van dit boeiende proces. We zijn nog niet klaar, de invoering loopt nog, maar we zijn en blijven positief en hebben er grote verwachtingen van. Lievegoed Zorggroep biedt zorg op de gebieden verslavingszorg, psychiatrie en gehandicaptenzorg op antroposofische basis. We bieden naast de reguliere zorg net iets meer. Spiritualiteit, zingeving, creativiteit: daar staan we voor en hebben we jarenlang ervaring mee. Onze locaties zijn kleinschalig en persoonlijk; er is speciale aandacht voor een gezonde, harmonieuze leefomgeving met een duidelijk ritme. Onze zorg staat open voor mensen uit het hele land en wordt vergoed door elke ziektekostenverzekeraar.

Startmoment De LZG is een duidelijke exponent van een in verschillende stappen gefuseerde kleinschalige organisatie tussen Psychiatrie (STAP, Stichting ter bevordering van de Antroposofische Psychiatrie), Verslavingszorg (Arta) en Gehandicaptenzorg (Ita Wegman). Een fusieproces dat zich heeft voltrokken in 1997 (fusie psychiatrie en verslavingszorg) en 2008 (GGZ en Gehandicaptenzorg). Ondanks de fusies werkten de afzonderlijke onderdelen nog tamelijk autonoom. Dit wordt mede in de hand gewerkt door twee factoren. Een grote geografische spreiding over Nederland: de locaties bevinden zich globaal in het gebied tussen Maastricht, Haarlem en Staphorst. De tweede factor is de kleinschalige voorzieningen, een bewuste keuze die voortkomt uit de Antroposofische visie: de menselijke maat. De weerstand tegen de DBC-systematiek was enorm groot, het werd gezien als een bedreiging voor de Antroposofische behandelvisie. In de Antroposofische visie zet men de ontwikkeling van de mens centraal, terwijl men in de reguliere GGZ de klacht centraal zet. Een typisch voorbeeld hiervan is dat men in de Antroposofie niet denkt in termen van diagnoses en DSM IV, maar in ontwikkelingsproces van de mens. Een overstap maken naar een landelijk DBC-systeem is daarom voor deze organisatie niet eenvoudig.

Visie van de Lievegoed ZorgGroep: heel de mens Wij werken in kleinschalige behandelsettings. We hanteren de antroposofische kijk op gezondheid als gemeenschappelijke inspiratiebron. Heel de mens, als een unieke combinatie van lichaam, ziel en geest, staat bij ons centraal. Elk mens is in onze visie in ontwikkeling, ondanks ziekte of beperking. Met onze zorg willen we het gezonde in ieder versterken. We hechten waarde aan een persoonlijke benadering, een harmonieuze, helende omgeving, kunstzinnige activiteiten en aan contact met de natuur.

18

Toch ontkwam ook de Lievegoed Zorggroep niet aan de nieuwe regelgeving: registreren en werken met DBC’s. In 2005 is men daarom gestart met de voorbereiding van de invoering, heel basaal door het beschrijven van processen, invoering DSM IV en het opzetten van een zorgregistratie. De weerstand in de organisatie hiertegen was groot, de medewerking was zeker in de beginfase uiterst beperkt. De kunst was behandelinhoudelijke medewerkers te laten denken in termen van DBC’s en bijbehorende financiering. We hebben daarom er voor gekozen om de inhoud van de behandeling centraal te stellen en de beleidspsychiaters hiervoor de eindverantwoordelijkheid te geven. Om een zo groot mogelijke draagkracht in organisatie te realiseren, is gestart met het vormen van werkgroepen, waarin alle hoofdbehandelaars zoals psychiaters, psychotherapeuten en psychologen vertegenwoordigd waren. Zij kregen de opdracht om vanuit de inhoudelijke visie en behandeling de DBC verder te gaan inrichten. De eerste stap werd hiermee gezet naar het vormgeven van klinische paden die nu in de LZG behandellijnen worden genoemd. Hiermee werd ook de link gelegd met landelijke ontwikkelingen van klinische paden in de GGZ, een ontwikkeling waarover ook met het Trimbos instituut gesproken is. De ontwikkelingen sloten aan bij de behoefte binnen de LZG, maar we wilden verder gaan. Onze eisen waren niet gering: - de behandellijnen dienen opgezet te worden vanuit de behandelinhoud die door de behandelaars wordt bepaald; - behandellijnen dienen over de verschillende geografische locaties heen te gaan, eventueel dwars door heel Nederland; - er diende een directe relatie gelegd te worden tussen behandellijnen en DBC; - behandellijnen moeten minimaal kostendekkend zijn, maar liever winstgevend. Op basis van de behandellijnen dient ook de mogelijkheid te bestaan om deze te gebruiken voor de zorginkoop en het bepalen van budget voor de LZG en de afzonderlijke afdelingen. De eerste gedachten over een matrix waren geboren. De zorginkoop vormt de basis die vervolgens via de afzonderlijke behandellijnen vertaald wordt naar de benodigde capaciteiten (personeel kwantitatief en kwalitatief en ruimte) per locatie en op instellingsniveau.

Uitwerking We zijn uitgegaan van het standpunt dat behandellijnen alleen werkbaar zijn als de behandelaars hiervan zelf aan de wieg hebben gestaan.

Dit vereist een directe samenwerking van zorgadministratie met behandelaar en veelvuldig overleg. Kennis nemen van de werkwijze van behandelen en aangeven welke beperkingen er vanuit de bekostigingssystematiek waren, hebben veel tijd gekost, maar hebben ook geleid tot begrip voor elkaars standpunten.

Borging van het project in de organisatie Gezien de grote impact van het project op de organisatie en de werkwijze van behandelaars, is ruime aandacht geschonken aan de borging hiervan. De projectorganisatie was als volgt opgebouwd: De Raad van Bestuur heeft dit proces gefaciliteerd door instelling van de inhoudelijke werkgroep waarin de beide directeuren met mandaat de benodigde besluiten konden nemen. Ook de beide beleidspsychiaters zaten in deze werkgroep. Verder heeft de RvB gepaste afstand genomen, zonder overigens de grip op het proces volledig te verliezen. Zij werd via voortgangsrapportage op de hoogte gehouden van het verloop van het proces. Omdat in de inhoudelijk vergaderingen zowel de beleidspsychiaters als de directie vertegenwoordigd zijn, ontstond voldoende ruimte en vertrouwen in het gezamenlijke belang voor de organisatie: de betrokken partijen moesten er samen uit komen. De kerngroep DBC bestaande uit de directeur verslavingszorg en projecteigenaar vanuit het managementteam, hoofd centrale zorgadministratie als projectleider en afdelinghoofd vanuit de GGZ. De kerngroep fungeerde als projectgroep, begeleidde en faciliteerde het hele proces en werkte de ontwikkelde behandellijnen verder uit. De inhoudelijke werkgroep bestaande uit de kerngroep aangevuld met de twee beleidspsychiaters en de directeur psychiatrie. Deze had als taak het vertalen van de resultaten van de kerngroep naar beleid en deze tevens direct vast te stellen. De beleidspsychiaters hadden tevens de verantwoordelijkheid zorg te dragen voor de inhoudelijke vertaalslag naar de praktijk. De werkgroepen Er zijn twee werkgroepen ingesteld: Psychiatrie en Verslavingszorg. Enerzijds omdat de twee groepen organisatorisch nog gescheiden waren maar nog meer omdat in de Verslavingszorg sprake is van ketenzorg. De werkgroepen stonden onder leiding van de beleidspsychiaters en werden gefaciliteerd door de Kerngroep. In deze werkgroepen werden de behandelplannen ontwikkeld die uit moesten groeien tot behandellijnen.

Uitwerking van het project Gestart is met een aantal plenaire bijeenkomsten waar we een aantal diagnosegroepen

centraal hebben gesteld en waar uitvoerig gediscussieerd is over de wijze van behandeling en de mogelijke onderverdelingen hierin. De moeilijkheidsgraad werd gevormd door de enorme diversiteit aan mogelijke non-verbale therapieën, combinaties van behandelingen, verschillende zienswijzen van behandelaars, de autonomie van psychiaters in de organisatie en de antroposofische zienswijze op de duur van klinisch verblijf in therapeutische woon/werkgemeenschappen en deeltijdbehandeling. Voor de meeste behandelaars waren deze bijeenkomsten een nadere kennismaking met collega’s van andere afdelingen en noodzakelijk om over de grenzen van de afzonderlijke afdelingen c.q. locaties heen te stappen. Voor hen was de kennismaking met behandellijnen door de diverse organisatieonderdelen heen een nieuwe zienswijze. Onze ervaring is dat het hiermee in gang gebrachte denkproces een lange doorlooptijd vergt. Hierna is gestart met een intensieve inventarisatie van de huidige werkwijze van de verschillende afdelingen. Hoe men werkte is in een vooraf vastgesteld stramien, door de afdelingen zelf beschreven. De kerngroep heeft het resultaat van de inventarisatie per afdeling verwerkt op een wijze die voor een ieder inzichtelijk is. De nadere uitwerking betrof de verdere onderverdeling van de activiteiten naar behandeling en verblijf, indirecte en directe tijd vastleggen, omschrijving van activiteiten naar functies, bepalen wat wel en niet in de verblijfsprijs wordt opgenomen etcetera. De uitwerking levert per afdeling meerdere matrixen, of bouwstenen, op waarmee op eenvoudige wijze gerekend kan worden. Hoewel kort beschreven, is dit onderdeel van het project uitermate intensief geweest. Het gestructureerd en gedetailleerd vastleggen van zorgprocessen kost veel tijd en energie met name om de slag te maken in het anders denken over behandelaanbod. De directe relatie leggen tussen aanbod van zorg en wie deze zorg biedt, de hiermee gepaard gaande kosten en de hieruit voortvloeiende opbrengsten is voor velen een compleet nieuw gezichtspunt. Ook het loslaten van het denken over de autonomie van de afzonderlijke afdelingen speelde een grote rol. De resultaten van deze uitwerking zijn weer besproken met de afdelingen en behandelaars en waren vaak confronterend. Nog niet eerder was de wijze van behandeling, de behandelduur, de behandelintensiteit en inzet en wijze van inzet van personeel in de diverse functiegroepen zo concreet in harde cijfers weergegeven. Duidelijk zichtbaar konden behandelduur in verblijfsdagen en de behandeling in behandelminuten weergegeven worden. Ook de verhouding tussen directe en indirecte tijd wordt hierdoor zichtbaar. Hierna zijn afdelingshoofden, behandelcoördinatoren en de psychiaters gevraagd op hun eigen afdeling het behandelproces kritisch te bekijken op inzet van personeel en duur en intensiviteit van de behandeling en daar een efficiëntieslag in te maken. Hierin heeft de kerngroep een faciliterende en sturende rol gespeeld. Een belangrijke stap daarna was het combineren van de verschillende bouwstenen tot een 19

aantal behandellijnen, iets wat de kerngroep in samenwerking met de beleidspsychiaters heeft gedaan. Hiermee bestond de mogelijkheid om de behandellijnen te vertalen naar DBC’s en te toetsen op vier essentiële punten conform de matrix op pagina 19. Na de eerste toetsing kwam naar voren dat een aantal behandellijnen onvoldoende scoorde op een of meer toetsingspunten van de matrix. Deze behandellijnen dienen daarop gecorrigeerd te worden. Omdat de aanpassing van de behandellijn een inhoudelijke en organisatorische component heeft, is het noodzakelijk dat vervolgoverleg plaatsvindt met behandelaars, zorgcoördinators en afdelingshoofden van de in de behandellijn voorkomende afdelingen. Niet alleen de inhoudelijke deskundigen maar ook de afdelingshoofden ondervinden direct gevolgen van aanpassingen in de tot nu toe gevolgde behandelwijzen. Het proces van bijstelling van de behandellijnen en de toetsing op de vier criteria heeft meer keren plaats gevonden. Door de bouwstenen tot behandellijnen samen te voegen en te toetsen, ontstaat er ook een proces van onderlinge beïnvloeding van de verschillende bouwstenen op elkaar. Het proces leidt tot een samenhangende behandellijn.

Ervaringen Vanuit de Kerngroep Het zal duidelijk zijn dat de behandellijnen niet in een keer konden voldoen aan de eisen die wij gesteld hadden. In een aantal besprekingen met afdelingshoofden en behandelaars is aangegeven welke knelpunten in de behandellijnen zichtbaar waren. Een cruciaal moment omdat in dit stadium regelmatig duidelijk werd dat de behandellijnen te omvangrijk (met als gevolg te lang, niet winstgevend, te veel behandelminuten waren). En hoe dan deze zodanig te transformeren dat de basisvisie van de instelling geen geweld werd aangedaan. Vanuit inhoudelijke kant behandelaars Voor antroposofische behandelaars was de vertaalslag naar behandellijnen een cultuurshock. De behandelaars werken op basis van het gezond maken van heel de mens in een omgeving die dit stimuleert en waarbij de seizoenen en jaarfeesten een belangrijke rol spelen. Langdurige opname en behandeling met een scala aan non-verbale therapieën, arbeidstherapie, cultuur en zingevingactiviteiten. Kosten speelden voor hen een ondergeschikte rol.

Stand van zaken De startpositie was dus niet eenvoudig. Niet alleen de DBC-systematiek moest duidelijk gemaakt te worden, maar ook de discipline van registreren in de gehele organisatie en het denken over de afzonderlijke afdelingen heen diende vergroot te worden. Dat de oude kostensystematiek nog steeds belangrijk was en is voor de afrekening van het budget, werkte zeker niet in ons voordeel. Het zal duidelijk zijn dat een dergelijk complex proces nog niet is afgerond. We hebben resultaat bereikt en een discussie

binnen de organisatie op gang gebracht die niet meer te stoppen is. Maar er zijn zeker concrete resultaten geboekt zowel op behandelinhoudelijk terrein als op organisatorisch vlak. Behandelaars zijn zich bewust van de noodzaak van het registreren en het tijdig aanleveren van de gegevens aan de zorgadministratie. Behandelinhoudelijk zijn de behandellijnen binnen de verslavingszorg duidelijk geworden en inmiddels ook goed op elkaar afgestemd. Binnen de psychiatrie zijn de verschillende bouwstenen beschreven maar moeten de behandellijnen nog gevormd worden. Hier is de complexiteit groter dan bij de verslavingszorg omdat geen enkele ketenzorg geformuleerd was. Voor de cliënten is duidelijk dat het zorgaanbod meer in zijn onderlinge samenhang kan worden aangeboden, niet alles is al gereed maar het gaat de goede kant op. Hiermee wordt ook duidelijker welke unieke zorgproducten kunnen worden aangeboden en tegen welke prijs. De organisatie zal hierin keuzen moeten maken op basis van de verzamelde informatie. Ook de toekomstige instelling van een centraal aanmeldpunt maakt de LZG voor zowel cliënten als verwijzers meer toegankelijk. Op organisatorisch vlak is de samenhang tussen de verschillende geografisch verspreide afdelingen in de organisatie duidelijker geworden. De onderlinge samenwerking is hierdoor toegenomen. Ook is het besef gegroeid dat de behandellijnen essentieel zijn voor een goede organisatie, dat bij de start van de behandeling hierover duidelijkheid moet zijn. Het nut van een centrale intake is inmiddels voldoende aangetoond, een apart project hiervoor is gestart. Door bij de intake direct een behandellijn af te spreken, ontstaan meer sturingsmogelijkheden voor de organisatie. De relatie tussen zorginkoop, behandellijnen, begroting en afdelingbudgetten vergt een verdere uitwerking. Een belangrijk punt is nu de sturing op de behandellijnen. Conform de methodiek van de klinische paden is informatie alleen nodig als er afwijkingen ten opzichte van een ingezette behandellijn worden geconstateerd. Het hiervoor benodigde instrumentarium is nog in ontwikkeling.

Conclusies Door bewust te kiezen voor een zorginhoudelijke insteek van het DBC-proces, wetende dat dit een moeizaam proces is, is een groot deel van de organisatie direct betrokken geraakt bij de DBC’s. De behandelaars en andere direct bij het zorgproces betrokkenen hebben leren denken in behandellijnen, iets wat voor kort als onmogelijk werd gezien. De inhoud van de behandeling en de antroposofische visie is centraal blijven staan. Waardoor behandelaars een volledige erkenning krijgen van hun inhoudelijke werk en behandelaanbod niet ondergeschikt is geraakt van de financiering. Het vertalen van behandellijnen naar kosten en opbrengsten wordt gezien als noodzakelijk om als gezonde antroposofische zorginstelling te kunnen voortbestaan. ■ 21

S T E R K S A M C O L U M N 22

VALIDEREN VAN SOFTWARESYSTEMEN IN DE GEZONDHEIDSZORG? HOEZO VALIDATIE? WAT MOETEN WE HIER NU WEER MEE? De toepassing van softwaresystemen in de gezondheidszorg neemt hand over hand toe. Er is geen afdeling binnen het ziekenhuis meer te vinden die zonder een computer zijn administratie doet, de resultaten van een behandeling registreert en analyseert en ga zo maar door. Aan die softwaresystemen worden door andere partijen eisen gesteld, zodat de kwaliteit van de verzamelde gegevens en de betrouwbaarheid kan worden geborgd. Zo wordt de farmaceutische industrie verplicht om erop toe te zien dat de systemen die worden gebruikt bij het verzamelen van klinische gegevens uit onderzoek dusdanig gevalideerd zijn dat zij voldoen aan eisen die op hun beurt weer in richtlijnen en regelgeving van overheden zijn opgesteld. Ook de organisaties die standaarden opstellen hebben zich gebogen over de validatie van software. In de NEN-ISO Norm 7510 wordt nader verwezen naar de validatie van software in het bijzonder. De farma-bedrijven moeten het klinisch onderzoek laten uitvoeren in gevestigde klinieken. Zij zullen slechts die klinieken kunnen selecteren en kwalificeren die aan de eisen zoals gesteld in die betreffende wet- en regelgeving kunnen voldoen. En dan hebben we heus in vele klinieken de zogenaamde poppen aan het dansen. Wat gebeurt er namelijk vaak in die klinieken als men software in gebruik neemt? Dan installeert men de software netjes in samenwerking met de IT afdeling van de kliniek en vervolgens gaat men aan het werk. Als er problemen zijn dan zal men zeker aan de bekende bel trekken, maar de software conform de eisen valideren is er vaak niet bij. Wat houdt dat in, dat valideren van de software? Stel we gaan uit van software die bij een bedrijf op de plank ligt en die door vele klanten wordt gebruikt. Dan zou je in eerste instantie moeten verifiëren of het softwarebedrijf de software heeft ontwikkeld conform de methodiek zoals beschreven in de GAMP handleiding waarbij in de ontwikkelfase van de software op basis van functionele specificaties een functioneel ontwerp is opgesteld. Daarna moet gecheckt worden of de software ook volgens deze specificaties is ontwikkeld. Het testen van de software en de kwalificatie van de software inzake de installatie (installation qualification IQ), hoe de software opereert (operational qualification, OQ) en hoe de software aan de praktijkeisen voldoet (performance qualification, PQ of user testing) moet hebben plaatsgevonden door middel van gebruikerstesten. Van alle testen moet een testprotocol aanwezig zijn. Dit testprotocol dient te worden ondertekend door de verantwoordelijke personen. De resultaten van de testen

moeten uiteraard worden gedocumenteerd om daarna het besluit te nemen dat de software voldoet aan de eisen zoals in de specificaties staan geformuleerd. Als dat allemaal is gebeurd is iedereen blij en kan de software worden gebruikt. Uiteraard begint het spel dan pas, want er moeten regels worden opgesteld om ongeoorloofd gebruik trachten te voorkomen. Laten we niet vergeten dat het hebben van een ‘audit trail’ of loggingprocedure in de software binnen de gezondheidszorg een absolute vereiste is! We moeten later om juridische redenen kunnen nagaan wie wat in wat heeft veranderd en wanneer. Dat deze zaken in Nederland nog nauwelijks geregeld zijn moge blijken uit een uitzending van Nova van 13 april 2009 waarin een nep medewerker zonder enige moeite het wachtwoord van de gehele afdeling zonder slag of stoot te horen kreeg van een medewerker van het Gelderse vallei ziekenhuis in Ede. Hieruit blijkt maar weer eens dat iedere medewerker in dat ziekenhuis de mogelijkheid heeft om in dossiers van anderen te snuffelen. De beveiliging van de software laat dus veel te wensen over. Een ander aspect tijdens het gebruik van deze software is het onderhoud van de software. Er zouden namelijk nieuwe versies van de software ter beschikking kunnen komen. Ook deze nieuwe versies dienen gevalideerd te worden, zodat de organisatie kan aantonen dat de resultaten van onderzoek zorgvuldig zijn verzameld en betrouwbaar zijn. En aangezien we vaak de gegevens ook op termijn graag ter beschikking hebben zijn processen als het maken van een back-up, maar vooral ook het testen of de gemaakte back-up nog op het scherm te toveren is (restoring), van eminent belang. Dus zorgadministrateurs en ander gevogelte dat in de ziekenhuizen, hetzij rechtstreeks, hetzij indirect betrokken is bij het gebruik van software, u zij gewaarschuwd. Dit is een belangrijk gebeuren dat niet achteloos terzijde kan worden geschoven. De kop in het zand steken voor deze zaken is er niet meer bij. Laten we de NVMA vragen ons op onze weg naar de toekomst bij te staan met themamiddagen over dit onderwerp, met trainingen en al wat dies meer zij. Gaat voort en verkondigt het evangelie van zorgvuldig en betrouwbaar werken. Aldus uw luis in de pels, Sam Sterk

INFORMATIEBEVEILIGING BEOORDEELD

VERSLAG VAN EEN THEMAMIDDAG

MR. DRS. J.A. VAN DER WEL, DIRECTEUR COMFORT-IA, DAGVOORZITTER VAN DEZE THEMAMIDDAG

INFORMATIEBEVEILIGING IN DE ZORG IS IN DE BELANGSTELLING GEKOMEN BIJ DE POLITIEK, DE OVERHEID EN HET PUBLIEK. DIT BEGON ENKELE JAREN GELEDEN MET DE INTRODUCTIE VAN DE NORM VOOR INFORMATIEBEVEILIGING IN DE ZORG, NEN 7510. DE POLITIEK VERWEES NAAR DEZE NORM IN WETGEVING. DE INSPECTIE VOOR

DRS. J. VAN DER KAMP CISSP, INFORMATIEKUNDIGE GGZ RIVIERDUINEN, ADVISEUR STICHTING IBGZ, SECRETARIS WERKGROEP INFORMATIEBEVEILIGING VAN DE NVMA, MEDE ORGANISATOR DEZE THEMAMIDDAG.

DE GEZONDHEIDSZORG (IGZ) BREIDDE DAARMEE HAAR TOEZICHT UIT MET INFORMATIEBEVEILIGING. SINDS 2008 IS IN DE ZORG NOG EEN TOEZICHTHOUDER ACTIEF GEWORDEN: HET COLLEGE BESCHERMING PERSOONSGEGEVENS (CBP). DE IGZ EN HET CBP ONDERZOCHTEN 20 ZIEKENHUIZEN EN ZELFSTANDIG ONDERZOCHT HET CBP TWEE ORGANISATIES VOOR REGIONALE PATIËNTENDOSSIERS (KADER). EN DE PUBLIEKE OPINIE IS EIND 2008 WAKKER GESCHUD DOOR DE BRIEF VAN MINISTER KLINK OVER DE INVOERING VAN HET LANDELIJK PATIËNTENDOSSIER. DE DISCUSSIES OVER DE INVOERINGSWET IN DE TWEEDE KAMER EN LATER DE EERSTE KAMER WAKKERDEN HET PUBLIEKE DEBAT VERDER AAN. AL DIE BELANGSTELLING IS VERHEUGEND WANT HET GEBRUIK VAN IT IN DE ZORG NEEMT TOE. DAT HEEFT VOORDELEN MAAR KAN OOK LEIDEN TOT INGRIJPENDE GEVOLGEN VOOR BESCHIKBAARHEID, JUISTHEID EN VERTROUWELIJKHEID VAN INFORMATIE ALS DIE NIEUWE IT VAN ONVOLDOENDE KWALITEIT BLIJKT.

Die discussies laten zien dat informatiebeveiliging en privacy nog een zorgenkind zijn. Maar of de toegenomen aandacht leidt tot adequate verbeteringen en een aanvaardbaar niveau van beveiliging is nog de vraag. Regelgeving en toezicht verwachten verbeteringen van de raden van bestuur van instellingen maar tot hoever gaat hun macht? Zij kunnen afhankelijk zijn van partijen of omstandigheden die zij niet in de hand hebben zoals softwareleveranciers. Informatiesystemen in de zorg bevatten nog teveel fouten en te weinig beveiligingsfunctionaliteit. Zo zijn er die voor communicatie over Internet nog gebruikmaken van slechts een

gebruikersnaam en een wachtwoord. Een hacker kan die afluisteren en heeft dan vrij spel, de reden dat bij elektronic banking al jaren een extra identiteitsbewijs zoals een bankpas (ABNAMRO, Rabo) of TAN-code (ING bank, op papier of via sms) is vereist. De rol van de raad van bestuur en die van softwareleveranciers bij informatiebeveiliging was aanleiding voor commissie informatiebeveiliging van de NVMA om een themamiddag te organiseren over recente ervaringen in het veld. Deze middag vond plaats op 10 december 2009 in het congrescentrum van Amstelveen. Centraal 23

stonden twee presentaties van organisaties die zijn beoordeeld door het CBP. Boeiend en zeer actueel.Daarop namen de deelnemers zelf het woord in werkgroepen en volgde een plenaire discussie. Binnen de werkgroep over de raad van bestuur werd opgemerkt dat besturen veel onderwerpen op hun bordje hebben liggen. Daardoor valt de aandacht voor informatievoorziening en informatiebeveiliging gemakkelijk van dat bordje af. Daarbij komt dat besturen nog te vaak geen goed beeld hebben van het niveau van de informatiebeveiliging. Voor die noodzakelijke beeldvorming werken ethical hacks op het netwerk of ontfutselen van wachtwoorden met social engineering gewoonlijk beter dan rapporten met diepgravende analyses. Ook effectief is een bericht over de uitbraak van een computervirus bij een collega zorginstelling. De deelnemers gaven een voldoende voor de aandacht voor informatiebeveiliging door besturen, hoewel niet meer dan een zesje met enkele uitschieters naar boven. Die uitschieters waren mede te danken aan de activiteiten van de toezichthouders die de raden van bestuur stimuleerden (dwongen) tot meer aandacht. Verbeteringen hangen in de praktijk niet alleen af van de raden van bestuur, ook management en medewerkers zijn belangrijk. In de werkgroep

werd geadviseerd om medestanders te zoeken in de hoek van kwaliteitfunctionarissen zorg of bij de accountant. Ook brancheverenigingen kunnen bijdragen. De deelnemers wezen verder op het belang van de ‘informele toezichthouders’ zoals het Algemeen Dagblad deze rol in praktijk heeft gebracht. Deze informele toezichthouders stellen het leveren van goede zorg centraal en toetsen anders dan de formele toezichthouders. Uit hun onderzoek bij alle Nederlandse ziekenhuizen blijkt dat zij voor goede zorg een elektronisch patiëntendossier belangrijk vinden omdat een papieren dossier nooit daar is waar de dokter is en spoorloos kan verdwijnen. De door de overheid aangestelde toezichthouders blijken geen oog te hebben voor dit soort vernieuwingen van de informatie-infrastructuur. Deze ‘formele toezichthouders’ beperken zich tot geconstateerde gebreken in de dagelijkse gang van zaken of aanwezigheid van beleid en organisatie volgens de norm voor de informatiebeveiliging in de zorg zonder te letten op de invloed van de informatie-infrastructuur en recent behaalde verbeteringen daarin. De rol van de softwareleverancier kwam in de andere werkgroep aan de orde. De mening overheerste dat uitbesteding van IT de besturen van zorginstellingen niet ontslaat van de eigen verantwoordelijkheid. Als de IT dienstverlener tekortschiet, kan de instelling betere kwaliteit

24

T

E NIEUW !

TRAINING:

WERKEN ALS AO/IC MEDEWERKER

DATA

19 en 26 januari, 21 en 28 september, 20 en 27 april, 23 en 30 november 2010

V

DE NEDERLANDSE ZORGAUTORITEIT (NZA) GAAT REGELING AO/IC STRENGER HANDHAVEN SCHRIJFT DE NZA IN JULI 2009. “De NZa heeft de naleving van deze Regeling door de ziekenhuizen de afgelopen jaren nauwlettend gevolgd. Daarbij is duidelijk verbetering zichtbaar. Zo is het aantal ziekenhuizen dat aan de Regeling voldoet de afgelopen jaren toegenomen en noemen instellingen minder en minder ernstige knelpunten. Toch blijft er een groep ziekenhuizen die hun AO/IC niet voldoende op orde heeft.” “…Toch heeft een (te groot) aantal ziekenhuizen hun AO IC nog onvoldoende op orde. Zeker als bedacht wordt dat instellingen hiervoor ruimschoots – sinds de invoering van dbc's in 2005 - de tijd hebben gehad. Gezien het voornemen van de NZa om de Regeling AO/IC per 1 januari 2011 af te schaffen voor de Cure, gaat de NZa daarom strenger toezien op de naleving van de Regeling. De eerste stap is daarbij gezet door verantwoordingsinformatie op te vragen bij ziekenhuizen die niet aan de Regeling voldoen. Deze ziekenhuizen moesten zich aan de NZa verantwoorden over de verbetermaatregelen die zij hebben genomen om de resterende manco's in de AO/IC te verhelpen.” (NZA 6-7-2009) Een goed georganiseerde Administratieve Organisatie en Interne Controle (AO/IC) is belangrijk voor uw organisatie. Nu de Nederlandse Zorgautoriteit heeft aangekondigd om de AO/IC regels strenger te schaffen is het belangrijk om uw AO/IC goed op orde te hebben.

Voor u is het van belang dat uw medewerkers op de hoogte zijn van de regeling AO/IC. Op deze manier zorgt u ervoor dat uw DBC’s juist, tijdig en volledig worden gefactureerd. U krijgt dus betaald voor wat u doet en ook nog eens op tijd! Het risico van fout- en/of onderregistratie wordt geminimaliseerd en u loopt geen rente-inkomsten mis. De betrokken medewerkers moeten goed op de hoogte zijn van hun taken, verantwoordelijkheden en bevoegdheden. Zij moeten weten hoe de verschillende taken ingevuld worden en wat hierbij de risico’s zijn. Om die reden organiseert de NVMA is samenwerking met Q-Consult een training “werken als AO/IC medewerker”. De tweedaagse training bestaat uit de onderdelen: Administratieve Organisatie, Interne controle functie, interne audits en vergroten van de vaardigheden. Hieronder volgt een toelichting op de verschillende onderdelen. Voor wie is deze training? De training is gericht op medewerkers in ziekenhuizen en GGZ-instellingen die de rol van AO/IC medewerker vervullen in het kader van de AO/IC DBC. U kunt hierbij denken aan IC-funtionarissen, medewerker AO/IC, hoofden medische- en zorgadministratie, zorgadministrateurs, hoofden medische registratie, DBC staf- en beleidsmedewerkers en financieel economische leidinggevenden en medewerkers.

Welke onderwerpen worden behandeld? - Inleiding: Kernbegrippen AO/IC - Waaruit bestaat een goede AO/IC - Rol en functie van de medewerker AO/IC - Wat is een steekproef - Wat is een interne audit - Wat zijn auditvaardigheden en hoe auditten

INSCHRIJVEN OP WWW.NVMA.NL

eisen of naar een ander gaan. Betere kwaliteit van de IT dienstverlening is volgens de werkgroep noodzakelijk en men had tips. De eerste tip is voor de instellingen. Een goed contract en frequent contact met de leverancier is belangrijk. Een instelling dient een volwaardige overlegpartner te zijn voor de IT leverancier en zich in de materie te verdiepen, wat ook blikverruiming naar andere branches en landen vereist maar lang niet altijd plaatsvindt. De tweede tip is voor brancheverenigingen. Opstellen van een eenduidige lijst van gegevenssoorten en - coderingen helpt leveranciers om betere kwaliteit te leveren. Uniformeren van gegevens is dringend nodig, vooral in de lappendeken van coderingsstelsels voor labuitslagen. Een tip voor leveranciers tenslotte is werk maken van vlottere aanlogprocedures. Nu is het, in bijvoorbeeld de verpleging, te vaak de gewoonte dat iemand ‘s ochtends aanlogt waarop de collega’s gedurende de rest van de dag ook werken onder dit account. De norm voor informatiebeveiliging in de zorg verbiedt dit maar praktisch gezien is met de aanwezige middelen een betere procedure niet mogelijk. Af- en aanloggen onder eigen gebruikersnaam kost minuten, wat teveel werk is als de gemiddelde werkdag van een verpleger met zich meebrengt dat vele kleine berichtjes moeten worden ingetoetst. Hier zijn snelle identificatieprocedures noodzakelijk, bijvoorbeeld met vingerafdrukherkenning en de mogelijkheid van meenemen van aangelogde sessies naar andere terminals. Toen de deelnemers van de werkgroepen weer bij elkaar kwamen, bleek de regelgeving voor informatiebeveiliging voor vrijwel iedere aanwezige een punt van kritiek. Opmerkt werd dat voor het zorgveld inmiddels meerdere organisaties regels voor informatiebeveiliging hebben opgesteld. Allereerst is het Nederlands Normalisatie-instituut met de norm voor informatiebeveiliging in de zorg, NEN7510 gekomen. Vrijwel gelijktijdig stelde Nictiz de eisen voor Goed Beheerd Zorgsysteem op die verwijzen naar die NEN7510 met aanvulling op onderdelen. Verder komt de minister van Volksgezondheid met gedetailleerde algemene maatregelen van bestuur als de wetgeving voor het landelijk patiëntendossier door de Eerste Kamer wordt geaccepteerd. Een deel van die regels gaat ook gelden voor onder andere de regionale patiëntendossiers. En die regels zijn niet compleet omdat ook in de zorg de geautomatiseerde informatievoorziening zich snel ontwikkelt en de regelgeving die ontwikkeling niet kan bijbenen. Daardoor moeten toezichthouders zoals de IGZ en het CBP het nodige interpreteren. Dat heeft weer volgens de deelnemers twee onwenselijke gevolgen. Allereerst worden toezichthouder naast handhaver ook mederegelgever. Dit is een onwenselijke situatie, helemaal als sancties volgen zoals publicatie en opleggen van dwangsom. Ten tweede roepen de extra regels van de toezichthouder vragen op die de aanpak van informatiebeveiliging verder compliceren. De behoefte aan uitleg neemt toe maar tegelijk heeft het CBP enkele jaren geleden afstand gedaan van de adviesrol om zich te beperken tot handhaving.

De deelnemers aan de discussie hadden ook een idee voor de oplossing: het veld zelf moet heldere normen maken.

Wie neemt de handschoen op? Mr. drs. J.A. van der Wel ([email protected]) is directeur van Comfort-IA en was dagvoorzitter van deze themamiddag. Drs. J. van der Kamp CISSP (j.vanderkamp@ rivierduinen.nl) is informatiekundige bij GGZ Rivierduinen, adviseur van Stichting IBGZ en heeft als secretaris van de werkgroep Informatiebeveiliging van de NVMA de themamiddag mede georganiseerd. ■

Eerste lijn In 2009 voerde het College Bescherming Persoonsgegevens een onderzoek uit bij twee regio-instellingen (SPITZ-Midden Holland, Centrale Huisartsenpost Gorinchem) Voor het toetskader werd hier een eigen afleiding uit de wet gemaakt. Centraal stonden art 7:457 BW (informatieverstrekking uit dossier), art 13 Wbp (verplichting voor passende organisatorische, technische maatregelen tegen onrechtmatige verwerking) en art 33, 34 Wbp (informatieplicht aan de patiënt). Het CBP concretiseerde de regel voor informatieverstrekking uit het dossier. Uitgangspunt is dat inzage een behandelrelatie vereist. Men eiste geautomatiseerde controle op de behandelrelatie vooraf met controle op gestructureerde logging achteraf. De logging moet ‘slim’ zijn, met automatische signalering van verdachte situaties. Een ander punt van het CBP is dat de burgers persoonlijk moeten worden geïnformeerd over opname in het regionaal EPD.

Tweede lijn In 2007 voerden de Inspectie voor de Gezondheidszorg en het College Bescherming Persoonsgegevens een onderzoek uit naar de informatiebeveiliging bij twintig ziekenhuizen. Uit de onderzoeksrapporten die beschikbaar bleken op Internet kwam een gestandaardiseerde aanpak naar voren waarbij de stand van zaken op de volgende punten in de norm voor informatiebeveiliging in de zorg werd onderzocht.

25

INFORMATIEBEVEILIGING BIJ HUISARTSEN

O

H J K

26

N

PATIËNTPRIVACY EN DE RECHTEN VAN DE PATIËNT DOMINEREN DE DISCUSSIE RONDOM HET LANDELIJK EPD EN DE REGIONALE EQUIVALENTEN. EN DE INTEGRITEIT EN BESCHIKBAARHEID VAN GEGEVENS? DEZE TWEE ASPECTEN VAN INFORMATIEBEVEILIGING KRIJGEN ONEVENREDIG WEINIG AANDACHT. ORGANISATIES DIE IN DE SCHIJNWERPERS STAAN BIJ DEZE DISCUSSIE ZIJN VWS, NICTIZ, KNMG EN DE ONLANGS DOOR HET CBP OP PRIVACYASPECTEN BEOORDEELDE ZIEKENHUIZEN, DE HUISARTSENPOST IN GORINCHEM EN HET REGIONALE SCHAKELPUNT IN GOUDA. EN DE HUISARTSEN? DE HUISARTSEN ZIJN DE SPIL IN DE NEDERLANDSE ZORG EN DE ENIGE MET EEN COMPLEET BEELD VAN DE PATIËNT. WAT IN DE PERS KOMT OVER HUISARTSEN IS ECHTER BEPERKT TOT DE KEUZE TUSSEN LANDELIJK OF REGIONAAL SCHAKELPUNT EN DE FINANCIËN ROND AANSLUITING OP HET LANDELIJK EPD. DIT ARTIKEL GEEFT EEN INKIJKJE IN DE INFORMATIEBEVEILIGING VAN HUISARTSENPRAKTIJKEN. DIT INZICHT IS NIET ONBELANGRIJK VOOR INSTELLINGEN DIE INFORMATIE UITWISSELEN MET HUN VERWIJZERS. OMGEKEERD LEVEN ER BIJ DE HUISARTSEN VRAGEN OVER DE INFORMATIEBEVEILIGING VAN HET ZIEKENHUIS, BIJVOORBEELD: ‘WIE KAN MIJN FAXBERICHT ZIEN DAT IK ’S AVONDS OM 19.00 UUR NAAR HET ZIEKENHUIS FAX?’ MED. DRS. HOSSEIN NABAVI, DRS. JAAP VAN DER KAMP CISSP EN DRS. KEES VAN DER MEER, HUISARTS

OVER DE AUTEURS HOSSEIN NABAVI IS VOORZITTER EN OPRICHTER VAN STICHTING IBGZ, INFORMATIEBEVEILIGING GEZONDHEIDSZORG, EN VOORZITTER VAN DE COMMISSIE INFORMATIEBEVEILIGING VAN DE NVMA. JAAP VAN DER KAMP IS ADVISEUR VAN STICHTING IBGZ, INFORMATIEKUNDIGE BIJ GGZ RIVIERDUINEN EN SECRETARIS VAN DE COMMISSIE INFORMATIEBEVEILIGING VAN DE NVMA. KEES VAN DER MEER IS HUISARTS TE LEIDEN EN CENTRALE COÖRDINATOR VAN DE WERKGROEPEN DESKUNDIGHEIDSBEVORDERING HUISARTSEN (WDH’S) IN DE NOORDELIJKE HELFT VAN ZUID-HOLLAND.

27

In de tweede helft van 2009 hebben Hossein Nabavi en Jaap van der Kamp (beide vanuit Stichting IBGZ) een training Bescherming Patiëntgegevens gegeven aan een kleine 300 huisartsen in Zuid-Holland. De training is vormgegeven in samenwerking met Kees van der Meer, huisarts. Onderdeel van de training is een eenvoudige enquête, afgenomen aan het begin van elke sessie. De enquête was niet alleen een spiegel voor de huisarts, maar leverde ook veel informatie op over de status quo van informatiebeveiliging in de huisartsenpraktijk. De enquête is afgenomen meteen aan het begin van de training, dus is niet beïnvloed door in de training verkregen inzichten. De resultaten worden anoniem gepubliceerd met instemming van de trainees. Let wel: de enquêteresultaten geven een subjectief beeld van de situatie zoals de huisarts die ervaart. De training was onderdeel van een serie van vier onderwerpen (drie medische onderwerpen plus informatiebeveiliging) en vrijwel alle trainees hebben de enquête ingevuld. Daardoor is er vrijwel geen bias qua invulmotivatie.

informatiebeveiliging, te weten Beschikbaarheid, Integriteit en Vertrouwelijkheid van informatie kunnen een negatieve invloed hebben op de veiligheid van de patiënt. Afgelopen jaar is door het IQ Scientific Institute for Quality of Healthcare van de Radboud Universiteit Nijmegen onderzoek1 gedaan naar de patiëntveiligheid in de eerste lijn. Het onderzoek laat zien dat driekwart van de merkbare incidenten en de helft van de risicovolle situaties bij huisartsen te wijten zijn aan organisatie en communicatie. Dit is het domein van de informatiebeveiliging. De enquête is verdeeld in de drie genoemde aspecten van informatiebeveiliging. Maar eerst krijgt u een totaaloverzicht van problemen en oplossingen zoals de huisarts die op het netvlies heeft staan.

Problemen en oplossingen in de praktijk De open vragen zijn gesteld: ‘Wat zijn uw drie belangrijkste problemen met elektronische patiëntgegevens?’ en ‘Wat zijn volgens u de drie belangrijkste oplossingen?’ De problemen zijn te zien in tabel 1.

Achtergrond van het onderzoek en van de training is de relatie tussen informatiebeveiliging en patiëntveiligheid. Alle drie de aspecten van 28

j

V

Integriteit

Tabel 1 Problemen gesignaleerd door huisartsen

Computerstoringen staan in de probleemlijst eenzaam aan de top. Storingen zijn dikwijls het gevolg van een stroomstoring, een vastgelopen pc of het niet beschikbaar zijn van Internet. Als oplossingen worden aangedragen een UPS (uninterrupted power supply), een extra pc en een tweede Internetaansluiting bij een andere provider. Privacy is een continue bron van zorg. Daartegenover staat de behoefte aan een totale beschikbaarheid van patiëntgegevens; waar, wanneer en voor wie dat nodig is. Afspraken maken over wie wat mag zien, met de bijbehorende autorisatie geïmplementeerd in het HIS, scoort hoog in de oplossingen. Huisartsen zijn ten opzichte van andere disciplines ver in het systematisch registreren. Dit gebeurt episodegewijs en volgens SOEP (Subjectief, Objectief, Evaluatie, Plan). De HIS’sen ondersteunen deze systematiek. Een probleem vormt de ICPC codering bij een episode. De wijze waarop een episode gecodeerd wordt, verschilt van arts tot arts. Bijkomend probleem is dat codes wel eens wisselen. Ondanks de strak ingezette codering vormen fouten rond de registratie een majeur probleem. Als oplossingen worden aangedragen: zorgvuldig registreren en alert zijn op fouten. Onvolledige gegevens en door bijvoorbeeld ziekenhuizen niet of te laat aangeleverde rapportages zijn een veel voorkomend probleem. Opvallend hoog scoort het probleem dat de huisarts veelal onbekend is met de volledigheid, juistheid en autorisatie van zijn gegevens. De eigen gegevens zijn out of control.

Beschikbaarheid Voor een adequate zorg is de beschikbaarheid van patiëntgegevens essentieel. Het blijkt dat bij 89% van de huisartsen hun patiëntgegevens wel eens niet beschikbaar zijn op het moment dat ze nodig zijn en dat dit euvel bij ruim 12% minstens elke week voorkomt. Zie tabel 2.

Voor een veilig gebruik van een regionaal of landelijk EPD is de integriteit van gecommuniceerde gegevens een conditio sine qua non. Gezien de enquêteresultaten en discussies in de training raden we aan om niet blind te varen op elektronisch gecommuniceerde informatie. Deze is beperkt tot woorden en cijfers. Wat ontbreekt is de interactie waarin wel voorzien wordt bij mondeling contact. Ook ontbreekt vaak de context, noodzakelijk voor een goed begrip van de andere partij. Het blijkt bovendien dat patiëntinformatie niet altijd volledig en juist is, zie tabel 3.

Tabel 3 Onvolledige of onjuiste patiëntgegevens

Het gaat meestal om onvolledigheid van gegevens. Inhoudelijke fouten komen minder voor. De achtergrond van manco’s is divers en varieert van verschillend gebruik van de ICPC codering, onvolledig SOEP verslag, het ontbreken van intoleranties/allergieën, brief of telefoonnummer bij de verkeerde patiënt, probleem met tweelingen, verlies van historische gegevens bij overdracht naar andere huisarts, inhoudelijke fouten door conversie naar een ander HIS tot een nieuwe release van het HIS. Gevraagd is vervolgens wat de gevolgen zijn van deze foutieve gegevens indien deze niet worden gecorrigeerd. Meerdere antwoorden waren mogelijk. 15% van de trainees antwoordde ‘Het heeft geen gevolgen’. 73% antwoordde ‘Het kan de kwaliteit van de behandeling in gevaar brengen.’ 45% antwoordde ‘Het kan de gezondheid van de patiënten in gevaar brengen.’ Daarnaast kan gebrek aan data-integriteit leiden tot juridische problemen, financiële problemen en tot patiënten die weglopen naar een andere huisarts.

Vertrouwelijkheid De omgang met vertrouwelijke gegevens is globaal in kaart gebracht.

Onbeveiligd mailen van vertrouwelijke patiëntgegevens Het blijkt dat 56% van de huisartsen nooit onbeveiligd mailt en dat 7% dat wel regelmatig doet. Achterliggende oorzaak van het onbeveiligd sturen van e-mail is dat er nog geen algemeen gebruikt secure e-mail systeem voor de zorg is ingevoerd en dat andere verzendmechanismen Tabel 2 De computer doet het niet.

29

zoals fax en papieren post ook hun nadelen hebben, ook op het gebied van vertrouwelijkheid.

Het meenemen van vertrouwelijke patiëntgegevens naar buiten de praktijk Het blijkt dat 16% dit nooit doet en 58% soms tot zeer regelmatig. De achterliggende reden is in vrijwel alle gevallen het rijden van visites. De keerzijde van dit privacyrisico is dat het meenemen van de groene kaart of computeruitdraai naar een visite de kans op fouten kleiner maakt door ter plekke te beschikken over patiënteninformatie en die ook te noteren. Een enkele keer komt het voor dat een huisarts informatie op papier mee naar huis neemt om uit te werken. Weggeven van inlogcode en wachtwoord 59% doet dit nooit, bij enkelen wordt vaak het wachtwoord weggegeven of is de eigen toegang tot het HIS permanent voor anderen beschikbaar. Het wachtwoord wordt meestal weggegeven vanwege waarneming door een collega. Soms wordt het wachtwoord weggegeven aan een stagiair, een assistente of aan een technicus die een storing moet verhelpen. In enkele gevallen zijn wachtwoorden in de hele praktijk bekend of gebruikt de assistente het wachtwoord om ’s morgens de PC’s op te starten. Gevraagd is welke functionarissen de elektronisch opgeslagen behandelgegevens kunnen raadplegen. Meerdere antwoorden waren mogelijk. Zie tabel 4.

Tabel 4 Verdeling van anderen die toegang hebben tot de behandelgegevens van de huisarts.

is dat we met de normen van nu elektronische dossiers beoordelen die al 10 tot 20 jaar worden opgebouwd. In één klap alles goed gecodeerd op de harde schijf is daardoor een utopie. Vanaf nu steeds beter en gerichter registreren en coderen maakt dat het er in de toekomst veel beter uit gaat zien. Dat er meer en meer in samenwerkingsverbanden en parttime wordt gewerkt, maakt de informatieverzameling kwetsbaarder. Als één dokter alles over een patiënt weet en registreert, is voor hemzelf altijd bekend wat hij heeft bedoeld en hoe hij zaken interpreteert. Hoe meer mensen een dossier vullen hoe meer afspraken je moet maken opdat iedereen begrijpt wat je bedoelt als je iets noteert. De ICPC codering staat al heel lang ter discussie en de diverse HIS’sen gebruikten ook niet dezelfde onderliggende tabel. Daar gaat nu waarschijnlijk verandering in komen.

Vertrouwelijkheid In het algemeen gaat de huisarts zorgvuldig om met vertrouwelijke gegevens. De privacy staat echter onder druk van de nog tekortschietende techniek in een complexe wereld. Zo is het normaal dat patiëntgegevens op papier worden meegenomen met het visite rijden; een pda is nog niet ingeburgerd. Ook worden er nog wel eens onbeveiligd patiëntgegevens gemaild; er bestaat nog geen algemeen gebruikte en gebruiksvriendelijke infrastructuur van secure e-mail. Dat wachtwoorden worden weggegeven, zou niet moeten hoeven gezien de autorisatiemogelijkheden op de HIS’sen. Voor sommige functies echter, zoals het accorderen van herhaalrecepten, is bij uitzondering een ruimere autorisatie nodig en schiet het HIS tekort qua functionaliteit. Vertrouwelijkheid en goed vertrouwen liggen dicht bij elkaar. De praktische gang van zaken rondom verwijzen en samenwerking onder één dak maken dat de zaken gaan zoals ze gaan. NB: de enquête is afgenomen vóór de training. Wellicht is er ná de training een betere balans bereikt in het vlot kunnen doorwerken versus het zorgvuldig omgaan met patiëntgegevens.

Samenvatting en toelichting Conclusie Beschikbaarheid Het grootste informatiebeveiligingsprobleem in de ogen van de huisarts zijn computerstoringen. Deze ondermijnen de beschikbaarheid van patiëntgegevens. Integriteit Opvallend is de dreiging die uitgaat van onjuiste, onvolledige en niet actuele gegevens. Juist in een situatie met louter elektronische gegevensuitwisseling is dit een risico. Gesignaleerde fouten zouden, ongecorrigeerd, in bijna de helft van de gevallen de gezondheid van de patiënt in gevaar kunnen brengen. Van belang is dat men niet blind vaart op alleen data maar het eigen ‘pluis-niet-pluis gevoel’ laat meespelen. Opvallend is ook het gesteggel met de ICPC codering. De codering is bedoeld om een episode ondubbelzinnig aan te duiden, maar in de praktijk blijkt dat verschillende artsen de codering verschillend interpreteren. een heikel punt 30

Naast privacyaspecten verdienen ook de integriteit van gegevens en de beschikbaarheid van de HIS’sen de nodige aandacht in een wereld die steeds meer elektronisch communiceert. Plus het besef dat de huisartsenzorg uiteindelijk een locale en menselijke bezigheid is. ■

Literatuur 1 M. Harmsen, P. Giesen, L. Martijn, Th. Mettes, W. Verstappen, R. Nijhuis-van der Sanden, M. Wensing - Patiëntveiligheid in de Nederlandse eerstelijnszorg anno 2009. Nijmegen: IQ healthcare, december 2009. http://www.iqhealthcare.nl/UserFiles/Docs/product_120.pdf

Links - www.infoepd.nl - www.epd-nee.org - http://nhg.artsennet.nl/kenniscentrum/ k_implementatie/k_automatisering/k_icpc.htm - www.security.nl/artikel/32186/1/De_utopie_van_ de_maakbare_veiligheid.html

U wilt toch ook eenvoudig de invloed van DOT op de financiële situatie van uw ziekenhuis analyseren? Impact Analyse in het kort:

Waarom Impact Analyse met QlikView?

• Eigen zorgprofielen vergelijken met landelijke zorgprofielen. • Analyseren welke trajecten niet door de grouper worden geaccepteerd en wat de omzetgevolgen zijn. • Analyseren van de impact op de marges op basis van concept DOT tarieven en gehanteerde kostprijzen.

• U hoeft geen data aan te leveren, de Impact Analyse wordt lokaal geïmplementeerd, eventueel op uw datawarehouse. • De Impact Analyse is voorbereid op de informatie die later dit jaar beschikbaar komt. • De Impact Analyse integreert diverse databronnen met elkaar (DBC Onderhoud, DIS data, kostprijzen, koppeltabellen, honoraria en uw datawarehouse).

Financiële Impact Analyse DBC’s naar DOT Zorgproducten, ontwikkeld door OneLine en geleverd door QlikView.

www.o neline.nl

Qlikview_Change_World_ad_mrt10.indd 1

w w w. qlikv i e w. c o m

26-03-2010 09:45:44

DE 10 MEEST BEDRIJFSKRITISCHE SUCCESFACTOREN VAN INFORMATIEBEVEILGING DE IMPLEMENTATIE EN HET ONDERHOUD VAN HET PROCES INFORMATIEBEVEILGING IS NIET ALTIJD EVEN EENVOUDIG. ER ZIJN VELE VALKUILEN EN OBSTAKELS TE ONTWIJKEN. MAAR WAT ZIJN NU DE TIEN MEEST KRITISCHE SUCCESFACTOREN VOOR DE IMPLEMENTATIE EN HET ONDERHOUDEN VAN HET PROCES INFORMATIEBEVEILIGING?

32

ING. GERARD STROEVE CISSP, CISA, SBCI, MANAGER SECURITY & CONTINUITY SERVICES, CENTRIC

1

10 0 10 33

Vanuit onze ervaring met de implementatie van informatiebeveiliging conform de NEN7510, heb ik een overzicht gemaakt van de tien meest kritische succesfactoren van informatiebeveilging:

tiebeveiliging. Een oprechte motivatie, vanuit het besef dat informatiebeveiliging daadwerkelijk bijdraagt aan de zorgverlening, uit zich doorgaans in een vlotte implementatie.

1 Beleid

Proces, geen project Informatiebeveiliging is een proces, geen project. Natuurlijk is er een project nodig om (initiële) input te geven aan het proces. Dit project omvat doorgaans een inventarisatie van kwetsbaarheden en afhankelijkheden om vervolgens te komen tot een prioriteitstelling en de selectie van passende maatregelen. Daarna volgt de implementatie.

Eén van de belangrijkste pijlers, zoniet de belangrijkste pijler van informatiebeveiliging is beleid. Het beleid beschrijft de doelstelling en geeft richting aan (de implementatie van) het proces informatiebeveiliging. Bij het definieren van het beleid is een aantal zaken essentieel:

Hoogste management Zo moet het beleid worden geformuleerd door het hoogste management. Zij moeten het beleid vervolgens dragen en uitdragen naar de rest van de organisatie. Oprechte motivatie Het is daarnaast belangrijk dat het beleid voortkomt uit een oprechte motivatie. Vaak zien we organisaties informatiebeveiliging op de agenda zetten omdat het moet, niet omdat men het nodig vindt. Dergelijke trajecten verlopen vaak erg moeizaam en men richt zich vaak meer op het zo snel mogelijk tevreden stellen van de externe auditor, dan op de essentie van informa-

Uiteindelijk dienst informatiebeveiling gevat te worden in een proces; het proces Informatiebeveiliging. Dit proces kenmerkt zich door een continue doorloop van Plan, Do, Check, Act, activiteiten. Figuur 1 geeft deze afzonderlijke fasen weer:

2 Brede scope Bij de vaststelling van het beleid is het tevens belangrijk om de scope duidelijk te bepalen.

Breder dan IT Een absolute valkuil is het concentreren van de aandacht op de IT-aspecten van informatiebeveiliging. Informatiebeveiliging gaat over de

34

THEMAMIDDAG VERENIGING VOOR ZORGADMINISTRATIE EN INFORMATIE NVMA

Algemeen Al enige tijd wordt de Hospital Standardized Mortality Ratio voor Nederlandse ziekenhuizen berekend. Als het aan de politiek, pers en patiëntengroepen ligt, wordt deze gestandaardiseerde sterftemaat nog vandaag openbaar. Maar wat doen ziekenhuizen nu zelf met de HSMR? Een keer per jaar opvragen en maar hopen dat deze laag uitvalt? Of de HSMR en onderliggende Standardized Mortality Ratio’s (SMR’s) continu monitoren en analyseren om er wat van te leren? Voor sommige ziekenhuizen is de HSMR aanleiding om in hun Zorgadministratie/Medische administratie te kijken of deze betrouwbaar is en verbeterd kan worden. Weer anderen gaan gelijk aan de slag om het aantal sterfgevallen in het ziekenhuis terug te dringen, ongeacht de hoogte van hun HSMR. Sprekers presenteren enkele praktijkvoorbeelden met de HSMR in hun ziekenhuis. Belangrijke ervaringen leiden al tot een aantal conclusies: - Door het dieper kijken naar HSMR’s en SMR’s komt er een dialoog over de kwalilteit van de registratie op gang tussen artsen en medisch codeurs; - Een betrouwbare codering is ook van groot belang voor interne sturing van kwaliteit en veiligheid in ziekenhuizen; - Inzicht in de oorzaak van ziekenhuismortaliteit geeft handvatten voor kwaliteitsverbetering. Een bezoek aan deze themamiddag brengt u op de hoogte van de ontwikkelingen op uw vakgebied! 4 Accreditatiepunten voor Register Zorgadministrateurs en Register Zorgcodeurs (skzb.nl) Deze themamiddag geeft antwoord op de volgende vragen: 1. 2. 3. 4.

Wat is de waarde van HSMR en wat doen ziekenhuizen ermee in de praktijk? Waar staat de HSMR nu en hoe gaat het verder? Hoe gaat de HSMR er precies uitzien? Welke scholing hoort daarbij? Wat betekent de huidige codering in de ziekenhuizen als 'basis' van de HSMR? Wordt er uniform gecodeerd? 5. Wanneer publiceren ziekenhuizen hun sterftecijfers en zijn deze vergelijkbaar met of zonder de HSMR?

INSCHRIJVEN OP WWW.NVMA.NL

Figuur 1 Elke organisatie heeft een initieel beveiligingsniveau. Om te bepalen wat het passende niveau van beveiliging zou moeten zijn, wordt doorgaans een project Informatiebeveiliging uitgevoerd. Dit project bestaat op hoofdlijnen uit het uitvoeren van een risicoanalyse, gevolgd door de selectie van maatregelen. Na deze selectie vindt de implementatie plaats. Uiteindelijk wordt het operationele proces van informatiebeveiliging op het passende niveau gebracht.

beveiliging van informatie en is wezenlijk anders dan IT-beveiliging. Natuurlijk heeft IT aandacht nodig, maar het is slechts een van de aandachtsgebieden. Informatiebeveiliging oppakken met IT-oogkleppen op is geen goed plan.

Niet alleen patiëntinformatie We zien dat binnen zorginstellingen de beveiligingsaandacht zich vooral richt op patiëntinformatie, met name in digitale vorm en dan ook nog eens vooral op de vertrouwelijkheidsas-

pecten daarvan. Dat is jammer, want daarmee wordt de scope op drie manieren oneigenlijk beperkt; zowel op het gebied van de vorm van de informatie (papier, digitaal, kennis), het beveiligingsaspect (vertrouwelijkheid, integriteit, beschikbaarheid), als het type informatie (patiëntinformatie vs overige informatie). In figuur 2 op pagina 37 is deze beperking weergegeven in het model VAT (Vorm, Aspect, Type). 35

E NIEUW !

TRAINING:

DBC DOT Transparantie en medische herkenbaarheid zijn de uitgangspunten waarop DOT is gebaseerd en ook exact de redenen waarom is gekozen voor een nieuw systeem. Het gaat de oude systematiek met een groot aantal DBC’s vervangen, echter is DOT geen volledig nieuwe systematiek. In de doelstellingen van DOT is opgenomen dat deze op de positieve aspecten van de DBC’s moet voortgaan. De registratie van verrichtingen en de declaratiewijze blijven gehandhaafd. Maar wat verandert er dan wel? Als je naar de essentie van DOT kijkt zie direct dat deze veranderingen elk aspect van de organisatie raakt. Het afleiden aan de hand van verrichting zorgt dat registratieprocessen en de daadwerkelijke vastlegging van verrichtingen juist, tijdig en volledig moeten zijn. Een verkeerde registratie kan immers betekenen dat het verkeerde tarief wordt declareert. Het verdwijnen van de validatie zorgt dat de huidige controlemechanismen op verkeerde registratie voor een groot deel ophouden te bestaan. Deze twee aspecten gezamenlijk kunnen grote gevolgen hebben voor de financiering van het ziekenhuis en de medisch specialisten. Dan hebben we nog niet eens gesproken over de uitbreiding van de zorgactiviteitentabel en de veranderingen die DOT met zich meebrengt voor het B-segment, de aanspraak, het bepalen van het onderhanden werk, het bepalen van de kostprijs en de onderhandelingen voor 2011 nog niet eens gesproken. U ziet dat u goed voorbereid moet zijn op de introductie van DOT. De “training DOT” geeft u de inzichten en handvaten om dit in uw ziekenhuis op een juiste wijze vorm te geven.

DATA

17 februari, 21 april, 22 juni, 22 september, 13 oktober en 24 november 2010.

Doelgroep De training is gericht op medewerkers in de ziekenhuiszorg dit in 2010 en 2011 te maken krijgen met de financieringssystematiek van DOT. Deze medewerkers hebben een functie die raakvlakken heeft met de AO/IC. Hierbij kunt u denken aan IC-functionarissen, medewerker AO/IC, DBC consulenten, DBC coördinatoren, DBC medewerkers, DBC-DOT projectleider, hoofden zorgadministratie, zorgadministrateurs en financiële beleidsmedewerkers. Doel - Kennis van de financieringssystematiek volgens DOT - Kennis van het RSAD-model van DOT - Kennis van de praktische consequenties van DOT - Kennisdeling onderling Onderwerpen - Inleiding DBC - De rol van de Grouper - De zorgproductstructuur - Het RSAD-model - Het registratieproces en de registratieregels - Consequenties van DOT voor de AO/IC - Financiële impact

Duur en data van de training De training bestaat uit een dag en vindt plaats elke twee maanden: 17 februari, 21 april, 22 juni, 22 september, 13 oktober en 24 november 2010.

INSCHRIJVEN OP WWW.NVMA.NL

Rollen, taken, verantwoordelijkheden Dat betekent dat functies, rollen, taken en verantwoordelijkheden moeten worden gekoppeld aan personen. Deze taken en verantwoordelijkheden dienen goed beschreven te worden, zodat ze geen ruimte laten tot onduidelijkheid.

Figuur 2 Model Vorm Aspect Type (VAT)

Dit model maakt duidelijk dat het aandachtsgebied informatiebeveiliging in zorginstellingen vele malen breder is dan enkel de borging van de vertrouwelijkheid van de digitale patiëntinformatie. Helaas lijken de normgevende kaders, mogelijk ingegeven door de discussie rond het EPD, deze brede scope niet consequent te adresseren. Een classificatie moet uitwijzen welke informatie specifieke beveiligingsmaatregelen vraagt en of dat vertrouwelijkheids-, integriteit- en/of beschikbaarheidsmaatregelen zijn. Patiëntinformatie is absoluut een informatietype die uit de classificatie zal komen als hoogvertrouwelijk, maar de integriteit van een dieetlijst en de beschikbaarheid van specifieke systemen kunnen eveneens zeer bepalend zijn voor de zorgverlening.

3 Managementsteun Steun van het (hoogste) management, de raad van bestuur, is onontbeerlijk bij de inrichting en de implementatie van informatiebeveiliging. Het vormt het fundament, het draagvlak, en uit zich in het (onder)steunen van beslissingen, het dragen en uitdragen van maatregelen en het beschikbaarstellen van (financiële) middelen.

Mensen, tijd en budget De middelen die het management beschikbaar stelt moeten zich niet beperken tot financiele middelen. Informatiebeveiliging vraagt tijd, geld en inspanning. En niet alleen tijdens de inventarisatiefase, maar ook bij de implementatie en binnen het operationele proces. Voorbeeldgedrag en rugdekking Het management zal voorbeeldgedrag moeten tonen en beveiligingsbewust handelen van de medewerkers moeten stimuleren. Zeker ook op het moment dat impopulaire maatregelen geÏmplementeerd en/of nageleefd worden, is het belangrijk dat het hoogste management rugdekking blijft geven.

4 Organisatie Om informatiebeveiliging als proces te laten werken, zoals eerder beschreven, dan zal ook de organisatie dat proces moeten ondersteunen.

Beveiligingsfunctionaris Een belangrijke coördinerende functie is die van (informatie) beveiligingsfunctionaris. De beveiligingsfunctionaris, security officer, heeft het totaaloverzicht over alle aspecten van informatiebeveiliging en bewaakt het proces en de naleving van het beleid. Het heeft dus grote voorkeur deze functie/rol niet binnen de afdeling IT te beleggen, maar op een algemeen, breder niveau. Een beveiligingsfunctionaris vanuit de afdeling IT zal grote moeite hebben om vanuit een algemeen oogpunt naar informatiebeveiliging te kijken. Vooral ook omdat de rest van de organisatie hem weinig ruimte zal laten om zijn rol breder in te zetten, hij is immers van de afdeling IT. Het kan een goede overweging zijn om de rol van beveiligingsfunctionaris onder te brengen bij de informatiemanager of de kwaliteitsmanager. Managementforum In het managementforum zijn de diverse onderdelen van de organisatie vertegenwoordigd. Tijdens de periodieke bijeenkomsten wordt het proces geëvalueerd en worden incidenten besproken. Daar waar mogelijk worden leerpunten geformuleerd.

5 Cultuur Informatiebeveiliging is voor elke organisatie anders. Voorwaarde voor een levensvatbare implementatie is dat de uitgangspunten en de wijze van implementatie passen bij de cultuur van de organisatie. Dat wil natuurlijk niet zeggen dat een ‘open organisatie’, zoals een zorginstelling vaak is, geen verregaande beveiligingsmaatregelen kan implementeren. Het is immers de classificatie van de informatie die dat bepaalt. Maar het vraagt wel zorgvuldige aandacht voor de vorm van de maatregelen en de wijze waarop zij worden gecommuniceerd en geimplementeerd.

6 Kennis Om aan de slag gaan met informatiebeveiliging, is kennis van het gehele brede landschap van informatiebeveiliging nodig. Zo zijn daar aspecten als organisatie en procedures, technische en fysieke maatregelen, communicatie en bewustwording. Daarnaast is belangrijk kennis te hebben van relevante wet- en regelgeving en ontwikkelingen in de branch. Het is belangrijk dat deze kennis binnen de organisatie wordt opgebouwd en geborgd. In de fase waarin informatiebeveiliging wordt vormgegeven, door middel van een risicoanalyse en het selecteren van maatregelen, is het echter als organisatie niet vanzelfsprekend om zelf in die kennis te voorzien. Subjectiviteit, organisatieblindheid en interne politiek liggen namelijk op de loer. In die fase kan het zeer verstandig zijn om ondersteuning te vragen aan een externe deskundige. Een mooie gelegenheid om te leren en de kennis intern op te bouwen. 37

7 Budget Zonder budget geen informatiebeveilging. Al kunnen we al heel veel bereiken tegen relatief lage financiële investeringen. Denk daarbij aan bewustwording en de aanscherping van procedures. Maar uiteindelijk zal informatiebeveilging budget vragen. Zowel tijdens de inventarisatie-, implementatie- als in de operationele procesfase. Dat budget zal toegekend moeten worden en zijn plaats moeten krijgen op de jaarbegroting. Maak budget echter niet leidend, maar breng de risico’s in kaart zonder budgetoogpunt, zodat er een objectief beeld ontstaat. Pas bij het selecteren van de beveiligingsmaatregelen mag budget een rol spelen.

8 Communicatie Zowel tijdens de inventarisatie-, de implementatie-, als de operationele fase is communicatie enorm belangrijk. Het is niet ondenkbaar dat de maatregelen bij de medewerkers in eerste instantie weerstand zullen oproepen. De wijze waarop de boodschap wordt gecommuniceerd dient afgestemd te zijn op de doelgroep en aandacht te geven aan die eventuele weerstand. Om die reden is het goed om de communicatie mede te richten op het verhogen van het draagvlak. De motivatie van de maatregelen is daarbij een belangrijk ingrediënt. De naleving van het beleid staat of valt met het begrip dat de individuele medewerker heeft voor de betreffende maatregelen.

9 Bewustzijn Het informatiebeveiligingsbewustzijn vormt het bloed dat door de aderen loopt, het cement tussen de stenen. Dit bewustzijn is essentieel om informatiebeveiliging te laten ‘leven’, om

het proces stevig te laten staan als een huis. Tegelijkertijd is het een van de meest lastige aspecten om te bereiken, laat staan om te behouden. Het bewustzijn zou aanwezig moeten zijn bij alle medewerkers, waar ook binnen de organisatie, en zou er voor moeten zorgen dat informatiebeveiliging als een tweede natuur het veilig handelen van de medewerkers borgt.

10 Evaluatie en onderhoud Zoals voor elk proces geldt, zal er periodiek geëvalueerd moeten worden of het beleid en de huidige inrichting van het proces nog aansluit bij de behoeften van de organisatie. Zijn de uitgangspunten wellicht veranderd, stellen de organisatieonderdelen andere eisen, voldoet de organisatie nog aan de wet- en regelgeving? En vooral ook, wat zijn de leerpunten naar de toekomst toe? Bovenstaande succesfactoren vormen de basis voor het gedegen inrichten en onderhouden van het proces informatiebeveiliging. Ze zijn onlosmakelijk aan elkaar verbonden. Pas wanneer zij de juiste aandacht en invulling krijgen komt een soepele invoering van informatiebeveiliging in zicht. ■ Gerard Stroeve is informatiebeveiligingsdeskundige en binnen Centric verantwoordelijk voor de activiteiten van de unit Security & Continuity Services. Vanuit deze unit levert Centric hoogwaardige dienstverlening op het gebied van informatiebeveiliging en continuïteit aan zorginstellingen. Gerard heeft een organisatiebrede kijk op deze aandachtsgebieden en heeft vanuit zijn rol als management adviseur vele organisaties geholpen bij het opstellen van beleid en analyseren van bedrijfsrisico’s.

10 0 1 10

39

NVMA i n f o r m a t i e Verkorte missie NVMA: De NVMA bevordert de kwaliteit van de zorgadministratie en -informatie en wil daarvoor een ontmoetingspunt zijn voor alle betrokkenen en belanghebbenden in de gezondheidszorg. Visie NVMA: Sturing van zorgprocessen bij verantwoorde aanwending van de middelen vereist geïntegreerde informatie, verkregen uit de gegevens van de zorgprocessen. De NVMA ziet het als haar taak om de zorgadministratie te bevorderen door verbetering van classificaties en coderingen en door standaardisatie en uniformering van begrippen. Zij streeft naar een register voor gekwalificeerd opgeleide medewerkers binnen de zorgadministratie. Bestuur NVMA Mevr. N. Steeman, secretaris Postbus 750 1782 GZ Den Helder M.J.G.M. Dekker T.G.R. Király H. Pieterse, voorzitter J. Runnenberg, vice-voorzitter, penningmeester Mevr. N. Steeman, secretaris W.A.M. Tromp

E-mail: [email protected] NVMA-site: www.nvma.nl

Het bestuur wordt terzijde gestaan door een aantal commissies. Financiële commissie Mevr. H. Baars H.W.E. Ö. Heijmans PR commissie M.J.G.M. Dekker Rivierduinen Schuttersveld 9 Postbus 405 2300 AK Leiden

Commissie informatiebeveiliging Mevr. A. Hulshof- Buurman J. van der Kamp, secretaris C. de Keizer H. Nabavi, voorzitter J.J.N. van der Palen, adviseur G. Stroeve J. van der Wel Symposiumcommissie W.A. Dekker Arkin GGz en verslavingszorg Amsterdam Postbus 75848 1070 AV Amsterdam

M.J.G.M. Dekker, secretaris W.A. Dekker, voorzitter J. Runnenberg

W.A. Dekker, voorzitter P.J.M.M. Epping S.A.M. Schermer Voest, secretaris/penningmeester

Commissie Opleidingen M.A.M. van der Haagen R. Klap H. Pieterse W. Tromp, voorzitter M.J.S.M. Verhoeven

Commissie Definities, Classificaties en Coderingen P. van Halem Academisch Medisch Centrum Meibergdreef 9 Kamer D.3-330 1105 AZ Amsterdam

Redactie NTMA mevr. A. J. Bekker Groene Hart Ziekenhuis Postbus 1098 / j27 2800 BB Gouda mevr. A. J. Bekker, secretaris M.J.G.M. Dekker, voorzitter W. A. Dekker J. Runnenberg, hoofdredacteur p A. van Winkoop

mevr. M.G.T. Beentjes, voorzitter mevr. A. J. Bekker L.C.A.P. van den Bergh P. van Halem, secretaris A.H.G. Volman

NOG GEEN NVMA LID? SURF NAAR WWW.NVMA.NL E NIEUW !

TRAINING:

DBC’S GGZ, REGISTRATIE, VALIDATIE EN FACTURATIE VAN DBC’S

DATA

12 januari, 13 april, 14 september en 16 november 2010.

De GGZ-branche factureert sinds 1 januari 2008 op basis van de DBC-systematiek factureren. Dit betekent een grote verandering: de bekostiging vindt plaats op de geleverde zorg, die u zelf factureert. Aan de totstandkoming van een DBC-factuur gaan diverse processen vooraf. Om de factuur zo snel en correct mogelijk de deur uit te krijgen moeten de processen vlekkeloos lopen. In samenwerking met de NVMA organiseert Q-Consult de een praktische training op het gebied van DBC’s binnen de GGZ. In 2008 en 2009 heeft Q-Consult in samenwerking met de NVMA de training DBC’s GGZ, facturatie van DBC’s meerdere keren gegeven. De deelnemers waren enthousiast over deze training. Enkele citaten van deelnemers: - Goede combinatie van theorie en de praktijk. - Trainers geven goede reactie op vragen. - Heldere uitleg, en veel bruikbare praktijkoefeningen - Kennis uitwisseling in de groep en goede discussies. Onderwerpen - Inleiding in het registreren en valideren van DBC’s - Toepassing in de praktijk: Controleren DBC’s - Toepassing in de praktijk: Periodieke instructie - Algemene inleiding in de DBC-facturatie - Processen rondom facturatie

Resultaat Na de training hebt u kennis van het registreren, valideren en factureren van de DBC’s. Voor wie is deze training? Medewerkers die zich in de praktijk bezig houden met het controleren van getypeerde DBC’s en/of met het factureren van DBC’s. De training is een basis voor medewerkers die nieuw zijn in de wereld van de DBC’s. Voor medewerkers die al bekend zijn met DBC’s is dit een goede opfristraining waarbij onderling veel kennis gedeeld wordt. Datum en duur van de training De training bestaat uit 1dag en vindt plaats op: - 12 januari 2010 - 13 april 2010 - 14 september 2010 - 16 november 2010

40

INSCHRIJVEN OP WWW.NVMA.NL