Onderzoek naar Integriteit Onderzoeksgegevens
Johan van der Meer Raoul de Leeuw
De afbeelding op de voorzijde is het oude logo van het AMC. De slang staat in de esculaap symbool voor de genezing, omdat dit dier zijn huid kan afwerpen, hetgeen staat voor herboren worden en genezing, maar ook door zijn beet de dood kan brengen. De uil is een symbool van waakzaamheid en kennis omdat zij de duisternis kunnen doorvorsen. De drie Andreaskruisen zijn van het wapen van Amsterdam, de plaats waar het ziekenhuis gevestigd is.
Inhoudsopgave Voorwoord ................................................................................................... 4 1 Probleemstelling en verantwoording ...................................................... 5 1.1 Inleiding ........................................................................................ 5 1.2 Probleemstelling .............................................................................. 5 1.3 Onderzoeksaanpak .......................................................................... 6 1.4 Opbouw van deze scriptie ................................................................. 6 2 AMC organisatie en object van onderzoek............................................... 8 2.1 Algemeen ....................................................................................... 8 2.2 Organisatiestructuur ........................................................................ 8 2.3 Structuur ADICT .............................................................................. 9 2.4 Clinical Research Unit ..................................................................... 10 2.5 Medische processen ....................................................................... 10 2.6 Applicatielandschap ....................................................................... 13 2.7 Beschrijving DIO ........................................................................... 13 3 Theorie en definities .......................................................................... 15 3.1 Definitie van integriteit ................................................................... 15 3.2 Structuur van gegevens ................................................................. 17 4 Risico analyse .................................................................................. 19 4.1 Inleiding ...................................................................................... 19 4.2 Input - Risico’s in de gebruikersomgeving ......................................... 19 4.3 Verwerking - Risico’s in de applicatieomgeving .................................. 22 4.4 Output - Risico’s koppeling onderzoeksapplicatie DIO ......................... 22 4.5 Conclusie ..................................................................................... 23 5 Beheersingsmaatregelen .................................................................... 24 5.1 Inleiding ...................................................................................... 24 5.2 Inzichten uit de literatuur ............................................................... 24 5.3 Inzichten vanuit het onderzoek ........................................................ 26 5.4 Input - Maatregelen in de gebruikersomgeving .................................. 26 5.5 Verwerking - Maatregelen in de applicatieomgeving ............................ 28 5.6 Output - Maatregelen koppeling onderzoeksapplicatie DIO ................... 29 5.7 Beantwoording tweede deelvraag..................................................... 30 6 Slothoofdstuk ................................................................................... 31 6.1 Conclusies en aanbevelingen ........................................................... 31 6.2 Mogelijk vervolgonderzoek .............................................................. 33 6.3 Persoonlijke reflectie ...................................................................... 33 Bijlage 1 - Vragenlijst .................................................................................. 34 Bijlage 2 - Audit framework.......................................................................... 39 Bijlage 3 - AMC medewerkers ....................................................................... 42 Bijlage 4 - Gebruikte Afkortingen .................................................................. 43 Bijlage 5 - Literatuur ................................................................................... 44
Scriptie Integriteit Onderzoeksgegevens
3
Voorwoord Deze scriptie is geschreven ter afsluiting van de postgraduate IT Audit opleiding aan de Vrije Universiteit (VU) te Amsterdam. Het schrijven van deze scriptie was een interessant en leerzaam traject. Tijdens ons scriptieonderzoek hebben wij inzichten opgedaan over hoe in het AMC met de integriteit van gegevens wordt omgegaan in zorgprocessen en bij medisch wetenschappelijk onderzoek. De opleiding was een goede aanvulling op onze werkzaamheden bij UWV en het AMC en wij hebben mede hierdoor onze auditwerkzaamheden effectiever kunnen uitvoeren. Dankwoord Wij willen C.W.P.J. van Hoof als afstudeerbegeleider van de VU en J.E. Slot, directeur Algemene Dienst ICT, als bedrijfsbegeleider bedanken voor hun inhoudelijke bijdrage aan het eindresultaat in de vorm van adviezen en aandachtspunten. Tevens willen wij de medewerkers van het AMC bedanken voor het invullen van de vragenlijsten en het beantwoorden van onze vele vragen. Dankzij hun medewerking zijn wij in staat geweest om dit scriptieonderzoek te kunnen uitvoeren. Tenslotte willen wij W.N.B. Tewarie bedanken voor zijn medewerking en het gebruik van zijn audit framework.
Santpoort-Noord, Almere, 26 oktober 2009
Scriptie Integriteit Onderzoeksgegevens
4
1 1.1
Probleemstelling en verantwoording Inleiding Het Academisch Medisch centrum (AMC) is een universitair medisch centrum waar niet alleen basispatiëntenzorg, zoals algemene ziekenhuizen dat ook doen, maar met name bijzondere patiëntenzorg wordt uitgevoerd. Deze bijzondere patiëntenzorg betreft: topreferente zorg en topklinische zorg. Topreferente zorg is zeer specialistische patiëntenzorg die gepaard gaat met bijzondere diagnostiek en behandeling, waarvoor geen doorverwijzing meer mogelijk is ('last resort', eindstation). Topreferente zorg vereist een infrastructuur waarbinnen vele disciplines op het hoogste deskundigheidsniveau samenwerken ten behoeve van de patiëntenzorg en die gekoppeld is aan fundamenteel patiëntgericht onderzoek. Topklinische zorg is hooggespecialiseerde zorg (zoals hartchirurgie, neurochirurgie, in-vitrofertilisatie, etc.), waarvoor relatief dure en gespecialiseerde voorzieningen nodig zijn. Ter ondersteuning van de medische processen is in het AMC een complex en heterogeen landschap van informatiesystemen aanwezig waarin de verschillende applicaties beheerd worden en onder andere medische gegevens van patiënten worden vastgelegd. De vastgelegde gegevens worden behalve voor de directe patiëntenzorg ook gebruikt voor de genoemde topreferente zorg en overig medisch wetenschappelijk onderzoek. Het AMC speelt een belangrijke rol in het Dutch Cochrane Centre. Dit is het Nederlandse deel van een internationale organisatie die het gebruik van medische onderzoeksgegevens om behandelingen te verbeteren stimuleert, het zgn. ‘evidence-based medicine’. In het kader van het ondersteunen van medisch wetenschappelijk onderzoek worden gegevens vanuit de primaire zorgsystemen overgehaald of gekoppeld aan een onderzoekssysteem. Het AMC gebruikt hiervoor het DIO systeem (Data Integratie ten behoeve van Onderzoek) en heeft hiervoor koppelingen met bestaande applicaties ontwikkeld. Voor medisch onderzoek is het van belang dat de integriteit van de gegevens voldoende gewaarborgd is en dat van deze gegevens een eenduidige beschrijving van de betekenis beschikbaar is. Omdat bij medisch wetenschappelijk onderzoek gegevens die afkomstig zijn van verschillende primaire bronnen worden gecombineerd, neemt de uiteindelijke integriteit van deze gecombineerde gegevens af als de integriteit van de gegevens van enkele van deze bronsystemen niet voldoende is of deze onderling van context verschillen. Als onderzoekers niet beschikken over integere gegevens, bestaat het risico dat verkeerde conclusies worden getrokken. Dit kan in het uiterste geval leiden tot ernstige risico’s voor, of de dood van patiënten.
1.2
Probleemstelling De wetenschappelijk onderzoekers in het AMC hebben op dit moment onvoldoende zicht op de integriteit van in AMC-informatiesystemen vastgelegde gegevens. De Algemene Dienst ICT (ADICT) heeft belang bij een beter beeld over de integriteit van de gegevens. Met meer informatie over integriteit kan de ADICT helpen veranderingen door te voeren om de integriteit van opgeslagen gegevens te verbeteren.
Scriptie Integriteit Onderzoeksgegevens
5
Onderzoeksvraag Welke extra beheersingsmaatregelen, bij een normale en goed ingerichte automatiseringsomgeving, zijn nodig om te waarborgen dat onderzoekers over integere gegevens kunnen beschikken, bij gebruik van niet primair voor medisch wetenschappelijk onderzoek vastgelegde gegevens, om medisch wetenschappelijk onderzoek uit te kunnen uitvoeren. Deelvragen Welke risico’s zijn verbonden aan het gebruik van in de patiëntenzorg vastgelegde gegevens in geautomatiseerde informatiesystemen ten behoeve van medisch wetenschappelijk onderzoek. Welke organisatorische, procedurele- en technische maatregelen zijn nodig om de integriteit van deze hergebruikte gegevens, gedurende het proces van invoer, verwerking en uitvoer te waarborgen zodat onderzoekers over integere gegevens kunnen beschikken. Onderzoeksobject en begrenzing Het object van onderzoek zijn de medische processen en de hieraan gerelateerde medische informatiesystemen die op dit moment gegevens leveren aan de onderzoeksapplicatie DIO. Buiten de scope van dit onderzoek vallen het netwerk, de hardware en de technische infrastructuur.
1.3
Onderzoeksaanpak De onderzoeksaanpak voor deze scriptie bestond uit een aantal onderdelen. Een literatuuronderzoek waarbij het begrip integriteit van gegevens is onderzocht. Ook werd in de literatuur bekeken welke beheersmaatregelen in grote mate de integriteit van gegevens in informatiesystemen bepalen. Na dit literatuuronderzoek is bepaald welke informatiesystemen in het scriptie onderzoek worden meegenomen. Uitgangspunt was dat het informatiesystemen betrof die gegevens leveren aan de onderzoeksapplicatie DIO. In het AMC zijn relevante delen van de documentatie met betrekking tot informatiesystemen bestudeerd om inzicht te krijgen in de wijze waarop de architectuur en infrastructuur zijn vormgegeven. Ook zijn relevante interne AMC documenten als beleidsstukken en notities bestudeerd. Vervolgens is, mede aan de hand van het literatuur onderzoek, het normenkader opgesteld dat als basis heeft gediend voor het scriptieonderzoek. Op basis van het opgestelde normenkader is een vragenlijst opgesteld die als basis heeft gediend voor de selfassessments van gebruikers en applicatiebeheerders. Belangrijk doel van deze vragenlijst was het verkrijgen van inzicht in de getroffen beheersingsmaatregelen. Op basis van de resultaten uit de selfassessments zijn aanvullend enkele interviews gehouden om vast te stellen of de resultaten uit de selfassessments een betrouwbare afspiegeling van de werkelijke situatie waren. Deze afgenomen interviews zijn vastgelegd in gespreksverslagen en teruggekoppeld met de betrokken. De resultaten van de bestudeerde literatuur, de selfassessments en de interviews zijn vervolgens uitgewerkt in deze scriptie.
1.4
Opbouw van deze scriptie In hoofdstuk 2 worden de organisatiestructuur van het AMC, de ICT inrichting van het AMC en de belangrijkste processen beschreven. Daarnaast geven we een korte beschrijving van het applicatielandschap en de onderzoeksapplicatie DIO. In hoofdstuk 3 wordt de theorie en de gebruikte werkdefinitie met betrekking tot integriteit behandeld.
Scriptie Integriteit Onderzoeksgegevens
6
In hoofdstuk 4, waar de risicoanalyse beschreven staat, wordt de eerste deelvraag, over de risico’s die van invloed zijn op de integriteit van de gegevens ten behoeve van medisch wetenschappelijk onderzoek, behandeld. In hoofdstuk 5 wordt de onderzoeksaanpak toegelicht en de uitkomsten van de vragenlijsten, interviews en inzichten uit bestudeerde literatuur en documenten behandeld. In dit hoofdstuk worden tevens de beheersingsmaatregelen behandeld die invloed op de integriteit van de gegevens hebben. In dit hoofdstuk wordt de tweede deelvraag beantwoord. In hoofdstuk 6 worden de eindconclusies en de evaluatie gepresenteerd. In dit hoofdstuk wordt de onderzoeksvraag beantwoord.
Scriptie Integriteit Onderzoeksgegevens
7
2 2.1
AMC organisatie en object van onderzoek Algemeen Het AMC is gevestigd in Amsterdam. In 1582 begonnen in een voormalig nonnenklooster als Sint Pietersgasthuis en later omgedoopt in het Binnengasthuis. In 1891 werd het Binnengasthuis met het Buitengasthuis samengevoegd onder de nieuwe naam het Wilhelmina Gasthuis. In 1983 is het ziekenhuis uit het centrum van Amsterdam verhuisd naar Amsterdam Zuid-Oost en omgedoopt naar het AMC. In het AMC werken 6421 medewerkers. Het AMC heeft als academisch ziekenhuis vier hoofdtaken: Patiëntenzorg Hieronder vallen het bieden van patiëntenzorg en het voorzien in topreferente zorg voor de regio. Het AMC heeft 1002 bedden, er worden per jaar 29.782 patiënten opgenomen (209.796 verpleegdagen). Daarnaast voert het AMC per jaar 29.942 dagbehandelingen uit en heeft 353.852 bezoeken op de poliklinieken. Opleiding Het AMC is een opleidingsziekenhuis en heeft doorlopend ongeveer 500 artsassistenten in opleidingstrajecten zitten. Onderwijs Het AMC geeft onderwijs aan 2.273 studenten geneeskunde. Onderzoek Het AMC voert medisch onderzoek uit, er promoveren jaarlijks 160 medewerkers. Er worden jaarlijks 2033 artikelen in Science Citation Index (SCI) tijdschriften gepubliceerd. Alle bovengenoemde cijfers hebben betrekking op 2007.
2.2
Organisatiestructuur De organisatiestructuur van het AMC bestaat uit een aantal divisies voor de belangrijkste medische specialismen met daarnaast een aantal ondersteunende diensten en staven.
Figuur 1 - Organisatiestructuur AMC
Medische divisies hebben een bestuur met een voorzitter (medische verantwoordelijkheid), directeur bedrijfsvoering en een verpleegkundig bestuurder. Scriptie Integriteit Onderzoeksgegevens
8
De divisies zijn verdeeld in afdelingen (staf, klinisch en poliklinisch) In de divisie heeft ieder medisch specialisme (inwendige, chirurgie, orthopedie etc.) een hoogleraar die medisch inhoudelijk verantwoordelijk is. In de kliniek is een “chef de clinique” en op de polikliniek een “chef de polikliniek” die medisch de leiding hebben. Afdelingshoofden op de verschillende onderdelen zijn verantwoordelijk voor de bedrijfsvoering.
2.3
Structuur ADICT Een van de ondersteunende diensten is de ADICT. Deze dienst bestaat uit de volgende onderdelen: Project Support Office (architectuur, datamanagement, business analisten, service level management, project administratie); Programmamanagement; Relatiemanagement; Applicatie Services; Infrastructuur Services. Het AMC heeft een eigen rekencentrum, een tweede back-up rekencentrum en contracten met de ICT-dienstverlener SARA voor services en uitwijk mogelijkheden. SARA is een organisatie die voor veel academische instellingen netwerk- en computerdiensten levert. De ADICT voert voor bijna alle applicaties het technisch beheer uit. Applicaties die door de hele organisatie heen worden gebruikt, zoals het poliklinisch afsprakenbeheer, worden functioneel door de Algemene Dienst Beheer (ADB) beheerd. Niet organisatiebreed gebruikte applicaties worden functioneel beheerd door de divisie of dienst die de hoofdgebruiker van deze applicatie is. Het eigenaarschap van applicaties in het AMC is in veel gevallen aan een medewerker hoog in de organisatiestructuur toegewezen. Er wordt in voorkomende gevallen een gedelegeerde autoriteit aangewezen om de dagelijkse gang van zaken rondom de applicatie te regelen. Deze gedelegeerde autoriteit is meestal een applicatiebeheerder of een direct aan de applicatiebeheerder verbonden medewerker. 2.3.1 ICT besluitvormingsstructuur Sinds 2005 is er in het AMC een IT-Raad aangesteld die als adviserend orgaan optreedt met betrekking tot de besluitvorming over ICT projecten. De IT-Raad kijkt in eerste instantie naar het nut en de toegevoegde waarde van IT projecten voor het AMC en naar de wijze van financiering. Daarnaast ondersteund de IT-Raad het maken van keuzes wanneer sprake is van schaarse middelen en kijkt of deze keuze in het ICT beleid past. Met ingang van 2008 zijn vier domeincommissies opgericht, deze houden zich bezig met het formuleren van beleid en het realiseren van dit beleid door middel van programma’s en projecten. Deze domeinen sluiten aan met de genoemde hoofddoelstellingen van het AMC. Patiëntenzorg Onderzoek Opleiding/Onderwijs Ondersteunende processen De Raad van Bestuur stelt op basis van de strategische doelstellingen iedere 4 à 5 jaar de hoofdlijnen van het ICT beleid op. De domeincommissies stellen op basis van dit kader per domein een informatieplan op. Dit informatieplan wordt in principe jaarlijks door de domeincommissie geactualiseerd. Wensen vanuit de organisatie worden door het ADICT relatiemanagement begeleid en ingediend bij de domeincommissie. De domeincommissie bepaalt of een projectScriptie Integriteit Onderzoeksgegevens
9
voorstel wordt opgenomen in de centrale projecten portfolio. De ADICT is verantwoordelijk voor de architectuur paragraaf in het advies. Bij negatief advies kan het project niet aanvangen. Indien het project niet past in de centrale projectenportfolio, dan kan de divisie besluiten tot decentrale uitvoering. De IT-Raad bewaakt de uitvoering van de centrale projecten. De IT-Raad heeft ieder kwartaal overleg met de portefeuillehouder ICT van de Raad van Bestuur en ieder jaar overleg met de voltallige Raad van Bestuur. De IT-Raad komt 6 keer per jaar bijeen. De IT-Raad bestaat uit een voorzitter, de 4 voorzitters van de domeincommissies, 3 onafhankelijke leden, de directeur ADICT als adviseur en een secretaris. In het strategische plan van de Raad van Bestuur wordt over de integratie van patiëntenzorg en onderzoeksgegevens opgemerkt, dat de materie zowel wat technische integratie betreft als in organisatorisch opzicht complex is. Gegevens moeten namelijk zeer zorgvuldig en eenduidig worden vastgelegd omdat anders geen effectief gebruik in medisch onderzoek mogelijk is. In het ICT masterplan wordt over de sturende rol voor de Clinical Research Unit (CRU) gesproken. Er dient meer afstemming en duidelijkheid te komen in de relatie tussen de vastlegging van klinische gegevens voor onderzoek en de vastlegging van gegevens voor de patiëntenzorg. Als gevolg hiervan moeten eisen vanuit medisch onderzoek worden meegenomen in de criteria en eisen die aan het Electronisch Patiënten Dossier (EPD) worden gesteld. Door het toenemende gebruik van klinische gegevens en de verdergaande digitalisering in het zorgproces wordt de relatie met het EPD meer van belang.
2.4
Clinical Research Unit De Clinical Research Unit (CRU), onderdeel van de divisie Public Health & Klinische Methoden en Informatie, coördineert en faciliteert veel van het medisch onderzoek. Onderzoekers worden door de CRU begeleid bij het uitvoeren van het onderzoek. Na een intake met de onderzoeker brengt de CRU een offerte uit waarin de noodzakelijke werkzaamheden en kosten vermeld zijn. De CRU ondersteunt bij het opzetten van gegevens-invoer en verwerking van onderzoeksgegevens in Access, SQL-server en Oracle Clinical databases. Afhankelijk van het soort onderzoek wordt het platform gekozen dat het beste bij het onderzoek en de eisen die wet en regelgeving stellen past. Het gaat hierbij meestal niet om onderzoek met gegevens uit zorgprocessen, maar om speciaal voor het onderzoek te verzamelen gegevens. DIO wordt ingezet indien bestaande gegevens uit het zorgdomein gebruikt kunnen worden. Op deze bestaande gegevens uit het zorgdomein voert de CRU extra controles uit voordat deze aan de database voor het specifieke onderzoek toegevoegd worden. De CRU is sinds januari 2009 verantwoordelijk voor het beheer van DIO.
2.5
Medische processen De medische (bedrijfs) processen die in een academisch ziekenhuis worden uitgevoerd en van belang zijn binnen dit scriptieonderzoek zijn in drie hoofdgeroepen in te delen. Hieronder worden deze groepen van processen beschreven.
2.5.1
Medische zorg Het belangrijkste proces is het uitvoeren van de medische zorg. Deze valt in te delen in klinische- en poliklinische zorg. Bij klinische zorg wordt de patiënt opgenomen en verblijft deze enige tijd in het ziekenhuis. Bij poliklinische zorg vindt het onderzoek en de behandeling in het ziekenhuis plaats maar wordt de patiënt niet opgenomen. Hieronder een globale beschrijving van het zorgproces:
Scriptie Integriteit Onderzoeksgegevens
10
Verwijzing Een patiënt wordt doorgaans door de huisarts naar het ziekhuis verwezen. Middels de verwijsbrief wordt informatie van de huisarts aan de behandelend arts van het ziekhuis doorgegeven. Consult Het eerste contact in het ziekenhuis is meestal een consult op de polikliniek. Hier wordt de patiënt door de arts onderzocht. Anamnese Het onderzoek begint met de anamnese, dit is wat een patiënt met betrekking tot de voorgeschiedenis en relevante omstandigheden van zijn ziekte aan de arts kan vertellen. Onderzoek Tijdens dit consult kan de arts zelf het lichamelijk onderzoek uitvoeren. Ook kunnen aanvullende onderzoeken worden aangevraagd. Dit kan zijn laboratoriumonderzoek van lichaamsvocht of weefsel van de patiënt of beeldvormend onderzoek zoals röntgen foto’s, Computertomografie (CT-scan), MRI-scanner, Echografie, Positronemissietomografie (PET) of een kijkoperatie. Diagnose De arts combineert de gegevens van de anamnese, het lichamelijk onderzoek en de uitslagen van aanvullende onderzoeken en door een diagnose wordt een ziekte geïdentificeerd. Bij het stellen van de diagnose wordt in het kader van de topreferente zorg meestal in multidisciplinaire teams van specialisten overlegd. Behandeling Als behandeling zijn in hoofdlijnen chemotherapie, chirurgie, farmacotherapie mogelijk. De behandeling kan klinisch of poliklinisch uitgevoerd worden. Verpleging/verzorging Tijdens en na de behandeling wordt de patiënt verpleegd en verzorgd. Dit deelproces betreft het monitoren van de toestand en het welzijn van de patiënt en het tijdig toedienen van medicatie. Nazorg In veel gevallen dient een patiënt na een behandeling periodiek op de polikliniek te worden gecontroleerd op het verloop van het herstel.
Dit zorgproces kan in geval van nood- of spoedsituaties verkort en anders worden uitgevoerd. Voor dit scriptieonderzoek is daarbij van belang dat administratieve handelingen hierbij voor het grootste deel pas achteraf uitgevoerd worden en er minder tijd voor controles beschikbaar is. De applicatie die het zorgproces direct ondersteund is het Electronisch Patiënten Dossier (EPD). In het AMC wordt hiervoor de EPD applicatie Norma ingezet. Steeds meer afdelingen in het AMC maken gebruik van een electronisch patiëntendossier. Er loopt een project waarbij het oude papieren dossier wordt ingescand om het naast het nieuwe EPD eenvoudig beschikbaar te hebben. In het AMC worden in het EPD naast de door de artsen zelf vastgelegde informatie ook de uitslagen van onderzoeken getoond. Hiermee wordt gestreefd om alle informatie op een plaats en duidelijk aan de artsen te presenteren om zo het zorgproces optimaal te ondersteunen. 2.5.2
Medisch administratief Medisch administratieve processen betreffen werkzaamheden rondom het vastleggen van niet direct voor de medische zorg noodzakelijke gegevens. Het gaat in het kader van dit scriptieonderzoek om de volgende processen:
Voorschrijven medicatie Het proces waarbij de arts via een recept of via de Apotheek applicatie medicijnen voorschrijft voor een patiënt. Deze medicijnen worden vervolgens
Scriptie Integriteit Onderzoeksgegevens
11
door de apotheek aan de afdeling geleverd waarna de verpleging voor de toediening aan de patiënt zorgt. Poliklinisch afspraken Het proces van het maken en registreren van de afspraken op de polikliniek. In dit proces maakt een administratief medewerker een afspraak in de agenda van het betreffende spreekuur. Op de dag zelf wordt gemeld of een patiënt gekomen is en worden eventuele aanvullende gegevens vastgelegd. Hier worden met name de administratieve verrichtingcodes van specifieke medische handelingen van de arts op het spreekuur ingevoerd. Deze registraties zijn nodig om een juiste en volledige facturatie mogelijk te maken. Klinisch opnames Het proces van het registreren van klinische opnames van patiënten. Bij het opnamebureau worden de administratieve gegevens van de opname ingevoerd. Deze gegevens worden gebruikt voor latere facturatie, maar ook om bijvoorbeeld de afdeling patiëntenvoeding te informeren in verband met het aantal te bereiden maaltijden. OK behandelingen Het plannen en registreren van operatieve handelingen in het operatiecomplex. Hierbij worden naast veel administratieve gegevens zoals de datum, duur, operateurs en verrichtingen ook het medische, door de chirurg opgestelde operatieverslag vastgelegd. Registratie Diagnose Behandel Combinatie’s (DBC) Het proces van het in eerste instantie door de arts vastleggen van de zorgvraag, de diagnose en de behandeling van de patiënt. Deze in het administratieve systeem vastgelegde gegevens vormen de basis voor de latere facturatie van de kosten. Deze registratie staat los van de gegevens die de arts in de medische status / EPD invoert.
De medisch administratieve systemen worden in de meeste gevallen door (medisch) administratieve medewerkers gebruikt. Deze systemen worden voornamelijk in een administratieve setting uitgevoerd. Hierbij is een administratieve organisatie aanwezig met functiescheidingen en controles. 2.5.3
Medisch diagnostisch onderzoek Bij medisch diagnostisch onderzoek gaat het in hoofdlijnen over twee processen: het uitvoeren van laboratorium onderzoek en het uitvoeren van radiologisch (beeldvormend) onderzoek. Deze processen doorlopen de stappen van aanvraag, uitvoering onderzoek, verslaglegging, beoordeling / controle, autorisatie en rapportage van de uitkomsten. Voor het laboratoriumproces hieronder een uitgebreidere uitwerking. Laboratorium onderzoeksproces Aanvraag De behandelend arts dient een aanvraag in voor een onderzoek. Afnemen monster Er wordt materiaal (lichaamsvocht of weefsel) afgenomen van de patiënt. Uitvoeren onderzoek Het afgenomen materiaal wordt volgens de aanvraag onderzocht. Hiervoor heeft het laboratorium voor ieder type onderzoek protocollen (procedures) beschikbaar. Beoordeling (controle) In het laboratoriumproces worden op verschillende niveaus controles uitgevoerd. In de eerste plaats een technisch georiënteerde controle met behulp van controlemonsters en voortschrijdend patiëntengemiddelden. In de tweede plaats een klinisch georiënteerde controle, waarbij de analyseresultaten in hun onderlinge context beoordeeld worden.
Scriptie Integriteit Onderzoeksgegevens
12
Autorisatie Autoriseren voor de controlestap met o.a. een plausibiliteitscontrole, waarna toestemming wordt gegeven om het geconfirmeerde laboratoriumresultaat vrij te geven voor rapportage richting aanvragers. Registratie verrichtingen De medische verrichtingenregistratie voor de uitgevoerde laboratorium onderzoeken wordt bijgewerkt. Rapportage uitslag De uitslag wordt aan de aanvragende arts gerapporteerd. Dit kan schriftelijk maar ook electronisch, door het opnemen van de uitslagen in het EPD, plaatsvinden.
In het AMC zijn bijna alle laboratoria geaccrediteerd bij de Coördinatie Commissie ter bevordering van de Kwaliteitsbeheersing van het Laboratoriumonderzoek op het gebied van de Gezondheidszorg (CCKL). De CCKL heeft aan de basis van de ISO norm 15189 voor medische laboratoria gestaan.
2.6
Applicatielandschap Het centrale ziekenhuis informatie systeem (ZIS) in het AMC is oorspronkelijk in samenwerking met enkele ziekenhuizen ontwikkeld. Het is een wat ouder geïntegreerd platform waarop veel systemen van het AMC draaien. Inmiddels wordt er, vooruitlopend op de vervanging van grote delen van het ZIS, voor een aantal applicaties gebruik gemaakt van andere leveranciers. Het gaat in het kader van DIO om X/Care voor poliklinische afspraken, CS-OK voor operatie planning en registratie en Norma voor het EPD. Voor integratie wordt zoveel mogelijk gebruik gemaakt van een HL7 (Health Level 7) berichtenserver. HL7 is een internationale standaard voor berichtenuitwisseling in de zorg. Door het gesloten karakter van het ZIS platform is het voor externe applicaties niet mogelijk de gegevens van ZIS applicaties rechtstreeks te benaderen. Er wordt van Extractie Transformatie en Laden (ETL) software gebruik gemaakt om gegevens van het ZIS platform via een datawarehouse te ontsluiten.
2.7
Beschrijving DIO De DIO applicatie (Data Integratie ten behoeve van Onderzoek) is bedoeld als systeem voor ondersteuning van onderzoekers bij het proces van het verzamelen van gegevens uit AMC systemen t.b.v. medisch onderzoek. Het systeem is door IBM ontwikkeld in de Mayo Clinics in Amerika. Functioneel wordt het systeem beheerd door de DIO applicatiebeheerders. Deze waren tot eind 2008 ondergebracht onder het project DIO productvernieuwing, daarna is het DIO applicatiebeheer belegd bij de Clinical Research Unit (CRU). Het technisch beheer is verdeeld tussen de ADICT (servers en besturingssysteem) en de DIO applicatiebeheerders. Ontwikkeling van de software onderdelen van de DIO applicatie wordt uitgevoerd door IBM. Via een SQL query builder kunnen vragen worden gesteld waarbij gegevens in de onderliggende databases worden benaderd. De data integratie zorgt ervoor dat de gegevens in verschillende bronnen als een grote database te benaderen zijn. Voor de koppeling met gegevens in de verschillende systemen wordt een mapping gemaakt zodat DIO weet welke gegevens waar aanwezig zijn. De DIO applicatie filtert de patiëntnummers weg waardoor de gegevens uitsluitend anoniem en voor statistische doeleinden te gebruiken zijn. Indien voor onderzoek gegevens op patiëntniveau nodig zijn, worden deze gegevens op een andere wijze Scriptie Integriteit Onderzoeksgegevens
13
uit de databronnen opgehaald. De DIO query builder voorziet niet in deze functionaliteit. In principe benadert DIO rechtstreeks de gegevens van een gekoppelde applicatie. Om technische redenen zoals genoemd in paragraaf 2.6, worden de gegevens van een aantal applicaties via een datawarehouse benaderd.
Scriptie Integriteit Onderzoeksgegevens
14
3
Theorie en definities Om onderzoekers, zoals in de probleemstelling aangegeven, over integere gegevens te laten beschikken is het van belang eerst vast te stellen wat de integriteit van gegevens betekent voor een medische omgeving. Voor de gewenste verduidelijking zullen we het kwaliteitsaspect integriteit eerst uitwerken vanuit definities uit de literatuur. Vervolgens zullen we nagaan hoe binnen de relevante wetgeving op het medische gebied en zorg invulling wordt gegeven aan het aspect integriteit. Op basis van inzichten uit beide bronnen zullen wij voor dit scriptieonderzoek een werkdefinitie formuleren. Voor het waarborgen van het ter beschikking stellen van gegevens is het nodig dat gegevens behalve integer, ook qua vorm en inhoud eenduidig en gestructureerd zijn vastgelegd. In de paragraaf 3.2 gaan wij in op de aspecten die hier toe bijdragen.
3.1
Definitie van integriteit Het begrip 'integriteit' is afkomstig van het Latijnse woord “in-tangere” dat letterlijk niet aanraken betekent. In-tangere kan vertaald worden naar iets of iemand die onbesmet, onaangetast, ongekreukt of ongeschonden is. In de literatuur bestaan meerdere definities van integriteit. Hieronder volgen enkele van deze definities. Fijneman et.al.- “de juistheid en volledigheid van de gegevens die in het systeem zijn opgeslagen en door het systeem worden verwerkt en gecommuniceerd” [1]. Norea - “De mate waarin het object (gegevens en informatie- technische en processystemen) in overeenstemming is met de afgebeelde werkelijkheid” De aspecten die de Norea benoemt in het kader van integriteit zijn: juistheid, volledigheid, tijdigheid, nauwkeurigheid en waarborging” [2]. Overbeek en Spruit - “Integriteit is de mate waarin gegevens of functionaliteit juist ingevuld zijn” Vanuit het oogpunt van informatiebeveiliging geeft Overbeek aan dat hij onder integriteit de juistheid, volledigheid en tijdigheid van informatie verstaat [3]. Mollema - “Het correct weergeven van een vooraf gedefinieerd deel van de werkelijkheid”. Aspecten van correctheid zijn compleetheid, nauwkeurigheid en actueel [4]. Mollema benadrukt dat er pas invulling kan worden gegeven aan gegevensintegriteit als er een proces is ingericht om gegevens in overeenstemming te houden met de werkelijkheid. Om dit proces te kunnen controleren is een stelsel van autorisaties vereist. Hiermee kan worden gezorgd dat autorisaties volgens een vastgestelde procedure aan juiste functionarissen worden toegekend. Bij eventuele ongewenste gebeurtenissen kan dan worden vastgesteld welke functionaris, in het kader van integriteit, verantwoordelijk is voor bijvoorbeeld toevoegen, veranderen of verwijderen van specifieke gegevens. Op het gebied van de zorg en het medisch wetenschappelijk onderzoek in ziekenhuizen is een scala aan wettelijke regelgeving en een veelvoud aan richtlijnen van toepassing. In ons onderzoek hebben we de volgende wet en regelgeving onderzocht op het kwaliteitsaspect integriteit:
Scriptie Integriteit Onderzoeksgegevens
15
Wet Geneeskundige Behandelings Overeenkomst (WGBO); Kwaliteitswet Zorginstellingen (KZ); Wet Medisch-wetenschappelijk Onderzoek met mensen (WMO); NEN 7510 Medische informatica - Informatiebeveiliging in de zorg; CCKL praktijkrichtlijn voor laboratoria (op basis van de norm ISO 15189).
WGBO WGBO heeft betrekking op een aantal artikelen uit het Burgerlijk Wetboek Boek 7, Bijzondere overeenkomsten. Zoals zoveel benoemde overeenkomsten in het burgerlijk wetboek, bijvoorbeeld de arbeidsovereenkomst of de huurovereenkomst, regelt de geneeskundige behandelingsovereenkomst daarbij uitdrukkelijk de rechten van de zwakkere partij, de patiënt. De WGBO behandelt een aantal relevante zaken over dossiervorming maar geeft hierbij geen specifieke invulling aan het kwaliteitsaspect integriteit. Door het ontbreken hiervan is het voor de zorg legitiem om gegevens in vrije tekst vast te leggen. Ook de Inspectie voor de gezondheidszorg [5] heeft in haar onderzoek onder andere onderkend dat standaardisatie van de informatievoorziening in zijn geheel ontbreekt en dat de noodzakelijke gegevens niet eenduidig en makkelijk toegankelijk in een dossier worden vastgelegd. Kwaliteitswet zorginstellingen De Kwaliteitswet stelt globale eisen ten aanzien van de zorg en laat de invulling daarvan over aan de zorginstelling zelf. In de Kwaliteitswet staat dat een zorginstelling de kwaliteit van zorg systematisch moet bewaken, beheersen en zo mogelijk verbeteren. Om dit te realiseren dient de zorgaanbieder gegevens, betreffende de kwaliteit van de zorg, op systematische wijze te verzamelen en te registreren. Dat kan worden gerealiseerd door een kwaliteitssysteem te ontwikkelen. Aan de term integriteit wordt in de kwaliteitswet als zodanig geen concrete invulling gegeven. WMO WMO is in 1998 ingesteld om proefpersonen bij medisch-wetenschappelijk onderzoek te beschermen. Door de WMO wordt onder andere aangegeven welke maatregelen genomen dienen te worden om de integriteit van de onderzoeksgegevens te waarborgen. Hierbij worden specifieke eisen aan de volgende aspecten gesteld: juistheid, volledigheid, accuraatheid, betrouwbaarheid en validatie van de elektronische dataverwerking. Om dit te realiseren worden in de WMO een aantal maatregelen benoemd. De WMO geeft aan welke integriteitaspecten binnen het medisch wetenschappelijk onderzoeksdomein van toepassing zijn. Het zorgdomein valt niet onder de regelgeving van de WMO, maar bij het hergebruiken van gegevens uit het zorgdomein (de patiëntenzorg) voor medisch wetenschappelijk onderzoek komen de gegevens wel onder het regime van de WMO. NEN 7510 Medische informatica De NEN 7510 richtlijn geeft uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie in de gezondheidszorg moet treffen ter beveiliging van de informatievoorziening. De NEN 7510 is gebaseerd op de NENISO/IEC 17799 en komt ook in structuur overeen met de Code voor Informatiebeveiliging. De Inspectie voor de Gezondheidszorg wil het voldoen aan de NEN 7510 voor zorginstellingen verplicht gaan stellen [6]. De NEN 7510 integriteit definitie luidt: “het waarborgen dat gegevens niet ongecontroleerd worden gewijzigd of verloren gaan”
Scriptie Integriteit Onderzoeksgegevens
16
Met name artikel 12 geeft richtlijnen met betrekking tot de validatie van gegevensinvoer, de interne gegevensverwerking en de gegevensuitvoer. Bij invoer moeten gegevens voor zover mogelijk worden gecontroleerd op juistheid, volledigheid en actualiteit. De NEN 7510 geeft hierbij, ten opzichte van de wetgeving, concreter de eisen aan waaraan een vastlegging in een geautomatiseerd systeem moet voldoen. CCKL praktijkrichtlijn De CCKL praktijkrichtlijn is opgesteld door de stichting CCKL (Coördinatie Commissie ter bevordering van de Kwaliteitsbeheersing op het gebied van Laboratoriumonderzoek in de Gezondheidszorg) aan de hand van de internationale laboratoriumnorm ISO 15189[7]. De ISO 15189 geeft geen definitie van integriteit maar geeft richtlijnen waaraan een laboratorium moet voldoen om de betrouwbaarheid, integriteit en kwaliteit van laboratoriumonderzoeken te waarborgen. In het AMC zijn de meeste laboratoria CCKL geaccrediteerd. Concluderend kan gesteld worden dat uit de literatuur geen eenduidige definitie voor de term integriteit beschikbaar is. Ook de wetgeving rondom ziekenhuizen en onderzoek geeft geen specifieke invulling aan het aspect integriteit. Wel wordt duidelijk dat de algemene aanwijzingen volgens de WGBO vanuit meerdere kanten worden aangescherpt. De Inspectie voor de Gezondheidszorg die eisen gaat stellen over standaardisatie van dossiervoering om de veiligheid en kwaliteit bij samenwerking en overdrachten te waarborgen. De NEN 7510 die vanuit informatiebeveiliging concretere eisen stelt aan de vastlegging en verwerking van gegevens. Wij hanteren voor ons onderzoek de volgende werkdefinitie voor integriteit van gegevens. De mate waarin gegevens in overeenstemming zijn met de afgebeelde werkelijkheid. Hierbij hanteren we de volgende kwaliteitsaspecten:
3.2
Juistheid - de mate waarin de invoer conform de specificaties wordt verwerkt tot correcte uitvoer, die tevens in overeenstemming met de werkelijkheid is.
Volledigheid weinig).
Tijdigheid - de mate waarin gegevens op tijd beschikbaar (up-to-date) zijn voor het uitvoeren van de taak.
Waarborging - er dienen hierbij waarborgen te worden verkregen door inrichting van beheersingsprocessen in de verschillende fasen van de processen: de input (gebruikersomgeving), de verwerking (applicatieomgeving) en de output (de koppelingen met de onderzoeksomgeving).
–
mate waarin alle gegevens aanwezig zijn (niet te veel en niet te
Structuur van gegevens Naast het feit dat de gegevens integer dienen te zijn, is het voor gebruik van gegevens uit de zorg voor medisch wetenschappelijk onderzoek noodzakelijk dat de gegevens gestructureerd en in juiste context vastgelegd worden. Met name het invoeren van zorggegevens in vrije tekst bemoeilijkt het gebruik van deze gegevens voor medisch wetenschappelijk onderzoek. In het kader van gegevensuitwisseling in de zorg (EN13606 norm [8]) worden hierover aanbevelingen gedaan en standaarden voorgesteld. Belangrijke aspecten die hierbij van toepassing zijn, zijn:
Scriptie Integriteit Onderzoeksgegevens
17
Betekenis (semantiek) - de medisch inhoudelijke betekenis van gegevens dient eenduidig te zijn. Hiervoor is het nodig zo veel mogelijk aan te sluiten bij nationaleen internationale coderingen als de International statistical Classification of Diseases and related health problems code revision 9 (ICD9) en de Systematized Nomenclature of Medicine - Clinical Terms (SNOMED-CT). Structuur - de structuur geeft de samenhang met andere gegevenselementen aan om de betekenis van een gegeven eenduidig te maken (context, referentie). Om deze eenduidigheid te realiseren moeten aanvullende gegevens, zogenaamde metadata, worden vastgelegd. Hiervoor moeten nationaal en internationaal afspraken worden gemaakt over de structuur en representatie van medische concepten (zogenaamde archetypes). In samenwerking met classificatie- en coderingstandaarden wordt de betekenis van deze medische concepten vastgelegd. Vorm (syntax) - de syntax definieert de wijze waarop gegevens worden opgeslagen en worden overgedragen. Vaste afspraken over de standaardisatie van opslag en uitwisseling van gegevens maken betrouwbare en efficiënte uitwisseling van data uit de zorg voor onderzoek mogelijk. Het is ons bij de uitwerking van het kwaliteitsaspect integriteit opgevallen dat door de door ons bestudeerde auteurs geen aandacht wordt gegeven aan het aspect gestructureerdheid van gegevens. Dit terwijl gestructureerdheid naar onze mening een belangrijk aspect van integriteit zou moeten zijn.
Scriptie Integriteit Onderzoeksgegevens
18
4 4.1
Risico analyse Inleiding In dit hoofdstuk benoemen we de potentiële risico’s ten aanzien van het gebruik van gegevens uit de medische zorg voor medisch wetenschappelijk onderzoek. Tenslotte zullen we in paragraaf 4.5 antwoord geven op de eerste deelvraag. We werken de risico’s in de volgende paragrafen als volgt uit:
4.2
De input, de gebruikersomgeving waar de gegevens worden bepaald, verzameld en ingevoerd. Hierbij volgen we de drie hoofdgroepen van processen waarbij deze vastleggingen plaatsvinden zoals in hoofdstuk 3 beschreven. 1. Medische zorg processen; 2. Medisch administratieve processen; 3. Medisch diagnostische onderzoeksprocessen.
De verwerking, de applicatieomgeving waarin de gegevens worden ontvangen, verwerkt en opgeslagen;
De output, de koppeling/mapping omgeving waarin de gegevens vanuit de applicaties voor de medische onderzoeksapplicatie DIO beschikbaar worden gemaakt. Hierbij zijn twee mogelijkheden: 1. Direct van de applicatie naar DIO; 2. Via de tussenstap van een datawarehouse.
Input - Risico’s in de gebruikersomgeving De gebruikersomgeving betreft de aspecten van de organisatiestructuur en de inrichting van de werkprocessen. Zaken die voor integriteit van de gegevens van belang zijn betreffen onder andere: procedures, protocollen, standaard formulieren, opleiding van personeel, functiescheidingen en preventieve- en repressieve controles. In een ideale situatie is de gebruikersorganisatie zodanig ingericht dat de kans op fouten bij de invoer geminimaliseerd wordt. Binnen de verschillende hoofdgroepen van processen zijn grote verschillen in de risico’s voor de integriteit van gegevens.
4.2.1
Medische zorg processen Medische zorgprocessen worden uitgevoerd in een heterogene gebruikersomgeving waar professionals van verschillende disciplines (zoals artsen, verpleegkundigen en administratieve medewerkers) samenwerken. Daarnaast betreft het een dynamische omgeving (poliklinieken, klinieken, spoedeisende hulp) waar niet altijd de tijd is registraties direct uit te voeren. Tenslotte is in de gebruikersomgeving niet altijd een computer aanwezig om vastleggingen te maken waardoor op een aantal plaatsen vastleggingen eerst op papier worden gedaan om later in applicaties te worden overgenomen. Deze feiten maken het niet eenvoudig de integriteit van de gegevens, die tijdens de uitvoering van deze processen worden vastgelegd, te borgen. In de verschillende fasen van het proces zijn de volgende risico’s aanwezig.
Verwijzing - de gegevens van de verwijzer (meestal huisarts) worden niet of niet gestructureerd vastgelegd.
Consult en anamnese - hierbij worden gegevens onvoldoende gestructureerd (vooral in vrije tekst) vastgelegd. Het gebruik van de juiste medische codering
Scriptie Integriteit Onderzoeksgegevens
19
voor eerdere diagnosen en behandelingen is belangrijk. Het risico bestaat dat er onjuiste diagnose codes worden ingevoerd. Door het ontbreken van landelijke electronische uitwisseling van zorggegevens is er een risico dat in een gesprek met de patiënt niet alle relevante informatie en zelfs onjuiste informatie in het medisch dossier wordt vastgelegd.
Onderzoek - het gaat hierbij om het vastleggen van de gegevens van het eventueel door de arts zelf uitgevoerde lichamelijk onderzoek. Het belangrijkste risico is hier dat gegevens niet gestructureerd worden vastgelegd. Hierbij speelt de context waarbinnen het onderzoek wordt uitgevoerd en vastgelegd een grote rol. Voor aanvragen van diagnostisch- en beeldvormend onderzoek liggen de risico’s voor het grootste deel bij de uitvoerders van deze onderzoeken. Belangrijkste risico in het zorgproces is het onjuist afnemen of labelen van lichaamsmateriaal waardoor het latere onderzoek verstoord wordt.
Diagnose en behandeling - bij deze deelprocessen is het onjuist coderen en onvoldoende gestructureerd vastleggen van diagnose- en behandelingsinformatie een risico.
Verpleging/verzorging en nazorg - het ongestructureerd en niet in context vastleggen van de gegevens is een belangrijk risico voor de integriteit van gegevens. In veel situaties worden hierbij papieren vastleggingen gebruikt.
Vastleggingen in de medische status / EPD vinden vrijwel altijd plaats door de behandelend arts, in de huidige inrichting van deze processen en huidige cultuur in de organisatie zijn hierop weinig controlemaatregelen ingericht. De verwerking van de meer administratieve gegevens, zoals uitgevoerde verrichtingen en voorgeschreven medicatie, worden meestal door de behandelend arts in een aparte (administratieve) applicatie ingevoerd of op een (meerkeuze) formulier vastgelegd. Op de invoer van deze meer administratieve gegevens zijn meer controles aanwezig. Administratieve medewerkers die de gegevens van de (meerkeuze) formulieren vastleggen krijgen hiervan periodiek verwerkingsverslagen. Bij deze invoer zijn risico’s op tijdigheid en juistheid (niet goed overnemen van de gegevens) aanwezig. 4.2.2
Medisch administratieve processen Medisch administratieve processen betreffen werkzaamheden rondom het vastleggen van niet direct voor de medische zorg noodzakelijke gegevens. De setting hiervan is in bijna alle gevallen een gebruikersomgeving waarbij een administratieve organisatie aanwezig is. Functiescheidingen, procedures en controles zijn ingericht. Algemeen is er het risico dat de invoer van gegevens onvoldoende wordt teruggekoppeld naar de invoerder en of arts en dat onvoldoende aandacht wordt besteed aan het tijdig afhandelen van fouten. Ook is het een risico dat fouten alleen in de administratieve systemen worden gecorrigeerd maar niet in het bijbehorende medisch dossier / EPD. In de verschillende processen zijn de volgende risico’s aanwezig.
Voorschrijven medicatie - Het proces van het voorschrijven van medicatie door de arts vindt plaats door middel van een aanvraag applicatie of een papieren recept. Bij de aanvraag middels een recept is er een risico op het niet juist overnemen van de gegevens in de administratie van de apotheek. In de aanvraag applicatie en bij de verwerking in de apotheek vinden controles plaats.
Scriptie Integriteit Onderzoeksgegevens
20
4.2.3
Poliklinische afspraken - Het administratieve proces op de polikliniek wordt door een agendasysteem ondersteund. Doordat door alle betrokkenen met deze applicatie gewerkt wordt, worden fouten gesignaleerd en gecorrigeerd. In de tijdigheid van het administratief afhandelen van de spreekuren en in de juistheid en volledigheid van de registratie van specifieke (tijdens de spreekuren uitgevoerde) verrichtingcodes zit risico.
Klinische opnamen - De klinische opnamen worden door een centraal administratief punt (het opname bureau) uitgevoerd. Doordat veel zorgverleners en facilitaire diensten van deze gegevens gebruik maken is de kans op niet ontdekte en niet gecorrigeerde fouten in deze registratie klein.
OK behandelingen - Het OK systeem is een combinatie van een plannings- en registratie pakket. Doordat alle OK zaken via de applicatie lopen is de kans op niet gecorrigeerde fouten in de basisgegevens klein. Risico is het coderen en invoeren van de administratieve gegevens vanuit het operatieverslag zoals de specifieke uitgevoerde medische verrichtingen.
Registratie DBC’s - De gegevens voor de Diagnose Behandel Combinatie (DBC) registratie worden voor het grootste deel door de behandelend arts ingevoerd. Deze registratie is noodzakelijk voor de latere facturatie van de medische zorg. Deze registratie staat los van de registratie in de medische status. Het is daarmee een dubbele registratie met het risico dat de gegevens inconsistent zijn. Daarnaast bestaat het risico op tijdigheid en juistheid van het coderen van diagnose- en behandelgegevens. Het signaleren van fouten is moeilijk omdat de medische registratie in het EPD (zoals behandeld in de paragraaf 2.5.1 zorgprocessen) niet altijd voldoende gestructureerd plaatsvindt. Geautomatiseerde controles op een consistente invoer zijn daarom niet eenvoudig mogelijk.
Medisch diagnostisch onderzoek De diagnostische- en beeldvormende onderzoeksprocessen doorlopen de volgende globale stappen: Aanvraag Afnemen monster (niet bij beeldvormend onderzoek) Uitvoeren onderzoek Beoordeling (controle) Autorisatie uitkomsten Registratie verrichtingen Rapportage uitslag Risico’s Laboratoria Belangrijke risico’s zijn fouten bij het afnemen van het monster (het verkeerde patiëntnummer koppelen aan een monster of het niet juist afnemen van het monster). Daarnaast zijn er integriteitrisico’s bij de controle en autorisatie van de uitkomsten en het niet juist registreren van de uitkomsten van het onderzoek. Risico’s Beeldvormend onderzoek Voor beeldvormend onderzoek worden de medische verrichtingcodes van de uitgevoerde scans aan de onderzoeksapplicatie DIO doorgegeven en niet de uitslagen en verslagen zelf. Hierdoor is het belangrijkste integriteitrisico het niet juist coderen/registreren van de uitgevoerde onderzoeken.
Scriptie Integriteit Onderzoeksgegevens
21
4.3
Verwerking - Risico’s in de applicatieomgeving In deze paragraaf worden de risico’s tijdens de verwerking behandeld met betrekking tot de applicatie controles. De verschillende processen worden ondersteund door applicaties die bepaalde taken uitvoeren. Applicaties worden door de IT organisatie (applicatiebeheerders) ingericht en onderhouden. Om de integriteit van in de applicatie vastgelegde gegevens te waarborgen, is het belangrijk dat er in de applicatie voldoende controles worden ingericht. Risico’s in deze omgeving: De verwerkingsverslagen van de applicatie worden onvoldoende gecontroleerd door applicatiebeheer waardoor het risico op onjuiste en/of onvolledige verwerking bestaat; Gegevens worden onjuist verwerkt door fouten in de applicatie; Hulp- en stamtabellen bevatten onjuistheden, zijn niet actueel of onvolledig doordat deze niet c.q. verkeerd worden onderhouden; De applicatie en de beheersprocessen zijn niet voldoende gedocumenteerd; Verantwoordelijkheden en eigenaarschap van de applicatie zijn niet goed belegd. Medische zorgprocessen De medische processen worden ondersteund door de EPD applicatie Norma. Deze applicatie biedt de functionaliteit van een electronisch patiëntendossier. De applicatie Norma sluit aan op het medisch proces en is voornamelijk gericht op dossiervorming. Als gevolg hiervan worden gegevens in de applicatie voornamelijk ongestructureerd en in vrije tekst vastgelegd. Dit maakt het moeilijk de invoer te controleren door middel van applicatie controles. De opslag van gegevens in ongestructureerde vorm verhindert het geautomatiseerd gebruiken van deze gegevens voor medisch wetenschappelijk onderzoek.
4.4
Output - Risico’s koppeling onderzoeksapplicatie DIO Het gaat hier om de risico’s in koppelingen van de medische onderzoeksapplicatie DIO waarbij de gegevensoverdracht niet juist of onvolledig plaatsvindt. In het kader van dit onderzoek gaat het om twee soorten van koppelingen: Koppelingen via een datawarehouse (via ETL processen gevuld); Koppelingen rechtstreeks met de database van de applicatie. De onderkende risico’s zijn de volgende: Eenduidige betekenis Belangrijk is dat van de gegevens in de bronsystemen de eenduidige betekenis bekend is. Daarnaast is ook de context van de gegevens van belang. Deze context speelt bijvoorbeeld bij laboratoriumuitslagen waarbij de referentiewaarde door de tijd heen kan wijzigen. Het aanvullend vastleggen in de metadata van de bij de uitslag behorende referentiewaarde is noodzakelijk om de gegevens later voor medisch onderzoek te kunnen gebruiken. De risico’s die hierbij kunnen spelen zijn:
De betekenis/context van gegevens is niet eenduidig; De betekenis/context van een gegeven wordt verkeerd geïnterpreteerd; Gegevens items worden door gebruikers anders gebruikt dan in data dictionary beschreven.
Datawarehouse Dagelijks worden gegevens vanuit bronsystemen middels een ETL proces overgehaald naar het datawarehouse. Hierbij is het belangrijk dat de beheerders van de datawarehouse het dagelijks bijwerken van de gegevens controleren. Er is Scriptie Integriteit Onderzoeksgegevens
22
sprake van het risico dat de gegevens in de tabellen van het datawarehouse niet gelijk zijn aan de gegevens in het bronsysteem (juistheid, volledigheid en tijdigheid). Koppeling/mapping De onderzoeksapplicatie DIO maakt gebruik van koppelingen met bronapplicaties en het datawarehouse om toegang te krijgen tot gegevens. Er is sprake van beheersrisico’s door de complexiteit en veelheid van de koppelingen. Andere risico’s zijn het onvoldoende borgen van het onderhoud van de koppelingsdefinities en het niet meenemen van de koppelingen naar DIO in het wijzigingsbeheer van de bronapplicaties. Beide risico’s hebben invloed op de integriteit van de gegevens in de onderzoeksapplicatie DIO.
4.5
Conclusie Als we antwoordt geven op de eerste deelvraag: welke risico’s zijn verbonden aan het gebruik van in de patiëntenzorg vastgelegde gegevens in geautomatiseerde informatiesystemen ten behoeve van medisch wetenschappelijk onderzoek, dan vatten wij vanuit de risicoanalyse de volgende oorzaken samen voor risico’s op de integriteit van gegevens:
De aard/dynamiek van zorgprocessen waar gegevens vaak eerst handmatig op papier worden vastgelegd en/of de invoer in het geval van spoed wordt uitgesteld; Coderingsfouten (met name de diagnose- en behandelingscodes); Onvoldoende controle in de gebruikersomgeving van de zorgprocessen; Onvoldoende geprogrammeerde controles in de applicaties die de zorgprocessen ondersteunen; Onvoldoende controles op het datawarehouse en de ETL processen waardoor de gegevens in het datawarehouse afwijken van de werkelijk in de bronapplicaties vastgelegde gegevens; De zorggegevens kunnen niet voor medisch wetenschappelijk onderzoek worden gebruikt doordat gegevens onvoldoende gestructureerd worden vastgelegd; Gegevens voor medisch wetenschappelijk onderzoek worden onjuist geïnterpreteerd doordat de betekenis van de gegevens niet voldoende eenduidig is; Onvoldoende ingerichte controles en wijzigingsbeheer op de koppelingen van de onderzoeksapplicatie DIO.
De in dit hoofdstuk uitgewerkte potentiële risico’s voor integriteit van gegevens kunnen in het uiterste geval ernstige gevolgen voor patiënten en/of het academisch ziekenhuis hebben. We onderkennen de volgende gevolgen: Overlijden, blijvende lichamelijke invaliditeit, (on)herstelbare lichamelijke schade bij patiënten door gebruik van onjuiste informatie; Reputatieschade bij optreden van bovengenoemde ernstige risico’s; Reputatieschade door het presenteren van onjuiste onderzoeksresultaten; Financiële schade door onjuiste statistische en/of verantwoordingsinformatie waardoor verkeerde (management) beslissingen worden genomen. Om aan te geven dat het overlijden van een patiënt een reeël gevolg is als de integriteit van gegevens voor medisch wetenschappelijk onderzoek niet is geborgd wordt goed geïllustreerd door de probioticastudie uit Utrecht (mei 2008). Hierbij zijn 24 mensen aan een acute alvleesklierontsteking overleden. Ondanks het feit dat protocol- en statistische fouten de belangrijkste oorzaken lijken te zijn, toont deze casus aan dat integere gegevens van levensgroot belang zijn bij de uitvoering van medisch wetenschappelijk onderzoek.
Scriptie Integriteit Onderzoeksgegevens
23
5 5.1
Beheersingsmaatregelen Inleiding In dit hoofdstuk gaan we antwoordt geven op de tweede deelvraag. Om deze vraag te beantwoorden geven we eerst de inzichten die er zijn vanuit de literatuur. Daarna behandelen we de maatregelen vanuit ons onderzoek.
5.2
Inzichten uit de literatuur Bij het bestuderen van literatuur over medisch onderzoek en integriteit van vastleggingen van medische gegevens zijn een aantal zaken voor dit scriptieonderzoek relevant en interessant om te vermelden. Uit onderzoek [9] naar de wijze waarop in de patiëntenzorg gewerkt wordt, blijkt dat de context waarbinnen gegevens worden vastgelegd van grote invloed is op de integriteit van deze gegevens. Als voorbeeld wordt een verkoeverkamer genoemd waar patiënten na operaties tijdelijk verblijven. Bij patiënten die snel en goed opknappen wordt wel ieder uur de bloeddruk opgenomen, maar in het electronisch patiëntendossier worden alleen uitzonderingen vastgelegd. De vastlegging is daarmee niet volledig maar voor het gebruik op de verkoeverkamer voldoende. De oorzaak is dat medewerkers efficiënt met hun tijd moeten omgaan en alleen de voor hun context noodzakelijke gegevens vastleggen. Om deze gegevens later buiten de vastleggingscontext (bijvoorbeeld onderzoek) te kunnen gebruiken zijn, indien dit nog mogelijk is, aanvullende werkzaamheden nodig om te zorgen dat deze gegevens over een voldoende mate van integriteit beschikken. Het dilemma is dat deze aanvullende werkzaamheden voor de afdeling waar de vastlegging plaatsvindt geen directe meerwaarde opleveren. De beperkte middelen worden zoveel mogelijk op de directe zorg ingezet. Extra medewerkers of medewerkers van andere afdelingen zullen moeten worden ingezet om deze aanvullende werkzaamheden uit te voeren. Om voor het AMC deze ‘vicieuze cirkel’ te doorbreken en gegevens uit de zorg efficiënt te kunnen gebruiken voor medisch onderzoek en daarmee de kwaliteit van de zorg te verbeteren, is niet eenvoudig. Met betrekking tot de risico’s voor integriteit bij de invoer van medische gegevens is veel literatuur geschreven. Auteurs noemen veel zaken die kunnen helpen deze risico’s te verminderen. Het betrekken van patiënten bij de invoer en controle [10], het door twee medewerkers onafhankelijk van elkaar laten invoeren van gegevens [11] en het verbeteren van de gebruikersinterface van de applicatie [12,13] zijn de voor dit scriptieonderzoek relevante punten. Veel van de literatuur noemt het opzetten van een vorm van een kwaliteitssysteem (quality assurance en quality control) als belangrijke maatregel de integriteit van vastleggingen van medische gegevens te verbeteren [14,15,16]. Hierbij worden de maatregelen in drie fasen ingedeeld: Preventieve maatregelen als duidelijke procedures (protocollen) om onder andere coderingsproblemen bij medische diagnoses te voorkomen [17,18]. Het inrichten van voldoende invoercontroles in de applicatie om juiste en volledige invoer te verkrijgen [19,20]; Het inrichten van detective maatregelen om fouten en problemen na invoer te signaleren. Hierbij worden centraal uit te voeren verbandscontroles en statistische analyses op de medische gegevens als voorbeelden genoemd [21,22]; Tenslotte acties om correcties uit te laten voeren op geconstateerde fouten, het bijscholen van medewerkers en het rapporteren van de problemen die samenhangen met de vastlegging van de medische gegevens aan betrokkenen.
Scriptie Integriteit Onderzoeksgegevens
24
Sommige auteurs denken dat extra medewerkers nodig zijn om de detective controles goed uit te kunnen voeren [23]. Enkele auteurs menen dat niet de invoer zelf maar het niet systematisch uitvragen en interpreteren van gegevens voor invoer door de arts een belangrijker oorzaak voor problemen met de integriteit van medische gegevens zijn [24]. In de medische informatica wordt veel onderzoek gedaan naar het omzetten van electronische vastgelegde notities over patiënten in gestructureerde informatie. Hierbij wordt de informatie doorzocht en voorzien van Extensible Markup Language (XML) metadata. Deze zgn. “Natural Language Processing” (NLP) [25] technologie is volop in ontwikkeling. De vraag is of de controle- en autorisatieslag die nodig is om de op deze wijze gestructureerde informatie te genereren minder tijd kost dan het direct gestructureerd invoeren van deze informatie. Een ander onderzoek [26] heeft een combinatie onderzocht (“structured narrative”) waarbij tijdens het invoeren van vrije tekst door de arts deze gegevens door middel van NLP direct electronisch geinterpreteerd worden en de gestructureerde en gecodeerde uitkomst op een ander deel van het beeldscherm getoond worden. De arts kan deze electronische interpretatie in meer gestructureerde vorm dan direct, of na aanpassingen autoriseren. Het electronische formulier is om deze NLP interpretatie wat te vereenvoudigen wel in meerdere vrije tekstvelden ingedeeld. Hiermee is het onderwerp en de context van het vrije tekst veld vooraf al bepaald. Deze “structured narravive” methode is een combinatie van vrije tekst en coderingen. Door het begeleiden van de arts met sjablonen, waarbinnen in vrije tekst gewerkt kan worden en waarbij toch direct gecodeerde informatie wordt vastgelegd, is het mogelijk op efficiente wijze gestructureerde informatie uit het zorgproces te verkrijgen. De vraag is wel hoeveel tijd nodig is deze technologie voor de zorgpraktijk geschikt te maken en te integreren in EPD software. Maar op de langere termijn lijkt het een veelbelovende methode om de integriteit van zorggegevens structureel te verbeteren. In een onderzoek [27] naar de betrouwbaarheid en verschillen tussen de in de medische status vastgelegde gegevens en die in medisch administratieve gegevens, is een vergelijking gemaakt voor diabetes patiënten met hoge bloeddruk. Vergeleken zijn de gegevens over voorgeschreven medicatie in de medische status met die van het apotheek voorschrijfsysteem. Om beide bronnen te kunnen valideren zijn de gegevens over de bloeddrukmetingen uit de medische status met het medicijngebruik gecorreleerd. Uit dit onderzoek bleek dat in 30% van de gevallen de gegevens overeen kwamen. De conclusie van dit onderzoek naar de betrouwbaarheid van medische gegevens was dat beide bronnen elkaar aanvullen. Er is een spanning tussen de belangen van de farmaceutische industrie en de medische onderzoekers bij het testen van nieuwe medicijnen en behandelwijzen. Bij het bestuderen van de literatuur valt op dat veel van de wetgeving rondom medisch onderzoek tot stand is gekomen na een aantal zaken eind jaren 80 in de Verenigde Staten waarbij met vastleggingen en uitkomsten van medisch onderzoek is gefraudeerd [28,29]. Naar aanleiding van hoorzittingen in het Congres is destijds een reeks van maatregelen en normen tot stand gekomen om dergelijke medische onderzoekspraktijken te voorkomen. Het spanningsveld tussen de farmaceutische industrie en medisch onderzoek is nog altijd een belangrijk punt van aandacht. Het is daarom belangrijk dat het AMC een eigen ethische researchcode heeft opgesteld om de onafhankelijkheid en integriteit van het medisch onderzoek te borgen.
Scriptie Integriteit Onderzoeksgegevens
25
5.3
Inzichten vanuit het onderzoek Wij hebben op basis van regelgeving en een set van te verwachten beheersingsmaatregelen opgesteld die de integriteit van gegevens dient te waarborgen. Om deze maatregelen in samenhang te beoordelen hebben wij gebruik gemaakt van het audit framework van W.N.B. Tewarie. Omdat dit audit framework nog niet gepubliceerd is hebben wij in bijlage 2 een korte toelichting op dit framework opgenomen. In het kader van ons scriptieonderzoek zijn 14 applicaties, die op dit moment gekoppeld zijn aan het onderzoekssysteem DIO onderzocht. De 11 applicatiebeheerders hebben wij, op basis van het normenkader, een vragenlijst (zie bijlage 1) met ruim 100 vragen gestuurd met het verzoek deze ingevuld terug te sturen. In de vragenlijst ten behoeve van de beheerders hebben wij de gebruikersomgeving meegenomen om te kijken in hoeverre de beheerders van deze omgeving op de hoogte zijn. Op één na hebben wij alle vragenlijsten ingevuld retour ontvangen. Om een beeld te krijgen van de gebruikersorganisatie zijn 5 verkorte vragenlijsten naar gebruikers van de verschillende applicaties gestuurd. Wij hebben daarnaast een aantal interviews gehouden met medewerkers uit AMC: Applicatiebeheerder EPD (Norma); Applicatiebeheerder DIO; Architect ICT; Datamanager ICT; Hoogleraar van de Clinical Research Unit van het AMC; Kwaliteitsmedewerker/onderzoeker van het laboratorium. Om de uitkomsten van de selfassessments te verifiëren hebben wij, middels interviews en eigen waarneming van de functionaliteit van enkele applicaties, aanvullende zekerheid over de uitkomsten verkregen. Met betrekking tot de algemene beheersingsmaatregelen in de ICT omgeving (‘general controls’) is mede gesteund op rapporten van de afdeling Concern AO/IC van het AMC en Ernst & Young over dit onderwerp. In de volgende paragrafen zullen we de belangrijkste bevindingen benoemen uit ons onderzoek. Het doel hiervan is tweeledig: enerzijds om vast te stellen welke beheersingsmaatregelen in het AMC zijn ingericht en anderzijds om te kijken of er voor het borgen van de integriteit van gegevens uit de zorgprocessen, voor gebruik bij medisch wetenschappelijk onderzoek, extra beheersingsmaatregelen nodig zijn.
5.4
Input - Maatregelen in de gebruikersomgeving In de gebruikersomgeving liggen de meeste risico’s op de integriteit van de gegevens. Hieronder behandelen we de belangrijkste maatregelen die genomen kunnen worden om deze risico’s te verminderen.
5.4.1
Medische zorg processen Zoals uit de risicoanalyse blijkt zitten er veel integriteitsrisico’s op het gebruik van zorggegevens voor medisch wetenschappelijk onderzoek in de gebruikersomgeving van de medische zorgprocessen. Hierbij dient te worden opgemerkt dat de gebruikersomgeving van de medische zorgprocessen niet eenvoudig te veranderen is. Vooral om culturele en organisatorische redenen is het moeilijk werkwijzen aan te passen, processen anders in te richten en meer controles in te voeren. Daarbij is de patiëntenzorg is een dynamische omgeving waarbij niet op alle werkplekken, zoals ziekenhuiszalen, de middelen aanwezig zijn om gegevens direct Scriptie Integriteit Onderzoeksgegevens
26
electronisch in te voeren en waar door de werkdruk niet altijd voldoende tijd aanwezig is gegevens integer in te voeren. Zoals in dit hoofdstuk zal worden uitgewerkt speelt hier een aantal zaken die niet zonder wijzigingen in de organisatie van de gebruikersomgeving of extra kosten kan worden opgelost. Ondanks het feit dat het AMC een academisch ziekenhuis is wordt niet op alle afdelingen voldoende het belang gezien extra handelingen uit te voeren om de integriteit van de ingevoerde gegevens te verbeteren en het gebruik voor medisch wetenschappelijk onderzoek mogelijk te maken. Beschreven procedures Hoewel in de meeste gevallen procesbeschrijvingen met onderliggende procedures aanwezig zijn, hebben we geconstateerd dat in sommige gevallen werkinstructies voor het vastleggen van gegevens ontbreken, gebruikers niet op de hoogte zijn van de werkinstructies of dat niet conform de werkinstructies wordt gewerkt. Om de integriteit van de in de gebruikersomgeving ingevoerde gegevens te verbeteren is het goed beschrijven van de procedures en het goed opleiden van het personeel, in onder andere het gebruik van de applicatie, de administratieve processen en het gebruik van codelijsten, van groot belang. Het management van de verschillende afdelingen zou het opstellen, gebruik en onderhoud van deze procedures actiever kunnen steunen. Controlemaatregelen Op weinig afdelingen zijn controlemaatregelen ingericht. Bij afdelingen waar wel controlemaatregelen zijn ingericht worden deze niet altijd uitgevoerd. Het afhandelen van controleverslagen van de invoer gaat moeizaam. Zoals al aangegeven zijn wijzigingen in de organisatie en cultuur nodig om de integriteit van de gegevens te verbeteren. Een aantal concrete mogelijkheden zouden kunnen zijn:
Betere en duidelijkere controleverslagen; Andere groepen zorgverleners zoals de verpleging, co-assistenten of secretariaten betrekken bij controles; Op onderdelen de patiënt zelf betrekken bij controle van ingevoerde gegevens; Het management (medisch en bedrijfsvoering) zou actiever betrokken kunnen zijn bij het toezicht (commitment en motivatie); Het inzetten van extra personeel voor invoer en controle.
Ongestructureerdheid Belangrijke maatregelen in de gebruikersomgeving om de ongestructureerdheid van gegevens aan te pakken zijn:
5.4.2
Het op meer plaatsen in de status gebruiken van codevelden in plaats van vrijetekst velden. Het zoveel mogelijk gebruiken van gestandaardiseerde coderingen om deze codevelden te vullen. De wijze van registreren in procedures en protocollen vastleggen om zo te zorgen dat iedereen de velden op dezelfde wijze interpreteert en gebruikt. Het vastleggen van relevante (extra) contextinformatie (metadata) om gegevens ondubbelzinnig te kunnen gebruiken voor medisch wetenschappelijk onderzoek.
Medisch administratieve processen In de meeste medisch administratieve processen zijn al voldoende beheersingsmaatregelen ingericht om de integriteit van gegevens te waarborgen. Met name in de DBC registratie, waarbij een deel van de gegevens door artsen (zorg- en geen administratieve medewerkers) in het zorgproces wordt ingevoerd kan de integriteit Scriptie Integriteit Onderzoeksgegevens
27
van de vastlegging van gegevens worden verbeterd. Er kunnen dezelfde maatregelen worden genomen als hier boven bij de zorgprocessen is aangegeven. 5.4.3
Medisch diagnostisch onderzoek Door het feit dat de laboratoria CCKL geaccrediteerd zijn, is sprake van een (administratief) goed ingerichte gebruikersomgeving. In deze omgeving zijn strenge en zorgvuldige procedures en controles ingericht. Ook zijn vaak geavanceerde technische maatregelen geïmplementeerd om fouten in de registratie van gegevens te voorkomen. Door de accreditatie is de opzet, het bestaan en de werking van deze procedures vastgesteld en gecontroleerd. Hiermee zijn de integriteitsrisico’s van de in deze processen vastgelegde gegevens reeds afgedekt.
5.5
Verwerking - Maatregelen in de applicatieomgeving In de verwerkingsomgeving wordt de invoer uit de gebruikersomgeving verwerkt. Het is voor de integriteit van de gegevens van belang dat in deze omgeving aanvullende maatregelen worden ingericht die aansluiten op de maatregelen in de gebruikersomgeving. Eigenaarschap Formeel heeft iedere applicatie een eigenaar. Dit eigenaarschap is meestal hoog in de organisatie bij het hoofd van een entiteit of afdeling belegd. Door deze eigenaar is in alle gevallen een applicatiebeheerder als gedelegeerde autoriteit aangewezen. Om de ondersteuning van de zorgprocessen te verbeteren, door de applicatie beter op deze processen te laten aansluiten, zou de gedelegeerde eigenaar iemand uit de gebruikersorganisatie moeten zijn. Om bij de inrichting en het gebruik van de applicatie meer rekening te kunnen houden met de eisen die vanuit het medisch wetenschappelijk onderzoek worden gesteld, zou in overleg met de IT-raad een vorm gevonden moeten worden hier invulling aan te geven. Mogelijk dat de Clinical Research Unit (CRU) hierbij een rol kan spelen.
5.5.1
Applicatie controles Alle onderzochte applicaties maken op een of andere manier gebruik van applicatiecontroles. De toepassing van applicatiecontroles binnen de applicaties zijn heel divers. Er zijn applicaties die over een uitgebreid scala van geprogrammeerde controles beschikken om te waarborgen dat gegevens integer worden vastgelegd. Er zijn ook applicaties waar bijna geen ondersteuning wordt geboden op het gebied van geprogrammeerde controles. De terugkoppeling van verwerkingsproblemen aan de invoerder via controlelijsten kan in een aantal gevallen worden verbeterd door deze controlelijsten inhoudelijk duidelijker en beter hanteerbaar te maken. Medische applicaties In de EPD applicatie Norma zijn nauwelijks applicatiecontroles ingericht. Enerzijds komt dit door het ongestructureerde karakter van de invoer die voor het grootste deel in vrije tekst velden wordt vastgelegd, waardoor applicatie controles niet mogelijk zijn. Anderzijds worden deze applicatiecontroles voor velden waarbij het technisch wel mogelijk is deze applicatie controles in te richten niet veel toegepast. Zo is het, door bijvoorbeeld het ontbreken van range- en afhankelijkheidscontroles, mogelijk in de status van een patiënt een lengte van 4 meter en gewicht van 20 kilogram in te voeren. In deze status wordt dan automatisch een Body Mass Index (BMI) vastgesteld die niet reëel is. Een ander voorbeeld is het veld waar de (koorts) temperatuur van de patiënt kan worden ingevoerd; hier is een vrij-tekstveld Scriptie Integriteit Onderzoeksgegevens
28
ingericht waar zowel koortstemperatuur in graden Celsius wordt ingevoerd als de teksten “verhoging” en “koorts”. Herstel achteraf zal in deze gevallen niet mogelijk zijn waardoor deze gegevens onbruikbaar zijn voor medisch wetenschappelijk onderzoek. Het is voor het verbeteren van de integriteit van groot belang om een weloverwogen set van applicatiecontroles in het EPD in te richten. Hiervoor is het nodig dat in het EPD meer van codevelden gebruik gemaakt gaat worden. Het gebruik van deze extra codevelden dient het medisch zorgproces niet onnodig te hinderen maar ervoor te zorgen meer gegevens voor medisch wetenschappelijk onderzoek beschikbaar komen. Medisch administratieve applicaties en Medisch diagnostische applicaties In de medisch administratieve applicaties zijn in de meeste gevallen voldoende applicatie controles aanwezig om de integriteit van de ingevoerde gegevens te borgen. Interessant is een promotieonderzoek [30] waarin wordt aangetoond dat het belangrijk is een juiste mix van waarschuwingen en foutmeldingen in applicaties in te stellen. In het onderzoek werd een voorschrijfsysteem voor medicijnen onderzocht en naar voren kwam dat gebruikers (artsen) signaalmoeheid gaan vertonen bij teveel meldingen en deze dan ongelezen wegklikken. Conclusie is dat meer geprogrammeerde invoercontroles niet automatisch leiden tot betere integere invoer. Wat uit ons onderzoek naar voren komt is dat er weinig verbandscontroles zijn ingericht die gebruik maken van de combinatie van gegevens uit de medische processen en de administratieve processen. Het relateren van het aantal consulten op een polikliniek volgens het afsprakensysteem met gegevens uit het EPD biedt bijvoorbeeld mogelijkheden de volledigheid van deze twee registraties te controleren. Als door het niet gestructureerde karakter van de betreffende EPD status een controle op veldniveau niet mogelijk is, zou een controle op het aanwezig zijn van een poliklinische vermelding in de status al gebruikt kunnen worden als verbandscontrole.
5.6
Output - Maatregelen koppeling onderzoeksapplicatie DIO In deze omgeving worden de gegevens via koppelingen beschikbaar gemaakt in de onderzoeksapplicatie DIO. Wij behandelen hier de belangrijkste maatregelen die genomen kunnen worden de integriteitsrisico’s te beperken.
5.6.1
Datawarehouse Om de dagelijkse ETL verwerking van de bronsystemen naar het datawarehouse beter te controleren dient de verantwoordelijkheid voor het monitoren van deze verwerking beter in de IT-organisatie te worden belegd. Uit ons onderzoek blijkt dat in het AMC niet in alle gevallen duidelijk is wie voor deze verwerking verantwoordelijk is, de applicatiebeheerder van de bron applicatie of de beheerder van het datawarehouse. Om te borgen dat de gegevens in het datawarehouse overeenkomen met de gegevens in de bronapplicatie dienen naast controles op de verwerkingsverslagen ook geautomatiseerde verbandcontroles te worden ingericht. Met deze omspannende controles worden de controles op de integriteit van de gegevens in het datawarehouse aanzienlijk verbeterd.
5.6.2
Koppelingen De koppelingen van de bronapplicaties of datawarehouse naar de onderzoeksapplicatie DIO dienen nauwkeurig te worden ingesteld. Hiervoor zijn bij Scriptie Integriteit Onderzoeksgegevens
29
de realisatie van deze koppelingen uitgebreide Database Interface Specificaties (DIS) opgesteld om te borgen dat de juiste informatie wordt overgehaald. Deze interface specificaties zijn op dit moment onvoldoende geborgd in het wijzigingsbeheer van de verschillende bron applicaties. Het is noodzakelijk deze DIO koppelingen nadrukkelijk op te nemen in de procedures voor wijzigingsbeheer van de verschillende applicaties en deze DIO koppeling mee te nemen in de testen. Ook moet er een eigenaar aan de koppeling zijn toegewezen die verantwoordelijk is voor het juist functioneren van de koppeling. 5.6.3
Onduidelijke definities Het ontbreekt op dit moment in het AMC aan een centrale beschrijving van de metadata. Het ontbreken van centrale documentatie van gegevens brengt niet alleen risico’s voor integriteit met zich mee, maar leidt ook tot extra werk bij het koppelen van systemen en verhoogt de kans van het redundant en mgelijk inconsistent opslaan van gegevens. Voor DIO is hierdoor extra tijd nodig omdat eerst de definities van de gegevens in het bronsysteem moeten worden uitgezocht voordat tot koppeling van gegevens kan worden overgaan [31]. De risico’s op de integriteit, veroorzaakt door onduidelijke definities, kunnen door het invoeren van gegevensmanagement en het inrichten van een organisatie brede datadictionary worden verminderd.
5.6.4
Complexiteit Om de beheersrisico’s veroorzaakt door de complexiteit en veelheid van de koppelingen te verminderen dient aandacht aan de informatiearchitectuur te worden gegeven. In de informatiearchitectuur dient de visie op de samenhang van de informatievoorziening en de aansluiting hiervan op de bedrijfs- en ICTarchitectuur te worden beschreven. Architectuurprincipes dienen richting te geven aan het gebruik van gegevens en optimalisatie van informatie ten behoeve van de gegevensuitwisseling waardoor de integriteit wordt gewaarborgd [31, 32]. Op dit moment blijkt het in het AMC lastig voldoende aandacht voor architectuur te vinden in projecten. Enerzijds is er in het AMC slechts één architect waardoor er slechts beperkte capaciteit is om aan alle projecten voldoende aandacht aan de architectuuraspecten te geven. Anderzijds is de druk vanuit de business groot om met projecten door te gaan ook als deze qua architectuur niet optimaal zijn.
5.7
Beantwoording tweede deelvraag Hierboven hebben we de belangrijkste maatregelen om de risico’s op de integriteit van onderzoeksdata te beheersen behandeld. Samenvattend, om de tweede deelvraag te beantwoorden, kunnen we stellen dat: Met uitzondering van specifieke maatregelen met betrekking tot: De gebruikersomgeving; De gestructureerdheid van gegevens; De complexiteit van de koppelingen met de onderzoeksapplicatie. er geen extra beheersingsmaatregelen ten opzichte van een goed ingerichte omgeving noodzakelijk zijn, om de integriteit van onderzoeksgegevens te waarborgen. Wel zijn er voor het AMC uit ons onderzoek een aantal attentiepunten naar voren gekomen. Het gaat hierbij om algemene beheersingsmaatregelen die bij het AMC nog niet optimaal zijn ingericht.
Scriptie Integriteit Onderzoeksgegevens
30
6
Slothoofdstuk In dit hoofdstuk behandelen we de belangrijkste conclusies en aanbevelingen van dit onderzoek en wordt antwoord gegeven op de centrale onderzoeksvraag. Tenslotte doen wij een suggestie voor mogelijk vervolgonderzoek en beschrijven wij onze persoonlijke reflecties.
6.1
Conclusies en aanbevelingen Wij hebben tijdens ons onderzoek het proces van de gegevensstromen naar de onderzoeks applicatie DIO en de maatregelen, met betrekking tot integriteit die hier mee samenhangen, onderzocht. Hieronder volgen de belangrijkste conclusies en aanbevelingen. Uit ons literatuur- en praktijkonderzoek is naar voren gekomen dat, om onderzoekers van integere gegevens te voorzien, er in principe geen extra beheersingsmaatregelen nodig zijn. Uitgangspunt daarbij is dat alle maatregelen die noodzakelijk zijn om de integriteit van gegevens (zoals input-, verwerking- en outputcontroles en de general IT controls) te waarborgen zijn genomen. Wat echter binnen het AMC opvalt, en wij hebben geen reden om aan te nemen dat dat bij andere medische centra anders is, zijn de grote cultuurverschillen (en daardoor werkwijzen) binnen de afdelingen, de hoeveelheid verschillende applicaties die met diverse interfaces aan elkaar gekoppeld moeten worden, het gebrek aan standaardisatie en het ontbreken van metadata. Dit alles maakt het erg moeilijk, zo niet onmogelijk, de integriteit van de invoergegevens te waarborgen. Dit maakt daarom tevens onze conclusie tweeslachtig, want juist door deze complicerende factoren zijn de standaard maatregelen, met name in de gebruikersomgeving, niet allemaal getroffen of niet te implementeren. Daarom zal een auditor extra aandacht aan deze complicerende factoren moeten geven, en er op toe moeten zien dat er maatregelen genomen worden om de risico’s veroorzaakt door deze complicerende factoren te adresseren en te compenseren. Hiervoor onderstaand nog een korte samenvatting. Verbeteringen in gebruikersomgeving Uit ons onderzoek hebben we geconstateerd dat de gebruikersomgeving de meeste risico’s op de integriteit van gegevens bevat. Het goed inrichten van deze omgeving met procedures, protocollen en controles is daarmee van grote invloed op de integriteit van de gegevens. Er dient veel gedaan te worden aan bewustwording over het belang van integere registratie voor het ziekenhuis als geheel. Het zal niet eenvoudig zijn in de huidige organisatie en de cultuur deze omslag vorm te geven. Een aantal concrete mogelijkheden zouden kunnen zijn:
Andere groepen zorgverleners zoals de verpleging, co-assistenten of secretariaten te betrekken bij controles; Op onderdelen de patiënt zelf betrekken bij controle van ingevoerde gegevens; Duidelijker ondersteuning en commitment van management op alle niveaus; Het inzetten van extra personeel voor invoer en controle.
Het streven van het AMC naar een ziekenhuisbrede Joint Commission International (JCI) accreditatie is een goede stap voor het verbeteren van integriteit van gegevens in de medische processen. De JCI is een algemene accreditatie die onder andere vereist dat processen beschreven zijn en aantoonbaar volgens deze procedures wordt gewerkt. Andere accreditaties zoals de CCKL in de laboratoria stellen hogere eisen dan de JCI normering en voldoen dus al aan deze normering.
Scriptie Integriteit Onderzoeksgegevens
31
Gestructureerde informatie Uit het onderzoek is naar voren gekomen dat in medische zorgprocessen vastgelegde gegevens niet altijd eenduidig zijn te interpreteren. Het gebrek aan gestructureerde informatie in deze medische zorgprocessen leidt ertoe dat deze gegevens niet, of pas na aanvullende maatregelen en controles bruikbaar zijn voor medisch wetenschappelijk onderzoek. Om integere gegevens uit zorgprocessen efficiënt voor medisch wetenschappelijk onderzoek te kunnen gebruiken zijn organisatiebrede afspraken over de betekenis, de structuur en de syntax van de vast te leggen gegevens noodzakelijk. Het gestructureerd laten vastleggen van gegevens, meer code- dan vrije-tekst velden, door medewerkers uit de zorg zal niet eenvoudig zijn. De cultuur en de huidige wijze van werken van medewerkers in de zorg zijn meer nog dan technische zaken, als feit dat er niet op alle werkplekken gebruikersvriendelijke apparatuur beschikbaar is om gegevens direct electronisch in te voeren, verantwoordelijk voor deze moeilijkheden. Het gestructureerd invoeren van gegevens zal meer tijd in beslag nemen en daarmee de productiviteit van zorgmedewerkers laten dalen. Hiervoor is het belangrijk dat voldoende draagvlak gecreëerd wordt waarbij medewerkers gewezen worden op de voordelen die meer gestructureerd vastgelegde gegevens op het medisch wetenschappelijk onderzoek hebben en daarmee op de kwaliteit van de zorg. Mogelijk dat nieuwe technologische ontwikkelingen met het geautomatiseerd herkennen van termen in vrije-teksten via “natural language processing” in de toekomst kunnen helpen hierin verandering te brengen. Standaardisatie van informatievoorziening Naast de problemen met de eenduidigheid van gegevens in de medische zorg processen zijn er ook problemen door het gebrek aan standaardisatie van het medische dossier. Medische zorgprocessen worden uitgevoerd door professionals van verschillende disciplines (artsen, anesthesiologen, verpleegkundigen). Doordat de zorg op dit moment rond de verschillende deelprocessen is georganiseerd staat de patiënt niet altijd voldoende centraal [5, 33]. Hierdoor worden gegevens op verschillende plaatsen en niet altijd op dezelfde wijze gestandaardiseerd vastgelegd. De indeling en opbouw van het medische dossier verschilt per specialisme en kent geen enkelvoudig format. Ook de wijze van omgang met het medisch dossier verschilt. Zo zijn er twee methoden waarmee zorgverleners gegevens in een status bijhouden: de Probleem geOriënteerde Registratie (POR) en de Episode Gerichte Registratie (EGR) [34, 35]. Door de indeling en het gebruik het medische dossier te standaardiseren wordt het eenvoudiger om gegevens uit de zorg processen integer en efficiënt te kunnen gebruiken voor medisch wetenschappelijk onderzoek. Overige maatregelen Naast de hierbovengenoemde maatregelen zijn er nog een aantal zaken van belang die eigenlijk onderdeel van een goed ingerichte IT-organisatie zijn maar naar ons inziens toch genoemd kunnen worden. Het eigenaarschap van applicaties en koppelingen van applicaties naar de onderzoeksapplicatie is moeilijk optimaal in te richten. Doordat de eigenaar van de applicatie uit de zorg andere eisen stelt dan belanghebbenden uit het onderzoeksdomein is het belangrijk een vorm te vinden waarin de onderzoekers op gestructureerde wijze invloed kunnen hebben op de inrichting en het beheer van zorgapplicaties. Mogelijk kunnen in het AMC de domeincommissies een rol spelen bij het beter onderbrengen en invullen van het eigenaarschap door de CRU hierbij naar voren te schuiven als behartiger van de belangen vanuit het medisch wetenschappelijk onderzoek. Scriptie Integriteit Onderzoeksgegevens
32
Om de complexiteit van koppelingen beheersbaar te houden is IT architectuur van groot belang. Om de architectuurfunctie voldoende draagkracht te geven dient deze op een plaats dicht bij de Raad van Bestuur van de organisatie te zijn gepositioneerd. Ook dient de architectuur een duidelijker formele rol in aanschaf- en wijzigingsprojecten te hebben. In het AMC kunnen de domeincommissies bij de inrichting van deze rol een belangrijke sturende taak vervullen. Ter ondersteuning van de structurering van data in de gebruikersomgeving is datamanagement in de IT-omgeving van groot belang. Het opzetten van een enterprise metadata model waarin eenduidige beschrijvingen van de betekenis en context van de in applicaties vastgelegde gegevens staan is een belangrijke taak van het datamanagement. Het gebruik van gedeelde gegevensdefinities verhoogt de integriteit van de gegevens, voorkomt dat gegevens redundant worden opgeslagen en maakt het delen van gegevens eenvoudiger [31]. Uit ons onderzoek komt naar voren dat gestructureerdheid een belangrijk aspect is om gegevens te kunnen gebruiken voor wetenschappelijk onderzoek. Dit heeft vooral te maken met de betekenis en context waarin het gegeven is vastgelegd. Vanuit de literatuurstudie blijkt dat zowel de bestudeerde auteurs als de beroepsorganisatie voor IT-auditors (Norea) met betrekking tot de definitie en uitwerking van integriteit het aspect gestructureerdheid niet hebben geadresseerd. Op basis van ons onderzoek zijn wij van mening dat de integriteit van gegevens moeilijk c.q. onmogelijk is vast te stellen als gegevens ongestructureerd worden vastgelegd. Wij willen de Norea dan ook adviseren om gestructureerdheid op te nemen als aspect van integriteit.
6.2
Mogelijk vervolgonderzoek Ondanks dat het geen object van onderzoek was, hebben we geconstateerd dat de business en ADICT elkaar niet altijd kunnen vinden. De business weet de ADICT niet altijd te vinden voor haar ICT probleem en gaat soms zelf op zoek naar oplossingen. Medewerkers van de ADICT communiceren mogelijk onvoldoende met de business om na te gaan met welke diensten zij de business het beste kunnen ondersteunen. Een onderzoek naar de wijze waarop de ICT functie kan worden vormgegeven om medische processen optimaal te ondersteunen en alignement problemen te minimaliseren lijkt ons een interessant onderwerp. De inrichting van de ICT organisatie en de besluitvormingsprocessen rondom ICT vraagstukken zijn complex en van grote invloed op de kwaliteit van de zorg en het onderzoek in ziekenhuizen.
6.3
Persoonlijke reflectie Voor ons was het een interessante zaak te zien dat de verschillende beroepsgroepen van professionals in het zorg- en onderzoeksdomein zulke grote verschillen in werkwijzen en opvattingen over invulling van integriteitseisen hebben. De verschillen in cultuur, organisatie, normen en regelgeving van deze beroepsgroepen maken het niet eenvoudig samen te werken aan verbetering van integriteit van de vastgelegde medische gegevens. Het feit dat iedere groep afzonderlijk aan de hoogst mogelijke standaarden probeert te voldoen, maar dat de groepen gezamenlijk niet eenvoudig kunnen samenwerken om op efficiënte wijze synergie effecten voor het AMC te realiseren, was voor ons een interessante constatering. Het feit dat belangrijke oorzaken van problemen rondom integriteit in de organisatie en de procedures liggen en niet primair in het IT domein heeft onze blik verruimt. Het scriptieonderzoek heeft ons duidelijk gemaakt dat een IT auditor voor onderzoeken voldoende ruim moet kijken en zich niet alleen op zuivere IT aspecten moet focussen. Scriptie Integriteit Onderzoeksgegevens
33
Bijlage 1 - Vragenlijst Op basis van het normenkader is onderstaande vragenlijst voor applicatiebeheerders opgesteld. Deze vragenlijst wordt door betrokken beheerders zelf ingevuld en geeft een beeld van de risico’s op de integriteit van gegevens in informatiesystemen. De vragenlijst is niet alleen voor dit scriptieonderzoek bruikbaar maar kan goed worden toegepast in situaties waarin snel en eenvoudig een indruk over getroffen beheersingsmaatregelen rondom integriteit van gegevens in informatiesystemen moet worden verkregen.
Vraag
Ja
Nee
Niet van GedeelteWeet niet toelijk passing
<Applicatienaam> Gebruikers Vindt u dat de applicatie voldoende aansluit bij de werkzaamheden op de afdeling? Is de gebruikers interface gebruikersvriendelijk en is duidelijk wat bij ieder veld moet worden ingevoerd? Sluiten de invoerschermen (GUI) aan bij de eventueel in gebruik zijnde papieren formulieren? Hebben de gebruikers invloed gehad op de gewenste functionaliteiten? (o.a. invoercontroles en grafische vormgeving) Is er een gebruikershandleiding van de applicatie beschikbaar? Wordt deze handleidingen periodiek bijgewerkt of aangepast? Worden er instructies of opleiding aan de gebruikers gegeven over het gebruik van de applicatie? Wordt deze opleiding periodiek herhaald? Is er een (administratieve organisatie) proces beschrijving van de werkzaamheden rondom de applicatie opgesteld/beschikbaar? Wordt er naar uw mening volgens deze proces beschrijving gewerkt? Worden deze proces beschrijvingen periodiek bijgewerkt of aangepast? Is er een (administratieve) medewerker belast met het onderhoud van deze proces beschrijvingen? Zijn er functiescheidingen in de gebruikers organisatie? (bv aparte medewerkers voor Invoer, autorisatie en controle) Zijn er in de applicatie rollen die passen bij de functies van de verschillende medewerkers? Worden de invoergevoerde gegevens door een andere medewerker gecontroleerd? Is er een medewerker die ingevoerde gegevens dient te autoriseren voor de verdere verwerking? Zijn er controle lijsten van de invoer in de applicatie beschikbaar? Zo ja, hoe vaak worden deze lijsten aangemaakt? Zo ja, worden deze tijdig (zo snel mogelijk na de invoer) aangemaakt? Zo ja, dient de gebruiker deze actief af te roepen of worden deze automatisch aangemaakt?
Scriptie Integriteit Onderzoeksgegevens
34
Vraag
Ja
Nee
Niet van GedeelteWeet niet toelijk passing
Vindt controle op de afwerking van deze lijsten plaats? Zijn de in de applicatie gebruikte coderingen met de systeem-eigenaar afgestemd? Zijn gebruikers betrokken geweest bij het opstellen van de controles? Zijn de controles formeel goedgekeurd door de eigenaar van de applicatie? Wordt informatie vastgelegd in de applicatie gebruikt voor verantwoordingsrapportages van het management? Zo ja, met welke periodiciteit? Hoe vindt de invoer in de applicatie plaats: Tijdens het zorgproces? Na het zorgproces? Door zorgmedewerker zelf? Door een ander dan de zorgmedewerker zelf? Wordt bij de invoer gebruik gemaakt van tussentijdse papieren vastleggingen (zoals standaard formulieren/notities)? Invoercontroles Zijn het aparte invoercontroles per veld? Kunnen gegevens van meerdere velden worden gecontroleerd op consistentie bij invoercontroles? Ondersteund de applicatie het gebruik van Ranges (limieten, max. en minimale invoerwaarden)? Keuzelijsten? Verplichte velden? Wordt de codering van keuze lijsten goed beheerd? Heeft u invloed gehad bij de inrichting van de invoercontroles? Zijn de technische maatregelen van invoercontroles naar u mening van voldoende om een goede kwaliteit van ingevoerde gegevens te kunnen waarborgen? Wijzigingsbeheer Wordt voor het wijzigingsbeheer van gescheiden ontwikkel, test-, acceptatie en productieomgeving voor de applicatie gebruikgemaakt? Is er functiescheiding van beheerders binnen deze OTAPomgevingen toegepast? Vindt goedkeuring van wijzigingen aan de productieomgeving plaats door de applicatie eigenaar? Is het wijzigingenbeheer procesmatig ingericht. Wordt er systematisch met een testplan getest? Wordt er een formeel testverslag gemaakt? Wordt dit testverslag formeel goedgekeurd door applicatie eigenaar? Wordt de koppeling met DIO of ETL meegenomen in het testplan? Is er een procedure voor de nood- of spoedwijzigingen. Toegangsbeheer Is het mogelijk om toegang tot de gegevens te krijgen buiten de applicatie om? (Bijv. dmv ODBC koppelingen)
Scriptie Integriteit Onderzoeksgegevens
35
Vraag
Ja
Nee
Niet van GedeelteWeet niet toelijk passing
Worden deze toegangen beheerd? Worden deze toegangen door de systeem-eigenaar geautoriseerd? Is er een autorisatieproces ingericht voor het aanvragen van een gebruikersaccount? Worden de aanvragen voor bevoegdheden formeel goedgekeurd door de systeem eigenaar? Heeft iedere gebruiker/beheerder een eigen met wachtwoord beveiligd gebruikersaccount in de applicatie? Wordt er van functionele accounts gebruik gemaakt? Is de verantwoordelijkheid voor het gebruik van deze functionele accounts geregeld? Is er (voldoende) toezicht op het gebruik van de functionele accounts? Is er een wachtwoord policy voor gebruikers ingesteld? Is deze policy anders voor de beheerder accounts? Sluit deze policy aan op het AMC beveiligingsbeleid? Zijn de rechten van de gebruikers in de applicatie via rollen geregeld? Zijn de rollen binnen de applicatie goedgekeurd door de systeem-eigenaar? Worden de uitgereikte bevoegdheden periodiek gecontroleerd / beoordeeld door de applicatie eigenaar? Is er een procedure voor het wijzigen van bevoegdheden? Is er een procedure voor het intrekken van bevoegdheden? Is er een speciale applicatie account voor de mapping naar DIO? Worden er controles uitgevoerd op de verleende autorisaties? Moeten gebruikers hun wachtwoord wijzigen nadat de eerste keer ingelogd is met een initieel wachtwoord? Beschikt de beheerder over tooling, utilities om buiten de applicatie om de data te kunnen wijzigen? Wordt het gebruik van deze tools vastgelegd? Wordt het gebruik van deze tools gecontroleerd? Worden de uitgevoerde gebruikershandelingen binnen de applicatie vastgelegd in logbestanden? Wordt er logging bijgehouden van inlogpogingen? Zo, ja. Worden deze loggings periodiek beoordeeld? Heeft het management/eigenaar richtlijnen opgesteld die beschrijven welke informatie gelogd moet worden? Heeft de systeem-eigenaar richtlijnen opgesteld die beschrijven welke controlemaatregelen op de logging uitgevoerd moeten worden? Overig Is er van de applicatie technische documentatie aanwezig? Is er van de applicatie gebruikers documentatie aanwezig? Is de applicatie standaard software? zo ja is er maatwerk toegevoegd Is de applicatie maatwerk? Is de source code beschikbaar? Scriptie Integriteit Onderzoeksgegevens
36
Vraag
Ja
Nee
Niet van GedeelteWeet niet toelijk passing
is er een Functioneel ontwerp van de applicatie aanwezig? Is er een technisch beheerder van de applicatie aangesteld? Zijn er voor de technisch beheerder procedures opgesteld (productiehandboek)? Zijn de gegevens in de applicatie geclassificeerd in het kader van het beveiligingsbeleid? Is een beschrijving van de in de applicatie vastgelegde gegevens beschikbaar? (data-dictionary) Zijn van de onderliggende database de gegevensdefinities, met inbegrip van de eigenschappen van attributen (dwz, gegevens elementen) bekend. Weet u of de gebruikers de velden op de vastgelegde wijze gebruiken? ETL Koppeling Bent u als applicatiebeheerder ook verantwoordelijk voor de ETL extracties? Wordt de ETL verwerking periodiek door u gecontroleerd? Met welke periodiciteit? Is de ETL koppeling (de parameters) in het change management van de applicatie geborgd? Wordt met het overhalen van gegevens rekening gehouden met niet standaard situaties zoals bv patches of correcties met terugwerkende kracht in de applicatie? Wordt periodiek gecontroleerd of de gegevens in de pas lopen (applicatie vs ETL omgeving)? Zo ja, hoe vaak? Is er een procedure die beschrijft hoe gehandeld moet worden in het geval van fouten bij het overhalen van gegevens c.q. hoe herstel moet plaatsvinden? Wordt de ETL informatie gebruikt voor rapportages? Gaan deze rapportages naar het management? DIO koppeling Zijn de parameters van de mapping door systeemeigenaar goedgekeurd? Is de DIO koppeling in het change management van de applicatie geborgd? (wordt de koppeling met DIO bij elke wijziging getest) Bent u als applicatiebeheerder (mede) verantwoordelijk voor controle en werking van de koppeling met DIO? Wordt in de applicatie oude data periodiek opgeschoond / verwijderd? Zijn er procedures aanwezig voor het opschonen van data?
Scriptie Integriteit Onderzoeksgegevens
37
Vraag
Ja
Nee
Niet van GedeelteWeet niet toelijk passing
Wordt tijdens het proces van het verzamelen/overhalen/transformeren van gegevens geborgd dat de betekenis (syntax & semantic) van de gegevens niet wijzigt. Door bijvoorbeeld: - Het uitvoeren van validatie checks, - Correctheidscontroles op aanleveringen en verwerkingen van data. - De betekenis van de velden van de aangeleverde gegevens zijn beschreven; - Er heeft een analyse plaatsgevonden van de aangeleverde gegevens.
Scriptie Integriteit Onderzoeksgegevens
38
Bijlage 2 - Audit framework In ons onderzoek hebben we gebruik gemaakt van het audit framework van Tewarie. Omdat dit een nog niet gepubliceerd framework betreft geven we hier een korte toelichting. Om de noodzakelijke beheersingsmaatregelen te bepalen moeten deze maatregelen in een bepaalde samenhang worden beoordeeld. De beveiligingsstandaarden zoals Cobit, ISF, Code voor informatiebeveiliging en de NEN 7510 (Medische informatica Informatiebeveiliging in de zorg) zijn gebaseerd op een best practice. Een bezwaar van het toepassen van de structuur van een best practice is dat deze standaarden tot een overmaat aan normen leiden die zijdelings met een specifieke audit omgeving (bijv. Integriteit van gegevens in de AMC omgeving) te maken hebben. Omdat iedere standaard uitgaat van een specifieke structuur en daardoor een andere samenhang hebben, is gekozen voor het audit framework van Tewarie dat specifiek gericht is op het ontwikkelen van referentiekaders voor audit doeleinden. Hierbij wordt het audit-onderwerp centraal gesteld. Het audit framework is onder andere gebaseerd op principes uit de systeemleer en maakt tevens gebruik van systeem model van De Leeuw [36]. De relevantie van de systeembenadering wordt ingegeven door enkele principes die in het audit proces van belang zijn. Deze principes zijn bijvoorbeeld: samenhang tussen alle relevante componenten (holistisch of wholeness)1, relatie tussen componenten, feed back and feed forward controle mogelijkheden. Het audit framework zoals dit wordt toegepast voor het opstellen van de maatregelen is opgebouwd uit een combinatie van de elementen beleid, uitvoering en controle uit de management cyclus en de elementen Omgeving, Bestuurd systeem, Besturend orgaan uit het besturingsparadigma van de Leeuw. Voor het toepassen van dit model voor een audit hebben bovenstaande elementen de volgende betekenis gegeven. Business Environment (Omgeving); Audit Environment (Bestuurd systeem); Service Management (Besturend orgaan). Het doel van de toepassing van dit model is om een eerste indeling en onderscheid te kunnen maken tussen conditionerende-, inrichtings- en beheersaspecten van een auditomgeving. In deze situatie wordt de Business Environment als de omgeving van het object van onderzoek beschouwd. De Business Environment geldt als de entiteit waarin eisen en condities worden gesteld aan het bestuurd systeem en aan het besturend orgaan. Het bestuurd systeem is equivalent aan de ´Audit Environment´ die conform de eisen en condities uit de entiteit Business Environment moet zijn ingericht. Het bestuurd systeem wordt verder, voor het vaststellen van “de mate van in control zijn”, vormgegeven door de drie-eenheid binnen de managementcyclus: Beleid, Uitvoering en Controle. Binnen het onderdeel Beleid wordt vastgesteld welke precondities gelden voor de inrichting van de bij de uitvoering gebruikte resources. Hieronder vallen ook de precondities met betrekking tot de beveiligingaspecten. In het element uitvoering worden de inrichtingsaspecten in relatie met de risicoaspecten afgeleid. Deze inrichtingsaspecten zijn te beschouwen als de maatregelen waar de resource, aan moet voldoen (de zogenaamde “soll”). 1
Holistisch (Grieks: holon: het geheel) is het idee dat de eigenschappen van een systeem niet kunnen worden verklaard door de som van alleen zijn componenten te nemen.
Scriptie Integriteit Onderzoeksgegevens
39
Binnen het onderdeel Controle wordt nagegaan in hoeverre er bij de inrichting van dit element controle instrumenten zijn ingebouwd om de inrichting van de ICT resource beheerst te laten plaatsvinden. Binnen het besturend orgaan worden de noodzakelijke beheersprocessen vastgesteld en wordt nagegaan hoe deze processen zijn vormgegeven om de inrichting van de betreffende ‘Audit Environment’ te handhaven en/of continue in control te houden. In onderstaande figuur wordt de globale structuur voor het opstellen van maatregelen geïllustreerd:
Figuur 2 - Audit Framework
In ons onderzoeksdomein onderkennen we zowel een business omgeving waar de business processen plaatsvinden als een IT omgeving waar de IT-processen plaatsvinden. Hieronder beschrijven we in het kort wat op de verschillende layers in het Audit Framework plaatsvindt.
Business Environment met de business processen – In deze omgeving worden de richtlijnen en organisatorische aspecten gepositioneerd met betrekking tot de medische processen. Deze medische processen worden ondersteund door de diensten die geleverd worden vanuit de IT-omgeving.
General IT-layer– De General IT-Layer bevat begrippen op een strategisch niveau, dit betekent dat de concepten die zich op deze laag bevinden het resultaat zijn van Het IT-management op basis van de van de visie van het topmanagement de organisatie. Voorbeelden van deze concepten zijn onder andere : Doel, strategie, beleid, organisatorische functies en architectuur.
Specific IT policy layer – De specifieke IT policy layer richt zich op de richtlijnen met betrekking tot de verleende IT-dienstverlening waaronder Logische toegangsbeveiliging.
Application Layer – De Application Layer ondersteunt gebruikers door middel van applicaties. Eindgebruikers krijgen programmatuur, waarvoor zij geautoriseerd zijn, aangeboden voor het verrichten van hun taken. Ook aan beheerders wordt toegang verleend voor het uitvoeren van beheertaken, zoals database- en netwerkbeheer.
Processing Layer – De processing Layer richt zicht op componenten in de infrastructuur zoals Database management systemen, Operating Systemen koppelingen die binnen het onderzoeksobject actief zijn.
Scriptie Integriteit Onderzoeksgegevens
40
Communication Layer – Op de Communication layer worden services ten aanzien van netwerk infrastructuur geboden. Hierbij wordt het netwerk zodanig logisch geconfigureerd dat de samengestelde netwerkcomponenten de door de organisatie gewenste services levert, zoals de gewenste communicatie verbindingen en gewenste bandbreedte. De componenten die bij de configuratie een rol spelen zijn onder meer routers, switches, hups, netwerk interface cards en protocollen. In het kader van ons onderzoek valt de communication layer buiten de scope van ons onderzoek.
Specific control layer – De Specific control layer richt zich op concepten met betrekking tot het beheer, monitoring en evaluatie van IT-services, zoals door de evaluatie van de logging.
General control layer – The General Control layer richt zich met name op de service management processen die zorgen voor stabiliteit van de ITdienstverlening.
Bron:
Tewarie, lopende promotieonderzoek “Model based development of Audit Terms of Reference: a structured approach”, 2009.
Scriptie Integriteit Onderzoeksgegevens
41
Bijlage 3 - AMC medewerkers A.J. Moleman
Architect Centrale ICT
R.A. Scholte
Ontwikkelaar Clinical Research Unit
E. Honig van den Bossche
Projectmanagement Centrale ICT
F. Baas
Voorzitter domeincommissie Onderzoek
R.J. de Haan
Hoogleraar / Hoofd Clinical Research Unit
R. Koning
Datamanagement Centrale ICT
L.M. Haver
EDP auditor
R.J Berckmans
Stafmedewerker / Onderzoeker Laboratorium
Functioneel applicatiebeheer D. van der Wijk
CS-OK
R.A. Scholte
CVA
L. Smit
DBCinfo
J. de Gast
DNAbank, DIO
R. Verkruisen
DPS
F. Scholer
KlinVir
D. Paulus
Norma
M. Oosterveen
X/Care
W. Holzter
Medicator
W. Feenstra
Apotheek
J. Dols
LabZIS, Radi
I. Zwaan
Patreg
E. Verdeursen
Patreg
J. W. van der Wal
DIO
Gebruikers C. Huttmann
CS-OK
M. Ros
CS-OK
M.L. Cats
X/Care
C. Zwemmer-Fokker
X/Care
H. Wolf
Medicator
Scriptie Integriteit Onderzoeksgegevens
42
Bijlage 4 - Gebruikte Afkortingen ADB ADICT AMC CCKL CRU DBC DIO DIS EGR EPD ETL FTE GCP HL7 IBD ICT ICD9 IGZ ISO JCI NEN NEN7510 NLP POR SNOMED-CT SQL TAF VU WBP WGBO WMO XML
Algemene Dienst Beheer Algemene Dienst ICT Academisch Medisch Centrum Accreditatie van de Coördinatie Commissie ter Bevordering van Kwaliteitsbeheersing op het gebied van Laboratoriumonderzoek Clinical Research Unit Diagnose Behandel Combinatie Data Integratie ten behoeve van Onderzoek Database Interface Specificaties Episode Gerichte Registratie Electronisch Patiënten Dossier Extractie Transactie en Laden Full Time Equivalent Good Clinical Practise Healthcare Level 7 Inflammatory Bowel Disease Informatie en Communicatie Technologie International statistical Classification of Diseases and related health problems code revision 9. Inspectie voor de GezondheidsZorg International Standards Organisation Joint Commission International NEderlandse Norm en Nederlandse Normalisatie-instituut en de Stichting NEC. Nederlandse richtlijn mbt tot informatiebeveiliging in de zorg Natural Language Processing Probleem georiënteerde Registratie Systematized Nomenclature of Medicine - Clinical Terms. Standard Query Language Tewarie Audit Framework Vrije Universiteit Wet Bescherming persoonsgegevens Wet op de geneeskundige Behandelovereenkomst Wet Medisch-wetenschappelijk Onderzoek met mensen Extensible Markup Language
Scriptie Integriteit Onderzoeksgegevens
43
Bijlage 5 - Literatuur 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
16 17 18
19 20
21 22
Fijneman, R., E.R.L.e.P.V., Grondslagen IT-auditing. 2005: Sdu uitgevers b.v. Den Haag. p. 37. IT-auditing aangeduid, NOREA geschrift No. 1, 1998 Overbeek, P., Spruit, M., Informatiebeveiliging onder controle, 2005, Prentice Hall. p. 265. Mollema, K.I.J., Controle van de informatieverwerking. 1989, Alphen aan de Rijn: Samson Uitgeverij B.V., p. 93. IGZ, Preoperatief traject ontbeert multidisciplinaire en gestandaardiseerde aanpak en teamvorming, Den Haag, februari 2007. Gugten, M., NEN 7510, de Nederlandse norm voor de informatiebeveiliging in de zorg, Security Management, 2009, nr. 1-2: p. 26-28 NEN, NEN-ISO 15189 Medical laboratories, 2007. Stap, R., Verhoosel , J., TNO-rapport de Europese norm EN 13606, overzicht en relaties EN 13606, 20 december 2007. Berg, M., Goorman, E., The contextual nature of medical information, International journal of medical informatics, 1999, nr. 56, p. 51-60. Porter, S.C., Mandi, K.D., Data quality and the electronic medical record: a role for direct parental data entry. Proc AMIA Symp., 1999. p. 354-358. Day, S., Fayers, P., Harvey, D., Double Data Entry: What Value, What Price?, Controlled Clinical Trials, 1998, nr. 19, p. 15-24. Doupi, P., Ginneken van, A. M., Structured Physical Examination Data: A Modeling Challenge Proc., AMIA Symp., 2000, p. 996. Ginneken van , A.M., The computerized patient record: balancing effort and benefit. International Journal of Medical Informatics, 2002. 65(2): p. 97-119. Arts, D.G.T., de Keizer, N.F., Scheffer, G., Defining and Improving Data Quality in Medical Registries: A Literature Review, Case Study, and Generic Framework. JAMIA, 2002. 9: p. 600-611. Knatterud, G.L., Rockhold, F.W., George, S.L., Barton, F.B., Davis, C.E., Fairweather, W.R., Honohan, T, Mowery, R, O’Neill, R., Guidelines for Quality Assurance in Multicenter Trials: A Position Paper, Controlled Clinical Trials, 1998, nr. 19, p. 477-493. Whitney, C.W., Lind, B.K., Wahl, P.W., Quality Assurance and Quality Control in Longitudial Studies, Epidemiologic Reviews, 1998, vol. 20, nr. 1, p. 71-80. Demlo, L.K., Campbell, P.M., Improving Hospital Discharge Data: lessons from the National Hospital Discharge Survey, Medical Care, 1981, vol.19, no.10, p.1030-1040. Putten van der, E., Velden van der, J.W., Siers, A., Hamersma, E.A.M., for the Cooperative Study Group of Dutch Datamanagers, A Pilot Study on the Quality of Data Management in a Cancer Clinical Trial, Controlled Clinical Trials, 1986, nr. 8, p. 96-100. Horbar, J.D., Leahy, K.A., for the investigators of the Vermont-Oxford Trials Network, An Assessment of Data Quality in the Vermont-Oxford Trials Network Database, Controlled Clinical Trials, 1994, nr. 16, p. 51-61. Putten van der, E., Velden van der, J.W., Siers, A., Hamersma, E.A.M., for the Cooperative Study Group of Dutch Datamanagers, A Pilot Study on the Quality of Data Management in a Cancer Clinical Trial, Controlled Clinical Trials, 1986, nr. 8, p. 96-100. Abate, M.L, Diegert, K.V., A Hierarchical Approach to Improving Data Quality, Data Quality, 1998. Vol. 4. Teperi, J., Multi method approach to the assessment of data quality in the Finnish Medical Birth Registry, Journal of Epidemiology and Community Health, 1993, vol. 47 p. 242-247.
Scriptie Integriteit Onderzoeksgegevens
44
23 24 25 26 27
28 29 30 31 32 33 34 35 36
Horbar, J.D., Leahy, K.A., for the investigators of the Vermont-Oxford Trials Network, An Assessment of Data Quality in the Vermont-Oxford Trials Network Database, Controlled Clinical Trials, 1994, nr. 16, p. 51-61. Wagner, M.M., Hogan, W.R., The Accuracy of Medication Data in an Outpatient Electronic Medical Record, JAMIA, 1996, vol. 3, p. 234-244. Morrison, F.P., Albert, M.S., Hripcsak, G., Repurposing the Clinical Record: Can an Existing Natural Language Processing System De-identify Clinical Notes?, JAMIA, Volume 16, Number 1, 2009. Johnson, S.B., Bakken, S, Dine, D., Hyun, S., Mendonça, E., Morrison, F., Bright, T., van Vleck, T., Wrenn, J., Stetson, P., An Electronic Health Record Based on Structured Narrative, JAMIA, Volume 15, Number 1, 2008. Turchin, A., Shubina, M., Breydo, E, Pendergrass, M.L., Einbinder, J.S., Comparison of Information Content of Structured and Narrative Text Data Sources on the Example of Medication Intensification, JAMIA, Volume 16, Number 3, 2009. DeMets, D.L., Meinert, C.L., Data Integrity, Controlled Clinical Trials, 1991, nr. 12, p. 727-730. Meinert, C.L., Clinical Trials and Data Integrity, Controlled Clinical Trials, 1980, nr. 1, p. 189-192. Sijs, H. van der, Medicatiebewaking in elektronische voorschrijfsystemen, Proefschrift, Erasmus Universiteit, 2009. Hoven, J.v.d., Data Architecture: Principles for Data. Information Systems Management, 2003. 20(3): p. 93 - 96. Hoven, J.v.d., Data Architecture: Blueprints for Data. Information Systems Management, 2003. 20(1): p. 90-92. IGZ, Standaardisatie onmisbaar voor risicovermindering in operatief proces, Den Haag, oktober 2008 Richtlijn Gegevensuitwisseling huisarts en Centrale Huisartsenpost (CHP), Nederlands Huisartsen Genootschap, 24 juli 2008. HIS-Referentiemodel 2005, Nederlands Huisartsen Genootschap, 31 maart 2007. Leeuw, A.C.J., Systeemleer en Organisatiekunde, 1974.
Scriptie Integriteit Onderzoeksgegevens
45