HEALTHCARE HET CSC MAGAZINE OVER ICT-OPLOSSINGEN EN DIENSTEN VOOR DE GEZONDHEIDSZORG Nummer 1.2014
INFORMATIEBEVEILIGING Inside out, outside in
VIER CLOUDMYTHES
en wat er echt van waar is
INNOVATIE
Pharmacy as a Service
MICROHIS X AS A SERVICE ervaringen uit de praktijk
IN DIT NUMMER HEALTHCARE MAGAZINE NUMMER 1.2014
12
6
4 NIEUWS 6 HOOFDARTIKEL INFORMATIEBEVEILIGING: INSIDE OUT, OUTSIDE IN De impact van nieuwe technologie en nieuwe wetgeving op zorginstellingen 10 INZICHT VIER MYTHES OVER CLOUDBEVEILIGING en wat er echt van waar is 12 REPORTAGE ZORG ANNO NU, RISICO’S ANNO NU De beveiligingsuitdaging van Intermountain Healthcare
20
16 INNOVATIE LET IT FLOW Van digitale gegevens naar efficiënte informatiestromen 17 INNOVATIE BRINGING IT TOGETHER Van informatiestromen naar efficiënte werkprocessen 19 INNOVATIE Pharmacy as a Service ICT-ontzorging op medicatiegebied voor ziekenhuizen en zorginstellingen 20 interview MaaS-PRIMEUR AAN DE MAAS Eerste ervaringen met MicroHIS X as a Service
COLOFON CSC HEALTHCARE MAGAZINE is een uitgave van iSOFT Nederland BV, a CSC Company Mendelweg 32, 2333 CS Leiden • Tel. +31 (0)71 52 56 789 • Fax +31 (0)71 52 16 675 • www.csc.com/health_nl • E-mail:
[email protected] Redactie: Marco den Heijer, Nicoline van Wiggen Teksten: Nicoline van Wiggen Ontwerp en vormgeving: Vidya Gangaram Panday
2
Teamwork
MARCO DEN HEIJER Account General Manager Healthcare
Informatiebeveiliging is het thema van dit CSC Healthcare Magazine. We praten u bij over de nieuwste ontwikkelingen in technologie en wetgeving, we kijken naar de impact voor zorginstellingen, en wat de Outside in-aanpak van CSC betekent (p. 6). Experts van CSC-cloudsecurity delen hun ervaringen op p. 10, en over de praktijk van informatiebeveiliging door CSC in een Amerikaanse zorginstelling leest u vanaf p. 12.
Als één team voor de zorg bieden we ook een breder aanbod. We voegen de daad bij het woord en leveren nu nieuwe, kostenefficiënte oplossingen volgens nieuwe betaalmodellen, die naast software ook infrastructuur en ICTkennis omvatten. U leest meer over de ervaringen met MicroHIS X as a Service in de huisartsenreportage op p. 21, en over Pharmacy as a Service op p. 19. “Breder in zorg en ICT” is en blijft ons motto. Als één team zetten we ons in voor het leveren van software, infrastructuur en ICT-expertise aan de Nederlandse zorg. In één woord: teamwork. Ik kijk ernaar uit om ook met u de samenwerking aan te gaan. Marco den Heijer
OVER CSC CSC levert wereldwijd ICT-oplossingen en diensten. Het bedrijf heeft zijn hoofdkantoor in Falls Church, Virginia, in de VS, en telt 81.000 medewerkers in meer dan 70 landen. Kijk voor meer informatie over CSC in Nederland op www.csc.nl, en voor meer informatie over de Healthcare Group van CSC in Nederland op www.csc.com/health_nl.
CSC HEALTHCARE MAGAZINE / Nummer 1.2014
Vraagt u het zich wel eens af? Of uw beveiliging wel helemaal op orde is? Waar de zwakste schakel voor uw instelling zit, en wat de gevolgen kunnen zijn als het misgaat? Ook dit jaar op Zorg & ICT sprak ik veel managers en professionals uit de zorg. Dit keer als commercieel verantwoordelijke voor de hele zorgsector, want we integreren onze teams in Leiden en Utrecht, zodat er één team onstaat dat nauw samenwerkt, speciaal voor de zorg. Veel reacties die ik kreeg, waren: we doen heel veel aan beveiliging, maar precies weten doen we het niet.
3
NIEUWS
CSC’s ZIS/EPD Lorenzo is sinds eind vorig jaar live gegaan bij een reeks nieuwe trusts in Groot-Brittannië. Lorenzo is inmiddels in gebruik bij tien Britse trusts, waarvan de grootste zo’n 3000 medewerkers heeft. Het ZIS/EPD wordt ingezet bij algemene en academische ziekenhuizen en bij organisaties voor eerstelijnszorg en thuiszorg.
Daarnaast kiest een nog altijd groeiend aantal trusts voor Lorenzo. Zij doen dat op basis van businessplannen, die sinds eind vorig jaar vereist zijn door de Britse overheid. De trusts tonen in de businessplannen aan hoe zij met Lorenzo concrete doelstellingen behalen op het gebied van kwaliteitsindicatoren en kostenefficiëntie.
Reeks nieuwe go-lives Lorenzo
De recente go-lives van Lorenzo, onder andere bij Walsall Healthcare NHS Trust, Derby Hospitals NHS Foundation Trust en Ipswich NHS Hospital Trust, waren stuk voor stuk big-bang implementaties: in een weekend tijd gingen complete organisaties over op het nieuwe ZIS/EPD.
CSC Cybersecurity-check Veel aandacht voor security op Zorg en ICT Meer bezoekers dan ooit trok de CSCstand op Zorg en ICT 2014, met het brede CSC-aanbod voor de zorg dat software, infrastructuur en ICT-kennis omvat. Velen maakten van de kans gebruik om te spreken met de aanwezige cybersecurityexperts van CSC en om mee te dingen naar een van de drie CSC cybersecuritychecks die als prijs te winnen waren. Want met nieuwe wetgeving op komst die de boetes op datalekken voor zorginstellingen aanzienlijk laat oplopen – in eerste instantie van 4500 euro tot 850.000 euro, en met nieuwe Europese wetgeving tot maar liefst 5% van de jaaromzet – is het goed om te weten hoe de eigen beveiliging ervoor staat.
4
Bent u niet in de gelegenheid geweest om met een van onze cybersecurityexperts te spreken en wilt u graag eens van gedachten wisselen? Of wilt u uw ICT-organisatie direct door laten lichten om te zien waar de zwakste plekken in uw beveiliging zitten? Mail dan naar info.
[email protected] of neem contact op met uw accountmanager voor een afspraak.
n ocesse zorgpr e t s k ij langr op be focus erts C-exp oor CS d d r e o pact uitgev én im aarte w z r a na deeld beoor risico’s rtage rappo le e u vis den ndaar telijke inzich ale sta n io t a ern en int tionale a n n sis va op ba voerd uitge n e g da werk n 3-5 binne
Leveranciersonafhankelijke LBZ-oplossing door heel Nederland Het leveren van een onafhankelijke LBZ-oplossing ligt in de lijn van de missie van CSC in de Nederlandse zorg. Die missie is om bij te dragen aan soepele gegevensuitwisseling en betere samenwerking tussen zorgprofessionals en zorgorganisaties, en zodoende voortdurende kwaliteitsverbetering te realiseren.
MicroHIS X as a Service live voor huisartsenpraktijken en zorginstellingen Eén aanspreekpunt, kostenefficiëntie en keuzevrijheid Huisartsenpraktijken, gezondheidscentra en zorginstellingen kunnen vanaf begin dit jaar gebruik maken van MicroHIS X as a Service. De omgeving is live, en een aantal huisartsenpraktijken is al overgestapt op dit nieuwe ‘as a service’model. Grote voordelen van MicroHIS X as a Service zijn het ‘single point of contact’ en de kostenefficiëntie: u hebt één aanspreekpunt voor uw software, hosting plus service, en betaalt voor de infrastructuur naar gebruik. En er is nog veel meer. U kende MicroHIS X al van het intuïtieve werken en de keuzevrijheid, en deze beginselen zet CSC voort met MicroHIS X as a Service. Zo kunt u met alle soorten devices inloggen op de omgeving, uw lokale meetapparatuur koppelen aan
MicroHIS X, en hebt u keuzevrijheid ten aanzien van lokale hardware en verbinding. Huisartsen, assistenten of medewerkers kunnen inloggen vanaf iedere locatie of werkplek waar een internetverbinding aanwezig is. Vanzelfsprekend wordt MicroHIS X as a Service gehost vanuit een datacenter in Nederland dat voldoet aan de hoogste eisen en normen. • Lees het artikel over de eerste ervaringen met MicroHIS X as a Service op p. 20. • V rijblijvend meer weten over MicroHIS X as a Service? Mail naar microhisinfo.
[email protected] of bel 071-52 56 747 voor meer informatie of voor een afspraak op locatie.
Rivierduinen neemt Pharmacy
as a Service
in gebruik De Zuid-Hollandse organisatie voor geestelijke gezondheidszorg Rivierduinen heeft in mei de nieuwe hostingoplossing Pharmacy as a Service in gebruik genomen. De eerste groep artsen en psychiaters van Rivierduinen is getraind en schrijft vanaf nu elektronisch voor in de gehoste oplossing voor EVS (Elektronisch Voorschrijf Systeem) van CSC. CSC heeft Pharmacy as a Service geïntroduceerd om zorginstellingen en ziekenhuisapotheken flexibiliteit te bieden in het gebruik van de bewezen Centrasys-medicatieoplossingen van CSC. De oplossingen zijn schaalbaar, leveren directe en indirecte kostenbesparingen in ICT-beheer en worden gehost vanuit een vakkundig beheerde, goedbeveiligde omgeving. Meer lezen over Pharmacy as a Service en over het gebruik door ggz-organisatie Rivierduinen? Kijk op p. 19. CSC HEALTHCARE MAGAZINE / Nummer 1.2014
CSC biedt als enige leverancier ziekenhuizen in Nederland een ZIS-onafhankelijke oplossing voor LBZ (Landelijke Basisregistratie Ziekenhuiszorg). Ziekenhuizen leveren met de LBZ-oplossing hun gegevens over alle opnames, ambulante contacten en verrichtingen aan DHD (Dutch Hospital Data) aan. Medisch codeurs hebben met deze oplossing de voor hen beschikbare relevante patiëntgegevens meteen bij de hand en kunnen door de overzichtelijke interface bijzonder snel coderen. Sinds de eerste go-live eind vorig jaar is de oplossing uitgerold bij veertien ziekenhuizen. Vijf ziekenhuizen daarvan waren verplicht om LBZ-data over 2013 aan te leveren en slaagden daar in korte tijd in met de LBZ-oplossing van CSC.
5
HOOFDARTIKEL
6
INFORMATIEBEVEILIGING:
INSIDE OUT, OUTSIDE IN De impact van nieuwe technologie en nieuwe wetgeving op zorginstellingen
Traditioneel zijn zorginstellingen, net als bedrijven en andere organisaties, gericht van binnen naar buiten: in de zorginstelling wordt zorg verleend voor patiënten en cliënten van buitenaf. Die zorg wordt opgezet en gestroomlijnd
volgens interne procedures, en intern ondersteund door alle benodigde personele en materiële middelen, inclusief ICT. Dat is succesvol gebleken. Zorginstellingen zijn gegroeid in de loop der jaren door te investeren in de ontwikkeling en ondersteuning van die eigen, interne zorgprocessen. Ook de ICT is daarin meegegroeid. Alles is in huis gehaald om het zorgproces volledig te ondersteunen. In termen van ICT betekent dat eigen datacentra of op zijn minst eigen hardware, softwarelicenties, eigen beheersafdelingen, soms ook eigen afdelingen voor softwareontwikkeling, kortom: ICTkennis en -kunde op ieder deelgebied, en eigen software en hardware. Outside in Maar de wereld buiten heeft niet stil gestaan. Hoewel het voor organisaties en instellingen in de kern belangrijk blijft om bedrijfscentrisch te werken, hebben de snelle technologische ontwikkelingen van het afgelopen decennium een aantal zaken voorgoed omgedraaid. Mobiele apparatuur, internet, sociale media, cloud, big data, online bedrijven en gemeenschappen, online nieuws en patiëntenforums – dat alles maakt dat de buitenwereld definitief impact
heeft op de interne bedrijfsvoering, of er zelfs een onderdeel van is geworden. De traditionele voordelen van de bedrijfscentrische aanpak zijn niet meer vanzelfsprekend. De kosten van interne middelen, diensten en ICT worden alleen maar relatief hoger, terwijl de kosten van externe middelen, diensten en ICT almaar lager worden. Om te overleven, zeker in de huidige tijd met alle bezuinigingen, is het voor zorgorganisaties dus noodzakelijk om niet langer alleen van interne bronnen gebruik te maken, maar de bedrijfsstrategie en bedrijfsprocessen opnieuw op te bouwen: van buiten naar binnen. Vanuit het perspectief van de bedrijfsvoering betekent dit: nauwer samenwerken met ketenpartners, samen met patiënten en cliënten waarde toevoegen aan het zorgproces, in contact blijven met patiëntenorganisaties online en leren van de informatie die big data oplevert. Vanuit management- en technologisch oogpunt betekent dit de inzet van cloudoplossingen en softwareas-a-service (SaaS) in plaats van interne applicaties, systemen en datacentra, en het veilig laten gebruiken van eigen mobiele apparatuur door medewerkers (BYOD).
CSC HEALTHCARE MAGAZINE / Nummer 1.2014
D
e wereld verandert. Internet is overal – medewerkers verwachten thuis te kunnen werken, hun eigen apparatuur te kunnen gebruiken op de werkplek, en patiënten en cliënten willen via internet contact met de familie thuis. Toch is de beveiliging in veel zorginstellingen nog steeds geënt op het oude model van een solide afgebakende ICT-omgeving. Dat gaat een keer mis. Het gevaar van datalekken en cyberaanvallen is veel groter dan menig ICT-manager of bestuurder voor mogelijk houdt: de cijfers van onderzoeksinstituten liegen er niet om. En dat terwijl nieuwe wetgeving de mogelijke boetes voor datalekken alleen maar verder opschroeft – zelfs tot het niveau waarop een zorginstelling in ernstige financiële problemen kan komen. We zetten in dit artikel de feiten en cijfers op een rij, en geven inzicht in hoe beveiliging structureel kan worden verbeterd.
7
HOOFDARTIKEL
Logische stappen Dat zijn zeker geen gemakkelijke, maar wel logische stappen voor zorginstellingen, nu het niet meer doenlijk is om eigen datacentra te onderhouden, om eigen software te ontwikkelen of om al het beheer zelf te doen. Door de stijgende kosten van middelen en apparatuur en door de steeds verdergaande bezuinigingen, wordt het punt bereikt waarop het niet langer mogelijk is om zelf de complete infrastructuur aan te schaffen en te onderhouden, of het beheer van hardware en software helemaal in eigen hand te houden. Outside in is dan een goede optie. Zorgorganisaties winnen hiermee aan snelheid, flexibiliteit en innovatiekracht. Reële dreiging Informatiebeveiliging wordt intussen door alle eerder genoemde ontwikkelingen extra belangrijk. Voor zorginstellingen geldt dat niet alleen de eigen systemen en gegevens moeten worden beschermd, maar ook privacygevoelige patiëntgegevens. En het is een misverstand te denken dat zorginstellingen relatief veilig zouden zijn voor cyberaanvallen of datalekken. De dreiging is reëel. Volgens het meest recente jaarlijkse onderzoek van Symantec naar de internationale digitale veiligheid, is de gezondheidszorg de sector die het hardst groeit als doelwit van cybercriminelen. Dat is ook niet verwonderlijk, want op de zwarte markt voor gestolen persoonsgegevens is een
8
medisch dossier inmiddels 20 dollar waard, tegenover 2 dollar voor een “gewoon” creditcarddossier. De cijfers tonen die groei aan. Volgens het onderzoek van Symantec heeft de zorg in 2013 van alle sectoren de meeste cyber-aanvallen en datalekken te verwerken gehad. Van alle vastgestelde incidenten had 37% volgens dit onderzoek betrekking op de zorg. En uit de Third Annual Study on Patient Privacy van het onafhankelijke Amerikaanse Ponemon Institute blijkt dat 94% van de ondervraagde zorgorganisaties in de VS in de twee jaar voor het onderzoek tenminste één keer een datalek rapporteerde. In diezelfde periode bleek niet minder dan 45% van de zorgorganisaties meer dan vijf keer met een datalek te maken hebben gehad. De stijging ten opzichte van 2010 is groot: in dat jaar meldde 29% meer dan vijf datalekken.
De dreiging is reëel: volgens de meest recente onderzoeken is de gezondheidszorg de sector die het hardst groeit als doelwit van cybercriminelen Uit dezelfde studie komt naar voren dat datalekken ernstige financiële gevolgen
kunnen hebben voor zorginstellingen. De gemiddelde impact van een dergelijk incident voor een zorgorganisatie in de VS bedraagt maar liefst 2,4 miljoen dollar. Niet minder belangrijk is dat de gevolgen van datalekken bij een instelling voor patiënten ernstig kunnen zijn. Die kunnen namelijk veel verder gaan dan “enkel” de inbreuk op de persoonlijke privacy. Cybercriminelen zijn met name uit op het stelen van persoonsidentiteiten. Ofwel om de financiële identiteit, ofwel om de medische identiteit van patiënten te kunnen verhandelen. De helft van de Amerikaanse zorgorganisaties (52%) meldt een of meerdere incidenten van diefstal van de medische identeit van patiënten. Hoe ernstig dit is, blijkt uit het feit dat dit in 39% van de gevallen leidde tot onjuistheden in het dossier van de patiënt, en in 29% van de gevallen zelfs invloed had op de behandeling. Hoge boetes De dreiging van cybercriminaliteit neemt dus toe, en de gevolgen kunnen ernstig zijn. Tegelijkertijd worden ook de mogelijke sancties vanuit de overheid op datalekken steeds zwaarder. Op grond van de Wet Meldplicht datalekken zijn alle instellingen
die persoonsgevoelige informatie verwerken verplicht om het lekken van privacygevoelige informatie direct na vaststelling van het lek te melden bij het College Bescherming Persoonsgegevens (CBP). Nadat ze de melding hebben gedaan, krijgen instellingen 72 uur de tijd om het lek te dichten. Als instellingen daar niet in slagen, of het nalaten om een datalek te melden, dan kunnen ze rekenen op een boete. Dat is nu ook al het geval, alleen bedraagt de boete op dit moment maximaal 4500 euro. De regeringspartijen hebben afgesproken in het regeerakkoord om deze boete te verhogen tot een maximum van 860.000 euro. De Tweede Kamer heeft hiervoor wetgeving in voorbereiding, die nog voor deze zomer ingevoerd zou moeten worden. En dat is nog niet alles. Er is nieuwe Europese wetgeving in de maak die nog hogere boetes oplegt. Afgelopen maart stemde het Europese Parlement namelijk met een overweldigende meerderheid voor invoering van de eerste Europese Privacyverordening. Volgens deze verordening kunnen instellingen die hun databeveiliging niet op orde hebben en bij incidenten niet de juiste procedures volgen, een boete gaan krijgen tot maximaal 5 % van de jaaromzet. Voor een ziekenhuis kan dat al snel oplopen tot een miljoen euro.
Drie inzichten uit de praktijk Het is dus juist op dit moment belangrijk om qua beveiliging extra stappen te zetten. Drie inzichten uit de praktijk: • De keuze voor Infrastructure as a Service en Software as a Service op zich zorgt al voor een gedegen basisbeveiliging. Vanuit de centraal beheerde omgeving – een datacenter dat voldoet aan de hoogste beveiligingseisen en -normen – wordt immers continu gezorgd voor patches en updates, zodat organisaties nooit meer achter kunnen lopen met de laatste beveiligingsupdates. CSC biedt steeds meer van de bestaande software voor de zorg As a Service aan, waaronder de medicatieoplossingen (zie p. 19) en het informatiesysteem voor de eerstelijnszorg MicroHIS (zie p. 20). • Net als met uw eigen gezondheid: het is altijd verstandig om eens te laten checken hoe het ervoor staat. Een cybersecurity-check biedt uitkomst. U laat deze uitvoeren om de hele ICT-omgeving door te lichten en te zien waar de zwakke plekken in de beveiliging zitten (zie p. 4). Zodoende weet u direct hoe uw omgeving ervoor staat en kunt u meteen ingrijpen waar nodig. • De meest structurele oplossing qua beveiliging is om te zorgen voor boundaryless security. Veel zorginstellingen hanteren namelijk bij de beveiliging nog het inside outmodel, waarbij alle “interne” gebruikers
en systemen in de basis sneller vertrouwd worden en hogere rechten krijgen dan “externe” gebruikers en systemen. Aangezien de grens tussen “binnen” en “buiten” het eigen netwerk echter vervaagd is – denk maar aan ketenpartners, basisregistratiesystemen, thuiswerkers en patiënten “van buitenaf” – is het doeltreffender en veiliger om de beveiliging van de hele infrastructuur zo in te richten dat het niet meer uitmaakt of een gebruiker van buiten of van binnen komt, maar dat het afhankelijk is van de situatie en de gewenste toegangsrechten. Ongeacht de locatie van een gebruiker geldt dezelfde beveiligingsmethode voor eenzelfde soort situatie, en toegang tot systemen en bestanden gaat enkel op basis van het “need to know”-principe. Een voorbeeld van een Amerikaanse zorginstelling die een hoge beveiligingsgraad heeft geïmplementeerd met hulp van de expertise van CSC, is Intermountain Healthcare (zie p. 12). Ook in Nederland voert CSC architectuurprojecten uit bij zorginstellingen waar integrale informatiebeveiliging een onderdeel van is. Cybercriminaliteit zal voorlopig alleen nog maar verder toenemen; de VS zijn wat dat betreft zoals vaker een voorbode. Maar zorginstellingen kunnen het wel structureel lastiger maken voor cybercriminelen om zomaar binnen te dringen of om de ruimte te geven voor andere beveiligingsincidenten. Informatiebeveiliging is hoe dan ook voor zorginstellingen belangrijker dan ooit.
9
Vier mythes over cloudbeveiliging…
10
Susie Allwood
André van Cleeff
Niels Lagerweij
… en wat er echt van waar is
INZICHT
De cloud is niet alleen overal en overal gemakkelijk toegankelijk, maar doorgaans ook ondoorzichtig en ondoorgrondelijk. Waar vijftien jaar geleden iedere eindgebruiker uit eigen ervaring wist wat de consequenties van beveiligingsrisico’s konden zijn (denk aan virussen verspreid per mail, vollopende mailboxen door spam), is het veel minder gemakkelijk om inzicht te hebben in de informatiebeveiliging van een complexe structuur als een cloud. En wat de gevolgen zijn als deze niet op orde is. Als er een Denial of Service-aanval is op je bank, dan is het eerste wat je merkt dat de app die je gebruikt om mobiel te bankieren niet meer werkt. Maar het is erg moeilijk een beeld te hebben van wat er nog meer aan de hand kan zijn met de rest van de infrastructuur, zelfs voor ICT’ers. Dat maakt dat mythevorming vrij spel heeft. Als we kijken naar wat cloud daadwerkelijk inhoudt, dan constateren we om te beginnen dat cloud geen nieuwe technologie is, maar eenvoudigweg een ander model van dienstverlening en betaling. Cloudoplossingen bevrijden organisaties van de noodzaak om de maximale hoeveelheid hardware aan te schaffen, namelijk de hoeveelheid hardware die de piekbelasting aan kan. Met cloud kan het met minder (doorgaans met veel minder), en wordt er pas extra capaciteit bijgeschakeld als de piekbelasting een feit is. Bij cloudoplossingen kan wel degelijk duidelijk zijn waar de gegevens staan, en hoe ze precies zijn beveiligd. En daarmee kan een viertal mythes direct worden weerlegd. Mythe 1: klanten kunnen elkaar in een cloud gemakkelijk aanvallen Het idee dat klanten die capaciteit hebben ingekocht op dezelfde server
elkaar gemakkelijk zouden kunnen aanvallen, is een mythe van het eerste uur. Het staat voorop dat organisaties er goed aan doen om cloud af te nemen van een leverancier als CSC die zijn klanten aan een strikt toelatingsbeleid onderwerpt, waardoor kwaadwillenden geen kans maken. Maar los daarvan is het bij cloudoplossingen als die van CSC echt niet zo gemakkelijk om een aanval op het netwerkdeel van een andere klant uit te voeren. De virtualisatielaag vormt een stevige barrière tussen de virtuele machines, de managementinterface op deze laag staat op een compleet separaat deel van het netwerk. Tegen aanvallen vanaf het internet biedt CSC met zijn cloudoplossingen een scala aan beveiligingsopties, variërend van eenvoudige firewalls tot zeer geavanceerde beveiligingsmechanismen. Ook eventuele aanvallen via het interne netwerk van een andere klant op dezelfde server kunnen op deze manier worden bestreden. Mythe 2: met cloud weet je nooit waar je gegevens zijn en het maakt je gegevens kwetsbaar De naamgeving van cloud doet wat deze mythe betreft niet veel goed. Wolken zweven, dus lijkt het logisch dat een ICTcloud minstens zo vluchtig is. De realiteit is anders. Cloudoplossingen zoals die van CSC maken slechts gebruik van een beperkt aantal datacentra ter wereld. Voor CSC zijn dat er 14, waarvan er een in Amsterdam staat. De gegevens worden bij CSC bovendien niet automatisch verdeeld over of gedupliceerd naar de andere datacentra, zoals bijvoorbeeld Google dat wel doet voor het Gmailverkeer. En het strikte beheer door CSC – volgens gestandaardiseerde en gecertificeerde processen – van de virtuele machines waaruit de cloudoplossing is opgebouwd, zorgt voor extra beveiliging. Nu is dat natuurlijk voor veel organisaties in de zorg nog niet afdoende. Voor zorginstellingen en andere organisaties
die een zeer hoge mate van controle over de gegevens of extra beveiliging nodig hebben, bieden CSC’s Infrastructure as a Service (IaaS)-oplossingen de mogelijkheid volledige controle te houden over de gegevens. Met CSC’s IaaS krijgen organisaties een volledig separate omgeving, die naar keuze in een datacenter van CSC of in het eigen datacenter wordt opgezet. Bij IaaS vindt het beheer in principe plaats door CSC. Een aparte serviceorganisatie kan worden opgezet om aan extra veiligheidsvereisten, bijvoorbeeld gesteld vanuit de overheid, te voldoen. Mythe 3: de cloud is ondoorzichtig Cloudoplossingen kunnen wel degelijk transparant zijn. Daarvoor is een drietal zaken nodig die CSC standaard heeft geïmplementeerd: 1) het beveiligen van de cloudoplossingen met een technisch en procedureel raamwerk, waaronder ISO27001, 2) certificering van het datacenter vanuit het oogpunt van fysieke en procedurele beveiliging, certificering van het technisch beheer en certificering van de clouddiensten zelf, en 3) gerichte penetratietesten om de scheiding van clients, gegevens en diensten aan te tonen. Mythe 4: cloudgebruikers worden beschermd door standaardbeveiliging (en hoeven zelf verder niets te doen) Een cloud is nooit zo maar klaar voor gebruik en vrij van onderhoud. Denk alleen al aan het beheer van de gebruikersaccounts en aan het patchen en updaten van applicaties. Ook deze zaken dienen veilig opgezet te worden. Het is de keuze en de verantwoordelijkheid van de organisatie die de cloud afneemt, welk niveau van beveiliging voldoet: 1) de basisbeveiliging die door een provider als CSC wordt geleverd, 2) de basisbeveiliging plus extra beveiligingsmechanismen zoals encryptie van databases en systemen of 3) de basisbeveiliging in een volledig separate, eigen cloud plus een aparte serviceorganisatie.
Meer weten over beveiliging in de cloud, over cloudoplossingen of over Infrastructure as a Service? • Download de whitepaper: Cloud Security Demystified www.csc.com/papers • Mail voor meer info naar:
[email protected]
CSC HEALTHCARE MAGAZINE / Nummer 1.2014
D
e cloud is overal en gemakkelijk toegankelijk – dat zou het voordeel zijn, en tegelijkertijd qua beveiliging het nadeel. En, het moet gezegd, vaak geldt dat ook voor de cloud die eindgebruikers aanschaffen. Maar cloudoplossingen kunnen wel degelijk zo stevig zijn als een huis. CSCcloudbeveiligingsspecialisten André van Cleeff, Niels Lagerweij en Susie Allwood weerleggen in hun bekroonde paper vier bekende mythes rond de veiligheid van cloud.
11
REPORTAGE
12
Zorg anno nu, risico’s anno nu
De beveiligingsuitdaging van Intermountain Healthcare
D
e gezondheidszorg heeft zijn eerste schreden gezet in een nieuwe wereld met enorme mogelijkheden – en enorme risico’s. Door systemen en medische apparatuur aan het internet te koppelen en door elektronische dossiers in te voeren, verbetert het kwaliteitsniveau van de zorg aanzienlijk voor ons allemaal. Maar deze veranderingen creëren ook een zorg-ICT-landschap met grote uitdagingen op het gebied van informatiebeveiliging. CSC helpt zorgorganisaties die uitdagingen in kaart te brengen en de beveiliging in topvorm te krijgen. Intermountain Healthcare is daarvan een voorbeeld uit de VS. Hoewel aanvallen op organisaties in de zorg vaak minder aandacht krijgen dan die in de bancaire wereld, zetten volgens beveiligingsexperts cybercriminelen steeds vaker aanvallen in op kritieke medische systemen om waardevolle patiëntgegevens te kunnen bemachtigen. Onderzoeken laten zien dat verreweg de meeste zorgorganisaties met een datalek of beveiligingsincident te maken hebben gehad. Zo geeft het onafhankelijke
Amerikaanse Ponemon Instituut in zijn Third Annual Study on Patient Privacy aan dat 94% van de ondervraagde zorgorganisaties in de VS tenminste één keer in de afgelopen twee jaar een datalek heeft gerapporteerd. Maar liefst 45% van de zorgorganisaties meldde in diezelfde periode meer dan vijf keer met een datalek te maken hebben gehad. Met de alsmaar toenemende beveiligingsrisico’s kiezen sommige organisaties voor een proactieve aanpak, om hun systemen en daarmee hun patiëntgegevens beter te beschermen voordat een aanval of datalek plaatsvindt. Een Amerikaanse zorgorganisatie die het belangrijk vindt om te werken aan een sterkere en robuustere informatiebeveiliging is Intermountain Healthcare, een organisatie die meerdere malen prijzen won voor excellentie en innovatie, zowel op het gebied van de zorg als op het gebied van technologie. Intermountain koos CSC om te helpen het beveiligingsniveau te verhogen. In de loop van het project, dat zo’n twee jaar geleden van start ging, is het team op innovatieve manieren aan de slag gegaan
om Intermountain’s netwerk van systemen en gegevens beter te beveiligen. Risico’s terugdringen met innovatiekracht Intermountain Healthcare is een grote non-profit zorgorganisatie met als hoofdkwartier Salt Lake City. De organisatie bestaat uit 22 ziekenhuizen, 185 klinieken voor eerstelijnszorg, een gelieerde zorgverzekeraar en in totaal 33.000 medewerkers. Het adherentiegebied omvat de staat Utah en het zuidoosten van de staat Idaho. “Intermountain Healthcare kent een lange traditie in het leveren van zorg van zeer hoge kwaliteit. Daarbij zijn we vanuit financieel perspectief een van de meest kosteneffectief werkende zorgaanbieders in het land,” zegt Marc Probst, Chief Information Officer en Vice President of Information Systems bij Intermountain Healthcare. “Dat komt doordat we sterk zijn in het goed gebruiken van onze systemen en het analyseren van de gegevens die we daarin voorhanden hebben om onze beslissingen op te baseren. Maar als het gaat om gebieden als privacy en beveiliging, dan kijken we naar andere sectoren.”.
13
REPORTAGE
De beveiliging van informatiesystemen en de bescherming van patiëntgegevens komt volgens Probst voor CIO’s in de gezondheidszorg direct op de tweede plaats van grootste uitdagingen, meteen volgend op de effectieve invoering van elektronische patiëntendossiers. “Wijzigingen in wet- en regelgeving en de complexe aard van de medische dienstverlening zorgen voor een enorme uitdaging op het vlak van beveiliging en privacy.”
Ook Intermountain Healthcare zag zich voor de strengere wet- en regelgeving geplaatst. “We besloten om te innoveren en een partner te zoeken die ons kon helpen om naar een compleet nieuw paradigma over te gaan, en die ons bovendien in een vooraanstaande positie kon brengen op het gebied van bescherming van patiëntgegevens,” zegt Karl West, Chief Information Security Officer bij Intermountain Healthcare. “Zodoende kwamen we uit bij CSC.”
De toegenomen belangstelling van cybercriminelen voor patiëntgegevens maakt die uitdaging nog complexer. Intermountain wilde er zeker van zijn dat de risico’s voor de organisatie werden beperkt en dat de organisatie voortdurend bij zou blijven op het gebied van beveiliging.
Gegevensencryptie en segmentatie van netwerken Een van de belangrijkste gebieden waarop CSC en Intermountain hebben samengewerkt om een nieuwe standaard voor de gezondheidszorg neer te zetten, is met een netwerkbenadering die gegevens classificeert, zowel data-inrust als data-in-overdracht versleutelt, en data en systemen segmenteert, ofwel compartimenteert – een benadering die er tegelijkertijd voor zorgt dat gegevens worden beschermd tegen diefstal én dat gegevens beveiligd zijn als ze toch worden gestolen. Deze aanpak, die CSC vooral toepast in opdrachten voor de publieke sector, is een primeur binnen de gezondheidszorg, aldus Jiwani.
“De dynamiek is behoorlijk veranderd,” zegt Ashif Jiwani, CSC Global Cybersecurity Partner, Healthcare. “Nog geen twee jaar geleden was het de financiële dienstverlening die werd aangevallen door commerciële hackers van over de hele wereld; nu is de gezondheidszorg het voornaamste doelwit.” Voor cybercriminelen is het stelen van de identiteit van patiënten relatief gemakkelijk omdat zij doorgaans al hun tijd en energie nodig hebben om beter te worden, en daardoor minder aandacht over hebben voor financiële en administratieve zaken. Bovendien zijn patiëntendossiers, die belangrijke persoonlijke gegevens zoals sociaal-fiscale persoonsnummers bevatten, ook waardevoller geworden dan creditcardnummers, die inmiddels door financiële instellingen extra beveiligd zijn tegen fraude. “CSC monitort de diverse dreigingen wereldwijd,” zegt Tom Patterson, CSC Global Cybersecurity Consulting General Manager. “We houden voor onze klanten voortdurend de zwarte markt in de gaten om te zien wat er zich afspeelt. Momenteel krijgen criminelen gemiddeld 2 dollar voor een creditcarddossier, terwijl een medisch dossier zo’n 20 dollar opbrengt.”
14
Reputatiebescherming en regelgeving Met 20 dollar per gestolen medisch dossier kunnen criminelen gemakkelijk veel geld verdienen – en al doende de reputatie en het budget van een instelling flinke schade toebrengen. Neem bijvoorbeeld de aanval in maart 2012
op de servers van Utah’s Department of Technology Services, waarop de gegevens worden bewaard van alle claims die worden ingediend in het kader van het Medicaid and Children’s Health Insurance Program. Cybercriminelen hebben daarbij 280.000 sociaal-fiscale persoonsnummers gestolen, en daarnaast minder gevoelige persoonsinformatie van nog eens 500.000 mensen. “Tot het moment dat er daadwerkelijk een datalek voorkomt,” zegt Jiwani, “staat beveiliging doorgaans op het tweede plan. Voor Intermountain is dat geen wenselijke situatie. De organisatie heeft informatiebeveiliging prioriteit gegeven, omdat we van mening zijn dat de bescherming van de gegevens en de privacy van onze patiënten, naast de bescherming van onze reputatie minstens zo belangrijk is als onze voornaamste strategische doelen.”
“Weinig organisaties hebben gekeken naar het ontwikkelen van een strategie waarbij ze zowel de gegevens versleutelen als hun infrastructuur segmenteren,” zegt hij. “In essentie hebben we hiermee beveiliging op defensie-niveau toegepast binnen de gezondheidszorg.” Met dit werk aan de beveiliging van Intermountain helpt CSC de zorgorganisatie om geavanceerde technologieën en apparatuur van vooraanstaande leveranciers toe te passen in het ontwerp van de infrastructuur.
“Tot het moment dat er daadwerkelijk een datalek voorkomt, staat beveiliging doorgaans op het tweede plan.” De Amerikaanse wet- en regelgeving is bovendien strenger geworden op het gebied van beveiliging van patiëntgegevens. Er zijn sancties gesteld in de vorm van boetes en straffen op het niet voldoen aan de regelgeving en op datalekken.
Omgaan met BYOD, mobiliteit en telezorg Het ontwerp omvat scheiding van rollen en scheiding van rechten en maakt het zo mogelijk om toegang te geven tot precies die informatie waartoe gebruikers van het netwerk gerechtigd zijn. Dit zorgt voor
Het eindresultaat is een infrastructuur die solide, schaalbaar en zelfoptimaliserend is, zodat gegevens, applicaties en systemen die medische informatie bevatten, adequaat worden beschermd. “Deze innovatieve aanpak, die de focus verlegt van standaardbeveiliging voor het hele systeem naar gerichte beveiliging op die plekken waar het noodzakelijk is, maakt dat we heel flexibel kunnen zijn en onze aandacht kunnen richten op die risico’s die een hoge prioriteit hebben,” zegt Jiwani. “We kunnen aangeven op welke locaties in het netwerk we de meeste impact willen hebben en de meeste resources willen inzetten, en de beschikbare tools daardoor op een veel efficiëntere manier gebruiken. Het betekent ook dat we de risico’s kunnen afwegen tegen de kosten.” Het verbeteren van de beveiliging stond al in het vijfjarenplan vanwege de snel groeiende gevaren op het internet en de veranderende wet- en regelgeving. Intermountain besloot echter om het werk aan de beveiliging te versnellen. CSC hielp het bedrijf om zijn huidige tools voor het ontdekken en monitoren van beveiligingsrisico’s snel en efficiënt in te zetten om gevoelige informatie op te sporen, zonder te hoeven investeren in nieuwe technologie. Deze inspanning maakte het op zijn beurt mogelijk dat het team sneller de gegevens van Intermountain kon gaan beveiligen. “Normaalgesproken zien we dat er zo’n drie tot vier jaar nodig is om een programma als dit te voltooien,” zegt Jiwani. “Door een aantal innovatieve benaderingen te gebruiken en door een compleet nieuwe aanpak te kiezen bij de opzet van dit programma, is het ons gelukt om de doorlooptijd met 50% te verkorten en minder dan de helft van het budget te gebruiken dat normaliter staat voor een dergelijk project.” Het wordt steeds belangrijker om snel een dergelijke netwerkaanpak te realiseren, aangezien artsen, patiënten, personeel en bezoekers hun eigen apparatuur willen kunnen gebruiken om toegang te krijgen tot de systemen van Intermountain. “Iedere arts, iedere specialist heeft een favoriet device, een favoriete smartphone,
een favoriete mobiele technologie, en het is een uitdaging voor ons om dat allemaal bij te houden,” zegt West. “We werken nu aan strategieën en technologieën om hen in staat te stellen om in hun werkomgeving en binnen hun workflow op een veilige manier gebruik te maken van hun eigen apparatuur.” Daarnaast helpt CSC Intermountain bij het verhogen van de administratieve beveiliging, inclusief het bijwerken van instructies, procedures en richtlijnen. CSC gebruikt ook de uitgebreide ervaring in het geven van trainingen op het gebied van beveiliging, om Intermountain te
“Deze aanpak is een primeur voor de sector. In essentie hebben we beveiliging op defensieniveau
Klant: Intermountain Healthcare
Uitdaging • Toename in het gebruik van kwetsbare, complexe medische technologie, mobiele apparatuur en apparatuur voor medische diagnostiek met eigen IP-adressen • Grotere belangstelling voor de gezondheidszorg bij cybercriminelen, deels ingegeven door toegenomen waarde op de zwarte markt van patiëntendossiers • Strengere wet- en regelgeving die kan leiden tot juridische en financiële consequenties
toegepast binnen de gezondheidszorg.” helpen een trainingsstrategie voor de lange termijn op te zetten en multimediaal educatief materiaal te ontwikkelen dat medewerkers bewust maakt van hun eigen verantwoordelijkheden. “We helpen Intermountain Healthcare op alle drie de kerngebieden van beveiliging: mensen, processen en technologie,” zegt Jiwani. “We zorgen daarmee voor het invoeren van Intermountain in een raamwerk voor beveiliging dat voor de hele gezondheidszorg kan gelden, helpen hen om het technologielandschap te begrijpen en om innovatieve processen te ontwikkelen.” “Ik ben ervan overtuigd dat CSC ons gaat helpen om binnen de zorg een modelorganisatie te worden op het gebied van informatiebeveiliging,” voegt Probst toe. “We zijn er op dit moment nog niet, maar we hebben de pijlers gelegd. Ik ben erg optimistisch over wat we met zijn allen aan het opzetten zijn.”
Oplossing • Dataclassificatie, encryptie, segmentering en rollenstructuur • Gereedheid voor audits • Verbeterd beveiligingsbeleid,herziene procedures en richtlijnen, training
Resultaten • Innovatief ontwerp voor solide, schaalbare en zelfoptimaliserende netwerkinfrastructuur die gegevens, applicaties en systemen beschermt • Robuustere en veiligere omgeving die huidige en toekomstige cyberbedreigingen afslaat en patiënten beter beschermt • Verbeterd bewustzijn bij medewerkers van informatiebeveiliging door gerichte training
CSC HEALTHCARE MAGAZINE / Nummer 1.2014
een gerichte aanpak om vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te borgen.
15
INNOVATIE
Let It Flow Efficiënter en veiliger werken op de manier die bij uw zorginstelling past Efficiëntie behalen en een betere patiëntveiligheid realiseren, kan vanuit de ICT in essentie op twee manieren: top-down of bottom-up. Met de top-down-methode kijken ICT-specialisten eerst naar de werkprocessen in uw zorgorganisatie. Vanuit de werkprocessen richten zij het technologische platform opnieuw in, passen ze indien nodig ook de werkprocessen zelf aan en richten deze efficiënter in. Bij de bottom-up-benadering werken ICT-specialisten vanuit de technologie. Zij kijken hoe zij vanuit de systemen de werkprocessen beter kunnen ondersteunen, en realiseren efficiënter en veiliger werken door de systemen en de gegevensstromen te stroomlijnen. CSC heeft alle twee deze specialisaties in huis. U kunt kiezen tussen de twee, of vanuit de bottom-up-benadering waar gewenst aanvullen. Systemen integreren, informatie aggregeren, het applicatielandschap of de werkprocessen herinrichten – aan u de keuze. En daarbij komt dat CSC leveranciersonafhankelijk is; de specialisten van CSC werken met de communication-engine of de enterprise service bus (ESB) waaraan u de voorkeur geeft.
16
Op welke manier u dus ook besluit om efficiënter en veiliger te gaan werken, CSC levert de bijpassende oplossingen en expertise.
Van digitale gegevens naar efficiënte informatiestromen
Inscannen, opzoeken, doorsturen, afdrukken. De dagelijkse informatievoorziening in ziekenhuizen is vaak nog maar gedeeltelijk gedigitaliseerd. Want wat aan gegevens aanwezig is in het ene systeem, is niet vanzelf bekend in het andere. Daar zijn veel verbeteringen mogelijk. Door de verschillende systemen slim te koppelen, kan veel tijd worden bespaard én wordt de patiëntveiligheid aanzienlijk verhoogd, doordat zorgverleners meteen beschikken over de informatie die zij nodig hebben over een patiënt. De integratiespecialisten van CSC realiseren het. We staan er vaak niet eens meer bij stil. De afdeling Radiologie heeft zijn RIS, het laboratorium zijn LIS en de verschillende functieonderzoeken binnen Cardiologie hebben ieder ook hun eigen systeem: informatiesystemen voor EEG- en ECGonderzoeken, CT-scans, PET-scans, MRI-scans, ga zo maar door. En de gegevens uit deze deelsystemen worden apart – vaak handmatig – doorgegeven. In een middelgroot ziekenhuis gaat het al gauw om 50 tot 100 verschillende deelsystemen. Er gaat dus enorm veel tijd verloren met het overbrengen van al die gegevens, óók als dit digitaal gebeurt met point-to-point koppelingen. Want al die koppelingen moeten ieder weer onderhouden worden. Communicatie-oplossing Nu is het niet altijd wenselijk om het applicatielandschap geheel of gedeeltelijk opnieuw in te richten en de informatievoorziening toe te spitsen op de werkprocessen van zorgverleners, zoals we belichten in het artikel over orkestratie op p. 17. Ook het opzetten van portalen
of applicaties waarin informatie uit verschillende systemen samenkomt, is niet altijd een optie. Een elegante technische oplossing die dan efficiëntie oplevert, is de integratie van systemen via een centrale communicatieengine, die alle gegevens ontvangt en doorspeelt naar de relevante deelsystemen. Op deze manier kunnen bijvoorbeeld cardiologieverslagen en laboratoriumuitslagen beschikbaar worden gesteld aan de deelsystemen van de verschillende specialismen, zodat iedere zorgverlener op hetzelfde moment over dezelfde informatie beschikt. Bovendien bieden communicatieengines de mogelijkheid om het berichtenverkeer te bewaken, zodat applicatie- en communicatiestoringen snel gesignaleerd en opgelost kunnen worden. Integreren voor meer efficiëntie en veiligheid De integratiespecialisten van CSC realiseren de selectie, voorbereiding en implementatie van een passende communicatie-engine voor uw zorginstelling – zowel voor het geval wanneer u volledige digitalisering van uw informatievoorziening beoogt, als wanneer u een beperkt aantal informatiestromen wilt inrichten. In beide gevallen levert de technische oplossing van een communicatie-engine u kostenbesparingen en een hogere mate van patiëntveiligheid op. CSC werkt bovendien, zoals u van ons gewend bent, leveranciersonafhankelijk: onze specialisten hebben kennis van alle in de Nederlandse markt beschikbare communication-engines en kunnen de voor- en nadelen helder naast elkaar zetten, zodat u de beste keuze voor uw instelling kunt maken.
INNOVATIE
Bringing It Together van informatiestromen naar efficiënte werkprocessen
Veel zorginstellingen, vooral in de gehandicapten- en ouderenzorg, groeien enorm snel door fusies en overnames. Dat levert grote organisaties op, met meer slagkracht, maar ook met een complex ICT-landschap met een grote
verscheidenheid aan applicaties. Medewerkers moeten daar dagelijks hun weg doorheen zien te vinden, ten koste van tijd en productiviteit. En in het ergste geval vinden ze hun weg erómheen – met geeltjes, e-mails of losse Word-documenten en Excelsheets. Met alle risico’s van dien. Zorgproces Door het strenger worden van wet- en regelgeving wordt het bovendien steeds lastiger om zonder gestroomlijnde ICT-omgeving de juiste vergoedingen te krijgen en om veilig medicatie te verstrekken aan patiënten. Zorgprocessen zelf kunnen vastlopen op een onvoldoende functionerend ICT-landschap. In zo’n situatie is het duidelijk: er moet iets gaan gebeuren. Maar wat dan? Welke technische oplossingen zijn er, welke keuzes moeten er worden gemaakt, en wat is de beste aanpak? Waar ga je als zorginstelling beginnen?
Expertise Het is goed om te weten dat CSC veel expertise in huis heeft, zowel op het gebied van de technologie als op het vlak van werkprocessen in de zorg. Daarmee realiseert CSC voor zorginstellingen efficiëntere informatiestromen én efficiëntere werkprocessen. Op basis van de toekomstvisie van een zorginstelling helpt CSC bij het formuleren van een ICT-strategie, en bij de keuze van het ondersteunende product dat het beste bij die toekomstvisie en strategie past. Dat begint met de vraag: hoe ziet de ICT-omgeving eruit die de organisatie zou willen hebben, met de organisatie die de zorginstelling inmiddels is geworden? Belangrijke vragen betreffen het delen van informatie, het laten aansluiten van bedrijfsprocessen, het efficiënt inspringen op veranderingen in bedrijfsprocessen, en keuzes in efficiëntie en kwaliteit. Als het de strategie van de zorginstelling is
CSC HEALTHCARE MAGAZINE / Nummer 1.2014
Op verschillende locaties met verschillende systemen moeten werken voor hetzelfde type informatie. Of omgekeerd, op één werkplek drie verschillende systemen raadplegen om een compleet beeld van alle beschikbare informatie te krijgen. Niet zelden is dat de dagelijkse gang van zaken, zeker als een zorgorganisatie snel gegroeid is. Op een gegeven moment is duidelijk: er moet iets gaan gebeuren. Vanwege het kostentechnische aspect, vanwege de efficiëntie in het werkproces, en niet in de laatste plaats vanwege patiëntveiligheid en kwaliteit van zorg. Maar welke oplossing is verstandig en kosteneffectief in zo’n gegroeid ICTlandschap?
17
om de organisatie te zien als één samenwerkend geheel, dan betekent dat het organisatieomvattend inrichten van de informatievoorziening. Dat voert dus veel verder dan integratie van systemen. Bij een dergelijke toekomstvisie passen gedeelde voorzieningen, zoals een enterpriseportaal dat bereikbaar is voor de hele organisatie. De bijpassende technische oplossing is in dat geval een enterprise service bus (ESB). Maar ook bij organisatiesstrategieën die minder omvattend zijn, valt een efficiëntieslag te maken met ICTmiddelen als een message broker of een ESB. Bij het efficiënter maken van een complex ICT-landschap onderscheidt CSC drie niveaus:
18
1. Integratie Een efficiëntere berichtuitwisseling realiseren door applicaties te koppelen, zonder deze volledig te integreren. Hier is een message broker de beste oplossing omdat daarmee complexe en dure point-topoint oplossingen tussen applicaties worden voorkomen.
3. Orkestratie Een architectuur waarin applicaties, naast bestaande integratie, ook via (web)services met elkaar communiceren. Ook hier past een ESB, vanwaaruit de organisatie dan doorgroeit naar een volledig servicegerichte architectuur. Van integreren naar orkestreren
2. Aggregatie Een totaalbeeld van informatie geven vanuit verschillende applicaties. Bijvoorbeeld door voor verpleegkundigen in de hele organisatie een portaal op te zetten dat informatie uit de verschillende systemen, zoals het planningssysteem en het EPD of ECD, verzamelt en weergeeft. Hier past een enterprise service bus (ESB) die de informatie uit de bronsystemen aggregeert.
CSC ondersteunt bij het formuleren van de ICT-strategie, bij de keuze tussen message broker of enterprise service bus, en bij de selectie van het juiste type message broker of ESB. Met advies van CSC valt veel winst te behalen. Die winst zit ‘m niet alleen in kostenbesparingen door een gestroomlijnd applicatielandschap en in efficiëntere werkprocessen. De winst van ondersteuning door CSC zit vooral ook in een beter overzicht en een hogere kwaliteit van zorg.
INNOVATIE
Pharmacy as a Service ICT-ontzorging op medicatiegebied voor ziekenhuizen en zorginstellingen
De medicatieoplossingen van CSC, met Centrasys centraal, staan bekend om hun betrouwbaarheid. Solide software, die zich in de praktijk van alledag bewezen heeft, en waarop de meerderheid van de ziekenhuisapotheken in Nederland vertrouwt. Met Pharmacy as a Service krijgen ziekenhuis- en instellingsapotheken daar een gedegen technische infrastructuur en gespecialiseerde know-how bij. Centrasys gehost Pharmacy as a Service levert apotheken en instellingen de gewenste CSCmedicatieoplossingen (Centrasys,
Centrasys/EVS voor elektronisch voorschrijven en CSC Centrasys/ TRS voor toedieningsregistratie) vanuit een gehoste omgeving met een gegarandeerde stabiliteit en hoge beschikbaarheid. Alle afspraken worden vastgelegd in SLA’s. Inbegrepen zijn back-ups en het technisch beheer van de omgeving (24x7). CSC beschikt over meer expertise dan de puur technische kennis van hardware en rekencentra: CSC is ook zelf de leverancier van de medicatieoplossingen. Bij vraagstukken die zowel betrekking hebben op de technische omgeving als op het specifieke domein van medicatie, is alle nodige kennis dus aanwezig onder één dak. Dat levert tijdsvoordeel en werkt door in de betrouwbaarheid van de omgeving. Efficiëntie en beveiliging Kiezen voor hosting betekent natuurlijk een keuze voor kostenefficiëntie: dure hardware hoeft niet langer zelf te worden ingekocht en ook de indirecte kosten voor het technische beheer vervallen. Maar er zijn meer voordelen.
Rivierduinen neemt als eerste CSC’s Pharmacy as a Service in gebruik De Zuid-Hollandse organisatie voor geestelijke gezondheidszorg Rivierduinen heeft in mei de nieuwe hostingoplossing Pharmacy as a Service in gebruik genomen. De organisatie, die bestaat uit drie regionale GGZ-centra voor volwassenen en ouderen, een centrum voor kinderen en jeugd en vier specialistische centra, heeft gekozen voor de hostingoplossing van CSC om elektronisch medicatie voor te schrijven. De eerste groep artsen en psychiaters van Rivierduinen is medio mei getraind en schrijft vanaf nu elektronisch voor in de gehoste EVS (Elektronisch Voorschrijf Systeem)-oplossing van CSC. Door met de Centrasys/EVS-oplossing van CSC te gaan werken, behaalt Rivierduinen een aantal voordelen die de medicatieveiligheid verhogen. Zo kan er automatische
Softwarepatches en -updates worden voor de gehele omgeving tegelijkertijd doorgevoerd, wat het risico van onderbeveiliging drastisch reduceert. De omgeving is sterk beveiligd en iedere apotheek of instelling krijgt een volledig afgeschermd deel van het rekencentrum toegekend. CSC is daarbij expert op het gebied van informatiebeveiliging en brengt kennis mee vanuit sectoren als de ruimtevaart en defensie. Daardoor voldoen ook onze zorgoplossingen aan zeer hoge eisen op het gebied van beveiliging.
“Infrastructuur + software + kennis: CSC’s unieke combinatie voor ziekenhuis- en instellingsapotheken”
medicatiebewaking plaatsvinden terwijl de arts of psychiater voorschrijft. Denk daarbij niet alleen aan automatische controle op doseringen, maar bijvoorbeeld ook aan allergieën van de patiënt, aan contra-indicaties bij een specifiek geneesmiddel en aan controle op interacties tussen geneesmiddelen. Daarnaast verhoogt de EVSoplossing de medicatieveiligheid doordat elektronische recepten eenduidig zijn vergeleken met handgeschreven en gefaxte recepten. En doordat artsen en psychiaters elektronisch voorschrijven, komen alle medicijnen gestructureerd in één elektronisch dossier te staan – en dat betekent een volledig en actueel medicatieoverzicht op ieder moment. CSC’s Pharmacy as a Service geeft Rivierduinen bovendien flexibiliteit in het gebruik van de Centrasys/EVS-oplossing: door te kiezen voor de hostingvariant is de oplossing altijd beschikbaar voor zo veel gebruikers als nodig is. De ggzorganisatie kan met Pharmacy as a Service rekenen op een vakkundig beheerde, goedbeveiligde omgeving.
CSC HEALTHCARE MAGAZINE / Nummer 1.2014
V
oor ziekenhuis- en instellingsapotheken is ICT vanzelfsprekend niet het vakgebied waarover de meeste kennis in huis is. Maar ICT is wel alom aanwezig en ondersteunt intussen vrijwel alle processen in en rond medicatiemanagement en -logistiek. ICT raakt, kortom, aan de kernprocessen van de apotheek. Daarop moeten apothekers volledig kunnen vertrouwen. CSC biedt daarom ICTontzorging.
19
INTERVIEW
MaaS-primeur
aan de Maas
O
p drie luttele kilometers van Roermond, in het stroomgebied van de Maas die door het glooiende Limburgse landschap meandert, ligt het dorpje Melick. Toy Broen en René Theunissen voeren hier al jaren praktijk – Toy 22 jaar en René 14 jaar. Hun huisartsenpraktijk heeft de primeur voor Nederland: als eerste zijn zij aan de slag gegaan met MicroHIS X as a Service (MaaS). Een verslag uit Melick.
20
René Theunissen maakt op een “vrije” woensdagmiddag tijd voor het interview, tussen twee afspraken in het Laurentius Ziekenhuis Roermond door. Hij komt net terug van een sessie met huisartsen uit de Roerstreek en longartsen in het kader van ketenzorg voor COPD, en heeft er aan het einde van de middag weer een werkgroepvergadering over het samenvoegen van de huisartsenpost en de SEH.
Als we kijken naar de praktijk en de populatie, hoe ziet Melick er dan uit?
Wat zijn dat voor beelden die je hier hebt in de praktijk?
“Anders dan veel andere Limburgse praktijken, hebben we in Melick een populatie die naast een grote groep patiënten van boven de 65 ook een behoorlijk aantal jongere mensen met kinderen kent. Dat komt door de nabijheid van Roermond. Door de aanwezigheid van zo’n grote stad in de buurt is het dorp aantrekkelijk voor jonge gezinnen: er is de nodige werkgelegenheid, en er zijn belangrijke voorzieningen zoals scholen. Je kunt het een beetje afleiden uit het aantal kraamvisites. Die doe ik toch met enige regelmaat. Maar de nadruk ligt in deze praktijk, met zo’n 4000 patiënten, op de zorg voor ouderen.”
“Ze zijn gemaakt door een oud-patiënt, die altijd in de buurt sprokkelhout verzamelde. Dat ging allemaal mee op de fiets, en in zijn kelder thuis sneed hij er beelden uit. Als hij dan eens op consult was geweest, kwam hij de week daarna terug om een beeld te geven,” vertelt René. “Gewoon zo, als dankjewel.” We zien de beelden als René een rondleiding geeft door de praktijk. Middenin het interview meldt zich namelijk net de klusjesman die een plafondlamp komt vervangen. In rap Limburgs wordt
geregeld dat we zo weer terug kunnen in de spreekkamer van René. Daar gaan we verder met het interview, over MicroHIS X en over de nieuwste vorm waarin MicroHIS X aangeboden wordt, gehost vanuit een datacenter van CSC. De praktijk in Melick is sinds 1998 MicroHISpraktijk. MicroHIS draaide er al een aantal jaren toen René in de praktijk kwam. In de loop van de jaren is er veel veranderd, maar MicroHIS bleef. Toy en René hebben alles meegemaakt, van de introductie van de eerste Windowsfeatures tot en met de introductie en doorontwikkeling van MicroHIS X.
Wat maakt het werken in een dorpspraktijk anders dan het werken in de stad? “In een dorpspraktijk kennen de mensen elkaar beter, er is meer sociale controle. Je kent complete families met hun problemen en ziekten. Als je kijkt naar Roermond, hier net verderop, dan is dat toch al anders. Het verloop is hier minder groot, je hebt ook niet dat een deel van de populatie anoniem is. We hebben bijvoorbeeld ook geen achterstandswijken. De mensen gaan in een dorp, zeker in zo’n oude dorpskern, toch ook anders met elkaar om.”
“Palliatieve zorg,” zegt René zonder aarzelen. Hij legt uit: “Mensen in die levensfase hebben alles achter zich gelaten. Er zíjn geen opties meer bij de specialist. Juist bij mensen waar qua levensverwachting niet veel meer te winnen is, vind ik het mooi als het lukt om dat laatste stukje wat beter te laten verlopen en daar dan nog wat goeds van te maken. Ik merk ook dat ik daar gemakkelijk meer energie in steek; het maakt niet uit dat het buiten praktijktijden om is. Het is een moeilijke periode waar mensen doorheen moeten, en net dan kom je dichter bij mensen, kom je dichter in een gezin. En je merkt dat je veel terugkrijgt, veel dankbaarheid. Dat is mooi.” Die nauwe band met de patiënten blijkt ook uit de houten beelden, waarvan er een stuk of wat her en der in de praktijk staan.
CSC HEALTHCARE MAGAZINE / Nummer 1.2014
Waarvan krijg je de meeste voldoening in je werk in deze praktijk?
21
Jullie gebruiken MicroHIS al heel lang. Wat vind je er goed aan? “Als co-assistent, in 1994, maakte ik voor het eerst kennis met MicroHIS,” vertelt René. “Windows zorgde in die tijd voor rappe vernieuwing. MicroHIS volgde niet direct, maar ik weet nog dat die vernieuwing voor het eerst terugkwam in de MicroHIS-Agenda, met makkelijk knippen en plakken. Dat was voor toen een eerste grote stap.”
een hardware-leverancier nagevraagd, en dan sla je achterover van de bedragen die gevraagd worden voor een kale hardware-upgrade, niet eens voor nieuwe apparatuur. Duizenden euro’s. En dan heb je het nog niet eens over softwarelicenties. Dit vonden we buitensporig en disproportioneel ten opzichte van het ICT-budget van een huisartsenpraktijk. Uiteindelijk stak het totaalaanbod van MicroHIS X as a Service er met kop en schouders bovenuit.”
En in de nieuwere versies? “In de nieuwe versies, vooral sinds de invoering van MicroHIS X in 2010, is de workflow heel logisch geworden. Die volgt nu de praktijkvoering op de voet, en is een mooi voorbeeld van hoe technologie de praktijk kan ondersteunen.” Wat is er allemaal veranderd qua ICTbeheer in de loop van de jaren? “Toen ik hier begon, werkten we lokaal, met zelf dagelijks back-ups maken. Ik heb gisteren nog wat laatste oude bandjes teruggevonden in een la, van die dingen waarvan je je nu bijna afvraagt wat je daar ooit mee hebt gedaan. Ik heb ze maar meteen vernietigd,” vertelt René. “En in die tijd zette ik zelf de updates erop, op zaterdagmorgen of ergens op een avond een keer. En dan maar hopen dat het allemaal weer goed ging, en dat was dan ook altijd zo.” Wat was voor jullie de aanleiding om met MicroHIS X as a Service te beginnen? “Na die eerste beginperiode hebben we gewerkt met een aantal regionale ICT-leveranciers. Soms werkte dat goed maar soms ook weer niet. Het ontbrak aan service, ook moest een lokale firma de deuren sluiten. De performance van MicroHIS X bij onze laatste ICT-leverancier leidde tot dagelijkse ergernissen. In onze ogen moest dit beter kunnen. Juist op dat moment kwam het aanbod van MicroHIS X as a Service.” Waren er nog andere opties?
22
“Zeker, en die hebben we ook overwogen. Ik heb in die periode ook nog eens bij
Waarin onderscheidde MicroHIS X as a Service zich? “Het totaalpakket, de performance en vooral ook de flexibiliteit. We hebben bijvoorbeeld zelf de hardware voor de praktijk kunnen kiezen, natuurlijk na overleg over de specificaties, maar die vrije keuze is kenmerkend bij MicroHIS X. Bij veel andere partijen ben je gebonden aan dure combinaties van hardware en software. Bij MicroHIS X voelde ik me als klant gehoord, dat heb ik verder niet veel meegemaakt. Het totaalpakket, de vrije keuze, en ook nog de verschillende
Wat waren de verbeteringen die je zag? “De overgang naar een server in een datacenter van CSC gaf meteen een enorme verbetering in de performance. Met een proefopstelling daar zijn we gaan testen, en we zagen op sommige onderdelen een verbetering met een factor 10. Dat vertaalt zich natuurlijk niet één-op-één naar de dagelijkse praktijk van een consult; ik ben niet opeens vóór de middag al klaar met mijn consulten. Maar feit was dat we geen zandlopers meer zagen bij het werken met MicroHIS X, zoals bij onze eerdere ASPleverancier. Dat maakte het werken met MicroHIS X een prima ervaring.” En wat zijn jullie ervaringen tot nu toe? “Een van de fijnste dingen nu is dat ik alleen nog maar internet nodig heb. Ik log aan hier in de praktijk, of op mijn laptop thuis, en kom snel bij de gegevens die ik nodig heb. Het werkt prima. En verder: het team eromheen, dat maakt voor mij MicroHIS. Bij CSC verwacht je een grote, anonieme leverancier, maar het
Melick was een van de eerste MicroHIS-praktijken. MicroHIS X as a Service onderscheidt zich door het totaalpakket, de performance en vooral ook de flexibiliteit. We hebben bijvoorbeeld zelf de hardware voor de praktijk kunnen kiezen. gradaties daarin, dat is uniek aan de oplossing die MicroHIS X as a Service biedt.” Hoe is de overgang verlopen? “In oktober vorig jaar zijn we als voorloper gestart met MicroHIS X as a Service; in het weekend van 4 en 5 oktober kwam een MicroHIS X-team van twee man ter plekke helpen met de switch. Die overgang, en de hele samenwerking eromheen, is heel erg prettig verlopen. Ik heb in de voorbereiding een aantal zaken ook nog zelf gedaan, zoals de upgrade naar Windows 7, en ben heel goed geholpen als ik daarover vragen had.”
contact met het MaaS-team is juist heel persoonlijk en klantgericht. Ook zaken als de uitbreiding van de helpdesktijden voor MicroHIS X as a Service, nu naar half 8 ’s morgens, dat zijn van die dingen waardoor je als klant merkt dat er naar je geluisterd wordt.” Dus MaaS blijft aan de Maas? “Zeker, we zijn gewoon heel tevreden. Er zijn natuurlijk altijd verbeterpunten, het team speelt daar goed op in, dat geeft ons vertrouwen. In januari dit jaar hebben we dan ook de knoop doorgehakt om definitief aan de slag te gaan met MicroHIS X as a Service. Als eerste in Nederland – in een klein dorpje in Limburg,” constateert René trots.
Gebruiksgemak met MicroHIS X as a Service in vogelvlucht:
• Eén aanspreekpunt voor al uw HIS-gerelateerde ICT-zaken • Keuzevrijheid ten aanzien van hardware en verbinding • Met alle typen devices kunnen inloggen op de omgeving • Toegankelijk overal waar een internetverbinding is • Zonder lokaal software installeren direct aan de slag
• Eenvoudig kunnen waarnemen voor en door collega’s • Snel kunnen beschikken over nieuwe versies en tools • Betalen naar gebruik van de infrastructuur • Gehost vanuit CSC datacenter in Nederland dat voldoet aan hoogste eisen en normen Vrijblijvend meer weten over MicroHIS X as a Service? Mail naar
[email protected] of bel 071-52 56 747 voor meer informatie of voor een afspraak op locatie.
CSC HEALTHCARE MAGAZINE / Nummer 1.2014
• Koppelen van lokale meetapparatuur aan uw HIS
23
BREDER IN
ZORG EN ICT
De druk op de zorg neemt toe, en daarmee ook de druk op de ICT. Wat is de impact van fusies en samenwerkingsverbanden, wat zijn de gevolgen van het invoeren van nieuwe technologie, hoe beschermt u patiëntgegevens? Dat alles en meer vraagt om een leverancier met een brede blik op ICT, brede oplossingen en brede ICT-expertise. CSC biedt die bredere aanpak in ICT.