HUIDIGE PERSPECTIEVEN OP RISICOBEHEER EN COMPLIANCE IN DE GEZONDHEIDSZORG: DE BEHOEFTE AAN BETROUWBARE INFORMATIE IN DE GEZONDHEIDSZORG
EMC PERSPECTIVE
De hoofdzaken voor lagere risico's en betrouwbaarheid • Verminderd risico van dreigingen en beveiligingsproblemen • Wettelijke compliance met HIPAA, HITECH en de Joint Commission (V.S. en internationaal als ook EU-gegevensrichtlijnen) • Grotere controle over informatiemiddelen en elektronische zorgdossiers (EHR) • Personeel betrokken bij beveiligings- en risicobeheerprocessen
ZORGEN BIJ PATIËNTEN In januari 2011 voerde CDW Healthcare een onderzoek uit onder 1000 volwassenen in de V.S. die in de voorafgaande 18 maanden een dokterspraktijk, ziekenhuis of een polikliniek hadden bezocht. Het onderzoek wees uit dat een aantal respondenten zich zorgen maakte over de mogelijke beveiligingsproblemen in verband met het overgaan van zorgdossiers van papier naar elektronische bestanden. Bijna de helft van de respondenten geloofde dat het gebruik van elektronische zorgdossiers de privacy van hun persoonlijke en gezondheidsgegevens negatief zou beïnvloeden. De zorgen die onder de patiënten leefden liepen uiteen van vrees dat hun gegevens op het internet terecht zouden komen tot het gebruik van hun gegevens door cybercriminelen om hun identiteit te stelen. De respondenten waren ook bezorgd dat als werkgevers toegang hadden tot hun gezondheidsgegevens ze deze mogelijk konden gebruiken voor beheer van hun bonus- en salarisniveau of bij overwegingen om personeel wel of niet aan te nemen. Ongeacht of een gezondheidsinstelling net is begonnen met de implementatie van elektronische zorgdossiers (EHR) of met de omzetting van elektronische zorgprocessen voor snellere dienstverlening, een belangrijke overweging voor goed gebruik en onderhoud van elektronische zorginformatie is de vermindering van het mogelijke risico voor dergelijke dossiers en beheer van compliance met de relevante wettelijke vereisten. De druk komt uit een aantal verschillende richtingen. Het toenemende gebruik van persoonlijke zorginformatie (PHI) en patiëntportals geeft aanleiding tot zorgen over de beveiliging. Zorggebruikers weten wat er speelt en eisen privacy en institutionele bescherming van hun gegevens. Net als bij andere bedrijven willen zorggebruikers garanties tegen diefstal van hun medische identiteit en fraude.
DEFINITIE VAN RISICO IN DE GEZONDHEIDSZORG De Privacy Rule van de Amerikaanse Health Insurance Portability and Accountability Act (HIPAA) stelt dat zorgplannen, clearinginstellingen en de meeste zorgverleners (betrokken entiteiten) de privacy van patiëntgegevens te allen tijde moeten beschermen via bestuurlijke, fysieke en technische garanties. Als een belangrijk onderdeel van de HIPAA of HITECH (de component van de Amerikaanse Recovery and Reinvestment Act van 2009: de Health Information Technology for Economic and Clinical Health Act) van een zorgorganisatie moeten compliance-plannen een risicoanalyse vormen die moet aangeven hoe verschillende systemen die gereguleerde elektronische zorgdossiers genereren de beveiliging van de patiënt kunnen beïnvloeden. Hoewel er afhankelijk van uw sector en perspectief veel definities bestaan voor "risico", bevat de ISO/IEC-gids 51:1999 een bruikbare variant. Risico is "een combinatie van de mogelijkheid dat schade optreedt en de ernst van die schade." Hoe dan ook, hetzij toegepast op HITECH, HIPAA, de EU-gegevensrichtlijnen of de informatiebeheernorm van de Joint Commission, het wettelijke perspectief voor risico moet gericht zijn op het risico van de zorgkwaliteit en/of openbare veiligheid met betrekking tot computersystemen die elektronische zorgdossiers genereren of opslaan die in belangrijke mate de veiligheid en kwaliteit van de gezondheidszorg kunnen beïnvloeden. Daarnaast bestaan er ten aanzien van de klinische compliance van de patiënt vanuit een praktisch perspectief ook wettelijke problemen. Deze gelden niet alleen voor aanbieders, maar ook voor de betalers. Geïdentificeerde risico's kunnen worden verholpen met technische oplossingen die deze risico's effectief verwijderen, herhaling van risico's kunnen verminderen of de ernst van de gevolgen naar aanvaardbare niveaus kunnen terugbrengen. Risico's waarvoor geen technische oplossingen bestaan, kunnen eventueel met procedurele aanpassingen worden verholpen. Overige risico's die na vermindering van het risiconiveau blijven bestaan, kunnen worden beschouwd als minimaal en binnen aanvaardbare risiconiveaus. De Joint Commission en HIPAA vragen van zorginstellingen goede toegankelijkheid tot hun beleid en procedures en naleving van de beveiligings- en privacyvereisten. Desondanks blijven veel ziekenhuizen, laboratoria en apotheken werken met handmatige systemen waarmee door gebruik van veel documenten en standaardwerkprocedures, soms slechts op papier, veel tijd is gemoeid bij het maken, bijwerken, ophalen en verspreiden van informatie. 1
Deze handmatige beleids- en procedurele aanpak is niet alleen nadelig voor de beveiliging en privacy van de patiënt, maar houdt ook risico's in voor de erkenning, wettelijke compliance en effectieve bedrijfsvoering van de organisatie. Hoewel de Joint Commission is gericht op de V.S., is compliance op basis van beleid een wereldwijd aandachtspunt. Bovendien worden tegenwoordig veel zorgcontracten niet beheerd door een geïntegreerde aanpak binnen ondernemingen, maar uitgevoerd met uiteenlopende, geïsoleerde oplossingen en toepassingen per afdeling. Het gevolg hiervan is dat contracten worden opgeslagen op meerdere locaties met verschillende bewaarschema's. Eenduidige verslaggeving en overzicht voor deze verschillende opslagplaatsen is een haast onmogelijke taak. Een dergelijk inefficiënt contractbeheersysteem leidt tot risico's en negatieve resultaten die miljoenen kunnen kosten. Volgens een onlangs verschenen artikel kunnen Amerikaanse ziekenhuizen een aanzienlijke boete verwachten voor vervallen contracten in verband met schendingen van de Stark-wet die bepaalt dat vervallen contracten die niet opnieuw worden ondertekend een ziekenhuis meer dan 854.000 dollar kunnen kosten.
WAT IS RISICOBEHEER? Veel zorginstellingen weten wat ze te doen staat. Ze weten dat ze moeten beschikken over een structuur met duidelijke richtlijnen over gegevensbeheer, de bedrijfsbehoeften en de technologische infrastructuur en processen die nodig zijn om een veilige en beschermde computeromgeving te ondersteunen. Sommige instellingen krijgen echter ook te maken met problemen zoals kapitaalgebrek om beveiligingsoplossingen uit te voeren, toenemende wettelijke bepalingen en normen en een grotere behoefte om gegevens te delen met patiënten, partners en medewerkers. Voeg hierbij het feit dat vele organisaties, personen en afdelingen hun eigen initiatieven hebben genomen op het gebied van informatietechnologie, hetzij door middel van servertoepassingen of eenvoudige spreadsheets en databases, en het is duidelijk hoe moeilijk het is om al deze gegevens en processilo's te beheren en te beschermen. Regelgevende instellingen in de grote internationale markten (de Europese Unie, NoordAmerika, Canada en Japan) zijn alle voorstanders van het gebruik van protocollen ten aanzien van risicobeheer. Ze geven misschien niet een eenduidig wettelijke vereiste aan voor risicobeheer of schrijven niet precies voor hoe risico moet worden beheerd, maar het resultaat van een algemeen omvattend risicobeheerprotocol wordt ondersteund door nagenoeg alle regionale wetten en regelgeving voor zorgverleners, betalers en overheidszorginstellingen. Risicoanalyse moet voortdurend in ontwikkeling zijn gedurende de levenscyclus van patiëntenzorg of bij zorgactiviteiten. De globale stappen van een risicoanalyseprotocol zijn: • Identificeren van de mogelijke gevaren met behulp van interdepartementale teams van onder andere de technische dienst, R&D, medisch personeel, marketing, gebruikers, juridische afdeling, technici voor productveiligheid, productie, etc. • Definiëren van de waarschijnlijkheid en het risico van ieder gevaar met behulp van een bottom-up Failure Mode en Effect Analysis (FMEA) of een top-down Fault Tree Analysis (FTA) • Bepalen van de gevaren die risiconiveaus hebben die moeten worden verminderd • Verminderen van de gevaren • Controleren of er nieuwe gevaren worden gegenereerd • Blijvend verminderen van de gevaren tot een aanvaardbaar risiconiveau Een andere best practice voor risicobeheersing in zorginstellingen is het instellen van een correctief en preventief actieplan (CAPA) en de analyse en follow-up van klachten tijdens de levenscyclus van het zorgdossier. Bij de uitvoering van een risicoanalyse moeten zorginstellingen zowel onder normale als afwijkende omstandigheden de mogelijke gevaren onderkennen die verbonden zijn aan hun zorgactiviteiten en relevante elektronische systemen. De risico's verbonden aan dergelijke gevaren zijn onder andere problemen als gevolg van menselijke fouten. Deze moeten worden berekend op basis van normale en afwijkende omstandigheden. Als een risico als
2
onaanvaardbaar wordt beschouwd, moet het worden verlaagd tot aanvaardbare niveaus met behulp van de juiste maatregelen, bijvoorbeeld door het opnieuw opstellen van compliancebeleid of waarschuwingen. Bij risicoanalyse is het belangrijk ervoor te zorgen dat veranderingen die worden aangebracht om gevaren te verwijderen of te minimaliseren geen nieuwe gevaren met zich meebrengen. Hoewel zorginstellingen standaard een groot aantal risico's beheren, staan externe juridische en wettelijke compliancerisico's centraal in e-governance, risico en compliance (eGRC).
eGRC-STRATEGIEËN VOOR BETROUWBARE GEZONDHEIDSZORG INFORMATIE eGRC is een overkoepelende term die beschrijft hoe een organisatie: • De doelstellingen, beleidsbepalingen, procedures en normen definieert die voor de organisatie gelden • Onderbouwde beslissingen neemt voor het benutten van kansen en tegelijkertijd negatieve gebeurtenissen en processen vermijdt of beheert • Naleving van wetten, regelgeving, beleidsbepalingen, contractuele verplichtingen en branchestandaarden demonstreert eGRC is een gecombineerd focusgebied in een groot aantal zorgorganisaties. De eGRCstrategie is van enorm belang voor wereldwijde zorgorganisaties in de particuliere en publieke sector. Het is de laatste jaren voortdurend genoemd als een van de belangrijkste stimulansen voor investeringen in informatiebeveiliging.
Beheren van risico en compliance vanuit het perspectief van een gebruiker van elektronische gezondheidszorg Algemene problemen en gezichtspunten van EHR-gebruikers met betrekking tot risicobeheer en compliance zijn onder andere: • Compliance met de regelgeving ten aanzien van de gezondheidszorg (bijv. HIPAA, HITECH en Joint Commission van de EU) wordt veelal centraal beheerd binnen zorginstellingen met weinig input voor EHR-gebruikers in compliance-beleidszaken • Beheer kan een onzeker en onstabiel proces zijn • Het belangrijkste voor wettelijke compliance is hoe strak uw “praktijk" geregeld is - weet u wat u in huis hebt? • De wens bestaat om risico en compliance beter te beheren • Bij de regelgeving ten aanzien van de gezondheidszorg is zorgvuldigheid nodig • Ad hoc-compliance en een serieuze inzet zijn geen voorwaarden voor het verminderen van risico • Niemand houdt van te veeleisende beleidsbepalingen • Het woud aan overheidsbronnen kan leiden tot verwarring over de interpretatie van regelgeving
3
Toonaangevende zorginstellingen implementeren geconsolideerde eGRC-processen en integreren hun eGRC-systemen nauwer met hun bedrijfssystemen. Het is daarom nu interessant om te bekijken hoe ondernemingen zijn ontwikkeld en hun toekomstige prioriteiten bepalen. Er bestaan bemoedigende aanwijzingen dat de eGRC-processen robuuster worden. Een probleem met huidig compliancebeheer is dat het veelal is gebaseerd op periodieke inspecties. Als gevolg van hun ontwikkeling kunnen organisaties tussen audits afwijken van compliance met regelgeving zoals HIPAA, Joint Commission en EU-gegevensrichtlijnen. Het gevolg hiervan is een toenemende tendens naar de integratie van permanente controlemechanismen voor de interne bewaking van eGRC-processen. eGRC krijgt echter te maken met nieuwe problemen met betrekking tot informatiebeveiliging die worden veroorzaakt door toenemende IT-technologieën zoals virtualisatie en de implementatie van cloud-services. De gebruikersgemeenschap heeft nog steeds geen duidelijk beeld van wat deze problemen inhouden en van hun relatieve belang.
COMPLIANCE MET REGELGEVING, UITGEBREIDE PATIËNTINFORMATIE, OPLEIDING EN BELEID EN PROCEDURES GEZIEN ALS BELANGRIJKE PROBLEMEN Tijdens een onlangs gehouden congres over informatiesystemen voor de gezondheidszorg hield EMC® een onderzoek onder deelnemers met betrekking tot problemen omtrent hun risico- en compliancebeheer. Hoewel enkele gemeenschappelijke problemen naar boven kwamen bij zorgprofessionals (zie de kantlijn), lieten de zorg-CIO's, projectmanagers, trainers, compliance-medewerkers en IT-managers verschillende meningen horen over de voornaamste risico's voor hun EHR-omgevingen en de mogelijke oplossingen. Een CIO van een non-profitzorgaanbieder in Arkansas gaf aan dat interne beveiliging het grootste risico vormde voor de EHR van zijn bedrijf. Hij zei ook dat: "Zorgen dat iedereen de verschillende federale regelgeving begrijpt en dat we blijvend voldoen aan de bepalingen van bijvoorbeeld HIPAA en HITECH" belangrijke uitdagingen zijn. Een directeur van de Clinical Decision Support-afdeling van een kinderziekenhuis in Florida zei: "Klinisch gezien is het grootste risico het feit dat ons dossiersysteem nog steeds gefragmenteerd is. Niet alle patiëntinformatie is al elektronisch. Dit houdt het aanzienlijke risico in dat wanneer een arts een patiëntdossier doorneemt hij of zij niet alle relevante
patiëntgegevens voor ogen krijgt. Dit kan leiden tot een groter kans op klinische fouten, fouten bij het voorschrijven van medicijnen, weglatingsfouten en commissiefouten." Verscheidene personen gaven aan dat hun grootste EHR-risico ongeoorloofde toegang was. Een VP/CIO van zorgpartners in Colorado zei dat het grootste risico eerder bestaat uit intern ongeoorloofde toegang tot patiëntgegevens dan externe toegang: "Oneigenlijke toegang tot patiëntdossiers door interne bronnen is waarschijnlijker dan toegang door externe bronnen. We maken ons minder zorgen om de afbakening van onze organisatie. Maar als iemand een intern wachtwoord doorgeeft of als een andere vorm van interne beleidsschending optreedt, dan is dit veel moeilijker te beheren." Tijdens de interviews kwam training naar voren als een essentiële factor bij het beheer van EHR-risico's en -compliance. Een IT-directeur van een ziekenhuis in Colorado gaf aan: "Zorgen dat de werknemers de regels volgen voor veilig werken met elektronische dossiers is erg belangrijk. We trainen hier regelmatig uitgebreid op." Training is niet alleen belangrijk voor werken met EHR maar ook voor het doorgeven van de juiste manier om ermee om te gaan. De IT-directeur voegde hieraan toe: "De grootste uitdaging is beveiligingsmedewerkers te laten inzien dat het belangrijk is dat mobiel gebruik van elektronische informatie ook moet worden opgenomen in beveiligingsoverwegingen. Ik probeer beide zijden uit te leggen, artsen en informatiebeveiligingsmedewerkers, dat er zowel risico's als beloningen zijn verbonden aan gebruik van een EHR." Een analist van klinische workflow voor het Amerikaanse leger die samenwerkt met de EHR van het ministerie van Defensie gaf aan dat het erg belangrijk was precieze, op het beleid gerichte training te geven om zeker te zijn van lage risico's en compliance met de voorschriften. Een VP Operations zei dat het essentieel is om zijn medisch personeel te betrekken bij de ontwikkeling en het testen van hun EHR voor inzicht in de risicogebieden: "Zorgen dat ze betrokken zijn bij de ontwikkeling van de vereisten. Zorgen dat ze betrokken zijn bij de periodieke stappen voor programmaontwikkeling en testen. We vragen de betreffende artsen deel te nemen, te werken met de EHR terwijl wij het systeem testen, het zogenaamde 'unit testen', en doorwerken. We zorgen ervoor dat ze het product accepteren voordat ze het gaan gebruiken." Het idee om een formeel risicobeoordelingsproces op te zetten, zoals vermeld in een eerder hoofdstuk van deze paper, werd vaak geopperd door de respondenten van het EMConderzoek. De VP Operations bij een zorgconsultancy zei: "Onze taak is te proberen het risico te identificeren, te verminderen en vervolgens er achter te komen wat de mechanismen voor risicocontrole zijn: met andere woorden, is het extra financiering, verlenging van de tijdslijn, acceptatie van het risico? We proberen het risico ook te meten, zodat we vervolgens de juiste maatregelen kunnen treffen om het risico te verminderen." Hij zei verder: "We voeren een formele risicobeoordeling uit. We kijken daarbij naar de waarschijnlijkheid dat het risico opnieuw optreedt, de impact en de ernst van het risico. We gebruiken eigenlijk een soort dashboard dat we hebben samengesteld om risico's te volgen. We geven de resultaten door aan de klanten op maand- of regelmatige basis naarmate we werken aan vermindering van die risico's." Een projectmanager voor een Health Information Technology Regional Extension Center in de staat Nebraska zei: "Uitvoeren van een risicobeoordeling voor EHR-gebruik maakt deel uit van het nuttig omgaan met EHR." Een zorg-CIO in Nashville meldde dat hij liever een gapanalyse uitvoerde op de vereisten voor nuttig gebruik van de ARRA dan een formelere risicobeoordeling. Een andere belangrijke uitdaging voor deze gebruikers is de juiste interpretatie van zorgregelgeving. Op de hoogte blijven van wijzigingen en aanpassingen van regelgeving is ook belangrijk voor risicobeheer en EHR-compliance. Op de vraag hoe hij aan consistente en precieze interpretaties van de regelgeving kwam, antwoordde de militaire workflow-analist: "Gewoon nagaan en meer vragen stellen. Als we ergens niet zeker van zijn, dan vragen we om uitleg. We werken in een militair zorgcentrum en we kennen de mensen op de juiste plaatsen en stellen de juiste vragen om er voor te zorgen dat we correct handelen."
4
"We hebben een juridische partner die ons helpt als we juridisch advies nodig hebben bij de interpretatie van regelgeving. Wanneer het gaat om de interpretatie van de ARRA en richtlijnen ten aanzien van nuttig gebruik, geven we ze onze aanbevelingen op basis van wat we weten. Ik ben onze "expert nuttig gebruik" zei een IT-directeur van Addison in Texas. Een klinische technicus in Little Rock maakt gebruik van conferentiegesprekken, vergaderingen en interne berichten voor de communicatie van een bedrijfsbrede interpretatie van de zorgregelgeving en uitleg van deze interpretatie aan de EHRbelanghebbenden in een organisatie: "We brengen beveiligingsmedewerkers in contact met artsen, we lichten de artsen voor over de behoefte aan beveiliging en de benodigde protocollen. We proberen beide kanten ieders perspectief te laten begrijpen." Een andere IT-directeur, die deel uitmaakt van een IT-peergroep die de interpretatie van zorgregelgeving bespreekt, gaf hierover meer informatie: "Er is een Western HC Alliance Group en alle betreffende IT-directeuren komen om de drie maanden bijeen en vergaderen eens per maand via webcam. We hebben sprekers en we proberen ze op de hoogte te houden. Als iemand iets nieuws weet, dan geeft hij of zij het door, we zijn een kleine gemeenschap."
MOBIELE APPARATEN HEBBEN EXTRA AANDACHT NODIG MET BETREKKING TOT RISICO EN COMPLIANCE EMC vroeg vervolgens hoe het gebruik van mobiele apparaten de beveiliging en privacy van elektronische patiëntgegevens beïnvloedt. Nagenoeg alle respondenten van het onderzoek gaven aan dat zij mobiele apparaten gebruiken in hun klinische werk om patiënten beter van dienst te kunnen zijn. Zij zeiden ook dat voor het gebruik van deze apparaten extra aandacht nodig was met betrekking tot risico en compliance. Een IT-manager van een ziekenhuis in Florida zei: "Mobiele apparaten brengen veel beveiligingsrisico's met zich mee. Je moet daarom zoeken naar een manier om veilige toegang te bieden via specifieke lijnen of kanalen in combinatie met coderingsmethodologieën." Een VP Operations in Washington DC had een interessante kijk op de beveiliging van mobiele apparaten: "Denk eraan dat het apparaat gewoon een informatiebord is, niets meer. Mensen zoeken te veel in en achter hun apparaten. Dit kun je beter niet doen want je moet gericht blijven op je patiëntgegevens. Als je je richt op de gegevens, gebruik je die informatie als een instrument om die patiënt te behandelen, net als je stethoscoop." Het belangrijkste is de gegevens in iedere vorm of plaats te beschermen en niet altijd gefocust te zijn op het mobiele apparaat. De eigenaar van een consultancy-bedrijf in North Carolina is het daar niet mee eens: "Je moet uiteraard geen gegevens opslaan op het mobiele apparaat, maar je weet nooit wat er in de cache wordt opgeslagen en daar moet je heel voorzichtig mee zijn." De CIO uit Nashville kwam terug op het beveiligingsprobleem voor mobiele apparaten: "Voor mij zijn mobiele apparaten het grootste risico omdat de procedures in onze zorgcentra over het algemeen goed zijn beschermd. Daar hebben we fysieke beveiliging. Het grootste risico zit hem vooral in de mobiele apparaten, of de toegang van buiten het systeem."
BEDRIJFSRISICO'S ZIJN EEN KOSTENPOST Het laatste vraagonderwerp van het EMC-onderzoek ging over de bedrijfsrisico's van het algemene gebruik van EHR. De respondenten identificeerden de volgende bedrijfsrisico's: kosten van implementatie en onderhoud van een EHR; behalen van tijdslijnen en levering van producten en diensten van een organisatie; zorgen voor een evenwichtige kostenplanningverhouding; afhankelijkheid van een EHR-leverancier voor risico- en compliancecontrolemechanismen en angst voor het onbekende bij het implementeren of upgraden van een nieuwe EHR. Een compliance-medewerker en arts uit Palmetto in Florida zei: "Voor iemand zoals ik die alleen werkt, zijn kosten het grootste risico. HITECH is geweldig als je bij een zorginstelling
5
werkt of een ziekenhuis bent, maar voor professionals zo als ik is HITECH-financiering niet weggelegd. En toch moeten we interoperabel zijn." "Bij het aanpassen van een EHR komt het risico niet van het schenden van een toegangspunt maar heeft meer te maken met het management. Kleine updates en wijzigingen leiden tot een risico voor de continuïteit van een bedrijf," zei de CIO uit Colorado. Een IT-projectleider uit Louisiana zei: "Voor mij bestaat het risico uit de angst over hoe het gebruik van EHR de workflow en de praktijk van artsen verandert. Ze zijn bang voor meer lasten met gevolg toenemende inertie."
EMC BOUWT EEN BETROUWBARE (ZORG-) OMGEVING EMC biedt belangrijke oplossingen voor zorginstellingen die moeite hebben met risicobeheer en compliance. EMC combineert begrip van klinische, operationele en bedrijfsbehoeften voor beheer van informatietechnologie in zorginstellingen met kennis van de wettelijke bepalingen waarmee deze instellingen worden geconfronteerd. EMC gebruikt vervolgens dat begrip en die kennis samen met technische en procedurele expertise om deze instellingen te helpen bij het beheren en uitvoeren van een veilige en correcte technologische omgeving. De uitgebreide beoordeling door EMC van de beveiligingssituatie van een organisatie volgt het Common Security Framework (CSF) van de Health Information Trust-alliantie (HITRUST) met standaarden die toepasbaar zijn op zorginstellingen en hun zakelijke partners. Hier onder vallen de HIPAA, HITECH, EU-gegevensrichtlijnen, PCI DSS-standaarden (Payment Card Industry Data Security Standard) en de vereisten ten aanzien van informatiebeheer van de Joint Commission als ook specifieke wettelijke bepalingen voor individuele Amerikaanse staten. De oplossingen voor Information Risk Management voor beschermde zorginformatie van EMC zijn gebaseerd op internationale branchestandaarden en best practices, zoals ISO 27002 en ISO 27799 voor informatici in de gezondheidszorg, voor naleving van de compliancebepalingen van zorginstellingen van alle groottes.
EMC’s Trust Framework Controle, implementatie en handhaving
Inzicht, toezicht en rapportage
Operationele en organisatorische volwassenheid
(Interne standaarden, beleid, processen)
(Logbestanden, transparantie, audit, metrics)
(Cultuur, rollen, accountability)
Governance
Onzekerheid
Compliance met standaarden en regels
(Risico's, juridisch, levensvatbaarheid van leverancier, vendor lock-in, API's, applicatieportfolio)
(GAAP, ISO)
Naleving van wetten (Voorschriften, jurisprudentie, regelgeving)
Naleving van SLA's (Tijd, resources, performance)
Vertrouwelijkheid van commerciële gegevens
Afgeleide risico's
Compliance
Risk Mgmt
Geheimhouding
(Aansprakelijkheid, directe financiële schade, fraude/diefstal, reputatieschade, ongepast gebruik)
Availability Toegankelijkheid (Uptime van resources)
(Financieel, handelsgeheimen)
Terugvordering
Vertrouwelijkheid van persoonlijke gegevens
(Archiveren, herstellen, fail-overs)
(Klant- en werknemersrecords, PII/PHI/PCI)
Integrity Autorisatie (Te wijzigen, verwijderen)
Onloochenbaarheid en aanvullingen (Van transacties, handtekeningen)
Figuur 1. Het Trust Framework van EMC voor beheer van risico en compliance van de informatie-infrastructuur © Copyright 2011 EMC Corporation. Alle rechten voorbehouden.
1
6
De Virtual Desktop-oplossing van EMC voor de gezondheidszorg verbetert klinische workflows en patiëntbeveiliging door artsen directe toegang en altijd beschikbare computers te bieden. Met de Infrastructure en VMware® View™ van EMC hebben artsen toegang tot alle toepassingen en patiëntgegevens vanaf ieder willekeurig apparaat en vanuit iedere locatie met een consistente, hoogwaardige gebruikerservaring. Klantenfoto's en patiëntgegevens blijven in het gegevenscentrum en worden centraal beheerd voor een goede beveiliging en compliance. Integratie met Imprivata biedt veilige aan- en afmelding en verificatie met eenmalige aanmelding (SSO). Integratie met RSA®, de beveiligingsdivisie van EMC, biedt solide gegevensbescherming en bewaking van de beveiliging/compliance. Met de infrastructuur en VMware View van EMC wordt de zichtbaarheid van gegevens verbeterd en wordt beheer geautomatiseerd vanaf de computer naar het gegevenscentrum. Leveringen, patches en updates worden vereenvoudigd en gecentraliseerd om kosten te drukken en de IT-verwerkingssnelheid te verbeteren. Professionals van EMC Consulting en bewezen oplossingen van EMC voor de gezondheidszorg zorgen voor een kostenbesparend en betrouwbaar gebruik van uw virtuele computers voor de gewenste resultaten op zowel klinisch als financieel gebied. EMC zorgt voor volledige expertise, waaronder besturingssysteem en toepassingen, beveiliging, beheer en virtualisatie. Bij alle services, waaronder beoordelingen van computervirtualisatie en zakelijke aanpassingen, wordt rekening gehouden met de specifieke behoeften van zorginstellingen. De bewezen oplossingen en professionals van EMC Consulting voor de gezondheidszorg zorgen voor een snelle, risicovrije implementatie van alle EMC-producten voor de gezondheidszorg. EMC is ook koploper als leverancier van schijfback-ups en hersteloplossingen en leider in de industrie op het gebied van opslag en software zonder duplicatie. De reeks aan back-up en herstelproducten van EMC biedt de flexibiliteit en schaalbaarheid voor de behoeften aan gegevensbescherming van zorginstellingen van alle groottes. De EMC Information Intelligence zorgt ervoor dat zorginstellingen wendbaarder, sneller reagerend en concurrerender worden omdat ze hiermee het meeste uit hun gegevens krijgen. Deze oplossing zorgt ervoor dat informatie toegankelijk is en correct wordt beheerd, opgeslagen en beveiligd. Waar intelligent inzicht is geïntegreerd in de informatieinfrastructuur hebt u de juiste informatie altijd op de gewenste locatie en tijd beschikbaar. Met intelligent inzicht in informatie kunnen zorginstellingen de juiste beslissingen maken en tegelijkertijd hun kosten en risico's verlagen. Daarnaast zijn door de oplossingen van de gerenommeerde partners van EMC de mogelijkheden om intelligent inzicht in informatie te gebruiken in een zorginstelling nagenoeg onbeperkt. Met intelligent inzicht in informatie wordt een beeld gegeven van de natuurlijke verhouding tussen de inhoud en de processen die bestaan in gebieden zoals ziekenhuisopnames, patiëntenzorg, bonusbeheer, claimverwerking en klantenservice. Bovendien zorgt beleidsbeheer van informatieoplossingen van EMC voor volledige inhoud en verwerking voor het maken, bijwerken, opslaan van en zoeken naar zorgdocumenten. Dit gebeurt door middel van automatisering en stroomlijning van hun levenscyclus via workflows en bedrijfsregels. Beleidsbeheer van informatieoplossingen van EMC biedt ook dashboards en rapportagefunctionaliteit voor informatie voor eindgebruikers over de locatie van de nieuwste documenten en om ervoor te zorgen dat beleid en procedures eenvoudig toegankelijk zijn, waarbij tegelijkertijd wordt voldaan aan de beveiligings- en privacybehoeften. Beleidsbeheer van informatieoplossingen van EMC is ontwikkeld voor minimale risico's, kostenbeheer en het verlagen van de eigendomskosten door het voordeel van gecentraliseerd, online beheer van documenten en dossiers, ook voor juridische contracten. Beheer van juridische contracten zorgt voor volledige inhoud- en procesoplossingen voor het maken, bijwerken, opslaan van en zoeken naar contracten. U kunt deze oplossing bijvoorbeeld gebruiken voor het maken van een bijgewerkt, geldig document op verzoek van de Joint Commission tijdens een onderzoek.
7
CONCLUSIE Voor behoud van de beveiliging van patiënten en de bescherming van hun gegevens is het essentieel de risico's in verband met informatiebeheer zo laag mogelijk te krijgen en te zorgen voor naleving van de regelgeving in de gezondheidszorg. Implementatie en onderhoud van een veilige en correcte IT-infrastructuur voor patiëntgegevens is een belangrijk onderdeel van het risicobeperkingsproces. Het is ook belangrijk om een goed beleid in te stellen en te onderhouden met betrekking tot risicobeoordeling en -beheer. De keuze voor een ervaren organisatie voor IT-infrastructuur die de juiste tools en expertise in huis heeft voor het beheer van risico en compliance in de gezondheidzorgsector is essentieel. De oplossingen voor de gezondheidszorg van EMC zorgen ervoor dat zorginstellingen hun gegevens op eenvoudige en efficiënte manier kunnen gebruiken voor het maken van beter onderbouwde klinische, operationele en financiële beslissingen en daarnaast hun risico's en compliance op een kostenbesparende manier kunnen beheren.
8
CONTACT OPNEMEN Voor meer informatie over de manier waarop de producten, diensten en oplossingen van EMC u kunnen helpen bij het oplossen van zakelijke en IT-uitdagingen, neemt u contact op met uw lokale vertegenwoordiger of officieel wederverkoper, of gaat u naar www.netherlands.emc.com.
EMC2, EMC, RSA, het EMC-logo, het RSA-logo en where information lives zijn gedeponeerde handelsmerken of handelsmerken van EMC Corporation in de Verenigde Staten en/of andere landen. VMware, and VMware View zijn gedeponeerde handelsmerken of handelsmerken van VMware, Inc. in de Verenigde Staten en/of in andere rechtsgebieden. Alle overige handelsmerken die in deze publicatie worden gebruikt, zijn eigendom van de desbetreffende rechthebbenden. © Copyright 2011 EMC Corporation. Alle rechten voorbehouden. Gepubliceerd in de V.S. 4/11 EMC Perspective H8666
EMC Computer Systems (Benelux) B.V. Edisonbaan 14b, 3439 MN Nieuwegein Tel: +31 (0)30 630 50 00 www.netherlands.emc.com