147
jaargang 39
Tijdschrift voor Zorgadministratie en Informatie
OKT 2012 een kwartaaluitgave van de Vereniging voor Zorgadministratie en Informatie
Implementatie ICD-10 in het Deventer Ziekenhuis De rol van gedrag in naleving privacy- eisen
Natuurlijk gaat u digitaal patientgegevens uitwisslen!
Privacy en sociale media, trends in de zorg
Medische registratie op z’n kop
Vossius Consultancy ontzorgt ook de Medische Registratie bij o.a.: - Het leveren van extra capaciteit bij het medisch coderen. - Projectondersteuning en opzet invoering CBV registratie. - Het maken van procesanalyses en het verhogen van de efficiency. - Het inzicht geven in proces en uitkomsten. Vossius Consultancy richt zich op procesverbetering en ondersteuning aan zorginstellingen op het raakvlak van proces, ICT en financiën. Het is een no-nonsense organisatie waarbij een advies of verbetering ook daadwerkelijk wordt doorgevoerd.
verbeteren en versnellen. Vanzelfsprekend is Vossius Consultancy ook volledig op de hoogte van huidige en toekomstige ontwikkelingen, wetten en eisen die gelden in de Nederlandse zorg en wat dat betekent voor onze klanten.
Vossius Consultancy beschikt over grote deskundigheid op het gebied van financiële en administratieve applicaties die in zorginstellingen gebruikt worden. Daarnaast voorzien wij klanten ook van praktische hulpmiddelen die (administratieve) processen
Geïnteresseerd? Bel ons: 020-345 31 37 Email ons:
[email protected] Volg ons op twitter: @vossiusontzorgt & op LinkedIn.
Keizer Karel w e g 1 3 2 | 1 1 8 5 HZ Amstelveen | kvk 34211889 | in f o @ v o s s i u s c o n s u l t a n c y . n l
tijdschriftvoor ZorgAdministratie en Informatie nr. 147 oktober 2012 Een kwartaaluitgave van de NVMA Vereniging voor Zorgadministratie en Informatie, jaargang 39
redactie NTMA Hoofdredactie Han Runnenberg Redactie-secretariaat Erik Noordhuis Redactiemedewerkers Matthieu Dekker Pieter Hooftman Erik Noordhuis Frans van Tilburg Redactie-adres Erik Noordhuis Rivierduinen Postbus 405 2300 AK Leiden E-mail:
[email protected]
De rol van gedrag in naleving privacy-eisen PAG.
4
Aan dit nummer werkte mee Herman Pieterse Copyright 2012 Overname van artikelen is in alle gevallen mogelijk in overleg met de redactie Abonnementen Leden van de NVMA ontvangen NTMA gratis. Voor niet-leden bedraagt het abonnementsgeld €26,– per jaar, los nummer €9,–. Een abonnement kan op elk gewenst tijdstip ingaan. Abonnementen kunnen alleen schriftelijk tot uiterlijk 2 maanden voor het beëindigen van het lopende abonnement worden opgezegd. Bij niet tijdige opzegging wordt het abonnement automatisch voor een jaar verlengd. Lezersservice Opgave abonnement en adreswijziging bij: Bureau NVMA Alkmaar E mail:
[email protected]
Natuurlijk gaat u digitaal patientgegevens uitwisselen! PAG.
11
Vormgeving & productie DesignPeople, Amsterdam/Sittard Uitgever NVMA, Hoorn, www.nvma.nl Druk Marcelis Dékavé Alkmaar Fotografie Erik Gevaert advertentie-coördinatie Telefoon 072 - 5483916 Telefax 072 - 5482170 Telefoon Telefax
071 - 8906610 0252 - 531995
distributie NIC.Oud Direct-mail, Heerhugowaard ISSN 1381-3072
De AO/IC in het DOT- tijdperk PAG.
32
vliegende start met de quick scan invoering LBZ
Na de invoering van DOT staan ziekenhuizen voor een volgende uitdaging: de implementatie van de Landelijke Basisregistratie Ziekenhuiszorg (LBZ). Wat er gedaan moet worden om uiterlijk 1 januari 2014 deel te nemen aan de LBZ, verschilt per ziekenhuis. Daarom is een implementatieplan op maat nodig. Om u hierbij te helpen heeft Q-Consult de Quick Scan Invoering LBZ ontwikkeld. U weet hiermee precies welke stappen u moet zetten om in 2013 te registreren volgens ICD-10 en in 2014 volgens het CBV-codestelsel. Kijk voor meer informatie op: www.qconsult.nl/lbz. Presentatie NVMA congres ICD-10 Onze presentatie tijdens het NVMA congres over ICD-10 is te downloaden op onze website. DOT Helpteam Ook de implementatie van DOT zorgt nog voor extra werk in 2012. Veel ziekenhuizen kampen met oplopende achterstanden. Het vergt veel van de capaciteit van uw zorgadministratie om deze achterstanden weg te werken. Het DOT Helpteam helpt u hierbij. Kijk op www.qconsult.nl voor meer info. Meer weten? Q-Consult helpt u graag met een goede invoering van de LBZ en het wegwerken van DOT-achterstanden. Geïnteresseerd in de mogelijkheden? Contact
[email protected] 026 383 05 65 www.qconsult.nl
Ben Invoerin tua gL l beg BZ onne n?
inhoud ntma oktober 2012 De rol van gedrag in naleving privacy- eisen Egge de Jong, Ronald Koorn
4
Natuurlijk gaat u digitaal patientgegevens uitwisselen! Waar moet u op letten? Itte Overing
11
Hoe lang kan een IBS aanvraag duren? Column Viktor Strefonis
17
Privacy en sociale media, trends in de zorg Berend de Vries
18
Informatievoorziening voor de zorg en vice versa Marco Maes, René Sieders
22
Is de digital angel het panacee om efficiëntie in de zorg te bewerkstelligen? Column Sam Sterk
27
Implementatie ICD-10 in het Deventer Ziekenhuis Esther Vastenavond – Nijboer
28
De AO/IC in het DOT- tijdperk Roos van Veen, Luluk van de Water-Astro, Sandra Dahmen
32
SKZB informatie
42
NVMA informatiepagina
44
Agenda Persbericht: 50 jarig jubileum NVMA en DHD 26 september 2013 Congres: 17th IFHIMA Congress in Montreal, Canada Training: RZA Zorgadministratie Cursus: Transitie van ICD-9 naar ICD-10 15 nov en 4 dec 2012 Seminar: Zorgcontrol in het DOT tijdperk 13 december 2012
in memoriam Aart van Winkoop, redactielid NTMA overleden
14 37 40 zie nvma.nl zie nvma.nl
SKZB De Stichting bevordert de kwaliteit van de beroepsuitoefening van zorgadministratieve functionarissen. Meer informatie op pagina 42/43.
Op 1 april jl. is Aart plotseling overleden.
Midden in het leven
Voor zijn gezin, maar ook voor ons als redactie én vereniging,
Nog zoveel te geven
een groot verlies. Ik ken Aart ruim 5 jaar en hij was een zeer
Idee en plannen te over
betrokken redactielid, die gedegen commentaar gaf op de
In één keer voorbij
ingediende artikelen en altijd op zoek was naar inhoudelijk
Voor ons als redactie was je een kei
goede artikelen. Daarnaast was het gewoon een fijne vent
Enig in je soort
om mee samen te werken. We zullen hem missen!
We zetten ons werk in jouw gedachte voort
Adverteerders Vossius Consultancy, Q-Consult (2), i-Fourc (9), Jalema (16), Allgeier Medical Viewer (26), Studelta (34), Allgeier Scanfactory (41), Marcelis Dékavé (45)
CHS: Grip op uw financien met achterafcontroles Pagina 38 3
4
De rol van gedrag in naleving privacy-eisen
drs.ing. Ronald Koorn RE., KPMG Risk Consulting
mr. Egge de Jong, KPMG Risk Consulting
Er is een toenemende aandacht voor privacy en ook in de zorg speelt dit. Om te voldoen aan privacyvereisten is er grote aandacht voor met name informatiebeveiliging. Hiernaast wordt door veel organisaties ook aandacht besteed aan processen en procedures op het gebied van privacy. Veelal wordt niet stilgestaan bij de rol die menselijk gedrag speelt in het werken met al deze maatregelen. In dit artikel wordt ingegaan op de rol die zogenaamde Soft-controls hebben in het naleven van maatregelen op het gebied van privacybescherming. Soft-controls betreffen niet-tastbare gedragsbeïnvloedende factoren zoals cultuur en voorbeeldgedrag. Door inzicht te krijgen in de effectiviteit van de Soft-controls binnen een organisatie kan meer gericht beleid worden ontwikkeld om de naleving van privacymaatregelen te bevorderen. Soft-controls vormen hierdoor de onmisbare basis voor het naleven van privacyvereisten.
5
Veel aandacht voor privacy, ook in de zorg gaat het regelmatig mis Er gaat vrijwel geen dag voorbij zonder nieuws over privacy of privacy-incidenten. Er is een toenemende maatschappelijke aandacht voor privacy, ook de zorg heeft te maken met hoge publieke verwachtingen aan bescherming van privacy en medisch beroepsgeheim. De grote media- en politieke aandacht voor het elektronisch patiëntendossier (EPD) is een goed voorbeeld van hoe de publieke opinie over privacy beïnvloedend kan zijn in de besluitvorming binnen de zorg. Ook al zijn de eisen vanuit privacywetgeving reeds 20 jaar van toepassing, in praktijk blijkt echter dat – mede vanwege de digitalisering van informatiestromen – vrijwel alle zorginstellingen nog worstelen om de bescherming van de persoonsgegevens van hun patiënten (en hun medewerkers) afdoende vorm te geven. De vele incidenten tonen aan dat zorginstellingen nog altijd niet voldoen aan privacywetgeving. Een voorbeeld is dat patiëntendossiers weleens blijven slingeren op plekken waar zij niet horen, zoals in de kantine of voor de deur van het gesloten secretariaat (‘kunnen ze morgen direct de dossiers verwerken’). Patiëntendossiers Figuur 1 Belemmeringen voor het nemen van privacybeschermende maatregelen
worden ook nog steeds vaak met de leesbare kant naar voren in de lift gedragen, waardoor de gegevens voor iedereen in de lift leesbaar zijn. Ook zijn er veel zorgadministraties die onder de hoge werkdruk vergeten de procedures voor verstrekking van persoonsgegevens na te leven, waardoor gegevens uiteindelijk bij de verkeerde personen terechtkomen, zoals bij de pers. Tenslotte zijn niet alle medewerkers binnen een zorginstelling volledig op de hoogte van hoe zij
moeten omgaan met persoonsgegevens. Weet u bijvoorbeeld hoe u zou moeten handelen wanneer een persoon in een genante situatie op de EHBO terecht komt en vervolgens verzoekt deze gegevens niet in zijn patiëntendossier op te nemen? In dit artikel gaan we in op de privacystatus in Nederland, verschillende aspecten van privacynaleving en de rol van gedrag en ‘Soft-controls’ bij privacynaleving. Resultaten KPMG privacysurvey KPMG heeft samen met TNS-NIPO een grootschalig onderzoek gedaan naar de vraag hoe organisaties in Nederland omgaan met persoonsgegevens en naar de mate waarin deze organisaties bekend zijn met de privacywetgeving. Uit dit onderzoek blijkt dat er onvoldoende begrip is van wat privacy precies inhoudt. Uit de vraag welke kenmerken organisaties van toepassing achtten als wettelijke privacyrechten, bleek dat relatief veel organisaties fundamentele rechten niet van belang achtten of herkenden. Het ging hier om de rechten om zelf te bepalen welke gegevens mensen kenbaar maken en het recht om zelf te bepalen wat er met de persoonsgegevens gebeurt. Twee andere begrippen, doelbinding en vertrouwen, werden wel als belangrijke privacyaspecten herkend. Het feit dat er onvoldoende begrip is van wat privacy inhoudt werd in het onderzoek bevestigd door een groot aantal privacy-incidenten. Uit het onderzoek kwam naar voren dat de afgelopen drie jaar door gemiddeld 10% van de organisaties privacy-incidenten zijn vastgesteld. Als gevolg van meetinstrumenten die nog niet volwassen zijn en een aantal niet-gemelde incidenten zal dit percentage in de praktijk veel hoger zijn. Helaas zien veel organisaties nog veel belemmeringen voor het goed organiseren van privacybescherming. Enkele veel genoemde belemmeringen zijn de complexiteit van de wet- en regelgeving, onvoldoende aandacht en prioriteit voor privacy en een gebrek aan tijd en capaciteit om deze problematiek aan te pakken. In de zorg is de laatste jaren een grote aandacht voor de bescherming van persoonsgegevens van patiënten. Bij veel zorginstellingen klinkt dan al snel het begrip NEN7510, de norm voor infor-
Privacy versus beveiliging Een bekend misverstand – met name onder ICT-ers en beveiligingspecialisten – is het als bijna synoniem zien van beveiliging en privacy: “Als we de beveiligingsmaatregelen hebben getroffen volgens de Code voor Informatiebeveiliging, dan hebben we direct de privacybescherming geregeld”. Dit is echter een misvatting, aangezien beveiliging slechts één van de zeven privacyprincipes kan invullen. 6
Figuur 2 Privacy en informatiebeveiliging
matiebeveiliging in de zorg. Uit het onderzoek blijkt ook dat informatiebeveiliging en privacy vaak als synoniem worden gezien. Privacy is echter veel breder dan alleen gegevensbeveiliging, zoals ook blijkt uit het kader. Drie aspecten voor privacynaleving Voor privacynaleving zijn drie aspecten van belang. Ten eerste dient de informatiebeveiliging goed op orde te zijn. Hierbij kunnen normen zoals de NEN7510 een grote rol spelen. Ten tweede dienen overige wettelijke vereisten te worden afgedekt met afdoende processen en procedures. Veel organisaties denken er nu al te zijn, maar worden nog steeds geconfronteerd met privacy-incidenten. Het fundament voor informatiebeveiliging, processen en procedures wordt namelijk gevormd door het gedrag en het onderliggende privacybewustzijn van de medewerkers die omgaan met persoonsgegevens. Informatiebeveiliging Ook in de zorg worden steeds meer processen gedigitaliseerd voor efficiëntere uitvoering van zorgprocessen en voor een betere informatiekwaliteit. Als gevolg hiervan worden patiëntengegevens op steeds meer manieren geautomatiseerd verwerkt. Uiteraard moet de bescherming van deze (vaak uiterst gevoelige) persoonsgegevens goed worden gewaarborgd. In 2003 en 2008 heeft de Inspectie voor de Gezondheidszorg (IGZ) samen met het College Bescherming Persoonsgegevens (CBP) een onderzoek gedaan naar de informatiebeveiliging bij 20 ziekenhuizen. Hieruit bleek dat bij het grootste deel van de 20 onderzochte ziekenhuizen de informatiebeveiliging niet op orde was. In 2010 is voor alle Nederlandse ziekenhuizen de informatiebeveiliging onderzocht. Hierbij is gekeken naar een deel van de vereisten vanuit NEN7510. Hieruit bleek dat er een grote vooruitgang was ten aanzien van de informatiebeveiliging. Er waren twee voorname punten van aandacht. Aan de ene kant betroffen de maatregelen voornamelijk ‘papieren’ beleid, waarvan de werking nog niet onderzocht kon worden. Aan de andere kant waren er nog steeds veel tekortkomingen op het gebied van autorisatiebeheer. Dit laatste blijft een groot dilemma voor veel ziekenhuizen. Aan de ene kant wil men voldoen aan de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO), waarin bepaald is dat alleen toegang mag worden verleend tot patiëntgegevens als er sprake is van een behandelrelatie. Aan de andere kant zijn er veel praktische problemen (interne overleg, gemakzucht, ‘verlengde arm’, e.d.) en gaat de goede behandeling van de patiënt voor. Anno 2012 zijn er veel verbeteringen waarneembaar. Veel ziekenhuizen hebben aandacht voor het identiteits- en toegangsmanagement. Door middel van standaardisatie van gebruikersprofielen wordt al een hoop winst geboekt op het gebied van gedifferentieerde toegang tot patiëntengegevens. Recentelijk is er ook veel aandacht voor gege-
vensuitwisseling. Het Nationaal ICT instituut in de zorg (NICTIZ) heeft onderzoek gedaan naar de beveiliging van portalen voor online gegevensuitwisseling in de zorg. Hieruit bleek dat de overgrote meerderheid niet afdoende beveiligd was om de privacy van de patiënten te kunnen waarborgen. Ook het recente privacy-incident met een online verzuimapplicatie (Humannet van VCD) is hier exemplarisch voorbeeld van. Momenteel zijn diverse instellingen ook bezig de online beveiliging te versterken. Op het gebied van informatiebeveiliging worden dus verbeteringen doorgevoerd om de privacy van patiënten en medewerkers beter te waarborgen. Toch zijn er nog enkele belangrijke aandachtspunten voor ziekenhuizen. Deze staan echter wel op de radar binnen de organisaties. Processen, procedures en maatregelen Onterecht gaan veel instellingen ervan uit dat zij met een goede informatiebeveiliging ook privacynaleving realiseren . Helaas worden hierdoor enkele essentiële privacyvereisten over het hoofd gezien. In de wetgeving staan enkele vereisten waar een goede informatiebeveiliging niet in voorziet. Hieronder gaan wij op de belangrijkste vereisten in. De organisatie moet voorzien in een privacybeleid. Dit beleid dient specifieke bepalingen te bevatten hoe de organisatie omgaat met persoonsgegevens van klanten/patiënten en medewerkers. Dit beleid gaat in op de wijze waarop de organisatie persoonsgegevens verzamelt en hoe zij daar mee omgaat. Bij voorkeur gaat dit beleid ook vergezeld van een risicoanalyse, die aangeeft op welke interne en externe kwetsbaarheden de organisatie zich eerst of met name moet richten. Hiermee is ook een concreet implementatieplan voor privacy en beveiliging op te stellen. De organisatie moet verwerkingen van persoonsgegevens wettelijk melden bij het CBP. Het CBP kan op deze wijze effectief toezicht houden op de verwerking. Een alternatief is het aanstellen van een Functionaris voor de Gegevensbescherming (FG). Dit is een onafhankelijke persoon binnen de organisatie die verantwoordelijk is voor het toezicht op de naleving van de privacybescherming. De organisatie moet processen en procedures hebben ingericht die behandelen hoe wordt omgegaan met de rechten van belanghebbenden. Hierin kan bijvoorbeeld staan beschreven welke procedure moet worden gevolgd wanneer een patiënt verzoekt gegevens uit zijn dossier te verwijderen of wanneer een patiënt (of familie cq. bewindvoerder van een patiënt) inzage wil in het medisch dossier. Belangrijke begrippen binnen de privacywetgeving zijn doelbinding en proportionaliteit. Hiermee wordt bedoeld dat de persoonsgegevens alleen worden verzameld voor een specifiek doel en dat er niet meer persoonsgegevens worden verzameld dan noodzakelijk voor het realiseren van dat doel. Natuurlijk kent de zorg diverse wettelijke, kwaliteits- en verzekeringsvereisten waarvoor extra gegevens over behandelingen moeten worden vastgelegd en aan instanties worden verstrekt. In processen en procedures kan de organisatie vastleggen hoe 7
wordt gewaarborgd dat er wordt voldaan aan de doelbinding en proportionaliteit. Vanuit de wetgeving is ook vereist dat de kwaliteit van de persoonsgegevens gewaarborgd wordt. Hiermee wordt bedoeld dat de persoonsgegevens juist, volledig en actueel moeten zijn. Organisaties dienen processen en procedures in te richten die waarborgen dat de kwaliteit van de persoonsgegevens gewaarborgd wordt. Dat lijkt eenvoudig, maar vanwege meerdere persoonsregistraties, onvolledige gegevens, adreswijzigingen, onjuiste of ontbrekende BSN’s, e.d. is het kwalitatief goed houden van de gehele medische administratie inclusief historie een lastige en arbeidsintensieve opgave. Tenslotte moeten organisaties beleid hebben over hoe zij zorgvuldig omgaan met (externe) gegevensuitwisseling. Hierbij dient te allen tijde aan de vereisten vanuit de Wbp te worden voldaan. Problemen bij gegevensuitwisseling kunnen ontstaan binnen de landsgrenzen, maar worden vaak veel complexer als er sprake is van gegevensuitwisseling buiten de EU (b.v. bij gebruikmaking van ICT-uitbesteding of applicaties uit de cloud). Gedrag Al deze elementen leiden aanvullend op de informatiebeveiliging tot specifieke privacyprocedures en aanpassing aan diverse andere processen en procedures. Nu formeel de privacyvereisten gedekt zijn, wanen veel organisaties zich ‘compliant’ op privacygebied. Helaas blijkt dat, zelfs wanneer informatiebeveiliging en de maatregelen, processen en procedures rondom privacy goed geregeld zijn, zich nog regelmatig privacyschendingen voordoen. De oorzaak van deze schendingen blijkt niet zozeer te liggen in haperende maatregelen of procedures maar juist in het gedrag van medewerkers. Als wij terugkijken naar de voorbeelden uit de inleiding, dan valt op dat vrijwel overal het gedrag van medewerkers de oorzaak is van het incident. Bij het laten slingeren van patiëntendossiers is het vaak de behandelaar die het dossier laat slingeren. Hierbij wordt vaak gesteld dat het niet gaat om de privacy, maar om de behandeling van de patiënt. Deze redenering wordt dus als legitimering gebruikt om de procedures rondom privacy niet in acht te nemen. Dit kan een verscheidenheid aan oorzaken hebben, zoals bijvoorbeeld werkdruk of onvoldoende risicobewustzijn. In veel organisaties start het met een enkeling die verkondigt dat privacy niet zo Figuur 3 De acht Soft-controls
8
relevant is omdat iedereen elkaar intern kan vertrouwen, maar snel volgen er meer. De oorzaak hiervan ligt in slecht voorbeeldgedrag. Anderen, zoals het secretariaat of de zorgadministratie, legitimeren onzorgvuldig gedrag doordat de behandelaar dit gedrag ook vertoont. Als de organisatiecultuur dit toelaat zal het van kwaad tot erger kunnen worden en zal ook een secretariaat en uiteindelijk zelfs een zorgadministratie minder zorgvuldig omgaan met de persoonsgegevens van de patiënt. Het voorbeeld van de drukke zorgadministratie zal wellicht tot de verbeelding spreken. Hoewel sommige organisaties uitstekend presteren onder hoge werkdruk, kan deze er ook toe leiden dat er vaak onvoldoende tijd is om alle procedures nauwgezet na te leven. Het takenpakket van de medewerkers op veel zorgadministratie is te zwaar waardoor de uitvoerbaarheid van alle taken in gevaar komt. Uit onze praktijk blijkt dat er in veel organisaties dusdanig veel procedures zijn voor de omgang met persoonsgegevens dat medewerkers door de bomen het bos niet meer zien. Hierbij komt het ook veel voor dat mensen zich verschuilen achter regels, geen verantwoordelijkheid durven te nemen en niet meer zelf nadenken. Doordat er dus te veel regels en procedures zijn, worden deze juist niet meer effectief nageleefd. Het gevolg is dat er door meer procedures juist meer incidenten ontstaan. De hiervoor beschreven voorbeelden geven goed weer dat het gedrag van medewerkers essentieel is voor het bereiken van privacynaleving. Het is daarom belangrijk om cultuur-, integriteits- en gedragsbeïnvloedende factoren, ook wel Soft-controls genoemd, goed te beheersen en te optimaliseren in het streven naar privacynaleving. Soft controls Een klassieke benadering ten aanzien van het voorkomen van incidenten is het optuigen van ‘hard controls’. Hierbij kan gedacht worden aan maatregelen in de IT en processen, waarin bepaalde waarborgen worden gesteld, zoals controlemomenten. Veel organisaties verwachten dat wanneer zij meer hard controls optuigen, het aantal incidenten afneemt. Onderzoek heeft echter uitgewezen dat er een optimum bestaat qua aantal effectief in te stellen beheersingsmaatregelen. Dit wil zeggen dat op een gegeven moment meer beheersingsmaatregelen juist leiden tot een toename van het aantal incidenten. Incidenten kunnen dus niet tot een nulpunt worden gereduceerd, wat betekent dat altijd sprake zal zijn van ongewenst gedrag. Ongewenst gedrag kan worden voorkomen door op gedrag te sturen. Het gaat hierbij om factoren binnen de organisatie die het gedrag van medewerkers beïnvloeden. Om te weten wat het ongewenste gedrag daadwerkelijk is en wat de oorzaak daarvan is, is het van belang om gedrag te objectiveren en te meten. Softcontrols spelen hierbij een grote rol. Soft-controls betreffen niet-tastbare gedragsbeïnvloedende factoren zoals cultuur en voorbeeldgedrag. Zij ondersteunen de werking van hard controls en zijn van belang daar waar geen hard controls kunnen zijn. Door inzicht te krijgen
advertorial
To PDF or not to PDF in de zorgsector Correcte, actuele en complete informatie speelt in de zorgsector een cruciale rol. Een oplossing hierbij is PDF: de wereldwijde standaard voor het vastleggen, weergeven en delen van gedetailleerde informatie vanuit vrijwel elke toepassing en op elk computersysteem. Toch blijft voor velen de vraag: To PDF or not to PDF. De zorgsector heeft in de loop der jaren veel data gecreëerd door de continue, verplichte uitwisseling van patiënt- en zorginformatie, zoals scans, röntgenfoto’s en labuitslagen. Door de toenemende, dagelijkse opeenstapeling hiervan en de door de overheid vastgestelde bewaarplicht, worden zorgorganisaties alleen maar meer overspoeld met grote hoeveelheden data. Zeker tachtig procent van al deze data is ongestructureerd. Met de juiste datastructuur is het mogelijk om te bepalen hoe data potentieel gebruikt en ingezet kan worden. Hiermee komt meteen een belangrijk punt naar voren: Mede door het multi disciplinaire karakter binnen de zorg is het van belang dat niet alleen de infrastructuur, maar ook de datastructuur op orde is voor het uitwisselen van patientengegevens. De voortdurende, complexe innovaties op ICT-gebied garanderen niet altijd een toekomstbestendige leesbaarheid en toegankelijkheid van digitale bestanden. Daarom wordt het ook binnen de zorg belangrijk aandacht te geven aan een toekomstigbestendige opslag van digitale informatie, de meest voor de hand liggende keuze is dan het wijdverspreide en breed geaccepteerde Adobe Systems Portable Document Format (PDF). Ideaal PDF is ideaal omdat het platform- en applicatieonafhankelijk is, met een volledig multimediaal formaat en gemakkelijk in gebruik. Doorda de PDF een self-contained bestand is, wordt de lay-out behouden en hangt dit niet af van de mogelijkheden op de computer, waarmee he bestand wordt gelezen. Er is alleen een pdf-lezer nodig. Daarnaast kan het document in principe niet worden gewijzigd, omdat in geavanceerde PDF-documenten invulbare formulieren zijn opgenomen, waarin alleen de invulvelden kunnen worden gewijzigd. Een ander voordeel van PDF is het gebruikersgemak. Iedereen kan tegenwoordig een PDF maken, desgewenst ook beveiligd met een wachtwoord. Tot slot resulteert het omzetten van een document naar PDF meestal in een kleinere bestandsgrootte. Zeker met de explosieve groei van electronische datra in de zorgsector geen sinecure. En dankzij de hoge betrouwbaarheid is PDF een uitstekende oplossing voor de informatievoorziening in de zorgsector. Gegarandeerd veilig Vanuit het achterliggende idee dat alle documenten gegarandeerd veilig zijn opgeslagen zolang zorginstanties zich maar aan de PDF/A-1b Standaard houden, wordt deze tegenwoordig vrijwel altijd genoemd als het gaat om het langdurig bewaren van digitale documenten. De praktijk is echter iets genuanceerder. PDF/A is er bijvoorbeeld in veel varianten. Naast het meest gebruikte PDF/A-1a (voor digital brondocumenten zoals Word-bestanden), gevolgd door PDF/A-1b (voor gescande documenten), PDF/A-2 (uitbreiding op PDF/A-1 met de mogelijkheid van gebruik van transparantie, JPEG2000 compressie en
Papierloos vanaf dag één
lagen), biedt het nieuwere formaat PDF/A2b nog meer mogelijkheden. Al deze methoden zijn als ISO-standaard vastgelegd. Dat biedt uiteraard zekerheid, maar u kunt er niet vanuit gaan dat de mensheid over 100 jaar nog een computer heeft waar een PDF-Reader op geïnstalleerd is. Daarom is het zeker voor de zorgsector van belang om naar de toekomst te kijken en maatregelen te nemen om de bestanden leesbaar en toegankelijk te houden. Authoriteit Als wereldwijde autoriteit op het gebied van digitalisering biedt I-FourC met het concept ‘Papierloos vanaf dag één” een unieke combinatie van digitale dienstverlening en (Cloud-)softwareontwikkeling, waarbij alles draait om het elimineren van papier en het optimaliseren van documentstromen. Als geen ander weet I-FourC alle ins en outs van PDF-gebruik. Tezamen met de unieke wijze van digitaal archiveren, archiefbeheer en de nieuwste en meest geavanceerde technologie die inhouse wordt ontwikkeld. Dat maakt het ‘Papierloos vanaf dag één”concept een totaaloplossing voor de zorgsector waarbij alle papieren informatiegegevens in de zorgorganisatie in één dag tijd worden gedigitaliseerd zonder de dagelijkse gang van zaken te verstoren. De digitale informatie wordt daarbij vormgegeven naar wens van de klant, sluit naadloos aan op de bestaande primaire bedrijfsprocessen en wordt samengebracht op één locatie. Kennisdag Inspringend op deze thematiek biedt I-FourC Technologies, voor geinteresseerden op 15 november 2012 een speciale kennisdag met de veelzeggende titel ‘To PDF or not to PDF’. Hierbij wordt ingegaan op onduidelijkheden rondom PDF zoals wanneer wel of niet scannen, de verschillen tussen PDF en PDF/A en wat de relatie is tussen PDF en OCR. I-FourC biedt daarnaast diverse handvaten over hoe informatie op een innovatieve manier met andere gebruikers kan worden opgeslagen en gedeeld. www.i-fourc.nl/kennisdag.
I-FourC Technologies Charles Ruysstraat 12 5953 NM Reuver Nederland T +31 77 750 11 00 E
[email protected] W www.i-fourc.com
www.i-fourc.com
in de Soft-controls die van toepassing zijn op het ongewenste gedrag, kan dit gedrag gericht worden beïnvloed en daarmee in de gewenste richting worden gestuurd. De vraag is nu natuurlijk hoe de toepassing van Soft-controls van belang kan zijn voor het bevorderen van privacy compliance. Als we kijken naar de voorbeelden uit de inleiding, dan zien we dat in al deze voorbeelden sprake is van incidenten die het gevolg zijn van het gedrag van de medewerkers. Het uitvoeren van een evaluatie van de privacy Soft-controls in de organisatie geeft goed weer welke gedragsaspecten binnen de organisatie het ongewenste gedrag veroorzaken of bevorderen. Bij een dergelijke evaluatie wordt door middel van het bestuderen van beleid en het bevragen en observeren van betrokken personen een beeld verkregen van de kwaliteit van de relevante Soft-controls. Hierdoor is specifiek te maken bij welke groepen medewerkers welke vormen van gedrag bijgestuurd moeten worden om het aantal incidenten te beperken. In het geval van de slingerende patiëntendossiers is vooral sprake van slecht voorbeeldgedrag door specialisten. Door te stellen dat het alleen gaat om de behandeling van de patiënt rationaliseren zij dat het niet noodzakelijk is om zorgvuldig om te gaan met patiëntendossiers. Als gevolg hiervan kunnen andere specialisten, medewerkers van het secretariaat of medewerkers van de zorgadministratie het (geaccepteerde) gedrag van de specialisten gaan gebruiken als rationalisatie. Hierdoor zullen de maatregelen steeds minder nageleefd worden, met een groeiend aantal incidenten tot gevolg. In het geval van zorgadministraties met een hoge werkdruk, speelt het Soft-controls aspect uitvoerbaarheid een grote rol. Doordat er te weinig tijd is voor het uitvoeren van de werkzaamheden, wordt vaak gekozen voor een snelle oplossing. Hierbij worden vaak essentiële procedures niet uitgevoerd. Dit is precies wat er is gebeurd in een praktijkgeval, waar de zorgadministratie van een ziekenhuis een verzoek ontving om het medisch dossier van een bekende Nederlander. De aanvrager deed zich voor als de fysiotherapeut van de bekende Nederlander en gaf aan het dossier nodig te hebben voor de behandeling. Als gevolg van de enorme drukte op de zorgadministratie heeft de betrokken medewerker niet de aanwezige procedures gevolgd. Hierdoor is niet gecontroleerd aan wie de informatie werd verstrekt en of hiervoor toestemming is verleend door de patiënt. De aanvrager bleek niet de fysiotherapeut van de bekende Nederlander, maar wel goed bevriend met een journalist. Het gevolg was dat het ziekenhuis binnen korte tijd in vele nieuwsmedia stond met een privacy-incident. Op basis van de uitkomsten van een analyse van de kwaliteit van de Soft-controls kunnen gerichte maatregelen worden genomen om het gedrag te beïnvloeden. Dit kan onder meer door middel van het vergroten van helderheid over nut en noodzaak van privacy, (perceptie van) uitvoerbaarheid van maatregelen en bewustwording van goed voorbeeldgedrag. Zo kunnen in het geval van de slingerende patiëntendossiers 10
maatregelen worden genomen in het kader van bewustzijn. Dit laatste werd door een ziekenhuis op ludieke wijze opgepakt. Er werd een bewaker ingehuurd die een hesje aankreeg met daarop de tekst ‘Informatiebeveiliging’ gedrukt. Toen deze persoon net binnen het ziekenhuis rondliep, heeft hij veel personen aangesproken op de wijze waarop zij omgingen met informatiebeveiliging (bijvoorbeeld het niet ‘locken’ van computers). Na enige tijd was alleen het zien van deze persoon voor velen al genoeg om terug te lopen naar hun plek en daar de gegevens zorgvuldig op te bergen voordat zij hun plek weer verlieten. Het ziekenhuis laat deze bewaker nog enkele keren per jaar rondlopen om zo de bewustzijn te vergroten. Een ander voordeel van een hoog privacybewustzijn is dat medewerkers minder letten op welke regel zij na moeten leven, maar waarom zij de regel moeten naleven. Als zij in grote drukte dan niet de procedure naslaan, zullen zij beter in staat zijn een afweging te maken die in het verlengde ligt van de regel. Door een goed en gericht bewustzijnsprogramma is het zelfs mogelijk om het aantal procedures terug te dringen, wat tot een kostenefficiëntie kan leiden. Na het doorlopen van de evaluatie op Softcontrols en het nemen van organisatorische maatregelen, vervallen veel organisaties weer in het oude gedrag. De oorzaak hiervan is dat zij niet blijvend aandacht blijven besteden aan het gedrag van de medewerkers, waardoor zij niet gestimuleerd worden om het gewenste gedrag te blijven tonen. Uit veel onderzoeken is gebleken dat medewerkers goed weten wat het goede gedrag is in bepaalde situaties, maar dat zij hier in de waan van de dag niet aan denken en daardoor het ongewenste gedrag gaan vertonen. Het regelmatig besteden van aandacht aan het gewenste gedrag heeft grote effecten op de mate van gewenst gedrag binnen de organisatie. Het is dus van essentieel belang dat organisaties regelmatig het gedrag blijven monitoren en daar ook regelmatig expliciet aandacht aan geven. Gedrag is dus het fundament voor privacynaleving Zoals hiervoor besproken is er binnen de zorgsector steeds meer aandacht voor privacycompliance. De zorgsector focust zich in dit kader met name op de informatiebeveiliging, waarbij zeer grote stappen zijn genomen de afgelopen jaren. Ook op het gebied van processen en procedures die privacynaleving moeten waarborgen is een grote vooruitgang waar te nemen in de zorg. Toch zorgen deze maatregelen er niet voor dat het aantal incidenten tot een minimum gereduceerd wordt. Er blijft sprake van ongewenst gedrag binnen zorginstellingen, waardoor privacy-incidenten kunnen optreden. Door specifieke aandacht te geven aan het ongewenste gedrag en maatregelen daarvoor te treffen valt de mate van privacynaleving aanzienlijk te verhogen. Gedrag vormt dus het sluitstuk op een succesvolle privacynaleving.
Natuurlijk gaat u digitaal patiëntgegevens uitwisselen! Waar moet u op letten?
11 Itte Overing, mr., juridisch adviseur, ICTRecht, Amsterdam / FOTOGRAFIE: Jarinde de Klerk
Een goed begin is het halve werk. Natuurlijk bent u reeds bekend met (delen van) onderstaande uiteenzetting van regels. Misschien wat minder met wat die regels betekenen vanuit een digitaal oogpunt. Mijn doel is u bewust te maken van wat er op digitaal vlak allemaal speelt en waar de paden van de techniek en het recht elkaar kruisen. Een cliché. Maar een goed begin ís het halve werk. Ietwat voorzichtig zeg ik nu dat het Landelijk schakelpunt blijft bestaan. Na de in een vorig nummer al beschreven flipperkast van ja’s en nee’s, blijkt dit de uitkomst. Juridisch gezien is het antwoord nog steeds nee. Nee, geen wet op het elektronisch patiëntendossier (‘wet op het EPD’). Vind ik dat jammer? Jazeker! Onwerkbaar, nee dat niet. We houden natuurlijk de Wet bescherming persoonsgegevens (‘Wbp’) en de Wet op de geneeskundige behandelingsovereenkomst. Nu is er een landelijk schakelpunt waarop de verschillende soorten hulpverleners kunnen aansluiten. U kunt ook kiezen voor een andere aanpak: zelf een regionaal netwerk opzetten. Maar wat zijn de regels? Insteek van dit artikel is geen wetenschappelijke uiteenzetting of opinie. Wel wil ik u graag een aantal handvatten bieden waar u juridisch gezien, rekening mee moet houden bij de uitwisseling van gegevens tussen hulpverleners en wat die regels betekenen bij digitale uitwisseling. Ik start met de basisregels over het uitwisselen van gezondheidsgegevens. Vervolgens bespreek ik missende regelgeving en hoe u hiermee om kunt gaan. Geen wet op het EPD heeft immers wel een paar lacunes gelaten. Ten slotte ga ik in op een aantal aspecten van de digitale uitwisseling van patiëntgegevens en geef ik u juridische tips hoe u de basisregels hier dient te vertalen.
Allereerst de basis Indien u gezondheidsgegevens wilt gaan uitwisselen spelen er twee rechten van de patiënt. Dat zijn het medisch beroepsgeheim, het recht op zwijgen door de hulpverlener over de patiënt, en de informationele privacy, ‘the right tot be left alone’ van de patiënt. Beide dienen in eren gehouden te worden bij de uitwisseling van de gezondheidsgegevens van de patiënt. Het beroepsgeheim komt voort uit het geheim dat ‘geëist’ wordt door het beroep van een hulpverlener. Dit dient zowel het algemeen belang als het persoonlijk belang van de patiënt. Het medisch beroepsgeheim bestaat uit twee delen: de zwijgplicht en het verschoningsrecht. Het verschoningsrecht laat ik hier buiten beschouwing. De hulpverlener heeft de plicht (niet het recht) om te zwijgen over alles wat hem binnen een behandelrelatie ter oren of voor ogen komt. De hoofdregel is dat de hulpverlener de zwijgplicht alleen mag doorbreken met de toestemming van de patiënt. Het gaat dan om informatie door een arts verzameld tijdens een consult, de röntgenfoto’s die later worden toegestuurd of de waarden zoals vertoond in een hartfilmpje. Ook gaat het om informatie over stress die de patiënt op het werk beleeft of ruzie thuis zolang het binnen een behandelrelatie wordt verteld. Elke zelfstandige hulpverlener zoals benoemd in de Wet op de BIG (Wet op de beroepen in de individuele gezondheidszorg) heeft een zwijg12
plicht ten aanzien van de medische informatie. Iemand kan ook een gedeelde of een afgeleide zwijgplicht hebben. Als er meerdere behandelende hulpverleners binnen één behandelovereenkomst zijn, dan is er een gedeelde zwijgplicht. Twee specialisten die gezamenlijk een patiënt behandelen, mogen informatie over die patiënt delen. De toestemming van de patiënt wordt verondersteld. Iemand die wel met gezondheidsgegevens werkt maar geen hulpverlener is en een beroep uitoefent dat geen zwijgplicht eist, kan een afgeleide zwijgplicht hebben. Voorgaande alleen indien dit noodzakelijk is voor het beheer van de instelling of voor een goede behandeling van de patiënt. De zwijgplicht moet dan contractueel worden opgelegd. Er kan dus gezondheidsinformatie uitgewisseld worden tussen personen met een gedeelde of een afgeleide zwijgplicht. Daarnaast zijn er situaties waarin niet de toestemming van de patiënt wordt verondersteld maar waarbij er een andere goede reden is om de zwijgplicht te doorbreken. Denk dan aan de wet die doorbreking voorschrijft. Bijvoorbeeld in het geval van infectieziektes. Maar denk ook aan een zodanige situatie die de arts dwingt de zwijgplicht te doorbreken. Kennis over de beraming van een moord kan een reden zijn om de zwijgplicht te doorbreken. Het gaat hier om een conflict van plichten waarbij de hulpverlener een afweging moet maken of hij wel of niet zijn zwijgplicht moet doorbreken. Hij moet dan alles in het werk hebben gesteld toestemming voor doorbreking te krijgen en het niet doorbreken moet (onder andere) ernstige schade toebrengen aan een ander. De hulpverlener mag nooit meer vertellen dan noodzakelijk. De zwijgplicht mag ook doorbroken worden als er sprake is van een zwaarwegend belang. Een aanzienlijke erfenis kan een dergelijk zwaarwegend belang zijn. Ook hier geldt natuurlijk dat er niet meer informatie uitgewisseld mag worden dan noodzakelijk. Indien u de zwijgplicht mag doorbreken vanwege een van de vijf bovengenoemde redenen, dan kunt u informatie gaan delen voor zover de informationele privacy dat toestaat. Informationele privacy is terug te vinden in de Wet bescherming persoonsgegevens maar ook in de WGBO, de Wet op de geneeskundige behandeling en andere wetten speciaal opgesteld voor de gezondheidszorg. De algemene regel is dat bijzondere persoonsgegevens zoals gezondheidsgegevens, niet mogen worden verwerkt en dus ook niet mogen worden uitgewisseld. Gelukkig zijn er uitzonderingen. U mag wel gegevens verwerken als dit noodzakelijk is voor de goede behandeling. Zo bestaat er een plicht voor een hulpverlener om van zijn of haar patiënten een dossier bij te houden. Een tweede uitzondering is dat gegevens mogen worden verwerkt indien dit noodzakelijk is voor het beheer van de instelling en deze verwerking enkel plaatsvindt door personen met de plicht om deze gegevens geheim te houden. Daarnaast gelden de algemene regels van de Wbp welke van toepassing zijn op alle verwerking van persoonsgegevens, bijzondere en gewone. Zoals dat de verantwoordelijke, dege-
ne die het doel bepaalt voor het verzamelen van de persoonsgegevens, verantwoordelijk is voor een adequate beveiliging van de gegevens. In de zorg is dat meestal de instelling (en dan specifiek de raad van bestuur of de directie) of de zelfstandig gevestigde hulpverlener zoals een huisarts. Een beveiliging is adequaat als ervoor gezorgd wordt dat de patiëntdossiers niet toegankelijk zijn voor onbevoegden maar ook dat de integriteit en juistheid van de dossiers beschermd is. U begrijpt dat de beveiliging van bijzondere persoonsgegevens zoals patiëntdossiers beter moet zijn dan de beveiliging van enkel de naam, adres en woonplaats van een bepaalde persoon. Adequaat beveiligen is dan niet zoals bij webmail gangbaar is (denk aan Gmail en Hotmail waarbij enkel een gebruikersnaam en een wachtwoord vereist zijn) maar wel zoals bij internetbankieren (hier wordt naast een wachtwoord en gebruikersnaam een identifier of tan-code gebruikt om te kijken of iemand die inlogt wel is wie hij zegt te zijn) als het gaat om het verkrijgen van toegang tot de gegevens. Binnen de zorg is het geen identifier maar de UZI-pas. Naast dat de verantwoordelijke moet zorgen voor adequate beveiliging, moet deze de patiënt ook inzicht geven in zijn of haar dossier en hier desgewenst een kopie van geven. Vaak wordt dit recht van de patiënt verward met het ‘eigendom’ van het dossier. Het fysieke dossier blijft echter gewoon van de hulpverlener. Een digitaal dossier bestaat uit tekst en de drager van deze tekst. Eventueel auteursrecht dat op de tekst rust ligt bij de hulpverlener. De drager kan van de hulpverlener zijn maar ook van een leverancier. Uiteraard staan niet alle regels over (digitale) gegevensuitwisseling in deze wetten beschreven. Er staat ook nog wat her en der verspreid in speciale wetten en op grond van de Kwaliteitswet zorginstellingen moeten zorginstellingen hun eigen kwaliteitseisen formuleren. Wet op het EPD De wet op het EPD had als doel een aantal regels vast te stellen over de landelijke elektronische uitwisseling van patiëntgegevens en het gebruik van de bijbehorende infrastructuur. Zoals al in het begin aangegeven hebben we nu geen wet maar nog wel de infrastructuur. In het wetsvoorstel voor de wet op het EPD en het debat rondom dit onderwerp een aantal rechten van de patiënt toegezegd waarin nu niet voorzien is. En dan vooral de volgende vier: 1 het recht om de toegang te beperken voor bepaalde hulpverleners; 2 het recht om bepaalde gezondheidsgegevens of indexgegevens af te schermen; 3 het digitale inzagerecht. In de Wbp is al een inzagerecht voor de patiënt verankerd. Het verschil is dat het laten inzien van het dossier zoals vastgelegd in de Wbp niet per se digitaal hoeft; 4 het recht op een aan logging gekoppelde e-mail en sms-signalering. Dus als een dossier via het landelijk schakelpunt ergens geopend wordt, krijgt de betreffende patiënt daarvan via de mail of sms een melding. Natuurlijk stond ook de opt-out regel beschreven in de wet op het EPD. Dit hield in dat de
patiënt sowieso werd opgenomen in de index van het Landelijk schakelpunt. Hij of zij had echter het recht om dit schriftelijke én met bewijs van identiteit te wijzigen. Afgelopen tijd is overduidelijk geworden dat men dit ongewenst acht. Althans, in de verschillende (politieke-) discussies is gebleken dat een opt-in gewenst is. Dat betekent dat een dossier pas inzichtelijk en zichtbaar wordt via het landelijk schakelpunt na uitdrukkelijke toestemming van de patiënt. Mocht u bovenstaande regels alsnog willen hanteren en breed in willen voeren, dan moet de zorgbranche deze gezamenlijk onderschrijven als kwaliteitseis. Natuurlijk gaat u digitaal uitwisselen.Waar moet u op letten? U moet op alles letten. Van uw inkoopvoorwaarden tot bij wie u inkoopt, wat u in de arbeidscontracten zet van niet-medisch personeel en welk gedrag u uw personeel aanleert. In alles moet u rekening houden met de regels over digitale uitwisseling van patiëntgegevens en de gevoeligheid van deze gegevens. Het start met de keuze voor een platform en het systeem dat daarop draait waarmee u patiëntgegevens verwerkt. Deze architectuur bepaalt de mogelijkheden. Ik ga hier niet in op welke architectuur u moet verkiezen, dit hangt immers geheel af van de wensen van uw patiënten, uw organisatie en de in uw regio reeds gebruikte architecturen. Ik ga enkel in op de regels die u in uw achterhoofd moet houden bij het maken van keuzes over de architectuur. Zonder te pretenderen volledig te zijn zal ik de volgende onderwerpen rondom de uitwisseling behandelen: (1) de inkoopvoorwaarden; (2) de applicatie; (3) de personen of bedrijven die met de gegevens werken en; (4) de digitale uitwisseling. 1 De inkoopvoorwaarden De inkoopvoorwaarden moeten rekening houden met de inkoop van ICT-diensten en niet enkel met tastbare zaken. De inkoop van ICToplossingen is wezenlijk anders dan de inkoop van fysieke producten en adviesdiensten. Denk hierbij bijvoorbeeld aan onderwerpen als het sluiten van een bewerkersovereenkomst, het geven van een verantwoordelijkheid voor de continuïteit van de ICT-dienst voor een minimale duur na een bedreiging van die continuïteit. Natuurlijk kunnen hier ook minimale beveiligingseisen worden afgedwongen zoals het hanteren van bepaalde normen (NEN, ISO). U moet de inkoopvoorwaarden ter hand stellen zodat deze een rechtsgeldig onderdeel zijn van de overeenkomst met de leverancier. Dit houdt in dat u deze van toepassing moet verklaren en de voorwaarden voor of tijdens het sluiten van een overeenkomst aan de leverancier geeft. Indien u dit nalaat kan de leverancier de voorwaarden van tafel vegen bij een geschil. U kunt de inkoopvoorwaarden bijvoorbeeld per mail als bijlage toesturen. De leverancier moet ze kunnen bewaren en later eens teruglezen. 2 De applicatie Uitdrukkelijk verkies ik de term applicatie boven bijvoorbeeld softwarepakket. Ik doel hier 13
P e r s b e r i c h t
NVMA Vereniging voor Zorgadministratie en Informatie en de Landelijke Medische Registratie (LMR) bestaan 50 jaar Samen met Dutch Hospital Data (DHD) organiseert de NVMA Vereniging voor Zorgadministratie en Informatie een congres rondom jubileum 50 jaar LMR.
DHD en NVMA organiseren op 26 september 2013 een gezamenlijk congres. De redenen voor dit congres zijn: het 50-jarig bestaan van de Landelijke Medische Registratie, het 50-jarig bestaan van de NVMA, het 40-jarig bestaan van het Tijdschrift voor Zorgadministratie en Informatie (NTMA) en het 5-jarig bestaan van DHD. Een toepasselijke locatie wordt nog gezocht. Tijdens het congres zal de 50-jarige geschiedenis van de LMR worden belicht, en de waarde van de LMR worden besproken. LMR wordt LBZ Landelijke Basisregistratie Ziekenhuiszorg. Wat wordt de rol van de LBZ? Ook de geschiedenis van classificatie, coderingen, definitie en standaardisatie en archivering, digitalisering en EPD zullen in vogelvlucht aandacht krijgen. Natuurlijk ook de DBC systematiek die gestart is in 2003. DHD en NVMA spelen beide een belangrijke rol bij de registratie van diagnosen en verrichtingen binnen de ziekenhuizen. DHD stelt diagnosen- en verrichtingensystemen beschikbaar en verzamelt deze data vanuit de ziekenhuizen en de NVMA is de spil bij de opleidingen in de Zorgadministratie en informatievoorziening aan zorgadministrateurs, DBC deskundigen en medisch codeurs. Meer informatie over het congres is verkrijgbaar bij de NVMA:
[email protected] en
[email protected] DHD: John van Heukelingen
[email protected]
14
namelijk op het geheel, het softwarepakket, de databases en de daarin opgenomen data, de server(s) waar het geheel op draait en de toegankelijkheid via een intranet of via het internet. U zult een keuze moeten maken tussen een applicatie binnenshuis of buitenshuis. Een behoorlijk ziekenhuis zal waarschijnlijk kiezen voor binnenshuis daar zij de beveiliging dan zelf in de hand heeft en weet op welke server haar patiëntdata staat. Als verantwoordelijke bent u immers verantwoordelijk voor een adequaat beveiligingsniveau. U kunt ook kiezen voor een applicatie buitenshuis. U blijft eindverantwoordelijke en moet bij uitbesteding nagaan of alle onderdelen van de applicatie voldoende beveiligd zijn. Zo moet bekend zijn op welke server de databases draaien (in ieder geval niet buiten Europa). Of het datacenter waar de server staat voldoende normen in het kader van de beveiliging hanteert. Hetzelfde geldt voor de aanbieder van de applicatie via het internet (de SaaS-dienstverlener). En, mocht die aanbieder gebruik maken van een hoster, simpel gezegd degene die de servers managed, dan moet ook die een voldoende niveau van beveiliging hanteren. Zo ziet u, de keten kan lang zijn. Voor zowel applicaties binnenshuis als in de cloud geldt dat ze structureel goed en veilig gebouwd moeten zijn. Als uw applicatie benaderbaar is van buiten af, dan moet deze zo gebouwd zijn dat de bekende hack-technieken zoals path-traversal en SQL-injections niet mogelijk zijn. Er zijn verschillende bedrijven die dit voor u kunnen controleren. Een gemiddeld ziekenhuis zal merendeel in huis hebben of regionaal delen. Dan zijn de volgende vraagstukken van belang. Ten eerste, kan de applicatie vanuit thuis benaderd worden door een daartoe gerechtigd persoon? Denk dan na over de soort verbinding die hiervoor nodig is. De patiëntgegevens zullen versleuteld verzonden moeten worden naar de thuiscomputer. Ten tweede, als de applicatie regionaal gedeeld wordt, moet er duidelijk zijn wie er verantwoordelijk is voor applicatie en de koppelingen en hoe beslissingen hieromtrent worden genomen. Vaak wordt er gekozen voor een rechtsvorm zonder winstoogmerk waarin alle belangen vertegenwoordigd worden en daaronder een organisatie voor het dagelijks bestuur. De rechtsvorm zonder winstoogmerk bepaalt dan het beleid voor de organisatie. Ten derde moet er iets geregeld zijn omtrent continuïteit van de applicatie en dan met name de data. Veel ziekenhuizen hebben al de verzamelde data veelal dubbel staan en dan het liefst op twee verschillende servers op verschillende locaties. De data moeten ook toegankelijk blijven. Dit is immers noodzakelijk om zorg te leveren ‘zoals het een goed zorgverlener betaamt’. En daarnaast moet het van de wet. Informatie opgeslagen in een bepaald format kan over tien jaar lastig te ‘lezen’ zijn. Bijvoorbeeld omdat u bent overgestapt naar een andere leverancier, omdat er een nieuwe versie is geïmplementeerd of omdat de leverancier van een essentieel deel van de applicatie failliet is gegaan. U moet dus zorgen voor een format zonder ‘vendor lock-in’.
Kleinere instellingen hebben niet altijd de mogelijkheid alles dubbel op verschillende eigen servers weg te zetten. Voor hen is het aan te raden om aan tafel te gaan zitten met hun leverancier(s) en te vragen wat zij bieden ten behoeve van de continuïteit. Drie onderdelen moeten dan besproken worden: continuïteit van de licentie voor het softwarepakket, continuïteit van de hosting van het pakket en de data en indien van toepassing, de continuïteit van cruciaal personeel van de leverancier. De lengte van de periode van continuïteit nadat de leverancier zelf niet meer levert, kunt u het beste laten afhangen van de tijd die nodig is voor de migratie naar een andere applicatie. 3 De personen of bedrijven die met de patiëntgegevens werken Bij de digitale uitwisseling spelen vaak naast artsen ook ander personeel zoals IT-ers of secretaresses een grote rol. Zij hebben een afgeleide zwijgplicht. Mocht de IT-er in dienst zijn bij de zorginstelling, dan kan er in zijn arbeidscontract worden opgenomen dat hij of zij een zwijgplicht heeft ten aanzien van alle patiëntgegevens. Als de IT-er niet in dienst is, maar bijvoorbeeld zzp-er, dan kan het opgenomen worden in de overeenkomst van opdracht of een aparte overeenkomst. Indien u een extern bedrijf of persoon inhuurt voor (een deel van) de verwerking van patiëntgegevens, dan moet daarmee een bewerkersovereenkomst worden gesloten. Daarin wordt onder andere opgenomen wie de verantwoordelijke is voor de verwerking en dat de bewerker, hier het externe bedrijf, een passend beveiligingsniveau zal implementeren. 4 De digitale uitwisseling Hoofdregel is dus dat er uitdrukkelijke toestemming wordt gevraagd aan de patiënt. Daarnaast heeft het de voorkeur dat de patiënt het delen van zijn informatie kan limiteren. Dan heb ik het zowel over de doeleinden waarvoor er gedeeld mag worden (behandeling en/of onderzoek) maar ook welke informatie er gedeeld mag worden. Geef bijvoorbeeld de mogelijkheid om uitzonderingen te maken op het gebied van seksueel overdraagbare ziektes en op het gebied van psychiatrie. Hiertoe moet een duidelijke procedure worden geïmplementeerd. Dan, als u die toestemming heeft, moet het delen van patiëntinformatie adequaat beveiligd worden. Als het goed is kunt u, in de nabije toekomst, bij regionale uitwisseling gebruik maken van de Gedragscode elektronische gegevensuitwisseling in de zorg om te bekijken waar u allemaal rekening mee moet houden. De volgende punten zijn naar mijn mening het belangrijkst: toegang kan alleen na identificatie, authenticatie en tot gegevens waarvoor de geïdentificeerde geautoriseerd is; de gegevens moeten versleuteld verzonden worden en er moet gelogd worden zodat er ook achteraf toezicht gehouden kan worden. Een laatste noot bij het uitwisselen van patiëntgegevens. Er is (nog) geen verplichting tot het doorbreken van de zwijgplicht en het uitwisselen van patiëntgegevens. Dit kan veranderen: de 15
zorg kan het doorbreken bestempelen als een kwaliteitseis. Literatuur - M.C.I.H. Biesaart e.a. Tekst & Commentaar Gezondheidsrecht, 2011 - Mr. drs. T.F.M. Hooghiemstra en drs. R. Gerards De informatiepositie van de patiënt, Privacy & Informatie, april 2010, afl.2, p. 65-74 - Mr. drs. T.F.M. Hooghiemstra en mr. dr. J. Nouwt eHealth en recht, inleiding op het thema, Computerrecht, december 2011, afl. 6., p. 282-291 - Prof. dr. H.J.J. Leenen e.a. Handboek gezondheidsrecht, Deel 1 - Rechten van mensen in de gezondheidszorg, 2011
Samenvatting Daar de wet op het EPD niet is aangenomen en u toch digitaal gaat uitwisselen, geef ik u een uiteenzetting van met welke regels u rekening moet houden. Mijn doel is u bewust te maken van wat er op digitaal vlak allemaal speelt en waar de paden van de techniek en het recht elkaar kruizen. De basisregels voor het uitwisselen van patiëntgegevens bestaan uit twee rechten van de patiënt. Ten eerste het recht op zwijgen door de
hulpverlener en ten tweede de informationele privacy, the right tot be left alone. Doordat de wet op het EPD geen doorgang heeft gevonden missen enkele verduidelijkingen van deze regels zoals toepasbaar bij de digitale uitwisseling. Indien de zorgbranche deze alsnog wilt hanteren, dan kan zij deze benoemen als kwaliteitseis. Met betrekking tot de digitale uitwisseling worden de volgende punten tegen het licht van de basisregels gehouden: (1) de inkoopvoorwaarden, zorg dat deze zijn afgestemd op het afnemen van ICT-diensten en stel de voorwaarden juist ter hand; (2) de applicatie, deze bestaat uit, het softwarepakket, de databases en de daarin opgenomen data, de server(s) waar het geheel op draait en de toegankelijkheid via een intranet of via het internet. Voor alle onderdelen moet in veiligheid en continuïteit worden voorzien, binnenshuis en in de cloud; (3) de personen of bedrijven die met de patiëntgegevens werken, om te voldoen aan de regels dienen soms overeenkomsten gesloten te worden, en; (4) de digitale uitwisseling, nadat u uitdrukkelijke toestemming heeft gekregen van de patiënt, kunt u gegevens uitwisselen indien dit nodig is voor de behandeling en het delen goed beveiligd wordt.
16
EXTERNE OPSLAG
U wilt toch ook niet dat uw medische gegevens op straat liggen? EXTERNE ARCHIEFOPSLAG
KIES DAN VOOR VEILIGE, EXTERNE OPSLAG BIJ JALEMA ARCHIEFSPECIALIST • Tot 15 jaar zorgeloos bewaren in het kader van de WGBO. • In een pand dat aan de archiefwet voldoet. • Opslag minstens zo veilig als in het eigen archief. • Kostenbesparend. • Concurrerend opslagtarief. • Informatie blijft op afstand snel en makkelijk toegankelijk. • Gecertificeerde vernietiging.
Reeds velen gingen u voor.
Jalema heeft meer dan 60 jaar ervaring in archiefoplossingen en 14 jaar in de opslag voor derden.
www. archiefs pecialist.com
De volgende dag werd ik al om 09.30 uur gebeld dat patiënt niet meer gegeten en gedronken had en zijn medicijnen weigerde. Hij had gezegd ‘mensen te gaan slaan.’ Ik liet mijn afspraken vanaf 11.00 uur afzeggen.Twintig minuten probeer ik te vergeefs het afgesloten EPD van deze ‘ex’-patiënt van ons te openen. De dienstdoende sociaal psychiatrisch verpleegkundige die mee zou gaan, bleek op huisbezoek en kon niet eerder dan 12.15 uur in het verpleeghuis zijn. Daar wilde ik patiënt een hand geven, maar ook nu volgde: ‘opflikkeren’ en ‘oprotten.’ Desondanks wilde ik met hem praten en bleef staan. Plots haalde hij met een vuist uit. Ik kon nog net zijn pols grijpen. Met hulp beëindigde ik het contact. Omdat deze situatie vast zou escaleren besloot ik een inbewaringstelling (IBS; gedwongen opname) aan te vragen. Dat kan via internet en zodoende vulde ik op de artsenkamer de formulieren on-line in. 13.50 uur. Bijna klaar. Alleen nog het akkoord van de burgemeester of zijn waarnemer. Een voicemail verzocht te sms-en of de secretaresse te bellen. Ik sms-te: ‘Graag IBS- overleg.’ Na 10 minuten herhaald. Nog eens 10 minuten later de secretaresse gebeld.
ADL: algemene dagelijkse levensverrichtingen, zoals wassen, aankleden, etc. ‘BOPZ-online’: instantie die de administratieve afhandeling van een IBS-aanvraag (in het kader van de BOPZ) via internet mogelijk maakt. BOPZ: De Wet Bijzondere Opnemingen in Psychiatrische Ziekenhuizen regelt gedwongen opname en behandeling van mensen die lijden aan een psychiatrische stoornis en beschermt hun rechten bij gedwongen opname.
S t r e f o n i s
‘Of ik over een uur terug wilde bellen, zijn waarnemer is op vakantie’ (schoolpleingeluiden?). Wat te doen. Ons psychiatrisch ziekenhuis bleek vol. Zoeken naar een gastplaatsing elders. Het naburige instituut zei: ‘Jullie zitten in ons werkgebied, dus los het nu maar zelf op.’ Onverwacht belde ‘BOPZ-online’*, waarom mijn formulieren open bleven staan. Situatie uitgelegd. Men ging er achter aan. De psychiater van een ander instituut ging akkoord maar zijn management zou de definitieve toestemming doorbellen. 14.18 uur sms-je: ‘IBS-verzoek ingewilligd.’ Op mijn scherm veranderde echter niets. Zelf maar ‘BOPZonline’ gebeld, en even later verscheen echt de accordering. 15.00 uur. Nog eens de collega gebeld. Hij blijkt ‘net op weg om te overleggen met zijn management.’ 15.30 uur. ‘Patiënt is welkom.’ Ik bel de ambulancecentrale. ‘Het kan een paar uur duren’ want ‘niet urgent.’ 16.55 uur. De ambulance is er. Dankzij een kalmerend middel gaat patiënt bereidwillig op de brancard liggen en met opgeheven hoofd rijdt hij met de broeders de lift in. Om 17.15 uur verlaten wij het pand.
V i k t o r
Een verpleeghuis vraagt een consult voor een 66 jarige alleenstaande, manisch depressieve man met geheugenstoornissen door alcoholmisbruik. Hij was daar ter revalidatie van zijn ribfracturen die hij thuis door een val had opgelopen. Zelfstandig wonen kon niet meer. Desondanks wilde hij naar huis. Al een week weigerde hij zijn medicatie en werd toenemend achterdochtig en prikkelbaar. Aangesproken op zijn vloeken en schelden naar personeel en bejaarde medepatiënten verergerde zijn boosheid alleen maar. Hij weigerde te douchen of geholpen te worden bij zijn ADL*. Men was bang voor hem geworden. ’s Middags probeerde ik met hem te praten maar ik kon alleen maar ‘opflikkeren’ en ‘oprotten.’Tegen zijn gebries in zei ik hem dat ik terugkwam als hij zijn medicatie niet innam.
c o l u m n
Hoe lang kan een IBS aanvraag duren?
17
Privacy en so
trends in Dit verhaal is een bewerking van de lezing die de auteur op 8 maart 2012 gaf op het NVMA congres ‘Gegevensuitwisseling in de Gezondheidszorg’. Het jaar 2011 was een onrustig jaar als het gaat om de omgang met informatie in de zorg. Eigenlijk hebben we altijd gedacht dat het landelijk EPD er wel zou komen en er ging dan ook een schok door de zorg-ICT heen toen op 5 april 2011 de Eerste Kamer de plannen wegstemde. En toen ging het niet/wel/niet en nu weer wel door maar dan anders dan we eerst bedacht hadden. En of je nu voor of tegen bent, het grootste richting bepalende project in de zorg-ICT laat ons nu stuurloos achter. Mogelijk de belangrijkste reden dat het L-EPD werd afgestemd was dat de privacy niet goed geregeld werd. Een beetje vreemd: de privacy was in de uitwisseling van medische informatie nog helemaal niet goed geregeld. Met de nieuwe wetgeving om van het L-EPD heen zou het beter worden. Maar omdat die wetgeving nog net niet helemaal goed was gaat het allemaal niet door en mogen nu de verzekeraars er de scepter over zwaaien. Minister Schippers kreeg niet voor niets op 7 maart 2012 de Big Brother Award.1 We hebben er wel wat van geleerd: als patiënt zit je nu altijd vast aan een of andere opt-in regeling als je medische informatie uitgewisseld moet worden met een andere zorgverlener. Hoeveel van deze, meestal slecht geformuleerde, papiertjes heeft u al moeten ondertekenen? Of zelf al opgesteld? Gelukkig komen er nu sterkere regelingen aan maar dat duurt nog even. Voorbeelden zijn de voor-
18
Berend de Vries, Comfort-IA
ociale media
n de zorg
19
gestelde wijzigingen in de Kaderwet elektronische zorginformatie-uitwisseling, waarvan de status nog onduidelijk is, en Gedragscode Elektronische Gegevensuitwisseling in de Zorg (Gedragscode EGiZ), die nog niet af is. Beleidsmakers, die zich richten op zorg en informatievoorziening, en ICT’ers nemen de afspraken over landelijke infrastructuren en nieuwe formele regelingen wel mee. Het is echter de vraag of de zorgverleners in de praktijk er wel zo bezig zijn. Zij krijgen steeds meer te maken met heel andere trends die hun dagelijks werk veel sterker beïnvloeden. Het valt tegenwoordig niet mee in de praktijk van de zorgverlener. De patiënt komt veel vaker dan vroeger goed voorbereid naar het spreekuur. Aan de hand van de symptomen is op internet aardig uit te vinden wat er kan mankeren. De patiënt komt niet voor een diagnose maar hij komt met een zelf gestelde diagnose een behandeling vragen. De dokter moet dan eerst deze amateurdiagnose uit het hoofd van de patiënt praten voordat hij kan vertellen wat de patiënt wel heeft. Het internet staat bol van de medische sites, de een nog dubieuzer dan de ander. De meeste sites zijn verbonden aan leveranciers van behandelingen, medicijnen of hulpmiddelen. Er zijn weinig betrouwbare en onafhankelijke sites, en de reguliere zorg doet er weinig aan deze onder de aandacht van het publiek te brengen. Voor de patiënt is ook wat veranderd: vroeger snuffelde men anoniem in een medische encyclopedie, nu zoekt men op internet en de meeste patiënten realiseren zich niet dat hun zoekgedrag altijd vastgelegd wordt. Iedereen op internet is herkenbaar via een IP adres of doordat allerlei persoonlijke gegevens meegestuurd worden via de automatische invulfunctie van de browser of het besturingssysteem. En dat vastgelegde zoekgedrag heeft waarde en niet alleen voor marketing doeleinden. Zo ontdekte Google dat de stijging van het aantal zoekopdrachten met griep gerelateerde termen gelijk opging met het verspreiding van de ziekte.2 Officiële statistische gegevens zijn altijd pas enkele maanden later beschikbaar, de Google zoekvragen lopen gelijk. Als ik een griep medicijn op de markt bracht had ik daar veel geld voor over. Nog even en na zoeken op hoofdpijn krijg ik reclame voor een pijnstiller toegestuurd! Patiënten hebben steeds meer manieren om medisch relevante gegevens bij zichzelf te meten en vast te leggen. Kijk maar eens in de folder van een grote elektronica zaak. Tegenwoordig leveren weegschaal, thermometer, bloeddrukmeter en zelfs bloedglucose meter zo vaak je wil en heel betaalbaar gegevens aan een app op je smartphone. En dan kan je dus heel wat meer over jezelf te weten komen dan die ene keer in de week dat de dokter je bloeddruk opneemt en je daar toch al zenuwachtig over bent! Zo kom je niet alleen op het spreekuur met een zelf gestelde diagnose maar je kunt die nog met meetgegevens onderbouwen ook. En je onderhoudt je eigen medisch dossier door de verzamelde gegevens op een website kunt zetten waar er mooie grafiekjes van gemaakt 20
worden. Je mag zelf beslissen wie het allemaal mag zien. De Quantified Self beweging is er flink mee bezig.3 Al enige tijd zijn zorginstellingen bezig om de patiënt vanaf internet via een portal toegang te geven tot het door de zorgverlener bijgehouden EPD. Iedere zorginstelling heeft er zijn eigen systeem voor en realiseert zich nauwelijks dat een patiënt vaak bij meerdere zorginstellingen onder behandeling is en dus naar meerdere portals moet! De meeste portals hebben een beetje moeite met het identificeren en authenticeren van de patiënt. De DigiD, en zelfs de verbeterde DigiD, werd landelijk als onvoldoende beschouwd en de gebruikersnaam-wachtwoord combinatie, die nog minder zekerheid en bescherming biedt, maar weer gebruikt. De laatste twee jaar is toch weer toename van de inzet van de DigiD bij portals te constateren. Interessant wordt het als de patiënt de gelegenheid wordt geboden zelf informatie aan het EPD toe te voegen, zeker als patiënten meer en meer aan zichzelf gaan meten en hun meetdossier gaan integreren of uploaden in de portal van de zorgverlener. Geen enkele portal biedt nog de mogelijkheid aan de patiënten om toegang tot deze informatie voor specifieke behandelaars in te stellen of te blokkeren. Op deze manier ontstaan via de portal hele nieuwe gevaren voor de privacy van de patiënt, en voor de integriteit van de zorgverlener. Ach, de moderne patiënt kijkt toch heel anders aan tegen privacy. Al meer dan 5 miljoen Nederlandse mensen zetten hun hele ziel en zaligheid openlijk op de sociale media, zoals Facebook, Hyves en LinkedIn! Het lijkt hypocriet maar het is toch heel anders als ik zelf mijn gevoelige informatie openbaar maak dan wanneer iemand anders dat voor mij doet. En de sociale media maken gebruik van een optin regeling. Met het openen van een account verklaar je je akkoord met de gebruiksvoorwaarden, ook al lees je die niet. Overigens geef je dan gelijk toestemming om je gegevens voor allerlei doeleinden te gebruiken, ook voor doeleinden die je liever niet wilt zoals persoonlijke advertenties en marketing. Facebook kreeg niet voor niets eveneens een Big Brother Award. Sociale media geven over het algemeen onvoldoende privacy garanties en de Tweede Kamer wil al een onderzoek.4 Integratie van de sociale media met portals, om bijvoorbeeld gemakkelijk in te kunnen loggen of ander medisch gebruik, lijkt best mogelijk maar voorlopig dus geen goed idee. Nieuw is dat we onze ICT nu altijd bij ons hebben. Bijna iedereen heeft een smartphone of een tablet computer, of als je minder hip bent een laptop. Wifi en 3G zijn overal, we zijn altijd online. Het is nu mogelijk om, zittend op een terrasje, de sociale media te volgen, internet sites te bezoeken, echt werk te verzetten en nog veel meer. Flexwerken is het modewoord. De zorgverlener die in een kantoor van de zorginstelling wordt vastgehouden is te beklagen. De flexwerker moet wel rekening houden met enkele nieuwe bedreigingen van de privacy. Smarthphones, tablets en eerdaags ook laptops
zijn tegenwoordig via GPS en telefoonmasten te localiseren. ‘Find my iPhone’ en ‘Find my Friends’ zijn populaire diensten. Handig tegen dieven maar u bent wel traceerbaar geworden. Een ander probleem is dat op veel mobiele apparatuur, USB stick of harddisk gegevens worden opgeslagen waarvan dat niet zomaar is toegestaan.. Als de regelingen rondom het gebruik van gegevens buiten de muren van de zorginstelling niet heel stringent worden nageleefd is er kans op nare ongelukken. En dat hoeft niet eens bewust te gebeuren: Bij de flexwerker die vanaf het terras, via een beschermde verbinding, een paar dossiers opvraagt om nog even te bekijken, gaat het eigenlijk al mis omdat de informatie toch, al is het tijdelijk, in zijn computergeheugen staat. De mobiele apparatuur en de sociale media maken een heel andere manier van communiceren mogelijk. Bellen en e-mailen is uit. Informatie wordt uitgewisseld door teksten, foto’s en filmpjes via de smarthpone op de Facebook pagina van de communicatie partner te zetten, en voor snelle communicatie zijn er de korte berichtjes via SMS, WhatsApp en Ping. Als je als zorgverlener met de jongeren (van onder de 40) wil blijven communiceren, moet je je deze nieuwe technieken eigen maken. Bedenk dan wel dat de meeste tekst berichten gratis maar onversleuteld over het internet worden verstuurd en opgeslagen worden bij de dienstverlener. Over of met een patiënt communiceren brengt dus altijd de privacy in gevaar. En hierbij geldt natuurlijk ook weer dat door de dienstverlener opgeslagen informatie gebruikt mag worden voor andere doeleinden, kijk maar in de kleine lettertjes. Voor niets gaat de zon op. De moderne mogelijkheden worden gefaciliteerd door de cloud. De elektronische cloud is net zo’n vaag begrip als een echte wolk. In de praktijk betekent het dat je je gegevens toevertrouwt aan een dienstverlener die je van allerlei diensten gebruik laat maken voor een schappelijk tarief. Waar je gegevens blijven weet je niet. Volgens de Europese regelgeving mogen privacy gevoelige gegevens niet buiten Europa opgeslagen worden. De meeste cloud leveranciers garanderen dat je gegevens altijd beschikbaar zijn, waar je ook bent op de wereld en welke ramp er moge gebeuren. Dat is niet mogelijk met alleen opslag binnen Europa. Deze regel is bedoeld om de Europese gegevens veilig te stellen tegen politiek niet-correcte staten. We weten helaas steeds minder zeker wie dat zijn. Cloud leveranciers doen erg hun best om de informatie en de communicatie te beveiligen en de privacy te beschermen. De regelgeving is nog zeer beperkt, niet op Nederland afgestemd en de contracten staan vol met de bekende kleine lettertjes. Samenvattend kunnen we stellen dat de maatschappij de nieuwe ICT veel sneller omarmt dan de zorg. De consumenten ICT ontwikkelt zich razendsnel en de beleidsmakers en ICT’ers in de zorg komen er achteraan sukkelen. De weten regelgeving loopt nog achter of lijkt niet van toepassing. Patiënten beginnen heel andere
ideeën te ontwikkelen over hun privacy en wie ze wel en niet vertrouwen. Ze gaan, hoewel nog wat beperkt, zelf om met hun autorisatiebeheer. Zorginstellingen zijn nog nauwelijks met de nieuwe mogelijkheden bezig. De meesten verbieden nog het gebruik van de nieuwe apparatuur op de werkvloer. Dat werkt niet en daarom wordt het gebruik gedoogd onder de nieuwe beleidskreet BYOD (Bring Your Own Device). Het zal niet lang meer duren voordat de patiënt participeert in zijn eigen elektronische dossier met zelf vergaarde gegevens en zorgverleners via de mechanismen van de sociale media actief toegang verleent en buitensluit. Hij interacteert met medische dienstverleners op basis van zijn eigen informatie, keuzes en internet gebruik via een mobiel apparaat vanaf terras of ziekbed. Ontkennen dat dit gebeurt, gaat niet meer. Er moet beleid gemaakt worden dat verder gaat dan nadenken over de volgende module van het ZIS. 1 https://www.bigbrotherawards.nl/2012/03/ winners-of-the-dutch-big-brother-awardsannounced/ 2 http://www.google.org/flutrends/nl/#NL 3 http://quantifiedself.com/ 4 http://www.nu.nl/internet/2629531/kamer-wilonderzoek-privacyschending-facebook.html
Een instelling voor hulp aan jongeren liet toe dat medewerkers moderne middelen inzetten om met de cliënten communiceren. Een van de medewerkers had een gesprek met een jonge cliënte via WhatsApp, een online berichtendienst. De cliënte was uiteindelijk erg boos over het gesprek. Ze liet met één druk op de knop zich de gehele berichten historie, het hele gesprek dus, toe mailen en postte het vervolgens op Facebook. Vervelend, maar pas echt vervelend was dat niemand in de instelling wist dat dat kon. (Waar gebeurd)
Een huisarts vertelde, naar aanleiding van een lezing over sociale media, dat zijn patiënten allemaal wat ouder zijn en dat toch niet gebruiken. Zijn collega’s bevestigden dat de jongere patiënten inderdaad liever naar een andere huisarts gaan. Overigens één van de patiënten, een dame van boven de 80 en zeer actief op internet, eigenlijk ook. (Waar gebeurd)
In een onderzoek gedaan in de USA in de zomer van 2011 bleek dat 83% van de ondervraagde artsen een smartphone had en dat bijna de helft van de groep zonder er binnen een half jaar een ging aanschaffen. Al bijna 20% gaf aan een tablet te gebruiken tijdens het werk. Nederlandse cijfers zijn er nog niet maar hoeveel zorgverleners met een smartphone kent u? http://www.iphoneclub.nl/129177/iphone-enipad-populair-onder-artsen/
21
Informatievoorziening voor de zorg en vice versa Het belang van goed informatiemanagement De invloed van de huidige ontwikkelingen in de zorg op de eisen aan de informatievoorziening en IT is enorm. Anderzijds zijn de ontwikkelingen in de IT en de mogelijkheden die de IT op dit moment biedt van grote invloed op deze wijze waarop de zorg en de bedrijfsvoering ondersteund kunnen worden. Eigenlijk zou je kunnen zegen dat er drie volwassenheidsniveaus zijn als het om IT en informatievoorziening gaat: 1 het is één van de problemen die we ook nog hebben; 2 het helpt ons om onze problemen op te lossen (bijvoorbeeld door te zorgen dat we aan de eisen van de wetgever en de verzekeraars voldoen); 3 het biedt ons kansen; een voorziening die het mogelijk maakt om verder te ontwikkelen. Het belang van een goed ingerichte informatievoorziening is dus groot. Te groot om aan de interne IT-afdeling over te laten. De noodzaak om een juiste afweging te maken tussen investeringen en acceptabele kosten is bedrijfskritisch; om vandaag te overleven en om morgen nog mee te tellen. 22
Het is daarom van belang dat de invulling van de informatievoorziening vanuit het perspectief van de zorgprocessen en de bedrijfsvoering met voldoende draagvlak en mandaat is georganiseerd. In praktijk zien we echter nog geregeld dat een duidelijk beleid met betrekking tot de informatievoorziening, zowel binnen de organisaties zelf, als ook in de context van de steeds belangrijker wordende samenwerkingsverbanden, ontbreekt of op zijn minst versnipperd is, door de verschillen in belangen, verschillen in sturing (‘governance’) en verschillen in inzicht. Maar de business zal uiteindelijk op één lijn moeten komen en haar verantwoordelijkheid moeten nemen. Daarvoor is een omslag nodig in het denken. Om sturing te geven aan de informatievoorziening zal de omslag moeten worden gemaakt van aanbodsturing, waar de IT-afdeling bepaalt wat goed voor ons is, naar vraagsturing, waar de business bepaalt wat nodig is. Hierbij spelen issues als: wat hebben we nu écht nodig, hoe sturen we onze leveranciers aan, wie heeft de zeggenschap over de informatievoorziening, wie is eigenaar van de applicaties, hoe komen we tot een gezamenlijke visie, waar ligt het mandaat om besluiten te nemen, wie
Dat zo’n beetje elke zorgorganisatie op dit moment voor grote uitdagingen staat, behoeft weinig betoog. Elke organisatie ondervindt de gevolgen van de wijzigende rol van de overheid en de sterkere rol voor de verzekeraars. Er is sprake van krimpende budgetten, terwijl onder andere elektronische voorschrijfsystemen, e-Health, zorg op afstand en regionale samenwerking op het gebied van IT juist om extra inspanningen vragen. Maar hoe zorg je er voor dat de informatievoorziening optimaal aansluit op zowel de zorgprocessen als de bedrijfsvoering,terwijl tegelijkertijd de kosten niet uit de hand lopen? Hoe weeg je de soms tegengestelde belangen van de meest betrokkenen goed af, zoals die van de maatschappen en de centra, die niet altijd stroken met die van de centrale organisatie? En hoe ga je last but not least om met de machtvan de leveranciers van de bedrijfskritische applicaties?
Drs. Marco Maes is, consultant, Maes Consultancy / Ir. René Sieders, consultant, The Lifecycle Compagny
bepaalt welke investeringen worden gedaan, enzovoorts. Voor de goede orde: we hebben het dus niet over het stellen van hogere eisen aan de interne IT-afdeling en de externe leveranciers, maar over het organiseren van de vraagzijde en over het stellen van de juiste vragen, over goed opdrachtgeverschap. Het beantwoorden van dit soort vragen is de taak van businessinformatiemanagement . Businessinformatiemanagement vertegenwoordigt als vragende partij de zorgorganisatie (zorg en facilitair) op het gebied van de informatievoorziening, stuurt de aanbodorganisatie aan (de in- en externe leveranciers) en is verantwoordelijk voor het ondersteunen bij gebruik van de informatievoorziening en het aansturen van dit gebruik.
zijn. Voor de basisinfrastructuur gelden andere criteria, bijvoorbeeld ten aanzien van flexibiliteit, betrouwbaarheid of kosten, dan voor bedrijfsspecifieke of organisatieonderdeel specifieke toepassingen. De invulling en uitwerking zijn dus situationeel bepaald. De eerste vraag bij de inrichting van businessinformatiemanagement is doorgaans: welke informatiedomeinen onderscheiden we. Al snel gevolgd door vraag 2: wie zijn, per Figuur 1 vraag en aanbod
Het inrichten van businessinformatiemanagement Het businessinformatiemanagement zal niet voor alle onderdelen van de informatievoorziening hetzelfde worden ingericht of belegd. Voor elk informatiedomein, zoals benoemd in figuur 2, kunnen de eisen en randvoorwaarden anders 23
domein, de stakeholders en wat zijn hun belangen. Vervolgens kan per informatiedomein een verantwoordelijke voor de informatievoorziening worden aangewezen; de proceseigenaar. Deze proceseigenaar kan dan de businessinformatiemanager aanwijzen. Vaak zal dit één van de stakeholders zijn, maar het kan ook een (meer onafhankelijke) vertegenwoordiger zijn. Als er veel stakeholders zijn met tegengestelde of niet gelijkwaardige belangen is het wel nodig om afspraken te maken hoe om te gaan met ‘issues’ in de vorm van corrigerende maatregelen en afspraken. Tenslotte zullen de overlegvormen en –gremia Figuur 2 voorbeeld van informatiedomeinen binnen een zorgorganisatie
worden gedefinieerd. Hoe businessinformatiemanagement vorm wordt gegeven binnen de organisatie is afhankelijk van de structuur van de organisatie zelf. Er zijn verschillende modellen voor, die we allen in onze praktijk hebben gezien; we komen zowel centrale als decentrale oplossingen tegen. Wel zal er van hoog tot laag draagvlak moeten zijn in de organisatie voor de implementatie.
De informatievoorziening is bedrijfskritisch geworden. Hierdoor is sturing vanuit de business essentieel geworden
Het inrichten en professionaliseren van businessinformatiemanagement op uitvoerend niveau het functioneel beheer begint met vragen als: - wat vragen/eisen we van onze functionee- beheerders; - hoe moet dan hun profiel er uit zien? - moet het een fulltime of parttime functie zijn of een rol; - hebben we de geschikte mensen in huis? - zo ja/zo nee: hoe krijgen we de juiste mensen op de juiste plek; - moeten we nog verder inrichten en opleiden; - kunnen we het zelf of hebben we hierbij hulp nodig? Hier bestaan verschillende voorbeelden en best practices voor, die altijd moeten worden aangepast aan de specifieke situatie en naar behoefte kunnen worden aangevuld. Businessinformatiemanagement en BiSL Voor de inrichting van het Businessinformatiemanagement kan gebruik worden gemaakt van het model voor business informatiemanagement BiSL.
24
BiSL staat voor Business Information Services Library en is in Nederland dé standaard voor de inrichting van informatiemanagement en functioneel beheer. Het BiSL-model en gedachtegoed is in boekvorm in 2005 verschenen. Vanaf dat moment zijn ook veel best practices op het gebied van functioneel beheer en informatiemanagement verzameld en verspreid. BiSL geeft invulling aan de processen en activiteiten die noodzakelijk zijn om de informatievoorziening vanuit gebruikersoptiek te sturen: zowel op richtinggevend niveau als op sturend en uitvoerend niveau. De organisatie die BiSL beheert en het gedachtegoed en de best practices verzamelt en verspreidt is de ASL-BiSL Foundation. Voor meer informatie zie: www.aslbislfoundation.org. Veel organisaties -zowel profit als non-profithebben de afgelopen jaren werk gemaakt van de inrichting van de vraagorganisatie aan de hand van BiSL; van verzekeraars en banken tot ministeries, ziekenhuizen, GGZ-instellingen en anderen. Het model draagt eraan bij om een gemeenschappelijke taal te ontwikkelen als het gaat om de vraagstukken rond de informatievoorziening. Het helpt óók om de rollen en verantwoordelijkheden te benoemen, zowel intern in de afstemming tussen businessinformatiemanagement en de diverse belanghebbenden, als ook in de relatie met de interne of externe IT-leverancier(s). Het gebruik van een framework als BiSL kan dus een bijdrage leveren aan de professionalisering van de vraag en de inrichting van de vraagorganisatie en aan het verbeteren van de sturing op de informatievoorziening binnen zorgorganisaties. Het verbeterpotentieel voor de inrichting van de informatievoorziening kan met BiSL daadwerkelijk vorm worden gegeven. Dan moet wel aan een aantal randvoorwaarden zijn voldaan, en tenminste: - overeenstemming en commitment van hoog tot laag en zowel centraal als decentraal over de wil om te veranderen; - duidelijke en transparante besturingsstructuur (‘Governance’) van de informatievoorziening; - expliciet beleggen van rollen en taken en de ruimte om deze taken uit te voeren en de rollen in te vullen; - doorzettingsvermogen en blijvende aandacht. Figuur 3 voorbeeld stappenplan inrichten BIM
Wie neemt de lead? Een terugkerende vraag is hoe je businessinformatiemanagement onder de aandacht krijgt van de organisatie. Ons antwoord op die vraag is eigenlijk in het voorgaande al gegeven. Enerzijds door het gebruik van het BiSL model: het biedt een gemeenschappelijke taal en referentiekader. En anderzijds door het hanteren van een top down benadering naast bottom up een benadering: top down vanuit de informatiedomeinen en bottom up door het inrichten en professionaliseren van het functioneel beheer. In de praktijk zien we vaak dat businessinformatiemanagement alleen bottom up wordt ingericht: door het inrichten van het functioneel beheer. Voor het functioneel beheer zelf werkt dit aanvankelijk heel redelijk. Maar na enige tijd loopt men aan tegen het probleem dat niet helder is welk mandaat men heeft, waar de zeggenschap over de
-
- - -
-
van ICT dus naar informatievoorziening, en van aanbodgedreven naar vraaggericht; de inrichting van businessinformatiemanagement moeten leiden tot: - heldere rollen en verantwoordelijkheden; - kostenbesparing door efficiëntere aanpak en investeringen op basis van de juiste overwegingen; betere ondersteuning van gebruikers; organisatie van businessinformatiemanagement en functioneel beheer kan plaatsvinden aan de hand van BiSL; voor een succesvolle invulling in de organisatie zijn randvoorwaarden te benoemen. Voldoende kennis van de bedrijfsprocessen is er één van, maar ook capaciteit en vaardigheden zijn belangrijke succesfactoren; implementatie kan parallel top down en bottom plaatsvinden: top down om de
Figuur 4 het BiSL-model
informatievraagstukken ligt en wat de verwachtingen zijn. Vanuit die basis begint dan ook doorgaans een traject om het ook in de rest van de organisatie door te voeren en de sturende (tactische) en richtinggevende (strategische) processen in te richten. Om vanuit de uitvoerende laag van het BiSL-model verder door te stoten naar boven gaat in praktijk vaak moeizaam. Met als gevolg is dat het functioneel beheer klaagt over draagvlak, terwijl de organisatie verwachtingen heeft die niet worden waargemaakt. De oplossing voor dit probleem is om alsnog top down aan de slag te gaan, door als Raad van Bestuur eindverantwoordelijkheid te nemen voor de informatievoorziening.
Wrap up - de organisatie van IT en het beheer van de informatievoorziening vragen expliciet aandacht vanwege het belang van de informatievoorziening in het primaire proces en de ondersteunende processen; - het is bedrijfskritisch om een juiste afweging te maken ten aanzien van investeringen in de informatievoorziening; - sturing vanuit de business is noodzakelijk;
samenhang in de organisatie te borgen en bottom up om vooral de werkvloer goed en snel te bedienen. Literatuur - BiSL; een framework voor functioneel beheer en informatiemanagement. Remko van der Pols e.a., ISBN 978 90 77212 40 0 - Naar een vraaggestuurde informatievoorziening; de case gezondheidszorg. Remko van der Pols, René Sieders e.a., ISBN 978 90 12 58204 9
Over de auteurs Drs. Marco Maes is consultant bij Maes Consultancy en adviseert bedrijven en organisaties en geeft trainingen op het gebied van informatiemanagement en vraagstukken m.b.t. de inrichting van de informatievoorzieningsfunctie.
[email protected] Ir. René Sieders is consultant bij The Lifecycle Compagny en geeft trainingen op het gebied van BiSL en Business informatiemanagement. Hij is betrokken geweest bij de ontwikkeling van BiSL en is lid van de Architectural Board van de ASL-BiSL Foundation.
[email protected]
25
s a m
doorgezonden naar de centrale meldkamer van medische gegevens dan kunnen adequate maatregelen worden getroffen.Vergeet u niet dat het automatiseren van voorraadbeheer op deze wijze een efficiëntie van jewelste heeft teweeggebracht in de detailhandel. Dus als het met pakjes kan, dan moet het met patiënten toch ook lukken? Als we deze patiënten maar goed kunnen overtuigen dat het chippen voor hen het beste is wat hen is overkomen?! Na de ramp in New York op 11 september 2001 lukte dat prima in de Verenigde Staten. Dus voordelen: 1 de identiteit van de gechipte persoon is eenvoudig en zeker vast te stellen; 2 de gechipte persoon is overal ter wereld makkelijk te vinden dankzij het GPS systeem; 3 een controle chip zou in bepaalde soorten patiënten kunnen worden geïmplanteerd, zodat bepaalde noodzakelijke levensfuncties op afstand door deskundigen kunnen worden gemonitord, en 4 het medisch dossier van een persoon draagt de persoon continue bij zich (medicatie, allergieën). Naast de voordelen kun je je ook legio nadelen voorstellen? Als de mens zou worden verplicht zich te laten chippen om bijvoorbeeld toegelaten te kunnen worden tot een bepaalde ziektekostenverzekeraar dan kan hij of zij altijd door deze organisatie worden achtervolgd. Ik houd er maar mee op, want eigenlijk vind ik het een ontwikkeling van ‘Big Brother is watching us’. Laten we ons dus verzetten tegen het chippen van mensen. Het chippen van vee en huisdieren heeft zijn voordelen, maar daar zou het, wat mij betreft, bij moeten blijven. De commercie, in casu de Digital Angel (biochip666) zoals de verichip wordt genoemd, door de firma Applied Digital Solutions2 zal zeker alle voordelen goed ventileren en zal de duistere kant niet belichten. Laten wij allen waakzaam zijn!
c o l u m n
Kent u de verichip of digital angel zoals hij tegenwoordig wordt genoemd1? De digital angel is een Radio Frequency Identification Device (RFID) die kan worden gebruikt in de zorg voor velerlei toepassingen. Ik verwijs naar de voetnoot voor diegenen die technisch willen weten hoe het werkt. Eigenlijk is het een chip die kan worden geïmplanteerd, zodat te allen tijde kan worden nagegaan waar de gechipte persoon (en ik bedoel hier niet de verknipte persoon) zich bevindt. Het voordeel is dat deze chips klein van stuk zijn en dus eenvoudig kunnen worden geimplanteerd in de hand. Iedere verichip kan worden uitgerust met een intelligente chip. Deze chip kan dan allerlei interessante informatie bevatten die daarna met behulp van radiosignalen zowel op kleine als op grote afstand kan worden gelezen. De verichip kan worden gebruikt voor traceerbaarheid van pakjes, maar ook van personen.Via een GPS weten waar de gechipte persoon of het pakje zich bevindt. Reuze handig. Ook zou je in de chip kunnen programmeren wie de betreffende persoon is met bijvoorbeeld zijn meest relevante medische gegevens. Mocht de epileptische patient elders in de wereld onwel worden dan kan elk ziekenhuis dat is uitgerust met de betreffende ontvangstapparatuur de bewustloze persoon identificeren waarbij ook informatie beschikbaar komt om de persoon van adequate medische zorg te voorzien. Ook andere medische toepassing behoren tot de mogelijkheden. Als software in de digital angel bepaalde signalen van een geplaatste defibrillator zou kunnen opvangen dan is het mogelijk om patronen van ritmestoornissen op de chip te detecteren. Dan kan, aan de hand van een bepaald algoritme, het patroon van de ritmestoornissen naar de dichtstbijzijnde medische post worden gezonden. Zij kunnen dan die persoon lokaliseren. Daarna kan direct contact worden opgenomen, zodat een hoog risico voor ventriculaire fibrillatie kan worden voorkomen. Ook op macro-economisch gebied in de gezondheidszorg kan ik me vele toepassingen voorstellen. De gechipte persoon kan zich niet meer uitgeven voor iemand anders. Daarmee is de identificatie van een patiënt gevalideerd. Hiermee kan de zorgfraude worden ingedamd. Statistiek in de zorg kan zonder enige moeite realtime worden bedreven: Hoeveel patiënten hebben vandaag welke behandelingen gehad? Als de signalen van de gechipte patiënten per direct na updaten van de chip worden
s t e r k
IS DE DIGITAL ANGEL HET PANACEE OM EFFICIENTIE IN DE ZORG TE BEWERKSTELLIGEN?
Aldus wederom uw luis in de pels van de zorg in Nederland, Sam Sterk, esq. 1 http://en.wikipedia.org/wiki/VeriChip 2 http://biochip666.blogspot.com/2011/11/de-digitalangel-microchip.html
27
E.R. Vastenavond – Nijboer MSc, Tot mei 2012 projectleider op de afdeling Financiën, Deventer Ziekenhuis
Uitgangssituatie Het Deventer Ziekenhuis is een topklinisch opleidingsziekenhuis waar in 2011 21.000 klinische opnamen en 25.600 dagopnamen plaatsvonden. Het team Medische Codering, bestaande uit 2,74 FTE op 1 januari 2011, codeert deze opnamen. Het team Medische Codering maakt onderdeel uit van de afdeling Financiën, Control en Informatie, en staat daarmee geheel los van de bronregistratie, alwaar de DBC-diagnose en zorgactiviteiten worden geregistreerd ten behoeve van de financiële afwikkeling. Het team Medische Codering codeert de hoofd- en nevendiagnoses, alsmede de complicatie- en ongevallenregistratie. Iedere collega is in staat ieder specialisme te coderen, een bewuste keuze om de flexibiliteit en actuele codeerkennis zo hoog mogelijk te houden. Het team codeert de verrichtingen aan de hand van de CvV1. 28
Lean Six Sigma Het Deventer Ziekenhuis zet Lean Six Sigma in om processen in het ziekenhuis te optimaliseren, en heeft zich daarbij tot doel gesteld om gegarandeerde toegangs- en doorlooptijden, veilige zorg, werkdrukverlaging en kostenbeheersing te realiseren. Lean Six Sigma biedt een (wereldwijd bewezen) framework waarmee een organisatie op een gestructureerde wijze kan verbeteren. Niet alleen het primaire zorgproces wordt door middel van een projectmatige benadering geanalyseerd en waar nodig aangepast, ook ondersteunende diensten worden op deze wijze van verbeterslagen voorzien. In voorbereiding op de implementatie, werd in het najaar van 2010 door middel van Lean Six Sigma inzicht verkregen in de knelpunten en verbetermogelijkheden van de Medische Codering. Al enige jaren was duidelijk dat er sprake was
Implementatie ICD-10 in het Deventer Ziekenhuis Knelpunten en beoogde verbeteringen Het Deventer Ziekenhuis heeft in het najaar 2011 de overstap gemaakt van ICD-9 diagnose¬classificatie naar het nieuwe ICD10 classificatiestelsel. Een project met impact op het team Medische Codering, welke zich er volledig voor heeft ingezet de transitie tot een succes te maken!
van een capaciteitstekort; het aantal opnamen nam (en neemt nog steeds) toe, terwijl het aantal FTE’s van het team Medische Codering vrijwel gelijk bleef. Als doelstelling werd dan ook geformuleerd om in kaart te brengen hoe het coderen efficiënter kon worden ingericht. Indirect werd daarmee de vraag gesteld hoe er met het (landelijk) lage aanbod van medisch codeurs het hoofd kon worden geboden aan de toenemende stroom opnamen. Het Deventer Ziekenhuis wilde namelijk ook op de lange termijn kunnen blijven voldoen aan de verplichting tot het aanleveren aan de Landelijke Medische Registratie (LMR2). Er kwamen een aantal suggesties voor optimalisatie uit naar voren, maar met name het gebrek aan capaciteit werd heel concreet blootgelegd. Het team Medische Codering bleek al een dusdanige snelle verwerkingstijd te hebben ontwik-
keld, dat de mogelijkheden tot optimalisatie nog slechts een geringe bijdrage zouden leverden om het capaciteitstekort te beperken. Het project leidde er toe dat het team werd uitgebreid tot 3,75 FTE (mei 2012). De twee aangetrokken collega’s zijn allebei in opleiding gegaan tot medisch codeur. Bij aanvang van het coderen in ICD-10 (januari 2012) had één van hen de opleiding net afgerond, de ander zou deze na een paar maanden afronden. Een ander voordeel van het Lean Six Sigma project was dat in kaart was gebracht wat de totale bewerkingstijd per ontslag was, bij coderen volgens de ICD-9. Een variabele die bij de scenariokeuze van belang is geweest. Implementatiescenario’s Schematisch zag de uitgangssituatie van het Deventer Ziekenhuis er uit als weergegeven in 29
later moment haar keuze heroverwegen. Noodzaak transitie naar ICD-10? De invoeringsdatum ICD-10 is in de afgelopen jaren een paar keer opgeschoven. Waarom heeft het Deventer Ziekenhuis dan inzet geleverd om per 2012 (al) alle ontslagen te coderen in het nieuwe classificatiestelsel?
figuur 1 Uitgangssituatie Deventer Ziekenhuis (januari 2011)
In het projectplan zijn er vanuit deze uitgangssituatie vijf transitiescenario’s geschetst (zie ook figuur 2). Ten grondslag aan deze scenario’s lag de keuze of de medisch specialist de ICD-10 diagnose aan de bron zou registreren, of dat de medische codering dit bleef doen. Naast organisatorische overwegingen, is bij de keuze voor het voorkeursscenario ook nadrukkelijk gebruik gemaakt van de uitkomsten van het Lean Six Sigma project: de processtappen om te komen tot een juiste en volledige codering van een ontslag waren kristalhelder. En ook de bewerkingstijd van de verschillende processtappen waren bekend.
Figuur 2 Transitiescenario’s, korte danwel langetermijn
Het Deventer Ziekenhuis koos voor het eerste scenario, waarbij de Medische Codering de transitie van ICD-9 naar ICD-10 zou gaan maken. Met name omdat de ICD-10 diagnose méér vraagt dan het vastleggen van ‘een code’ aan de bron, het gaat om de totale classificatie van het ontslag. Een vaardigheid die zou moeten worden aangeleerd aan specialisten. De medisch specialisten werden daarbij als ‘een brug te ver’ beschouwd, onder andere gezien het belang van de indicatoren die onttrokken worden uit de LMR. Door te kiezen voor de specialisten van het team Medische Codering werd zowel op de korte als op de lange termijn de aanlevering aan de LMR geborgd. Indien het Nederlandse stelsel op termijn ICD-10 registratie aan de bron verlangt, is het Deventer Ziekenhuis in staat met haar eigen ‘codeerspecialisten’ de medisch specialisten op te leiden. Voorts is het team Medische Codering blijvend in staat om de aanlevering aan de LMR te controleren en toetsen. Zo nodig zal het Deventer Ziekenhuis aan de hand van de landelijke ontwikkelingen op een 30
Door in 2011 het team al voor te bereiden op het nieuwe classificatiestelsel, kunnen andere wijzigingen, zoals de aanstaande transitie naar CBV stelsel, (ook) gefaseerd worden ingevoerd. En mocht inderdaad de invoering van ICD-10 aan de bron per 2014 van de Nederlandse ziekenhuizen worden verlangd, biedt een tijdige transitie de mogelijkheid om in ieder geval al twee jaar professionele ervaring op te doen met het ICD-10 classificatiestelsel. Aanpak Aangezien het capaciteitstekort heel helder in kaart was gebracht, was eenvoudig te berekenen dat door een toename van de bewerkingstijden van een ontslag er een groot aantal ontslagen langdurig zou moeten wachten op de codering. Daardoor zou de tijdige aanlevering aan de LMR nog verder onder druk komen te staan. Er werd daartoe besloten om niet aan de LMR aan te leveren over de periode juli – december 2011. In overleg met de Stichting DHD en het CBS werd overeengekomen dat de adherentiecijfers, de HSMR en de indicator ‘onverwacht lange ligduur’ over 2011 op basis van extrapolatie zou worden gerealiseerd. Ondanks dat hierdoor helaas een historische trendbreuk ontstond, is het team Medische Codering in staat gesteld zich zo optimaal mogelijk voor te bereiden op de implementatie. In de projectplanning was een periode van drie maanden opgenomen om de transitie te realiseren. Het team Medische Codering zou zich in het laatste kwartaal 2011 volledig kunnen richten op de transitie. Deze termijn was echter aanzienlijk korter: medio november werd 2011 (t/m juni) afgesloten. Effectief resteerden er ongeveer 5 weken. Aantekeningen uit de ICD-9 boeken werden (vertaald) overgenomen naar de ICD-10, en er moest worden gekeken naar de codeeradviezen ICD-9 die in de ICD-10 bijvoorbeeld een hele eigen codering hadden gekregen. Alles in de transitie was er op gericht om vanaf januari weer net zo gemakkelijk door de boeken te kunnen bladeren als in de afgelopen decennia. Analyse In de transitieperiode heeft het team Medische Codering ruim 1.000 ontslagen ‘opnieuw’ gecodeerd: de ontslagen uit juni 2011 waren al in ICD-9 gecodeerd, maar werden opnieuw uit de kast gehaald om deze in ICD-10 te coderen. Het ‘dubbel’-coderen van ontslagen stelde het Deventer Ziekenhuis in staat een analyse uit te voeren. Enerzijds om de thesaurus ICD9 – ICD10 te toetsen; op basis daarvan worden de historische gegevens (<2011) voortaan geïnterpreteerd. Anderzijds om de kwaliteit van de
ICD-10 codering te toetsen; codeert het team Medische Codering volgens de verwachtingen als gepresenteerd in de landelijke thesaurus ICD9 – ICD-10? In de analyse werden de morfologiecoderingen en de E-codering (in ICD-10 de V en W hoofdstukken) niet meegenomen. Tevens is er bij de interpretatie van de resultaten uitgegaan van het codeeradvies dat ICD-10 zich richtte op de ‘hoofddiagnose’ van de opname3, waar de ICD-9 zich richtte op de ontslagdiagnose.
Figuur 3 Kengetallen analyse
49,5% van de gecodeerde ontslagen waren exact gelijk aan de ICD-10 diagnose die de landelijke thesaurus ICD9-ICD10 voorstelt op basis van de ICD-9 codering. Meer interessant is het om te kijken waar een ‘fout’ werd geregistreerd in de analyse. Deze ‘fouten’ zijn opgesplitst naar ‘localisatie-fouten’ en ‘ongelijk/onbekendfouten’.
Localisatie In de analyse werd een localisatie-fout toegekend wanneer de ICD-10 diagnose als gecodeerd door het team Medische Codering gelijk was aan de landelijke thesaurus, met uitzondering van de localisatiecode. Op een aantal plaatsen in de thesaurus duidt de thesaurus de ‘algemene’ localisatie aan, waar zij op andere plaatsen een specifieke localisatie code aanduidt. Een voorbeeld is het coderen van de wijze van chemotherapie. In het Deventer Ziekenhuis worden chemotherapie-zittingen standaard met localisatiecode 2 aangeduid: overige chemotherapie. De thesaurus vertaalt deze algemene codering naar 1: chemotherapeutische zitting voor neoplasma aan. Een andere opvallende constatering in deze categorie is de vertaling van V58.2 (ICD-9, Overige gespecificeerde medische zorg) naar Z51.3 (Bloedtransfusie, zonder vermelding van diagnose). Het team Medische Codering heeft hier consequent Z51.8 (Overige gespecificeerde medische zorg) gecodeerd. Ook werd de toegenomen mate van detail zichtbaar in de analyse van localisatiecodes; bijvoorbeeld nabehandelingen bij het specialisme plastische chirurgie. Deze zijn niet te ondervangen in deze analyse, de ICD-9 is bij voorbaat te algemeen.
Ongelijk/onbekend Wanneer een ICD-10 diagnose, als gecodeerd door het team Medische Codering, in zijn geheel niet overeen kwam met de landelijke thesaurus werd deze fout aangemerkt als ‘ongelijk/onbekend’. Ook in deze categorie werd de mate van detail van de ICD-10 zichtbaar. Bijvoorbeeld: V26.9 (Niet gespe¬cificeerde voortplan-
tingsbegeleiding) wordt vertaald naar Z31.9 (Hulpverlening in verband met voortplanting, niet gespecificeerd), wat een correcte vertaling is. Echter, door de toegenomen mate van detail in de ICD-10 bleek bij (dossier)controle dat deze opname als Z35.1 (Controle van zwangerschap met abortus in anamnese) in de ICD-10 gecodeerd moest worden. Dergelijke codeervoorbeelden werden ook aangetroffen bij het specialisme Geriatrie. Ongeveer 6% van de ‘ongelijk/onbekend’ fouten bleken onjuiste coderingen te zijn van het team Medische Codering. Deze constateringen, alsmede de verbetermogelijkheden vanuit de foute localisatiecodes, werden besproken in werkoverleggen, en indien nodig aangetekend in de ICD-10 boeken. Een blik op de toekomst Augustus 2012 kijkt het team tevreden terug op de implementatie van ICD-10. Het coderen gaat op een aantal punten zelfs boven verwachting. Er werd bijvoorbeeld verwacht dat de doorlooptijd tussen ontslag en codering (en daarmee aanlevering aan de LMR) enorm zou toenemen. De maand januari 2012 duurde 10 weken voordat alle opnames waren gecodeerd, maar over de maand april 2012 gingen ‘slechts’ 7 weken. Er wordt zelfs voorzichtig uitgesproken dat de deadline om op 1 april 2013 over 2012 aan te leveren aan de LMR, onder dezelfde druk als alle voorgaande jaren, wordt gerealiseerd. In plaats van de verwachtingen ‘onmogelijk’ of ‘met vertraging’. Ook de mate van detail van de ICD-10 heeft een plaats gekregen in de dagelijkse werkwijze. Het is even wennen geweest, maar door veel onderling uit te wisselen en vast te houden aan de werkwijze waarin iedereen alle specialismen kan coderen wordt de ICD-10 steeds beter eigen gemaakt. Het team Medische Codering ervaart dat ook de externe omgeving haar vizier op de ICD-10 heeft gericht. Zo is er een Kerngroep Codeadviezen ingesteld bij de Stichting DHD en is er een update geweest van Hospital View 2. Ook is er een extra regionaal codeeroverleg gepland waar zowel KIWA Prismant als de Stichting DHD aanwezig zal zijn om kennis, tips en trucs uit te wisselen. Deze initiatieven bieden houvast om na de gerealiseerde transitie verder door te ontwikkelen, en met vertrouwen en plezier de codering te blijven verzorgen! 1 In dit artikel wordt niet nader ingegaan op aanstaande wijzigingen in de verrichtingenclassificatie. 2 Daar waar over LMR wordt gesproken, kan uiteraard ook ‘LBZ’ worden gelezen: de opvolger van de LMR. 3 Dit werd later bijgesteld. De ICD-10 codering richt zich nu, net als de ICD-9 codering, op de ontslagdiagnose.
31
L u l u k va n d e Wat e r - A s t r o
Sandra Dahmen
32
R o o s va n V e e n
De AO/IC in het DOT-tijdperk De afgelopen tijd hebben de ziekenhuizen DOT geïmplementeerd. Gelijktijdig heeft de NZa besloten dat DOT een voldoende stabiele productstructuur biedt om de regeling AO/IC af te schaffen. U krijgt dus enerzijds meer vrijheid om de AO/IC in te richten, en anderzijds loopt u meer risico’s door de komst van DOT. Hiervoor zal de AO/IC mee moeten groeien met de ontwikkelingen. Wat zijn de consequenties van DOT voor de AO/IC? En hoe zit het met het afschaffen van de regeling AO/IC? We nemen u mee langs de stappen om de AO/IC optimaal in te richten in het DOT-tijdperk.
33
Nog steeds een actueel thema: DOT ondersteuning Vanaf 1 januari 2012 moeten alle zorginstellingen hun administratieve en financiële systemen op DOT (DBC’s op weg naar Transparantie) hebben afgestemd. De bedoeling van DOT is om oorspronkelijke doelstellingen zoals transparantie, medische herkenbaarheid, hanteerbaarheid, stabiliteit en openheid voor innovatie te realiseren. Inmiddels is duidelijk dat veel zorginstellingen ondersteuning kunnen gebruiken bij de overgang van de projectorganisatie naar de reguliere organisatie. Deze ondersteuning kan Studelta snel en op grote schaal aanbieden tegen een aantrekkelijk tarief!
Welke werkzaamheden?
Studelta beschikt over een grote talentenpool met diverse achtergronden. Hierdoor kan ons DOT-talententeam een groot aantal werkzaamheden uitvoeren. De meest voorkomende activiteiten geven we graag als voorbeeld: • Optimalisatie basisregistratie Volledige, juiste en tijdige registratie van diagnose en zorgactiviteiten Eenmalige registratie aan de bron Herinrichting van ZIS & EPD Reductie van papier én doorlooptijd 24-uurs controle op bijvoorbeeld SEH • Wegwerken van huidige uitval • Herinrichten van de AO/IC Beschrijving procedures en werkinstructies Vaststellen van de administratieve organisatie Herziening van interne controle • Functioneel applicatiebeheer ZIS & EPD • Communicatie en werkinstructies (inclusief opleidingsmateriaal) • Het opstellen van zorgprofielen op basis van DOT • Uitrekenen van kostprijzen op basis van DOT • Opstellen managementinformatie op basis van DOT
Studelta?
Studelta is dé talentenorganisatie die ambitieuze studenten en starters bemiddelt naar studiegerelateerd werk. Studelta heeft zich ontwikkeld tot de meest vooruitstrevende talentenorganisatie van Nederland. Hierdoor selecteren wij altijd het meest geschikte talent voor uw organisatie. Het gaat hierbij om hbo’ers en academici vanaf het derde studiejaar en starters tot twee jaar werkervaring. Wij ondersteunen onder andere zorgorganisaties met de diensten: Recruitment, Tijdelijke inzet, Projecten en Ontwikkeling.
Kijk voor meer informatie op:
www.Studelta.nl/Zorg
Of bel met Martijn van Rossum
020 - 3030 282
Medewerkers hebben de afgelopen maanden gewerkt aan het op orde brengen van de bronregistratie, het opleiden van de betrokkenen en het aanpassen van de financiële bedrijfsvoering. Van essentieel belang hierbij is een juiste, tijdige en volledige registratie. De basis hiervan is een goed werkende AO/IC. Met het afschaffen van de regeling AO/IC geeft de NZa ‘het veld’ een stuk vrijheid om de AO/IC aan een herinrichting te onderwerpen. Ter ondersteuning is een convenant gesloten tussen de NFU, NVZ en ZN1, dit convenant geldt als richtlijn bij deze herinrichting. In overeenstemming met accountant en zorgverzekeraar gaan ziekenhuizen hun eigen AO/IC inrichten. Wat verandert er voor de AO/IC? Dit jaar anticiperen ziekenhuizen op de effecten van DOT. Voor de AO/IC blijft een aantal basiselementen onveranderd, waaronder de functiescheiding tussen beslissen, registreren en controleren en de beheersing van risico’s. Belangrijke verandering is natuurlijk de afschaffing van de regeling AO/IC, de overstap van het RVD-model naar het RSAD-model en alle veranderingen in registratie en inrichting die daarmee samenhangen. Hoe dan ook geldt dat een goed ingerichte en juist werkende AO/IC belangrijk is om in ‘control’ te blijven in het DOT-tijdperk. Laten we de verschillende thema’s langsgaan; wat is de rol van de AO/IC hierin? - Verdwijnen van de behandelas Met het verdwijnen van de behandelas, verdwijnt een controlemechanisme op de verwachte behandeling. Ziekenhuizen willen op een andere manier controle hebben om te voorkomen dat ze inkomsten mislopen door onvolledige registratie. - Grouper afleiding De Grouper leidt, op basis van de aangeleverde diagnose en zorgactiviteiten, een zorgproduct af. Zaak dus om de aanlevering zo volledig mogelijk te doen. - Registratieregels DOT vraagt om zeer specifieke zorgactiviteiten- en diagnoseregistratie en brengt nieuwe registratieregels. De registratie bepaalt het uiteindelijke zorgproduct. - Inzet medewerkers De juiste registratie voor DOT vraagt van registrerende medewerkers een grote(re) inzet voor de bronregistratie - Procedures Het RSAD-model en de nieuwe registratieregels leiden tot nieuwe procedures en het aanpassen van bestaande procedures. - Informatiebehoefte DOT vraagt om andere informatie over registratie en productie; met DOT is informatie over subtrajecten, zorgproducten, zorgactiviteiten en zorgprofielen nodig. - Intern Controleplan De ontwikkelingen van DOT geven aanleiding om het IC-plan aan te passen aan DOT, met nieuwe en gewijzigde controles en instrumenten. Ziekenhuizen willen de gegeven vrijheid benutten en een IC-plan opstellen dat op maat gemaakt is voor de eigen organisatie.
Deze ontwikkelingen geven aanleiding om uw AO/IC aan een herinrichting te onderwerpen. U wilt uw AO/IC zo inrichten dat deze tegemoet komt aan de risico’s en u wilt gebruik maken van de nieuw verkregen ruimte. Kortom een AO/IC die DOT-Proof is. De AO/IC DOT-Proof;welke stappen gaat u zetten? Om de AO/IC DOT-proof te maken, kunnen we een aantal stappen onderscheiden. We nemen u mee langs deze stappen en benoemen de keuzemogelijkheden. 1 Aanpassen risicomatrix: de risicoanalyse en beheersmaatregelen. De bestaande risicomatrix wordt herzien in het licht van DOT. De IC-functionaris pakt de volgende onderdelen op: - Benoemen risico’s De eerste stap die gezet wordt, is het herkennen en benoemen van risico’s in RSAD. Denk hierbij aan risico’s in de registratie van de (typerende) zorgactiviteiten, diagnose en patiënt- en verwijsgegevens, maar ook de koppeling van deelsystemen en de DBC zorg- en subtrajecten. Let bij deze stap goed op nieuwe en complexe werkzaamheden, zoals de Grouper-uitval. - Beoordelen risico’s op aanvaardbaarheid. Niet alle risico’s behoeven beheersmaatregelen. Een onderverdeling in risico’s op basis van de kans dat het risico zich voordoet en de impact ervan, helpt bij het prioriteren en keuzes maken. Hiermee kunt u vaststellen op welke risico’s u beheersmaatregelen gaat formuleren en welke prioriteiten u stelt. - Bepalen beheersmaatregelen Er zijn vele beheersmaatregelen denkbaar, bekende voorbeelden zijn: - handmatige beheersmaatregelen (een medewerker controleert handmatig de registratie); - automatiseerbare beheersmaatregelen (het ZIS-systeem geeft een signaal of er zijn blokkades ingebouwd); - signaallijsten en controles (medewerkers ontvangen rapportages of lijsten waar een extra beoordeling op de registratie nodig is of welke registraties aangepast moeten worden). 2 Opstellen eerste versie IC-plan In het Interne Controleplan legt het ziekenhuis de controlewerkzaamheden vast. Om ook de komende jaren de werking van de AO te borgen en verantwoording af te leggen, moet de inhoud van het IC-plan afgestemd worden op DOT. In het IC-plan zijn de risicomatrix en beheersmaatregelen opgenomen. Het convenant AO/IC geeft de ruimte om zelf te bepalen welke IC-instrumenten u inzet, zoals de controles, de steekproef en de interne audit. De IC-functionaris kiest samen met de het management de instrumenten die ingezet worden. Vragen hierbij zijn: Wilt u nog gebruikmaken van een uitgebreide steekproef? Gaat u gebruik maken van Post- en Pre-Grouper controles, en welke? Verder zijn er vragen van 35
externe partijen, om deel te nemen aan de DOTcontrolemodule of horizontaal toezicht2. Wat doet u daarmee? Belangrijke overwegingen bij het maken van keuzes zijn: - welke nadelen kent het instrument (bijvoorbeeld de grote tijdsinvestering); - welke voordelen levert het op (bijvoorbeeld nauwkeurige informatie); - welke goede alternatieven zijn er (bijvoorbeeld andersoortige controles, mengvormen van steekproef en procedures, borging van risico in aantoonbaar werkende processen). Bovenstaande punten zijn de basis van een DOT-proof IC-plan waarin u oude en nieuwe mogelijkheden (her-)overweegt. Een goede onderbouwing in het IC-plan vormt de basis voor gesprekken met zorgverzekeraars en accountant. Houd rekening met de voorschriften van de zorgverzekeraar en accountant, maar schroom niet om met een eigen plan de discussie aan te gaan.
3 Aanpassen AO Op basis van de risicoanalyse en het daaruit voortgekomen IC-plan gaat het ziekenhuis aan de slag met het aanpassen van de AO. De basisstappen zijn: - Procesbeschrijvingen Het is belangrijk om eerst te bepalen wie voor welke processen verantwoordelijk is. Daarna kunnen bestaande processen aan DOT aangepast worden en nieuwe processen vastgelegd. Betrokken medewerkers en het management beleggen gezamenlijk de taken, verantwoordelijkheden en bevoegdheden (TVB’s) in het proces. Met het vaststellen van het proces stellen zij een uniforme werkwijze vast. De gezamenlijke bepaling van de procedures zijn de eerste stappen naar de betrokkenheid op de werkvloer. Voorbeelden van processen die aandacht verdienen zijn de nieuwe registratieprocessen zoals dure geneesmiddelen, Grouperaanlevering en uitvalverwerking. - Werkinstructies en instructies op locatie De verantwoordelijk manager, ondersteund door de AO-medewerkers, instrueren over de wijzigingen in de AO, het ICT systeem en de vastgestelde controles. Tijdens de instructies geven medewerkers feedback en daarmee wordt de aanpassingen op de AO verfijnd. Acties voortgekomen uit eigen gemaakte keuzes vullen de basiselementen aan. 4 Vaststellen definitieve IC-plan Gedurende het aanpassen van de AO/IC geven de betrokken medewerkers hun input. Deze input krijgt een plek in de eerste versie van het IC-plan. Uiteindelijk leidt dit tot het definitieve IC-plan; een IC-plan gemaakt met en gedragen door betrokken medewerkers. Een belangrijk 36
onderdeel zijn de evaluatiemomenten. We benoemen deze expliciet omdat, om verzekerd te zijn van een effectieve en preventieve AO/IC, deze stap extra aandacht krijgt. Een evaluatie geeft inzicht in de ervaringen en de praktijk van de betrokken medewerkers in de procedures. Een evaluatie is het moment om goede en verbeterpunten betreffende de AO/IC beheersmaatregelen te verzamelen en betrokkenheid van de medewerkers te behouden en draagt zo bij aan een continu verbeterproces. Aandachtspunten bij de herinrichting van uw AO/IC De bovenstaande stappen zijn de basis voor de herinrichting van uw AO/IC. We benoemen nog een paar aandachtspunten bij de praktische uitvoering. Preventieve acties Met DOT is er behoefte aan preventieve acties en goede registratie aan de bron. De inrichting
van de AO/IC richt zich daarom op registratie aan de bron, haalbaarheid in de praktijk en betrokkenheid van de medewerkers. Het is wenselijk om zo min mogelijk te corrigeren en niet alleen te signaleren, maar juist continu te verbeteren. Dit betekent dat preventieve beheersmaatregelen aan de basis liggen van de ’nieuwe’ AO/IC. Veranderende rollen Tijdens de aanpassing gaat de aandacht uit naar de veranderende rollen en werkzaamheden van registrerende medewerkers, zij moeten daar voldoende in ondersteund worden. Met de komst van DOT veranderen niet alleen de werkzaamheden van medewerkers die registreren. De rol van de IC-functie wordt belangrijker. De IC-functionaris heeft een grote rol in het adviseren over te maken keuzes, het herkennen van de risico’s, de vertaling naar haalbare, nuttige, nieuwe (of aangepaste) beheersmaatregelen en het informeren van het management over de bij het management belegde TVB’s. Dit vraagt om een proactieve rol van de IC-functionaris, als trekker van de AO/IC-aanpassing aan DOT. De ervaring leert dat Interne Controle in het verleden vooral correctief van aard was. De preventieve werking stond minder op de voorgrond. De IC-functionaris zal steeds meer naar de voorgrond gaan, om de verbinding te zoeken met de bron en structurele, preventieve maatregelen te kunnen treffen. Dit is in veel gevallen een grote omslag. In het volgende artikel in NTMA 148 gaan we dieper in op deze veranderende rol van de IC-functionaris. Tot slot DOT vraagt om een effectieve risicobeheersing en een adequate en juiste registratie,
zodat de declaratie volledig, juist en tijdig is en zekerheid bestaat over de productie. De AO/ IC vormt hiervoor de basis. De wijzigingen van DOT, met enerzijds meer vrijheid en anderzijds meer risico’s, stelt u voor keuzes in de inrichting van de AO/IC. Keuzes waarop u antwoorden formuleert die u ondersteunen in het op orde hebben en houden van de registratie om zo een juiste declaratie te borgen en sturing mogelijk te maken. Met behulp van uw op maat gemaakte, optimaal werkende AO/IC is voortdurend controle op de juistheid, tijdigheid en volledigheid en wordt deze controle aantoonbaar gemaakt. Dat geeft zekerheid. Een belangrijke stap, met name in het DOT tijdperk, is de stap van signaleren en corrigeren naar signaleren en verbeteren. Uw IC-functionaris heeft in alle stappen van de herinrichting een belangrijke rol en zal de organisatie begeleiden en adviseren in de herinrichting van de AO/IC.
Voetnoten 1 NFU - Nederlandse Federatie van Universitair Medische Centra; NVZ - vereniging van ziekenhuizen; ZN - Zorgverzekeraars Nederland 2 Horizontaal toezicht is een term uit de belastingwereld. Bij deze vorm van toezicht gaat het om op basis van vertrouwen, begrip en transparantie, afspraken te maken over kwaliteit en daarop de mate van toezicht en controle af te stemmen. Bij horizontaal toezicht tussen zorginstelling en zorgverzekeraar wordt gezamenlijk een situatie wordt gecreëerd waarbij de zorginstelling inzicht geeft in de inrichting van de AO en de interne controles die worden uitgevoerd. De zorgverzekeraar en zorginstelling maken afspraken over de inrichting en de verzekeraar past haar toezicht en controles hierop aan (Convenant AO/IC, pagina 4). Het idee achter deze vorm van toezicht is het terugbrengen van de last van achterafcontroles door vooraf meer af te stemmen,
17th IFHIMA Congress Health Information Management Making A World of Difference
2 013
37
May 13-15, 2013 Montréal, Quebéc Canada www.ifhimacongress2013.com
17th Annual Congress of International Federation of Health Information Management Associations An international experience that cannot be missed! • Strengthen your knowledge base of the industry and profession • Learn best practice from around the world • Share information with peers, colleagues and partners
International Federation of Health Information Management Associations
Grip op uw financiën met achterafcontroles Ziekenhuizen verwachten onder DOT weinig afgekeurde
Beyond information
Het transitiemodel
declaraties, mede door: Onderstaand wordt uitgewerkt wat de financiële nadelen duidelijkere beleidsregel NZa en beschikking over
zijn, indien uitkomsten van de verschillende controles niet
Diagnose Combinatie Tabel;
tijdig ingebracht worden. Per euro afgekeurde declaratie
reeds ingebouwde controles voor (onder andere) dit
levert dit een nadelig effect van een euro vijfenzestig op.
type controles in eigen systemen. Ook verwachten ziekenhuizen daarbij demping van moge-
A
lijke risico’s wat betreft afkeuringen door budgettering en het transitiemodel.
A oud B 2012
Transitie bedrag
De DOT Controle Module® (hierna: DCM®) is beschikbaar voor ziekenhuizen. Deze applicatie keurt de aangeleverde dataset met te declareren DBC-zorgproducten, voordat
B 2006-2011
de dataset naar de zorgverzekeraars gaat en geeft terugkoppeling over de resultaten van de controle.
‘Demping’ 2012: 95% *
Veel ziekenhuizen nemen nog een afwachtende houding
(Schaduw FB -/- Referentieomzet 2012)
aan ten opzichte van implementatie van de DCM®, omdat
‘Demping’ 2013: 70% *
de meerwaarde van deze controle(applicatie) nog niet
(Schaduw FB -/- Referentieomzet 2012)
duidelijk is. De ‘Referentie omzet 2012’ op basis van prestatiebekostiging Echter...
bestaat uit de volgende componenten: Erbij: omzet 2012 op basis van DBC’s/DOT’s
Recente inzichten geven een duidelijke financiële reden
Erbij: omzet uit onderhanden werk
voor ziekenhuizen om z.s.m. tot implementatie van de
Eraf: correcties of reservering op basis van
DCM® over te gaan.
(achteraf) controles
De eerste keuringsresultaten met de DCM® geven veel hogere
Situatie 1: Rekenvoorbeeld indien correctie
afkeuringspercentages dan verwacht:
(achteraf)controle op tijd worden ingebracht:
op een representatief volume en ook op grote bestanden;
Omzet2012 =DOTA+B2012 + 0,95 * (FB2012 - DOTA+B2012)
bij alle uitgevoerde keuringen tot nu toe;
DOTA+B2012 = 80 - 4 op basis van controle
van ziekenhuizen met verschillende ZIS-en en aan-
FB2012 = 100
vullende controleapplicaties. Het gemiddeld afkeuringspercentage bedraagt momenteel circa 7%.
Omzet2012 = 76 + 0,95 * (100 - 76) = 98,8 Omzet2013 =DOTA+B2013 + 0,70 * (FB2012 - DOTA+B2012) DOTA+B2012 = 80
Ziekenhuizen gaan zichzelf tekort doen als achterafcontroles
FB2012 = 100
niet optimaal in het transitiemodel worden ingebracht!
Omzet2013 = 80 + 0,70 * (100 - 76 ) = 96,8
38
Situatie 2: rekenvoorbeeld indien correctie
Deze correcties moeten tijdig (voor sluiten boeken 2012)
(achteraf)controle te laat wordt ingebracht:
doorgevoerd zijn. Alternatief gezien de tijdsdruk is dat het te verwachten controleresultaat wordt vastgesteld met
Omzet2012 =DOTA+B2012 + 0,95 * (FB2012 - DOTA+B2012)
de beschikbare controleapplicaties ten behoeve van een
DOTA+B2012 = 80
voorziening die kan worden ingebracht. Een (te) ruime voorziening op basis van schatting is risicovol. Een te hoge
FB2012 = 100
voorziening en daarmee te veel compensatie zal tot 5 jaar na vaststelling gecorrigeerd kunnen worden. De correctie
Omzet2012 = 80 + 0,95 * (100 - 80) = 99 Omzet2013 =DOTA+B2013 + 0,70 * (FB2012 - DOTA+B2012) DOTA+B2012 = 80 - 4 op basis van controle
over twee jaren te hoge compensatie komt dan volledig voor rekening en risico van het ziekenhuis. CHS biedt ziekenhuizen de benodigde controle-
FB2012 = 100
applicaties om grip te krijgen op de financiële
Omzet2013 = 76 + 0,70 * (100 - 80 ) = 90
effecten van deze controles. Met deze applicaties worden gegarandeerd dezelfde controle-
Worden beide situaties tegen elkaar afgezet: Totaal indien controleresultaat (-4) in boekjaar 2012 wordt ingebracht
achterafcontrole op declaraties. De controleapplicaties zijn 195,6
Totaal indien controleresultaat (-4) in boekjaar 2013 wordt ingebracht
webapplicaties, waardoor implementatie relatief eenvoudig is. Op welke wijze u de afkeuringen vervolgens wenst af te
189,0
Voordeel indien controleresultaat (-4) wordt ingebracht in boekjaar 2012
regels gehanteerd, als die de zorgverzekeraars hanteren bij
handelen, blijft geheel aan u. Onderzoek toont aan dat het gebruik van een ander systeem, al dan niet ingebouwd in
6,6
het ZIS, zeker afwijkende uitkomsten geeft, wat nadelig is voor het ziekenhuis!
Het voordeel geldt bij ‘onderdekking’ ten opzichte van het Schaduw FB, maar ook bij overschrijding. Correcties kunnen
DCM® voor vaststellen controleresultaat
dan binnen de ‘overdekking’ plaatsvinden, die anders toch
DOT-zorgproducten
grotendeels dient te worden afgedragen.
Alle zorgverzekeraars gaan met DCM® achterafcontroles uitvoeren op DOT-zorg-producten.
De grote accountantskantoren bevestigen bovenstaande
De controleregels in de DCM® worden breed gedragen,
analyse voor ziekenhuizen. Zij benadrukken dat de
want op initiatief van ZN opgesteld en afgestemd met
kwaliteit van de declaraties voorop dient te staan,
de NVZ, NFU en OMS en getest door een afvaardiging
daarom wordt implementatie van de DCM aanbevolen. ®
van ziekenhuizen. Op deze manier vindt ook uitbreiding van de controle-
Conclusie: breng controleresultaat achterafcontroles
regels plaats.
tijdig in!
Ziekenhuizen kunnen de DCM® afnemen tegen een zeer beperkte investering, omdat de gezamenlijke zorgver-
Dit betreft controleresultaat van:
zekeraars de ontwikkel- en exploitatiekosten financieren.
controles op declaraties van DOT-zorgproducten; eventuele achterstanden achterafcontroles DBC’s
ValidatieModule2® voor controleresultaat DBC’s
eerdere jaren;
(inclusief combinatiecontroles met DOT-zorgproducten)
‘uitloop’ van DBC’s die in 2012 worden of zijn
De vier grote zorgverzekeraars, plus diverse kleinere zorg-
gedeclareerd, maar nog niet achteraf gecontroleerd
verzekeraars keuren DBC declaraties met de tegenhanger
zijn door zorgverzekeraars;
van de controleapplicatie ValidatieModule2® voor ziekenhui-
afgekeurde DBC’s o.b.v. ‘combinatiecontroles’ op
zen. Een nauwkeurige inschatting van het controleresultaat
DBC-DOT, die kunnen optreden bij declaraties van
wat betreft DBC’s, kan door ziekenhuizen dan ook met de
DOT-zorgproducten tot ultimo 2014. Deze controles
ValidatieModule2® plaatsvinden. Wij stellen graag kosteloos
worden nu geautomatiseerd en zullen naar alle
voor u vast of er voor uw ziekenhuis een positieve business
waarschijnlijkheid door grotere zorgverzekeraars
case ligt voor inzet van deze applicatie. Graag lichten wij een
met ingang van 2013 uitgezet worden.
en ander in een persoonlijk gesprek desgewenst verder toe.
CHS Solutions for Control Information B.V. Regulierenring 4 | 3981 LB Bunnik | (088) 010 72 72 |
[email protected] | www.chs.nl 39
Werken en leren tegelijK Opleiding RZA Zorgadministratie
RZA In de zorgadministratie ben je de echte spin in het web van een zorginstelling. Je vertaalt het zorgproces naar de inrichting van het zorgadministratieve proces om te komen tot de juiste vastlegging en verwerking van de gegevens rondom het zorgproces. Vanaf de inschrijving van de patiënt, via de diagnose, behandeling en ontslag, tot en met facturering en het debiteurenbeheer. Je houdt hierbij rekening met de interne (zorg)processen en externe vereisten zoals wet- en regelgeving, standaarden en financieringsstromen om te komen tot juiste, tijdige, betrouwbare en volledige gegevensverwerking. Je signaleert, rapporteert en stelt verbetervoorstellen op naar aanleiding van controles, externe ontwikkelingen en veranderende omstandigheden. Je adviseert andere betrokkenen over de inrichting van het administratieve proces om te voldoen aan de registratie-eisen rondom het zorgproces. Kortom, je bent medeverantwoordelijk voor het garanderen van de administratie rondom de patiënt en doet dat samen met collega’s uit allerlei disciplines. Een zorgvuldige administratie is van groot belang voor een zorginstelling. Want de vraag naar zorg groeit. En die zorg zelf wordt steeds complexer. Administratieve gegevens zijn belangrijk voor artsen en verpleegkundigen om goede zorg aan de patiënt te verlenen én voor de zorginstelling om te voldoen aan de gestelde eisen en financiering van de zorg te garanderen.
Start april 2013
40
Wil je meer informatie kijk op amstelacademie.nl en nvma.nl
De Stichting Kwaliteitsbevordering Zorgadministratieve Beroepen
SK Wanneer u werkzaam bent als Zorgadministrateur of Medisch Codeur kunt u zich laten inschrijven in het register van de SKZB. Een werkgever op zoek naar goed geschoold en ervaren personeel kan het register raadplegen op www.skzb.nl.
Het doel van de SKZB is het bevorderen van de kwaliteit van de beroepsuitoefening van zorgadministratieve functionarissen. Om dit te bewaken wordt een register in stand gehouden en voorlichting gegeven. Ook wordt samengewerkt met organisaties in gezondheidszorg, onderwijs en maatschappelijke dienstverlening. E.e.a. in nauwe afstemming met de NVMA. Daarnaast worden contacten onderhouden met instanties die bevoegd zijn tot het opleiden van zorgadministratieve medewerkers en erkent de stichting nieuwe opleidingen. De administratie van de SKZB wordt uitgevoerd door het Bureau SKZB en is per e-mail bereikbaar via
[email protected]
Waarom opname in het register van de SKZB? - Inschrijving in het register, gevolgd door activiteiten voor behoud van registratie biedt waarborg voor de kwaliteit die nodig is voor de uitoefening van het beroep van zorgadministrateur of zorgcodeur (zie reglement op www.skzb.nl). - De ingeschrevene toont zijn/haar deskundigheid op zorgadministratief gebied (bv. bij sollicitaties, in cv). - Verhoging van de marktwaarde van de beroepsgroep bevordert de kwaliteit van de werkzame zorgadministrateurs / zorgcodeurs.
42
- SKZB beoordeelt opleidingen en nascholingen, geeft voorlichting en werkt samen met organisaties in gezondheidszorg, onderwijs en maatschappelijke dienstverlening. - De zorg heeft kwalitatief hoogwaardig personeel nodig i.v.m. de toenemende eisen aan de kwaliteit van de basisadministratie (DBC’s, DOT). - Bij accreditatie van zorginstellingen wordt steeds meer gekeken naar het percentage gekwalificeerd (lees geregistreerd) personeel. - Met een goed register heeft Nederland meer internationale aansluiting.
KZB Waarom een Bureau SKZB? - Het Bureau verwerkt alle verzoeken voor mutaties in de registergegevens of aanvulling van punten en ook de nieuwe inschrijvingen en verlengingen van inschrijving. - Tevens verzorgen wij regelmatig artikelen en vermeldingen m.b.t. het register in NTMA Tijdschrift voor Zorgadministratie en Informatie en in eventuele andere relevante organen, zoals de nieuwsbrief van DHD Dutch Hospital Data. - Bij themadagen, congressen, etc. die door de NVMA of een verwante organisatie worden georganiseerd, verzorgen wij een stand. U kunt daar uw vragen en opmerkingen kwijt, maar ook de presentielijst tekenen, waardoor uw punten ‘automatisch’ in het register worden verwerkt. Mededelingen van het Bureau - Het register van de SKZB bestaat inmiddels ruim 5 jaar. Inmiddels kunnen diegenen die in 2006 zijn ingeschreven hun registratie verlengen. - De NVMA transitiecursus ICD9/ICD10 is direct gekoppeld aan inschrijving bij SKZB, mits u verder qua opleiding en ervaring aan de voorwaarden voldoet. Uiteraard hebben we dan wel uw gegevens en handtekening nodig. Reeds geregistreerden ontvangen 12 PE punten. - Momenteel zijn wij bezig onze website geheel te vernieuwen. Aandachtspunten zijn o.a. de puntenpagina en de puntenverwerking en het doorgeven van mutaties via de site. Suggesties en wensen zijn van harte welkom op:
[email protected]. - SKZB heeft 6 punten toegekend aan het DHD symposium van 12 april 2012 met de titel: ‘Met de registratie van verrichtingen op het goede spoor?’ Gebruik van het verrichtingenbestand CBV heeft meerwaarde! - Bureau SKZB is recentelijk actief geweest in de promotie van SKZB bij de voorlichtingsmiddag in het VU medisch centrum in Amsterdam t.a.v. de nieuwe opleiding voor zorgadministrateurs bij de Amstel Academie. Ook in het technisch overleg hebben wij promotie gemaakt voor registratie in ons kwaliteitsregister. - Vergeet bij deelname aan congressen en symposia niet uw aanwezigheid bij SKZB te bevestigen via de presentielijsten bij de entree of in de zaal! Het Bureau SKZB wordt gevormd door mw. J.G. Muiselaar-Engel, RZA en mw. N.J. Wijnands. Postadres: Bureau SKZB, p/a VU medisch centrum t.a.v. N.J. Wijnands, ruimte PK 6X 192 Postbus 7057, 1007 MB Amsterdam
43
NVMA i n f o r m a t i e Verkorte missie NVMA: De NVMA bevordert de kwaliteit van de zorgadministratie en -informatie en wil daarvoor een ontmoetingspunt zijn voor alle betrokkenen en belanghebbenden in de gezondheidszorg. Visie NVMA: Sturing van zorgprocessen bij verantwoorde aanwending van de middelen vereist geïntegreerde informatie, verkregen uit de gegevens van de zorgprocessen. De NVMA ziet het als haar taak om de zorgadministratie te bevorderen door verbetering van classificaties en coderingen en door standaardisatie en uniformering van begrippen. Zij streeft naar een register voor gekwalificeerd opgeleide medewerkers binnen de zorgadministratie. Bestuur NVMA Mevr. N. Steeman, secretaris Postbus 750 1782 GZ Den Helder M.J.G.M. Dekker P.P. van Kempen T.G.R. Király H. Pieterse, voorzitter J. Runnenberg, vice-voorzitter, penningmeester Mevr. N. Steeman, secretaris W.A.M. Tromp E-mail:
[email protected] nvma-site: www.nvma.nl Leden- en abonnementenadministratie:
[email protected]
Het bestuur wordt terzijde gestaan door een aantal commissies. Financiële commissie Mevr. H. Baars J.D.A. de Lange PR commissie M.J.G.M. Dekker Rivierduinen Schuttersveld 9 Postbus 405 2300 AK Leiden M.J.G.M. Dekker, secretaris J. Runnenberg, voorzitter Redactie NTMA E.Noordhuis Rivierduinen Schuttersveld 9 Postbus 405 2300 AK Leiden M.J.G.M. Dekker, voorzitter P. Hooftman E. Noordhuis J. Runnenberg, hoofdredacteur F.W.J. van Tilburg
Commissie informatiebeveiliging Mevr. A. Hulshof- Buurman J. van der Kamp, secretaris C. de Keizer H. Nabavi, voorzitter J.J.N. van der Palen, adviseur G. Stroeve J. van der Wel Congrescommissie M.J.G.M. Dekker P.J.M.M. Epping J. Runnenberg, voorzitter S.A.M. Schermer Voest, secretaris/penningmeester Commissie Basisadministratie P.P. van Kempen, voorzitter mevr. C.M. van Osch J. Runnenberg mevr. N. Steeman mevr. A. Wolsink mevr. B.M.C. Quint Commissie Opleidingen W.A. Dekker M.A.M. van der Haagen R. Klap H. Pieterse W. Tromp, voorzitter M.J.S.M. Verhoeven
Nog geen NVMA lid? surf naar www.nvma.nl 44
nvma.nl
