IT-Audit Grouper. Onafhankelijk assurance rapport. Uitgebracht aan: Stichting DBC-Onderhoud T.a.v. de heer V. Sewkaransing. c.c.:

Deloitte Risk Services B.V. Laan van Kronenburg 2 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088 288 9711 www.deloitte.nl

IT-Audit Grouper Onafhankelijk assurance rapport

Uitgebracht aan: Stichting DBC-Onderhoud T.a.v. de heer V. Sewkaransing

c.c.:

12 februari 2013 Van: Jacques Buith Richard Drewes

Deloitte Risk Services B.V. is ingeschreven in het handelsregister van de Kamer van Koophandel te Rotterdam onder nummer 50340158.

Member of Deloitte Touche Tohmatsu Limited

Inhoudsopgave 1. Inleiding

2

2. Opdrachtformulering

3

2.1 2.2 2.3 2.4 2.5

Opdracht Criteria Verantwoordelijkheden Werkzaamheden Begrenzing van het Assurance Rapport

3. Conclusie 3.1 Oordeel 3.2 Toelichting

4. Bevindingen

3 3 3 4 5

6 6 6

9

5. Reactie DBC-Onderhoud op rapport

10

6. Tot slot

11

Bijlage 1 – Toetsingskader

12

2 12 februari 2013 RD_ska_13-194

1. Inleiding Stichting DBC-Onderhoud (hierna: DBC-O) biedt als onafhankelijke kennisorganisatie inzicht in de zorgprestaties van de curatieve en langdurige zorg en is verantwoordelijk voor een goed werkende DBC-Systematiek. Ter verbetering van de DBC-systematiek heeft DBC-O, in overleg met het Ministerie van VWS, NZa en overige veldpartijen, een aantal ingrijpende wijzigingen doorgevoerd in de productstructuur en in de wijze waarop de totstandkoming van DBC-productie plaatsvindt. Dit onder de naam ‘DBC’s op weg naar Transparantie’ (DOT). Bij deze systematiek worden declaraties van zorgproducten afgeleid door de zogenaamde Grouper applicatie. De Grouper applicatie is per 1 januari 2012 in productie gegaan. Zorginstellingen verzorgen de aanlevering van verrichtingen, diagnose- en patiënten informatie aan deze Grouper. De Grouper levert de DBC-zorgproductie inclusief een ‘verzegeling’ terug aan zorginstellingen, zodat zij in staat zijn de DBC-zorgproducten te declareren. Het belang van de Grouper applicatie voor de verschillende partijen in de zorg, de zorgaanbieders en zorgverzekeraars, is daarmee evident. Vertrouwen in de werking van de Grouper applicatie is derhalve noodzakelijk voor een goede werking van de DOT-systematiek. Ten grondslag aan het beheersen van de betrouwbare, continue en vertrouwelijke verwerking van de Grouper ligt het toetsingskader dat DBC-Onderhoud heeft opgesteld met de veldpartijen. Deloitte heeft een onafhankelijke beoordeling verricht op de betrouwbare, continue en vertrouwelijke werking van de Grouper applicatie in de periode 1 oktober 2011 tot en met 31 december 2012. Dit rapport bevat de conclusie en een overzicht van de bevindingen die Deloitte heeft aangetroffen bij de IT-Audit ten aanzien van de kwaliteitsaspecten betrouwbaarheid, vertrouwelijkheid en continuïteit. Per aanbeveling geeft DBC-Onderhoud een reactie en in hoofdstuk 5 geeft DBC-Onderhoud een algemene reactie op de rapportage.


2. Opdrachtformulering 2.1 Opdracht Wij hebben in opdracht van Stichting DBC-Onderhoud een assurance-opdracht uitgevoerd gericht op het verkrijgen van een redelijke mate van zekerheid dat de werking van de Grouper in alle van materieel belang zijnde opzichten gedurende de periode van 1 oktober 2011 tot en met 31 december 2012 heeft voldaan aan de eisen van betrouwbaarheid, continuïteit en vertrouwelijkheid zoals deze zijn geformuleerd in het voor deze opdracht gehanteerde normenkader. Daarnaast is de scope van onze opdracht uitgebreid met een beoordeling van de juiste werking van de Grouper applicatie voor de afleiding naar de zorgproducten. Wij verstaan onder deze kwaliteitsaspecten: Kwaliteitsaspect

Definitie

Betrouwbaarheid

de mate waarin de gegevens in de Grouper applicatie in overeenstemming zijn met de afgebeelde werkelijkheid (tijdigheid, juistheid en volledigheid) en vast te stellen is (controleerbaarheid) dat de informatieverwerking is uitgevoerd in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten. de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van de Grouper applicatie. de mate waarin de (gegevens in de) Grouper applicatie beschikbaar is/zijn en de gegevensverwerking ongestoord voortgang kan hebben.

Vertrouwelijkheid Continuïteit

Dit Assurance-rapport en de beschrijving van de door ons uitgevoerde testwerkzaamheden is uitsluitend bedoeld voor DBC-Onderhoud en de volgende veldpartijen: • • • •

Onderhoudspartijen: VWS, CVZ, NZa; Branchepartijen: NFU, NVZ, ZN, ZKN; Individuele ziekenhuizen en andere tweedelijns zorgaanbieders en hun accountants; Hostingpartij: CSC.

2.2 Criteria Als toetsingscriteria hebben wij het in de bijlage opgenomen normenkader gehanteerd zoals door DBC-Onderhoud is aangereikt. Wij zijn van mening dat dit normenkader toereikend is voor het doel van deze Assurance opdracht.

2.3 Verantwoordelijkheden Het Bestuur van Stichting DBC-Onderhoud is verantwoordelijk voor de opzet, de implementatie en doorlopend goede werking van de Grouper. Het is onze verantwoordelijkheid een assurance-rapport inzake continuïteit, betrouwbaarheid en vertrouwelijkheid van de Grouper te verstrekken.


2.4 Werkzaamheden Wij hebben ons onderzoek verricht in overeenstemming met Nederlands recht, waaronder Richtlijn voor assurance-opdrachten door IT-auditors ("Richtlijn 3000"). Dienovereenkomstig dienen wij ons onderzoek zodanig te plannen en uit te voeren, dat een redelijke mate van zekerheid wordt verkregen dat de betrouwbaarheid, vertrouwelijkheid en continuïteit van de Grouper in alle van materieel belang zijnde opzichten in de periode van 1 oktober 2011 tot en met 31 december 2012 hebben voldaan aan de normen zoals deze zijn geformuleerd in het voor deze opdracht gehanteerde toetsingskader. Aanvullend op het toetsingskader zijn de volgende werkzaamheden verricht: • • •

Beoordeling van de toereikendheid en de uitkomsten van de testset die DBC-O hanteert als onderdeel van de procedure voor het doorvoeren van wijzigingen in de Grouper; Voor de zorgproducten die niet worden afgedekt door deze testset, is vastgesteld dat deze zorgproducten deel uitmaken van het afleidingsproces in de Grouper; Beoordeling van de verwerkingswijze van de zorgtrajecten die niet middels de beslisboom worden afgeleid (add-ons en OVP).

Ons onderzoek omvat mede die werkzaamheden die wij in de omstandigheden nodig achten om een toereikende zekerheid te verkrijgen voor het afgeven van ons oordeel, waaronder: • • •

Identificeren van inherente risico’s aangaande de Grouper in de omgeving van DBCOnderhoud en CSC; Toetsen van de controlemaatregelen middels het doen van deelwaarnemingen; Inwinnen van inlichtingen, met name bij personen die verantwoordelijk zijn voor de beheersmaatregelen omtrent de Grouper.

De testwerkzaamheden vonden gefaseerd plaats gedurende twee perioden: • •

In de periode oktober 2012 tot en met december 2012 is een audit verricht over de periode van 1 oktober 2011 tot en met 31 oktober 2012. In de periode december 2012 tot en met 11 februari 2013 is een audit verricht over de periode van 1 november 2012 tot en met 31 december 2012.

Wij zijn van mening dat de door ons verkregen assurance-informatie voldoende en geschikt is als basis voor onze conclusie.


2.5 Begrenzing van het Assurance Rapport Het onderzoek is gericht geweest op de beheersmaatregelen omtrent de Grouper in opzet, bestaan en werking. Onder werking verstaan wij het aantoonbaar waarnemen van het functioneren van de beheersmaatregelen gedurende de periode. Ons assurance-rapport is alleen van toepassing ten aanzien van de Grouper binnen de eerder vermelde toetsingsperiode, wij doen geen mededeling over de kwaliteit van de Grouper buiten deze periode. Buiten de reikwijdte van onze opdracht vielen: • •

Beoordeling van de beheersmaatregelen bij de zorginstellingen; Beoordeling van de beheersmaatregelen binnen de applicaties van de zorginstellingen.

De informatie opgenomen in hoofdstuk 5 van dit rapport is verstrekt door Stichting DBCOnderhoud om aanvullende informatie te verschaffen aan (potentiële) gebruikers van de Grouper applicatie. De informatie in hoofdstuk 5 is geen onderdeel geweest van de reikwijdte van onze opdracht. Om deze reden verstrekken wij geen oordeel over de informatie opgenomen in dit hoofdstuk.


3. Conclusie 3.1 Oordeel Wij zijn van oordeel dat de Grouper applicatie gedurende de periode 1 oktober 2011 tot en met 31 december 2012 in opzet, bestaan en werking in alle van materieel belang zijnde opzichten heeft voldaan aan de eisen van betrouwbaarheid, continuïteit en vertrouwelijkheid zoals geformuleerd in het toetsingskader “Testplan audit gegevensverwerking Grouper” (zie bijlage 1). Daarnaast zijn wij op grond van de in paragraaf 2.4 genoemde aanvullende werkzaamheden, van oordeel dat de volledigheid en juistheid van de afleiding en de betrouwbare kleuring van de zorgproducten (gericht op het toekennen van de juiste aanspraakcodes) met een redelijke mate van zekerheid is gewaarborgd.

3.2 Toelichting 3.2.1 RSAD model De Grouper is onderdeel van het registratiemodel DOT. Het RSAD model: van Registratie en Samenvatten naar Afleiden en Declareren. Onderstaande figuur geeft dit model weer.

Het RSAD proces vindt, met uitzondering van afleiden, volledig plaats binnen de zorginstelling met het ZIS (ziekenhuisinformatiesysteem). Registreren omvat het openen van een zorgtraject en het registreren van zorgactiviteiten zoals consulten, onderzoeken, ligdagen, OK-activiteiten en het toedienen van dure- en weesgeneesmiddelen. Wanneer een (sub) zorgtraject is afgesloten, vindt samenvatten plaats. Samenvatten is gebaseerd op algemene afsluitregels en uitzonderingsregels die in het kader van de DOT systematiek zijn vastgelegd. Resultaat van samenvatten is een declaratiedataset die de zorginstelling als invoer aanbiedt aan de Grouper. De Grouper verzorgt de afleiding van de declaratiedataset naar declarabele DBC zorgproducten; deze gegevens gaan verzegeld terug naar de zorginstelling. Na toevoeging van de tariefgegevens, kan de zorginstelling het DBC zorgproduct bij de zorgverzekeraar declareren en de informatie naar DIS aanleveren.


3.2.2 Controle technische aspecten Grouper Grouper werkt op basis van berichtenverkeer. Hiervoor wordt de HL7 standaard gebruikt, een internationale standaard voor de uitwisseling van medische, financiële en administratieve gegevens tussen zorginformatiesystemen. In termen van RSAD wordt iedere declaratiedataset door het ZIS als zelfstandig bericht naar de Grouper verzonden. Hetzelfde geldt voor het versturen van het declarabele zorgproduct door de Grouper naar het ZIS. Na verzending van het bericht wordt de data betreffende de afleiding niet meer door de Grouper vastgehouden. Bijlage 1 Toetsingskader bevat de controle technische normen waaraan de Grouper moet voldoen. Dit toetsingskader is volledig gebaseerd op het Toetsingskader Grouper (zoals gepubliceerd op 1 november 2010). Grouper omvat controles die waarborgen dat ieder bericht wordt verwerkt, dat wil zeggen dat een bericht met declarabele DBC zorgproducten wordt verzonden naar het ZIS of dat het bericht wordt teruggestuurd indien een fout wordt geconstateerd (zijn alle velden ingevuld, en inhoudelijke controles zoals de geldigheid van zorgactiviteiten). Ieder declarabel DBC zorgproduct (één of meer per bericht) krijgt een eigen controlegetal, hashcode genaamd. Daarmee wordt ieder declarabel DBC zorgproduct van een unieke door de Grouper toegekende code voorzien. Een wijziging van het controlegetal betekent dat de afleiding door de Grouper ongeautoriseerd kan zijn aangepast. Verder omvat het beheer van de Grouper controles om te waarborgen dat de door NZa vastgestelde versie van de beslisboom wordt gebruikt. 3.2.3 Controle technische overwegingen voor de zorginstellingen Vanuit een zorginstelling bezien is de Grouper slechts één stap van het proces, om van diagnose en registratie van zorgactiviteiten tot declaratie te komen (RSAD). In 2012 heeft een belangrijke controle gewerkt, te weten dat ieder bericht van een ZIS naar de Grouper leidt tot een bericht van de Grouper naar dat ZIS. Aanvullend op deze controle, zullen in de zorginstelling minimaal de volgende controles moeten worden vormgegeven en werken om vast te stellen dat de DBC zorgproducten juist, rechtmatig en volledig zijn afgeleid en gefactureerd: • • • •

Waarborgen dat alle zorgtrajecten en –activiteiten juist, volledig en tijdig worden geregistreerd; Waarborgen dat alle zorgtrajecten en –activiteiten juist, volledig en tijdig worden samengevat; Waarborgen dat alle declaratiedatasets tijdig en volledig worden verzonden naar de Grouper; Waarborgen dat alle van de Grouper ontvangen declarabele producten tijdig, volledig en met de juiste tarieven worden gedeclareerd bij de zorgverzekeraars.


Bovenstaande waarborgen zijn nadrukkelijk niet opgenomen in de scope van onze werkzaamheden. In de zorginstellingen vraagt dit een mix van waarborgen van organisatorische en procedurele aard en stelt dit eisen aan de functionaliteit van het ZIS.


4. Bevindingen Aan de hand van het toetsingskader (zie bijlage I) zijn uit de beoordeling van de werking twee bevindingen naar voren gekomen. De geconstateerde bevindingen doen geen afbreuk aan het oordeel zoals weergegeven in hoofdstuk 3. Bij control 1.17 hebben wij een afwijking geconstateerd. In de huidige structuur van het beheerteam binnen DBC-Onderhoud is beperkt gebruik gemaakt van de mogelijkheid tot functiescheiding met behulp van de rollenstructuur en beschikken vier van de vijf gebruikers over alle rollen. Dit is wel in lijn met de huidige opzet van de beheerorganisatie. Verder hebben wij geconstateerd dat de functie van het laden van tabellen niet rol gebonden is en daarmee geen onderdeel uitmaakt van de bestaande rollen. Dit kan leiden tot (per abuis) inladen van tabellen. Echter het risico is beperkt tot gebruikers van CSC en DBC-Onderhoud met VPN verbinding. Daarnaast zal het laden van tabellen leiden tot het (tijdelijk) niet beschikbaar zijn van de Grouper. Daarom is impact van deze bevinding beperkt. Reactie DBC-Onderhoud: De bevinding van Deloitte is een terechte constatering. Er zijn geen negatieve gevolgen geweest, het risico is niet opgetreden. Onderzocht of de rol "laden van tabellen" aangepast kan worden. Tevens zijn afspraken gemaakt met onze leverancier om het laden van tabellen te vermelden in de maandelijkse Service Level Rapportage. Bij controls 1.4 en 1.18 hebben wij geconstateerd dat de updatelogs die de Grouper op systeemniveau vasthoudt, in de periode januari tot en met april 2012 in verband met een systeemmigratie niet meer beschikbaar zijn. Daardoor was het niet mogelijk om voor deze periode vast te stellen in hoeverre er softwarewijzigingen hebben plaatsgevonden die niet in de wijzigingenadministratie van DBC-O zijn geregistreerd. Middels een schriftelijke verklaring heeft CSC bevestigd dat over de periode januari tot met mei 2012 geen onregelmatigheden zijn geconstateerd in de toegang tot het systeem. Daarnaast hebben wij geconstateerd dat de wijzigingenregistratie over de rest van de controleperiode volledig is. Daarom is impact van deze bevinding beperkt. Reactie DBC-Onderhoud: De logging is gewist bij een hardware vervanging. Dit incident is met de leverancier besproken en hierbij nadrukkelijk afgesproken dat de logging periodiek veilig wordt gesteld.

10 12 februari 2013 RD_ska_13-194

5. Reactie DBC-Onderhoud op rapport DBC-Onderhoud wil met de livegang van DOT per 1 januari 2012 door middel van deze audit aantonen dat zij voldoet aan het Toetsingskader Grouper en daarmee voldoet aan de eisen met betrekking tot betrouwbaarheid, continuïteit en vertrouwelijkheid van de Grouper. Tevens is de juiste werking van de Grouper applicatie voor de afleiding naar de zorgproducten onderdeel van deze audit. In opdracht van DBC-Onderhoud heeft Deloitte Risk Services B.V. een audit uitgevoerd naar de werking van de Grouper. Daarbij zijn zowel de processen als de werking hiervan bekeken. De overall conclusie luidt dat de Grouper op nagenoeg alle punten voldoet aan de gestelde eisen. Om de betrouwbaarheid en continue werking van de DBC-Grouper te waarborgen is drie jaar geleden een set van beheersmaatregelen opgesteld, in samenspraak met de zorginstellingen en branchepartijen. Deze maatregelen zijn vastgelegd in het Toetsingskader Grouper dat is vastgesteld in het Regieoverleg van 20 mei 2009. Dit toetsingskader is sinds 1 november 2010 te vinden op de site van DBC-Onderhoud. Vanuit de audit 2011 zijn alle aanbevelingen overgenomen en geïmplementeerd. De eerste aanbeveling betrof het tijdig op kunnen schalen bij piekbelasting. Deze aanbeveling is ingevuld per 1 mei 2012. De tweede aanbeveling betrof het voorafgaand aan het doorvoeren van een wijziging de administratieve vastlegging te borgen. Dit is inmiddels doorgevoerd. Vanuit de audit 2012 zijn twee bevindingen geconstateerd: a) de autorisatie tot laden van tabellen niet conform het Software Design Document; b) het updatelog en het managementschermenlog in de Grouper ontbreekt gedeeltelijk. Bevinding a. de aanbeveling wordt opgevolgd. Er wordt onderzocht of autorisatie van het laden van tabellen kan worden aangepast, zodat monitoring kan plaatsvinden. Bevinding b. betreft een incident en de specifieke processtappen hierbij zijn geëvalueerd, tevens is de Service Level afspraak op dit punt aangepast. Zoals aangegeven volgt DBC-Onderhoud de aanbevelingen op. Ook in 2013 stelt DBCOnderhoud alles in het werk om de goede werking van de Grouper te blijven waarborgen. In 2013 zal wederom een audit plaatsvinden.

11 12 februari 2013 RD_ska_13-194

6. Tot slot Wij vertrouwen erop u door middel van dit rapport voldoende op de hoogte te hebben gebracht van de bevindingen van de door ons uitgevoerde IT-audit. Wij willen u en de medewerkers van DBC-Onderhoud en CSC, die betrokken zijn geweest bij dit onderzoek, bedanken voor de open en constructieve bijdrage.

Hoogachtend, Deloitte Risk Services B.V.

w.g.

w.g.

J. Buith

R. Drewes

Bijlage 1 – Toetsingskader Betrouwbaarheid van de Verwerking Control Nr

Beheersmaatregelen

Conclusie Opzet & bestaan

Conclusie werking

1.1

Er bestaat een volledige set van ontwerpdocumentatie van de huidige Grouper, zodat: a het beheer hiervan te allen tijde overdraagbaar is; b het mogelijk is om vast te stellen of de daadwerkelijke functionaliteit hiermee overeenstemt. c de configuratie (technische infrastructuur).

Geen afwijkingen geconstateerd


1.2

Beoordeel of een toereikende set aan ontwerpdocumentatie bestaat. Geen afwijkingen a. Een volledige set aan ‘Design’ documenten die op detailniveau inzicht geeft in de programmacodes, die voor de Grouper geconstateerd zijn geschreven.


1.3

Er bestaat een gestandaardiseerde en formele procedure voor het doorvoeren van wijzigingen in: a stamtabellen die bepalend zijn voor de werking van de Grouper;




Afwijkingen geconstateerd. Zie hoofdstuk 4.

Beoordeel of de change management procedure de volgende punten bevat: a. Alle stappen van wijzigingsaanvraag tot en met autorisatie zijn beschreven. b. De verschillende ‘triggers’ voor het doen van een wijzigingsaanvraag helder zijn (onder andere vanuit problem- en incident management). c. De criteria voor het al dan niet goedkeuren van een aanvraag concreet zijn benoemd en te allen tijd goedkeuring plaatsvindt alvorens aanvragen in behandeling worden genomen. d. Voor elke stap duidelijk is welke functionaris verantwoordelijk is. e. Alle stappen op toereikende wijze worden gedocumenteerd. f. Een gestandaardiseerd acceptatietestplan bestaat. 1.4

Er bestaat een gestandaardiseerde en formele procedure voor het doorvoeren van wijzigingen in: b de programmatuur die de werking van de Grouper bepaalt; Beoordeel of de change management procedure de volgende punten bevat: a. Alle stappen van wijzigingsaanvraag tot en met autorisatie zijn beschreven. b. De verschillende ‘triggers’ voor het doen van een wijzigingsaanvraag helder zijn (onder andere vanuit problem- en incident management). c. De criteria voor het al dan niet goedkeuren van een aanvraag concreet zijn benoemd en te allen tijd goedkeuring plaatsvindt alvorens aanvragen in behandeling worden genomen. d. Voor elke stap duidelijk is welke functionaris verantwoordelijk is. e. Alle stappen op toereikende wijze worden gedocumenteerd. f. Een gestandaardiseerd acceptatietestplan bestaat.

Control Nr

Beheersmaatregelen


Conclusie werking

1.5

Er bestaat een gestandaardiseerde en formele procedure voor het doorvoeren van wijzigingen in: c de configuratie (technische infrastructuur)



Beoordeel of de change management procedure de volgende punten bevat: a. Alle stappen van wijzigingsaanvraag tot en met autorisatie zijn beschreven. b. De verschillende ‘triggers’ voor het doen van een wijzigingsaanvraag helder zijn (onder andere vanuit problem- en incident management). c. De criteria voor het al dan niet goedkeuren van een aanvraag concreet zijn benoemd en te allen tijd goedkeuring plaatsvindt alvorens aanvragen in behandeling worden genomen. d. Voor elke stap duidelijk is welke functionaris verantwoordelijk is. e. Alle stappen op toereikende wijze worden gedocumenteerd. f. Een gestandaardiseerd acceptatietestplan bestaat. 1.6

Beoordeel of de procedure van stamtabel- en programmatuurwijzigingen het volgende punt bevat: a vindt documentatie plaats van alle in de productieomgeving van de Grouper doorgevoerde wijzigingen;



1.7

b worden alle wijzigingen getest alvorens transport naar de productieomgeving volgens een standaard testprotocol, waarin taken en verantwoordelijkheden zijn gedefinieerd;



1.8

Beoordeel of de procedure van stamtabel- en programmatuurwijzigingen het volgende punt bevat: c vindt formele acceptatie van wijzigingen door NZa plaats alvorens deze in productie worden genomen;



1.9

Beoordeel of de procedure van stamtabel- en programmatuurwijzigingen het volgende punt bevat: d bestaat een gestandaardiseerde wijze van communicatie van wijzigingen met zorgaanbieders



1.10

Beoordeel of het testprotocol minimaal het volgende aspect beoordeeld: a volledigheid afleiding zorgproduct;



1.11

Beoordeel of het testprotocol minimaal het volgende aspect beoordeeld: b juistheid afleiding zorgproduct;



1.12

Beoordeel of het testprotocol minimaal het volgende aspect beoordeeld: c betrouwbaarheid kleuring zorgproducten;



1.13

Beoordeel of het testprotocol minimaal het volgende aspect beoordeeld: d juistheid van de hash-codering;



1.14

Beoordeel of het testprotocol minimaal het volgende aspect beoordeeld: e juistheid routering resultaat richting zorgaanbieder;



Control Nr

Beheersmaatregelen


Conclusie werking

1.15

Beoordeel of het testprotocol minimaal het volgende aspect beoordeeld: f compliance met eisen ten aanzien van beschikbaarheid en performance.



1.16

Voor het doorvoeren van wijzigingen bestaat een (logische) scheiding in een test-, acceptatie- en productieomgeving.



1.17

De toegang tot het beheer van stamtabellen en programmatuur van de Grouper is beperkt tot slechts daartoe vastgestelde personen (zie tevens Beveiliging).



1.18

Er bestaat een logging van systeembewerkingen in de productieomgeving. Deze geeft te allen tijde inzicht in welke natuurlijke persoon op welk moment bewerkingen heeft gedaan.



1.19

Om de correcte tijd te kunnen garanderen in de systeemlogs dient tijdsynchronisatie te worden toegepast voor de systeemklokken van de verschillende systemen (bijvoorbeeld door middel van Network Time Protocol).



1.20

Er bestaat een eenduidig versiebeheer van stamtabellen, zodat de geldigheid hiervan in alle omgevingen is vast te stellen.



1.21

De Grouper voorziet in functionaliteit om proefaanleveringen en bepalingen van onderhanden werk te onderscheiden van aanleveringen ten behoeve van declaratie aan zorgverzekeraars.



1.22

De Grouper maakt gebruik van een versie controle-instrument of een proces ter handhaving van de integriteit van de programma-code en andere documentatie, zoals eisen, architectuur, design specificatie en configuratiedocumenten.



Beschikbaarheid & Performance Control Nr

Beheersmaatregelen

Conclusie Opzet en bestaan

Conclusie bestaan en werking

2.1

Eisen met betrekking tot beschikbaarheid van de Grouper zijn vastgesteld door DBCO en formeel vastgelegd in een Service Level Agreement.



2.2

Eisen met betrekking tot de performance van de Grouper zijn vastgesteld door DBCO en formeel vastgelegd in een Service Level Agreement.



2.3

Toetsing aan de vastgestelde eisen met betrekking tot de beschikbaarheid en performance van de Grouper vindt maandelijks plaats en wordt gecommuniceerd met gebruikers.



2.4

Er bestaat een mogelijkheid tot het tijdelijk ‘opschalen’ van de capaciteit van de Grouper, waardoor bij eventuele piekbelasting beschikbaarheids- en performancenormen kunnen worden gehaald.



2.5

De verwerking van de Grouper is op een dusdanige wijze beveiligd, dat een onevenredig hoge (vastgestelde) capaciteitsvraag van één enkele gebruiker toereikend wordt beperkt. Hierdoor is het voor één en dezelfde gebruiker niet mogelijk de beschikbaarheid van de Grouper in gevaar te brengen.



2.6

De Grouper voorziet gebruikers van adequate informatie op het moment dat deze niet beschikbaar is. Hierbij is te allen tijde duidelijk of aangeleverde data volledig wordt/is verwerkt of niet.



2.8

De broncode van de programmatuur is dusdanig beschikbaar gesteld dat deze in geval van faillissement van de hostingpartij te allen tijde beschikbaar is.



2.9

Er bestaat een toereikende set aan (technische) maatregelen die de beschikbaarheid van de Grouper in geval van uitval van kritische systeemonderdelen waarborgt.



Voorspelbaarheid & Controleerbaarheid Control Nr

Beheersmaatregelen

conclusie Opzet


3.1

Er is een testset beschikbaar op basis waarvan gebruikende instellingen de betrouwbaarheid van de verwerking door de Grouper kunnen vaststellen



3.2

Er bestaat een voor de zorgaanbieder toegankelijk inzicht in de algoritmen, aan de hand waarvan achteraf de afleiding van het zorgproduct kan worden gevolgd.



Beveiliging Control Nr

Beheersmaatregelen

Conclusie opzet


4.1

De Grouper systemen dienen adequaat beschermd te zijn tegen bedreigingen, zoals virussen, spyware, geautomatiseerde en handmatige aanvallen, bijvoorbeeld door middel van anti-virus programmatuur.



4.2

De Grouper systemen dienen periodiek te worden voorzien van de meest recente security updates voor de gebruikte systemen. Ter mitigatie van beveiligingsproblemen waar geen patches voor beschikbaar zijn dienen passende aanvullende maatregelen getroffen te worden.



4.3

De Grouper netwerkinfrastructuur dient adequaat beschermd te zijn tegen aanvallen, bijvoorbeeld door middel van firewalling.



4.4

Er dient monitoring op de netwerksegmenten binnen de Grouper netwerkinfrastructuur plaats te vinden, bijvoorbeeld door middel van Intrusion Detection System oplossingen, om aanvallen en andere onregelmatigheden te detecteren en passende tegenmaatregelen te kunnen nemen.



4.5

Fysieke toegangsbeveiligingsmaatregelen zijn getroffen voor ruimtes met Grouper serversystemen die een rol spelen bij het verstrekken of opvragen van informatie bij de Grouper.



4.6

Fysieke toegang tot werkstations met toegang tot Grouper systemen wordt waar mogelijk fysiek afgeschermd.



Control Nr

Beheersmaatregelen

Conclusie opzet


4.7

Logische toegangsbeveiligingsmaatregelen zijn getroffen voor alle op de Grouper aangesloten systemen.







Dit houdt minimaal in dat: a logische toegang tot serversystemen die een rol spelen bij het verstrekken of opvragen van informatie bij de Grouper is beperkt tot diegenen die voor de uitvoering van hun taken toegang moeten hebben tot deze systemen 4.8

Logische toegangsbeveiligingsmaatregelen zijn getroffen voor alle op de Grouper aangesloten systemen. Dit houdt minimaal in dat: b logische toegang tot werkstations met toegang tot de Grouper is afgeschermd tegen toegang door onbevoegden;

4.9

Logische toegangsbeveiligingsmaatregelen zijn getroffen voor alle op de Grouper aangesloten systemen. Dit houdt minimaal in dat: c werkstations met toegang tot de Grouper automatisch worden afgeschermd (bijvoorbeeld door middel van screensavers) na een periode van 10 minuten inactiviteit.

4.10

B) Voor gegevensuitwisseling dienen overeenkomsten te zijn opgesteld waarin passende beveiligingsmaatregelen zijn opgenomen.



4.11

C) Verbindingen tussen de Grouper en aangesloten partijen dienen op netwerkniveau versleuteld te zijn door middel van tweezijdige SSL/TLS (SSL v3 of TLS v1 op basis van UZI-certificaten). De geldigheid van certificaten dient gecontroleerd te worden voordat zij geaccepteerd worden.



4.12

Van de aan zorgverzekeraars gedeclareerde zorgproducten is te allen tijde traceerbaar of deze zijn afgeleid door de Grouper of niet.



4.13

Handmatige aanpassing van de hash-codering, die voor elk zorgproduct wordt bepaald, is te allen tijden vast te stellen.



4.14

De gegevensverwerking van door instellingen aangeleverde data mag niet worden gelogd (er mag uitsluitend metainformatie worden bewaard) en is voor personen buiten de zorgaanbieder niet reproduceerbaar.



4.15

Gegevensverwerking van aangeleverde data is dusdanig afgeschermd, dat deze slechts voor de betreffende zorgaanbieder beschikbaar is.



Communicatie & Ondersteuning Control Nr

Beheersmaatregelen

Conclusie opzet

Conclusie bestaan

5.1

Er bestaat een formele procedure voor de communicatie en uitlevering van nieuwe versies van stamtabellen of softwarespecificaties. Hierin is te allen tijde inzichtelijk welke stamtabellen en specificaties geldig zijn. Via internet is te allen tijde de laatst geldige set beschikbaar.



5.2

Er bestaat een formele procedure voor probleem- en incident management. Binnen het incidentenproces vindt registratie, classificatie, routering, bewaking, escalatie en oplossing van gemelde incidenten conform de afgesproken termijnen en communicatie met de eindgebruikers plaats.



5.3

Eisen met betrekking tot de opvolging van gemelde incidenten zijn afgestemd met gebruikende zorgaanbieders en formeel vastgelegd in een Service Level Agreement.



5.4

In geval van geconstateerde onjuiste afleiding van zorgproducten, vindt tijdige en eenduidige communicatie naar zorgaanbieders plaats, vergezeld van een correctieprocedure.



5.5

In geval van geconstateerde onjuiste afleiding is te allen tijde herleidbaar welke (groep) zorgproducten dit betreft, zodat correctie mogelijk is.



IT-Audit Grouper. Onafhankelijk assurance rapport. Uitgebracht aan: Stichting DBC-Onderhoud T.a.v. de heer V. Sewkaransing. c.c.:

Recommend Documents