Voorwoord De invoering van de Diagnose-Behandeling-Combinaties (DBC’s) -per 1 januari 2005- is een grote verandering voor het Nederlandse Ziekenhuiswezen. De DBC-systematiek is ontworpen door het Ministerie van Volksgezondheid, Welzijn en Sport (VWS). In de DBC-systematiek wordt een directe relatie gelegd tussen geleverde zorgproducten/diensten en de inkomsten. Daarnaast moet het systeem gaan leiden tot meer transparantie in de zorg en wordt het mogelijk om geleidelijk een vorm van marktwerking te introduceren. Door het College voor Tarieven in de Gezondheidszorg/Zorgautoriteit in Oprichting (CTG/Zaio) zijn door middel van de Kaderregeling AO/IC (Administratieve Organisatie en Interne Controle) eisen gesteld aan de wijze waarop de DBC-processen rond registratie, validatie en facturering worden ingericht. ICT speelt een cruciale rol bij het implementeren van de Kaderregeling. De NOREA kennisgroep ICT en Zorg heeft, onder auspiciën van het ministerie van VWS en in nauwe samenwerking met vertegenwoordigers van zorgaanbieders, zorgverzekeraars en ICT leveranciers een nadere invulling gegeven aan de ICT aspecten binnen deze kaderregeling. NOREA, de beroepsorganisatie van IT-audiors, concretiseert met dit beoordelingskader de kwaliteitseisen die nodig zijn voor een betrouwbare geautomatiseerde verwerking van DBC gegevens. Dit beoordelingskader is een nadere invulling van de automatiseringsaspecten die binnen de Kaderregeling AO/IC zijn gesteld aan de zorgaanbieders. Dit beoordelingskader vormt hiermee een essentiële grondslag voor het opzetten en handhaven van een effectief systeem van interne beheersing. De beheersmaatregelen hebben betrekking op aspecten registratie, validatie en declaratie alsmede het aanleveren van de gegevens aan het DBC Informatiesysteem (DIS). Dit beoordelingskader ondersteunt de zorgaanbieders bij het specificeren van eenduidige eisen voor de geautomatiseerde gegevensverwerking met betrekking tot DBC’s. Een goed beheerde en beveiligde geautomatiseerde gegevensverwerking van DBC’s vormt impliciet een belangrijk onderdeel van de bestuursverklaring die bestuurders van ziekenhuizen dienen af te geven. In dit beoordelingskader is op eenduidige wijze beschreven welke geautomatiseerde beheersmaatregelen in de software aanwezig dienen te zijn. Het stelt hiermee expliciet eisen aan de functionaliteit van de zorgapplicaties, die door softwareleveranciers aan zorgaanbieders beschikbaar worden gesteld. Hierdoor wordt voor zorgapplicaties een minimum controlepotentieel gewaarborgd.
NOREA | ZekeREzorg
1
Indien in dat verband behoefte bestaat aan een onafhankelijk oordeel, dan kan dit beoordelingskader als basis voor certificering worden gehanteerd. De overige gebruikers van dit beoorelingskader zijn de zorgverzekeraars, toezichthouders en IT-Auditors. Amsterdam, 10 juni 2005
2
NOREA Kennisgroep ICT en Zorg drs. H.E. Bakker (Projectleider DBC-Onderhoud), drs. ir. H.J. van Bon RE RA (KPMG), M.W. de Breed RE CISA (Deloitte), drs. W.J.A. Olthof (NOREA, ambtelijk-secretaris), ir. M.C. Roos (PricewaterhouseCoopers), ing. D.R. Utermark RE (Ernst & Young)
Inhoudsopgave 1
Inleiding
5
2
Uitgangspunten bij het beoordelingskader
7
3
Objectomschrijving en afbakening van het beoordelingskader
9
4
Doelgroepen en doelstellingen van het beoordelingskader
11
5 5.1 5.2 5.3 5.4
Beschrijving van de geautomatiseerde verwerking van DBC gegevens Inleiding Registratie Validatie Declaratie
13 13 13 14 15
6
Basisnormen en omgevingsfactoren
17
7
Relatie Bestuursverklaring en de Accountantsverklaring
19
8
Kwaliteitsaspecten
21
9
Het beoordelingskader
23
10
Bron- en literatuurverwijzingen
47
NOREA | ZekeREzorg
3
4
1
Inleiding In vervolg op het in 1994 uitgebrachte advies van de commissie Biesheuvel inzake de modernisering van de Curatieve Zorg, hebben de NVZ (vereniging van ziekenhuizen), de Orde van Medisch Specialisten, Zorgverzekeraars Nederland en het Ministerie van VWS het initiatief genomen om een bekostigingssysteem voor zorgaanbieders tot stand te brengen dat gebaseerd wordt op geleverde prestaties en hiermee samenhangende kosten. Deze prestaties worden vastgelegd in eenduidig gedefinieerde zorgproducten, Diagnose Behandeling Combinaties (DBC’s). Een Diagnose Behandeling Combinatie typeert de medisch specialistische zorg volgens een methodiek waarbij de zorgvraag (diagnose) wordt gekoppeld aan de daartoe geleverde zorgprestaties (begeleiding, diagnostiek en behandeling). Het middelenbeslag van het ziekenhuis en de werklast van de medisch specialist worden aan deze producten toegerekend. De Raad van Bestuur verklaart door middel van een bestuursverklaring dat de DBC’s die zijn geproduceerd en gedeclareerd juist, volledig en tijdig geregistreerd en verwerkt zijn. Met andere woorden in een zogenaamde bestuursverklaring wordt aangegeven dat de procedures van de administratieve organisatie en interne controle correct en volledig worden toegepast. De kwaliteit van de AO/IC wordt ook beoordeeld door de accountant. Het is van belang in de systemen die gezamenlijk de informatievoorziening van de zorgaanbieder bepalen, zoveel mogelijk toetsbare controle mogelijkheden en zekerheden in te bouwen om het operationaliseren van de bestuursverklaring te ondersteunen. In dit document wordt een beoordelingskader beschreven voor de DBC informatieverwerking, in het bijzonder voor de verwerking van de gegevens door de validatiemodule.
NOREA | ZekeREzorg
5
6
2
Uitgangspunten bij het beoordelingskader ■ De bestuursverklaring geeft aan dat de DBC’s die zijn geproduceerd en gedeclareerd juist, volledig en tijdig geregistreerd en verwerkt zijn. ■ De kaderregeling AO/IC heeft op hoofdlijnen geschetst aan welke voorwaarden de Administratieve Organisatie en de Interne Controle van een zorgaanbieder dienen te voldoen. ■ Dit beoordelingskader is een nadere invulling van de automatiseringsaspecten die binnen de Kaderregeling AO/IC zijn gesteld aan de zorgaanbieders. ■ Interne controlemaatregelen dienen omwille van efficiency- en effectiviteitsredenen zoveel mogelijk geautomatiseerd te worden uitgevoerd, zodat de handmatige controle-activiteiten van de zorgaanbieders in dat verband tot een minimum kunnen worden beperkt. ■ Indien een zorgaanbieder voldoet aan dit beoordelingskader kunnen, in overleg met de zorgverzekeraar, nader te bepalen controles door zorgverzekeraar worden beperkt. ■ Dit beoordelingskader kan door IT-auditors als toetsingskader voor certificering worden gehanteerd. ■ Ten aanzien van de verwerking van persoonsgegevens gelden de wettelijke kaders zoals vastgelegd in de Wbp en/of sectorspecieke wetgeving. Deze wettelijke kaders vallen buiten de scope van dit beoordelingskader.
NOREA | ZekeREzorg
7
8
3
Objectomschrijving en afbakening van het beoordelingskader Het beoordelingskader heeft betrekking op de volgende drie deelprocessen: (a) DBC registratie (c) DBC validatie (d) DBC declaratie (a) DBC registratie Het openen en vastleggen van de DBC-gegevens. Met behulp van DBC-registratiesoftware en verschillende stamtabellen worden de DBC-gegevens ingevoerd (onder andere zorgtype, diagnose en behandeling). Binnen het registratieproces worden ook de individuele verrichtingen vastgelegd. (b) DBC validatie Het automatisch (met behulp van DBC-validatiesoftware) controleren van de juistheid van de ingevoerde DBC-gegevens door deze met gegevens van de uitgevoerde verrichtingen te vergelijken. De gevalideerde DBC’s worden aan de declaratiemodule aangeleverd. Tevens worden de gevalideerde DBC;s aangeleverd aan het DBC Informatie Systeem (DIS). (c) DBC declaratie Het declareren van de gevalideerde DBC’s aan zorgverzekeraars met de juiste tarieven en codering. Deze deelprocessen zijn schematisch weergegeven in figuur 3-1. Figuur 3-1: Een controlemodel met repressieve beheersmaatregelen
Registratie
Validatie
Declaratie
Huidige situatie
Stamgegevens
NOREA | ZekeREzorg
9
De drie betrouwbaarheid van de gegevensverwerking binnen de drie deelprocessen is volledig afhankelijk van de kwaliteit van de onderliggende stamgegevens. De kwaliteit van deze stamgegevens wordt in sterke mate bepaald door de wijze waarop deze worden beheerd. Om die reden vormt het beheer van stamgegevens een onderdeel van dit beoordelingskader. Het onderhandelingsproces van zorgaanbieder en zorgverzekeraar, met als doel de tariefvaststelling, valt echter buiten de scope van het beoordelingskader.
10
4
Doelgroepen en doelstellingen van het beoordelingskader Het beoordelingskader heeft de volgende doelgroepen en bijbehorende doelstellingen: Zorgaanbieders ■ NOREA concretiseert met dit beoordelingskader de kwaliteitseisen die nodig zijn voor een betrouwbare geautomatiseerde verwerking van DBC-gegevens bij de zorgaanbieder. Dit beoordelingskader is geen vervanging van de Kaderregeling AO/IC maar geeft een nadere invulling van de automatiseringsaspecten die binnen de Kaderregeling zijn gesteld aan de zorgaanbieders. Dit beoordelingskader vormt hiermee een essentiële grondslag voor het opzetten en handhaven van een effectief systeem van interne beheersing. ■ Dit beoordelingskader ondersteunt de zorgaanbieders bij het specificeren van eenduidige eisen voor de geautomatiseerde gegevensverwerking met betrekking tot DBC’s. Een goed beheerde en beveiligde geautomatiseerde gegevensverwerking van DBC’s vormt impliciet een belangrijk onderdeel van de bestuursverklaring die bestuurders van ziekenhuizen dienen af te geven. ■ Het beoordelingskader vormt een leidraad voor zorgaanbieders in de gezamenlijke communicatie met softwareleveranciers over de inrichting van de zorgapplicaties. Een dergelijke standaardisatie zou kunnen leiden tot een reductie van de ontwikkelkosten. IT-Auditors Het beoordelingskader is een nuttig document voor de IT-auditors die betrokken zijn bij de beoordeling en advisering over DBC’s bij zorgaanbieders, al dan niet in het kader controlewerkzaamheden. Deze controlemaatregelen worden veelal beoordeeld door de in het externe controleteam van de zorgaanbieder opgenomen IT-auditor. De beoordeling kan ook plaatsvinden door de interne IT-auditor van de zorgaanbieder als basis voor de review door de (externe) accountant Zorgverzekeraars Het beoordelingskader draagt bij aan het voor de zorgverzekeraars inzichtelijk maken van de mate van interne beheersing op ICT-gebied bij de zorgaanbieders. De doelstelling van dit beoordelingskader is om de validatie en andere repressieve beheersmaatregelen waar mogelijk eerder in het proces van totstandkoming van de DBC geautomatiseerd te laten uitvoeren (zie figuur 4-1). Hierdoor kan de efficiëntie en effectiviteit van de interne controle rond de DBC worden vergroot en kunnen arbeidsintensieve handmatige controlewerkzaamheden voorkomend uit uitvallijsten in de validatiemodule worden vermeden.
NOREA | ZekeREzorg
11
Figuur 4-1: Een controlemodel met preventieve beheersmaatregelen
Registratie
Validatie
Declaratie
Gewenste situatie
Stamgegevens
Softwareleveranciers Door middel van deze publicatie wordt inzicht gegeven in de eisen/wensen welke gesteld worden aan een betrouwbaar systeem en is daarmee van waarde voor de leveranciers van software. Door middel van dit beoordelingskader is daarnaast een set van onafhankelijke en eenduidige criteria verkregen welke als basis kan worden gebruikt om te komen tot certificering van de software door daartoe gekwalficeerde ITauditors (RE's).
12
5
Beschrijving van de geautomatiseerde verwerking van DBC gegevens
5.1
Inleiding Het DBC proces bestaat uit zoals hierboven schematisch weergegeven uit drie subprocessen. Deze processen zijn in de volgende paragrafen in meer detail beschreven. In de hierna volgende paragrafen wordt dit DBC proces toegelicht aan de hand van de voorbeeld DBC 18.11.401.103.
5.2
Registratie In eerste instantie moet een nieuwe DBC worden geopend. Dit gebeurt op het moment dat de patiënt voor het eerste consult bij de specialist (in dit geval de gastro-enteroloog) komt. In de DBC registratiesoftware voert hij de volgende gegevens in: Specialisme: 18 (gastro enterologie) Zorgtype: 11 (reguliere zorg) Diagnose: nog niet bekend waarschijnlijk 401 (gastritus diversen) Behandeling: nog niet bekend De DBC registratiesoftware maakt gebruik van stamgegevens die in tabellen zijn opgeslagen. Het betreft hier de typeringslijsten (zie paragraaf 2.1) en een diagnose conversie tabel. Veel specialisten diagnosticeren met behulp van de wereldwijde ICD-9 codering. Deze code moet worden omgezet in de DBC diagnosecode. Hiervoor is een conversietabel noodzakelijk. De specialist moet daarnaast ook nog het eerste consult (=verrichting) registreren. Dit gebeurt in een ZISmodule voor afspraken. De specialist stelt voor om een gastroscopie te maken en een bloedonderzoek te doen teneinde zijn diagnose zeker te kunnen stellen en deze samen met de behandeling te kunnen invoeren in de DBC registratie. Op de afdeling gastro-enterologie wordt de patiënt poliklinisch onderzocht. Deze verrichting wordt door een medewerker van de afdeling vastgelegd in de ZIS-module voor gastroscopie. Bij het laboratorium wordt het bloed van de patiënt afgenomen en onderzocht. Ook hier wordt deze verrichting ingevoerd in een ZIS-module (voor laboratorium). Op basis van de resultaten van de gastroscopie en het bloedonderzoek komt de specialist tot de conclusie dat zijn voorlopige diagnose (401) juist was. Hij voert deze diagnosecode samen met de behandeling (103) in de DBC registratiesoftware in. De DBC codering is nu compleet.
NOREA | ZekeREzorg
13
Vervolgens wordt de patiënt opgenomen, het betreft immers een DBC met klinische periode, en worden de verpleegdagen door het opnamebureau geregistreerd in de daarvoor bestemde ZIS-module. Als de patiënt is geopereerd dan wordt ook de operatie als verrichting ingevoerd in de betreffende ZIS-module. Na ontslag van de patiënt uit het ziekenhuis komt deze nog één keer terug voor een controle afspraak. Deze afspraak wordt uiteindelijk ook weer ingevoerd in een ZIS-module. De specialist besluit na de controle afspraak dat de patiënt genezen is verklaard. De DBC kan nu worden afgesloten en worden geautoriseerd door de specialist. Het registratieproces is hiermee teneinde gekomen. De volgende registraties hebben plaatsgevonden: ■ 1 DBC (18.11.401.103) ■ 9 verrichtingen namelijk: ■ 2 consulten ■ 1 operatie ■ 3 verpleegdagen ■ 1 operatie ■ 1 bloedonderzoek ■ 1 gastroscopie
5.3
Validatie De Validatie wordt uitgevoerd door de DBC validatiesoftware. Dit is een batchproces dat zonder menselijke tussenkomst controleert of de behandeling die de specialist heeft ingevoerd overeenstemt met wat in werkelijkheid is uitgevoerd. In ons voorbeeld is de behandeling (103) een ‘reguliere behandeling met klinische periode’. Wij gaan er in dit voorbeeld vanuit dat een reguliere behandeling ook een operatie bevat. De validatiesoftware kan alleen worden uitgevoerd met afgesloten en geautoriseerde DBC’s. Het validatieproces bestaat uit 3 stappen: 1. In de eerste stap worden op basis van patiëntnummer en de datum de verrichtingen gekoppeld aan de DBC. Indien de ziekenhuizen hebben besloten om verrichtingen te registreren op basis van de CBV coderingssystematiek dan dienen de verrichtingen eerst geconverteerd te worden in de noodzakelijke CTG codering. 2. Op basis van de verrichtingen wordt een zorgprofiel samengesteld. Dit is de set met uitgevoerde verrichtingen die in de ZIS-modules zijn ingevoerd. Dit vindt plaats aan de hand van een stamtabel (verrichtingen / zorgprofielen). Tevens wordt hier bepaald welke verrichtingen typerend zijn voor deze DBC. In dit geval de operatie en de verpleegdagen. Op basis van een andere stamtabel (zorgprofielen / behandel-as) wordt bepaald wat de werkelijke behandel-as (=behandeling) is geweest. In ons voorbeeld
14
is de door de specialist ingevulde behandeling (103) gelijk aan de door de validatiesoftware afgeleide behandel-as. Indien de validatiesoftware nu geen verpleegdagen had gevonden maar wel een operatie dan was de afgeleide behandeling 101 geweest: ‘reguliere behandeling poliklinisch’ 3. De definitieve DBC code 18.11.401.103 is nu gereed voor declaratie. Echter voordat de declaratie kan worden opgemaakt wordt de DBC ingedeeld in een DBC productgroep (dit met behulp van de stamtabel DBC / DBC productgroep). Deze stap is ingevoerd omdat er duizenden segment ‘A’ DBC’s zijn waarvoor het ondoenlijk is om hier adequaat prijsbeheer op uit te oefenen. Er is voor gekozen om segment ‘A’ DBC’s die ongeveer gelijk zijn en ongeveer dezelfde prijs hebben, te groeperen in een DBC Productgroep. De productgroepen zijn door het CTG voorzien van een prijs.
5.4
Declaratie De DBC’s kunnen nu worden gedeclareerd. Hiervoor zijn weer stamtabellen noodzakelijk. Namelijk de prijstabellen voor segment ‘A’ en segment ‘B’. Hieraan zijn ook de declaratiecodes gekoppeld. Voor de segment ‘A’ DBC’s zijn er vaste prijzen. Voor de segment ‘B’ DBC’s zijn er prijzen per zorgverzekeraar en een zogenoemd passantentarief. Dit passantentarief (per segment ‘B’) is voor patiënten waarvan de zorgverzekeraar geen contract heeft afgesloten met het betreffende ziekenhuis. Er is een aantal verrichtingen die niet via een DBC mogen worden gedeclareerd. Deze verrichtingen dienen apart als verrichting te worden gedeclareerd. Dit betreft onder andere de onderzoeken die in opdracht van de huisarts worden uitgevoerd (1e lijnsverwijzingen), de klasseverpleging, verkeerde bed dagen en IC-dagen.
NOREA | ZekeREzorg
15
16
6
Basisnormen en omgevingsfactoren Als beroepsorganisatie stelt de NOREA eisen aan de IT-auditor die op grond van zijn beroepskwalificatie een oordeel over een object geeft. Deze zijn omschreven in het Reglement Gedrags- en Beroepsregels Register EDP-auditors (GBRE). Dit bevat bepalingen over de vereiste integriteit, deskundigheid, vertrouwelijkheid, kwaliteit, onpartijdigheid en onafhankelijkheid. Daarnaast zijn enkele aanvullende richtlijnen voor de beroepsuitoefening vastgelegd met betrekking tot opdrachtverwerving en –aanvaarding, dossiervroming en –beheer en rapportage. ■ Het beoordelingskader dat wordt beschreven in deze handreiking is gebaseerd op een proces- en risicoanalyse en volgt daarmee niet helemaal het Raamwerk voor ontwikkeling van normensetelsels en standaarden (NOREA Studierapport 3). Wel is in het hele beoordelingskader de relatie met de door de NOREA onderscheiden kwaliteitsaspecten aangegeven. Het beoordelingskader is gedefinieerd op een zodanig niveau dat sprake is van “behoorlijk IT-gebruik”. Op dat niveau wordt verondersteld dat ook de afdoende maatregelen zijn getroffen inzake: ■ Logische toegangsbeveiliging (uitsluitend door daartoe geautoriseerde specialisten of gemachtigden); ■ Wijzigingsbeheer (ten aanzien van DBC-software en –stamtabellen); ■ Continuïteit (back-up en evt. uitwijk). Voor deze algemene computercontroles gelden algemeen aanvaarde normen. Naast de NOREA-richtlijnen en toetsingnormen hoort de IT-auditor zich op grond van de deskundigheidsvereiste ook rekenschap te geven van (sector-)specifieke beoordelingskaders en wet- of regelgeving. In dat perspectief zijn bij het opstellen van dit beoordelingskader ook de uitgangspunten meegewogen op grond van Nederlandse Norm voor Informatiebeveiliging in de Zorg (NEN 7510).
NOREA | ZekeREzorg
17
18
7
Relatie Bestuursverklaring en de Accountantsverklaring Elk jaar dient het bestuur van een ziekenhuis te verklaren dat de DBC’s die zijn geproduceerd en gedeclareerd juist, volledig en tijdig geregistreerd en verwerkt zijn. Hiertoe is een standaard verklaring opgesteld. Deze verklaring voor het jaar T dient uiterlijk op 15 januari van het jaar T+1 te worden verstrekt. De positieve verklaring luidt als volgt: Wij bevestigen onze verantwoordelijkheid voor het systeem als geheel. Wij hebben ons vergewist van de werking van dit systeem. Op grond daarvan verklaren wij dat – voor zover wij dat redelijkerwijze hebben kunnen constateren- de interne beheersing van ziekenhuis ABC gedurende het gehele kalenderjaar 200X voldaan heeft aan alle relevante eisen van de beleidsregel Kaderregeling Administratieve Organisatie en Interne Controle inzake DBC registratie en facturering. De registraties van de DBC’s en de facturering voldoet derhalve aan alle daaraan redelijkerwijze te stellen eisen. Uitgangspunt is dat de Raad van Bestuur ten behoeve van de te verstrekken bestuursverklaring een deskundige en onafhankelijke rapportage wenst en dient te hebben over het functioneren van de bedrijfsvoering DBC’s. Een verbijzonderde, onafhankelijke interne controlefunctie is hiertoe nodig. Idealiter is de interne controlefunctie direct onder de Raad van Bestuur gepositioneerd als verbijzonderde IC afdeling. Als minimumeisen worden echter gedefinieerd een zelfstandig werkende, rechtsreeks aan accountant en Raad van Bestuur rapporterende functionaris buiten de lijn, met een controleprogramma en vastleggingssystematiek die in nauwe samenwerking met de externe accountant tot stand zijn gekomen. Om te voorkomen dat een ziekenhuis ten onrechte een positieve bestuursverklaring afgeeft, is het noodzakelijk dat de accountant een accountantsverklaring afgeeft bij de bestuursverklaring. De accountantscontrole is gericht op het geven van een oordeel over de bestuursverklaring van de Raad van Bestuur van het ziekenhuis. De rapportage is gericht aan de Raad van Bestuur van het ziekenhuis en afgegeven ten behoeve van het CTG en de (Nederlandse) ziektekostenzorgverzekeraars. De accountant dient zijn controle zodanig in te richten dat een redelijke mate van zekerheid bereikt wordt. Voor de controletolerantie dient aangesloten te worden bij hetgeen hierover is voorgeschreven in het controleprotocol rechtmatigheidonderzoek ziekenfonds 2004 van het CVZ. Dit betekent dat de Administratieve Organisatie en Interne Controle waarover de Raad van Bestuur in de bestuursverklaring verantwoording aflegt en die een correcte declaratiestroom moet waarborgen, moet zijn ingericht en met een zodanig zekerheidsniveau moet zijn gecontroleerd, dat met 95% betrouwbaarheid gesteld moet kunnen worden dat niet meer dan 1% van het totale jaarlijkse factuurbedrag onjuist gefactureerd is.
NOREA | ZekeREzorg
19
20
8
Kwaliteitsaspecten Op grond van de Kaderregeling AO/IC wordt een juiste, volledige en tijdige vastlegging en facturering vereist. Dit kwaliteitsaspect wordt door IT-auditors ook wel aangeduid als betrouwbaarheid of integriteit. Daarnaast worden in het beoordelingskader eisen gesteld aan de exclusiviteit en controleerbaarheid. Hieronder zijn deze drie kwaliteitsaspecten kort beschreven: ■ Integriteit: de mate waarin het object (gegevens en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid. ■ Exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van de IT-processen; ■ Controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd1.
1
Definities kwaliteitsaspecten ontleend aan IT-auditing aangeduid (NOREA-geschrift 1)
NOREA | ZekeREzorg
21
22
9
Het beoordelingskader Door de kennisgroep zijn op systematische wijze aan de hand van de DBC-deelprocessen de risico’s geïnventariseerd en gerelateerd aan de kwaliteitsaspecten. In het beoordelingskader worden de feitelijke normen uitgewerkt in termen van beheersmaatregelen. Deze maatregelen worden gekoppeld aan de benoemde kwaliteitsaspecten. Daarbij wordt nog aangeduid of de betreffende beheersmaatregel automatisch (d.w.z. als onderdeel van de applicatie) dan wel handmatig wordt uitgevoerd. Ten aanzien van het gebruik van het beoordelingskader als toetsingskader geldt als uitgangspunt dat gemotiveerde afwijkingen zijn toegestaan
NOREA | ZekeREzorg
23
Beoordelingskader ID
DBC Deelproces
100
Registreren Patientgegevens Norm: Patiëntgegevens (NAW- en verzekeringsgegevens) dienen juist, volledig en tijdig te worden geregistreerd
24
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
Patiëntgegevens (NAWVolledigheid en verzekeringsgegevens) worden onvolledig of niet geregistreerd
101
Voor Patiëntgegevens (NAW- en verzekeringsgegevens) dienen verplichte velden te worden gedefinieerd in de inrichting van de applicatie
Geautomatiseerd
Inrichting
Volledigheid
102
De applicatie bevat een signaleringslijst voor de controle van onvolledige patiëntgegevens (NAW- en verzekeringsgegevens)
Geautomatiseerd
Rapportage
Volledigheid
103
De zorgaanbieder beschikt over een procedure betreffende periodieke analyse van de signaleringslijst "Onvolledige patientgegevens" en verricht de periodieke analyse conform de procedure
Organisatorisch
Procedure
Volledigheid Patiëntgegevens (NAWen verzekeringsgegevens) worden dubbel geregistreerd
104
De applicatie bevat invoercontroles op de invoer van dubbele patiëntgegevens (NAWen verzekeringsgegevens)
Geautomatiseerd
Inrichting
Volledigheid
105
De applicatie bevat een signaleringslijst voor de controle van dubbel ingevoerde patiëntgegevens (NAW- en verzekeringsgegevens)
Geautomatiseerd
Rapportage
Volledigheid
106
De applicatie bevat een koppelfunctionaliteit om dubbel ingevoerde patiëntgegevens te ontdubbelen
Geautomatiseerd
Inrichting
Volledigheid
107
De zorgaanbieder beschikt over een procedure betreffende periodieke analyse van de signaleringslijst "Dubbel ingevoerde patientgegevens" en verricht de periodieke analyse conform de procedure
Organisatorisch
Procedure
ID
DBC Deelproces
Risico
NOREA | ZekeREzorg
Kwaliteitsaspect
Type maatregel
Inrichting Rapportage Autorisatie Procedure
Nr.
Beheersmaatregel
Patiëntgegevens (NAWJuistheid en verzekeringsgegevens) worden onjuist geregistreerd
108
De applicatie bevat functionaliteit Geautomatiseerd waarmee verificatie van verzekeringsgevens (geen facturering zonder positief resultaat) kan worden uitgevoerd. Deze verificatie kan op meerdere momenten worden uitgevoerd en met terugwerkende kracht (in geval van wijziging van zorgverzekeraar tijdens het moment van registratie)
Inrichting
Juistheid
109
De applicatie voert validatie uit van de NAW-gegevens aan de hand van een postcodetabel
Geautomatiseerd
Inrichting
Tijdigheid Patiëntgegevens (NAWen verzekeringsgegevens) worden niet tijdig geregistreerd
110
Voor uitzonderingen dient het mogelijk te zijn dat voorlopige registratie van Patiëntgegevens (NAW- en verzekeringsgegevens) plaatsvindt (onvolledig)
Geautomatiseerd
Inrichting
Tijdigheid
111
De applicatie bevat een signaleringslijst van voorlopige registraties
Geautomatiseerd
Rapportage
Tijdigheid
112
De zorgaanbieder beschikt over een procedure inzake periodieke analyse signaleringslijst "voorlopige registraties" en verricht de periodieke analyse conform de procedure
Organisatorisch
Procedure
De exclusiviteit van mutaties op patientgegevens is niet gewaarborgd
Exclusiviteit
113
De applicatie voorziet in functionaliteit voor het afschermen van patientgegevens tegen onbevoegd inzien en muteren
Geautomatiseerd
Autorisatie
De exclusiviteit van mutaties op patientgegevens is niet controleerbaar
Controleerbaarheid
114
De applicatie voorziet in functionaliteit opdat mutaties in patientgegevens met gebruikersnaam, datum tijdstip en oude en nieuwe waarde worden vastgelegd in een audit trail
Geautomatiseerd
Inrichting
25
ID
200
DBC Deelproces
Inrichting Rapportage Autorisatie Procedure
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
De patiënt is niet degene voor wie hij/zij zich uitgeeft
Exclusiviteit
115
Authenticatie van de patiënt aan de hand van rijbewijs of paspoort (Burger Service Nummer (BSN)).
Organisatorisch
Procedure
Openen DBC Norm: Het openen van DBC’s dient juist, volledig, tijdig, controleerbaar en geautoriseerd plaats te vinden
DBC wordt niet of niet tijdig geopend
Tijdigheid
201
"Bij de invoer van een verrichting controleert de applicatie op de aanwezigheid van een open DBC voor de patient. De applicatie opent automatisch een DBC indien de verrichting niet tot de volgende categoriën behoort: - eerstelijns verrichtingen; - derde geldstroomverrichtingen; - ondersteunende producten; - verrichtingen waarvoor geen DBC behoeft te worden aangemaakt. "
Geautomatiseerd
Inrichting
DBC wordt toegekend aan de verkeerde patient
Juistheid
202
De applicatie dient te voorzien in functionaliteit betreffende het extra bevestigen van de relatie patient en DBC op scherm.
Geautomatiseerd
Inrichting
Juistheid
203
De applicatie voorziet in een controle op invoer van secr. ondersteuning middels autorisatie door specialist bij openen DBC (vier ogenprincipe)
Geautomatiseerd
Autorisatie
Juistheid
204
De applicatie voorziet in functionaliteit voor de registratie van de begindatum van DBC's waarbij begindatum = datum van vandaag. In een nachtelijke batch dient een controle te worden uitgevoerd op records waarbij openingsdatum DBC afwijkt van
Geautomatiseerd
Inrichting
DBC begindatum wordt onjuist geregistreerd
26
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
de datum eerste verrichting. Bij afwijking wordt de openingsdatum gelijk gesteld aan de datum eerste verrichting Juistheid
205
De applicatie bevat een signaleringslijst van DBC's waarbij begindatum ongelijk is aan datum eerste verrichting
Geautomatiseerd
Rapportage
Juistheid
206
De zorgaanbieder beschikt over een procedure voor het periodieke analyseren van de signaleringslijst "DBC's met afwijkende begindatum" en verricht de periodieke analyse conform de procedure
Organisatorisch
Procedure
DBC wordt dubbel geopend
Volledigheid
207
De applicatie dient te voorzien in functionaliteit betreffende visuele controle van openstaande DBC's op scherm en het extra bevestigen van gegevens bij het aanmaken van een nieuwe DBC
Geautomatiseerd
Inrichting
DBC-gegevens worden ongeautoriseerd geregistreerd
Exclusiviteit
208
De applicatie dient te voorzien in functionaliteit voor het afschermen van de invoer van DBC-gegevens
Geautomatiseerd
Autorisatie
209
Geautomatiseerd De applicatie voorziet in functionaliteit waarbij een eenmaal geopende DBC slechts door de betreffende specialist (of andere daartoe geautoriseerde medewerker) kan worden bewerkt
Autorisatie
210
De applicatie voorziet in een signaleringslijst van DBC's waarvan het zorgprofiel afwijkt van het gemiddelde zorgprofiel van die DBC.
Ten onrechte wordt geen parallelle DBC geopend.
NOREA | ZekeREzorg
Juistheid
27
ID
DBC Deelproces
28
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
211
De zorgaanbieder beschikt over een procedure voor het periodiek analyseren van de signaleringslijst betreffende DBC's waarvan het zorgprofiel afwijkt van het gemiddelde zorgprofiel en voert deze conform de procedure uit
Type maatregel
Inrichting Rapportage Autorisatie Procedure
DBC's worden geopend voor een specialisme waarvoor de zorgaanbieder geen vergunning heeft.
Exclusiviteit
212
De applicaties dient te voorzien in Geautomatiseerd functionaliteit waarbij alleen DBC's kunnen worden geopend voor specialismen waarvoor de zorgaanbieder een vergunning heeft.
DBC's worden geopend zonder dat een machtiging is verkregen.
Juistheid, Volledigheid
213
De applicatie dient te voorzien in een signaleringslijst van DBC's die zonder vereiste machtiging zijn geopend. Hierin dient specificatie van rode en oranje DBC's te zijn opgenomen.
Juistheid, Volledigheid
214
Organisatorisch De zorgaanbieder beschikt over een procedure voor het periodiek analyseren van de signaleringslijst die zonder vereiste machtiging zijn geopend en voert deze conform de procedure uit.
DBC wordt onterecht geopend
Juistheid
215
De applicatie dient te voorzien in functionaliteit betreffende visuele controle van DBC-gegevens op het scherm en het extra bevestigen van gegevens bij het aanmaken van een nieuwe DBC
Geautomatiseerd
Inrichting
DBC wordt onterecht als vervolg-DBC getypeerd
Juistheid
216
Geautomatiseerd De applicatie voorziet in het automatisch aanmaken van Vervolg-DBC's (alleen door het systeem) op basis van het bereiken van een grenswaarde voor daartoe aangewezen DBC's (30 dagen of 365 dagen) en de
Inrichting
Geautomatiseerd
Inrichting
Rapportage
Procedure
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
aanwezigheid van verrichtingen. Bij het openen van de vervolg-DBC wordt automatisch de voorafgaande DBC afgesloten. Verder is de openingsdatum van de vervolg-DBC gelijk aan de sluitingsdatum + 1 dag DBC van het type "Spoedeisende Zorg" wordt niet geopend
Per klinische periode worden meerdere ICCDBC's geopend per specialisme
NOREA | ZekeREzorg
Volledigheid
217
De applicatie voorziet in de functionaliteit voorlopige registraties voor uitzonderingen mogelijk te maken
Geautomatiseerd
Inrichting
Volledigheid
218
Bij de invoer van een verrichting op de afdeling SEH opent de applicatie automatisch een DBC met het zorgtype "Spoedeisende zorg".
Geautomatiseerd
Inrichting
Volledigheid
219
Geautomatiseerd De applicatie voorziet in een signaleringslijst van spoedeisende consulten en de aanwezigheid van DBC's van het type "Spoedeisende zorg"
Volledigheid
220
De zorgaanbieder beschikt over een procedure voor de periodieke analyse van de signaleringslijst "Spoedeisende hulp-DBC's" en voert de periodieke analyse conform de procedure uit
Organisatorisch
Procedure
Volledigheid
221
Indien een ICC-DBC wordt geopend, controleert de applicatie of in de betreffende klinische periode dan wel in de poliklinische periode daaraan voorafgaand al een eerdere ICCDBC aanwezig is. Zo ja dan dient de opening van de ICC-DBC te worden geblokkeerd.
Geautomatiseerd
Inrichting
Rapportage
29
ID
300
DBC Deelproces
Inrichting Rapportage Autorisatie Procedure
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Ten onrechte wordt een DBC met het zorgtype exacerbatie / recidief aangemaakt
Juistheid
222
De applicatie voorziet in de functionaliteit dat een dergelijke DBC alleen wordt geopend na het sluiten van een vervolg-DBC
Geautomatiseerd
Inrichting
Extra zorgvraag wordt niet onderkend (registratie vindt plaats op de openstaande DBC)
Volledigheid
223
De zorgaanbieder beschikt over een procedure voor het periodiek analyseren van de signaleringslijst betreffende DBC's waarvan het zorgprofiel afwijkt van het gemiddelde zorgprofiel en voert deze conform de procedure uit
Geautomatiseerd
Inrichting
Volledigheid
224
De zorgaanbieder beschikt over een procedure voor het periodiek analyseren van de signaleringslijst betreffende DBC's waarvan het zorgprofiel afwijkt van het gemiddelde zorgprofiel en voert deze conform de procedure uit
Organisatorisch
Procedure
De exclusiviteit van de mutaties op DBCgegevens is niet gewaarborgd
Exclusiviteit
225
De applicatie voorziet in functionaliteit voor het afschermen van DBC-gegevens tegen onbevoegd inzien en muteren
Geautomatiseerd
Autorisatie
De exclusiviteit van de mutaties op DBCgegevens is niet controleerbaar
Controleerbaarheid
226
De applicatie voorziet in functionaliteit opdat mutaties in DBC-gegevens met gebruikersnaam, datum tijdstip en oude en nieuwe waarde worden vastgelegd in een audit trail
Geautomatiseerd
Inrichting
Geautomatiseerd
Inrichting
Registreren Verrichtingen Norm: Verrichting gegevens dienen, volledig, tijdig, controleerbaar en geautoriseerd te worden geregistreerd Verrichtinggegevens zijn onvolledig
30
Volledigheid
301
Voor het vastleggen van verrichtinggegevens dienen verplichte velden te worden gedefinieerd in de inrichting van de applicatie
ID
DBC Deelproces
Inrichting Rapportage Autorisatie Procedure
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Verrichtinggegevens zijn onjuist
Juistheid
302
De applicatie voorziet in de functionaliteit verrichtingen en DBC-soorten middels verbandscontrole aan elkaar te relateren
Geautomatiseerd
Inrichting
303
De applicatie dient te voorzien in functionaliteit betreffende visuele controle van verrichtinggegevens op het scherm en het extra bevestigen van deze gegevens
Geautomatiseerd
Inrichting
304
De applicatie voorziet in functionaliteit voor het controleren van ingevoerde gegevens door secr. ondersteuning middels autorisatie door specialist (vier ogenprincipe)
Geautomatiseerd
Autorisatie
Juistheid
305
Geautomatiseerd Interfaces met bronsystemen dienen een geautomatiseerde controlemechanisme te bevatten dat vaststelt of aangeboden verrichtingen voldoen aan de eisen van de applicatie. Eventuele tekortkomingen dienen in een signaleringslijst te worden gepresenteerd.
Inrichting
Volledigheid
306
De Interface met bronsystemen geven door middel van een checksum controle inzicht in de volledigheid van het gegevenstransport.
Geautomatiseerd
Inrichting
Juistheid/ Volledigheid
307
De zorgaanbieder beschikt over een procedure voor het periodiek analyseren van signaleringslijsten betreffende de werking van interfaces en voert deze conform de procedure uit
Organisatorisch
Procedure
Tijdigheid
308
De applicatie voorziet in datuminvoercontroles aangevuld
Geautomatiseerd
Inrichting
Interfaces voor verrichtingen afkomstig uit bronsystemen zijn onbetrouwbaar
Verrichtingendatum onjuist
NOREA | ZekeREzorg
31
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
met plausibiliteitscontroles. De verrichtingendatum mag niet voor de openingsdatum van de DBC liggen.
32
Verrichtingen worden ten onrechte meer dan één keer geregistreerd
Juistheid
309
De applicatie dient te voorzien in functionaliteit betreffende visuele controle van verrichtinggegevens op het scherm en het extra bevestigen van deze gegevens
Geautomatiseerd
Inrichting
De registratie van verrichtingen vindt niet tijdig plaats
Tijdigheid
310
Geautomatiseerd De applicatie voorziet in een relatie tussen de afsprakenagenda en de registratie van verrichtingen. Middels een signaleringslijst dienen afwijkingen inzichtelijk te worden gemaakt.
Rapportage
Tijdigheid
311
De applicatie voorziet in een signaleringslijst van het aantal verschildagen tussen verrichtingdatum en invoerdatum (systeemdatum) per verrichting.
Geautomatiseerd
Rapportage
Tijdigheid
312
De zorgaanbieder beschikt over een procedure voor periodieke analyse van afwijkingen tussen afsprakenagenda en de registratie van verrichtingen en voert de periodieke analyse conform de procedure uit
Organisatorisch
Procedure
De exclusiviteit van de mutaties op verrichtingengegevens is niet gewaarborgd
Exclusiviteit
313
De applicatie voorziet in functionaliteit voor het afschermen van verrichtinggegevens tegen onbevoegd inzien en muteren
Geautomatiseerd
Autorisatie
De exclusiviteit van de mutaties op verrichtingengegevens is niet controleerbaar
Controleerbaarheid
314
De applicatie voorziet in functionaliteit opdat mutaties in verrichtinggegevens met gebruikersnaam, datum tijdstip en oude en nieuwe waarde worden vastgelegd in een audit trail
Geautomatiseerd
Inrichting
ID
DBC Deelproces
Risico
400
Typeren DBC’s Norm: DBC’s dienen juist, volledig, tijdig, controleerbaar en geautoriseerd te worden getypeerd DBC wordt onjuist getypeerd
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
Juistheid
401
De applicatie voorziet in Geautomatiseerd functionaliteit waarbij verrichtingen en DBC-soorten middels verbandscontrole aan elkaar zijn gerelateerd
Inrichting
Juistheid
402
De applicatie dient te voorzien in functionaliteit betreffende visuele controle van DBC-typeringen op het scherm en het extra bevestigen van deze gegevens
Geautomatiseerd
Inrichting
DBC's worden getypeerd waarvoor de zorgaanbieder geen vergunning heeft.
Exclusiviteit
403
Geautomatiseerd De applicatie dient te voorzien in functionaliteit waarbij alleen DBC's kunnen worden geopend waarvoor de zorgaanbieder een vergunning heeft.
Inrichting
DBC-gegevens worden onvolledig getypeerd (Zorgvraagcode, Diagnosecode)
Volledigheid
404
Geautomatiseerd De applicatie voorziet in functionaliteit voor het verplicht stellen van invoervelden voor DBCtyperingen
Inrichting
DBC wordt onzinnig getypeerd
Juistheid
405
De applicatie voorziet in functionaliteit om Verrichtingen en DBC-soorten middels verbandscontrole aan elkaar te relateren.
Geautomatiseerd
Inrichting
Bij een vroegtijdige stopzetting van het zorgtraject wordt de DBC-typering niet aangepast of wordt de DBC niet of niet tijdig gesloten.
Juistheid Tijdigheid
406
De applicatie voorziet in een rapportage met o.a. overleden patienten en bewaakt actief het typeren en het sluiten van dergelijke DBC's.
Geautomatiseerd
Rapportage
Juistheid Tijdigheid
407
De zorgaanbieder beschikt over een procedure voor de analyse van de rapportage en voert deze conform de procedure uit
Organisatorisch
Procedure
NOREA | ZekeREzorg
33
ID
DBC Deelproces
Kwaliteitsaspect
Nr.
Beheersmaatregel
De exclusiviteit van de mutaties op DBCtyperingen is niet gewaarborgd
Exclusiviteit Controleerbaarheid
408
De applciatie voorziet in Geautomatiseerd functionaliteit voor het aanbrengen van functiescheiding bij het muteren van DBC-typeringen
Autorisatie
409
De applicatie voorziet in functionaliteit waarbij mutaties in DBC-typeringen met gebruikersnaam, datum tijdstip en oude en nieuwe waarde worden gelogd in een audit trail
Geautomatiseerd
Inrichting
De exclusiviteit van de mutaties op DBCtyperingen is niet controleerbaar
500
Type maatregel
Inrichting Rapportage Autorisatie Procedure
Risico
Onderhanden werk Norm: Onderhanden werk dient juist, volledig en tijdig te worden bepaald
34
Onderhanden werk is onvolledig, DBC's ontbreken
Volledigheid
501
Geautomatiseerd De applicatie voorziet in functionaliteit waarmee een omspannende controle kan worden ingericht aan de hand waarvan kan worden vastgesteld dat: 1) Aantal DBC's input validatie = Aantal DBC's output validatie 2) Aantal DBC's output validatie = Aantal DBC's input declaratie 2) Aantal DBC's input declaratie = Aantal DBC's output declaratie
Inrichting
Berekeningswijze is onjuist
Juistheid
502
De applicatie voorziet in functionaliteit voor de bepaling van onderhanden werk conform landelijke vereisten.
Geautomatiseerd
Inrichting
Volgorde van verwerkingsactiviteiten is onjuist (eerst declareren dan onderhanden werk)
Juistheid
503
De applicatie voorziet in functionaliteit voor de bepaling van onderhanden werk conform landelijke vereisten.
Geautomatiseerd
Inrichting
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Nr.
600
Sluiten DBC Norm: DBC's dienen juist, volledig, tijdig en geautoriseerd te worden gesloten
Beheersmaatregel
Type maatregel
Geautomatiseerd
Inrichting Rapportage Autorisatie Procedure
DBC wordt te vroeg afgesloten met als gevolg dat essentiele verrichtingen ontbreken
Tijdigheid
601
De applicatie voorziet in een realtime 'pre-validatie', die tijdens het afsluiten van de DBC waarschuwt indien essentiele verrichtingen ontbreken.
DBC wordt niet of niet tijdig afgesloten
Tijdigheid
602
Geautomatiseerd De applicatie voorziet in een rapportage over de gemiddelde doorlooptijd per DBC met inzicht in de afwijking van de normdoorlooptijd voor betreffende DBC.
Rapportage
603
Geautomatiseerd De applicatie voorziet in een rapportage over DBC's (zorgtype regulier) waarvoor voor meer dan één maand geen verrichtingen zijn geboekt, waarvoor voor de komende drie maanden geen medische activiteit is gepland.
Rapportage
604
De applicatie voorziet in een automatische sluitingsfunctionaliteit na 365 dagen.
Geautomatiseerd
Inrichting
605
De applicatie voorziet in een rapportage, die inzicht geeft in alle DBC's die automatisch zijn afgesloten.
Geautomatiseerd
Rapportage
606
Geautomatiseerd De applicatie voorziet in functionaliteit voor het automatisch sluiten en openen van chronische DBC's op basis van de typering na 30 dagen.
Inrichting
607
Geautomatiseerd De applicatie voorziet in de volgende plausibiliteitscontroles met waarschuwing ter voorkoming van: 1) datum in de toekomst 2) datum meer dan 7 dagen in verleden
Inrichting
DBC staat langer open dan 365 dagen
Tijdigheid
Vooraf vastgestelde chronische DBC staat langer dan 30 dagen open
Einddatum van de DBC wordt onjuist geregistreerd
NOREA | ZekeREzorg
Juistheid
Inrichting
35
ID
700
DBC Deelproces
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Spoedeisende hulp-DBC wordt niet op dezelfde dag gesloten
Tijdigheid
608
De applicatie voorziet in functionaliteit die SEH DBC's dezelfde dag automatisch sluit.
Geautomatiseerd
Inrichting
DBC wordt onrechtmatig heropend
Exclusiviteit
609
De applicatie voorziet in een rapportage met heropende DBC's.
Geautomatiseerd
Inrichting
Autoriseren DBC's Norm: DBC's dienen juist, volledig, tijdig, controleerbaar en geautoriseerd te worden geautoriseerd Onrechtmatige autorisatie Exclusiviteit van DBC's
800
Inrichting Rapportage Autorisatie Procedure
Risico
701
De applicatie voorziet in Geautomatiseerd functionaliteit waardoor een eenmaal geopende DBC slechts onder verantwoordelijkheid door de betreffende specialist (of andere daartoe geautoriseerde medewerker) kan worden bewerkt.
Autorisatie
Koppelen verrichtingen aan DBC's Norm: Verrichtingen dienen juist, volledig, tijdig, controleerbaar en geautoriseerd te worden gekoppeld
36
Verrichtingen in het verrichtingenbestand worden onjuist aan DBC's gekoppeld
Juistheid
801
De applicatie voorziet in een koppelalgoritme wat voldoet aan de landelijke eisen.
Geautomatiseerd
Inrichting
Verrichtingen in het verrichtingenbestand worden onvolledig aan DBC's gekoppeld
Volledigheid
802
De applicatie voorziet in een koppelalgoritme wat voldoet aan de landelijke eisen.
Geautomatiseerd
Inrichting
Juistheid Verrichtingen in het verrichtingenbestand worden onterecht aan een DBC gekoppeld (verkeerde parallelle DBC)
803
De applicatie voorziet in functionaliteit aan de hand waarvan verrichtingen kunnen worden 'omgehangen' naar een andere DBC.
Geautomatiseerd
Inrichting
Exclusiviteit Verrichtingen in het verrichtingenbestand worden onrechtmatig aan een DBC gekoppeld
804
De applicatie voorziet in een rapportage betreffende 'omgehangen' verrichtingen.
Geautomatiseerd
Rapportage
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Exclusiviteit
805
De zorgaanbieder voorziet in een Organisatorisch periodieke analyse van het rapport met 'omgehangen' verrichtingen.
Inrichting Rapportage Autorisatie Procedure
(verkeerde parallelle DBC)
900
1000
Procedure
Valideren DBC's Norm: DBC's dienen juist, volledig, tijdig, controleerbaar en geautoriseerd te worden gevalideerd Onterechte goed- of afkeuring DBC
Juistheid
901
Validatiefunctionaliteit dient te voldoen aan de landelijke specificaties voor de validatiemodule.
Geautomatiseerd
Inrichting
Onrechtmatig aanpassen (al dan niet automatisch) van de DBC-typering
Exclusiviteit
902
DBC's kunnen in het validatieproces niet automatisch of handmatig worden aangepast en/of aangemaakt.
Geautomatiseerd
Inrichting
Overvolledig genereren van DBC’s o.b.v. essentiële verrichtingen
Volledigheid
903
DBC's kunnen in het validatieproces niet automatisch of handmatig worden aangepast en/of aangemaakt.
Geautomatiseerd
Inrichting
Corrigeren uitval (na validatie) Norm: Uitval dient tijdig, controleerbaar en geautoriseerd te worden gecorrigeerd
Correcties worden te laat of geheel niet uitgevoerd
Tijdigheid
1001
Geautomatiseerd De applicatie voorziet in functionaliteit voor de registratie van de uitvaldatum van de DBC en genereert een rapportage ten behoeve van een afloopcontrole.
Rapportage
De rechtmatigheid van correcties is niet gewaarborgd
Exclusiviteit
1002
Geautomatiseerd De applicatie voorziet in functionaliteit waardoor een eenmaal geopende DBC slechts door de betreffende specialist (of andere daartoe geautoriseerde medewerker) kan worden bewerkt.
Autorisatie
NOREA | ZekeREzorg
37
ID
1100
DBC Deelproces
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
De rechtmatigheid van correcties is niet controleerbaar
Controleerbaarheid
1003
De applicatie voorziet in Geautomatiseerd functionaliteit waarmee alle bewerkingen van een DBC worden vastgelegd in een logbestand met de volgende gegevens: 1) Gebruikersnaam 2) Datum en tijdstip 3) Oude waarde en nieuwe waarde
Inrichting Rapportage Autorisatie Procedure
Inrichting
Bepalen of DBC declarabel is Norm: Uitval dient juist, volledig, tijdig, controleerbaar en geautoriseerd te worden gecorrigeerd
Het kan zijn dat de patientgegevens niet actueel zijn waardoor de DBC niet declareerbaar of onterecht declareer is.
1200
Type maatregel
Juistheid
1101
Geautomatiseerd De applicatie voorziet in functionaliteit waarmee patientgegevens (NAW- en verzekeringsgegevens) op juistheid en volledigheid kunnen worden gecontroleerd
Inrichting
Verwerken van declaraties Norm: Declaratie dient juist, volledig, tijdig, controleerbaar en geautoriseerd plaats te vinden Declaratieverwerking vindt niet tijdig plaats
Tijdigheid
1201
De applicatie voorziet in een rapportage betreffende gevalideerde en nog niet gedeclareerde DBC's, ouder dan een nader te bepalen periode.
Geautomatiseerd
Rapportage
Tijdigheid
1202
De applicatie voorziet in functionaliteit voor job-scheduling voor de factuurrun.
Geautomatiseerd
Inrichting
1203
De applicatie voorziet in declaratiefunctionaliteit welke voldoet aan de landelijke specificaties voor de declaratie.
Geautomatiseerd
Inrichting
1204
De applicatie voorziet in een omspannende controle aan de hand waarvan kan worden
Geautomatiseerd
Inrichting
Juistheid Declaratieverwerking vindt onjuist of onvolledig plaats (gehanteerde tarieven) Volledigheid
38
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
vastgesteld dat: 1) Aantal DBC's Aantal DBC's 2) Aantal DBC's Aantal DBC's 2) Aantal DBC's Aantal DBC's
Declaratieverwerking vindt onrechtmatig plaats
1300
Exclusiviteit
1205
Exclusiviteit
1206
Exclusiviteit
1207
Declaratieverwerking vindt Controleeroncontroleerbaar plaats baarheid
1208
Type maatregel
Inrichting Rapportage Autorisatie Procedure
input validatie = output validatie output validatie = input declaratie input declaratie = output declaratie
De applicatie voorziet dat slechts gevalideerde DBC's voor factuurstroom 1 kunnen worden gefactureerd. De applicatie voorziet in autorisatie op het draaien van de factuurrun. De applicatie voorziet in functionaliteit die het onmogelijk maakt om aanpassingen te verrichten in DBC codes en/of tarieven.
Geautomatiseerd
Inrichting
Geautomatiseerd
Autorisatie
Geautomatiseerd
Inrichting
Geautomatiseerd De applicatie voorziet in functionaliteit betreffende het genereren van een jobverslag voor de factuurrun, waarop alle niet te declareren DBC's met reden en alle gedeclareerde DBC's staan vermeld.
Rapportage
Declareren bij zorgverzekeraar Norm: Declaratie dient juist, volledig, tijdig, controleerbaar en geautoriseerd plaats te vinden Declaraties worden onvolledig doorgestuurd aan zorgverzekeraars
NOREA | ZekeREzorg
Volledigheid
1301
De applicatie voorziet in functionaliteit in de vorm van checksums waarmee de volledigheid van de elektronische gegevensuitwisseling met de zorgverzekeraar kan worden beoordeeld
Geautomatiseerd
Inrichting
39
ID
1400
1500
DBC Deelproces
Inrichting Rapportage Autorisatie Procedure
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Declaraties voldoen niet aan landelijke declaratiestandaard
Juistheid
1302
De applicatie voorziet in functionaliteit voor de verzending van declaraties waarbij controle plaatsvindt op het voldoen aan de dan geldende standaard.
Geautomatiseerd
Inrichting
Declareren bij patiënt Norm: Declaratie dient juist, volledig, tijdig, controleerbaar en geautoriseerd plaats te vinden
Declaraties worden onvolledig verzonden
Volledigheid
1401
De applicatie voorziet in functionaliteit waarmee inzicht kan worden verkregen over de volledigheid van het uitdraaien van de facturen.
Geautomatiseerd
Inrichting
Declaraties dienen te voldoen aan de landelijke standaard
Juistheid
1402
De applicatie voor het declareren voldoet aan de landelijke standaard
Geautomatiseerd
Inrichting
Factuur op papier voldoet Juistheid niet aan de landelijke standaard
1403
De applicatie voorziet in de functionaliteit om een factuur volgens de landelijke standaard te genereren
Geautomatiseerd
Inrichting
Aanleveren DIS-bestanden Norm: Het aanleveren van DIS-bestanden dient juist, volledig plaats te vinden
40
DBC-datasets worden onvolledig doorgestuurd aan DIS
Volledigheid
1501
De applicatie voor verzending van DIS-gegevens voorziet in checksums ter controle van de volledigheid van de verzending
Geautomatiseerd
Inrichting
DBC-datasets voldoen niet aan DIS-standaard
Juistheid
1502
De applicatie voor verzending van DIS-gegevens voorziet in een controle op het voldoen aan de dan geldende standaard
Geautomatiseerd
Inrichting
ID
DBC Deelproces
1600
Verrichten versturen naar verwijzende instanties Norm: Het aanleveren van DIS-bestanden dient juist, volledig plaats te vinden
1700
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
DBC-berichten worden onvolledig doorgestuurd aan verwijzende instanties
Volledigheid
1601
De applicatie voor verzending van Geautomatiseerd gegevens aan verwijzende instanties voorziet in checksums ter controle van de volledigheid van de verzending
Inrichting
DBC-berichten voldoen niet aan standaard van verwijzende instanties
Juistheid
1602
De applicatie voor verzending van gegevens aan verwijzende instanties voorziet in een controle op het voldoen aan de dan geldende standaard
Geautomatiseerd
Inrichting
Beheren stangegevens Norm: Het aanleveren van DIS-bestanden dient juist, volledig plaats te vinden
Stamtabellen waaronder: - Electronische typeringslijsten - Relatietabel DBC-diagnosecode en ICD-9 DE - Afhankelijkhedentabel - DBC Componenten frequentie - DBC-codering - DBC productgroepen - Validatietabellen - Declaratietabellen - Vektis tabellen - AGB Standaard - Verwijzende instanties - Kleuren DBC's"
Stamtabellen zijn niet actueel
NOREA | ZekeREzorg
Tijdigheid
1701
De applicatie voorziet in functionaliteit waardoor stamtabellen een geldigheidstermijn bevatten
Geautomatiseerd
Inrichting
Tijdigheid
1702
De applicatie voorziet in functionaliteit welke het gebruik van de juiste stamgegevens waarborgt
Geautomatiseerd
Inrichting
Juistheid
1703
De zorgaanbieder beschikt over een beheersprocedure voor het onderhoud van stamgegevens,
Organisatorisch
Procedure
41
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
waarin taken en verantwoordelijkheden zijn uitgewerkt.
42
Stamtabellen zijn onvolledig
Volledigheid
1704
De zorgaanbieder beschikt over een beheersprocedure voor het onderhoud van de stamgegevens, waarin taken en verantwoordelijkheden zijn uitgewerkt.
Organisatorisch
Procedure
Stamtabellen zijn onjuist
Juistheid
1705
De zorgaanbieder beschikt over een beheersprocedure voor het onderhoud van de stamgegevens, waarin taken en verantwoordelijkheden zijn uitgewerkt.
Organisatorisch
Procedure
Mutaties in stamgegevens Exclusiviteit zijn onrechtmatig
1706
De applicatie voorziet in autorisatiefunctionaliteit voor het aanmaken, muteren, verwijderen en weergeven van stamgegevens
Geautomatiseerd
Autorisatie
Mutaties in stamgegevens Controleerbaarheid zijn niet controleerbaar
1707
De applicatie voorziet in functionaliteit waarmee mutaties in stamgegevens worden vastgelegd in een logbestand met de volgende gegevens: 1) Gebruikersnaam 2) Datum en tijdstip 3) Oude waarde en nieuwe waarde
Geautomatiseerd
Inrichting
NOREA | ZekeREzorg
43
Competentiematrix Medisch specialist
100 110 120 130 140 150 160 170 200 210 220 230 300 310 320 330 340 350 500 510
44
Registratie Registratie Patientgegevens Openen DBC Registreren verrichtingen Typeren DBC’s Inzichtelijk maken onderhanden werk Sluiten DBC Autoriseren DBC Koppeling en controle Koppelen verrichten aan DBC’s Valideren betrouwbaarheid DBC’s Corrigeren uitval validatiestap Declaratie Draaien declaratieverwerking Declareren bij zorgverzekeraar Declareren bij patient Aanleveren DIS-bestanden Berichten versturen naar verwijzende instantie Beheer stamgegevens Stamtabellen: - Electronische typeringslijsten - Relatietabel DBC-diagnosecode en ICD-9 DE - Afhankelijkhedentabel - DBC Componenten frequentie - DBC-codering - DBC productgroepen - Validatietabellen - Declaratietabellen
Buro opname / afsprakenburo
Secr. Ondersteuning
U V V V
U U U
V V/U
U
V V
U
Verpleegkunde
Medisch codeur
Med. Facturering
Contoller / HEAD
IC-medewerker
V
C C C C C C C
U U U
V
C C C
U
U U U U U
V V V V V
C C C C C
C
V
U = uitvoerend
NOREA | ZekeREzorg
Applicatiebeheerder
V = verantwoordelijk
U
C = controlerend
45
46
10
Bron- en literatuurverwijzingen ■ Kaderregeling Administratieve Organisatie en Interne Controle (AO/IC) inzake DBC registratie en facturering en Beleidsregel I-747 CTG; zie www.ctg-zaio.nl ■ Validatiemodule en –tabellen DBC-onderhoud; zie www.dbconderhoud.nl/documentatie/index; ■ NEN 7510, Norm Informatiebeveiliging in de Zorg, zie www.nen7510.org ■ NOREA Studierapport nr. 3. Raamwerk voor de ontwikkeling van normenstelsels en standaarden, 2002, zie www.norea.nl ■ IT-auditing aangeduid, NOREA-geschrift nr. 1/1998 ■ “Voldoet uw ZIS aan de richtlijnen”, Certificering van een informatiesysteem in ICT-zorg nr. 3 mei/juni 2005
NOREA | ZekeREzorg
47
48
