Upload File

rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ict in de...

  • Home
  • Documents
  • Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de
22
Rapport van het inspectiebezoek in het kader van het toezicht op e-health aan Lionarons GGZ te Heerlen op 16 januari 2020 xxx xxx Utrecht, 17 maart 2020

Upload: others

Post on 08-Oct-2020

2 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Rapport van het inspectiebezoek in het kader van het toezicht op e-health

aan Lionarons GGZ te Heerlen op 16 januari 2020

xxx

xxx

Utrecht, 17 maart 2020

Page 2: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 2 van 22

Inhoud

Inhoud ........................................................................................................................................... 2

1 Inleiding ................................................................................................................................. 3

1.1 Aanleiding en belang .......................................................................................................... 3

1.2 Onderzoeksvragen .............................................................................................................. 4

1.3 Onderzoeksmethode en toetsingskader ............................................................................. 4

2 Conclusie ............................................................................................................................... 7

3 Handhaving ........................................................................................................................... 9

4 Resultaten ........................................................................................................................... 11

4.1 Goed bestuur en verantwoord innoveren ......................................................................... 11

4.2 Invoering en gebruik van e-health-producten en -diensten .............................................. 13

4.3 Patiëntparticipatie ............................................................................................................ 15

4.4 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens 17

4.5 Informatiebeveiliging en continuïteit................................................................................ 18

Bijlage 1: Algemene uitleg van de beoordelingen ......................................................................... 21

Bijlage 2: Overzicht van documenten die zijn bestudeerd ............................................................ 22

Page 3: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 3 van 22

1 Inleiding

De Inspectie Gezondheidszorg en Jeugd (de inspectie) bezocht op 16 januari 2020 Lionarons GGZ te Heerlen (hierna: de zorgaanbieder). De zorgaanbieder is een kleinere GGZ-instelling (circa 130 medewerkers) in de provincie Limburg (16 locaties) en actief op het gebied van geestelijke gezondheidszorg voor volwassenen, ouderen en jeugd. Het onderwerp van het inspectiebezoek was de inzet van informatie- en communicatietechnologie (ICT) in de zorg. Dit heet ook wel ‘e-health’ of ‘digitale zorg’. De inspectie toetste of de zorgaanbieder bij het gebruik van e-health zorgt voor de nodige voorwaarden voor goede en veilige zorg, die volgen uit wetten, (veld)normen en richtlijnen op dit gebied.

1.1 Aanleiding en belang Onder e-health verstaat de inspectie: de inzet van hedendaagse ICT, in het bijzonder internettechnologie, om de gezondheid en gezondheidszorg te ondersteunen of te verbeteren.

Voorbeelden hiervan zijn elektronische patiëntendossiers (EPD’s) en elektronische uitwisseling van gegevens1. Maar ook patiëntenportalen, medische apps, monitoring van chronische patiënten op afstand en inzet van online behandeling of begeleiding.

De inspectie is positief over de mogelijkheden die e-health kan bieden. E-health kan de zorg minder laten afhangen van tijd en plaats. Ook kan het de communicatie tussen patiënt2 en zorgverlener helpen. En die tussen zorgverleners. Dit wordt belangrijker nu de patiënt vaker te maken krijgt met een netwerk van zorgaanbieders. Daarnaast kan de inzet van e-health de wachttijd binnen de GGZ terugdringen.

Tegelijk vindt de inspectie het belangrijk dat de inzet van e-health doordacht gebeurt. Ook bij de inzet van e-health moet de zorgaanbieder de kwaliteit en veiligheid van de zorg bewaken. Dat vraagt erom dat de zorgaanbieder zorgt voor goede voorwaarden in de organisatie.

De nieuwe mogelijkheden kennen helaas ook risico’s. In een landelijk onderzoek3 van VIM-meldingen (‘Veilig Incident Melden’) staan problemen met ICT op de vierde plaats.

In een analyse uit 2017 van het Emergency Care Research Institute staan ICT-risico’s op de zesde plaats4.

1 Met e-health bedoelt de inspectie dus ook de meer traditionele zorg-ICT. 2 Voor patiënten kan in dit rapport ook cliënten of bewoners worden gelezen. 3 Zie http://www.mtintegraal.nl/artikelen/489/landelijke-inventarisatie-incidentmeldingen-medische-apparatuur 4 Zie https://www.ecri.org/Resources/Whitepapers_and_reports/Haz17.pdf

Page 4: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 4 van 22

Ook de bedreigingen van ransomware zijn veel in het nieuws geweest5. Intussen ontwikkelen de wetgeving en normering zich verder. Denk aan de wet ‘aanvullende bepalingen verwerking persoonsgegevens in de zorg’, die in juli 2017 is ingegaan.

Sinds het najaar van 2017 kijkt de inspectie bij zorgaanbieders naar e-health. Daarbij toetst de inspectie of de zorgaanbieder zorgt voor de goede randvoorwaarden voor digitale zorg. De inspectie komt onder andere bij ziekenhuizen en aanbieders van verpleging en verzorging, geestelijke gezondheidszorg of gehandicaptenzorg.

De keuze valt op zorgaanbieders die volgens openbare bronnen actief e-health-producten of -diensten inzetten. Verder gaat het om zorgaanbieders verspreid over het land.

In het toezicht op e-health betrekt de inspectie verschillende wetten, veldnormen en richtlijnen op het gebied van ICT in de zorg (zie 1.3).

1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de zorgaanbieder bij de inzet van ICT (e-health) zorgt voor de nodige voorwaarden voor goede en veilige zorg, die volgen uit wetten, (veld)normen en richtlijnen op dit gebied.

1.3 Onderzoeksmethode en toetsingskader Bij het bezoek gebruikte de inspectie een toetsingskader, dat is gepubliceerd op de website van de IGJ6.

Een toetsingskader moet praktisch bruikbaar zijn. Daarom heeft de inspectie tijdens het bezoek gekeken naar de volgende vijf onderwerpen. Daarin zijn de verschillende normen en richtlijnen meegenomen.

5 Zie http://nos.nl/artikel/2179941-zeker-vijftien-ziekenhuizen-geinfecteerd-met-ransomware.html 6 Zie https://www.igj.nl/documenten/toetsingskaders/2018/11/15/toetsingskader-inzet-van-e-health-door-zorgaanbieders

Page 5: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 5 van 22

Onderwerp Uitleg

Goed bestuur en verantwoord innoveren

Het bestuur van de zorgaanbieder moet ‘in control’ zijn, ook op het gebied van e-health. Dit vraagt om een helder en gedragen beleid. Het bestuur moet de verantwoordelijkheden goed regelen bij inzetten van technische innovaties, zoals e-health. Ook een goede inrichting van de besluitvorming hoort daarbij.

Invoering en gebruik van e-health-producten en -diensten

De zorgaanbieder moet bij invoering en gebruik van e-health-producten en -diensten zorgen voor goede voorwaarden. De zorgaanbieder zorgt bijvoorbeeld voor duidelijke eisen aan producten en diensten. Ook moet de zorgaanbieder goed omgaan met mogelijke risico’s. Belangrijke voorwaarden zijn verder goede training, goed testen en goed onderhoud.

Onderwerp Uitleg

Patiëntparticipatie De patiëntenzorg wordt steeds afhankelijker van e-health. Daarom is het belangrijk dat de zorgaanbieder de cliëntenraad raadpleegt over het beleid. De zorgaanbieder kijkt hoe geschikt e-health-producten en -diensten zijn voor patiënten. Ook zorgt de zorgaanbieder voor goede informatie en begeleiding voor patiënten.

Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens

E-health kan andere vormen van samenwerken mogelijk maken tussen zorgverleners. Daarbij is het belangrijk dat de zorgaanbieder duidelijke afspraken maakt met andere zorgaanbieders over digitale samenwerking. Daarbij moet de zorgaanbieder zorgen voor goede organisatorische en technische maatregelen.

Informatiebeveiliging en continuïteit

De groeiende afhankelijkheid van ICT vraagt erom dat de organisatie zorgt voor de continuïteit. Daar horen goede afspraken en maatregelen bij voor informatiebeveiliging.

De inspectie heeft het bezoek kort van tevoren bekend gemaakt. Dit was nodig om de zorgaanbieder de mogelijkheid te geven gesprekspartners vrij te maken. Ook heeft de inspectie gevraagd om een aantal documenten ter voorbereiding toe te sturen of klaar te leggen. Een overzicht staat in bijlage 2 van dit rapport.

Page 6: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 6 van 22

Tijdens het bezoek heeft de inspectie met verschillende betrokkenen gesproken over de thema’s van het toetsingskader. Dit waren personen in de volgende functies of rollen:

- Raad van bestuur; - Zorgdirecteur ouderenzorg, specialist ouderengeneeskunde; - Zorgdirecteur volwassenenzorg ad interim, gz-psycholoog; - Directeur beleidszaken en IT; - Manager compliance; - ICT-coördinator; - Teamleider en behandelaar volwassenenzorg, psycholoog; - Behandelaar, psychotherapeute; - Secretaresse; - Voorzitter cliëntenraad.

Ook heeft de inspectie tijdens het bezoek de volgende twee e-health-toepassingen bestudeerd:

1. Het cliëntenportaal CRS-Portal, een module van het EPD van de zorgaanbieder en CRS-Internet van Trompbx.

2. Modules voor online behandeling van Embloom (voorheen Telepsy).

De resultaten van het inspectiebezoek staan in hoofdstuk 5 van dit rapport. De beoordeling bij elk onderwerp volgt een vierpuntsschaal: afwezig, aanwezig, operationeel en geborgd. Zie bijlage 1 voor een uitleg over deze begrippen.

Page 7: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 7 van 22

2 Conclusie

De inspectie concludeert dat de zorgaanbieder bij de inzet van ICT in de zorg (e-health) grotendeels zorgt voor de juiste randvoorwaarden voor goede en veilige zorg. De inrichting van de bestuurlijke governance rondom e-health en de heldere vastlegging van taken en bevoegdheden van leden van het management valt daarbij in positieve zin op. De zorgaanbieder kan op onderdelen verder verbeteren. Dit geldt in het bijzonder voor de informatiebeveiliging. De inspectie komt tot de volgende deelconclusies: De zorgaanbieder heeft beleid en organisatie rondom e-health en ICT goed ingericht, passend bij de omvang van de organisatie De zorgaanbieder beschikt over een actueel gedocumenteerd beleid voor e-health. De zorgaanbieder volgt de uitvoering van het beleid door het gebruik van e-health actief te monitoren. De zorgaanbieder heeft taken en verantwoordelijkheden op het gebied van e-health/ICT duidelijk belegd en uitgewerkt. De zorgaanbieder heeft de besluitvorming rondom e-health/ICT helder ingericht met betrokkenheid van belanghebbenden van zowel zorg als ICT. De zorgaanbieder zorgt dat de belangrijkste risico’s op het gebied van e-health en ICT in beeld zijn. De zorgaanbieder heeft zicht op de begrotingsaspecten van e-health en ICT.

De zorgaanbieder gaat zorgvuldig om met het selecteren en invoeren van e-health toepassingen maar kan de vastlegging en de mate waarin gemaakte afwegingen terug te vinden zijn verbeteren. De zorgaanbieder heeft een werkende procedure die ingaat op het proces van aanschaf en invoeren van e-health-producten en -diensten. De zorgaanbieder besteedt aantoonbaar aandacht aan belangrijke aspecten van het proces van selecteren en invoeren van e-health. Echter, de vastlegging is vaak weinig gestructureerd en de terugvindbaarheid daarmee niet optimaal. Dit kan het moeilijker maken om op basis van opgedane ervaringen te verbeteren. De zorgaanbieder formuleert eisen en wensen, besteedt aantoonbaar aandacht aan risico’s van e-health en zorgt voor testen indien nodig. De zorgaanbieder besteedt aandacht aan instructies en training. Ook onderhoudscontracten en controle op naleving hiervan zijn belegd. De zorgaanbieder besteedt voldoende aandacht aan het betrekken van cliënten bij e-health-ontwikkelingen; verdere analyse van de ervaringen met e-health kan de inzet van e-health naar verwachting effectiever maken De cliëntenraad voelt zich goed gehoord over zaken rondom de inzet van e-health. De zorgaanbieder spant zich in om de beste weg te vinden om patiënten te bereiken met online diensten. De cliëntenraad had bij de start van e-health zitting in de werkgroep e-health. De zorgaanbieder betrekt cliënten nu incidenteel bij specifieke projecten, ook in verband met het geringe aantal leden van de cliëntenraad. De zorgaanbieder zorgt voor informatiemateriaal voor cliënten over online diensten en voor ondersteuning waar nodig.

Page 8: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 8 van 22

De zorgaanbieder overweegt welke vorm van online behandeling past bij cliënten en staat bewust stil bij de wijze van aanbieden. Wel kan de zorgaanbieder mogelijk nog meer informatie halen uit evaluaties om e-health nog effectiever in te zetten.

De zorgaanbieder maakt in beperkte mate gebruik van elektronische gegevensuitwisseling; het architectuuroverzicht mist een overzicht van de koppelingen De zorgaanbieder heeft enkele afspraken gemaakt over de continuïteit van de behandeling van de cliënten met andere zorgaanbieders in de regio. De zorgaanbieder neemt onder meer deel aan een convenant voor ketenzorg bij dementie. Elektronisch delen van gegevens is in de gemaakte afspraken echter geen expliciet aandachtspunt. De zorgaanbieder regelt diensten in voor elektronische gegevensuitwisseling (verwijsdiensten en veilige e-mail) maar heeft nog geen aansluiting bij een dienst om medicatieoverzichten op te vragen. De zorgaanbieder heeft hiervoor wel actuele plannen. De zorgaanbieder spant zich in actuele medicatieoverzichten te krijgen en om medicatie-informatie uit te wisselen met de relevante ketenpartners. Het architectuuroverzicht mist een beschrijving van aanwezige koppelingen. De zorgaanbieder heeft de werking van het managementsysteem voor informatiebeveiliging nog onvoldoende getoetst waardoor de zorgaanbieder nog onvoldoende beeld heeft van de naleving De zorgaanbieder heeft rollen op het gebied van informatiebeveiliging duidelijk benoemd. Het informatiebeveiligingsbeleid is vastgelegd in combinatie met een jaarplanning voor verbeteringen. De onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging is echter nog onvolledig. Ook waren enkele mogelijke verbetermaatregelen op basis van (technische) deelaudits nog niet geïmplementeerd. Dit maakt het lastig om de status van de naleving goed vast te stellen en bestaat het risico dat kwetsbaarheden onvoldoende zijn afgedekt. De zorgaanbieder heeft een continuïteitsplan, maar dit is in de praktijk niet getoetst door oefeningen. Ook gaat het uit van de beschikbaarheid van elektriciteit en internet, terwijl niet blijkt dat aanvullende maatregelen zijn genomen om deze beschikbaarheid te verhogen. Niet alle medewerkers kennen het bestaan van het continuïteitsplan, waardoor het moeilijker kan zijn om dit in de praktijk te laten werken omdat medewerkers niet zijn voorbereid op uitwijkmogelijkheden.

Page 9: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 9 van 22

3 Handhaving

3.1 Maatregelen De inspectie vindt het nodig dat de zorgaanbieder op het volgende punt maatregelen neemt. Richt de informatiebeveiliging in 2020 aantoonbaar in volgens NEN 7510 Zorgaanbieders zijn verplicht te voldoen aan de NEN 7510; de kern hiervan is dat een organisatie een lerend managementsysteem heeft op het gebied van informatiebeveiliging dat leidt tot regelmatige evaluatie en verbetering van de informatiebeveiliging. Een belangrijk onderdeel daarvan is dat met regelmaat een onafhankelijke beoordeling wordt gedaan die inzicht geeft in de status van de benodigde beheersmaatregelen. Op basis hiervan worden vervolgens aantoonbaar verbeteringen ingevoerd.

3.2 Aanbevelingen De inspectie geeft de volgende punten van verbetering aan: Verbeter de vastlegging en de mate waarin gemaakte afwegingen terug te vinden zijn als het gaat om invoeren van e-health-toepassingen Verbeter de vastlegging van vooral eisen en wensen, risicoafwegingen, testresultaten en gemaakte afwegingen tijdens het proces van aanschaffen en invoeren van e-health-toepassingen. Een mogelijkheid is het gebruik van een checklist. Maak nadere afspraken over het betrekken van cliënten of hun vertegenwoordigers bij het invoeren van e-health-toepassingen De afwegingen die de zorgaanbieder maakt om al dan niet cliënten bij e-health-ontwikkelingen te betrekken zijn nu niet expliciet. Ook de manieren waarop dit eventueel kan (bijvoorbeeld in evaluaties) zijn nu niet bewust in kaart gebracht. Dit zijn zaken die kunnen zorgen dat de zorgaanbieder hier nog bewuster mee omgaat dan al het geval is. Maak van elektronische gegevensuitwisseling een meer expliciet aandachtspunt in de afspraken met ketenpartners en actualiseer het architectuuroverzicht In de samenwerkingsafspraken is elektronische gegevensuitwisseling geen expliciet aandachtspunt. De zorgaanbieder zou dit onderwerp mogelijk meer nadrukkelijk kunnen inbrengen bij dergelijke afspraken met partners in de regio. Verder moet het architectuuroverzicht de koppelingen met externe partners in beeld brengen, waardoor ook duidelijk zou moeten worden met welke partners koppelingen juist ontbreken. De inspectie verwacht dat de raad van bestuur de genoemde punten ter harte zal nemen.

Page 10: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 10 van 22

3.3 Vervolgacties inspectie De inspectie verwacht per 1 juli 2020 de resultaten van een onafhankelijke beoordeling zoals aangegeven in NEN 7510. Zoals aangegeven in de NEN 7510 moet deze beoordeling worden uitgevoerd door personen met een onafhankelijke positie ten opzichte van het te beoordelen gebied, bijvoorbeeld door de interne auditor, een onafhankelijke manager of een externe organisatie die gespecialiseerd is in dergelijke beoordelingen. De beoordeling moet voldoende duidelijk maken wat de status is per categorie van beheersmaatregelen (zoals aangegeven in bijlage A van de NEN 7510). Indien de inhoud van de beoordeling hiertoe aanleiding geeft, dan verwacht de inspectie ook een aanpassing van het bestaande verbeterplan. Overige zaken kunnen worden opgevolgd in het reguliere toezicht.

Page 11: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 11 van 22

4 Resultaten

4.1 Goed bestuur en verantwoord innoveren Getoetste normen:

- De raad van bestuur heeft de controle over de e-health-ontwikkelingen. De zorgaanbieder heeft een beleid voor e-health en heeft hierbij de mensen betrokken die er belang bij hebben. Hij heeft taken en verantwoordelijkheden belegd in de organisatie. Hij regelt een duidelijke besluitvorming. De zorgaanbieder heeft aandacht voor risicomanagement en kwaliteitsborging van de e-health/ICT-omgeving. Het bestuur krijgt stuurinformatie.

Afwezig Aanwezig Operationeel Geborgd

Goed bestuur en verantwoord innoveren √

Uitleg:

De zorgaanbieder beschikt over een actueel gedocumenteerd beleid voor e-health De zorgaanbieder heeft een recente beleidsnotitie ‘e-health in de zorg’. Deze gaat in op de doelen van e-health voor de zorgaanbieder. De notitie geeft aan dat e-health vooral een middel is om de behandeling meer diepgang te geven, de eigen regie van de cliënt te versterken en de zorg toegankelijker te maken. De notitie geeft aan dat vooral het aanbieden van face to face contact en e-health (blended care) elkaar kunnen versterken. De beleidsnotitie geeft een zevental aspecten van e-health waarop de zorgaanbieder zich de komende jaren wil focussen, waaronder blended care, beeldbellen, online inzage en op peil houden van de informatiebeveiliging.

De zorgaanbieder volgt de uitvoering van het beleid door het gebruik van e-health actief te monitoren In de praktijk past de zorgaanbieder actief blended care toe. De zorgaanbieder volgt hoeveel cliënten hiervan in de praktijk gebruik maken. Verder biedt de zorgaanbieder een cliëntenportaal aan en volgt ook hiervan het gebruik in de praktijk.

De zorgaanbieder heeft taken en verantwoordelijkheden op het gebied van e-health/ICT duidelijk belegd en uitgewerkt Het managementcharter van de zorgaanbieders bevat een organogram en een uitvoerige beschrijving van taken en verantwoordelijkheden van leidinggevenden en stafleden. De directeur beleidszaken en IT volgt de landelijke en regionale ontwikkelingen en regelgeving en adviseert de raad van bestuur over de consequenties hiervan voor strategie en beleid. Ook ontwikkelt zij een toekomstbestendig beleid op het gebied van IT. Het charter geeft ook de verantwoordelijkheden op het gebied van informatiebeveiliging en privacy weer (zie hoofdstuk 4.5). Voor operationele zaken heeft de zorgaanbieder een ICT-coördinator. Diens taken en verantwoordelijkheden staan niet in het managementcharter.

Page 12: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 12 van 22

De zorgaanbieder heeft het beheer van de applicaties en infrastructuur uitbesteed aan externe partijen. De directeur beleidszaken en IT is verantwoordelijk voor relaties en contracten met deze partijen. De ICT-coördinator zorgt voor afstemming op operationeel niveau.

De zorgaanbieder heeft de besluitvorming rondom e-health/ICT helder ingericht met betrokkenheid van belanghebbenden van zowel zorg als ICT De zorgaanbieder heeft om de andere week directeurenoverleg en managementoverleg (directeuren plus stafleden, waaronder de manager compliance). In het directeurenoverleg zijn zowel de zorgdirecteuren als de directeur beleidszaken en IT vertegenwoordigd. Het directieoverleg stelt beleidsstukken, procedures en voorschriften op het gebied van e-health/ICT vast. De compliance manager maakt vastgestelde documenten onderdeel van het kwaliteitshandboek. De directeur beleidszaken en IT gaat eens per kwartaal langs de beleidsoverleggen van de (behandel)teams om informatie en ideeën over e-health/ICT uit te wisselen. Een voorbeeld hiervan is de deelname aan de VIPP-regeling voor GGZ. Ideeën en suggesties op het gebied van e-health/ICT lopen via de directeur beleidszaken en IT. Tijdens het inspectiebezoek bleek dat individuele medewerkers hiervan op de hoogte waren. De zorgaanbieder heeft een werkgroep e-health waarin behandelaren de doorontwikkeling van het online behandelaanbod bespreken.

De zorgaanbieder zorgt dat de belangrijkste risico’s op het gebied van e-health en ICT in beeld zijn In het kader van het kwaliteitsbeleid organiseert de compliance manager jaarlijks risicoanalyses op diverse instellingsbrede thema’s, waaronder ICT. De zorgaanbieder prioriteert de risico’s en zorgt dat de belangrijkste opgenomen worden in de diverse jaarplannen, zodat ze onderdeel worden van een plan-do-check-act (PDCA-)cyclus. Dit is onder andere het geval voor het thema informatiebeveiliging, zoals blijkt uit de beschikbare documentatie (zie ook 4.5).

De zorgaanbieder heeft zicht op de begrotingsaspecten van e-health en ICT E-health en ICT zijn onderdeel van de jaarlijkse begrotingsprocedure. Voor grotere zaken maakt de zorgaanbieder afzonderlijke projectbegrotingen (bijvoorbeeld deelname aan VIPP of bij de invoer van nieuw elektronisch voorschrijfsysteem). De directeuren houden zicht op hun eigen begroting, zo krijgt de directeur beleidszaken en IT alle facturen onder ogen. De keuze in e-health-initiatieven is voor deze kleinere zorgaanbieder in de praktijk beperkt. Bij de meeste applicaties werken de leveranciers met een quotum. Hierdoor zijn de kosten bij een relatief klein aantal gebruikers te hoog om gebruik te kunnen gaan maken van de betreffende applicatie, geeft de zorgaanbieder als signaal aan.

Page 13: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 13 van 22

4.2 Invoering en gebruik van e-health-producten en -diensten Getoetste normen:

- De zorgaanbieder heeft een proces afgesproken voor de invoering van e-health-producten of -diensten. Hij brengt daarbij de nodige experts samen. De zorgaanbieder stelt programma’s van eisen op. De zorgaanbieder doet risicoanalyses. Hij zorgt voor training van gebruikers en testen van producten en diensten voor het in gebruik nemen. Ook regelt de zorgaanbieder het onderhoud.

Afwezig Aanwezig Operationeel Geborgd

Invoering en gebruik van e-health-producten en -diensten

Uitleg:

De zorgaanbieder heeft een procedure voor het aanschaffen en invoeren van e-health-producten en -diensten De zorgaanbieder heeft een recent vastgelegde procedure (‘procedure beoordeling eHealth’) die ingaat op het proces van aanschaf en invoeren van e-health-producten en -diensten. Deze gaat onder andere in op beslissingscriteria en benodigde informatie in het proces. Ook gaat de procedure globaal in op risicoaspecten. De zorgaanbieder heeft de procedure gedocumenteerd aan de hand van de in de praktijk ontstane werkwijze. De zorgaanbieder formuleert in het algemeen eisen en wensen, maar de vastlegging ervan is weinig gestructureerd. Hierdoor zijn de traceerbaarheid achteraf en de herbruikbaarheid onvoldoende. Cliëntenportaal Het cliëntenportaal is een module die hoort bij het elektronisch cliëntendossier (ECD) en is al geruime tijd in gebruik (ongeveer 2012). De zorgaanbieder had hier destijds geen expliciet programma van eisen voor, omdat het een onderdeel van het al aangeschafte ECD betrof. Verbeteringen zijn vervolgens stapsgewijs uitgevoerd. De zorgaanbieder is proactief in het communiceren van eisen en wensen voor nieuwe versies. Daartoe neemt de zorgaanbieder deel aan een gebruikersoverleg van de leverancier (eens per twee maanden). De vastlegging van verbeterwensen en zaken die niet goed werken gebeurt in een open source systeem (Mantis). Online behandeling De zorgaanbieder werkte eerst met een ander platform (Minddistrict). De prijsstructuur van deze leverancier maakte het echter noodzakelijk om uit te kijken naar een andere mogelijkheid. Embloom (destijds Telepsy) was al in gebruik voor Routine Outcome Monitoring (ROM). De functionaliteit van hun online behandelplatform bleek vanaf een zeker moment voldoende om te kunnen overstappen.

Page 14: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 14 van 22

De zorgaanbieder documenteert verzoeken om nieuwe modules in het algemeen onder verwijzing naar bestaande en gedocumenteerde behandelmethodes of vragenlijsten. Deze vastlegging gaat in het algemeen via e-mail, waardoor de traceerbaarheid van de besluitvorming en van de punten waarop geoordeeld is niet optimaal is. De zorgaanbieder besteedt aantoonbaar aandacht aan risico’s van e-health, maar de vastlegging is weinig formeel waardoor de gemaakte afwegingen niet altijd eenvoudig terug te vinden zijn Tijdens het inspectiebezoek vonden gesprekken plaats met medewerkers die betrokken waren bij de gekozen voorbeelden van e-health. Daarbij bleken zij zich van de zorginhoudelijke risico’s bewust. Zo is bijvoorbeeld bij het cliëntenportaal een risico dat de cliënt het portaal voor urgente zaken gebruikt terwijl dit niet de bedoeling is. Dit is dan ook in de instructies voor het portaal opgenomen. Ook kan het portaal voor cliënten worden uitgezet indien zij dit te belastend vinden (bijvoorbeeld in het geval van autisme). In het geval van online behandelen kiest de zorgaanbieder bewust voor blended care (face to face én online behandelen) om enkele risico’s uit te sluiten (bijvoorbeeld dat de cliënt zaken te positief voorstelt). Risico’s komen in de praktijk meestal aan de orde in het teamleidersoverleg of het artsenoverleg en verder bij het beleidsoverleg van de behandelteams. De vastlegging van de gemaakte risico-afwegingen is echter weinig formeel waardoor de afwegingen niet altijd eenvoudig terug zijn te vinden. Verdere concrete uitwerking van de E-health risico’s is in de ‘procedure beoordeling eHealth’ opgenomen. De procedure benoemt een aantal veelvoorkomende risico’s (zowel technische risico’s als risico’s voor de behandeling) en is daarmee nog te globaal. De zorgaanbieder neemt het opstellen van een checklist in overweging. De zorgaanbieder besteedt aandacht aan instructies en training voor e-health-toepassingen en -producten De zorgaanbieder besteedt aandacht aan training voor e-health-toepassingen waar dit nodig is. In de praktijk gaat dit via instructies bij de teams door de teamleiders. Het gebruik van e-health/ICT maakt ook onderdeel uit van het inwerkprogramma. Ook de aandachtsfunctionarissen/ambassadeurs die deel uitmaken van de werkgroep e-health hebben een rol om hun collega’s bij te staan. Overigens zijn veel e-health-modules gebaseerd op bij behandelaars bekende technieken waardoor zij alleen de werkwijze met het gebruik van het platform hoeven te leren. De zorgaanbieder zorgt voor de mogelijkheid om nieuwe functionaliteiten te testen, maar de vastlegging is weinig formeel en daarom niet makkelijk terug te vinden De zorgaanbieder beschikt over een testomgeving voor het cliëntenportaal, zodat nieuwe functionaliteit getest kan worden. Behandelaren kunnen nieuwe modules doorlopen alvorens ze te gebruiken in de behandeling van cliënten. Ook het testen wordt weinig formeel vastgelegd. Er waren geen voorbeelden van testuitslagen beschikbaar tijdens het inspectiebezoek. De aanbieder overweegt om een checklist te gaan gebruiken.

Page 15: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 15 van 22

De zorgaanbieder zorgt voor onderhoudscontracten en controle op naleving hiervan De zorgaanbieder zorgt voor onderhoudscontracten en service level agreements met ICT-leveranciers. De directeur beleidszaken en IT is verantwoordelijk voor het relatiebeheer met de leverancier en de beoordeling van hun dienstverlening.

4.3 Patiëntparticipatie Getoetste normen:

De zorgaanbieder bespreekt de keuzes over e-health met patiëntvertegenwoordigers. De zorgaanbieder kijkt wanneer en e-health-product of -dienst wel of niet geschikt is. Daarbij houdt hij rekening met de zorgbehoefte van patiënten en de eigenschappen van de e-health-dienst. Patiënten krijgen voldoende informatie. Zo kunnen zij beslissen of een e-health-product of -dienst past bij hun zorgbehoefte. Ze zijn dus ook op de hoogte van mogelijke risico’s. De zorgaanbieder maakt duidelijk hoe patiënten hulp kunnen krijgen bij e-health.

Afwezig Aanwezig Operationeel Geborgd

Patiëntparticipatie √

Uitleg:

De cliëntenraad voelt zich goed gehoord over zaken rondom de inzet van e-health

Tijdens het bezoek gaf de voorzitter van de cliëntenraad aan dat de raad goed wordt ingelicht over de ontwikkelingen op het gebied van e-health en hierover ook vragen kan inbrengen. Zo is een lid van de raad nauw betrokken geweest bij de vernieuwing van de website van de zorgaanbieder. Naast het oordeel van de raad maakt de zorgaanbieder goed gebruik van de mogelijkheden van e-health. Wel is het moeilijk voor de raad om dit onderwerp te blijven volgen omdat de raad momenteel kampt met onderbezetting. Dat maakt dat de raad keuzes moet maken. De raad vergadert eens per twee maanden met de directie.

De cliëntenraad was voorheen betrokken in een werkgroep e-health en cliënten worden incidenteel betrokken bij specifieke projecten In het gesprek met bestuur en directeur beleidszaken en IT kwam naar voren dat er een werkgroep e-health is geweest waarin onder andere een lid van de cliëntenraad deelnam. Dit paste toen bij de fase waarin de zorgaanbieder zat met e-health, namelijk meer de fase van ideeën vormen en starten. De vorm van de werkgroep is echter veranderd; nu zitten hier vooral behandelaren in. Dit had te maken met het feit dat de groep in oude vorm te weinig in staat was om echt resultaten op de werkvloer te bereiken; nu met behandelaren in de werkgroep is er meer een relatie met de dagelijkse werkzaamheden en bereikt de groep meer resultaat. Cliënten zijn nu echter niet meer bij deze werkgroep betrokken.

Page 16: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 16 van 22

De zorgaanbieder betrekt nog wel zo mogelijk cliënten bij specifieke trajecten, zoals de website. Dit gebeurt niet structureel.

De zorgaanbieder spant zich in om de beste weg te vinden om patiënten te bereiken met online diensten De zorgaanbieder kijkt hoe cliënten het beste bereikt kunnen worden met de online diensten in het aanbod. Zo heeft de zorgaanbieder de manier veranderd waarop het cliëntenportaal onder de aandacht wordt gebracht. Eerst deden behandelaren dit, maar zij kwamen er niet altijd aan toe. Nu krijgen cliënten standaard toegang tot het portaal aangeboden bij de inschrijving door het secretariaat. De keuze voor gebruik ervan ligt bij de cliënt zelf. De behandelaar kan de cliënt de suggestie doen om het portaal uit te laten zetten indien dit voor de cliënt te veel spanning oplevert (bij autisme). Tot dusver hield de zorgaanbieder niet speciaal rekening met laaggeletterdheid bij de online behandeling. De directeur beleidszaken en IT heeft mogelijkheden om dit te doen tijdens het bezoek direct onder de aandacht gebracht bij de leverancier van het portaal. De cliëntenraad geeft aan dat het aanbieden van blended care maakt dat een cliënt zijn afspraak beter kan voorbereiden en hierdoor meer invloed uit kan oefenen. Hierdoor kan de behandeling meer op de patiënt worden afgestemd en tot een beter herstel leiden.

De zorgaanbieder overweegt welke vorm van online behandeling past bij cliënten en staat bewust stil bij de wijze van aanbieden; de zorgaanbieder kan mogelijk nog meer informatie halen uit evaluaties Bij het inzetten van online behandelmodules is de keuze van de module afhankelijk van de gewenste behandeling. Zo zijn er bijvoorbeeld modules gericht op inzet bij depressie, autisme, paniek- en slaapstoornissen. De zorgaanbieder kiest er bewust voor om deze blended in te zetten (combinatie van face to face en online behandeling) omdat hiermee beter kan worden aangesloten bij de behoeften van de patiënt. Ook houdt de zorgaanbieder soms rekening met de wijze van presentatie, bijvoorbeeld door het gebruik van pictogrammen in plaats van tekst voor mensen met een lichte verstandelijke beperking. De behandelaar evalueert de mate waarin de online behandeling bevalt met de patiënt. De zorgaanbieder verzamelt de uitkomsten van deze een-op-een evaluaties, deels om meer algemene conclusies te trekken over manieren om online behandelingen nog succesvoller in te zetten. Er vindt namelijk een onderzoek plaats naar het gebruik van e-health onder de ouderen.

De zorgaanbieder zorgt voor informatiemateriaal voor cliënten over online diensten en voor ondersteuning waar nodig De zorgaanbieder beschikt over informatiefolders over het online aanbod en zorgt voor instructies voor gebruikers van het cliëntenportaal. In geval van vragen over het portaal kunnen zij terecht bij het secretariaat; in geval van vragen over online behandelingen bij hun behandelaar.

Page 17: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 17 van 22

4.4 Samenwerken in het netwerk en elektronische vastleggen en uitwisselen van gegevens Getoetste normen:

De zorgaanbieder kent de andere zorgaanbieders met wie hij samen zorg levert aan patiënten. Hij spreekt met hen de (zorginhoudelijke) informatie af die daarbij nodig is. Hij regelt dat de zorgverleners deze informatie kunnen uitwisselen. De zorgaanbieder legt afspraken over elektronische uitwisseling vast. De zorgaanbieder vraagt de patiënt toestemming voor elektronische uitwisseling als dat moet. De zorgaanbieder regelt samen met de mede-zorgaanbieders in de regio de medicatieoverdracht.

Afwezig Aanwezig Operationeel Geborgd

Samenwerken in het netwerk en elektronisch uitwisselen van gegevens

Uitleg:

De zorgaanbieder heeft enkele afspraken gemaakt over de continuïteit van de behandeling van de cliënten met andere zorgaanbieders in de regio

Een deel van de cliënten heeft voor de behandeling bij Lionarons behandeling bij een andere GGZ-instelling in de regio doorlopen. Ook kan de hoofdbehandelaar de cliënt naar een andere GGZ-instelling in de regio doorverwijzen. Goede (elektronische) informatieoverdracht is daarbij voor de continuïteit en kwaliteit van zorg van belang. De zorgaanbieder kent de reguliere zorgaanbieders in de regio. Met verwijzers is elektronisch contact via Zorgdomein en (terug) via Zorgmail. Verder vindt er geen gestructureerde elektronische uitwisseling van patiëntengegevens plaats met de grote GGZ-instellingen in de regio. De zorgaanbieder beschikt over schriftelijk vastgelegde werkafspraken met Mondriaan, een grote GGZ-instelling in de omgeving over crisissituaties. Zo kan de hoofdbehandelaar de cliënt alvast aanmelden bij de crisisdienst en schriftelijke informatie toesturen. Indien deze informatie binnen een week niet gebruikt wordt, vernietigt men deze. Uitgangspunt is dat Lionarons de reguliere behandeling na de crisisinterventie continueert. Buiten kantooruren kunnen cliënten zich in geval van een (dreigende) crisis tot de huisartsenpost wenden, die vervolgens naar deze crisisdienst kan doorverwijzen. Ook neemt de zorgaanbieder, samen met een groot aantal regionale partijen, deel aan een convenant voor ketenzorg bij dementie. Er zijn hierin geen concrete afspraken opgenomen over de (elektronische) informatieoverdracht. Verder neemt de zorgaanbieder deel aan regionale GGZ-platformen (van HOZL, ZIO, Midden- en Noord-Limburg) waar tussen de verschillende ketenpartners ook afspraken worden gemaakt over ketenzorg.

Page 18: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 18 van 22

Hierin zitten vertegenwoordigers van GGZ-instellingen en vrijgevestigden, huisartsen, gemeente en soms partners uit het sociaal domein. De zorgaanbieder heeft aangegeven dat kleinere partijen daarbij vaak minder invloed hebben op de gemaakte afspraken dan de grote aanbieders. De zorgaanbieder stelt voorafgaand aan gegevensuitwisseling altijd eerst vast dat de patiënt uitdrukkelijk en expliciet toestemming hiervoor heeft gegeven. De zorgaanbieder regelt diensten in voor elektronische gegevensuitwisseling, maar heeft nog geen aansluiting bij een dienst om medicatieoverzichten op te vragen

De zorgaanbieder ondersteunt de informatie-uitwisseling door het inregelen van elektronische gegevensuitwisseling waar mogelijk. Zo maakt de zorgaanbieder gebruik van de verwijsdiensten van Zorgdomein en zorgt voor veilige verzending van informatie via Zorgmail. De zorgaanbieder maakt nog geen gebruik van een systeem voor de uitwisseling van medicatiegegevens, zoals het Landelijk Schakelpunt (LSP). De zorgaanbieder heeft hiervoor wel actuele plannen. De zorgaanbieder verwacht uiterlijk in het eerste kwartaal van 2020 op een nieuw elektronisch voorschrijfsysteem over te gaan dat deze koppeling mogelijk maakt. Het architectuuroverzicht mist een beschrijving van aanwezige koppelingen De zorgaanbieder heeft een overzichtelijke architectuurplaat van processen en ondersteunende applicaties en infrastructuur. Hierin ontbreken echter de koppelingen tussen systemen en met ketenpartners. De zorgaanbieder spant zich in actuele medicatieoverzichten te krijgen en om medicatie-informatie uit te wisselen met de relevante ketenpartners De zorgaanbieder onderneemt diverse stappen om actuele medicatieoverzichten te krijgen. De zorgaanbieder vraagt de cliënt zelf een medicatielijst mee te brengen van de apotheek. Bij ouderen thuis doet de zorgaanbieder vaak zelf een medicatiecheck. Ook verkrijgt de zorgaanbieder informatie uit de verwijsbrief en neemt zo nodig contact op met de apotheek van de cliënt. De zorgaanbieder zorgt bij het voorschrijven van medicatie er ook voor dat de huisarts een kopie krijgt van het recept.

4.5 Informatiebeveiliging en continuïteit Getoetste normen:

Informatiebeveiliging: het bestuur heeft gezorgd voor het inrichten, invoeren, onderhouden en aldoor verbeteren van een managementsysteem voor informatiebeveiliging. De organisatie heeft een continuïteitsstrategie afgesproken, gedocumenteerd, ingevoerd en getest.

Page 19: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 19 van 22

Afwezig Aanwezig Operationeel Geborgd

Informatiebeveiliging en continuïteit √

Uitleg:

De zorgaanbieder heeft rollen op het gebied van informatiebeveiliging duidelijk benoemd Het managementcharter benoemt diverse rollen op het gebied van informatiebeveiliging. De directeur beleidszaken en IT is verantwoordelijk voor een toekomstbestendig beleid op het gebied van IT, waaronder informatiebeveiliging. De manager compliance heeft de rol van security officer in het kader van de NEN 7510. De manager compliance maakt onder andere risicoanalyses. Er is verder nog een functionaris gegevensbescherming. De rol van de IT-coördinator is in het managementcharter niet uitgewerkt, aangezien dit document zich beperkt tot de managementrollen. Er is wel een functieomschrijving van de IT-coördinator beschikbaar. Het informatiebeveiligingsbeleid is vastgelegd in combinatie met een jaarplanning voor verbeteringen De zorgaanbieder heeft een beknopt gedocumenteerd informatiebeveiligingsbeleid. Dit fungeert tevens als plan met de voorgenomen acties voor het lopende jaar. Deze acties volgt de zorgaanbieder op via de takenmodule van het online management-handboek. Hierin zet de zorgaanbieder taken uit naar verantwoordelijken, die via deze weg ook periodieke herinneringen krijgen. Het informatiebeleidsdocument bevat zelf geen nadere uitwerking hoe de zorgaanbieder de in het beleid genoemde maatregelen in de praktijk invult. Een expliciete relatie met de beheersmaatregelen die onderdeel zijn van de NEN 7510 (bijlage A) wordt niet gelegd in het informatiebeleidsdocument zelf, maar in een referentietabel in het online managementhandboek. Deze tabel bevat een relatie tussen onderdelen van de NEN 7510 en documenten waarin de maatregelen verder uitgewerkt worden. De zorgaanbieder gaf wel aan dat nog kritisch nagelopen moest worden of alle punten ook ‘gedekt’ waren met de minimale beheersmaatregelen. De onafhankelijke beoordeling is onvolledig; niet alle bevindingen uit deelaudits waren weggenomen door ondernomen acties De zorgaanbieder beschikt niet over een onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging als geheel, waaruit blijkt wat de status is van de verschillende beheersmaatregelen die volgens de NEN 7510 (bijlage A) afgewogen zouden moeten worden. Dit maakt het lastig om de status van de naleving goed vast te stellen. De zorgaanbieder heeft wel meerdere malen een technische informatiebeveiligingsaudit laten uitvoeren (een zogenaamde PENtest). De zorgaanbieder heeft steeds op basis van bevindingen in de technische audits diverse maatregelen genomen. Na de audit van 2017 heeft de zorgaanbieder de infrastructuur en applicaties grotendeels naar een ‘cloud’-omgeving overgebracht. Na een vervolgaudit in 2019 is een resterende server die nog op het hoofdkantoor aanwezig was, uitgezet.

Page 20: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 20 van 22

Er waren volgens de auditor echter ook bevindingen die zowel in 2017 en 2019 aanwezig waren en niet waren weggenomen door de ondernomen acties. In het informatiebeveiligingsplan 2020 was verder ten tijde van het inspectiebezoek de link tussen de bevindingen uit de technische beveiligingsaudit van 2019 en de acties voor 2020 niet duidelijk navolgbaar. De zorgaanbieder maakt in verwerkersovereenkomsten met IT-leveranciers afspraken over de informatiebeveiliging De zorgaanbieder beschikt ook over verwerkersovereenkomsten met IT-leveranciers. Tijdens het bezoek heeft de inspectie een actuele overeenkomst ingezien. Hierin waren afspraken opgenomen over het veilig omgaan met informatie (verwijzing naar NEN 7510). De zorgaanbieder heeft een continuïteitsplan; dit is niet in de praktijk getoetst

De zorgaanbieder heeft de ICT grotendeels ‘in the cloud’ ondergebracht, waardoor wat betreft de ICT-systemen geen afhankelijkheid bestaat van één specifieke locatie. De zorgaanbieder heeft een recent continuïteitsplan. Dit beschrijft de maatregelen die kunnen worden gebruikt om de diensten en activiteiten van de zorgaanbieder te hervatten tijdens (onvoorziene) calamiteiten. Een beperking hierin is dat het plan ervan uitgaat dat de elementaire nutsvoorziening elektriciteit nog beschikbaar is. Ook gaat het plan uit van de beschikbaarheid van internet op de locatie van het emergency response team. Er lijken echter geen aanvullende maatregelen te zijn genomen om deze beschikbaarheid zeker te stellen (bijvoorbeeld noodstroom-generatoren, meerdere koppelingen richting internet). Het plan bevat contactgegevens van kritische functionarissen en kritische partners. Ook geeft het aan wat de herstelprioriteiten zijn. Het plan geeft aan dat eenmaal per jaar geoefend moet worden. Tijdens het inspectiebezoek kwam naar voren dat dit in de praktijk nog niet was gebeurd. Enkele individuele medewerkers die de inspectie sprak tijdens het bezoek (buiten het management) bleken zich niet van het bestaan van een continuïteitsplan bewust.

Page 21: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 21 van 22

Bijlage 1: Algemene uitleg van de beoordelingen

Niveau Uitleg

Afwezig De zorgaanbieder besteedt niet aantoonbaar aandacht aan het onderwerp en/of heeft geen herkenbaar proces. Er ligt niets vast.

Aanwezig De zorgaanbieder besteedt aantoonbaar aandacht aan het onderwerp. Er kan een gedocumenteerd proces zijn, maar in de praktijk kent niet iedereen dit. Of medewerkers volgen het niet altijd.

Operationeel De zorgaanbieder heeft een gedocumenteerd proces. Medewerkers kennen dit en volgen het ook.

Geborgd De zorgaanbieder heeft een gedocumenteerd proces. Medewerkers kennen dit en volgen het ook. De zorgaanbieder kijkt naar de resultaten en brengt verbeteringen aan waar mogelijk.

Page 22: Rapport van het inspectiebezoek in het kader van het ... richtlijnen op het gebied van ICT in de zorg(zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of de

Pagina 22 van 22

Bijlage 2: Overzicht van documenten die zijn bestudeerd

Voor en/of tijdens het inspectiebezoek zijn de volgende documenten bestudeerd:

- Managementcharter Lionarons GGZ, januari 2020 - Beleidsnotitie Ehealth in de zorg, december 2019 - Procedure beoordeling eHealth, januari 2020 - Offerte Zorgmail Comfort en Feedback tbv Psychologen Praktijk Lionarons

Heerlen, februari 2009 - Informatiebeveiligingsbeleid en –plan 2020, november 2019 - Bedrijfscontinuïteitplan, augustus 2019 - Convenant regionale ketenzorg Hulp bij dementie Maastricht/Heuvelland,

januari 2020 (update van convenant dat bestaat sinds 2011) - Werkafspraken in verband met crisissituaties, september 2016 - Werkgroep e-health 24-5-2018, Agendapunten (oude situatie) - Cliëntportaal CRS, december 2019 - Folder eHealth, de kracht van digitale zorg - e-mail van Directeur beleidszaken en IT, d.d. dinsdag 14 januari 2020 15:25,

onderwerp FW: eHealth Embloom - e-mail van Directeur beleidszaken en IT, d.d. dinsdag 14 januari 2020 16:14

onderwerp FW: Beeldbellen - e-mail van Directeur beleidszaken en IT, d.d. dinsdag 14 januari 2020 16:17,

onderwerp FW: SCIL screener voor LVG - e-mail van Directeur beleidszaken en IT, d.d. woensdag 15 januari 2020 14:57,

onderwerp Fwd: werkgroep ehealth 23-5-19 (huidige situatie) - Werkgroep e-health 24-5-2018 - IPPA schema - Rapportage SECWATCH, periode 28-03-2019 – 02-05-2019 - Rapportage SECWATCH, periode 17-08-2017 – 21-09-2017


Rapport van het vervolgbezoek aan Stichting Zorggroep …...Rapport van het inspectiebezoek aan De Veste, dependance De Beer in Naarden op 7 februari 2019 Pagina 2 van 21 Inhoud 1

Rapport van het inspectiebezoek aan S&L Zorg, locatie ... Rapport van het inspectiebezoek aan S&L Zorg, Onyxdijk woningen 185 a t/m d in Roosendaal op 27 september 2016 Pagina 2 van

Vastgesteld rapport van het inspectiebezoek aan Verburgt ... · De inspectie wil een beeld van de zorg krijgen in Verburgt-Molhuysen. Het laatste inspectiebezoek heeft plaatsgevonden

HET WERK VAN HET ~

MILIEUEFFECTENRAPPORT van het ontwerp van het hulpbronnen … · 2018-12-21 · PAGINA 5 VAN 139 – MILIEUEFFECTENRAPPORT VAN HET ONTWERP VAN HET HULPBRONNEN- EN AFVALBEHEERPLAN

Rapportage van het inspectiebezoek in het kader van het toezicht … De inspectie concludeert op basis van het inspectiebezoek dat de zorginstelling bij de inzet van informatie- en

Eindrapport van het GMP, GDP-API inspectiebezoek aan Patheon … Documentnummer: V2012371 2019-2437909 Eindrapport Pagina 4 van 22 Toetsingskader: Geneesmiddelenwet en Regeling Geneesmiddelenwet

Inventaris van het archief van het Ministerie van Koloniën ... · Nummer archiefinventaris: 2.10.36.21 Inventaris van het archief van het Ministerie van Koloniën: Stamkaarten Oost-Indische

Inventaris van het archief van het Ministerie van Landbouw ... · Nummer archiefinventaris: 2.11.5022 Inventaris van het archief van het Ministerie van Landbouw, Natuurbeheer en Visserij:

Rapport van het inspectiebezoek aan SavyZorg in Nijmegen

VERKIEZINGEN VAN HET EUROPESE PARLEMENT, DE KAMER … · Europese Parlement, van de Kamer, van het Vlaamse Parlement, van het Waalse Parlement, van het Brusselse Hoofdstedelijke Parlement

Het Probleem van het Kwaad en De gerichten van God · Het waarderen van God Het probleem van het kwaad Deel 1 - Voorwoord Een buitenstaander die voor het eerst met het Christendom

Rapport van het inspectiebezoek aan Bij de Keien …...Rapport van het inspectiebezoek aan Bij de Keien in Puth op 13 juni 2019 Pagina 7van 27 informatie geen andere gegevens over

NIRAS Het communicatieparcours van het geïntegreerd project … · 2014. 10. 30. · NIRAS. Het communicatieparcours van het geïntegreerd project van oppervlakteberging . van het

Rapportage van het inspectiebezoek in het kader …...Voor wat betreft het aspect van risicoanalyses verwijst de inspectie naar normelement 4.9.1 van NTA 8009:2014. De inspectie verwacht

Schoolgids 2018-2019 Ods Windkracht 10 2018-2019.pdf · Vanuit een daltonomgeving kan en mag uw kind zich ontwikkelen op school. ... Bent u na het lezen van de ... Inspectiebezoek

Rapport van het inspectiebezoek aan Vinden & Binden Zorg

Regionale actie U.L.O. - koelcellen. · Het inspectiebezoek wordt schriftelijk ... • Controle van basisdocumenten i.v.m. welzijn op het werk. ... dienst ter beschikking houden van

HOF VAN CASSATIE ARRESTEN VAN HET HOF VAN CASSATIE - … · 2015. 11. 23. · I. RECHTSPLEGING VOOR HET HOF Het cassatieberoep is gericht tegen het arrest van het hof van beroep te

Inventaris van het archief van het Ministerie van ... · Nummer archiefinventaris: 2.05.80 Inventaris van het archief van het Ministerie van Buitenlandse Zaken (Londens archief) en

Rapport van het inspectiebezoek aan Laser Clinic Cornea op ... · Uit onderzoek van de inspectie in 2016/2017. 1. bleek dat de getoetste klinieken de vigerende richtlijnen op het

Rapport Inspectiebezoeken aan Rigter B.V., R2 B.V. en ... · Rapport van het inspectiebezoek aan ... De inspectie houdt toezicht op deze ... Deze medewerkers hebben geen opleiding

Rapport van het inspectiebezoek aan Smart-Coach B.V. te ... die pal naast de liftschacht zijn gehuisvest, ook wel “liftwoningen ” genoemd. Cliënten huren de woningen van Smart-Coach

Rapport van het inspectiebezoek Onderbouwd voorschrijven … maatregelen te treffen op de bevindingen van de inspectie rondom het bewaren en aftekenen van de medicatie. De inspectie

TRAININGSARRANGEMENTEN SPRINGEN · het rijden van verschillende lijntjes, het trainen van afstanden, het verbeteren van de springtechniek, het verbeteren van de houding & zit en het

Het optimaliseren van het (selectief) rapporteren van

Rapport van het inspectiebezoek aan Stichting …...onder te brengen bij een andere zorgaanbieder. Sint Maarten introduceert zelforganiserende teams in 2018, waarbij verantwoordelijkheden

LEREN van het Buitengebied - SAMENredzaam van het Buitengebied.pdfLEREN van het Buitengebied Verkenning van 5 Coöperaties in het Zuiden van Nederland t.b.v. de BUURT coöperatie SAMENredzaam

 · Deze bezoeken maakte onderdeel uit van het toezicht op nieuwe toetreders. De ... Bij het inspectiebezoek op 6 november 2013 la de ... leer-werk traject,

Rapport van het inspectiebezoek aan Stichting …...Rapport van het inspectiebezoek aan locatie Amandelhof in Zeist op 22 augustus 2017 Pagina 8 van 18 4 Resultaten In dit hoofdstuk

Het ondersteunen van het gebruik van opnames van colleges met behulp van tags

Inventaris van het archief van het Ministerie van …...2.11.5022 LNV / Landbouwonderwijs 7 Beschrijving van het archief BESCHRIJVING VAN HET ARCHIEF Naam archiefblok: Ministerie van

Rapport van het inspectiebezoek in het kader van het ......richtlijnen op het gebied van ICT in de zorg (zie 1.3). 1.2 Onderzoeksvragen Het doel van het bezoek was om te toetsen of

Praktische gids van het EASO over het belang van het kind ...€¦ · De beoordeling van het belang van het kind met het oog op opvang (in de zin van de richtlijn opvangvoorzieningen

3.4 PPT 20 maart 2014BKO · Situering Zorginspectie binnen het landschap van Welzijn, ... Inhoud Organisatie van het toezicht in de ... Hoe voorbereiden op een inspectiebezoek?