Aan de hand van drie thema’s zijn de acht sectoren afzonderlijk bekeken.
Uitgangspunt voor dialoog
Gezien de verschillen in de respons, de mate waarin de zorg afhankelijk is van goed functionerende zorg-ICT (Informatie- en communicatietechnologie), de omvang van de organisaties, de benodigde omvang van beleid, beheer en aanschafprocedures in relatie tot aard van de zorg die wordt geboden, de relevantie van beschikbaarheid en integriteit van patiënten-/cliëntengegevens in relatie tot de patiënten-/cliëntenveiligheid en omvang en frequentie van uitwisseling van patiëntgegevens inherent aan de sector, mogen de resultaten niet worden gezien als waardeoordeel over de sector of de respondenten.
De resultaten zijn slechts een ordening van de antwoorden die door de respondenten op de enquêtevragen zijn gegeven. Zo vormt het een uitgangspunt van waaruit de dialoog over dit onderwerp kan plaatsvinden. Het kan leiden tot meer inzicht in sector-specifieke risico- en beveiligingsaspecten van patiënt-gerelateerde zorg-ICT en daaraan gekoppelde data. Vanuit dit inzicht kunnen door het veld mogelijk verbeteringen worden uitgewerkt.
De volgende drie thema’s zijn onder de loep genomen:
- ‘Mate van digitalisering’: Laat zien in hoeverre sectoren werken met zorg-ICT in het primaire zorgproces en hoe ‘intelligent’ die is. Inherent aan de aard van de organisaties zijn er grote verschillen tussen sectoren in de mate waarin ICT benodigd of gewenst is. De score op 'Mate van digitalisering' zegt dan ook niets over de kwaliteit van zorg of mate van informatiebeveiliging en patiëntveiligheid. Het geeft wel weer hoe groot de rol is van ICT in het zorgproces (en dus hoe significant de rol van beveiliging is t.b.v. de patiëntveiligheid) en in hoeverre met nieuwe ICT-applicaties wordt gewerkt (bijv. gebruik van patiëntenportalen). In de mate van digitalisering is ook de mate van gebruik van veilige digitale gegevensuitwisseling meegenomen.
- ‘Invulling ICT-management en NEN7510’: Dit thema behandelt de wijze waarop ICT-beleid en -beheer worden ingevuld en in hoeverre er compliance is aan NEN7510 (Nederlandse norm over informatiebeveiliging in de zorg), de norm over informatiebeveiliging.
- ‘Mate van risicobewustzijn’: Ten slotte wordt gekeken naar de mate van risicobewustzijn in de sectoren. Risicobewustzijn is net als voorgaande onderwerpen opgebouwd uit een aantal aspecten uit de enquête en hierin zitten ook aspecten van voorgaande thema’s verweven. Uit risicobewustzijn volgen attitude en gedrag van de medewerkers. Aspecten die in alle sectoren belangrijk zijn en ongeacht de mate van digitalisering.
Mate van digitalisering
Hierbij gaat het erom in hoeverre sectoren met zorg-ICT werken in het primaire zorgproces en hoe ‘intelligent’ deze is. Inherent aan de aard van de organisaties zijn er grote verschillen tussen sectoren in de mate waarin ICT benodigd of gewenst is. In de update uit het najaar van 2016 zien we een toenemende trend in de mate van digitalisering in de sectoren. Zo wordt er vaker gebruik gemaakt van EPD (Elektronisch patiëntendossier)'s/ECD (Elektronisch cli?ntendossier)'s en vindt gegevensuitwisseling vaker elektronisch plaats. De aansluiting op het LSP (landelijk schakelpunt) groeit, en ook is er een stijging in het gebruik van patiënten/cliëntenportalen.
Per sector is de mate van digitalisering uitgedrukt in een set indicatoren. Deze zijn afgeleid uit een selectie van de enquête-vragen. Ze omvatten:
- De mate van elektronische dossiervoering.
- De intelligentie van EPD/ECD.
- De mate van gebruik van andere zorg-ICT.
- De mate waarin gegevensuitwisseling digitaal plaatsvindt.
Invulling ICT-management en NEN7510
Hoe wordt ICT-beleid en -beheer ingevuld en in hoeverre is er compliance aan NEN7510, de Nederlandse norm over informatiebeveiliging in de zorg. Deze norm geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen om de informatievoorziening te beveiligen. Deze norm is speciaal bedoeld voor organisaties in de gezondheidszorg. Uit de gesprekken met de koepels van verschillende sectoren in het najaar van 2016 blijkt dat er bij de sectoren een duidelijke toename is in de aandacht voor ICT-beleid. Dit uit zich ook in een toegenomen belangstelling voor het gebruik van (aspecten uit) NEN7510.
Per sector is een mate van ICT-management en compliance aan NEN7510 uitgedrukt in een aantal indicatoren. Deze zijn afgeleid uit een selectie van vragen en bijbehorende antwoorden. Ze omvatten:
- In hoeverre de rol van ICT is opgenomen in de zorgvisie en of er een ICT-beleidsplan is gemaakt
- De zorgvuldigheid waarmee het beheer is georganiseerd
- In hoeverre er aandacht wordt besteed aan informatiebeveiliging aan de hand van NEN7510
Mate van risicobewustzijn
Risicobewustzijn is net als voorgaande onderwerpen opgebouwd uit een aantal aspecten uit de enquête en hierin zitten ook aspecten van voorgaande thema’s verweven. Uit risicobewustzijn volgen attitude en gedrag van de medewerkers. Dit zijn aspecten die in alle sectoren belangrijk zijn, ongeacht de mate van digitalisering. Uit de update van het najaar van 2016 blijkt dat in alle sectoren het risicobewustzijn is toegenomen. Dit lijkt deels gestimuleerd te zijn door de invoering van de wet meldplicht datalekken. Meerdere koepelorganisaties geven hun leden ook voorlichting over het belang van informatiebeveiliging.
Per sector is de mate van risicobewustzijn uitgedrukt in een set van negen indicatoren. Deze komen deels uit de 'Mate van Digitalisering', deels uit de Invulling van ICT-management en NEN7510 en deels uit andere vragen in de enquête. Risicobewustzijn is hier opgebouwd uit:
- Mate van gebruik van veilige gegevensuitwisseling
- Invulling van het risicomanagement
- Inventarisaties van huidige ICT
- Aanwezigheid van een ICT-beleidsplan
- Gemiddelde van beheersmaatregelen
- Testen van nieuwe ICT-applicaties
- Compliance aan NEN7510