IGJ toetst veiligheid e-health bij ziekenhuizen

De IGJ besteedt vanaf 2018 structureel aandacht aan e-health bij zorginstellingen. Vandaag heeft de inspectie een rapport gepubliceerd over een verkennend bezoek aan Isala en het Spaarne Gasthuis. De IGJ ziet goede punten in de toepassing van e-health, maar op het gebied van informatiebeveiliging zijn er nog stappen te zetten.

Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
IGJ e-health onderzoek
Foto: iStock

In het najaar van 2017 is de IGJ begonnen met het uitvoeren van verkennende bezoeken bij zorginstellingen. Het gaat daarbij om organisaties die actief gebruik maken van e-health toepassingen.

Isala

Isala in Zwolle is volgens de inspectie in de actief lerende fase bij de implementatie van e-health. De raad van bestuur is nauw betrokken bij de e-healthontwikkelingen.  Er wordt gebruik gemaakt van veel initiatieven, waarvan een aantal al geruime tijd is doorontwikkeld. ‘In dit stadium is echter nog niet uitgekristalliseerd welke stappen nodig zijn om de omslag te maken van innovatieve experimenten naar de geborgde productieprocessen’, aldus de inspectie. Zo waren er geen structurele prospectieve risicoanalyses of formele evaluaties terug te vinden bij de telemonitoring van hartfalen.

Elektronische informatie-uitwisseling met partijen in de regio vindt plaats, maar er is geen overkoepelende visie ontwikkeld op dit thema, constateert de IGJ. Als verbeterpunt krijgt Isala mee om te waarborgen dat patiënten om toestemming wordt gevraagd voor het delen van diens EPD met externe zorgverleners. ‘Het ziekenhuis regelt weliswaar in overeenkomsten met externe zorgaanbieders dat zij toestemming dienen te vragen, maar controleert niet dat deze toestemming werkelijk is gevraagd.’ De inspectie verwacht dat het ziekenhuis hiervoor aandacht heeft. ‘Bewerkersovereenkomsten helpen garanderen dat het ziekenhuis de controle houdt over patiëntgegevens’, aldus de inspectie.

Het Spaarne Gasthuis

Het Spaarne Gasthuis in Hoofddorp is druk in de weer met de strategische ontwikkeling en werkprocessen met e-health. ‘Het ziekenhuis werkt proactief aan versterking van de organisatie en de processen rondom e-health.’ Het ziekenhuis is op bestuurlijk niveau betrokken bij een regionale samenwerkingsorganisatie.  Er is echter nog geen sprake van een werkwijze waarbij processen formeel zijn gedocumenteerd en vastgesteld, structureel worden gevolgd en gestandaardiseerde sturingsinformatie wordt aangeleverd.

Informatiebeveiliging

Op het gebied van informatiebeveiliging zijn er bij beide ziekenhuizen nog stappen te zetten. Zo heeft Isala maatregelen genomen om directe problemen te behoeden, ‘maar de aandacht voor informatiebeveiliging in de organisatie als geheel heeft nog niet voldoende fundament.’ De inspectie verwacht dat de voorgenomen versterking van de governancestructuur voortvarend ter hand wordt genomen. De IGJ constateert dat het Spaarne Gasthuis het voornemen heeft om de informatiebeveiliging en de continuïteitsplanning verder te versterken. Aan beide ziekenhuizen wordt als verbetering meegegeven om de veilige toepassing van e-health-diensten middels risicoanalyses te bevorderen. Bovendien moeten Isala en het Spaarne Gasthuis beide aantoonbaar maken hoe zij aan de NEN7510 voldoen, zodat er sprake is van een lerend managementsysteem op het gebied van informatiebeveiliging.

Betrokkenheid patiënten

Beide ziekenhuizen betrekken de patiënten actief bij de ontwikkelingen van e-health. Zo betrekt Isala patiënten bij tevredenheidsonderzoeken voor telemonitoringdiensten. Het Spaarne Gasthuis zet stappen door patiëntvertegenwoordiging in de IT-adviesraad en de regionale samenwerkingsorganisatie op te nemen.

Verbeterplan IGJ

De inspectie constateert dat hoewel beide ziekenhuizen ver zijn met het ontwikkelen en toepassen van e-health, er verbeterpunten zijn. Isala heeft tot 30 april 2018 de tijd om een verbeterplan en resultaten aan de inspectie te leveren omtrent de NEN 7510-richtlijn. Ten aanzien van het borgen van toestemming verwacht de inspectie dat uiterlijk 28 februari 2018 door het ziekenhuis wordt beschreven op welke wijze het ziekenhuis controle uitvoert of partijen die inzage in het EPD kijken, ook toestemming hebben gevraagd aan de patiënt.

‘De inspectie acht actieve opvolging op dit moment niet noodzakelijk’, concludeert de IGJ over het Spaarne Gasthuis. Tijdens het bezoek zijn geen situaties aangetroffen die een zodanig risico vormen voor het verlenen van veilige en goede zorg, dat zij de inspectie nopen tot het opleggen van een bestuursrechtelijke maatregel.

Geef je reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.