In 2010 trad ik in dienst bij ICTRecht. Vlak daarna stierf het landelijk EPD een politieke dood. Niet voldoende waarborgen voor de privacy, niet voldoende regie bij de veldpartijen. Fast Forward naar maart 2020, corona en de eerste lockdown. De digitalisering van de zorg in een stroomversnelling. De wetgever is gevraagd om (weer) de regie te nemen bij de digitalisering.
Nu is er een integraal zorgakkoord, met digitalisering (en standaardisering) als bouwsteen en versneller voor het samen werken aan gezonde zorg. Want de gedachte is, we moeten nu aan de slag voor een toekomstbestendige zorg. Maar waar begint u?
1. Integraal Zorgakkoord
2. Waarom nu aan de slag?
3. Plan van aanpak
4. Analyse
5. Implementatie
6. Audit en duurzaam onderhoud
In het Integraal Zorgakkoord (IZA) wordt aandacht besteed aan welke digitalisering bij kan dragen aan arbeidsbesparende en passende zorg. In 2025 is het de bedoeling dat elektronische gegevensuitwisseling de standaard is in de zorg en dat elke inwoner toegang heeft tot zijn of haar medische gegevens middels een persoonlijke gezondheidsomgeving (PGO). Het doel is dat in 2026 gebruik kan worden gemaakt van zogenaamde hybride zorgpaden (binnen sectoren).
Mede om passende en arbeidsbesparende zorg te faciliteren, om de gewenste samenwerking uitvoerbaar te maken, dient data (of beter gezegd gegevens) digitaal, eenduidig en gestandaardiseerd geregistreerd te worden in het zorgproces. Natuurlijk is het op deze manier registreren ook zeer nuttig voor het gewenste gebruik van data voor diverse secundaire doelen: denk aan zorg-, management- en stuurinformatie, maar ook het gebruik van data voor innovaties zoals AI-toepassingen.
Bij het gebruik van al deze informatie van de inwoners moet uiteraard rekening worden gehouden met - zeker als het gaat om deze secundaire doelen - proportionaliteit, doelbinding, de bescherming daarvan en de zeggenschap van de burger over zijn gegevens.
Een zorgaanbieder koopt over het algemeen ICT-toepassingen in voor een periode van 5 jaar of langer. Zodra u in beeld heeft wat u nodig heeft voor de door u gewenste digitalisering, kunt u dit meenemen bij uw inkoop of onderhandeling. Stel dat u verplicht bent om bepaalde uitwisselingen digitaal te doen over een jaar of over 4 jaar, dan kunt u dit nu bespreekbaar maken. Of als een bepaalde standaardisatie al heeft plaatsgevonden, denk aan NEN 7503:2022 ‘Gegevensuitwisseling in de zorg - Elektronische verwerking en uitwisseling van gegevens voor het voorschrijven en ter hand stellen van medicatie’. Dan moet een leverancier wel voldoen aan de eisen die voor zijn systeem gelden op basis van een dergelijke norm. Denk hierbij bijvoorbeeld aan de standaardisatie van koppelvlakken door de ICT-leverancier, in het kader van de interoperabiliteit.
Een andere reden is het feit dat voor de transformatiemiddelen geldt: “use it or lose it”. De transformatiemiddelen (geld) zijn enkel komende 5 jaar beschikbaar, aldus het IZA. Deze middelen zijn bedoeld om een transformatie te maken naar arbeidsbesparende passende zorg. Gebruikt u ze niet? Dan kunt u ze niet ten goede laten komen aan uw eigen vermogen.
En uiteindelijk geldt natuurlijk algemeen het nijpende tekort aan mensen in de zorg en de stijging van de belasting van de zorg. Naar alle waarschijnlijkheid zult u dus moeten besparen op de inzet van mensen, of vooral op de inzet van mensen met een bepaalde opleiding, bij het verlenen van zorg. Als u het IZA onderschrijft, en de daar genoemde stappen wilt ondernemen om tot passende en arbeidsbesparende zorg te komen, waar begint u dan met deze enorme opgave?
Vanuit ons perspectief kunnen wij u een plan van aanpak aanreiken. Ons doel daarbij is dat u de transformatie kunt inzetten, dus hybride zorgpaden kunt ontwikkelen en standaarden kunt implementeren zonder daarbij bestaande en nieuwe wetgeving uit het oog te verliezen.
Afgelopen jaren is er nogal wat regelgeving bij gekomen of aangepast op het gebied van ICT-gezondheidsrecht, de in onze ogen meest belangrijke onder elkaar:
De volgende relevante wet- en regelgeving is in de maak:
Ons plan van aanpak is een totaalaanpak. Waarom? Omdat er anders grote kans is dat het werk dubbel gedaan wordt binnen een zorginstelling, of dat bepaalde onderwerpen de agenda nooit halen. Vaak zijn er binnen een grote instelling namelijk meerdere initiatieven om te digitaliseren. Ook ziet u binnen een instellingen vaak verschillende functionarissen of experts die vanuit hun invalshoek bezig zijn met het (gaan) voldoen aan wet- en regelgeving of normen, denk bijvoorbeeld aan de FG en de CISO. Communicatie is hier nodig om overlap te voorkomen. Een totaalaanpak, waarbij goed gekeken wordt welke stakeholders moeten worden betrokken, zorgt voor meer waarde voor de zorginstelling als geheel.
Voordat de zorginstelling kan beginnen, moet het plan van aanpak en de scope van het project besproken worden met het bestuur van de instelling. Er is commitment vanuit het bestuur nodig om een dergelijk project tot een succes te kunnen maken. En de kennis van de verschillende initiatieven die al lopen is essentieel. Het bestuur heeft daar overzicht van. Samen met het bestuur wordt de scope van het project bepaald. Het plan van aanpak kent de volgende fases:
De analysefase start met een inventarisatie van de online diensten, applicaties en on premises software (hierna: het applicatielandschap of de applicaties) zoals in gebruik bij de zorginstelling en de data (gegevens) die daarin wordt verwerkt. Indien bekend, is het goed om ook te inventariseren met welk doel gegevens worden verwerkt. Dan moeten de datastromen in kaart worden gebracht. Extern naar intern en van intern naar extern.
Nadat applicatie, data en datastromen in beeld zijn, moet gekeken worden naar de roadmap of strategie: welke applicaties zijn end of life, of welke worden juist aangekocht of geïmplementeerd? Hoe gaat de zorginstelling de hybride zorgpaden vormgeven, welke samenwerkingen zijn op handen? Dan moet beoordeeld worden welke zorg er nu en in de toekomst geleverd gaat worden door de instelling.
Na deze inventarisatie moet gekwalificeerd worden aan de hand van de wet. Applicaties kunnen kwalificeren als zorginformatiesysteem (EPD, ECD), als uitwisselingssysteem maar daarnaast ook als medisch hulpmiddel. Want ja, software kan een medisch hulpmiddel zijn. Staat de ontwikkeling van een AI-toepassing op de roadmap? Goed om te beoordelen of de AI Act in de toekomst relevant zal zijn of dat bijvoorbeeld de ‘Leidraad kwaliteit AI in de zorg’[1] nog meegenomen kan worden bij ontwikkeling van AI.
De gegevens zijn mogelijk te kwalificeren als persoonsgegevens of bijzondere (medische) persoonsgegevens; als onderdeel van het medisch dossier of financieel dossier van de instelling; of zijn bedoeld voor het kwaliteitsonderzoek van de instelling; of datasets zoals gebruikt voor onderzoek.
Kwalificeer de datastromen waar mogelijk en nuttig, zijn de stromen toegestaan op grond van de wet en waarom? Goed om vast te stellen op welke grond en met welk doel data uitgewisseld wordt, bijvoorbeeld in het kader van verwijzing of het doen van onderzoek of ten behoeve uitbetaling door de zorgverzekeraar. Ten aanzien van de verwerking van persoonsgegevens (zoals onderdeel van de data en uitgewisseld middels datastromen) moet vastgesteld worden welke rol de zorginstelling heeft op grond van de AVG.
Vervolgens is het belangrijk de zorg te kwalificeren om vast te stellen welke wet (of wetten) van toepassing is. En om vast te stellen welke van de gegevensuitwisselingen van de “Meerjarenagenda” relevant zijn. Er staan er nu elf op de lijst[2], begin 2023 wordt de lijst uitgebreid met een selectie van gegevensuitwisselingen uit de richtlijn acute zorg.
Aan de hand van de inventarisatie en kwalificatie (en de afgesproken scope) moet een kader worden opgesteld. In dit kader staat, kort door de bocht, aan welke normen en welke wetgeving uw organisatie en uw applicatielandschap moet voldoen bij de gewenste digitalisering gezien de zorg die de instelling verleent of zal verlenen. Bij de nulmeting en GAP-analyse wordt vastgesteld, wat reeds geïmplementeerd is en welke GAP er is. Goed is altijd om daarbij vast te stellen waar dubbel werk kan worden voorkomen: is voor een bepaalde applicatie al privacybeleid geschreven of zijn autorisatieprofielen ontwikkeld; of is er al een groep aan de slag met de vertaling van een bepaalde standaardisatie naar wat dat betekent voor de instelling. Goed om in kaart te brengen in de GAP-analyse welk werk reeds gedaan is en elders in de organisatie gekopieerd kan worden.
De analysefase bestaat dus uit de inventarisatie en kwalificatie van het applicatielandschap, de data, datastromen en de zorg, nu en in de toekomst. Vervolgens moet het kader (juridisch- en normenkader) worden opgesteld op basis waarvan de nulmeting en GAP-analyse kan worden uitgevoerd.
Op de GAP-analyse kunt u een risicoanalyse doen. Mede op basis daarvan kunt u dan gedurende de implementatiefase de roadmap invullen.
Op basis van de nulmeting en GAP-analyse kan de zorginstelling starten met de implementatiefase. Deze fase bestaat uit het opstellen van een projectplan, een roadmap met prioritering en dan de daadwerkelijke implementatie.
Uiteraard hangt het af van de snelheid van de ontwikkeling van standaarden door NEN of het uitdenken van een hybride zorgpad, wanneer u daadwerkelijk aan de slag kunt met de implementatie. Het maken van een gedegen projectplan en een roadmap zorgt er wel voor dat u niet voor verrassingen komt te staan. Dat u bij inkoop bewust zult zijn van uw verplichtingen komende jaren. Ook krijgt u inzichtelijk welke transitie u moet doormaken om aan wet- en regelgeving te kunnen blijven voldoen. En daarnaast, als u ook aan de slag bent of gaat met bijvoorbeeld hybride zorgpaden of het samenwerken met andere instellingen om uw krachten en data te bundelen om tot inzichten te kunnen om arbeid te besparen, dan kunt u daar prioriteit aan geven binnen uw projectplan en roadmap.
Het opstellen van het projectplan en de roadmap zal u dus helpen om zicht te krijgen op uw verplichtingen (en risico’s) en koers te bepalen bij deze enorme opgave.
De implementatie kan bijvoorbeeld bestaan uit het uitwerken van beleid, het implementeren van normen, het opstellen van juridische documenten, maar ook aan het geven van trainingen aan medewerkers, en het creëren van awareness op bepaalde onderwerpen. Gedrag is immers altijd een grote factor waar u mee aan de slag moet bij een digitalisering.
Een voorbeeld van wanneer u bij digitalisering een interne of externe audit niet ontkomt. Bij het gebruik van een elektronisch patiëntdossier, oftewel een zorginformatiesysteem, moet u voldoen aan onder andere NEN7510. ‘Voldoen aan’ is niet hetzelfde als ‘gecertificeerd zijn voor’. Een interne audit is dan wel op zijn plaats, al wordt ook voor de instelling certificering steeds meer de norm als het gaat om informatiebeveiliging. Indien uw software kwalificeert als medisch hulpmiddel, en al gebruikt u dit enkel intern, dan nog is het kwaliteitsmanagementsysteem (bij medische hulpmiddelen: ISO 13485) verplichte kost.
Dus na implementatie, is een audit waarschijnlijk nodig. Onderdeel van dergelijke managementsystemen is altijd de ‘plan do check act’-cyclus. Deze cyclus vormt ook de basis van duurzaam onderhoud van hetgeen er geïmplementeerd is en het uitvoeren en waar nodig aanpassen van de roadmap. De strategie van de instelling kan wijzigen, denk aan nieuwe samenwerkingen of wijziging van de zorg die verleend zou gaan worden. Wetgeving is in beweging. Een en ander heeft effect op waaraan het applicatielandschap moet voldoen. De roadmap wordt dan aangepast zodat de zorginstelling grip houdt op deze enorme opgave.
Kunt u ondersteuning gebruiken bij de totaalaanpak? Vanuit ICTRecht hebben we expertise op het gebied van IT-gezondheidsrecht, privacy, security en tech. Wij ondersteunen u graag met advies of doorlopende ondersteuning.
[1] Leidraad voor kwalitatieve diagnostische en prognostische toepassingen van AI in de zorg, https://www.leidraad-ai.nl/
[2] https://www.gegevensuitwisselingindezorg.nl/gegevensuitwisseling/uitleg-over-de-wet/meerjarenagenda-wegiz
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.