Verantwoord omgaan met risico’s vergroot de wendbaarheid van zorgorganisaties

2020 is het jaar waarin virtual health een enorme vlucht nam. Toen de meeste Nederlanders als gevolg van COVID-19 aan huis gekluisterd waren, schakelden de verschillende organisaties in het zorglandschap razendsnel naar een digitaal nieuw normaal. Het aantal virtuele consulten nam een vlucht, net als testen en diagnostiek op afstand. Zo gebruikten fysiotherapeuten videobellen om toch hun oefeningen met patiënten te kunnen doen en ontwikkelde het Rijk een corona-app die moet helpen om snelle verspreiding van het virus tegen te gaan.

Meer virtual health, waarin de zorg (nog) meer geconcentreerd is rondom de patiënt, is een van de vijf grote verschuivingen waar organisaties in het zorgecosysteem zich de komende jaren op moeten voorbereiden, zoals ’geschetst in de visie op De gezondheids(zorg)toekomst van Nederland. Daarnaast komt er meer focus op levensstijl, preventie en vroege diagnostiek en zal data ons helpen om gepersonaliseerde inzichten te krijgen en interventies te kunnen doen. Als gevolg van deze ontwikkelingen verandert de rol van de zorgprofessional flink: de aard van hun werk verandert als gevolg van onder meer robotisering en kunstmatige intelligentie. Tot slot zullen ook geldstromen en (daardoor) verdienmodellen een metamorfose ondergaan. Als er meer focus op preventie komt is ‘fee for service' niet langer houdbaar. Deze ontwikkelingen hebben ook grote gevolgen voor de risico’s waar zorgorganisaties mee te maken hebben.

Risicomanagement in de gezondheidszorg is veelal gefragmenteerd ingericht

Doordat deze risico’s zo veelzijdig zijn wordt het integraal inrichten van risicomanagement steeds belangrijker. Integraal risicomanagement staat echter bij veel zorgorganisaties nog in de kinderschoenen. Wij zien dat risico's lager in de organisatie goed worden gemanaged, maar dat een integrale visie op en integraal beleid voor die risico’s ontbreekt. Traditioneel ligt de focus in ziekenhuizen bijvoorbeeld op patiëntveiligheid. Artsen weten doorgaans heel precies welke risico’s er bij een operatie komen kijken. Bij de introductie van een nieuwe, kansrijke, revolutionaire operatiemethode wordt via de prospectieve risico-inventarisatiemethode bij elke stap elk risico zorgvuldig geanalyseerd. Hierdoor zijn artsen en verpleegkundigen wendbaar: ze weten meteen hoe ze moeten handelen als een risico werkelijkheid wordt. Daardoor kunnen ze de methode gebruiken en hun werk op een verantwoordelijke manier én met vertrouwen doen. Bij andere afdelingen is er echter vaak weer een heel andere visie op en omgang met risico’s. Ze worden verschillend gemonitord en er wordt op een verschillende manier over gerapporteerd. Er is geen zicht op de connectie tussen de risico’s van verschillende afdelingen en de samenhang met de organisatiedoelstellingen.

Deze benadering van risico’s moet ook organisatie breed worden toegepast. In de eerste plaats omdat integraal risicomanagement een belangrijke bijdrage kan leveren aan de strategische doelstellingen van een organisatie. Daarnaast omdat zowel burgers als financiers en andere stakeholders dat van hen verwachten, maar ook omdat het past bij de belangrijke, verantwoordelijke rol die deze organisaties hebben in onze maatschappij en — zeker niet in de laatste plaats — bij een gezonde bedrijfsvoering. Een zorgorganisatie met integraal risicomanagement opereert efficiënter; er worden geen dingen dubbel gedaan en de administratieve lasten van de organisatie als geheel worden verlicht. Organisaties die hun risicomanagement op orde hebben zijn wendbaarder en kunnen goed omgaan met grote en kleine veranderingen. Dat wekt weer vertrouwen bij stakeholders. Zo kunnen ze hun stempel zetten op de toekomst van gezondheid in Nederland en bijdragen aan betaalbare en betere preventie en zorg.

Drie grote risico’s voor zorgorganisaties van de toekomst: cybersecurity, privacy en veranderende wetgeving

Laten we eens inzoomen op drie specifieke risico’s in het zorglandschap waarvoor die integrale risicobenadering relevant is: cybersecurity, privacy en veranderende wetgeving. Als er op het gebied van cybersecurity iets misgaat, staat de continuïteit van zorg op het spel. Wanneer er niet goed wordt omgegaan met risico’s op het gebied van privacy en wet- en regelgeving kan dat reputatieschade opleveren, en/of financiële schade in de vorm van boetes.

Cybersecurity: een robuuste, organisatie brede aanpak

Ook in de zorgsector zijn vrijwel alle organisaties digitale organisaties geworden. Dat helpt hen om hun werk beter te kunnen doen: dankzij nieuwe technologie kunnen organisaties de zorg verder verbeteren en tegelijkertijd efficiënter opereren. Tegelijkertijd is de afhankelijkheid van goed functionerende ICT enorm gegroeid. Voor de meeste handelingen in ziekenhuizen en andere zorgorganisaties is betrouwbare ICT — soms letterlijk — van levensbelang. Het IT-landschap is echter meestal een complexe opeenstapeling van verschillende gekoppelde systemen die door verschillende afdelingen op verschillende manieren worden gebruikt. Veel medische technologie is gekoppeld aan die systemen en vaak blijken dat zwakke schakels. Deze systemen kunnen als springplank voor aanvallers fungeren om op het netwerk van een ziekenhuis te komen of ze worden geraakt als ‘collateral damage’ tijdens een malware-uitbraak.

Ook de Onderzoeksraad voor Veiligheid schreef begin vorig jaar in het rapport Patiëntveiligheid bij ICT-uitval in ziekenhuizen: "De toenemende ICT-afhankelijkheid maakt dat het voor de ziekenhuissector hoe dan ook nodig is om de digitale weerbaarheid op orde te brengen." Dat kan met een robuuste, integrale aanpak van cybersecurity. Wij kunnen ons volledig vinden in de aanbevelingen van dit rapport. Die zeggen bijvoorbeeld dat zorginstellingen de afhankelijkheden tussen zorg en ICT periodiek in kaart moeten brengen, dat ICT-systemen periodiek getest moeten worden en dat ernstige ICT-uitval grondig geanalyseerd moet worden. Ook adviseert de Veiligheidsraad dat zorginstellingen jaarlijks over deze bevindingen rapporteren.

Op hoger niveau adviseert de raad ziekenhuizen dit vraagstuk gezamenlijk te benaderen en dat er handvatten moeten komen voor het beheersen van de risico’s van uitval van ICT. Die analyse zou niet alleen moeten gaan over de technologie die binnen ziekenhuizen wordt gebruikt maar ook over technologie die patiënten thuis gebruiken. Denk hierbij aan apparaten voor thuisdiagnoses, wellness-apps en insulinepompen. Om dit proces te versnellen, is een toezichthoudende rol nodig en een ketenvoorschrift dat wordt gehandhaafd. In dit ketenvoorschrift moeten de technische vereisten, rollen en verantwoordelijkheden van de verschillende actoren — ziekenhuizen, leveranciers, eindgebruikers, patiënten en de rol van de toezichthouder zelf —bindend worden uitgewerkt.

Cybersecurity is niet alleen de verantwoordelijkheid van de IT-afdeling. Alle lagen van organisaties in het zorglandschap moeten zich bewust worden van de urgentie van dit thema: het bestuur, maar ook de professionals in de operatiekamer en de afdeling inkoop. Security by design zou het uitgangspunt moeten zijn, en gedegen processen zouden moeten voorzien in het permanent behouden van het veiligheidsniveau ook bij samenwerkingen met andere partijen.

Datagebruik in alle organisatieonderdelen vergroot het risico op privacy schendingen

In het zorgecosysteem van de toekomst is data onmisbaar. Bij preventie, maar ook bij gepersonaliseerde behandelingen en de manier waarop beide uiteindelijk vergoed worden speelt data een belangrijke rol. De wetgever bestempelt medische gegevens als een speciale categorie persoonsgegevens, met extra strenge eisen die worden afgedwongen door de Autoriteit Persoonsgegevens. Desondanks zien we nog steeds regelmatig voorbeelden van privacy schendingen van een of meerdere patiënten. Denk aan patiëntendossiers die niet voldoende beveiligd zijn, of zorgprofessionals die laptops of uitgeprinte patiëntgegevens onbeheerd achterlaten. Deze data zijn bij kwaadwillenden in trek omdat ze vrijwel altijd een combinatie zijn van het BSN, de geboortedatum en het adres en telefoonnummer. Met die gegevens in handen is het eenvoudig om iemands identiteit te misbruiken; zelfs makkelijker dan bij creditcardfraude omdat banken dat tegenwoordig al binnen enkele minuten kunnen detecteren.

Optimaal profiteren van de mogelijkheden die data ons biedt kan alleen als we er op een zorgvuldige manier mee omgaan. Daarom moeten zorgorganisaties een stevig privacy beleid neerzetten en goed toezicht houden op de naleving daarvan. Privacy by design zou het uitgangspunt moeten zijn. Dat vraagt om een verandering van gedrag, maar ook om het inzetten van privacy versterkende technologieën.

Als een zorginstelling bijvoorbeeld een derde partij inschakelt om gegevens te verwerken, dan moet de instelling als verwerkingsverantwoordelijke contractuele afspraken maken met deze derde partij, zodat deze zich ook aan de privacy vereisten houdt. Zo niet, dan kan de zorginstelling verantwoordelijk worden gehouden voor inbreuken door die derde partij. Deze afspraken worden vastgelegd in een gegevensverwerkingsovereenkomst (of “Data Processing Agreement”). De zorginstelling verkleint risico’s door samen met de derde partij mee te denken over processen en beschermingsmaatregelen en door het monitoren van de implementatie van de gemaakte afspraken.

Tegelijkertijd kunnen Privacy Enhancing Technologies ook helpen: die beschermen patiëntgegevens en zorgen er tegelijkertijd voor dat deze altijd actueel en toegankelijk zijn voor de professionals en systemen die ermee werken. Denk bijvoorbeeld aan pseudonomisering: een complexe op encryptie gebaseerde technologie die het mogelijk maakt gegevens uit te wisselen met derde partijen, of zelfs alleen de resultaten van analyses te delen, zonder de identiteit van de patiënt prijs te geven.

Anticiperen op veranderende wet- en regelgeving: loop voor de troepen uit

Doordat de sector zo snel verandert, verandert de wet- en regelgeving in de gezondheidszorg ook continu. Wetgevers en toezichthouders reageren bijvoorbeeld op nieuwe technologieën, onderzoeksmethoden en businessmodellen of op de input van consumenten(organisaties). De meeste organisaties reageren pas als dit soort wetgeving in een vergevorderd stadium is of wanneer deze wordt ingevoerd.

Integraal risicomanagement kan organisaties helpen om dit risico proactief te benaderen. Er is beter zicht op wat komen gaat en wat dat voor de organisatie en de bedrijfsdoelstellingen betekent. Vervolgens kan een organisatie die risico’s integraal managet ook sneller handelen: die is immers wendbaarder dan een organisatie waar risico’s in silo’s worden gemanaged.

Integraal risicomanagement als topprioriteit

Integraal risicomanagement is hét antwoord op de grote verschuivingen die momenteel in de zorg gaande zijn. Zorgorganisaties die op een verantwoorde manier hun werk willen doen, hebben een holistische visie nodig om privacy en cybersecurity te kunnen optimaliseren en om goed in te kunnen spelen op veranderende wetgeving. Een visie die aansluit bij de strategie en een visie die die strategie versterkt.

Meer informatie?

Meer weten over hoe risicomanagement meer integraal ingericht kan worden in uw (zorg)organisaties? Neem contact op met Aida Demneri.