Het Havenziekenhuis is één van de kleinste ziekenhuizen van Nederland. Daar tegenover staat dat dit Rotterdamse ziekenhuis het grootste havenziekenhuis ter wereld is. Het imago van het ziekenhuis is van oudsher gebaseerd op de specialisatie in Tropengeneeskunde. Sinds 2005 is het Havenziekenhuis onderdeel van het Erasmus MC.
“In 2008 hebben we onze koers bepaald, waarbij we de missie en visie van onze organisatie aangescherpt hebben, vertelt Marcel van Schadewijk, algemeen manager binnen het Havenziekenhuis. “We hebben een aantal speerpunten benoemd waarbinnen wij als ziekenhuis willen excelleren: ouderengeneeskunde, tropengeneeskunde, tegenwoordig ook wel ‘reizigersziekten’ genoemd en de algemene basiszorg. Anders gezegd, wij leveren zorg waar huisartsen behoefte aan hebben. We zijn heel realistisch, kennen onze beperkingen, datgene wat wij niet kunnen, sluizen we door naar enerzijds het Erasmus MC en anderzijds naar het Sint Franciscus Gasthuis. Cor Gunther, hoofd informatievoorziening en automatisering, vertelt verder: “In die kleinheid, met 500 FTE, zijn we ook een echt familieziekenhuis. Alles wat we doen, doen we gezamenlijk. Als er discussie is over inhoudelijke zaken dan zit de directie om tafel met de medewerkers.”
Een papierloos ziekenhuis
De manier waarop het Havenziekenhuis omgaat met haar bedrijfsvoering komt ook terug in de manier waarop zij omgaan met informatiebeveiliging. Marcel vertelt: “Ons doel is op korte termijn een ‘papierloos’ ziekenhuis worden. Om dit te bewerkstelligen is het belangrijk dat de informatiebeveiliging op orde is. Maar waar staan we dan op het gebied van informatiebeveiliging? Om inzicht te krijgen in de stand van zaken rondom onze informatiebeveiliging heeft de huis-accountant vorig jaar een nul-meting gedaan. Uit de nul-meting kwam naar voren dat er onvoldoende awareness was binnen het ziekenhuis en geen duidelijke voorschriften. Er was dus ook geen standaardisering van ‘hoe ga je nu om met informatiebeveiliging’, waarbij de organisatie smacht naar een IT voorziening die op orde is. We zijn in eerste instantie aan de slag gegaan met een plan van aanpak. Daarin staan de basale zaken. Dit hield onder andere in: het maken van een informatiebeveiligingsplan, benoemen wie waar voor verantwoordelijk is en het maken van risicoanalyses. En, we hebben er ook voor gezorgd dat de schermen van de computers na een periode van inactiviteit op “zwart” gaan, zodat patiënten geen toegang hebben tot elkaars informatie.”
Havenmanieren
Het plan van aanpak is gemaakt door de stafhoofden. Het ziekenhuis koos ervoor niet één iemand verantwoordelijk te maken voor het uitrollen van de maatregelen, maar dit met alle teams gezamenlijk te doen. De ‘kartrekkers’ zijn hierin Cor Gunther en Karin Alberda, hoofd marketing en communicatie. “Bij informatiebeveiliging wordt er al snel gekeken naar ICT, maar het raakt alle onderdelen van het ziekenhuis. Je hebt met bedrijfsvoering en zorgverlening te maken. Alle stafhoofden hebben binnen informatiebeveiliging aandachtsgebieden waarvoor zij verantwoordelijk zijn. Daarom is het goed dit gezamenlijk aan te vliegen, aldus Karin.” Cor vertelt verder: “Zeker als het gaat om awareness kweken bij het personeel. Het werkt beter als iemand anders zegt dat de computer gelocked moet worden dan dat de manager van dat eigen team dat doet. Bovendien gaat het om de wijze hoe je binnen het ziekenhuis met elkaar om wilt gaan. Het heeft heel erg met gedrag te maken. Dat gedrag sloot naadloos aan op wat wij noemen de ‘Havenmanieren’.”
De Havenmanieren waar Cor over spreekt zijn de gedragscodes zoals die binnen het Havenziekenhuis bekend zijn, oftewel de normen en waarden van dit ziekenhuis. Alles is binnen het ziekenhuis logischerwijs haven gerelateerd, dus de naam is voor de hand liggend. Voordeel voor het Havenziekenhuis was dat ze hier op voort konden borduren met de regels voor informatiebeveiliging.
Karin vertelt: “We zijn ruim een half jaar geleden begonnen met het plaatsen van berichten rondom informatiebeveiliging, nadrukkelijk gekoppeld aan de ‘Havenmanieren’, in de interne nieuwsbrief om meer awareness te creëren. We hebben een aantal voorbeelden aangedragen waarom informatiebeveiliging zo belangrijk is en waarom het in het belang van de patiënt is dat deze regels worden nageleefd.”
Om de bewustwording bij de medewerkers te vergroten zijn er nog een aantal concrete acties ingezet. Het Havenziekenhuis heeft een prijsvraag met de titel ‘De gouden veiligheidsspeld’ in het leven geroepen. ‘De gouden veiligheidsspeld’ wordt eind november uitgereikt aan het team dat het beste initiatief toonde op het gebied van. Tijdens het bewustwordingstraject is er ook gebruik gemaakt van ‘Mystery-Wuppies’. Deze aandachttrekkers werden aan de teamleiders uitgedeeld. Zij plakten deze weer op plekken waar informatiebeveiliging goed ingezet werd of waar dit beter kon, om er zo de focus op te leggen. Vaak werden deze ‘Wuppies’ vergezeld met boodschappen als: ‘Goed opgelet!’ of ‘Vergeet niet je computer te locken’.
Samenwerking
Er is door de Nederlandse Vereniging van Ziekenhuizen (NVZ) een toetsingskader vastgesteld op het gebied van informatiebeveiliging (de zogenaamde NEN 7510 norm). Om op het gebied van informatiebeveiliging verder te professionaliseren en te voldoen aan de eisen van de Inspectie voor de Gezondheidszorg , besloot het Havenziekenhuis dit toetsingskader als uitgangspunt te nemen voor de audit. Het plan van aanpak lag er en werd ook al grotendeels uitgevoerd, de medewerkers waren op de hoogte van het nut en vooral de noodzaak van informatiebeveiliging, nu was het zaak de koe bij de horens te pakken. “Er zijn een heleboel zaken in gang gezet om de informatiebeveiliging binnen ons ziekenhuis te optimaliseren. De nul-meting lag er en we wisten dus waar we moesten professionaliseren. Maar het is nog belangrijker te weten of je de goede weg in geslagen bent. We wilden dit helder krijgen door middel van een audit. We kozen voor PinkRoccade Healthcare om deze audit te laten uitvoeren, aldus Cor.”
De samenwerking tussen het Havenziekenhuis en PinkRoccade Healthcare gaat terug naar 2006. Vanaf toen heeft PinkRoccade steeds kleine onderzoeken gedaan teneinde de ICT-voorzieningen voor dit ziekenhuis te optimaliseren.
Marcel: “De keuze voor PinkRoccade Healthcare voor de audit had twee redenen. Enerzijds is de relatie die we hebben goed en betrouwbaar. PinkRoccade heeft gevoel bij de kleinheid van onze organisatie. De combinatie van kennis van de gezondheidszorg van oudsher, het heden en de toekomst is een grote pré. Ook gaf de NVZ aan strategische zaken te doen met PinkRoccade Healthcare en zeer tevreden te zijn over PinkRoccade als IT-partner. We zijn als ziekenhuis wel gek om het wiel nog eens uit te vinden. Keep it simple en smart!”
De audit
“Er vond eerst een pre-audit plaats, in de vorm van een voorgesprek tussen de auditor van PinkRoccade Healthcare en het Havenziekenhuis. We bespraken hoever we stonden in het proces en hoe we handen en voeten gingen geven aan de audit. Op de actielijst vanuit het toetsingskader, zijn de zaken afgevinkt die al in orde waren. Hieruit kwam dat we, door de puntjes op de I te zetten, aan de eisen kunnen voldoen,” vertelt Cor.
De auditor van PinkRoccade Healthcare heeft twee weken inspectie gelopen binnen het Havenziekenhuis. Een audit wordt altijd gestart met een documentanalyse, dit valt ook binnen het verplichte toetsingskader. Vanuit deze analyse zijn er interviews gehouden met medewerkers om te toetsen dat wat er in de documenten staat ook daadwerkelijk uitgevoerd wordt. Het gaat hier met name om borgingsaspecten: voert men het beleid uit? Wordt het plan van aanpak uitgevoerd? Wordt er inderdaad gewerkt aan het bewustwordingstraject? Om de cirkel rond te krijgen worden er ook inspecties gelopen. Op deze manier komt er een gedegen rapportage tot stand.
Helemaal blanco
“We hebben onze medewerkers niet van te voren ingeseind over de komst van de auditor. We wilden ons zelf de spiegel voorhouden en mensen niet van te voren beïnvloeden, want dan krijg je een vertekend beeld. Het enige dat we hebben gezegd is: dit is informatiebeveiliging en het is belangrijk om ons verder te professionaliseren. We hebben laten gebeuren wat er kon gebeuren en niet geforceerd kasten dicht getrokken of bureaus opgeruimd, vertelt Marcel.”
Karin vervolgt: “Medewerkers reageerden positief op de audit. Met name door het bewustwordingstraject dat zich van te voren al had afgespeeld. De medewerkers waren zich ook bewust van het belang van informatiebeveiliging. Er was weinig weerstand, maar de meesten moesten wel even wennen aan bepaalde maatregelen. Het belang van informatiebeveiliging met betrekking tot gegevens van patiënten wordt door iedereen gedeeld, dus onze medewerkers gingen er ook in mee.” Cor vult aan: “Een bekend spreekwoord geeft dit mooi weer: ‘Geen glans zonder wrijving’. Dat was zeker hier van toepassing, al was dat wel minimaal.”
Het eindoordeel
“We zijn een lerende organisatie. We zijn op een voldoende niveau bezig met informatiebeveiliging en we hebben een grote positieve verandering doorgemaakt als het gaat om bewustwording. We zien de audit als een onderdeel van het opnieuw inrichten van het systeem. Voor ons is bevestigd dat we op de goede weg zijn en het geeft ons zekerheid dat we deze weg moeten blijven volgen. Het is niets anders dan een kwaliteitssysteem waarbij je steeds een blokje aan het bouwwerk toevoegt. De blokjes zijn voor de audit toegevoegd en na de audit gaan we door met bouwen. We zijn trots dat we dit als klein ziekenhuis binnen een jaar hebben bewerkstelligd. We laten zien dat we informatiebeveiliging serieus nemen en voldoen aan de wettelijke voorschriften. We hebben de uitkomsten van de audit laten zien aan de inspectie en zij zijn er ook blij mee. Toch is het voor ons niet voldoende, het moet nog verder verfijnd worden. De standaarden zijn er en we gaan verder met het kweken van de juiste attitude en zo moet het doorgroeien in de haarvaten van onze medewerkers. Het draagvlak hiervoor vergroten we door de uitkomst van het auditrapport, in werkoverleggen en de interne nieuwsbrief, te communiceren naar alle medewerkers.
De toekomst
Het Havenziekenhuis gaat nu verder met het specificeren van de globale risicoanalyse. Deze analyse is opgedeeld in vier elementen: gebouw falen, technisch falen, menselijk bewust falen en menselijk onbewust falen. Deze elementen krijgen de kleur rood toebedeeld als er nog een boel verbeterd moet worden, oranje als er een aantal zaken verbeterd moeten worden en groen als het goed is. “Hier komt een nog gedetailleerdere risicoanalyse uit. We doen dit weer voor het hele systeem en niet alleen vanuit het onderdeel informatiebeheer. We krijgen hierdoor antwoord op de vragen: ‘Kan iemand hier zonder toegangsbewijs het gebouw in?’, ‘Wat gebeurt er als de stroom uit valt?’, Wat als medewerkers bewust patiëntendossiers mee naar huis nemen?, maar ook ‘Wat gebeurt er als 30% van het personeel omvalt, omdat er een Mexicaanse griep heerst? Het in kaart brengen van de risico’s leidt er toe dat er een calamiteitenplan ligt, dat bestaat uit een plan van aanpak om tijdig en wanneer nodig op dit soort zaken in te springen,” sluit Marcel af.