Met zo’n 250 bedden, 1200 man aan personeel, ongeveer 80 specialisten en een omzet van zo’n 82 miljoen euro is De Tjongerschans een middelgroot algemeen ziekenhuis. Het adherentiegebied beslaat het zuiden van de provincie Friesland, een deel van de Noordoostpolder en de kop van Overijssel. Ook al is het ziekenhuis relatief klein, groot is het op gebied van informatieveiligheid. Onlangs werd ziekenhuis De Tjongerschans geaudit en werd het door PinkRoccade Healthcare bestempeld als ‘informatieveilig’.
Op de vraag ‘wat de patiënt nu van dit predicaat merkt’, zegt Bert Tromp (foto rechts), manager facilitair bedrijf en gedelegeerd portefeuillehouder informatieveiligheid vanuit de Raad van Bestuur, gekscherend: “als het goed is helemaal niets”. “Maar dat is ook weer niet helemaal waar”, vervolgt hij. “Wij zijn nadrukkelijk bezig om onze missie te vervullen en die is dat wij patiënten op gastvrije wijze moderne, effectieve en efficiënte tweedelijns basiszorg aanbieden. Dat doen wij zoveel mogelijk in samenwerking met onze partners in de regio. We werken hier met patiënten en daar hoort patiëntveiligheid vanzelfsprekend bij, hier in het ziekenhuis maar ook in de regio. De patiënt moet zich veilig voelen en niet het idee hebben dat zijn of haar gegevens zomaar ‘op straat liggen’. In die zin merkt de patiënt daar dus vanzelfsprekend weinig van”, sluit Bert af.
Nog even verder nadenkend over de vraag wat de patiënt er aan heeft, gaat Bert verder: “Hetgeen wij uitstralen is hetgeen wij ook zijn als ziekenhuis. Onze uitstraling in het gehele ziekenhuis is opgeruimd, netjes, een gastvrije omgeving. Het geeft de patiënt een gevoel van rust, organisatie en dat zijn of haar privacy geborgd is. Wij beschikken over het algemeen niet over rommelige gangen, balies waar dossiers liggen of printerplekken met allerlei achtergebleven printjes met patiëntgegevens. Dat is allemaal verleden tijd. De opgeruimde uitstraling vertaalt zich terug naar onze processen: ook die zijn georganiseerd, efficiënt en effectief”. Uit de door PinkRoccade Healthcare uitgevoerde audit op gebied van informatiebeveiliging bleek dat ook al snel. Daar waar normaal gesproken bij visuele waarnemingen met behulp van foto’s tientallen overtredingen worden geconstateerd, bleef het ‘rolletje’ bij De Tjongerschans opvallend leeg.
“Deze stempel op onze informatieveiligheid is de bekroning van ons project”, gaat Janneke Hofstede (foto links), projectleider ICT en informatieveiligheid, verder. “Het is de eerste stap in de richting van de implementatie van ons EPD. Onze professionals zijn zich superbewust geworden van het werken met gevoelige informatie. Dat maakt de implementatie van een nieuw EPD veel makkelijker: men weet dat alles digitaler wordt en moet, en dat men daar zorgvuldig mee om moet gaan. Door de implementatie van het EPD verwachten wij zelfs de grootste besparingen te kunnen realiseren door de administratieve lasten terug te dringen”. “Maar besparingen zijn er nu ook al”, vertelt Bert aanvullend. “Opgeruimde gangen en balies maken het mogelijk om ook zeer efficiënt schoon te maken, voordelen zitten in hele kleine zaken”.
Janneke geeft uitleg over de projectmatige aanpak voor informatiebeveiliging. “Het project startte met het formuleren van beleid en het uitvoeren van een nulmeting. In totaal zijn zo’n 11 deelprojecten gedefinieerd zoals testen, communicatie, beschikbaarheid, continuïteit, meldingen incidenten, een audit en de organisatorische borging. Alle projecten hebben we zelf uitgevoerd en zijn mensen vrijgemaakt om invulling te geven aan hun rol”. “Zo ben ik zelf vrijgesteld door ICT om de rol van projectleider en Informatieveiligheidsadviseur in te vullen”, vervolgt Janneke.
“Om de bewustwording te stimuleren hebben we veel acties ondernomen: publicaties in ons maandelijkse schansnieuws, een enquête onder het personeel, communicatie via intranet, ophangen van posters, een quiz (met prijzen), maar ook inspectierondes”. “Eén keer hebben we zelfs rode kaarten uitgedeeld. Dat was een unieke actie. Men vreest nog steeds voor rode kaarten, dus het heeft wel indruk gemaakt”, lacht Janneke. “Een aantal zaken hebben we nu ook nog even bewust zo gelaten. We veranderen niet alles in één keer. We nemen kleine stapjes in het veranderen, dan krijg je vaak iedereen mee in het veranderproces”.
Aan de borging in de lijn heeft het ziekenhuis ook veel gedaan. “Zo lopen de hoofden van de afdelingen mee bij de inspectierondes in het ziekenhuis. Dan ervaren ze zelf wat er zo hier en daar aan schort en wat niet patiëntveilig is”, vertelt Janneke. Maar de borging van de informatieveiligheid gaat veel verder dan dat. “6 van de 7 managementteamleden hebben een rol op het gebied van informatieveiligheid. Slechts de Voorzitter van de Raad van Bestuur heeft geen directe rol”.
“De audit op gebied van informatieveiligheid mochten wij niet zelf uitvoeren”, vertelt Janneke. “Daarvoor was vereist dat wij een externe partij inzetten. Via het NVZ kregen we een aantal partijen aangeleverd. De aanpak en de prijs speelden een belangrijke rol in het selectieproces”, vertelt Janneke. “Maar dat was niet het enige”, vult Bert aan. “We zijn natuurlijk ook intern gaan informeren bij welke partijen wij een goed gevoel hebben. Naast dat PinkRoccade de expertise bezit van lead auditors, hebben zij een no–nonsens mentaliteit, afspraak = afspraak. Dat past prima bij ons ziekenhuis. ‘Het vertrouwen in’ was daar! Dat hebben wij wel eens anders meegemaakt”. “Maar we moesten nog wel even checken of PinkRoccade echt objectief was”, vervolgt Janneke. “PinkRoccade begeleidt ons ook bij het opzetten van een nieuw verpleegkundig dossier op gebied van CS-EZIS, onder leiding van Barbara Brands, consultant bij PinkRoccade. Maar dit bleek niet bezwarend te zijn, dus was PinkRoccade voor ons de partij”, sluit Janneke af.
De afsluitende audit heeft PinkRoccade in opdracht van de Raad van Bestuur van ziekenhuis De Tjongerschans uitgevoerd. De audit is uitgevoerd conform het NVZ toetsingsreglement en geeft een indicatie over de mate waarin De Tjongerschans bezig is met de toepassing van de norm voor informatiebeveiliging. En de uitslag was ‘meer dan voldoende informatieveilig’. “Het was een prima samenwerking met een objectieve kroon op het project. Wederom maakte PinkRoccade waar wat het heeft beloofd”.
“De audit is dan wel een kroon op het project, maar het project is nog niet afgerond. Het ziekenhuis heeft zichzelf nog een jaar de tijd gegeven (tot september 2011) om informatieveiligheid ingebed te krijgen. De onderwerpen waar nog aan wordt gewerkt zijn onder meer autorisatie en de externe communicatie. Daarnaast heeft awareness wel voldoende gescoord tijdens de audit, maar uit een scholing is gebleken dat de awareness nog (lang) niet op het niveau is waarop wij dat graag zouden willen zien”, sluit Janneke af.