Blog:

Risicobeheersing bij digitale transformatie in de zorg

06 juli 2022

De zorgsector digitaliseert al jaren in een rap tempo en door de coronapandemie is deze ontwikkeling nog meer in een versnelling gekomen. Er worden steeds meer innovatieve toepassingen geïmplementeerd en daarmee gekoppeld aan de huidige IT-omgeving. Het bekendste voorbeeld is wellicht (doorontwikkeling van) het EPD (Elektronisch Patiënt Dossier), waarmee de patiënt (ook digitaal) centraal wordt gesteld. Daarnaast is het, mede door stimulering vanuit de overheid, steeds normaler geworden dat zorginstellingen digitaal gegevens met elkaar en de patiënt uitwisselen (bijv. VIPP). Mooie stappen qua digitalisering, met nog veel meer potentieel om de zorg te verbeteren.

Toename van kwetsbaarheden

De IT-omgeving is met de toenemende digitalisering echter ook steeds kwetsbaarder, bijvoorbeeld voor cyber security incidenten. Zo bestaan er meer koppelingen naar andere online softwaretoepassingen dan een aantal jaar geleden. Dit betekent dat er ook steeds meer ‘ingangen’ voor kwetsbaarheden ontstaan. Daarnaast is de afhankelijkheid van IT sterk gestegen, waardoor een incident een directe impact kan hebben op de zorg. De vele ontwikkelingen brengen logischerwijs ook geregeld veranderingen met zich mee, zoals de implementatie van een nieuwe softwareversie of infrastructurele wijziging. Deze veranderingen vergroten het risico op uitval van IT. Tot slot heeft de zorgsector de afgelopen jaren (delen van) de IT-omgeving uitbesteed aan IT-partners en SaaS-leveranciers. Hierbij zijn bepaalde leveranciers marktleider en bedienen een groot aantal zorginstellingen. Een verstoring bij één van deze marktleiders heeft dan ook direct invloed op veel zorginstellingen.

Al met al uitdagende context voor u als bestuurder of toezichthouder. Als zorgbestuurder en als Raad van Toezicht zal u niet alleen in staat moeten zijn de juiste IT-vragen te stellen, maar ook de antwoorden daarop te begrijpen. Daarbij biedt IT grote kansen voor een zorginstelling, maar is het ook een grote kostenpost waar de nodige risico’s voor de bedrijfsvoering aan gekoppeld zijn. Het simpel leunen als bestuurder of toezichthouder op uw CIO/CTO, IT-manager of IT-projectmanager kan in de huidige tijd niet meer. Maar hoe weet u of u de juiste vragen stelt?

Er zijn verschillende mogelijkheden om hiermee om te gaan. Startpunt is het vergroten van uw eigen kennis. Er zijn tal van cursussen en korte opleidingen beschikbaar om meer begrip te krijgen van IT-ontwikkelingen, digitalisering, digitale transformatie en de risico’s die hiermee samenhangen. Belangrijk hierbij is om de huidige IT-organisatie, onderliggende techniek en ontwikkelingen te leren ontrafelen en kaderen. Op deze manier wordt de omvangrijke IT-omgeving en het brede domein van digitalisering opgeknipt in overzichtelijke delen en leert u dezelfde taal spreken als de IT-verantwoordelijke binnen uw organisatie.
Uiteraard is IT een te omvangrijk onderwerp om hier alles van te weten en in detail op de hoogte te blijven van alle ontwikkelingen. Het is daarom aan te raden de benodigde kennis in uw directe omgeving te borgen. Denk aan een IT-commissie die namens het bestuur of Raad van Toezicht onafhankelijk meedenkt en helpt bij vraagstukken. Mocht een IT-commissie een stap te ver zijn, is het goed zelf het vereiste inzicht in de organisatie op te halen, bijvoorbeeld door eens een kop koffie te drinken met eindgebruikers/CMIO/CIO/CTO/CISO, aan te sluiten bij een IT-projectmeeting of een stand-up van afdeling IT. Ga langs en stel u open voor hun verhaal. Dit leidt vaak tot eerlijkere verhalen dan een formele presentatie aan de bestuurstafel.
Schroom ook niet om eens bij andere zorginstellingen langs te gaan. Maak gebruik van de samenwerkingsverbanden en partnerschappen met andere ziekenhuizen, zorginstellingen en IT-bedrijven voor de gezondheidszorg en bezoek samen (IT-)congressen.

Grip houden op de vele IT-ontwikkelingen

Naast eigen kennisontwikkeling en kennisborging zijn er uiteraard meer mogelijkheden:

  • Zorg voor tegengestelde belangen binnen uw organisatie en luister naar deze belangen. Denk aan een projectmanager die het belang van het IT-project voorop stelt versus de IT-manager die het belang van de huidige IT-infrastructuur en IT-organisatie voorop stelt versus de CISO die zich druk maakt om security issues. Op deze manier worden IT-thema’s binnen de organisatie vanuit verschillende perspectieven bekeken en met u gedeeld als bestuurder of toezichthouder. Kanttekening hierbij is dat deze tegenstelde belangen ook daadwerkelijk aanwezig moeten zijn. In de praktijk lopen deze belangen ook vaak door elkaar. Een voorbeeld is dat de IT-manager medeverantwoordelijk is voor het slagen van het IT-project en dus de huidige IT-infrastructuur en organisatie minder prioriteit geeft. Of een ander voorbeeld is dat de CISO het goed kan vinden met een projectmanager en ze daarom minder snel kritiek op elkaar zullen uiten in uw bijzijn. 
  • Ook kan gedacht worden aan het aanstellen van een IT-controller of kwaliteitsfunctionaris. Een persoon die, net als de CISO en FG, continu kijkt naar de kwaliteit en risico’s van allerlei IT-gerelateerde ontwikkelingen. Binnen de financiële afdeling bestaan dergelijke functies al in iedere zorginstelling, dus waarom dit ook niet inrichten rondom IT en digitalisering? 
  • Verstevigen van de interne audit kennis rondom IT. Op deze manier kan gestructureerd periodiek met een onafhankelijke blik gekeken worden naar belangrijke IT-onderwerpen zoals cyber security of de impactbepaling van een innovatief IT-project.
  • Daarnaast is het goed te kijken naar de governance van IT. Vaak zit de IT-manager niet in het managementteam en is het onderwerp onvoldoende vertegenwoordigd aan de bestuurstafel. Hierdoor wordt er over IT beslist en niet met IT. Het gevaar hiervan is dat door kennisgebrek niet de juiste beslissingen worden genomen en daardoor grote risico’s worden gelopen. Denk aan het lanceren van een mobiele app zodat medewerkers op afstand in het EPD kunnen, zonder daarbij de juiste privacy en security risico’s voldoende in acht te nemen.

In de praktijk zien we steeds vaker dat het bestuur en/of Raad van toezicht geïnformeerd wil worden over actuele IT-onderwerpen. Denk aan de status implementatie Horizontaal Toezicht of de risicobeheersing rondom een grote IT-implementatie. Met bovenstaande tips kunnen bestuurders en toezichthouders ook doorvragen wanneer ze geïnformeerd worden om zo beter de specifieke context te begrijpen.

Tot slot

IT/digitalisering is een complex onderwerp, maar is tevens steeds meer een kritiek en essentieel onderdeel van de zorg geworden. Het belang van een goede IT-infrastructuur, de groter wordende risico’s op het gebied van cyber security alsmede de vele innovaties maken het adequaat beheer van IT in de zorg steeds complexer. Er zijn echter, zoals reeds aangeven, verschillende manieren om als bestuurder of toezichthouder grip te houden op deze ontwikkelingen. BDO kan als onafhankelijk adviseur helpen in het geven van een onafhankelijke externe blik op ontwikkelingen en ondersteunen in het duiden risico’s. Ook kan BDO uw internal auditfunctie verstevigen en op afroep audits met betrekking tot IT/digitalisering voor u uitvoeren.