Zorginstellingen zijn verplicht te voldoen aan NEN 7510. Allerlei toevoegingen die werden aangeleverd en die de implementatie zouden vergemakkelijken, leken aanvankelijk een sympathiek gebaar richting zorginstellingen. Helaas ontbrak de belangrijkste aanwijzing: NEN 7510 is geen normatieve norm en een zorginstelling bepaalt zelf wat zij als norm nodig heeft. (Zie ook ‘Invoering NEN 7510 is eenvoudiger dan u denkt’.) Daarbij komt dat door de acties van het IGZ en het CBP een zorginstelling vervolgens ook nog eens gemakkelijk op het verkeerde been wordt gezet: twintig ziekenhuizen werden getoetst op informatiebeveiliging en aan vier is een last onder dwangsom opgelegd. Het niveau van informatiebeveiliging zou niet voldoen aan ‘de norm’. Het lijkt erop dat het de bedoeling is hiermee zorginstellingen te intimideren, die NEN 7510 nog moeten invoeren. De opsteller van de norm, het NEN, geeft echter een totaal ander signaal af, zoals u kunt lezen in het artikel ‘Nieuwe NEN 7510 norm in de zorg schuift op naar ISO 27002′. Voor ziekenhuizen betekent dit niet een wezenlijk verschil, maar voor de meeste zorginstellingen maakt het wel degelijk wat uit.
Als u behoort tot de (bijna) vier van de vijf zorginstellingen die denken dat ze op grond van wet- en regelgeving verplicht zijn normen te implementeren, dan is er dus goed nieuws voor u: u stelt zelf uw norm vast.

Misverstanden over informatiebeveiliging en NEN 7510

De definitie van het begrip ‘norm’ is in de afgelopen jaren gaan schuiven. Dat heeft voor verwarring gezorgd. Vroeger werd een norm opgevat als een absolute standaard. Tegenwoordig ziet het NEN als Nederlands centrum van normalisatie normen als ‘best practices’ en aanbevelingen waarover partijen intern en extern afspraken moeten maken.

Het NEN hanteert tegenwoordig de volgende definitie voor norm:

Nederlandse norm is een afspraak die zorgvuldig, volgens een vaste procedure tot stand komt. Het is vooral belangrijk dat alle belanghebbende partijen bij deze procedure worden betrokken en dat er overeenstemming is over de uiteindelijke afspraak. (bron: NEN, 27 augustus 2007)

Goed nieuws voor zorginstellingen

Deze definitie impliceert dat:

• wanneer er sprake is van een norm, het niet gaat om een absolute standaard, maar om de procedure om te komen tot een stelsel van afspraken dat als de norm wordt vastgelegd;
• niet het NEN, de beveiliger of de auditor de norm bepaalt, maar de eindverantwoordelijke(n) voor het totale proces, in overleg met de betrokkenen;
• alleen het proces op grond waarvan de norm tot stand komt, wordt voorgeschreven in de NEN-ISO normen; de genoemde maatregelen zijn slechts ‘best practices’;
• waar een zorginstelling haar eigen verantwoordelijkheid heeft, het eigen management verantwoordelijk is voor de vaststelling van de norm;
• waar het gaat om gedelegeerde taken waarvoor men niet de eindverantwoordelijkheid heeft, de verantwoordelijkheid van de uitvoerder zich beperkt tot de uitvoering van het mandaat en de opdrachtgever verantwoordelijk is voor de controle op de output van de gedelegeerde taken.

In hoofdstuk 4 gaan we dieper in op dit laatste punt. Dit is namelijk van groot belang voor zorginstellingen die in opdracht van de overheid werken of door de overheid worden betaald.

 Slecht nieuws voor informatiebeveiligers en auditors

Voor informatiebeveiligers betekent de definitie, dat het niet langer een gegeven is dat er een standaardset met maatregelen bij de interne of externe klant geïmplementeerd moet worden. Ook is er bij NEN 7510 geen normatief certificatieschema, op grond waarvan beveiligers van de zorginstelling kunnen eisen, dat maatregelen geïmplementeerd worden. Informatiebeveiligers werken nu in opdracht van het management aan de beslissingsvoorbereiding, waarbij de beleidsuitgangspunten van het management heilig zijn. Zelfs als die als volgt zijn:

• Maatregelen zijn alleen acceptabel als norm, als zij geen negatieve gevolgen hebben voor de efficiency van de bedrijfsvoering.
• Maatregelen die naar het oordeel van het management waarschijnlijk niet werkend gemaakt kunnen worden, zijn niet aan de orde.
• Indien er in een aandachtsgebied in de afgelopen 5 jaar geen incident heeft plaatsgevonden met een schade van meer dan € 10.000, dan worden de huidige maatregelen de norm.
• Het aantal nieuwe maatregelen mag ten hoogste 20 bedragen.

Met behulp van de betrokkenen kan de informatiebeveiliger de risicoanalyse uitvoeren om vervolgens aan de hand van de beleidsuitgangspunten te komen tot een aantal maatregelen die uiteraard voldoen aan die uitgangspunten. Normatieve methoden voor risico analyse (zoals CRAMM en ESAKA), vaak ondersteund door tools, zijn minder geschikt, omdat deze uitgaan van een normatieve benadering.

De auditor onderzoekt de evenwichtigheid van het proces. (Zie ook ‘Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27002 te certificeren?’.) Hij voert namens het management een operational audit uit (zie ‘Mag een auditor nog normatief denken?’), waarbij hij is gehouden aan de opdrachtformulering van de zorginstelling met uiteraard als beleidsuitgangspunten:

• De auditor toetst of het proces om te komen tot de eigen norm volgens de ISO-procedures is verlopen.
  • Daarnaast toetst hij of de zorginstelling haar eigen norm naleeft.

De tijd waarin een auditor op eigen houtje audits uitvoert met een rood potlood in de hand, ligt definitief achter ons. Een auditor werkt in opdracht en op basis van de door de opdrachtgever vastgestelde normen.

Is de NEN 7510 norm nu onzin geworden?

Natuurlijk laat bovenstaande onverlet, dat de NEN 7510 norm heel veel nuttige ‘best practices’ bevat, die hoogst serieus genomen moeten worden. Sterker nog, per maatregel moet de relevantie worden bekeken. En daarbij gaat het om vragen als wat bijvoorbeeld het begrip vertrouwelijkheid inhoudt voor een thuiszorginstelling die belast is met de uitvoering van de WMO.

Uitgangspunt is steeds het principe ‘Pas toe of leg uit’. Dat betekent, dat de maatregelen zullen worden toegepast, tenzij er redenen zijn om dit niet te doen. Redenen kunnen onder andere zijn:

• de geldende beleidsuitgangspunten van de zorginstelling;
• het ontbreken van draagvlak, vaak omdat een risico gezien de impact geaccepteerd wordt (zie ook ‘Informatiebeveiligers verpesten iedere awareness’);
• een alternatieve maatregel die voldoende dekking geeft.

De redenen om een maatregel niet toe te passen worden altijd vastgelegd, om zekerheid te verkrijgen, dat er geen risico’s onder het tapijt verdwijnen en om te voorkomen dat het stelsel van maatregelen later onvolledig lijkt te zijn.
De angst die bij veel zorginstellingen leeft voor auditors is ongegrond, mits ze maar het proces ingaan, zoals voorgeschreven. Belangrijk voordeel van dat proces is ook, dat de als ‘onzinnig’ ervaren maatregelen nu geschrapt kunnen worden, zodat automatisch draagvlak ontstaat.

Het proces om te komen tot de norm op basis van NEN 7510

Bij de invoering van NEN 7510 gaat het dus om het proces. Niet de beveiliger, maar de zorginstelling staat daarin centraal. (Zie ook ‘NEN 7510 pragmatisch invoeren in zorginstellingen’.)
De eerste stap in het proces om te komen tot de norm op basis van NEN 7510 is het vaststellen van eisen. Niet de maatregelen of een baseline vormen hiervoor het uitgangspunt. De behoefte van de zorginstelling is de basis.

ISO noemt een aantal bronnen:

• risicobeoordeling binnen de zorginstelling;
• wet- en regelgeving en contractuele eisen (bestaande afspraken dus);
• eigen stelsel van uitgangspunten, doelstellingen en eisen vanuit de bedrijfsvoering opgesteld.

Zo nodig moeten beleidsdocumenten aangepast en weer formeel goedgekeurd worden, om te voorkomen dat later op maatregelniveau het principe ‘pas toe of leg uit’ moet worden uitgewerkt.

De tweede stap is het beoordelen van de behoeften en eisen op wenselijkheid en haalbaarheid.

Tijdens de derde stap worden de behoeften gematcht met de maatregelen, waarbij in de praktijk per maatregel wordt bekeken:

• de wenselijkheid;
• of de maatregel al geïmplementeerd en werkend is;
• de kosten en baten van de maatregel;
• de timing van de invoeringsdatum.

Het is goed hierbij uit te gaan van de best practices uit de NEN 7510 norm en met de betrokkenen voor deze maatregelen vast te stellen of:

• een soortgelijke maatregel al niet bestaat;
• een dergelijke maatregel gezien de risico’s en uitgangspunten nodig en nuttig is;
• de implementatie van een dergelijke maatregel wenselijk is en of er draagvlak voor is.

In het artikel ‘Managementrapportage risicoprofiel informatiebeveiliging NEN 7510′ wordt een methode aangereikt om dit alles op een compacte manier vast te leggen, zodat het ook voor het management leesbaar en begrijpelijk is.

 Uw zorginstelling is mogelijk een ‘delegated body’

De meeste zorginstellingen hebben niet alleen met zichzelf te maken, maar functioneren in allerlei juridische constructies voor onderlinge relaties en afspraken, die vaak contractueel vastgelegd zijn. Te denken valt aan de relaties met de overheid, toezichthouders en zorgverzekeraars. Toch is en blijft een zorginstelling als ‘delegated body’ zelf verantwoordelijk.
Vooral daar waar de overheid een speler is, zien we dat het spel om inbreuk te maken op de eigen verantwoordelijkheid van ‘delegated body’s’ soms tot grote hoogte stijgt. Vaak heeft dit te maken met het opleggen van normen in plaats van het in overleg komen tot afspraken waarbij de overheid de eigen verantwoordelijkheid van de delegated body’s respecteert. Ongevraagd tracht de overheid budgetten te koppelen aan gewenst gedrag (prestatiecontracten noemen we dat) of wordt een wirwar van toezichthouders in het leven geroepen, met elk een eigen regelgeving, vaak onder het mom van het dienen van het publieke belang.
Zelfs de rechterlijke macht wordt geconfronteerd met de stelling ‘regels zijn regels’, terwijl de rechterlijke macht juist in het leven is geroepen om regels te toetsen in concrete situaties.
Natuurlijk weet de overheid, dat ze hoog spel speelt en vaak niet in haar recht staat, maar daar hebben politici dikwijls lak aan. En juist daarom wordt er momenteel zwaar geïnvesteerd in propaganda om maatschappelijk draagvlak te verkrijgen voor ongeoorloofde interventies in de eigen verantwoordelijkheid van zorginstellingen.
Gelukkig is informatiebeveiliging geen onderwerp waarmee politiek valt te scoren, behalve waar het gaat om het EPD. Daarom wordt dit spel, even afgezien van de gewoonte van de overheid om invloed uit te oefenen, dan ook meestal redelijk zuiver gespeeld.

NEN 7510 is geen bedreiging voor zorginstellingen

De angst die veel zorginstellingen hebben als ze te maken krijgen met informatiebeveiliging en normen uit NEN 7510 is totaal ongegrond. Niet de informatiebeveiligers of de auditors zijn bepalend. Zij zijn nuttige adviseurs (of zouden dat moeten zijn). Trajecten om honderden maatregelen te implementeren zijn niet aan de orde. Die zijn bij voorbaat gedoemd te mislukken, zoals u waarschijnlijk uit eigen ervaring weet.
NEN 7510 geeft zorginstellingen de mogelijkheid een set van maatregelen te hanteren, die in balans is met de risico’s die zij lopen, zodat ze niet nodeloos op kosten gejaagd worden. Net als bij de ISO-kwaliteitssystemen wordt het normatieve denken vervangen door een invalshoek op basis van ‘fitness for purpose’. Niet de beveiligingsnorm of de baseline staat centraal. Centraal staan het bedrijfsrisico en de inschatting van het management of het een al dan niet acceptabele risico betreft. Het management moet hiervoor uiteraard met daadwerkelijke relevante informatie gevoed wordt. (Zie ‘Managementrapportage risicoprofiel informatiebeveiliging NEN 7510′.) En dan gaat het niet om informatie over informatiebeveiliging of over absolute controle, maar om informatie over bedrijfsrisicobeheersing.
Dan is het ook eenvoudig om commitment te vinden voor de maatregelen. Als het gaat om zichtbare reductie van bedrijfsrisico’s, dan is er draagvlak om de risico’s daadwerkelijk aan te pakken. Helaas wordt dit door veel beveiligers over het hoofd gezien.

Download:         

Gerelateerde artikelen:

1. ISO 27002, de Code voor Informatiebeveiliging nader toegelicht
2. Invoering NEN 7510 is eenvoudiger dan u denkt
3. NEN 7510 pragmatisch invoeren in zorginstellingen

1. Informatiebeveiliging een grabbelton?
2. NEN 7510 is een kwaliteitssysteem
3. Vaststellen beleidsuitgangspunten
4. Opstellen risicoprofiel
5. Vaststelling van het basisbeveiligingsniveau
6. Procesimplementatie
7. Managementaandacht noodzaak

1. Informatiebeveiliging een grabbelton?

Het selecteren van in te voeren maatregelen bij de implementatie van informatiebeveiliging lijkt vaak op grabbelen in een grabbelton; veelal worden, eventueel ondersteund door een geautomatiseerd tool, honderden maatregelen gedefinieerd om de informatiebeveiliging te verbeteren. Dat dit niet gaat werken, hoeft geen betoog. Wat moet bijvoorbeeld een thuiszorginstelling met allerlei maatregelen op het gebied van vertrouwelijkheid als het verslag van de zorgverleners gewoon in een schriftje op tafel bij de cliënt blijft liggen?
De winst van NEN 7510 is, dat zorginstellingen niet meer verplicht worden tot de invoering van heel veel maatregelen, maar dat zij kunnen kiezen voor een relevante set van maatregelen afgestemd op hun beleid en risicoprofiel. (Zie ook ‘Keuzes bij de invoering van NEN 7510 nader toegelicht’.) Want niet de norm is bepalend. Bepalend zijn de beleidsuitgangspunten en het risicoprofiel van de zorginstelling, waarbij de NEN 7510 norm geld als een set van ‘best practices’. Zo wordt tevens voorkomen dat maatregelen niet worden geaccepteerd. Want dat gebeurt wanneer zinloze regelgeving wordt ingevoerd.
Een zorginstelling heeft met betrekking tot in te voeren maatregelen drie keuzemogelijkheden:

• Een maatregel wordt zo snel mogelijk geïmplementeerd.
• Een maatregel wordt gepland. 
• Als de zorginstelling van mening is, dat voor haar een maatregel niet relevant is, dan geldt het principe: ‘pas toe of leg uit’.

Resultaat is een relevant stelsel van geïmplementeerde of geplande maatregelen, die beoordeeld kunnen worden door een certificerende instantie, die primair kijkt naar de evenwichtigheid van de besluitvorming en de naleving van de geïmplementeerde maatregelen. (Zie ook ‘Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27002 te certificeren?’.) Certificering is al mogelijk, voordat alle geplande maatregelen zijn geïmplementeerd. Want tijdens de audit vindt beoordeling plaats op basis van het criterium ‘in control’. Hiermee is certificering op basis van NEN 7510 vergelijkbaar met certificering volgens de Code Tabaksblat of certificering op basis van ISO 9001. Het is immers mogelijk om zowel het Amstel Hotel als McDonalds te certificeren op basis van ISO 9001, terwijl men toch tussen deze restaurants een verschil in service- en productkwaliteit mag verwachten.
De in dit artikel beschreven werkwijze om te komen tot een security management systeem is voorgelegd aan een certificerende instantie en goedgekeurd.

2. NEN 7510 is een kwaliteitssysteem

NEN 7510 wil een security management systeem zijn en daarmee geen eenmalig project, maar een proces in de zorginstelling. NEN 7510 is dan ook opgezet als een kwaliteitssysteem. Voorwaarde voor continue verbetering is de verbetercyclus die deel uitmaakt van dit systeem. De regie van het geheel ligt bij het managementteam of de directie. De invoering in de organisatie wordt doorgaans wel projectmatig aangepakt.
Het overall model voor de invoering wordt weergegeven in het volgende schema:

Figuur 1: Overall model voor de implementatie van NEN 5710

Op basis van de beleidsuitgangspunten, het risicoprofiel en de doelstellingen van NEN 7510 wordt eerst een set aan maatregelen gedefinieerd, die geldt als het basisbeveiligingsniveau voor de gehele zorginstelling . Daarnaast kunnen voor bepaalde processen of afdelingen additionele maatregelen worden gedefinieerd, die niet voor de gehele zorginstelling  gelden. Vervolgens wordt de planning- en controlcyclus geïmplementeerd, waarmee feedback op de naleving wordt gegeven, zodat bijgestuurd en verbeterd kan worden. In de volgende hoofdstukken zullen we per stap deze aanpak bespreken.

3. Vaststellen beleidsuitgangspunten

De eerste stap is het vaststellen van de voor de informatiebeveiliging relevante uitgangspunten. Hiervoor kan gebruikt gemaakt worden van een checklist met een 40 á 50 mogelijke uitgangspunten, waaruit de directie of het managementteam keuzes maakt. Als deze keuzes bepaald zijn, is het opstellen van een richtinggevend beleidsdocument een invuloefening. (Zie ‘Statuut Informatiebeveiliging’.) Een aantal voorbeelden van mogelijke beleidsuitgangspunten zijn weergegeven in het volgende schema:

Figuur 2: Beleidsuitgangspunten

Uiteraard moet ervoor gewaakt worden, dat beleidsuitgangspunten niet ambitieuzer gekozen worden dan nodig is. Zo lijkt bijvoorbeeld de volledige toepassing van het ‘need to know’-principe redelijk. De kosten van dit algemene uitgangspunt zijn echter hoog en in de praktijk moeten vaak uitzonderingen gemaakt worden voor ICT-beheerders, functioneel applicatiebeheerders, secretaresses en bijvoorbeeld medewerkers van de afdeling document management. Bovendien is kennisdeling een voorwaarde voor het leveren en verbeteren van de kwaliteit van de zorg.

4. Opstellen risicoprofiel

Het risicoprofiel kan op meerdere wijzen worden samengesteld. In ieder geval kan het door betrokkenen te interviewen. Hiervoor kunnen bestaande methodieken worden gebruikt. Te denken valt aan Cramm, de A&K-analyse behorend bij het VIR of aan methodieken met een meer bedrijfsmatige invalshoek zoals SARA of SPRINT van het ISF. Deze methodieken hebben als nadeel, dat zij meestal behoorlijk tijdrovend zijn en allemaal een tool bevatten, dat een diarree aan maatregelen produceert om de risico’s af te dekken. Als dit tool niet wordt gebruikt, dan zal de risico analyse niet aansluiten bij de ISO-norm. Alleen voor SPRINT is de vertaalslag te maken (zie ook ‘Voorbeeld Rapport Risico Analyse Informatiebeveiliging’), maar bij Cramm en de A&K-analyse is dit vrijwel onmogelijk. Daar echter SPRINT niet uitgaat van een basisbeveiligingsniveau, maar van het maximaal vereiste niveau, heeft ook het gebruik van SPRINT zijn nadelen.
Wij bevelen daarom aan de risicoanalyse te doen aan de hand van een stoplichtmodel. (Zie ‘Managementrapportage risicoprofiel informatiebeveiliging NEN 7510′.) Dit model volgt de doelstellingen van NEN 7510. Bovendien biedt het model de mogelijkheid om de maatregelen direct met de betrokkenen af te stemmen en zo passende en haalbare oplossingen te vinden, hetzij binnen het basisbeveiligingsniveau, hetzij in de vorm van additionele maatregelen.
Voordeel van het stoplichtmodel is, dat dit model het beveiligingsniveau visueel weergeeft, waardoor het mogelijk wordt om in een stapsgewijze verbetering het beveiligingsniveau van de zorginstelling  te verhogen. Voor het management is de besluitvorming overzichtelijk. Het management wordt niet gedwongen ook diepgaand verstand te krijgen van informatiebeveiliging. Het kan zich beperken tot risk management en zicht houden op de status via bijvoorbeeld het volgende schema:

Figuur 3: Stoplichtmodel

5. Vaststelling van het basisbeveiligingsniveau

Op grond van de risicoanalyse wordt het basisbeveiligingsniveau (BBN) vastgesteld. Meestal wordt deze exercitie al voor de interviewronde een keer uitgevoerd met de ICT-manager en de security manager, om vast te stellen welke maatregelen al getroffen zijn en welke omissies er zijn. Dit voorkomt dat tijdens de interviews steeds weer gediscussieerd wordt over zaken die mogelijk allang zijn geregeld. We mogen er tenslotte vanuit gaan, dat het bestaande beveiligingsniveau redelijk adequaat is. Als dit namelijk niet het geval zou zijn, waren er wel eerder problemen gerezen, die de zorginstelling  gedwongen had tot ingrijpen.
Een voorbeeld van een sjabloon dat hiervoor gebruik kan worden is hieronder gedeeltelijk weergegeven:

Figuur 4: Sjabloonbloon voor het BBN

Het gebruik van dit sjabloon voor het BBN is uitgewerkt in het artikel ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002′.

6. Procesimplementatie

Doorgaans moet ook de nodige aandacht besteed worden aan de inrichting van het proces ‘beheer van de informatiebeveiliging’. De meeste zorginstellingen zijn nogal ‘doenerig’ ingesteld, zodat vaak gedacht wordt, dat als de maatregelen ingevoerd zijn de informatiebeveiliging geregeld is. Dat is echter een illusie.
Van groot belang is de inrichting van de interne controle (IC) op de informatiebeveiliging. Hierdoor wordt gemonitord welke incidenten plaatsvinden en of de maatregelen nog steeds adequaat zijn. Op grond hiervan vindt terugkoppeling plaats naar de directie of het managementteam en naar de verantwoordelijken voor de informatiebeveiliging, zodat het verbeterproces geborgd wordt.
De IC-functie is in de meeste zorginstellingen primair gericht op de controle van de financiële stromen. Voor de interne controle op de informatiebeveiliging zal daarom vaak nog een functionaris aangewezen moeten worden. Uitbesteding kan een alternatief zijn. Doorgaans brengt dat echter hogere kosten met zich mee. Ook is meestal de procedure voor het goedkeuren van investeringen en wijzigingsvoorstellen niet geregeld. Hierbij gaat het erom dat gecheckt moet worden wat de impact is van een investering of een wijziging op de informatiebeveiliging. Mogelijk maken investeringen en wijzigingen het definiëren van aanvullende maatregelen noodzakelijk.
Ook hier biedt het stoplichtmodel als rapportage systeem voor risk-management grote voordelen. Het management hoeft zich niet te verdiepen in de maatregel zelf, maar houdt zich slechts bezig met het kleurenschema van het stoplichtmodel, dat in de tijd steeds meer moet tenderen van rood naar groen. (Zie ‘Managementrapportage risicoprofiel informatiebeveiliging NEN 7510.’. Bovendien voorkomt het stoplichtmodel dat risicoanalyses te vaak herhaald moeten worden en daarmee dat de zorginstelling  te zwaar belast wordt.

7. Managementaandacht noodzaak

Bedrijven die niet gedwongen willen zijn tot het invoeren van een willekeurige set van maatregelen die niet afgestemd is op het risicoprofiel en het bedrijfsbeleid hebben met NEN 7510 nu een alternatief. Er hoeft niet langer sprake te zijn van een schimmenspel en een woud van verwijten tussen beveiligers en het management. Er is een aanpak die past bij de beveiligingsbehoefte van de zorginstelling.
Deze aanpak kan in hoge mate gestandaardiseerd worden, waarbij in tegenstelling tot klassieke informatiebeveiligingsprojecten de nadruk niet ligt op de moeizame invoering van onbegrepen maatregelen, maar op de selectie van adequate maatregelen. Awareness en commitment zijn in deze aanpak geen probleem. (Zie ook ‘Informatiebeveiliging awareness voor management en gebruikers’.) Want de beveiligingsadviseur is een professionele dienstverlener, die in opdracht van de zorginstelling  werkt.
Informatiebeveiliging is dan een volwassen bedrijfsproces dat structureel is ingebed in de zorginstelling .

Download:         

Gerelateerde artikelen:

1. Invoering NEN 7510 is eenvoudiger dan u denkt
2. Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27002 te certificeren
3. Keuzes bij de invoering van NEN 7510 nader toegelicht

1. Hoe ingewikkeld wil u het maken?
2. Certificering betekent ‘in control’ zijn
3. Implementatieschema ISO 27002 of NEN 7510
4. Inrichting van de interne controle
5. Certificering binnen drie maanden

1. Hoe ingewikkeld wil u het maken?

In veel directievergaderingen wordt het stil als het over informatiebeveiliging gaat. Want aan welke gevaren stelt men zich wel niet bloot en welke vreselijke gevolgen roept men wel niet over zich af, als men zich niet tot de tanden toe wapent tegen de risico’s die men op dit gebied loopt. Tenminste, als men de consultants en accountants mag geloven, die het zouden moeten weten. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.) Maar maakt u zich geen zorgen. Natuurlijk loopt u risico’s. Die loopt u echter ook als u zich in het verkeer begeeft. Het gaat erom dat u die risico’s niet onbewust loopt, maar bewust neemt.
Certificering volgens ISO 27002 of NEN 7510 betekent, dat in uw organisatie de informatiebeveiliging ‘in control’ is. Dat is zeker niet hetzelfde als dat u honderden maatregelen heeft getroffen om uw informatie en informatievoorziening veilig te maken. Het is ook niet hetzelfde als dat u 100% beveiliging heeft nagestreefd. 100% beveiliging is misschien een eis die geldt voor de AIVD of defensie, maar zeker niet voor een doorsnee Nederlands bedrijf. Het gaat erom dat u die bedrijfseconomische risico’s afdekt, die volgens uw eigen inschatting een zeer aanzienlijke schade kunnen opleveren, als u er geen maatregelen tegen treft. U moet hierin de balans vinden en zeker niet domweg beveiligen.

Figuur 1: Verspilling versus extra maatregelen

 De auditor zal bij certificatie op die balans letten. Als hij zijn werk goed doet, let hij niet alleen op tekortkomingen, maar evenzeer op verspilling.

2. Certificering betekent ‘in control’ zijn

Om het nu eens heel kort door de bocht te zeggen: processen zijn certificeerbaar als u de volgende drie dingen doet:

• zeggen wat u gaat doen,
• doen wat u hebt gezegd,
• laten zien, dat u gedaan hebt wat u eerder gezegd hebt.

Dit is de basis voor ieder kwaliteitssysteem. Als u zegt, dat u alleen zinvolle maatregelen treft, die maatregelen daadwerkelijk implementeert en dit dan namens de directie laat contoleren, dan bent u in feite klaar. Ook als het misschien beter zou kunnen. De keuze om het wel of niet beter te doen, is de keuze van het management en niet van de auditor. Niet voor niets zijn zowel Mac Donalds als het Amstelhotel beide ISO-gecertificeerd. Dat men bij de één meer verwacht dan bij de ander heeft te maken met de keuzes van het management en de bedrijfscommunicatie van beide bedrijven. Zo werkt het ook bij een ISO 27002 of NEN 7510 certificering. U maakt als organisatie zelf uw keuzes, wat auditors of regelgevers ook roepen. Laat u zich niet misleiden door hun verbaal geweld.

3. Implementatieschema ISO 27002 of NEN 7510

Het implementatieschema voor ISO 27002 en NEN 7510 is gebaseerd op de bekende planning & control cyclus.

Figuur 2: Planning& Control cyclus

 3.1 Vaststelling informatiebeveiligingsbeleid

Op grond van uw eigen keuzes stelt u uw informatiebeveiligingsbeleid vast. Na een interview van 2 uur over de beleidsuitgangspunten, zet een ervaren consultant het in een dag voor u in elkaar.

3.2 Definiëren basisbeveiligingsniveau

Over het definiëren van het basisbeveiligingsniveau kan heel ingewikkeld worden gedaan. Het is echter het eenvoudigste om dit met een paar interne deskundigen te doen. Hiervoor kunt u het sjabloon gebruiken uit ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002 of 17799′. Uitgangspunt is enerzijds de norm (ISO 27002 of NEN 7510) en anderzijds uw huidige situatie. Uw huidige situatie legt u gerubriceerd vast volgens de norm en vervolgens loopt u alle ‘best practices’ uit de norm door en bepaalt u of deze voor uw organisatie echt nodig zijn. De eerder vastgelegde beleidsuitgangspunten vormen hiervoor de interne richtlijn. De daadwerkelijke risico’s voor uw organisatie worden afgedekt door die best practices, die tijdens deze exercitie nodig geacht worden. Alleen die maatregelen moet u dus nu of later treffen. Meestal kan deze hele exercitie in 4-10 dagen worden uitgevoerd, mits de deelnemers hierin getraind zijn of dit begeleid wordt door een op dit gebied ervaren coach.

3.3 Definiëren maatregelen

Vaak blijkt dat met een beperkt aantal procedures een groot aantal tekortkomingen afgedekt kan worden. Soms zijn die procedures ook al binnen de organisatie aanwezig, maar werken ze nog onvoldoende. (Zie ook o.a. ‘BiSL maakt functioneel beheer wel erg ingewikkeld’.) Meestal gaat het om de volgende zaken:

• procedure voor de aanschaf of wijziging van duurzame middelen;
• procedure voor de afhandeling van incidenten;
• procedure voor interne controle (vaak geen functie maar een rol);
• opzet van de toegangsbeveiliging m.b.t. informatie;
• gedragscode voor interne en externe medewerkers;
• ethische code voor toeleveranciers, die tevens een basis kan vormen voor uw inspanningen voor maatschappelijk verantwoord ondernemen.

Als deze procedures niet aanwezig zijn, dan kunnen ze op basis van herbruikbare procedures in 3-8 dagen voor uw organisatie op maat gemaakt worden. Voor de meeste andere maatregelen geldt, dat u moet bekijken wanneer u ze gaat oppakken. Ze kunnen onderdeel vormen van een groter plan, zodat de kosten beperkt blijven. De acceptatie zal dan doorgaans ook geen probleem vormen.

4. Inrichting van de interne controle

Vaak is de volgende stap die wordt gezet, de implementatie op de werkvloer. In dit stadium leidt dat echter alleen maar tot onbegrip en weerstand. Daarom kunt u deze stap beter uitstellen en eerst de rechterkant van het plaatje invullen (het blauwe gebied).

Figuur 3: Inrichting van de interne controle

Het gaat er tenslotte om dat de informatiebeveiliging ‘in control’ is. Het is de directie die hierop moet sturen. De essentie is dan ook niet, dat de interne controle rapporteert, maar dat de directie een stuurmiddel krijgt, waarmee zij de informatiebeveiliging steeds in control kan houden Een niet-inhoudelijke rapportage op een tijdlijn (verleden, heden, toekomst) is hiervoor het meest begrijpelijke instrument. De directie vraagt hierbij om toelichting op opvallende zaken. Vaak wordt hiervoor het stoplichtmodel gehanteerd, zoals dit beschreven is in het artikel ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27002′.

Figuur 4: Stoplichtmodel

Na de vaststelling van de beleidsuitgangspunten is dit de eerste confrontatie tussen de directie en het project. Punten in de tijd zijn hierbij:

• de situatie bij de start van het project;
• de situatie op dit moment (na goedkeuring van het basisbeveiligingsniveau, de managementrapportage en de procedures);
• de situatie een jaar later.

Aan de hand van deze informatie zal de auditor bepalen of de informatiebeveiliging binnen de organisatie daadwerkelijk ‘in control’is of dat de situatie allerminst stabiel is. Dit zal dit altijd zijn belangrijkste meetpunt vormen. (Zie ook ‘Nu ook certificatieschema voor ISO 27002 beschikbaar’).
Als vervolgens voor alle te nemen en in te voeren maatregelen actiehouders worden benoemd, kan de invoering binnen de lijnorganisatie in een aanvaardbaar tempo plaatsvinden. Het project kan dan beëindigd worden. Als de invoering wordt vertraagd, zal dat zichtbaar worden in de volgende management rapportage. De directie kan dan zonodig bijsturen. Niet op grond van wat een informatiebeveiliger of auditor vindt, maar op basis van wat de directie vindt. Want dan is informatoebeveiliging ‘in control’ bij de directie.

5. Certificering binnen drie maanden

Zoals gezegd, er zijn organisaties voor wie informatieverwerking core business is. Daar mag de lat wel wat hoger gelegd worden. Voor de meeste organisaties geldt echter, dat informatie gebruik en gedeeld moet worden, omdat dat de organisatie en de klanten ten goede komt. De organisatie kan in dat geval volstaan met de in dit artikel beschreven aanpak. Ook voor bijvoorbeeld zorginstellingen geldt dit, zoals beschreven is in de artikelen ‘Invoering NEN 7510 is eenvoudiger dan u denkt’ en ‘Nieuwe NEN 7510 norm in de zorg schuift op naar ISO 27002′.
Met de hier beschreven aanpak kan ZBC u ondersteunen. U kunt een training volgen, waarin u leert volgens deze aanpak te werken (zie ‘Cursus Informatiebeveiliging conform ISO 27002 of NEN 7510′) of wij kunnen u coachen en aanvullend ondersteunen in dit traject. Meer dan drie maanden doorlooptijd hoeft dit niet te vergen.

Download:         

Gerelateerde artikelen:

1. Webseminar Pragmatische aanpak informatiebeveiliging volgens ISO 27002 (=ISO 17799) en NEN 7510
2. Cursus Informatiebeveiliging conform ISO 27002 of NEN 7510
3. Nieuwe NEN 7510 norm in de zorg schuift op naar ISO 27002

1. De feiten over NEN 7510
2. Geen keurslijf voor beveiliging van patiëntgegevens
3. Hoe gaat u hiermee om?

1. De feiten over NEN 7510

De toch al veel geplaagde zorginstellingen worden nu weer belast met de NEN 7510 voor informatiebeveiliging. Aan ZBC zijn hierover vragen gesteld. Graag willen we deze in dit artikel klip en klaar beantwoorden.
De NEN 7510 norm is afgeleid van de ISO 27002 norm (voorheen ISO 17799 en nog eerder de Code voor informatiebeveiliging), maar toegespitst op zorginstellingen. Voor de invoering van deze NEN 7510 kunt u daarom het schema voor de pragmatische invoering van ISO 27002 gebruiken. (Zie ook ‘ISO 27002 ‘lean en mean’ implementeren als security management systeem’).
Invoering van NEN 7510 is door het IGZ voor zorginstellingen verplicht gesteld. Dat betekent echter niet, dat alle maatregelen die in NEN 7510 beschreven staan, daadwerkelijk ingevoerd moeten worden. Het gaat erom dat de doelstellingen uit NEN 7510 gehaald worden. De maatregelen zijn best practices die afhankelijk van het risicoprofiel van de zorginstelling en haar beleidsuitgangspunten gebruikt kunnen worden. Slechts de audit is verplicht en deze wordt uitgevoerd op basis van de door de zorginstelling zelf opgezette norm. (Zie ook ‘ISO 27002, de Code voor Informatiebeveiliging nader toegelicht’.) Hierbij geldt het principe ‘Pas toe of leg uit’.
Adviseurs van grote bureaus op dit gebied leggen dit vaak anders uit. Uiteraard valt er voor hen veel meer te halen uit een complexere normatieve aanpak, zoals die bijvoorbeeld in ISO 27001 wordt beschreven. (Zie ook ‘ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging’.) Maar het Steunpunt NEN 7510 schrijft niet voor niets op zijn site: 

“De norm NEN 7510 helpt de verantwoordelijke (zorginstelling) de (voor haar) relevante maatregelen te bepalen en in te voeren. Een zorginstelling moet duidelijk kunnen maken dat er een goed beheer wordt gevoerd.” 

Ook al zou u uit diverse andere uitlatingen op de site van het Steunpunt NEN 7510 misschien de conclusie kunnen trekken dat het wel gaat om verplichte maatregelen, toch is dat niet het geval! 

2. Geen keurslijf voor beveiliging van patiëntgegevens

Ook Salo van Berg, manager bij Ernst & Young Advisory, en Peter Kits, advocaat bij Holland Van Gijzen Advocaten en Notarissen zijn er duidelijk over. Onder de kop ‘Geen keurslijf voor beveiliging van patiëntgegevens’ schrijven ze op maandag 19 november in het FD naar aanleiding van een incident waarbij ze klaarblijkelijk betrokken waren het volgende: 

“De Inspectie voor de Gezondheidszorg en het College bescherming persoonsgegevens hebben twintig ziekenhuizen getoetst op informatiebeveiliging. Aan vier ziekenhuizen is een last onder dwangsom opgelegd. Het niveau van informatiebeveiliging zou niet voldoen aan ‘de norm’. 

Deze actie heeft het nodige stof doen opwaaien, maar is aanvechtbaar. Artikel 13 van de Wet bescherming persoonsgegeven (Wbp) verplicht een organisatie ‘passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen’. De Inspectie voor de Gezondheidszorg (IGZ) en het College bescherming persoonsgegevens (Cbp) zien voor de zorg de NEN norm 7510 die over informatiebeveiliging binnen de zorgsector gaat, als een gezaghebbende sectorale uitwerking hiervan en daarom als dé norm waaraan getoetst moet worden. 

Voldoet een zorginstelling aan de NEN7510, dan wordt voldaan aan artikel 13 Wbp. Er zouden dan eveneens voldoende waarborgen zijn om verantwoorde en veilige zorg te bieden in de zin van artikel 2 Kaderwet Zorginstellingen (KZ). Hoewel de IGZ en het CBP in het Rapport Informatiebeveiliging in ziekenhuizen stellen dat ook op andere wijze aangetoond mag worden dat informatiebeveiliging in orde is, toetsen zij uitsluitend aan de NEN7510.” 

Dan vervolgen Van Berg en Kits met wat ik in hoofdstuk 1 al heb verwoord: 

“Deze norm wordt door de toezichthouders als dwingendrechtelijk behandeld. Het ministerie van Volksgezondheid, Welzijn en Sport houdt dit in stand, aangezien alle ziekenhuizen in 2010 een externe audit – systematische controle – moeten laten uitvoeren op implementatie van de norm 7510. 

De norm als dwingend te hanteren is onjuist en aanvechtbaar. Op de eerste plaats geeft de NEN7510 een kader en geen concrete(re) invulling van de termen ‘passende maatregelen’ en ‘verantwoorde zorg’. In de Wbp en Kw zijn door de wetgever bewust open normen opgenomen. Dit betekent dat de verantwoordelijke voor de verwerking van persoonsgegevens zelf mag bepalen wat een passend beveiligingsniveau is.” 

Ook Van Berg en Kits constateren dus dat het de zorginstelling zelf is, die de norm bepaalt. Daarom gaan ze verder: 

“Binnen dat kader kan de NEN7510 niet als dwingendrechtelijk worden gehanteerd. De NEN7510 is niet publiekrechtelijk, maar ontstaan vanuit een maatschappelijke behoefte van zelfregulering. Het is ongewenst dat een norm ‘wet’ wordt zonder democratische controle. Een dynamische verwijzing – zonder versienummer – in een wet is vanuit staatsrechtelijk oogpunt ontoelaatbaar.” 

 3. Hoe gaat u hiermee om?

Voor mij is de discussie niet nieuw. Ik heb hem eerder gevoerd namens een productschap, dat in het kader van de toewijzing van Europese subsidies ook ISO 27002 gecertificeerd moesten worden. De begeleiders vanuit het ministerie van LNV kwamen destijds met allerlei dwingende eisen. Productschappen die daarop ingingen, moesten meer dan 2000 maatregelen invoeren. Het productschap dat ik begeleid heb, kon volstaan met 16 maatregelen en kwam net als de andere productschappen door de audit. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.)
Alleen als de directie alle best practices van toepassing verklaart op de eigen zorginstelling, dan zal die zorginstelling aan al die best practices moeten voldoen. De maatregelen liggen dan aan de bovenkant van het volgende plaatje. 

Figuur1: Balans tussen veiligheid en verspilling

Dat dat tevens leidt tot een forse verspilling, is volstrekt evident. Echter, als het gaat om informatiebeveiliging moet de organisatie ‘in control’ zijn. Om dat te bereiken dient men te kiezen voor de gele diagonaal. Het management moet primair het systeem bewaken. En niet door verstand te krijgen van informatiebeveiliging of van NEN 7510, maar door de kleurtjes te bewaken en hierop zo nodig bij te sturen. (Zie ook ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27002′.)
De Wet bescherming persoongegevens spreekt over een passende beveiliging van persoongegevens. 100% beveiliging bestaat niet en zelfs het streven hiernaar is vanuit het perspectief van kostenbesparing ongewenst. Slim beveiligen helpt daarom veel beter. (Zie ook ‘Preventie dataverlies (DLP) geeft een betere beveiliging’.) 

Herziene versie: 6 september 2010

Bron:
Salo van Berg en Peter Kits, ‘Geen keurslijf voor beveiliging van patiëntgegevens’. In: Het Financieele Dagblad. 19 oktober 2009.

Download:         

Gerelateerde artikelen:

1. Keuzes bij de invoering van NEN 7510 nader toegelicht
2. NEN 7510 pragmatisch invoeren in zorginstellingen
3. Nieuwe NEN 7510 norm in de zorg schuift op naar ISO 27002

1. Blij met NEN 7510 specifiek voor de zorg? 
2. NEN 7510 erfgenaam van de oude aanpak 
3. Informatiebeveiliging wordt volwassen 
4. De nieuwe NEN 7510 is zusje van ISO 27002  

1. Blij met NEN 7510 specifiek voor de zorg?

Natuurlijk leek het aanvankelijk een goed idee: voor de zorg niet de generieke ISO 17799 norm, maar een eigen NEN 7510 norm voor informatiebeveiliging. De minister stelde deze norm verplicht en zorginstellingen werden overladen met goedbedoelde checklists en hulpmiddelen, die ooit ontwikkeld waren voor organisaties waarvoor informatieverwerking core-business is en informatiebeveiliging dus een absolute voorwaarde om adequaat te functioneren. Denk hierbij aan centrale overheden of banken, die al in de vorige eeuw zijn begonnen met het invoeren van informatiebeveiliging, vaak op basis van de ‘Code voor informatiebeveiliging’ (later ISO 17799), die dan integraal ingevoerd werd.
Dit betekende meestal een implementatietraject dat jaren in beslag nam. Commitment en inhoudelijke bemoeienis van de bestuurders waren daarbij noodzakelijk, want allerlei toezichthouders keken mee. Afwijken van de norm kon wel in zeer uitzonderlijke gevallen, maar dan moest men kunnen aantonen dat bepaalde risico’s in de organisatie praktisch gezien uitgesloten waren.
Zo’n uitgangspunt is natuurlijk terecht, als informatieverwerking core business is en dus vertrouwelijkheid, integriteit en beschikbaarheid nagenoeg 100% correct moeten zijn. Dit geldt bijvoorbeeld voor de banken in Nederland. is. Daar wordt jaarlijks nog steeds circa 100 miljoen euro begroot voor fraude door inbreuk op de informatiebeveiliging. De lat ligt daar dus hoog.

2. NEN 7510 erfgenaam van de oude aanpak

NEN 7510 is dus afgeleid van ISO 17799 en de checklists en hulpmiddelen die gebruikt werden voor de implementatie. Bij zorginstellingen leidde de invoering van NEN 7510 echter vaak tot trieste situaties. Overbluft door wat informatiebeveiligers zeiden over wat er allemaal moest gebeuren, ging een aantal zorginstellingen een traject in, dat zeker niet in een jaar voltooid kon worden. Bovendien werd vaak bij voorbaat al gewaarschuwd, dat onwillige bestuurders er niets van zouden begrijpen en het hele project mogelijk zouden frustreren. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.) Als adviesbureaus daarbij ook nog de ruimte kregen om een nulmeting of een risicoanalyse te doen, dan werd als resultaat daarvan het niveau van de informatiebeveiliging binnen de zorginstelling doorgaans afgeschilderd als niet uitkomend boven dat van de gemiddelde peuterspeelzaal en gingen alle seinen op rood. Als een directielid nog durfde op te merken, dat er in de afgelopen jaren toch nauwelijks incidenten op het gebied van de informatiebeveiliging hadden plaatsgevonden, dan werd hij dikwijls wat meewarig aangekeken door de adviseur en beschouwd als typisch weer zo’n manager met onvoldoende awareness. (Zie ook ‘Informatiebeveiliging awareness voor management en gebruikers’.)

3. Informatiebeveiliging wordt volwassen

Intussen is informatiebeveiliging ook een issue geworden voor veel andere organisaties. De oude normen werden opgeruimd, twee nieuwe gedefinieerd:

• De normatieve ISO 27001 norm vooral voor grote informatieverwerkende en beursgenoteerde ondernemingen.
• ISO 27002 voor organisatie voor wie informatieverwerking geen core business is en de informatieverwerking in control moet zijn.

Organisaties waarvoor informatieverwerking geen core business is, hebben geen jaarlijkse schade van 100 miljoen en kunnen dan ook toe met een meer toegesneden niveau van informatiebeveiliging. (Zie ook ‘ISO 27001 of ISO 27002 (ISO 17799) als norm voor uw informatiebeveiliging’.) De ISO-norm is in dit kader gemigreerd naar de modernere ISO 27001 en ISO 27002, waarbij ISO 27001 vooral voor beursgenoteerde bedrijven is en ISO 27002 voor de andere organisaties.
Informatiebeveiliging is zo langzamerhand niet langer meer synoniem met het implementeren van 100 maatregelen. Deze verandering in het denken is begonnen, toen ISO 17799 vervangen werd door ISO 27002. Er ontstond een norm die voor andere organisatie dan banken en centrale overheden kon worden gebruikt. ISO 27002 is primair een managementsysteem, waarmee men de informatiebeveiliging ‘in control’ kan houden. Anders gezegd, waarbij men de maatregelen afgestemd houdt op het risicoprofiel van de organisatie. Voor de gemiddelde zorginstelling ligt dat risicoprofiel niet erg hoog. Dat vereist dan tevens een andere kijk op bijvoorbeeld een begrip als vertrouwelijkheid. Een zorginstelling is een kennisintensieve organisatie, waarbij kennisdeling en informatieuitwisseling core competenties zijn, die zelfs letterlijk van levensbelang kunnen zijn. Dat telt zwaarder dan het risico dat anderen inzage krijgen in vertrouwelijke gegevens. Natuurlijk is dit geen vrijbrief om geen aandacht aan vertrouwelijkheid te schenken. vertrouwelijkheid is echter niet meer dan een randvoorwaarde voor het verlenen van een adequate zorg en vergelijkbaar met bijvoorbeeld een randvoorwaarde als hygiëne.

4. De nieu we NEN 7510 is het zusje van ISO 27002

Om zeker te zijn van de correctheid van bovenstaande informatie, heb ik de NEN zelf om commentaar gevraagd. De contactpersoon daar voor NEN 7510, Claudia Zwaan, antwoordde mij in een mail als volgt:

“NEN 7510 is speciaal voor de zorg geschreven. Omdat het is toegespitst op deze doelgroep, is het makkelijker te implementeren. NEN 7510 is gebaseerd op de oude versie (17799) van de nu geheten 27002. Zoals u al zegt, is ISO 27002 als basis gebruikt en als u volledig op de hoogte bent van alle ins en outs van deze norm, dan heeft u ook voldoende kennis van NEN 7510. De vragen die u over NEN 7510 krijgt, kunt u dus goed beantwoorden door uw kennis van ISO 27002. De nieuwe gereviseerde NEN 7510 zal gebaseerd zijn op de nieuwe ISO 27002.”

Deze nieuwe norm wordt in 2010 of 2011 geïntroduceerd en kan dus op dezelfde manier als ISO 27002 geïmplementeerd worden. Niet volgens verouderde methodieken, maar op een pragmatische wijze, waarbij de bestuurders van de zorginstellingen de norm bepalen met de intern betrokkenen. (Zie ook ‘ISO 27002 ‘lean en mean’ implementeren als security management systeem’.) Het zal ook onmiddellijk duidelijk worden, dat awareness dan niet meer een groot probleem is. Want iedereen in de zorg neemt dagelijks besluiten over de risico’s die hij wil lopen en welke maatregelen daartoe getroffen moeten worden. Zo werkt het ook bij informatiebeveiliging in de zorg. Voorwaarde is alleen dat het management goed wordt gerapporteerd over de balans tussen enerzijds de risico’s die de organisatie loopt en anderzijds de effectiviteit van de getroffen maatregelen. Die rapportage moet dan ook niet gaan over de inhoud, maar over de mate waarop de organisatie in control is. (Zie ook ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27002′.) Dan zullen bestuurders hun verantwoordelijkheid nemen en wordt voorkomen dat er een papieren tijger zonder enig nut wordt opgetuigd.
Daarom durfden wij in een eerder artikel ook te schrijven: ‘Invoering NEN 7510 is eenvoudiger dan u denkt’. Dat de IGZ en de CPB dreigen met dwangsommen is een achterhoedegevecht. Zorginstellingen moeten ervoor zorgen dat ze hun eigen beleidsuitgangspunten naleven en die mogen ze zelf vaststellen. Slechts zorginstellingen die zelf de lat heel hoog gelegd hebben, zijn aan te pakken. De zorginstellingen die zich niet hebben laten opfokken, kunnen binnen enkele maanden de NEN 7510 invoeren en zullen nooit lastig gevallen kunnen worden met dit soort acties van de IGZ en de CPB.

Download:         

Gerelateerde artikelen:

1. Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27002 te certificeren
2. Cursus Informatiebeveiliging conform ISO 27002 of NEN 7510
3. Webseminar Pragmatische aanpak informatiebeveiliging volgens ISO 27002 (=ISO 17799) en NEN 7510

1. Gemeenten in een spagaat door de WMO?
2. Kwaliteit van betaalbare zorg
3. Zorgveiling als zelfsturende oplossing 

1. Gemeenten in een spagaat door de WMO?

Gemeenten krijgen voor uitvoering van de Wet maatschappelijke ondersteuning (WMO) een vast bedrag van het rijk. Hiertegenover staan echter variabele uitgaven. Dit betekent dus dat gemeenten een financieel risico lopen. Tel daarbij op het feit dat de uitgaven voor de WMO een aanzienlijk deel van de begroting van de gemeenten beslaan en het is duidelijk dat ten aanzien van de wet een goed financieel beleid moet worden gevoerd.
Gemeenten hebben veel vrijheid om hun eigen beleid te bepalen. Zo bepaalt een gemeente haar eigen verstrekkingenbeleid. Dat betekent dus dat in de ene gemeente zaken verstrekt worden die in de andere niet tot het verstrekkingenbeleid behoren. Ook maakt een gemeente haar eigen keuzes in het bijdragebeleid. De soort voorzieningen waarvoor een eigen bijdrage geheven wordt en de hoogte van die eigen bijdrage kunnen van gemeente tot gemeente verschillen.
Het vaste bedrag aan inkomsten dat gemeenten van het rijk ontvangen wordt bepaald volgens een normatief rekenmodel. Bepalend voor de hoogte van de bijdrage is een verdeelsleutel op basis van leeftijd, samenstelling van huishoudens, inkomensgebonden factoren, arbeidsgerelateerde zorgbehoeften en geografische factoren. Beleidszaken worden in dit rekenmodel niet expliciet meegenomen.
Het verstrekkingenbeleid en bijdragebeleid van gemeenten wordt daardoor noodgedwongen soms sterk bepaald vanuit financiële overwegingen. Maar hoe zorgt een gemeente ervoor dat toch de kwaliteit van de zorg hierbij niet uit het oog wordt verloren?

2. Kwaliteit van betaalbare zorg

Omdat de huishoudelijke hulp/verzorging als eerste naar de gemeente zal worden overgeheveld, beperken we ons nu verder tot deze vorm van zorg. De meeste contracten voor deze vorm van zorg lopen binnenkort af. In de tijd dat ze werden afgesloten bestond het beleid vaak uit niet meer dan procedureel correct handelen. Nu er echter ervaringen bestaan, mag van gemeenten verwacht worden, dat zij deze zorg sociaal overwogen aanbesteden.
Onderstaand is weergegeven hoe de geleverde zorg geëvalueerd kan worden en volgens welke stappen en rapportages dit proces kan plaatsvinden.

Figuur 1: Evaluatie van de geleverde zorg

Het gaat hierbij dus niet alleen om de rapportages van de zorgverleners. Dat zou alleen maar betaalbare zorg opleveren. Het gaat vooral om de klantervaringen en de klanttevredenheid. Die geven een indicatie over de daadwerkelijk geleverde zorg op grond waarvan gemeenten eisen en wensen kunnen bijsturen.
Valkuil bij dit soort evaluaties zijn echter de kosten van het evaluatieproces. Mogelijk wordt een groot deel van de besteedbare budgetten hierdoor niet besteed aan zorg maar aan managementoverhead. Bovendien ligt het risico van de ‘betuttelende’ overheid op de loer, waardoor op voorhand al een matige perceptie van de geleverde zorg wordt gecreëerd.

3. Zorgveiling als zelfsturende oplossing

In de afgelopen jaren is daarom de zorgveiling steeds populairder geworden. Belangrijkste voordeel hiervan is, dat de zorgcliënt kan kiezen. Dat is bepalend voor de kwaliteit. Bovendien lekt er geen budget weg naar overbodige overhead. Het aanbestedingsproces kan volledig online plaatsvinden via zorgveiling.nl   en werkt als volgt:

• De klant heeft een zorgvraag – bijvoorbeeld kraamzorg of WMO-zorg. Hij geeft de vraag door aan de zorgverzekeraar of aan zijn gemeente. De klant kan hierbij zijn persoonlijke voorkeur uitspreken voor een (type) zorgaanbieder.
• De zorgverzekeraar of gemeente publiceert de zorgvraag op Zorgveiling.nl. Informatie over de zorgvrager blijft beperkt tot de eerste drie cijfers van de postcode. Zo blijft de privacy van de zorgvrager 100% gerespecteerd.
• De zorgaanbieders krijgen drie dagen om een bod uit te brengen of hun oorspronkelijke bod bij te stellen.
• Is de biedtermijn verstreken? Dan wijst het systeem de zorgvraag toe aan de beste zorgaanbieder. Dat is niet noodzakelijk de partij met de laagste prijs. De toewijzing gebeurt op basis van de paramaters die de gemeente of zorgverzekeraar in het systeem heeft geïntegreerd. In willekeurige volgorde:
  • kwaliteit van de zorgaanbieder;
  • prijs van de zorg;
  • voorkeuren van de klant;
  • ….
• De zorgverzekeraar of gemeente brengt de geselecteerde zorgaanbieder op de hoogte dat hij de opdracht heeft binnengehaald. Zorgveiling.nl kan dit ook automatisch doen.
• Op de afgesproken datum levert de zorgaanbieder kwalitatieve zorg.
• Na afloop van de zorg ontvangt de klant een evaluatieformulier. De gemeente of zorgverzekeraar blijft zo op de hoogte van de tevredenheid.
• Op basis van de evaluatieformulieren verdient de zorgaanbieder ook klanttevredenheidsterren. Die pronken naast zijn naam op Zorgveiling.nl. Veel sterren betekent een goede reputatie. En meer kans op de voorkeur van zorgvragers.

Gegeven de marktwerking in de zorg, waarvoor nu eenmaal gekozen is, vormt de zorgveiling voor gemeenten een bruikbaar instrument om beleid, kostenbeheersing en kwaliteit om te zetten in een transparante manier van aanbesteden.

Bronnen:
Wouter Jongebreur, Esther Sluis-Thiescheffer, Geeske Telgen, ‘Hoe houden we de uitgaven voor de WMO in de hand?. http://www.significant.nl. maart 2007.
www.zorgveiling.nl.

Download:         

Gerelateerde artikelen:

1. Sociaal dilemma: hoe asociaal kan sociaal zijn?
2. Marktwerking in de zorg leidt tot fabrieken voor verrichtingen
3. De donkere kant van Europees aanbesteden

Inhoudsopgave

1. Zorg is toch geen business?
2. Communicatie en informatie in de zorg
3. Beleid zorgaanbod aan patiënten
4. Passend zorgaanbod
5. Business development in de zorgmarkt meer dan procesverbetering

1. Zorg is toch geen business?

Dé gewetensvraag voor zorgverleners: Is zorg business?
Zorg wordt op operationeel niveau zodanig verleend, dat de klant optimaal begeleid wordt van de wieg (en zelfs eerder) tot het graf. (Zie ook ‘Care is Core of Cure’.) Op tactisch en strategisch niveau ligt de zaak echter complexer. Je geld kun je tenslotte maar één keer uitgeven, alle prachtige verhalen over marktwerking en de zegeningen daarvan voor de klanten ten spijt.
Enige tijd geleden kreeg ik door een spoedopname onverwachts de kans de ideeën die we in de afgelopen jaren gelanceerd hebben te toetsen aan de praktijk. Dit keer niet op een afstand als waarnemer, maar als patiënt en zorgconsument. Plaats van handeling was de afdeling longziekten van een groter regionaal ziekenhuis, ontstaan uit een viertal plaatselijke ziekenhuizen. Aanleiding voor de spoedopname was een aanval van benauwdheid. Via een ingreep thuis werd deze bedwongen, maar gezien een aantal testresultaten werd toch besloten tot een spoedopname.
In dit artikel wil ik u meenemen op dit avontuur. Ik wil daarbij steeds stil staan bij de behoefte aan zorgproducten en -diensten vanuit mijn perspectief als zorgconsument. Eerst op microniveau en later vanaf een afstand. Ik wil daarmee beleidsmakers in de zorg feedback geven en handvatten voor verdere business development.

2. Communicatie en informatie in de zorg

De communicatie- en informatieplicht is in de zorg opvallend aanwezig. Iedereen met wie ik in contact kwam, stelde zich voor en vertelde wat hij of zij ging doen. Dat dit bij een spoedopname niet geregisseerd kan worden, spreekt voor zich. Maar zelfs bij mij als communicatieprofessional leidde dit er onmiddellijk toe, dat ik mij onbewust afsloot voor alle gegeven informatie en me beperkte tot het beantwoorden van vragen die me gesteld werden. Gevolg was dat ik 12 uur na mijn opname en inmiddels meer dan 10 onderzoeken en 20 contacten verder nog steeds niet wist:

• met wie ik had gesproken;
• wat mij mankeerde;
• welke keuzes ik moest maken.

Niet dat me dat niet verteld was. De overload aan informatie echter die ik had gekregen was totaal aan me voorbij gegaan. Eenmaal achtergelaten in bed op de zaal die voor mij was uitgekozen, realiseerde ik me dat er inderdaad sprake was van een spoedopname. Intussen voelde ik me weer prima. Het leek me dan ook een uitgemaakte zaak, dat ik aan het einde van de dag weer naar huis zou vertrekken. Ik maakte me daarom ook niet druk om het informatieverlies tijdens die dag. Te meer omdat voor mij als zware roker mijn meest urgente probleem was: ‘Hoe kom ik aan een nicotineshot?’ Dat probleem zou zijn opgelost, zodra ik koers richting huis zette.
Ik kreeg echter te horen dat alle onderzoeken geen eenduidig beeld hadden opgeleverd. Vrijwel zeker was, dat er sprake was van een lichte longontsteking, waarvoor ik antibiotica zou krijgen. Niet uitgesloten kon worden, dat er ook sprake was van een longembolie. Daarvoor waren bloedverdunners nodig. Deze moesten ingeregeld worden. De gevolgen van deze behandelingen werden me niet meegedeeld. Wel was het met het oog op deze behandeling noodzakelijk om in elk geval nog een aantal dagen in het ziekenhuis te blijven. Ik moest dus acuut mijn meest urgente probleem oplossen: ‘Hoe kom ik nu aan mijn nicotineshot?’

3. Beleid zorgaanbod aan patiënten

Doordat er sprake was van een spoedopname, kreeg ik pas later het informatieboekje in handen, waarin het ziekenhuis op een handzame wijze zijn zorgaanbod beschrijft, met als onderwerpen:

• opname;
• verblijf;
• bezoektijden;
• service en voorzieningen;
• rechten van de patiënt;
• procedures van het ziekenhuis;
• patiëntentelefoon en televisie;
• bereikbaarheid.

Een compliment voor deze compacte en duidelijke weergave is op zijn plaats. Maar juist door die duidelijkheid werden ook de omissies in het zorgaanbod zichtbaar.

3.1 Niet de patiënt maar de opname centraal

De bedrijfsprocessen in het ziekenhuis zijn volledig afgestemd op de logistiek van de opname. Die opname begint met een uitgebreide intake, vervolgens wordt de patiënt voorbereid, dan volgt het verblijf in het ziekenhuis en tenslotte de nazorg op het verblijf. Dit alles verliep geheel volgens het boekje. Ook op de uitvoering viel niets af te dingen. Voor de zorgconsument is echter de opname slechts een bladzijde uit het boek van zijn zorghistorie. De centrale vraag in die historie is: ‘Hoe blijf ik gezond?’.
Tijdens de opname was medisch gezien alleen de vraag van belang of er afwijkingen aan de longen waren. Voor mijzelf was tijdens de opname het probleem niet te kunnen roken veel urgenter. Daarbij kwam ook nog eens dat ik een verhoogd risico loop op wondjes aan mijn benen.
Vanuit het perspectief van business development kunnen we hier spreken van een tweetal gemiste kansen. Het onvoldoende kennen van mijn medisch dossier is waarschijnlijk terug te voeren op het ontbreken van een elektronisch patiënten dossier (EPD). Het niet kunnen inspelen op de situatie dat ik gedwongen was acuut te stoppen met roken door hierbij begeleiding te geven, kunnen we bestempelen als het negeren van de behoefte van de klant. Pas na diverse verzoeken bleek dat ik eventueel nicotine kauwgum kon krijgen. Meer mogelijkheden in behandeling (zoals bijvoorbeeld medicijnen, acupunctuur enzovoort) waren niet voorhanden. Omdat het kauwen van die nicotinekauwgum qua smaak vergelijkbaar is met het leegeten van een asbak, heb ik dus van deze mogelijkheid geen gebruik gemaakt.

3.2 Zeggenschap van de patiënt

Met betrekking tot de zeggenschap vermeldde het informatieboekje:

‘De zorgverlener is verplicht u uitleg te geven over uw ziekte, over de verschillende mogelijkheden van onderzoek en behandeling en over de voor- en nadelen die hieraan verbonden zijn. Deze informatie heeft u nodig om uw toestemming voor een bepaalde behandeling te kunnen geven. Uiteindelijk beslist u zelf of u wel of niet wordt behandeld, en niet uw zorgverlener.’

Dit klinkt heel democratisch. In de praktijk is dit echter grotendeels onuitvoerbaar. Een zorginstelling is tenslotte meer dan een reparatiewerkplaats. (Zie ook ‘Marktwerking in de zorg leidt tot fabrieken voor verrichtingen.’) Verwacht mag worden, dat de scope van het ziekenhuis de patiënt is, en niet alleen de verrichting.
Tijdens de gehele behandeling is mij nooit verteld dat ik zelf keuzes kon maken voor mijn behandeling. Wel is mij verteld dat zowel een longontsteking als een longembolie niet aan te tonen maar ook niet uit te sluiten was. Daarom werd gekozen voor de behandeling van beide ziektebeelden. Dit werd gedaan zelfs zonder toelichting op het effect van de medicatie (bloedverdunners).
Drie dagen later kwam op grond van exact dezelfde gegevens een andere arts tot de conclusie, dat de behandeling van de longembolie in zijn ogen niet nodig was. Hij besloot de dubbele behandeling te stoppen.

4. Passend zorgaanbod

Tijdens deze opname bleef een aantal kansen onbenut. In de loop der jaren is er in mijn gezondheid een aantal zaken aan het licht gekomen, die niet urgent zijn maar die toch binnen zo ongeveer vijf jaar behandeld moeten worden. Elk afzonderlijk zijn ze voor mij niet de moeite waard om mijn werkzaamheden als kleine ondernemer stil te leggen. Nu ik echter in het ziekenhuis was, hadden deze behandelingen wel meegenomen kunnen worden met een minimale toename van de tijd die ik toch al uit de running was.
Helaas was dit niet mogelijk. Deze behandelingen zijn dus weer op de lange baan geschoven. Hier wreekt zich toch het gebrek aan klantgerichtheid van ziekenhuizen en het ontbreken van een frontoffice in de zorg, waar het totale behandelplan per patiënt beheerd wordt. (Zie ook ‘Elektronisch Patiënten Dossier EPD een grote stap achteruit?’.)

5. Business development in de zorgmarkt meer dan procesverbetering

Gedwongen door de toenemende concurrentie in de zorg, zijn zorgaanbieders tegenwoordig druk doende met het beter afstemmen van hun producten en diensten op de wensen en behoeften van hun klanten.
De zorgmarkt zit echter anders in elkaar dan de meeste andere markten. (Zie ook ‘Marketing in de zorg: complex maar toch niet moeilijk’.) De zorgmarkt is in hoge mate regionaal bepaald, waarbij mond-tot-mond reclame een cruciale rol speelt. Daarom is onderzoek onder patiënten van levensbelang. Dat onderzoek moet meer zijn dan vragen naar de mening van de patiënt of de zorg goed geleverd is. Door het stellen van gesloten vragen blijft vaak onderbelicht of de zorg wel afgestemd was op de patiënt.
Het vragenformulier dat ik na afloop mocht invullen, was zodanig opgesteld, dat ik in feite alleen hoge cijfers kon geven. Het gaf een correct beeld op micro-niveau, gezien vanuit het ziekenhuis. Uitgaande van mijn behoeften als patiënt zaten er echter belangrijke omissies in de dienstverlening.
Het gaat in de zorg niet alleen om simpele procesverbeteringen. De vragenlijst was daar wel op gericht. Het gaat juist om werkelijke innovaties in de dienstverlening. Voor mij als zorgconsument viel er niets te kiezen. Het ziekenhuis bood geen pakket dat voldoet aan mijn behoefte (en aan de behoefte van honderdduizenden ondernemers in Nederland). Geen enkele zorginstelling biedt zo’n pakket. Blijkbaar zijn we niet vaak genoeg ziek om een aantrekkelijke doelgroep te zijn voor zorginstellingen.
Business development draait nu nog rond in een klein cirkeltje van procesverbetering. Is het navelstaren? Niet ieder ziekenhuis kan het iedere patiënt even goed naar de zin maken. Daarvoor verschillen behoeften te veel. Specialisatie naar typen behandelingen is al heel gebruikelijk. Het wachten is nu nog op gespecialiseerde ziekenhuizen voor werkverslaafde ondernemers. Waar kan ik terecht?

Download:         

Gerelateerde artikelen:

1. Marktwerking in de zorg leidt tot fabrieken voor verrichtingen
2. Innovatie, business development of gewoon: Wie niet sterk is moet slim zijn
3. Valkuilen voor business development en marketing

1. Zorg, zorgen of gewoon beleid?
2. Wie kent de feiten over verpleeghuizen?
3. Economische benadering van dit issue
4. De aanbodkant
5. Efficiency verbetering in de zorg mogelijk?

1. Zorg, zorgen of gewoon beleid?

Door de toenemende vergrijzing zal in de komende jaren de behoefte aan zorg toenemen, waarbij dementie uiteraard een belangrijk item wordt; juist demente patiënten hebben extra zorg nodig en zullen een groot deel van de capaciteit van verpleeghuizen vergen.
We hebben daarbij natuurlijk te maken met de politiek, die verantwoordelijk is voor de toekenning van budgetten. Zonder deze budgetten kunnen de verpleeghuizen überhaupt geen zorg verlenen. Vaak maakt de politiek beleid om het beleid, daarbij niet gehinderd door enige kennis van zaken. Als dat het geval is, ontstaan Ironisch genoeg vier slachtoffergroepen:

• de patiënten, die geen adequate zorg krijgen;
• de zorginstellingen, die door het beleid geen adequate zorg kunnen leveren;
• de overheid, die keer op keer moet constateren dat het beleid alleen maar handenvol meer geld kost, zonder dat doelen bereikt worden;
• de naasten van de patiënt, die wel mantelzorg willen geven maar vaak niet kunnen.

Dat stemt niet echt tot tevredenheid. In dit kader is de vraag dan ook terecht: ‘Is dit beleid of is erover nagedacht. (Zie ook ‘Zorgmanagement: zin en onzin van schaalgrootte in verpleeghuizen’.)

2. Wie kent de feiten over verpleeghuizen?

Het is niet onze gewoonte om alleen maar uit de heup te schieten. Daarom eerst de feiten, ontleend aan het kenniscentrum van Aedis-Actiz*  en het werkprogramma ‘Wonen met dementie’.
Het gaat er hierbij om dat verpleeghuizen steeds kleinschaliger moeten worden, opdat demente ouderen in de nabijheid van hun leefomgeving kunnen blijven. Er zijn gevallen waarin dit absoluut waardevol is.
Maar:

• hebben dementerende ouderen geen behoefte aan gespecialiseerde hulp en voorzieningen?
• hebben ernstig dementerende ouderen überhaupt nog een beeld van de omgeving buiten een straal van 20 meter vanwaar ze zich bevinden?
• doet het er niet toe doet, dat de ‘handen aan het bed’ ineens een deel van hun tijd moeten besteden aan reizen?
• is het een uitzondering dat naasten verhuisd zijn en niet meer in de onmiddellijke omgeving wonen en dus toch al moeten reizen voor een bezoek?
• wordt de zorg niet verleend door de zorgverleners en zijn de naasten vaak niet alleen de slagroom op de koffie?

Zoals eerder aangegeven, zal als gevolg van de dubbele vergrijzing in de komende decennia het aantal mensen met dementie toenemen en daarmee ook de behoefte aan verpleeghuiszorg. Binnen deze zorg neemt het kleinschalig wonen een steeds grotere plaats in. Van kleinschalig wonen is sprake wanneer zorg geboden wordt aan mensen met dementie in een huiselijke en herkenbare omgeving. De bewoners vormen met elkaar een gewoon huishouden en kunnen voor zover mogelijk zelf hun dagelijks leven inrichten. De medewerkers zijn onderdeel van het huishouden en sluiten, in de ondersteuning en zorg die zij verlenen, zo veel mogelijk aan bij de leefstijl en de voorkeuren van de bewoners. Voor mensen die nog enigszins zelfstandig kunnen functioneren is dit een zegen. In geval van dementie waarbij in feite continu toezicht nodig is, is het een ander verhaal.
De politiek echter zet volledig in op kleinschalig wonen. De politiek heeft in het verleden wel vaker aangetoond, dat de put pas wordt gedempt, als het kalf verdronken is. Laten we dus voorlopig maar even uitgaan dat kleinschalig wonen de realiteit zal worden en dat grootschalige verpleeghuizen gaan verdwijnen.

* Het Kenniscentrum Aedis-Actiz is onderdeel van Aedes vereniging van woningcorporaties en ActiZ, organisatie van zorgondernemers (voorheen Arcares en Z-org)

3. Economische benadering van dit issue

Als we kiezen voor een economische benadering van dit onderwerp, een benadering die de politiek voorstaat, dan gaat het over vraag en aanbod. Het probleem is echter, dat er in feite geen vraag, klant of markt is in de huidige systematiek. Het is de dementerende oudere die het object van zorg is en het zijn de naasten die in feite de behoeftesteller zijn en het is de zorgverzekeraar die moet betalen. Kortom, hoe kan er sprake zijn van marktwerking?
Laten we toch maar proberen om in te gaan op de vraagkant (de markt). Dat er gezien de vergrijzing sprake is van een groeimarkt is evident. Meestal zijn dienstverleners die werken in een groeimarkt daar blij mee. Binnen het huidige beleid en de wet- en regelgeving van tegenwoordig echter, vraag ik me af of dit voor zorginstellingen ook geldt. Een zorginstelling is er primair voor om zorg te verlenen met als randvoorwaarde, dat dit tegen acceptabele kosten gebeurt. Zorgverleners hebben daarvoor gekozen. Soms echter komt de vraag op, of zij niet net zo goed fietsenmaker hadden kunnen worden.

3.1 Behoefte aan zorg voor mensen met dementie tot 2030

Dementie treft vooral de ouderen in onze samenleving. De kans op dementie stijgt met de jaren. Geschat wordt dat van alle mensen tussen de 65 en 69 jaar ongeveer 1,5% aan dit ziektebeeld lijdt. Voor mensen van boven de 85 jaar is de kans op dementie meer dan 30%. Door de toenemende vergrijzing van Nederland stijgt ook het aantal mensen met dementie. Bovendien is er sprake van een dubbele vergrijzing. Dat wil zeggen dat het aantal oudere ouderen (75-plussers) sneller stijgt dan het totale aantal ouderen.
Naar schatting groeit de komende jaren het aantal mensen met dementie van ruim 193.000 in 2005 naar ruim 319.000 in 2030. Dat is een toename van 65% in 25 jaar.
Met het voortschrijden van de dementie, neemt ook de behoefte aan professionele zorg toe. Een belangrijk deel van deze zorg kan op dit moment thuis worden geboden. Professionele 24-uurszorg binnen een instelling blijft echter voor een deel van de mensen met dementie noodzakelijk.
Een deel daarvan kan binnen een beschermende setting (verzorgingshuis) nog redelijk zelfstandig wonen, een groeiend deel heeft echter intensieve residentiële zorg nodig.
De Gezondheidsraad (Gezondheidsraad, 2002) heeft vastgesteld dat in 2000 van alle mensen met dementie 65% thuis woonde, 17,8% verbleef in het verpleeghuis en naar schatting 17,1% in het verzorgingshuis. Uitgaande van de cijfers van de Gezondheidsraad zou de behoefte aan residentiële zorg voor deze groep patiënten op ongeveer 35% van het totaal aantal mensen met dementie gesteld kunnen worden.
Een deel van deze 35% mensen met een residentiële zorgbehoefte heeft intensieve residentiële zorg nodig (‘verpleeghuiszorg’). Dit is de doelgroep voor het kleinschalig (groeps)wonen.
Gezien de vergrijzing zal dit een in de tijd sterk groeiende groep vormen:

• Voor het jaar 2005 zijn de gegevens over de ‘verpleeghuiszorg’ bekend die in verpleeghuizen werd geleverd. Voor dit jaar werden eind 2004 door het College Tarieven Gezondheidszorg (CTG) voor 37.144 psychogeriatrische verpleeghuisplaatsen productieafspraken gemaakt.
• Bovendien is door het College Voor Zorgverzekeringen (CVZ, 2005) berekend dat op peildatum 1 januari 2005 in totaal 7.523 mensen met een psychogeriatrische aandoening op de wachtlijst stonden voor zorg met verblijf.
• Onder allerlei benamingen, zoals bijvoorbeeld aanvullende verpleeghuiszorg, wordt ook binnen verzorginghuizen ‘verpleeghuiszorg’ aan mensen met dementie geleverd.

ActiZ schat in dat ongeveer 20% van de bewoners van het verzorgingshuis daar verblijft op basis van de grondslag Psychogeriatrie, met tevens een zorgintensiteit van gemiddeld boven de 12 uur per week directe zorg. Dat waren in 2005 ca. 20.000 mensen. De behoefte aan intensieve residentiële zorg bestaat echter uit de psychogeriatrische zorg die zowel in de verpleeghuizen als in de verzorginghuizen wordt verleend. Veronderstel dat 20.000 van de bewoners – die op basis van de grondslag psychogeriatrie verblijven in het verzorgingshuis – beschikken over een indicatie voor verblijf en met een intensieve zorgvraag (boven de 12 uur gemiddeld). Het totaal aantal personen met behoefte aan intensieve residentiële zorg zou dan uitkomen op 64.667 personen. Daarmee zou de potentiële doelgroep voor kleinschalig wonen niet op 23% maar op 33% van het totaal aantal mensen met dementie in 2005 uitkomen.
Het aantal mensen met dementie dat behoefte heeft aan psychogeriatrische
zorg in verpleeghuizen (al dan niet kleinschalig) groeit naar schatting van 44.600 in 2005 naar ruim 73.442 in 2030.

4. De aanbodkant

Enerzijds zijn er dus de grootschalige verpleeghuizen en anderzijds is er het kleinschalig wonen. Momenteel is er de trend om grootschalige verpleeghuizen te sluiten en deze te vervangen door projecten voor kleinschalig wonen. Dat deze projecten geld kosten is duidelijk. Dat vanwege reistijden en kleinschaligheid de zorgkosten verhoogd worden is ook evident: 100 kopjes op een dag afwassen in een verpleeghuis kost hooguit een kwartier. 100 kopjes afwassen op locatie kost een dag. Daarbij is het natuurlijk van belang wat de locatiegrootte wordt.
Naar verwachting zal dit in 2010 als volgt zijn opgebouwd:

• 34% heeft een locatiegrootte < 24
• 21% heeft een locatiegrootte van 25-48
• 14% heeft een locatiegrootte van 49-72
• 12% heeft een locatiegrootte van 73-96
• 9% heeft een locatiegrootte van 97-120
• 10% heeft een locatiegrootte van >120

Hiermee wordt het aanbod van kleinschalig wonen meer dan verdubbeld. Ervaringsdeskundigen geven aan dat pas bij een locatiegrootte van meer dan 50 voldoende schaalgrootte bestaat voor een goede zorg en voldoende efficiency. Gelet op het feit, dat er nu vanwege initiatieven tot kleinschalig wonen verpleeghuizen worden gesloten, zal duidelijk zijn dat de kosten vanwege zorg aan en huisvesting van demente ouderen explosief zullen stijgen.
Natuurlijk wordt een deel hiervan opgevangen door de mantelzorg. Gezien de toenemende vergrijzing ook van de mantelzorgers en de afnemende cohesie in de samenleving zal dit echter slechts een kleine compensatie vormen voor de toenemende kosten.
Dat betekent dat ook zorgverzekeraars onder druk komen te staan. Nu al ondervinden ze zware kritiek van de consument op de stijging van de premies. Dit deel van de kostenstijgingen zullen ze op de zorginstellingen afwentelen, door lagere vergoedingen voor productieafspraken te geven.

5. Efficiency verbetering in de zorg mogelijk?

Uitgangspunt in de zorg moet natuurlijk zijn ‘zoveel mogelijk handen’ aan het bed’ te houden. Het verlies aan efficiency zal teruggewonnen moeten worden in de facilitaire organisatie. Maar dit kan, zeker in verpleeghuizen, leiden tot onvoldoende communicatie tussen de ploegendiensten bij de overdracht van patiënten. Ook het EPD biedt daarvoor geen soelaas. Want meestal gaat het om feitjes die hierin niet worden opgenomen, maar die voor de dementerende oudere en dus voor zijn verzorgers wel van groot belang zijn op dat moment. De zorg aan deze patiënten is tenslotte meer een kwestie van continue behandeling dan van historie. (Zie ook ‘Waarom stuurgroepen vaak het roer niet kunnen vasthouden’, een artikel met een casestudy over het elektronisch patiënten dossier.)
Daarbij komt dat er veel wordt gecommuniceerd met naasten uit de omgeving van de patiënt. Bovendien ligt de verantwoordelijkheid voor de communicatie en organisatie rond de facilitaire dienstverlening vaak bij de zorginstelling en niet bij de toeleverancier. (Zie ook ‘Facility management: uitbesteden aan specialisten?’.)
Als een groot deel van deze communicatieve en organisatorische zaken uitbesteed kunnen worden aan anderen, dan zal dit in elk geval betekenen dat de toenemende druk op de zorgverzekeraars niet ten koste gaat van de zorg zelf.
Automatisering kan hierbij helpen. Er bestaan al oplossingen:

• die de planningsfunctie kunnen overnemen, ook in geval van kleinschalig wonen, waarbij veel medewerkers verspreid en locaal werkzaam zijn.
• waarbij naasten in veel gevallen zelf de antwoorden op hun vragen kunnen vinden;
• waarbij simpelweg een afroep naar een facilitaire dienstverlener uitgezet kan worden en waarbij deze zelf op een gemeenschappelijk platform de aanvraag kan organiseren en verantwoorden;
• waarbij iedereen met behulp van een PC, PDA of zelfs mobiele telefoon, onafhankelijk van zijn locatie, toegang heeft tot alle gegevens waarvoor hij of zij bevoegd is en waarbij hij tevens de status van behandelingen en verantwoordingen kan ingeven.

Op deze wijze kan de communicatie over feiten teruggebracht worden tot een minimum, vinden er geen dubbele vastleggingen meer plaats, kan de communicatie de afstand in communicatie tussen de locale woongemeenschappen eenvoudig overbrugd worden en blijft er meer tijd over voor de handen aan het bed.

Bron:
Hugo van Waarde, Monique Wijnties, ‘De toekomst van kleinschalig wonen voor mensen met dementie’. http://www.kenniscentrumwoonenzorg.nl. 8-11-2006.

Download:         

Gerelateerde artikelen:

1. Zorgmanagement: zin en onzin van schaalgrootte in verpleeghuizen
2. Hoe gemeenten en zorginstellingen hun beleid kunnen afstemmen op hun resultaten
3. Beleid EZ is moordend voor de innovatie in het MKB

1. Wachtlijst in zorg in top 10 van doodsoorzaken
2. Electronisch Patiënten Dossier (EPD) als paradepaardje
3. Wel eens gehoord van planning?
4. Hoe dit tussen de oren te krijgen

1. Wachtlijst in zorg in top 10 van doodsoorzaken

In Nederland kun je zorg krijgen vanaf je geboorte tot aan je graf. Tenminste, dat denken we. APK-keuringen voor mensen zijn echter nog niet uitgevonden en artsen worden afgerekend op hun verrichtingen en niet op de zorg voor hun patiënten, wat in het huidige zorgstelsel ook nagenoeg onmogelijk is. Ze werken dan ook meestal netjes hun planning af, zodanig dat er geen budgetoverschrijdingen plaatsvinden. (Zie ook ‘Care is core of cure’.)
Dat hierdoor jaarlijks 500 patiënten sterven, die op een wachtlijst staan, is heel triest, maar betekent vanuit de zorgverzekeraar gezien tevens een forse besparing op de medische zorg. Deze patiënten zijn niet behandeld, niemand is dus aansprakelijk, ze hebben geen geld gekost en hebben ook geen behandeling meer nodig, dus zullen ook geen geld meer kosten.
De politiek spant zich intussen in om het aantal verkeersdoden met enkele tientallen te verminderen. Het aantal slachtoffers op wachtlijsten is echter blijkbaar acceptabel. Misschien omdat daarmee de vergrijzing effectief bestreden kan worden? (Zie ook ‘Gaat het nu om beleid, kleinschalig wonen, zorgverzekeraars of ook nog om een goede zorgverlening?’.) Of ben ik nu te cynisch?

2. Elektronisch Patiënten Dossier (EPD) als paradepaardje

Natuurlijk heeft de zorg alle aandacht van de politiek. Er wordt hard gewerkt aan het Elektronisch Patiënten Dossier, het perfecte medium om de historie van een patiënt te registreren. Officieel heeft dit als doel de patiënt beter te kunnen behandelen. Als de patiënt echter al sterft als hij nog op de wachtlijst staat, dus voordat hij überhaupt wordt behandeld, schiet hij daar weinig mee op.
Nog even afgezien van de beveiligingsrisico’s, het risico dat het nu inderdaad mogelijk is, dat je complete medische dossier op straat komt te liggen, dus niet alleen maar stukjes hiervan, mist vooral de planningsfunctie in het EPD. Schematisch kunnen we het EPD als volgt weergeven.

Figuur 1: Schematische weergave Elektronisch Patiënten Dossier

 Patiënten bemerken een kwaal. Ze proberen een afspraak te maken om cure te ontvangen. Afhankelijk van de ernst van de kwaal en de situatie overleven ze de wachtlijst en worden behandeld. Vervolgens worden ze zo snel mogelijk overgedragen aan de care; de kosten daarvan zijn lager. Helaas loopt men ook daar weer tegen een wachtlijst aan. Soms is het dan ook verstandiger om maar gewoon uit te zieken. Gelukkig gaat dat ook meestal wel goed.
Kortom, de cure en de care halen hun targets en afgezien van de 500 slachtoffers per jaar, worden de meeste patiënten weer beter tegen minimale kosten. Vaak zelfs omdat de kwaal vanzelf weer geneest, zoals dat in de gehele natuur gebeurt, of met behulp van zelfmedicatie of paardenmiddelen.
De factuur die wordt verstuurd, voldoet gegarandeerd aan de eisen van de zorgverzekeraars, zodat zorgverleners in elk geval betaald worden. Weliswaar niet voor de verleende zorg, maar voor de uitgevoerde verrichtingen. Maar dat is al zo sedert de invoering van de AWBZ.

3. Wel eens gehoord van planning?

Natuurlijk werkt het prettig en bespaart het kosten als artsen en operatiekamers al weken van tevoren zijn volgepland. In elk geval is het dan zeker, dat er een optimaal gebruik wordt gemaakt van productiemiddelen (als artsen, OK en supportmedewerkers). Een spoedgeval zal wel de planning doorkruisen. En dat kost nogal wat.
Hier blijkt ook de tekortkoming van het Elektronisch Patiënten Dossier (EPD). Het geeft de behandelaar volledig inzicht in de historie van de patiënt. Maar wat heeft de patiënt daaraan als hij nu een kwaal heeft en nu behoefte heeft aan behandeling? Hij is niet geïnteresseerd in het verleden, maar in hoe het vanaf nu verder gaat. En hij is er niet bij gebaat dat de behandeling die hij nu nodig heeft, pas over twee manden kan plaatsvinden. Om het doel te realiseren, de patiënt werkelijk beter te kunnen behandelen, zal daarom een planningsfunctie toegevoegd moeten worden aan het EPD.

Figuur 2: EPD en planning

 Een standaardplanningsfunctie bestaat al. Grootste valkuil is echter dat er gekozen gaat worden voor een planningsfunctie gebaseerd op capaciteitsplanning, zoals de meeste ERP-pakketten die hebben.
Men zal echter moeten plannen op gebeurtenis, zodat patiënten die met de hoogste prioriteit zorg behoeven, ook met voorrang ingepland worden. Als dat gebeurd is, kan de capaciteit verder volgepland worden. En waar nodig wordt dan vervolgens externe capaciteit ingepland, zodat iedere patiënt een adequate behandeling krijgt. Tevens wordt hiermee duidelijk, dat een kwaliteitssysteem als HKZ zonder dynamische aspecten de patiënt niet tevreden kan stellen. Behandeling is een dynamisch proces, terwijl HKZ gericht is op standaardisatie en voorspelbaarheid. Als juist de dynamische aspecten niet goed gemanaged kunnen worden, wordt de zorg al snel geassocieerd met het verdronken kalf en de gedempte put.

4. Hoe dit tussen de oren te krijgen

Vaak hoor je de opmerking, dat de zorg geen fietsenfabriek is. Ondanks het beleid van de overheid lijkt het daar gelukkig meestal ook niet op. Zolang echter niemand in de Tweede Kamer over de 500 wachtlijstdoden per jaar valt, blijven de centen natuurlijk prioriteit hebben en lopen zorgverleners mee in de tredmolen van het overheidsbeleid. De enige manier om uw eigen risico te managen is de huisarts onder druk te zetten, om per ambulance bij het ziekenhuis bezorgd te worden. Dan krijgt u een snelle behandeling. Vervolgens is dan wel de verzorgende de klos, want de niet-spoedeisende gevallen, die voor die dag gepland staan, moeten alsnog afgehandeld worden.
De zorg is vraaggestuurd en het is aan de zorgverlener om te bepalen hoe acuut de behoefte is. Niet de planning moet leading zijn, maar de behoefte. Het gaat tenslotte over mensenlevens. Dat vervolgens de planning weer sluitend gemaakt moet worden, is evident. Het hulpmiddel is hierbij van belang, maar vooral ook de attitude. En meestal gaat het dan niet om de attitude van de zorgverleners, maar om die van leidinggevenden en administratieve medewerkers. Zij draaien aan de knoppen van de planning en zij kunnen de werkelijke zorgverleners de ruimte geven hun werk goed te doen.
Een EPD helpt alleen de mensen, die de wachtlijst overleven. Moeten we daarmee leren leven? Of zouden we het misschien ook goed kunnen organiseren? (Zie ook ‘Kwaliteitssystemen in de zorg, last of lust?’.)

Download:         

Gerelateerde artikelen:

1. Zijn talentpools de volgende stap in HRM en recruiting?
2. Marktwerking in de zorg leidt tot fabrieken voor verrichtingen
3. Care is Core of Cure

1. Veranderingen teisteren de zorg
2. Klantgerichtheid in de zorg
3. Care is Core of Cure

1. Veranderingen teisteren de zorg

De zorg heeft het de laatste jaren wel voor haar kiezen gekregen. Het begon met de AWBZ, daarna een fusiegolf, vervolgens de HKZ-certificering, het nieuwe zorgstelsel en vele aanvullende richtlijnen. En nu dan weer de zorgverzekeraars, die in de slag om nieuwe verzekerden te lage zorgpremies aangeboden hebben aan verzekerden en dat geld uiteraard ergens vandaan moeten halen, en, u raadt het al, waarvan de zorg het slachtoffer is. Ook blijven tegenwoordig zorginstellingen regelmatig in de kou staan als gemeenten Europese aanbestedingen uitschrijven om facilitaire dienstverlening in te kopen.
Daarnaast bestaan nog vele omgevingsfactoren, die direct of indirect een grote impact hebben op de zorg, zoals de vergrijzing, de ARBO-wetgeving, het tekort aan zorgverleners en de steeds mondiger wordende patiënt.
Kortom, je bent tegenwoordig niet te benijden als medewerker of manager van een zorginstelling. In dit artikel willen we ingaan op een deel van deze problematiek.
Zorginstellingen hadden altijd een relatief lage automatiseringsgraad, vanwege het feit dat het werk in de zorg in hoofdzaak mensenwerk is. Veel administraties bestonden uitsluitend uit papieren dossiers. Managementinformatie was nauwelijks beschikbaar. Verantwoording was daardoor vrijwel onmogelijk. Door de AWBZ, het nieuwe zorgstelsel en de marktwerking in de zorg echter, moest dit noodzakelijkerwijs veranderen.
Voor zover processen al geautomatiseerd waren, is er door de fusies nog het probleem van eilandautomatisering bijgekomen: vestigingen hadden allemaal hun eigen systemen en consolidatie was daadoor vaak zelfs een handmatig proces, hooguit ondersteund door spreadsheets.
Daarbij komt verder nog dat door de ketenintegratie in de zorg meer communicatie nodig is. Om de zorg betaalbaar te houden, dient dit bij voorkeur te gebeuren tegen lagere kosten.
Dat zorginstellingen ook nog moeten concurreren (marktwerking), is alleen in het belang van de zorgverzekeraars en niet in het belang van de zorg, de patiënt of de zorginstelling.
Het Electronisch Patienten Dossier (EPD) biedt wel een deeloplossing voor deze problemen, als het gaat om de historie van een patiënt. De patiënt zelf echter is uiteraard primair gebaat bij de zorgverlening zelf. Anders gezegd: het ‘hart’ ontbreekt vaak in de zorgautomatisering en daarom ons statement ‘Care is Core of Cure’.

2. Klantgerichtheid in de zorg

Het centraal stellen van de zorg aan de patiënt van de wieg tot het graf is natuurlijk geen eenvoudige zaak. De weg loopt langs vele specialisten, die elk een stukje van de zorg invullen zoals:

• de verloskundige,
• het consultatiebureau,
• de huisarts,
• diverse specialisten,
• de tandarts,
• het ziekenhuis,
• alternatieve genezers,
• de thuiszorg,
• het verzorgingstehuis,
• het verpleeghuis…

Dit is door de eeuwen heen zo gegroeid en ieder van deze behandelaars bakent zijn/haar gebied zo nauwkeurig mogelijk af. Vanuit de professie is dit een goede zaak. Je gaat natuurlijk niet naar een uroloog om een kies te laten trekken. Maar het betekent in feite wel dat de patiënt zelf moet zwemmen in het doolhof van behandelaars.
Het is vergelijkbaar met het opbouwen van je verzekeringsportefeuille. Net als je een specialist raadpleegt op het moment dat daarvoor een aanleiding is, worden ook verzekeringen meestal afgesloten op het moment dat daarvoor een noodzaak bestaat. Vaak gebeurt dit bij een arsenaal van verzekeraars. Zelf moet je het geheel coördineren. Daarom hebben de meeste mensen een tussenpersoon die de portefeuille beheert en die ervoor zorgt dat er bij schade een adequate remedie wordt gevonden. Kortom, deze intermediair speelt een actieve rol, weet doorgaans alles wat relevant is voor het beheer van de verzekeringsportefeuille en signaleert pro-actief of er, gezien de gezinssituatie van de verzekerde, aanvullende maatregelen nodig zijn. Kortom, de verzekerde heeft doorgaans te maken met één loket, de intermediair. Die is vervolgens verantwoordelijk voor de verdere afhandeling in de keten. Logistiek gesproken is hij dus de manager van het klantorder ontkoppelpunt (KOOP), waardoor de klant kan voorzien in zijn specifieke behoefte en verzekeraars niet opgezadeld worden met de specifieke wensen van de klant, maar zich kunnen beperken tot de levering van standaardverzekeringen.
In de zorg ligt dit voor de klant (patiënt) veel complexer. De huisarts is voor veel zaken te beschouwen als de intermediair, maar zijn dienstverlening is beperkt. (Zie ook ‘Is de zorgmarkt klaar voor CRM?’.) Tot aan de wieg speelt hij nauwelijks een rol, evenmin vaak als in de fase tot aan het graf. Voorts is hij ook niet de manager van het klantorder ontkoppelpunt (KOOP); hij stelt zijn diagnose en verwijst zo nodig door naar een volgend loket. De patiënt moet daar in feite weer van voren af aan beginnen. Niet alleen wat betreft het logistieke gedeelte, maar ook als het gaat om de informatievoorziening. Ook al komt er een EPD, u denkt toch niet dat een specialist de historie van een patiënt gaat doorspitten op de voor hem relevante aspecten, voordat hij een patiënt in behandeling neemt? Wat hij wil weten vraagt hij gewoon aan de patiënt zelf, bij de anamnese, want zo heeft hij het altijd gedaan. Dat de patiënt domweg niet weet wat relevant is voor zijn gezondheidstoestand in geval van een specifieke behandeling, is het probleem van de patiënt. Als tijdens de behandeling blijkt dat er iets mis gaat, zijn de meeste specialisten lenig genoeg om aanvullende behandelingen te verzinnen, zodat de patiënt in elk geval niet komt te overlijden. Zeker omdat dit noch de behandelende arts, noch de patiënt geld kost, wordt hier doorgaans ook niet moeilijk over gedaan.
Kortom, de patiënt zelf moet het klantorder ontkoppelpunt (KOOP) managen en de huisarts beperkt zijn rol meestal tot het aanwijzen van de goede brievenbus. Dit spelletje herhaalt zich vervolgens vaak nog enkele malen. Iedere vorm van ketenintegratie ontbreekt. De patiënt kan geen zorg op maat kopen, maar wordt een zeer uitgebreid en ondoorzichtig winkelcentrum ingestuurd, waarin etalages ontbreken. Je moet maar in de wachtkamer gaan zitten, in de hoop dat het de juiste is en als dat niet het geval is, dat je vervolgens goed wordt doorverwezen naar de speciaalzaak, die wel kan leveren wat je nodig hebt. (Zie ook ‘Ketenintegratie en netwerkorganisatie dienstverleners’.)

3. Care is Core of Cure

Deze problematiek is natuurlijk niet het gevolg van een gebrek aan deskundigheid bij artsen of zorgverleners. Deze problematiek wordt ook niet opgelost door een EPD; artsen en zorgverleners missen domweg de tijd om de historie van iedere patiënt te bekijken. Juist de tijd die ze daaraan zouden besteden krijgen ze niet vergoed. Ze worden een dief van hun eigen portemonnee als ze die tijd wel nemen.
Er zijn twee zaken, die verbetering behoeven:

• de organisatie van de zorg rondom de life-cycle van de klant (patiënt);
• de informatie-uitwisseling met de behandelaars in de tweede lijn (veelal specialisten).

Organisatie van de zorg betekent, dat er management moet komen van het klantorder ontkoppelpunt (KOOP). Daar moet de diagnose worden gesteld en die moet worden gecommuniceerd naar de tweede lijn support. Pas dan is er sprake van echte ‘care’ en een gecoördineerde ‘cure’.
Natuurlijk kan het EPD hieraan een bijdrage leveren. In de praktijk echter zal het EPD alleen aangevuld worden en niet worden geraadpleegd. (Zie ook ‘Elektronisch Patiënten Dossier EPD een grote stap achteruit?’.) Veel belangrijker is de informatievoorziening over te verrichten behandelingen of eventueel preventief onderhoud. Waarom krijgt uw auto wel een APK-keuring en uzelf niet?
Kortom, de zorg moet opgezet worden als een keten van dienstverlening met management van het klantorder ontkoppelpunt en een specifieke informatievoorziening gericht op behandeling in de tweedelijn of derdelijn support en niet zoals in het EPD: zoek het maar uit voor jouw eilandje. De informatievoorziening zal dan ook meer gericht moeten worden op de planning van de behandeling en de informatievoorziening hierover. (Zie ook ’Selectie ERP pakket begint bij de keuze voor het goede type ERP software’.)

Download:         

Gerelateerde artikelen:

1. Zorgmanagement: zin en onzin van schaalgrootte in verpleeghuizen
2. Marktwerking in de zorg leidt tot fabrieken voor verrichtingen
3. Elektronisch Patiënten Dossier EPD een grote stap achteruit