De zorgmanager werd al afgerekend op de financiële huishouding van de instelling. Maar daar komt nu een component bij. De zorgmanager zal verantwoordelijk gesteld worden voor een ‘Goed Beheerde Zorginstelling’. Beheer heeft met ict te maken maar ook met veiligheid, audits en traceerbaarheid.

Stakeholder: medewerker

Laten we dit eens bekijken vanuit het perspectief van enkele stakeholders die te maken hebben met beheer van identiteiten. Allereerst de medewerker. Bij de meeste zorginstellingen wordt gebruik gemaakt van een netwerk waarin computers met Windows als operating systeem zijn gekoppeld aan alle zorgapplicaties. De medewerkers (arts, verpleegkundige of secretariaatsmedewerker) komen ’s-morgens binnen en melden zich op het netwerk aan met hun gebruikersidentiteit en hun wachtwoord. Het netwerk geeft ze toegang tot hun applicaties.

So far so good, zou je zeggen. Maar menig werkplek kent een andere dynamiek. Er werken vaak meerdere mensen op dezelfde werkplek en elke gebruiker heeft een ander autorisatieprofiel. Niet iedereen mag alle data zien, en zeker niet iedereen mag zomaar mutaties aanbrengen in patiënteninformatie.

 

En dan laat de techniek een steek vallen. Het uitloggen en daarna weer inloggen van een gebruiker, nodig voor het juiste autorisatieniveau, kost minuten kostbare arbeidstijd. Het is dus in de praktijk niet werkbaar. De oplossing die door de meeste instellingen wordt gekozen is de weg van de minste weerstand. De gebruiker waarmee de eerste keer wordt ingelogd mag alles in elke toepassing en er hoeft dus niet langer te worden uitgelogd. Alle handelingen worden onder één en dezelfde gebruikersidentiteit uitgevoerd.

Single Sign-On

De zorgmanager is aansprakelijk voor goed beheer maar komt nu in de problemen. Elke mogelijkheid voor een audit ontbreekt. Niemand weet meer wie, wat, wanneer heeft gedaan. De kans op fouten neemt toe maar de bron van de fout is niet op te sporen. Is dit probleem oplosbaar? Ja, er bestaan vele oplossingen die single sign on (SSO) realiseren op de werkplek en alle beschreven problemen oplossen. Een SSO-project hoeft vaak niet meer dan enkele weken tijd te kosten. Waarom heeft niet iedere zorginstelling dan een SSO-oplossing? Tja, er is geen financiële drempel maar misschien is de ict-afdeling te veel bezig om achter de feiten aan te lopen.

 

Tweede stakeholder is de beheerder. Niet iedere zorginstelling in Nederland is gelijk. Maar het volgende principe blijft gelijk voor elke instelling en wordt wel de “Identity Lifecycle” genoemd.

Als er een nieuwe medewerker wordt aangenomen dan zijn de volgende zaken van belang. Voor de nieuwe medewerker moet zo spoedig mogelijk in elke, voor die functie relevante, toepassing een gebruikersprofiel aangemaakt worden. Binnen enkele relevante applicaties moet worden aangegeven welk autorisatieniveau die nieuwe medewerker heeft. Het spreekt voor zich dat deze twee zaken ook spelen bij aanpassingen van de werkzaamheden of het functieprofiel en bij het afbreken van de werkrelatie.
De beheerder kan het hiermee aardig druk hebben. Soms kan het nodig zijn om meerdere beheerders, technische en applicatiebeheerders, in te schakelen.

 

Kunststuk
Is dit complex? Ja en nee. Provisioning (het automatisch aanmaken van gebruikersprofielen in applicaties) is een technisch kunststuk dat redelijk te doen is, zeker als je dit extern laat begeleiden. De profielen worden vanuit één centraal systeem automatisch doorgestuurd naar alle relevante toepassingen. Het regelen van de juiste autorisatie binnen een applicatie wordt wel Role Based Access (RBAC) genoemd. Dit is veel lastiger te realiseren omdat de zorginstelling dient te beschikken over een matrix van profielen met de daaraan gekoppelde autorisaties in elke beschikbare toepassing. Dit is geen technisch probleem maar veel meer een organisatorisch probleem. Het kost veel tijd om de matrix te maken en te
implementeren. Een gemiddelde doorlooptijd van één tot twee jaar is geen uitzondering.

 

En dan zijn er nog externe stakholders. De instelling staat midden in een keten van dienstenaanbieders, zoals de apotheek, de huisarts, de thuiszorginstelling, de ggz-instelling, enzovoort, enzovoorts. En elk van die externe partijen wil en moet met de zorginstelling kunnen communiceren. Op dit gebied wordt door de overheid stevig ingezet op de E-dossiers zoals het elektronisch patiëntendossier, het jeugdzorgdossier en het dossier waarnemende huisartsen. In alle gevallen zal bij het realiseren van een koppeling aandacht moeten zijn voor de Identity check. Is de partner inderdaad de partner die hij of zij zegt te zijn? Voor zorgaanbieders wordt deze vraag opgelost door de beschikbaarheid van een unieke zorgverlener identificatie pas (UZI-pas). De zorgmanager heeft hier alle aandacht nodig om de veiligheid en data-integriteit te bewaken.

 

Digitaal
Moeilijk? Functioneel niet maar technisch wel. Het ontsluiten van informatie brengt altijd risico’s met zich mee. Er zijn veel partners en dus veel vragen om koppelingen. Een specifieke externe relatie is de patiënt ofwel de klant. De klant wordt meer en meer een digitale klant en de vraag naar digitale zorgdiensten neemt toe. De klant wil bijvoorbeeld digitaal een afspraak kunnen maken of een uitslag bekijken. Hij wil op internet wachtlijsten met elkaar vergelijken de kwaliteit van de dienstverlening mee laten wegen bij de keuze voor een zorginstelling.

DigiD

De zorgmanager van een goed beheerde zorginstelling onderkent die vraag en zal de klant zien als één van de identiteiten in het zorgsysteem. Met een eigen identificatie- & authenticatiemiddel zoals het Burger Service Nummer of DigiD. En een eigen plaats in de matrix met profielen. 

De zorgmanager is verantwoordelijk voor de instelling en staat aan het roer van het schip. Hij bevindt zich midden op een roerige zee en de haven is nog niet in zicht. Het schip bevat een belangrijke lading: sterk privacy- en persoonsgebonden informatie waarbij een fout tot ernstige gevolgen kan leiden.

 

Maar de zorgmanager hoeft niet alleen te staan. Er zijn standaard afspraken zoals de veiligheidsnorm NEN7510. En er zijn loodsen die mee kunnen helpen om het schip naar rustiger vaarwater te varen. Dit soort projecten vallen onder de noemer identity & access management en ook op dat vakgebied zijn er specialisten die de zorgmanager kunnen helpen.

U staat als zorgmanager in het midden van dit proces en stelt regels op voor elke identiteit die toegang moet hebben tot de elektronische gegevens die u beheert. Als u die regels goed opstelt en naleeft kunt u met gerust hart spreken over een belangrijke voorwaarde voor uw “Goed Beheerde Zorginstelling”.

 

Auteur: Hans Leemans, hij is adviseur bij Traxion Consultancy

 

Dit verhaal is eerder verschenen in ICTzorg magazine nr. 1/2007