Kees Verhoeven leidt het gesprek. Ludo Baauw levert, als enige niet-zorgverlener in het panel, cloudservices aan 60% van de Nederlandse ziekenhuizen, waaronder het Erasmus MC. Operatiekamers draaien op zijn diensten en dan is continuïteit, veiligheid en beschikbaarheid is letterlijk van levensbelang. Hij vertelt hoe belangrijk het is dat bestuurders van hem bewijzen willen hoe hij continuïteit waarborgt en hoe bij calamiteiten het werk door kan gaan. Bestuurders moeten leren zelf dat soort vragen te stellen. Zo was Intermax de eerste niet-zorginstelling die een NEN 7510 certificering: en het kostte moeite de IT-auditors en bestuurders te overtuigen van het belang daarvan.
Softwareleveranciers spannen vaak het paard achter de wagen als het gaat om betrouwbaarheid, veiligheid en privacy van software. Als je je gebruikers moet leren op welke knop ze NIET moeten drukken, dan is er iets fout met de software, niet met de gebruiker en wordt de verantwoordelijkheid bij de verkeerde persoon gelegd. Gedragsfouten zijn een grote oorzaak van veiligheidsincidenten in de zorg Maar het zijn niet alleen de mensen: een belangrijk deel van de veiligheidsincidenten zou met een stuk of 10 basale technische maatregelen voorkomen kunnen worden: bijvoorbeeld het uitzetten van de powershell op ziekenhuiscomputers en laptops, een belangrijke toegang voor malware en ransomwareaanvallen. Een ander voorbeeld is het ‘stekkermandaat’: de IT afdeling moet de stekker uit een machine kunnen/mogen trekken als er iets helemaal fout is gegaan. Dat kan en mag nu vaak niet: het ziekenhuis moet zijn voorbereid op het feit dat machines soms offline moeten gaan.
Een belangrijke bron van fouten is dat zorgverleners te veel en vaak niet-samenwerkende applicaties moeten werken. De gemiddelde verpleegkundige moet 15 applicaties bedienen en vaak allerlei gegevens overtikken van de een in de ander. Sommige applicaties zijn berucht om hun foutgevoeligheid. Natuurlijk zit er ook een menselijke kant aan informatieveiligheid. In Estland raak je je registratie kwijt als je hebt zitten neuzen in een dossier, waar je niks te zoeken hebt: je wordt meteen ontslagen. Zou dat wat voor Nederland zijn?
Een deel van de panelleden is bestuurder bij verschillende kleinere instellingen en ziekenhuizen. De kwetsbaarheid van IT en het belang daarvan voor de primaire processen in ziekenhuizen maakt dat eigenlijk alle bestuurders verantwoordelijkheid moeten kunnen nemen: de basiskennis hebben om de juiste vragen te stellen en afwegingen te maken. Het gaat vaak om zaken, die ook niet-technische bestuurders begrijpen. Zo staan in één ziekenhuis altijd een aantal laptops klaar staan met de laatste versie van de EPD’s, zodat ook als alle IT en data-netwerken uitvallen, de belangrijke informatie voorhanden is om te kunnen blijven werken. Bestuurders moeten open staan voor dat soort oplossingen. Tegelijkertijd is het nemen van verantwoordelijkheid voor IT glad ijs voor bestuurders: de recente data-lekken en geslaagde ransomware aanvallen in de zorg illustreren dat IT kwetsbaar is, calamiteiten liggen op de loer. Dat mag geen reden zijn om je als bestuurder er daarom ver van te houden.
Het is moeilijk voor kleinere zorginstellingen om aan NEN 7510 te voldoen. Kleine organisaties hebben vaak niet de kennis om precies die eisen te selecteren, die voor hen van toepassing zijn. Er is brede overeenstemming in het panel, dat ook voor kleine organisaties deze eisen belangrijk zijn: het gaat om basale eisen. Uit de zaal komt de opmerking dat zorginstellingen hier ook in kunnen samenwerken. Een voorbeeld is Sigra.nl, een samenwerkingsverband in Noord Holland, waar zorginstellingen samenwerken aan innovatie maar ook de veiligheid van hun IT.
Ondersteuning van zorgverleners op het gebied van veiligheid, vergroot niet alleen veiligheid, maar ook productiviteit. Digicoaches bij een aantal van de zorgorganisaties weten zoveel tijdrovende fouten en incidenten te voorkomen, dat deze inmiddels een vast onderdeel zijn van de teams omdat ze zichzelf terugverdienen. Sommige applicaties leiden zo vaak tot fouten, dat zorgverleners de applicatie vermijden, wat weer dreigt te leiden tot slechtere zorg. De applicatie wordt nu vervangen, hoe complex en duur dat proces is. Kees Verhoeven bedankt de panelleden en de zaal voor de inzichten en de scherpe vragen die zij stellen.