Inrichting autorisaties in een Brabants ziekenhuis

Informatiebeveiliging met optimale ondersteuning van het primaire proces

23 september 2021   |   Nieuws   |   Door: Furore Conclusion

Deel

Laptop met wachtwoord

In 2019 startte een ziekenhuis in Brabant met een project voor het opschonen van de autorisaties in xCare van NEXUS, de EPD-software van het ziekenhuis. Het project is onderdeel van een groter programma om de informatiebeveiliging op orde te brengen, en heeft als  doel medewerkers enkel toegang te geven tot de voor hun functie noodzakelijke medische patiëntinformatie, iedere medewerker met dezelfde functie dezelfde rechten te geven en optimaal aan te sluiten bij de vigerende wetgeving. Een opdracht waar het autorisatieteam van Furore graag ja tegen zei. De CMIO (Chief Medical Information Officer) en voorzitter van de autorisatiecommissie van het Brabantse ziekenhuis blikt samen met Furore’s projectleider Sara Adriaanse terug op een succesvol project.

Sara schreef het projectplan voor de opschoning van de autorisaties en schetst in grote lijnen de aanpak. “We zijn helemaal opnieuw begonnen en hebben op basis van interviews met gebruikers per functie onderzocht welke informatie de betreffende medewerkers moeten inzien en wijzigen in xCare. Door de jaren heen was de autorisatiestructuur in xCare volgelopen met inmiddels verouderde autorisatiegroepen en hadden gebruikers met dezelfde functie allemaal verschillende rechten verzameld. Daarnaast kwamen in het HR-systeem veel functies dubbel voor. Daarmee was overzicht aanbrengen in die enorme berg aan informatie in het begin een echte uitdaging. We besloten toen alle functies op een logische manier in te delen in groepen of ‘batches’ (zoals paramedici, kliniek en specialisten), en hebben een planning gemaakt om per batch de autorisaties te inventariseren, bouwen, testen en live te zetten. We zijn bewust gestart met een overzichtelijke kleine functiegroep (paramedici), en gebruikten de opgedane ervaring om bij complexere groepen, bijvoorbeeld de specialisten, de meest voorkomende issues op voorhand op te lossen. De nieuwgebouwde autorisaties werden getest door onszelf en door een testgebruiker. Vervolgens ging een van de testgebruikers met de nieuwe rechten werken om alle laatste kinderziektes eruit te halen.

Samenwerking met de commissie

Het ziekenhuis uit Brabant stelde voor het project een autorisatiecommissie samen, die de uiteindelijke beslissingen nam over de rechten per functie. De CMIO: “De autorisatiecommissie is samengesteld op basis van een doorsnede van de diverse disciplines uit het ziekenhuis: naast de privacy officer en functionaris gegevensbescherming, zaten er een vertegenwoordiger van de medische staf, de poli en de kliniek in. Waar nodig werden medewerkers uitgenodigd bij een vergadering om uitleg te geven over hun benodigde rechten.” Sara: “De commissie vergaderde 1,5 uur per week en het was de taak van het projectteam ervoor te zorgen dat de commissieleden zo effectief mogelijk hun werk konden doen. Wij haalden de informatie over de benodigde rechten op bij de gebruikers en zorgden ervoor dat deze op een ‘commissievriendelijke’ manier werd vertaald. Ook communiceerden wij de beslissingen van de commissie weer terug naar de organisatie.” De CMIO vult aan: “Naarmate de tijd vorderde, werd het projectteam meer ervaren en legde ons alleen nog de “spannende” items voor. Ook vingen zij de eerste reacties op van medewerkers die niet begrepen waarom zij andere toegangsrechten kregen. Het zou de commissie een veelvoud aan tijd gekost hebben als het projectteam ons niet zo goed had ondersteund en ontzorgd.”

Meer dan een vinkje aanzetten

De CMIO benadrukt hoe belangrijk het is om te werken met een ICT-partner als Furore, die veel kennis heeft over de ziekenhuisorganisatie. “Een ziekenhuis is een groot en ingewikkeld bedrijf, met veel verschillende organisatieprocessen en werkwijzen. Al vroeg in het project werd de omvang ervan duidelijk. Het inrichten van autorisaties gaat veel verder dan het aanzetten van vinkjes in het systeem. Het gaat om processen begrijpen en op elkaar afstemmen. Het Brabantse ziekenhuis heeft 20 verschillende poliklinieken, die vanuit het verleden niet altijd op een uniforme wijze werken. In ons streven om dezelfde functies gelijke rechten te geven, ontstaan er dan hier en daar discussiepunten. In dat geval bepaalde de commissie of er gekozen werd voor een workaround in het systeem, of dat het werkproces in de organisatie aangepast moest worden. Hoewel het mandaat van de commissie niet altijd toereikend was, is het in sommige gevallen toch gelukt om bepaalde werkprocessen te verbeteren. Dat was een mooie bijvangst.”

Zorgproces

Na het inrichten van iedere batch volgde een zorgvuldig voorbereide go-live. We stuurden alle gebruikers uit de batch een mail met de aankondiging, contactgegevens en bereikbaarheid bij vragen. Bij de eerste go-live zat ik toch enigszins gespannen te wachten op telefoontjes. De eerste reactie kwam van een medewerker van de afdeling oogheelkunde die zich afvroeg of de go-live daadwerkelijk was doorgegaan. Hij had er niets van gemerkt en kon nog steeds wat hij moest kunnen in xCare. Dat was eigenlijk het ultieme compliment, en precies onze bedoeling; aan de achterkant verandert er van alles in het systeem, maar de gebruiker in het primaire zorgproces heeft daar geen last van.

Sara Adriaanse

Projectleider

Furore collega Sara Adriaanse
Heldere communicatielijnen

De CMIO en Sara zijn het erover eens dat het succes van het project voor een groot deel te danken is aan de manier van communiceren. Sara: “Het belang van goede communicatie mag je niet onderschatten. Dat geldt voor de samenwerking met de commissie, maar ook met de testers en de gebruikers. Wij hebben hen steeds uitgenodigd om elke vraag of opmerking met ons te delen, die wij vervolgens snel oppakten. Als je de tijd neemt om gebruikers duidelijk uit te leggen waarom autorisaties veranderen, hebben zij daar vaak begrip voor. Ook kweek je er goodwill mee, en dat bevordert een soepele samenwerking.” De CMIO: “Daar hadden wij als commissie ook voordeel van. Door de proactieve heldere aanpak van het projectteam hebben we ons werk heel slagvaardig kunnen doen en waren er nauwelijks terugkerende discussies.”

Lees meer over onze expertise in NEXUS

NEXUS EPD