Minister Kuipers van VWS zei tijdens een event: de zorg zoals we hem nu kennen is 120 jaar oud; ontstaan na de uitvinding van anesthesie, met de ontdekking van infectieziekten en röntgenstraling. Met de digitale transformatie kunnen we niet alleen de gaten vullen die vallen met de vergrijzing maar ook de zorg opnieuw invullen. We kunnen beter.
Dat resoneerde.
We kunnen beter. Met databeschikbaarheid maken we minder medicatiefouten. Met medische software maken hulpverleners gebruik van reeds opgedane kennis. Met thuismonitoringstools hoeft de patiënt alleen naar de specialist als daar ook daadwerkelijk aanleiding toe is. De slogan is “thuis als het kan, zelf als het kan en digitaal als het kan”. Ik wil het lezen als met de hulpmiddelen van nu, kan de hulpverlener er zijn voor de patiënt die hen nodig heeft. En daarbij zal de hulpverlener steeds meer kennis tot zijn of haar beschikking hebben, en steeds minder last hebben van administratieve lasten.
Maar hoe? Hoe zorgen we ervoor dat de digitale transformatie ook veilig en van voldoende kwaliteit is. Je hebt een inventarisatie gedaan, en een programma geformuleerd voor de digitale transformatie voor de komende jaren. Je bent aangesloten bij een RSO of een ander samenwerkingsorgaan en/of je hebt de eerste stappen gedaan om transformatiegelden op te halen. En nu? Veiligheid en kwaliteit bij digitale transformatie vragen om goede afspraken, compliance en Legal Tech.
Wetgeving en digitale transformatie
Bij de digitale transformatie wordt met name ingezet op twee thema’s: digitalisering en informatisering. Bij digitalisering worden medische software en robots (en andere hardware) ingezet bij het leveren van zorg, denk aan de hybride zorgpaden waarbij een deel van de zorg digitaal wordt geleverd. Meer concreet: een patiënt kan digitaal de afspraak inplannen, de patiënt wordt vervolgens voorbereid op het gesprek met de arts door middel van digitale informatie, nadat het gesprek of de behandeling heeft plaatsgevonden wordt de patiënt thuis gemonitord middels een digitaal platform dat koppelt met meetapparatuur, vervolgens wordt de hulpverlener gealarmeerd wanneer ingegrepen moet worden en wordt de hulpverlener van beslisinformatie voorzien bij de keuze voor een behandeling.
Bij informatisering wordt gewerkt aan databeschikbaarheid: het beschikbaar maken van medische informatie van de patiënt in het zorgproces voor de verschillende hulpverleners; voor de patiënt zelf; ten behoeve van de kwaliteit van zorg voor de instelling en eventueel in het kader van onderzoek of ander secundair gebruik.
Om de kwaliteit en veiligheid te beheersen bij gebruik van software binnen beide thema’s, wordt zowel op Europees als op landelijk niveau gewerkt aan wetten, normen en standaarden. Op Europees niveau is net de tekst van de AI Act vastgesteld; komend jaar gaat men onder andere aan de slag met de EHDS; en de Cyber Resilience Act is in de maak met een zekere impact op de zorginstelling. Een en ander wordt toegevoegd aan bestaande het bestaande kader voor de zorg zoals de GDPR, de NIS2 en de MDR.
Op nationaal niveau wordt komende 5 jaren gewerkt aan de verwezenlijking van de visie op informatievoorziening. De volgende onderwerpen worden nu aangepakt met regelgeving; met de implementatie van de NIS2 worden de informatieveiligheid (NEN 7510) en cyberveiligheid (samen met Z-cert) aangepakt; en er wordt gewerkt aan de uitwerking van de uitwisselingen die verplicht digitaal moeten verlopen op grond van de Wegiz.
Om de digitale transformatie ook te laten landen in de instelling, zullen naast de zorg ook de juridische- en compliance afdeling en de ondersteunende werkprocessen een transformatie moeten ondergaan.
Overeenkomst
Stel, je hebt een geoliede inkoopmachine met een inkoopbeleid en proces. Een van de eerste stappen is dan het op orde brengen van de documenten die door de instelling gehanteerd worden bij de inkoop van digitale toepassingen. Mogelijk gebruik je nu:
- een eigen mantelovereenkomst;
- de nieuwe versie van Algemene Inkoopvoorwaarden voor de Gezondheidszorg (AIVG 2022) en eventueel de nu enigszins verouderde ICT-module (2017);
- de nieuwe BOZ-verwerkersovereenkomst (2022);
- en nog eventueel een eigen Service Level Agreement, een Dossier Financiële Afspraken (DFA) en een Dossier Afspraken Procedures (DAP) voor de meer praktische afspraken.
Om ervoor te zorgen dat je de juiste voorwaarden hanteert bij het inkopen van AI, adviseer ik je eens naar de (concept) standaardclausules te kijken die zijn opgesteld in Europees verband voor publieke instanties. Er is een versie voor het doen van een pilot en versie voor inkoop. Denk eraan dat je over het algemeen AI met risicoklasse hoog zult inkopen binnen de zorg.
Voor wat betreft de verouderde ICT-module, je kunt de nieuwe versie afwachten of de module aanpassen zodat deze wel aansluit bij de digitale transformatie die je voor 2024 voor ogen hebt.
Omdat het bij de inkoop van een innovatie niet altijd realistisch is dat het volledige inkoopproces wordt doorlopen – men wil op de rijdende trein springen – is het goed om naast de standaard set een modelovereenkomst te hanteren voor pilots. Bij opschaling van een pilot moet dan alsnog de standaard set zoals eerder opgesomd overeen worden gekomen.
Dan heb je een gezonde basis om vanuit samen te werken met jouw leveranciers. Kwaliteit en veiligheid van uw digitale transformatie worden aan de start geborgd.
Rollen & taken
Ook na het sluiten van een contract moet de kwaliteit en veiligheid geborgd worden. Het is daarom nodig om binnen de zorgorganisatie (met eventueel ondersteuning vanuit de koepel of de RSO), een aantal rollen te vervullen en taken te beleggen. Daarna is samenwerking tussen de verschillende medewerkers die deze rollen vervullen belangrijk om overlap in werkzaamheden te voorkomen. Hierbij kan ook Legal Tech worden ingezet.
Grotere zorgorganisaties beschikken vaak over een of meerdere juristen. Deze juristen kunnen het juridisch kader voor de digitale transformatie van de zorgorganisatie in kaart brengen. Met ontstaan van alle nieuwe Nederlandse en Europese regelgeving kunnen zij het kader verder aanvullen. Samen met de afdeling compliance en de hieronder beschreven specialisten, kunnen de juristen daarna het normenkader in kaart brengen, een plan van aanpak maken en aan de slag gaan in een Plan-Do-Check-Act (PDCA) cyclus.
De privacy moet geborgd worden, hiervoor heeft elke instelling een Functionaris Gegevensbescherming (FG) nodig die toezicht houdt op de impact op de privacy. Eventueel kan daarnaast een Privacy Officer (PO) de uitvoerende rol op zich nemen. Een PO zorgt ervoor dat privacymaatregelen binnen de organisatie wordt opgezet, en dat de PDCA-cyclus wordt gevolgd, al dan niet op aansturing van de FG.
Met de toename van het gebruik van digitale toepassingen, wordt het belang van informatiebeveiliging en cybersecurity steeds belangrijker. Ook nieuwe wetgeving onderstreept dat, voldoen aan NEN 7510 wordt waarschijnlijk certificeren voor NEN 7510. Daarmee wordt, in mijn ogen, een Information Security Officer (ISO) of een Chief Information Security Officer (CISO) voor elke instelling bittere noodzaak. Voorgaande doet overigens er niet aan af dat ook de bestuurder in de zorg voldoende kennis zal moet hebben van cybersecurity.
Een nieuwe rol is de AI Officer. Met de ontwikkeling van medische software of door de inkoop daarvan, zal steeds vaker artificiële intelligentie toegepast worden binnen de zorginstelling. Al dan niet als onderdeel van een medisch hulpmiddel. En ook als je “alleen” inkoopt heb je als gebruiker (hier de zorginstelling) bepaalde verantwoordelijkheden ten aanzien van de kwaliteit. De taken van de AI Officer zou je ook kunnen beleggen bij de FG en PO, voor zover het gaat om de data governance. Indien je iemand in huis hebt die zich bezighoudt met de MDR en kwaliteit, dan is die persoon ook uitermate geschikt om de overige taken op te pakken. Het systeem van de wetten: de MDR en de AI Act, komen immers overeen.
Legal Tech
Om de uitvoering van de taken in dit kader vanuit de verschillende rollen een duurzaam karakter te geven, is het nodig om de standaard documentatie, processen en het register- en documentbeheer zoveel mogelijk te automatiseren. Legal tech kan als ondersteuning dienen voor diegene die de rollen vervullen en voor een versnelling bij de uitvoering van taken. Ook biedt het mogelijkheden op het gebied van data-analyse en inzicht.
Legal Tech kan de ruggengraat van de PDCA-cyclus vormen. Het biedt continuïteit van kennis en processen ten behoeve van de veiligheid en kwaliteit van de digitale middelen binnen de instelling. Het draagt daarmee zeker bij aan een toekomstbestendige zorgorganisatie.
De praktijk
En ja, uiteindelijk valt of staat het succes met de samenwerking met de praktijk. Een concreet voorbeeld van succes: de AI Officer kan ervoor zorgen dat de “black box” in een “white box” verandert, en kan zorgen voor de voldoende informatievoorziening bij de AI. Dit is met name voor de hulpverlener en de patiënt die in de praktijk gebruik maken van de AI-toepassing belangrijk. En het is noodzakelijk voor de adoptie van AI binnen de zorgpraktijk. Logisch ook, een hulpverlener is immers verantwoordelijk voor de hulpmiddelen die de hulpverlener bij het verlenen van zorg inzet.
Vragen over het juridischt kader, de te maken afspraken of de invulling van de verschillende rollen (met Legal Tech)? Neem vooral contact op!
