HEALTHCARE. INFORMATIEBEVEILIGING Inside out, outside in. VIER CLOUDMYTHES en wat er echt van waar is. INNOVATIE Pharmacy as a Service

Transcriptie

1 HEALTHCARE HET CSC MAGAZINE OVER ICT-OPLOSSINGEN EN DIENSTEN VOOR DE GEZONDHEIDSZORG Nummer INFORMATIEBEVEILIGING Inside out, outside in VIER CLOUDMYTHES en wat er echt van waar is INNOVATIE Pharmacy as a Service MICROHIS X AS A SERVICE ervaringen uit de praktijk

2 IN DIT NUMMER HEALTHCARE MAGAZINE NUMMER NIEUWS 6 HOOFDARTIKEL INFORMATIEBEVEILIGING: INSIDE OUT, OUTSIDE IN De impact van nieuwe technologie en nieuwe wetgeving op zorginstellingen 10 INZICHT VIER MYTHES OVER CLOUDBEVEILIGING en wat er echt van waar is 12 REPORTAGE ZORG ANNO NU, RISICO S ANNO NU De beveiligingsuitdaging van Intermountain Healthcare 16 INNOVATIE LET IT FLOW Van digitale gegevens naar efficiënte informatiestromen 17 INNOVATIE BRINGING IT TOGETHER Van informatiestromen naar efficiënte werkprocessen 19 INNOVATIE Pharmacy as a Service ICT-ontzorging op medicatiegebied voor ziekenhuizen en zorginstellingen 20 interview MaaS-PRIMEUR AAN DE MAAS Eerste ervaringen met MicroHIS X as a Service 2 COLOFON CSC HEALTHCARE MAGAZINE is een uitgave van isoft Nederland BV, a CSC Company Mendelweg 32, 2333 CS Leiden Tel. +31 (0) Fax +31 (0) info.hg.nld@csc.com Redactie: Marco den Heijer, Nicoline van Wiggen Teksten: Nicoline van Wiggen Ontwerp en vormgeving: Vidya Gangaram Panday

3 Teamwork MARCO DEN HEIJER Account General Manager Healthcare Vraagt u het zich wel eens af? Of uw beveiliging wel helemaal op orde is? Waar de zwakste schakel voor uw instelling zit, en wat de gevolgen kunnen zijn als het misgaat? Ook dit jaar op Zorg & ICT sprak ik veel managers en professionals uit de zorg. Dit keer als commercieel verantwoordelijke voor de hele zorgsector, want we integreren onze teams in Leiden en Utrecht, zodat er één team onstaat dat nauw samenwerkt, speciaal voor de zorg. Veel reacties die ik kreeg, waren: we doen heel veel aan beveiliging, maar precies weten doen we het niet. Informatiebeveiliging is het thema van dit CSC Healthcare Magazine. We praten u bij over de nieuwste ontwikkelingen in technologie en wetgeving, we kijken naar de impact voor zorginstellingen, en wat de Outside in-aanpak van CSC betekent (p. 6). Experts van CSC-cloudsecurity delen hun ervaringen op p. 10, en over de praktijk van informatiebeveiliging door CSC in een Amerikaanse zorginstelling leest u vanaf p. 12. Als één team voor de zorg bieden we ook een breder aanbod. We voegen de daad bij het woord en leveren nu nieuwe, kostenefficiënte oplossingen volgens nieuwe betaalmodellen, die naast software ook infrastructuur en ICTkennis omvatten. U leest meer over de ervaringen met MicroHIS X as a Service in de huisartsenreportage op p. 21, en over Pharmacy as a Service op p. 19. Breder in zorg en ICT is en blijft ons motto. Als één team zetten we ons in voor het leveren van software, infrastructuur en ICT-expertise aan de Nederlandse zorg. In één woord: teamwork. Ik kijk ernaar uit om ook met u de samenwerking aan te gaan. Marco den Heijer OVER CSC CSC levert wereldwijd ICT-oplossingen en diensten. Het bedrijf heeft zijn hoofdkantoor in Falls Church, Virginia, in de VS, en telt medewerkers in meer dan 70 landen. Kijk voor meer informatie over CSC in Nederland op en voor meer informatie over de Healthcare Group van CSC in Nederland op CSC HEALTHCARE MAGAZINE / Nummer

4 NIEUWS CSC s ZIS/EPD Lorenzo is sinds eind vorig jaar live gegaan bij een reeks nieuwe trusts in Groot-Brittannië. Lorenzo is inmiddels in gebruik bij tien Britse trusts, waarvan de grootste zo n 3000 medewerkers heeft. Het ZIS/EPD wordt ingezet bij algemene en academische ziekenhuizen en bij organisaties voor eerstelijnszorg en thuiszorg. De recente go-lives van Lorenzo, onder andere bij Walsall Healthcare NHS Trust, Derby Hospitals NHS Foundation Trust en Ipswich NHS Hospital Trust, waren stuk voor stuk big-bang implementaties: in een weekend tijd gingen complete organisaties over op het nieuwe ZIS/EPD. Daarnaast kiest een nog altijd groeiend aantal trusts voor Lorenzo. Zij doen dat op basis van businessplannen, die sinds eind vorig jaar vereist zijn door de Britse overheid. De trusts tonen in de businessplannen aan hoe zij met Lorenzo concrete doelstellingen behalen op het gebied van kwaliteitsindicatoren en kostenefficiëntie. Reeks nieuwe go-lives Lorenzo CSC Cybersecurity-check Veel aandacht voor security op Zorg en ICT 4 Meer bezoekers dan ooit trok de CSCstand op Zorg en ICT 2014, met het brede CSC-aanbod voor de zorg dat software, infrastructuur en ICT-kennis omvat. Velen maakten van de kans gebruik om te spreken met de aanwezige cybersecurityexperts van CSC en om mee te dingen naar een van de drie CSC cybersecuritychecks die als prijs te winnen waren. Want met nieuwe wetgeving op komst die de boetes op datalekken voor zorginstellingen aanzienlijk laat oplopen in eerste instantie van 4500 euro tot euro, en met nieuwe Europese wetgeving tot maar liefst 5% van de jaaromzet is het goed om te weten hoe de eigen beveiliging ervoor staat. Bent u niet in de gelegenheid geweest om met een van onze cybersecurityexperts te spreken en wilt u graag eens van gedachten wisselen? Of wilt u uw ICT-organisatie direct door laten lichten om te zien waar de zwakste plekken in uw beveiliging zitten? Mail dan naar info. hg.nld@csc.com of neem contact op met uw accountmanager voor een afspraak. focus op belangrijkste zorgprocessen uitgevoerd door CSC-experts risico s beoordeeld naar zwaarte én impact inzichtelijke visuele rapportage op basis van nationale en internationale standaarden binnen 3-5 werkdagen uitgevoerd

5 Leveranciersonafhankelijke LBZ-oplossing door heel Nederland CSC biedt als enige leverancier ziekenhuizen in Nederland een ZIS-onafhankelijke oplossing voor LBZ (Landelijke Basisregistratie Ziekenhuiszorg). Ziekenhuizen leveren met de LBZ-oplossing hun gegevens over alle opnames, ambulante contacten en verrichtingen aan DHD (Dutch Hospital Data) aan. Medisch codeurs hebben met deze oplossing de voor hen beschikbare relevante patiëntgegevens meteen bij de hand en kunnen door de overzichtelijke interface bijzonder snel coderen. Sinds de eerste go-live eind vorig jaar is de oplossing uitgerold bij veertien ziekenhuizen. Vijf ziekenhuizen daarvan waren verplicht om LBZ-data over 2013 aan te leveren en slaagden daar in korte tijd in met de LBZ-oplossing van CSC. Het leveren van een onafhankelijke LBZ-oplossing ligt in de lijn van de missie van CSC in de Nederlandse zorg. Die missie is om bij te dragen aan soepele gegevensuitwisseling en betere samenwerking tussen zorgprofessionals en zorgorganisaties, en zodoende voortdurende kwaliteitsverbetering te realiseren. Rivierduinen neemt Pharmacy as a Service in gebruik De Zuid-Hollandse organisatie voor geestelijke gezondheidszorg Rivierduinen heeft in mei de nieuwe hostingoplossing Pharmacy as a Service in gebruik genomen. De eerste groep artsen en psychiaters van Rivierduinen is getraind en schrijft vanaf nu elektronisch voor in de gehoste oplossing voor EVS (Elektronisch Voorschrijf Systeem) van CSC. MicroHIS X as a Service live voor huisartsenpraktijken en zorginstellingen Eén aanspreekpunt, kostenefficiëntie en keuzevrijheid Huisartsenpraktijken, gezondheidscentra en zorginstellingen kunnen vanaf begin dit jaar gebruik maken van MicroHIS X as a Service. De omgeving is live, en een aantal huisartsenpraktijken is al overgestapt op dit nieuwe as a service - model. Grote voordelen van MicroHIS X as a Service zijn het single point of contact en de kostenefficiëntie: u hebt één aanspreekpunt voor uw software, hosting plus service, en betaalt voor de infrastructuur naar gebruik. En er is nog veel meer. U kende MicroHIS X al van het intuïtieve werken en de keuzevrijheid, en deze beginselen zet CSC voort met MicroHIS X as a Service. Zo kunt u met alle soorten devices inloggen op de omgeving, uw lokale meetapparatuur koppelen aan MicroHIS X, en hebt u keuzevrijheid ten aanzien van lokale hardware en verbinding. Huisartsen, assistenten of medewerkers kunnen inloggen vanaf iedere locatie of werkplek waar een internetverbinding aanwezig is. Vanzelfsprekend wordt MicroHIS X as a Service gehost vanuit een datacenter in Nederland dat voldoet aan de hoogste eisen en normen. Lees het artikel over de eerste ervaringen met MicroHIS X as a Service op p. 20. Vrijblijvend meer weten over MicroHIS X as a Service? Mail naar microhisinfo. hg.nld@csc.com of bel voor meer informatie of voor een afspraak op locatie. CSC heeft Pharmacy as a Service geïntroduceerd om zorginstellingen en ziekenhuisapotheken flexibiliteit te bieden in het gebruik van de bewezen Centrasys-medicatieoplossingen van CSC. De oplossingen zijn schaalbaar, leveren directe en indirecte kostenbesparingen in ICT-beheer en worden gehost vanuit een vakkundig beheerde, goedbeveiligde omgeving. Meer lezen over Pharmacy as a Service en over het gebruik door ggz-organisatie Rivierduinen? Kijk op p. 19. CSC HEALTHCARE MAGAZINE / Nummer

6 6 HOOFDARTIKEL

7 INFORMATIEBEVEILIGING: INSIDE OUT, OUTSIDE IN De impact van nieuwe technologie en nieuwe wetgeving op zorginstellingen De wereld verandert. Internet is overal medewerkers verwachten thuis te kunnen werken, hun eigen apparatuur te kunnen gebruiken op de werkplek, en patiënten en cliënten willen via internet contact met de familie thuis. Toch is de beveiliging in veel zorginstellingen nog steeds geënt op het oude model van een solide afgebakende ICT-omgeving. Dat gaat een keer mis. Het gevaar van datalekken en cyberaanvallen is veel groter dan menig ICT-manager of bestuurder voor mogelijk houdt: de cijfers van onderzoeksinstituten liegen er niet om. En dat terwijl nieuwe wetgeving de mogelijke boetes voor datalekken alleen maar verder opschroeft zelfs tot het niveau waarop een zorginstelling in ernstige financiële problemen kan komen. We zetten in dit artikel de feiten en cijfers op een rij, en geven inzicht in hoe beveiliging structureel kan worden verbeterd. Traditioneel zijn zorginstellingen, net als bedrijven en andere organisaties, gericht van binnen naar buiten: in de zorginstelling wordt zorg verleend voor patiënten en cliënten van buitenaf. Die zorg wordt opgezet en gestroomlijnd volgens interne procedures, en intern ondersteund door alle benodigde personele en materiële middelen, inclusief ICT. Dat is succesvol gebleken. Zorginstellingen zijn gegroeid in de loop der jaren door te investeren in de ontwikkeling en ondersteuning van die eigen, interne zorgprocessen. Ook de ICT is daarin meegegroeid. Alles is in huis gehaald om het zorgproces volledig te ondersteunen. In termen van ICT betekent dat eigen datacentra of op zijn minst eigen hardware, softwarelicenties, eigen beheersafdelingen, soms ook eigen afdelingen voor softwareontwikkeling, kortom: ICTkennis en -kunde op ieder deelgebied, en eigen software en hardware. Outside in Maar de wereld buiten heeft niet stil gestaan. Hoewel het voor organisaties en instellingen in de kern belangrijk blijft om bedrijfscentrisch te werken, hebben de snelle technologische ontwikkelingen van het afgelopen decennium een aantal zaken voorgoed omgedraaid. Mobiele apparatuur, internet, sociale media, cloud, big data, online bedrijven en gemeenschappen, online nieuws en patiëntenforums dat alles maakt dat de buitenwereld definitief impact heeft op de interne bedrijfsvoering, of er zelfs een onderdeel van is geworden. De traditionele voordelen van de bedrijfscentrische aanpak zijn niet meer vanzelfsprekend. De kosten van interne middelen, diensten en ICT worden alleen maar relatief hoger, terwijl de kosten van externe middelen, diensten en ICT almaar lager worden. Om te overleven, zeker in de huidige tijd met alle bezuinigingen, is het voor zorgorganisaties dus noodzakelijk om niet langer alleen van interne bronnen gebruik te maken, maar de bedrijfsstrategie en bedrijfsprocessen opnieuw op te bouwen: van buiten naar binnen. Vanuit het perspectief van de bedrijfsvoering betekent dit: nauwer samenwerken met ketenpartners, samen met patiënten en cliënten waarde toevoegen aan het zorgproces, in contact blijven met patiëntenorganisaties online en leren van de informatie die big data oplevert. Vanuit management- en technologisch oogpunt betekent dit de inzet van cloudoplossingen en softwareas-a-service (SaaS) in plaats van interne applicaties, systemen en datacentra, en het veilig laten gebruiken van eigen mobiele apparatuur door medewerkers (BYOD). CSC HEALTHCARE MAGAZINE / Nummer

8 HOOFDARTIKEL Logische stappen Dat zijn zeker geen gemakkelijke, maar wel logische stappen voor zorginstellingen, nu het niet meer doenlijk is om eigen datacentra te onderhouden, om eigen software te ontwikkelen of om al het beheer zelf te doen. Door de stijgende kosten van middelen en apparatuur en door de steeds verdergaande bezuinigingen, wordt het punt bereikt waarop het niet langer mogelijk is om zelf de complete infrastructuur aan te schaffen en te onderhouden, of het beheer van hardware en software helemaal in eigen hand te houden. Outside in is dan een goede optie. Zorgorganisaties winnen hiermee aan snelheid, flexibiliteit en innovatiekracht. Reële dreiging Informatiebeveiliging wordt intussen door alle eerder genoemde ontwikkelingen extra belangrijk. Voor zorginstellingen geldt dat niet alleen de eigen systemen en gegevens moeten worden beschermd, maar ook privacygevoelige patiëntgegevens. En het is een misverstand te denken dat zorginstellingen relatief veilig zouden zijn voor cyberaanvallen of datalekken. De dreiging is reëel. Volgens het meest recente jaarlijkse onderzoek van Symantec naar de internationale digitale veiligheid, is de gezondheidszorg de sector die het hardst groeit als doelwit van cybercriminelen. Dat is ook niet verwonderlijk, want op de zwarte markt voor gestolen persoonsgegevens is een medisch dossier inmiddels 20 dollar waard, tegenover 2 dollar voor een gewoon creditcarddossier. De cijfers tonen die groei aan. Volgens het onderzoek van Symantec heeft de zorg in 2013 van alle sectoren de meeste cyber-aanvallen en datalekken te verwerken gehad. Van alle vastgestelde incidenten had 37% volgens dit onderzoek betrekking op de zorg. En uit de Third Annual Study on Patient Privacy van het onafhankelijke Amerikaanse Ponemon Institute blijkt dat 94% van de ondervraagde zorgorganisaties in de VS in de twee jaar voor het onderzoek tenminste één keer een datalek rapporteerde. In diezelfde periode bleek niet minder dan 45% van de zorgorganisaties meer dan vijf keer met een datalek te maken hebben gehad. De stijging ten opzichte van 2010 is groot: in dat jaar meldde 29% meer dan vijf datalekken. De dreiging is reëel: volgens de meest recente onderzoeken is de gezondheidszorg de sector die het hardst groeit als doelwit van cybercriminelen Uit dezelfde studie komt naar voren dat datalekken ernstige financiële gevolgen kunnen hebben voor zorginstellingen. De gemiddelde impact van een dergelijk incident voor een zorgorganisatie in de VS bedraagt maar liefst 2,4 miljoen dollar. Niet minder belangrijk is dat de gevolgen van datalekken bij een instelling voor patiënten ernstig kunnen zijn. Die kunnen namelijk veel verder gaan dan enkel de inbreuk op de persoonlijke privacy. Cybercriminelen zijn met name uit op het stelen van persoonsidentiteiten. Ofwel om de financiële identiteit, ofwel om de medische identiteit van patiënten te kunnen verhandelen. De helft van de Amerikaanse zorgorganisaties (52%) meldt een of meerdere incidenten van diefstal van de medische identeit van patiënten. Hoe ernstig dit is, blijkt uit het feit dat dit in 39% van de gevallen leidde tot onjuistheden in het dossier van de patiënt, en in 29% van de gevallen zelfs invloed had op de behandeling. Hoge boetes De dreiging van cybercriminaliteit neemt dus toe, en de gevolgen kunnen ernstig zijn. Tegelijkertijd worden ook de mogelijke sancties vanuit de overheid op datalekken steeds zwaarder. Op grond van de Wet Meldplicht datalekken zijn alle instellingen 8

9 die persoonsgevoelige informatie verwerken verplicht om het lekken van privacygevoelige informatie direct na vaststelling van het lek te melden bij het College Bescherming Persoonsgegevens (CBP). Nadat ze de melding hebben gedaan, krijgen instellingen 72 uur de tijd om het lek te dichten. Als instellingen daar niet in slagen, of het nalaten om een datalek te melden, dan kunnen ze rekenen op een boete. Dat is nu ook al het geval, alleen bedraagt de boete op dit moment maximaal 4500 euro. De regeringspartijen hebben afgesproken in het regeerakkoord om deze boete te verhogen tot een maximum van euro. De Tweede Kamer heeft hiervoor wetgeving in voorbereiding, die nog voor deze zomer ingevoerd zou moeten worden. En dat is nog niet alles. Er is nieuwe Europese wetgeving in de maak die nog hogere boetes oplegt. Afgelopen maart stemde het Europese Parlement namelijk met een overweldigende meerderheid voor invoering van de eerste Europese Privacyverordening. Volgens deze verordening kunnen instellingen die hun databeveiliging niet op orde hebben en bij incidenten niet de juiste procedures volgen, een boete gaan krijgen tot maximaal 5 % van de jaaromzet. Voor een ziekenhuis kan dat al snel oplopen tot een miljoen euro. Drie inzichten uit de praktijk Het is dus juist op dit moment belangrijk om qua beveiliging extra stappen te zetten. Drie inzichten uit de praktijk: De keuze voor Infrastructure as a Service en Software as a Service op zich zorgt al voor een gedegen basisbeveiliging. Vanuit de centraal beheerde omgeving een datacenter dat voldoet aan de hoogste beveiligingseisen en -normen wordt immers continu gezorgd voor patches en updates, zodat organisaties nooit meer achter kunnen lopen met de laatste beveiligingsupdates. CSC biedt steeds meer van de bestaande software voor de zorg As a Service aan, waaronder de medicatieoplossingen (zie p. 19) en het informatiesysteem voor de eerstelijnszorg MicroHIS (zie p. 20). Net als met uw eigen gezondheid: het is altijd verstandig om eens te laten checken hoe het ervoor staat. Een cybersecurity-check biedt uitkomst. U laat deze uitvoeren om de hele ICT-omgeving door te lichten en te zien waar de zwakke plekken in de beveiliging zitten (zie p. 4). Zodoende weet u direct hoe uw omgeving ervoor staat en kunt u meteen ingrijpen waar nodig. De meest structurele oplossing qua beveiliging is om te zorgen voor boundaryless security. Veel zorginstellingen hanteren namelijk bij de beveiliging nog het inside outmodel, waarbij alle interne gebruikers en systemen in de basis sneller vertrouwd worden en hogere rechten krijgen dan externe gebruikers en systemen. Aangezien de grens tussen binnen en buiten het eigen netwerk echter vervaagd is denk maar aan ketenpartners, basisregistratiesystemen, thuiswerkers en patiënten van buitenaf is het doeltreffender en veiliger om de beveiliging van de hele infrastructuur zo in te richten dat het niet meer uitmaakt of een gebruiker van buiten of van binnen komt, maar dat het afhankelijk is van de situatie en de gewenste toegangsrechten. Ongeacht de locatie van een gebruiker geldt dezelfde beveiligingsmethode voor eenzelfde soort situatie, en toegang tot systemen en bestanden gaat enkel op basis van het need to know -principe. Een voorbeeld van een Amerikaanse zorginstelling die een hoge beveiligingsgraad heeft geïmplementeerd met hulp van de expertise van CSC, is Intermountain Healthcare (zie p. 12). Ook in Nederland voert CSC architectuurprojecten uit bij zorginstellingen waar integrale informatiebeveiliging een onderdeel van is. Cybercriminaliteit zal voorlopig alleen nog maar verder toenemen; de VS zijn wat dat betreft zoals vaker een voorbode. Maar zorginstellingen kunnen het wel structureel lastiger maken voor cybercriminelen om zomaar binnen te dringen of om de ruimte te geven voor andere beveiligingsincidenten. Informatiebeveiliging is hoe dan ook voor zorginstellingen belangrijker dan ooit. 9

10 Vier mythes over cloudbeveiliging en wat er echt van waar is Susie Allwood André van Cleeff Niels Lagerweij 10

11 INZICHT De cloud is overal en gemakkelijk toegankelijk dat zou het voordeel zijn, en tegelijkertijd qua beveiliging het nadeel. En, het moet gezegd, vaak geldt dat ook voor de cloud die eindgebruikers aanschaffen. Maar cloudoplossingen kunnen wel degelijk zo stevig zijn als een huis. CSCcloudbeveiligingsspecialisten André van Cleeff, Niels Lagerweij en Susie Allwood weerleggen in hun bekroonde paper vier bekende mythes rond de veiligheid van cloud. De cloud is niet alleen overal en overal gemakkelijk toegankelijk, maar doorgaans ook ondoorzichtig en ondoorgrondelijk. Waar vijftien jaar geleden iedere eindgebruiker uit eigen ervaring wist wat de consequenties van beveiligingsrisico s konden zijn (denk aan virussen verspreid per mail, vollopende mailboxen door spam), is het veel minder gemakkelijk om inzicht te hebben in de informatiebeveiliging van een complexe structuur als een cloud. En wat de gevolgen zijn als deze niet op orde is. Als er een Denial of Service-aanval is op je bank, dan is het eerste wat je merkt dat de app die je gebruikt om mobiel te bankieren niet meer werkt. Maar het is erg moeilijk een beeld te hebben van wat er nog meer aan de hand kan zijn met de rest van de infrastructuur, zelfs voor ICT ers. Dat maakt dat mythevorming vrij spel heeft. Als we kijken naar wat cloud daadwerkelijk inhoudt, dan constateren we om te beginnen dat cloud geen nieuwe technologie is, maar eenvoudigweg een ander model van dienstverlening en betaling. Cloudoplossingen bevrijden organisaties van de noodzaak om de maximale hoeveelheid hardware aan te schaffen, namelijk de hoeveelheid hardware die de piekbelasting aan kan. Met cloud kan het met minder (doorgaans met veel minder), en wordt er pas extra capaciteit bijgeschakeld als de piekbelasting een feit is. Bij cloudoplossingen kan wel degelijk duidelijk zijn waar de gegevens staan, en hoe ze precies zijn beveiligd. En daarmee kan een viertal mythes direct worden weerlegd. Mythe 1: klanten kunnen elkaar in een cloud gemakkelijk aanvallen Het idee dat klanten die capaciteit hebben ingekocht op dezelfde server elkaar gemakkelijk zouden kunnen aanvallen, is een mythe van het eerste uur. Het staat voorop dat organisaties er goed aan doen om cloud af te nemen van een leverancier als CSC die zijn klanten aan een strikt toelatingsbeleid onderwerpt, waardoor kwaadwillenden geen kans maken. Maar los daarvan is het bij cloudoplossingen als die van CSC echt niet zo gemakkelijk om een aanval op het netwerkdeel van een andere klant uit te voeren. De virtualisatielaag vormt een stevige barrière tussen de virtuele machines, de managementinterface op deze laag staat op een compleet separaat deel van het netwerk. Tegen aanvallen vanaf het internet biedt CSC met zijn cloudoplossingen een scala aan beveiligingsopties, variërend van eenvoudige firewalls tot zeer geavanceerde beveiligingsmechanismen. Ook eventuele aanvallen via het interne netwerk van een andere klant op dezelfde server kunnen op deze manier worden bestreden. Mythe 2: met cloud weet je nooit waar je gegevens zijn en het maakt je gegevens kwetsbaar De naamgeving van cloud doet wat deze mythe betreft niet veel goed. Wolken zweven, dus lijkt het logisch dat een ICTcloud minstens zo vluchtig is. De realiteit is anders. Cloudoplossingen zoals die van CSC maken slechts gebruik van een beperkt aantal datacentra ter wereld. Voor CSC zijn dat er 14, waarvan er een in Amsterdam staat. De gegevens worden bij CSC bovendien niet automatisch verdeeld over of gedupliceerd naar de andere datacentra, zoals bijvoorbeeld Google dat wel doet voor het Gmailverkeer. En het strikte beheer door CSC volgens gestandaardiseerde en gecertificeerde processen van de virtuele machines waaruit de cloudoplossing is opgebouwd, zorgt voor extra beveiliging. Nu is dat natuurlijk voor veel organisaties in de zorg nog niet afdoende. Voor zorginstellingen en andere organisaties die een zeer hoge mate van controle over de gegevens of extra beveiliging nodig hebben, bieden CSC s Infrastructure as a Service (IaaS)-oplossingen de mogelijkheid volledige controle te houden over de gegevens. Met CSC s IaaS krijgen organisaties een volledig separate omgeving, die naar keuze in een datacenter van CSC of in het eigen datacenter wordt opgezet. Bij IaaS vindt het beheer in principe plaats door CSC. Een aparte serviceorganisatie kan worden opgezet om aan extra veiligheidsvereisten, bijvoorbeeld gesteld vanuit de overheid, te voldoen. Mythe 3: de cloud is ondoorzichtig Cloudoplossingen kunnen wel degelijk transparant zijn. Daarvoor is een drietal zaken nodig die CSC standaard heeft geïmplementeerd: 1) het beveiligen van de cloudoplossingen met een technisch en procedureel raamwerk, waaronder ISO27001, 2) certificering van het datacenter vanuit het oogpunt van fysieke en procedurele beveiliging, certificering van het technisch beheer en certificering van de clouddiensten zelf, en 3) gerichte penetratietesten om de scheiding van clients, gegevens en diensten aan te tonen. Mythe 4: cloudgebruikers worden beschermd door standaardbeveiliging (en hoeven zelf verder niets te doen) Een cloud is nooit zo maar klaar voor gebruik en vrij van onderhoud. Denk alleen al aan het beheer van de gebruikersaccounts en aan het patchen en updaten van applicaties. Ook deze zaken dienen veilig opgezet te worden. Het is de keuze en de verantwoordelijkheid van de organisatie die de cloud afneemt, welk niveau van beveiliging voldoet: 1) de basisbeveiliging die door een provider als CSC wordt geleverd, 2) de basisbeveiliging plus extra beveiligingsmechanismen zoals encryptie van databases en systemen of 3) de basisbeveiliging in een volledig separate, eigen cloud plus een aparte serviceorganisatie. Meer weten over beveiliging in de cloud, over cloudoplossingen of over Infrastructure as a Service? Download de whitepaper: Cloud Security Demystified - Mail voor meer info naar: info.hg.nld@csc.com CSC HEALTHCARE MAGAZINE / Nummer

12 12 REPORTAGE

13 Zorg anno nu, risico s anno nu De beveiligingsuitdaging van Intermountain Healthcare D e gezondheidszorg heeft zijn eerste schreden gezet in een nieuwe wereld met enorme mogelijkheden en enorme risico s. Door systemen en medische apparatuur aan het internet te koppelen en door elektronische dossiers in te voeren, verbetert het kwaliteitsniveau van de zorg aanzienlijk voor ons allemaal. Maar deze veranderingen creëren ook een zorg-ict-landschap met grote uitdagingen op het gebied van informatiebeveiliging. CSC helpt zorgorganisaties die uitdagingen in kaart te brengen en de beveiliging in topvorm te krijgen. Intermountain Healthcare is daarvan een voorbeeld uit de VS. Hoewel aanvallen op organisaties in de zorg vaak minder aandacht krijgen dan die in de bancaire wereld, zetten volgens beveiligingsexperts cybercriminelen steeds vaker aanvallen in op kritieke medische systemen om waardevolle patiëntgegevens te kunnen bemachtigen. Onderzoeken laten zien dat verreweg de meeste zorgorganisaties met een datalek of beveiligingsincident te maken hebben gehad. Zo geeft het onafhankelijke Amerikaanse Ponemon Instituut in zijn Third Annual Study on Patient Privacy aan dat 94% van de ondervraagde zorgorganisaties in de VS tenminste één keer in de afgelopen twee jaar een datalek heeft gerapporteerd. Maar liefst 45% van de zorgorganisaties meldde in diezelfde periode meer dan vijf keer met een datalek te maken hebben gehad. Met de alsmaar toenemende beveiligingsrisico s kiezen sommige organisaties voor een proactieve aanpak, om hun systemen en daarmee hun patiëntgegevens beter te beschermen voordat een aanval of datalek plaatsvindt. Een Amerikaanse zorgorganisatie die het belangrijk vindt om te werken aan een sterkere en robuustere informatiebeveiliging is Intermountain Healthcare, een organisatie die meerdere malen prijzen won voor excellentie en innovatie, zowel op het gebied van de zorg als op het gebied van technologie. Intermountain koos CSC om te helpen het beveiligingsniveau te verhogen. In de loop van het project, dat zo n twee jaar geleden van start ging, is het team op innovatieve manieren aan de slag gegaan om Intermountain s netwerk van systemen en gegevens beter te beveiligen. Risico s terugdringen met innovatiekracht Intermountain Healthcare is een grote non-profit zorgorganisatie met als hoofdkwartier Salt Lake City. De organisatie bestaat uit 22 ziekenhuizen, 185 klinieken voor eerstelijnszorg, een gelieerde zorgverzekeraar en in totaal medewerkers. Het adherentiegebied omvat de staat Utah en het zuidoosten van de staat Idaho. Intermountain Healthcare kent een lange traditie in het leveren van zorg van zeer hoge kwaliteit. Daarbij zijn we vanuit financieel perspectief een van de meest kosteneffectief werkende zorgaanbieders in het land, zegt Marc Probst, Chief Information Officer en Vice President of Information Systems bij Intermountain Healthcare. Dat komt doordat we sterk zijn in het goed gebruiken van onze systemen en het analyseren van de gegevens die we daarin voorhanden hebben om onze beslissingen op te baseren. Maar als het gaat om gebieden als privacy en beveiliging, dan kijken we naar andere sectoren.. 13

14 REPORTAGE De beveiliging van informatiesystemen en de bescherming van patiëntgegevens komt volgens Probst voor CIO s in de gezondheidszorg direct op de tweede plaats van grootste uitdagingen, meteen volgend op de effectieve invoering van elektronische patiëntendossiers. Wijzigingen in wet- en regelgeving en de complexe aard van de medische dienstverlening zorgen voor een enorme uitdaging op het vlak van beveiliging en privacy. De toegenomen belangstelling van cybercriminelen voor patiëntgegevens maakt die uitdaging nog complexer. Intermountain wilde er zeker van zijn dat de risico s voor de organisatie werden beperkt en dat de organisatie voortdurend bij zou blijven op het gebied van beveiliging. De dynamiek is behoorlijk veranderd, zegt Ashif Jiwani, CSC Global Cybersecurity Partner, Healthcare. Nog geen twee jaar geleden was het de financiële dienstverlening die werd aangevallen door commerciële hackers van over de hele wereld; nu is de gezondheidszorg het voornaamste doelwit. Voor cybercriminelen is het stelen van de identiteit van patiënten relatief gemakkelijk omdat zij doorgaans al hun tijd en energie nodig hebben om beter te worden, en daardoor minder aandacht over hebben voor financiële en administratieve zaken. Bovendien zijn patiëntendossiers, die belangrijke persoonlijke gegevens zoals sociaal-fiscale persoonsnummers bevatten, ook waardevoller geworden dan creditcardnummers, die inmiddels door financiële instellingen extra beveiligd zijn tegen fraude. CSC monitort de diverse dreigingen wereldwijd, zegt Tom Patterson, CSC Global Cybersecurity Consulting General Manager. We houden voor onze klanten voortdurend de zwarte markt in de gaten om te zien wat er zich afspeelt. Momenteel krijgen criminelen gemiddeld 2 dollar voor een creditcarddossier, terwijl een medisch dossier zo n 20 dollar opbrengt. op de servers van Utah s Department of Technology Services, waarop de gegevens worden bewaard van alle claims die worden ingediend in het kader van het Medicaid and Children s Health Insurance Program. Cybercriminelen hebben daarbij sociaal-fiscale persoonsnummers gestolen, en daarnaast minder gevoelige persoonsinformatie van nog eens mensen. Tot het moment dat er daadwerkelijk een datalek voorkomt, zegt Jiwani, staat beveiliging doorgaans op het tweede plan. Voor Intermountain is dat geen wenselijke situatie. De organisatie heeft informatiebeveiliging prioriteit gegeven, omdat we van mening zijn dat de bescherming van de gegevens en de privacy van onze patiënten, naast de bescherming van onze reputatie minstens zo belangrijk is als onze voornaamste strategische doelen. Ook Intermountain Healthcare zag zich voor de strengere wet- en regelgeving geplaatst. We besloten om te innoveren en een partner te zoeken die ons kon helpen om naar een compleet nieuw paradigma over te gaan, en die ons bovendien in een vooraanstaande positie kon brengen op het gebied van bescherming van patiëntgegevens, zegt Karl West, Chief Information Security Officer bij Intermountain Healthcare. Zodoende kwamen we uit bij CSC. Gegevensencryptie en segmentatie van netwerken Een van de belangrijkste gebieden waarop CSC en Intermountain hebben samengewerkt om een nieuwe standaard voor de gezondheidszorg neer te zetten, is met een netwerkbenadering die gegevens classificeert, zowel data-inrust als data-in-overdracht versleutelt, en data en systemen segmenteert, ofwel compartimenteert een benadering die er tegelijkertijd voor zorgt dat gegevens worden beschermd tegen diefstal én dat gegevens beveiligd zijn als ze toch worden gestolen. Deze aanpak, die CSC vooral toepast in opdrachten voor de publieke sector, is een primeur binnen de gezondheidszorg, aldus Jiwani. Weinig organisaties hebben gekeken naar het ontwikkelen van een strategie waarbij ze zowel de gegevens versleutelen als hun infrastructuur segmenteren, zegt hij. In essentie hebben we hiermee beveiliging op defensie-niveau toegepast binnen de gezondheidszorg. Met dit werk aan de beveiliging van Intermountain helpt CSC de zorgorganisatie om geavanceerde technologieën en apparatuur van vooraanstaande leveranciers toe te passen in het ontwerp van de infrastructuur. Tot het moment dat er daadwerkelijk een datalek voorkomt, staat beveiliging doorgaans op het tweede plan. 14 Reputatiebescherming en regelgeving Met 20 dollar per gestolen medisch dossier kunnen criminelen gemakkelijk veel geld verdienen en al doende de reputatie en het budget van een instelling flinke schade toebrengen. Neem bijvoorbeeld de aanval in maart 2012 De Amerikaanse wet- en regelgeving is bovendien strenger geworden op het gebied van beveiliging van patiëntgegevens. Er zijn sancties gesteld in de vorm van boetes en straffen op het niet voldoen aan de regelgeving en op datalekken. Omgaan met BYOD, mobiliteit en telezorg Het ontwerp omvat scheiding van rollen en scheiding van rechten en maakt het zo mogelijk om toegang te geven tot precies die informatie waartoe gebruikers van het netwerk gerechtigd zijn. Dit zorgt voor

15 een gerichte aanpak om vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te borgen. Het eindresultaat is een infrastructuur die solide, schaalbaar en zelfoptimaliserend is, zodat gegevens, applicaties en systemen die medische informatie bevatten, adequaat worden beschermd. Deze innovatieve aanpak, die de focus verlegt van standaardbeveiliging voor het hele systeem naar gerichte beveiliging op die plekken waar het noodzakelijk is, maakt dat we heel flexibel kunnen zijn en onze aandacht kunnen richten op die risico s die een hoge prioriteit hebben, zegt Jiwani. We kunnen aangeven op welke locaties in het netwerk we de meeste impact willen hebben en de meeste resources willen inzetten, en de beschikbare tools daardoor op een veel efficiëntere manier gebruiken. Het betekent ook dat we de risico s kunnen afwegen tegen de kosten. Het verbeteren van de beveiliging stond al in het vijfjarenplan vanwege de snel groeiende gevaren op het internet en de veranderende wet- en regelgeving. Intermountain besloot echter om het werk aan de beveiliging te versnellen. CSC hielp het bedrijf om zijn huidige tools voor het ontdekken en monitoren van beveiligingsrisico s snel en efficiënt in te zetten om gevoelige informatie op te sporen, zonder te hoeven investeren in nieuwe technologie. Deze inspanning maakte het op zijn beurt mogelijk dat het team sneller de gegevens van Intermountain kon gaan beveiligen. een favoriete mobiele technologie, en het is een uitdaging voor ons om dat allemaal bij te houden, zegt West. We werken nu aan strategieën en technologieën om hen in staat te stellen om in hun werkomgeving en binnen hun workflow op een veilige manier gebruik te maken van hun eigen apparatuur. Daarnaast helpt CSC Intermountain bij het verhogen van de administratieve beveiliging, inclusief het bijwerken van instructies, procedures en richtlijnen. CSC gebruikt ook de uitgebreide ervaring in het geven van trainingen op het gebied van beveiliging, om Intermountain te Deze aanpak is een primeur voor de sector. In essentie hebben we beveiliging op defensieniveau toegepast binnen de gezondheidszorg. helpen een trainingsstrategie voor de lange termijn op te zetten en multimediaal educatief materiaal te ontwikkelen dat medewerkers bewust maakt van hun eigen verantwoordelijkheden. Klant: Intermountain Healthcare Uitdaging Toename in het gebruik van kwetsbare, complexe medische technologie, mobiele apparatuur en apparatuur voor medische diagnostiek met eigen IP-adressen Grotere belangstelling voor de gezondheidszorg bij cybercriminelen, deels ingegeven door toegenomen waarde op de zwarte markt van patiëntendossiers Strengere wet- en regelgeving die kan leiden tot juridische en financiële consequenties Oplossing Dataclassificatie, encryptie, segmentering en rollenstructuur Gereedheid voor audits Verbeterd beveiligingsbeleid,herziene procedures en richtlijnen, training Normaalgesproken zien we dat er zo n drie tot vier jaar nodig is om een programma als dit te voltooien, zegt Jiwani. Door een aantal innovatieve benaderingen te gebruiken en door een compleet nieuwe aanpak te kiezen bij de opzet van dit programma, is het ons gelukt om de doorlooptijd met 50% te verkorten en minder dan de helft van het budget te gebruiken dat normaliter staat voor een dergelijk project. Het wordt steeds belangrijker om snel een dergelijke netwerkaanpak te realiseren, aangezien artsen, patiënten, personeel en bezoekers hun eigen apparatuur willen kunnen gebruiken om toegang te krijgen tot de systemen van Intermountain. Iedere arts, iedere specialist heeft een favoriet device, een favoriete smartphone, We helpen Intermountain Healthcare op alle drie de kerngebieden van beveiliging: mensen, processen en technologie, zegt Jiwani. We zorgen daarmee voor het invoeren van Intermountain in een raamwerk voor beveiliging dat voor de hele gezondheidszorg kan gelden, helpen hen om het technologielandschap te begrijpen en om innovatieve processen te ontwikkelen. Ik ben ervan overtuigd dat CSC ons gaat helpen om binnen de zorg een modelorganisatie te worden op het gebied van informatiebeveiliging, voegt Probst toe. We zijn er op dit moment nog niet, maar we hebben de pijlers gelegd. Ik ben erg optimistisch over wat we met zijn allen aan het opzetten zijn. Resultaten Innovatief ontwerp voor solide, schaalbare en zelfoptimaliserende netwerkinfrastructuur die gegevens, applicaties en systemen beschermt Robuustere en veiligere omgeving die huidige en toekomstige cyberbedreigingen afslaat en patiënten beter beschermt Verbeterd bewustzijn bij medewerkers van informatiebeveiliging door gerichte training CSC HEALTHCARE MAGAZINE / Nummer

16 INNOVATIE Efficiënter en veiliger werken op de manier die bij uw zorginstelling past Let It Flow Van digitale gegevens naar efficiënte informatiestromen 16 Efficiëntie behalen en een betere patiëntveiligheid realiseren, kan vanuit de ICT in essentie op twee manieren: top-down of bottom-up. Met de top-down-methode kijken ICT-specialisten eerst naar de werkprocessen in uw zorgorganisatie. Vanuit de werkprocessen richten zij het technologische platform opnieuw in, passen ze indien nodig ook de werkprocessen zelf aan en richten deze efficiënter in. Bij de bottom-up-benadering werken ICT-specialisten vanuit de technologie. Zij kijken hoe zij vanuit de systemen de werkprocessen beter kunnen ondersteunen, en realiseren efficiënter en veiliger werken door de systemen en de gegevensstromen te stroomlijnen. CSC heeft alle twee deze specialisaties in huis. U kunt kiezen tussen de twee, of vanuit de bottom-up-benadering waar gewenst aanvullen. Systemen integreren, informatie aggregeren, het applicatielandschap of de werkprocessen herinrichten aan u de keuze. En daarbij komt dat CSC leveranciersonafhankelijk is; de specialisten van CSC werken met de communication-engine of de enterprise service bus (ESB) waaraan u de voorkeur geeft. Op welke manier u dus ook besluit om efficiënter en veiliger te gaan werken, CSC levert de bijpassende oplossingen en expertise. Inscannen, opzoeken, doorsturen, afdrukken. De dagelijkse informatievoorziening in ziekenhuizen is vaak nog maar gedeeltelijk gedigitaliseerd. Want wat aan gegevens aanwezig is in het ene systeem, is niet vanzelf bekend in het andere. Daar zijn veel verbeteringen mogelijk. Door de verschillende systemen slim te koppelen, kan veel tijd worden bespaard én wordt de patiëntveiligheid aanzienlijk verhoogd, doordat zorgverleners meteen beschikken over de informatie die zij nodig hebben over een patiënt. De integratiespecialisten van CSC realiseren het. We staan er vaak niet eens meer bij stil. De afdeling Radiologie heeft zijn RIS, het laboratorium zijn LIS en de verschillende functieonderzoeken binnen Cardiologie hebben ieder ook hun eigen systeem: informatiesystemen voor EEG- en ECGonderzoeken, CT-scans, PET-scans, MRI-scans, ga zo maar door. En de gegevens uit deze deelsystemen worden apart vaak handmatig doorgegeven. In een middelgroot ziekenhuis gaat het al gauw om 50 tot 100 verschillende deelsystemen. Er gaat dus enorm veel tijd verloren met het overbrengen van al die gegevens, óók als dit digitaal gebeurt met point-to-point koppelingen. Want al die koppelingen moeten ieder weer onderhouden worden. Communicatie-oplossing Nu is het niet altijd wenselijk om het applicatielandschap geheel of gedeeltelijk opnieuw in te richten en de informatievoorziening toe te spitsen op de werkprocessen van zorgverleners, zoals we belichten in het artikel over orkestratie op p. 17. Ook het opzetten van portalen of applicaties waarin informatie uit verschillende systemen samenkomt, is niet altijd een optie. Een elegante technische oplossing die dan efficiëntie oplevert, is de integratie van systemen via een centrale communicatieengine, die alle gegevens ontvangt en doorspeelt naar de relevante deelsystemen. Op deze manier kunnen bijvoorbeeld cardiologieverslagen en laboratoriumuitslagen beschikbaar worden gesteld aan de deelsystemen van de verschillende specialismen, zodat iedere zorgverlener op hetzelfde moment over dezelfde informatie beschikt. Bovendien bieden communicatieengines de mogelijkheid om het berichtenverkeer te bewaken, zodat applicatie- en communicatiestoringen snel gesignaleerd en opgelost kunnen worden. Integreren voor meer efficiëntie en veiligheid De integratiespecialisten van CSC realiseren de selectie, voorbereiding en implementatie van een passende communicatie-engine voor uw zorginstelling zowel voor het geval wanneer u volledige digitalisering van uw informatievoorziening beoogt, als wanneer u een beperkt aantal informatiestromen wilt inrichten. In beide gevallen levert de technische oplossing van een communicatie-engine u kostenbesparingen en een hogere mate van patiëntveiligheid op. CSC werkt bovendien, zoals u van ons gewend bent, leveranciersonafhankelijk: onze specialisten hebben kennis van alle in de Nederlandse markt beschikbare communication-engines en kunnen de voor- en nadelen helder naast elkaar zetten, zodat u de beste keuze voor uw instelling kunt maken.

17 INNOVATIE Bringing It Together van informatiestromen naar efficiënte werkprocessen Op verschillende locaties met verschillende systemen moeten werken voor hetzelfde type informatie. Of omgekeerd, op één werkplek drie verschillende systemen raadplegen om een compleet beeld van alle beschikbare informatie te krijgen. Niet zelden is dat de dagelijkse gang van zaken, zeker als een zorgorganisatie snel gegroeid is. Op een gegeven moment is duidelijk: er moet iets gaan gebeuren. Vanwege het kostentechnische aspect, vanwege de efficiëntie in het werkproces, en niet in de laatste plaats vanwege patiëntveiligheid en kwaliteit van zorg. Maar welke oplossing is verstandig en kosteneffectief in zo n gegroeid ICTlandschap? Veel zorginstellingen, vooral in de gehandicapten- en ouderenzorg, groeien enorm snel door fusies en overnames. Dat levert grote organisaties op, met meer slagkracht, maar ook met een complex ICT-landschap met een grote verscheidenheid aan applicaties. Medewerkers moeten daar dagelijks hun weg doorheen zien te vinden, ten koste van tijd en productiviteit. En in het ergste geval vinden ze hun weg erómheen met geeltjes, s of losse Word-documenten en Excelsheets. Met alle risico s van dien. Zorgproces Door het strenger worden van wet- en regelgeving wordt het bovendien steeds lastiger om zonder gestroomlijnde ICT-omgeving de juiste vergoedingen te krijgen en om veilig medicatie te verstrekken aan patiënten. Zorgprocessen zelf kunnen vastlopen op een onvoldoende functionerend ICT-landschap. In zo n situatie is het duidelijk: er moet iets gaan gebeuren. Maar wat dan? Welke technische oplossingen zijn er, welke keuzes moeten er worden gemaakt, en wat is de beste aanpak? Waar ga je als zorginstelling beginnen? Expertise Het is goed om te weten dat CSC veel expertise in huis heeft, zowel op het gebied van de technologie als op het vlak van werkprocessen in de zorg. Daarmee realiseert CSC voor zorginstellingen efficiëntere informatiestromen én efficiëntere werkprocessen. Op basis van de toekomstvisie van een zorginstelling helpt CSC bij het formuleren van een ICT-strategie, en bij de keuze van het ondersteunende product dat het beste bij die toekomstvisie en strategie past. Dat begint met de vraag: hoe ziet de ICT-omgeving eruit die de organisatie zou willen hebben, met de organisatie die de zorginstelling inmiddels is geworden? Belangrijke vragen betreffen het delen van informatie, het laten aansluiten van bedrijfsprocessen, het efficiënt inspringen op veranderingen in bedrijfsprocessen, en keuzes in efficiëntie en kwaliteit. Als het de strategie van de zorginstelling is CSC HEALTHCARE MAGAZINE / Nummer

18 om de organisatie te zien als één samenwerkend geheel, dan betekent dat het organisatieomvattend inrichten van de informatievoorziening. Dat voert dus veel verder dan integratie van systemen. Bij een dergelijke toekomstvisie passen gedeelde voorzieningen, zoals een enterpriseportaal dat bereikbaar is voor de hele organisatie. De bijpassende technische oplossing is in dat geval een enterprise service bus (ESB). Maar ook bij organisatiesstrategieën die minder omvattend zijn, valt een efficiëntieslag te maken met ICTmiddelen als een message broker of een ESB. Bij het efficiënter maken van een complex ICT-landschap onderscheidt CSC drie niveaus: 1. Integratie Een efficiëntere berichtuitwisseling realiseren door applicaties te koppelen, zonder deze volledig te integreren. Hier is een message broker de beste oplossing omdat daarmee complexe en dure point-topoint oplossingen tussen applicaties worden voorkomen. 2. Aggregatie Een totaalbeeld van informatie geven vanuit verschillende applicaties. Bijvoorbeeld door voor verpleegkundigen in de hele organisatie een portaal op te zetten dat informatie uit de verschillende systemen, zoals het planningssysteem en het EPD of ECD, verzamelt en weergeeft. Hier past een enterprise service bus (ESB) die de informatie uit de bronsystemen aggregeert. 3. Orkestratie Een architectuur waarin applicaties, naast bestaande integratie, ook via (web)services met elkaar communiceren. Ook hier past een ESB, vanwaaruit de organisatie dan doorgroeit naar een volledig servicegerichte architectuur. Van integreren naar orkestreren CSC ondersteunt bij het formuleren van de ICT-strategie, bij de keuze tussen message broker of enterprise service bus, en bij de selectie van het juiste type message broker of ESB. Met advies van CSC valt veel winst te behalen. Die winst zit m niet alleen in kostenbesparingen door een gestroomlijnd applicatielandschap en in efficiëntere werkprocessen. De winst van ondersteuning door CSC zit vooral ook in een beter overzicht en een hogere kwaliteit van zorg. 18

19 INNOVATIE Pharmacy as a Service ICT-ontzorging op medicatiegebied voor ziekenhuizen en zorginstellingen Voor ziekenhuis- en instellingsapotheken is ICT vanzelfsprekend niet het vakgebied waarover de meeste kennis in huis is. Maar ICT is wel alom aanwezig en ondersteunt intussen vrijwel alle processen in en rond medicatiemanagement en -logistiek. ICT raakt, kortom, aan de kernprocessen van de apotheek. Daarop moeten apothekers volledig kunnen vertrouwen. CSC biedt daarom ICTontzorging. De medicatieoplossingen van CSC, met Centrasys centraal, staan bekend om hun betrouwbaarheid. Solide software, die zich in de praktijk van alledag bewezen heeft, en waarop de meerderheid van de ziekenhuisapotheken in Nederland vertrouwt. Met Pharmacy as a Service krijgen ziekenhuis- en instellingsapotheken daar een gedegen technische infrastructuur en gespecialiseerde know-how bij. Centrasys gehost Pharmacy as a Service levert apotheken en instellingen de gewenste CSCmedicatieoplossingen (Centrasys, Centrasys/EVS voor elektronisch voorschrijven en CSC Centrasys/ TRS voor toedieningsregistratie) vanuit een gehoste omgeving met een gegarandeerde stabiliteit en hoge beschikbaarheid. Alle afspraken worden vastgelegd in SLA s. Inbegrepen zijn back-ups en het technisch beheer van de omgeving (24x7). CSC beschikt over meer expertise dan de puur technische kennis van hardware en rekencentra: CSC is ook zelf de leverancier van de medicatieoplossingen. Bij vraagstukken die zowel betrekking hebben op de technische omgeving als op het specifieke domein van medicatie, is alle nodige kennis dus aanwezig onder één dak. Dat levert tijdsvoordeel en werkt door in de betrouwbaarheid van de omgeving. Efficiëntie en beveiliging Kiezen voor hosting betekent natuurlijk een keuze voor kostenefficiëntie: dure hardware hoeft niet langer zelf te worden ingekocht en ook de indirecte kosten voor het technische beheer vervallen. Maar er zijn meer voordelen. Softwarepatches en -updates worden voor de gehele omgeving tegelijkertijd doorgevoerd, wat het risico van onderbeveiliging drastisch reduceert. De omgeving is sterk beveiligd en iedere apotheek of instelling krijgt een volledig afgeschermd deel van het rekencentrum toegekend. CSC is daarbij expert op het gebied van informatiebeveiliging en brengt kennis mee vanuit sectoren als de ruimtevaart en defensie. Daardoor voldoen ook onze zorgoplossingen aan zeer hoge eisen op het gebied van beveiliging. Infrastructuur + software + kennis: CSC s unieke combinatie voor ziekenhuis- en instellingsapotheken Rivierduinen neemt als eerste CSC s Pharmacy as a Service in gebruik De Zuid-Hollandse organisatie voor geestelijke gezondheidszorg Rivierduinen heeft in mei de nieuwe hostingoplossing Pharmacy as a Service in gebruik genomen. De organisatie, die bestaat uit drie regionale GGZ-centra voor volwassenen en ouderen, een centrum voor kinderen en jeugd en vier specialistische centra, heeft gekozen voor de hostingoplossing van CSC om elektronisch medicatie voor te schrijven. De eerste groep artsen en psychiaters van Rivierduinen is medio mei getraind en schrijft vanaf nu elektronisch voor in de gehoste EVS (Elektronisch Voorschrijf Systeem)-oplossing van CSC. Door met de Centrasys/EVS-oplossing van CSC te gaan werken, behaalt Rivierduinen een aantal voordelen die de medicatieveiligheid verhogen. Zo kan er automatische medicatiebewaking plaatsvinden terwijl de arts of psychiater voorschrijft. Denk daarbij niet alleen aan automatische controle op doseringen, maar bijvoorbeeld ook aan allergieën van de patiënt, aan contra-indicaties bij een specifiek geneesmiddel en aan controle op interacties tussen geneesmiddelen. Daarnaast verhoogt de EVSoplossing de medicatieveiligheid doordat elektronische recepten eenduidig zijn vergeleken met handgeschreven en gefaxte recepten. En doordat artsen en psychiaters elektronisch voorschrijven, komen alle medicijnen gestructureerd in één elektronisch dossier te staan en dat betekent een volledig en actueel medicatieoverzicht op ieder moment. CSC s Pharmacy as a Service geeft Rivierduinen bovendien flexibiliteit in het gebruik van de Centrasys/EVS-oplossing: door te kiezen voor de hostingvariant is de oplossing altijd beschikbaar voor zo veel gebruikers als nodig is. De ggzorganisatie kan met Pharmacy as a Service rekenen op een vakkundig beheerde, goedbeveiligde omgeving. CSC HEALTHCARE MAGAZINE / Nummer

20 INTERVIEW MaaS-primeur aan de Maas Op drie luttele kilometers van Roermond, in het stroomgebied van de Maas die door het glooiende Limburgse landschap meandert, ligt het dorpje Melick. Toy Broen en René Theunissen voeren hier al jaren praktijk Toy 22 jaar en René 14 jaar. Hun huisartsenpraktijk heeft de primeur voor Nederland: als eerste zijn zij aan de slag gegaan met MicroHIS X as a Service (MaaS). Een verslag uit Melick. 20 René Theunissen maakt op een vrije woensdagmiddag tijd voor het interview, tussen twee afspraken in het Laurentius Ziekenhuis Roermond door. Hij komt net terug van een sessie met huisartsen uit de Roerstreek en longartsen in het kader van ketenzorg voor COPD, en heeft er aan het einde van de middag weer een werkgroepvergadering over het samenvoegen van de huisartsenpost en de SEH.