Voorwoord. NOREA ZekeREzorg

Transcriptie

1 Voorwoord De invoering van de Diagnose-Behandeling-Combinaties (DBC s) -per 1 januari is een grote verandering voor het Nederlandse Ziekenhuiswezen. De DBC-systematiek is ontworpen door het Ministerie van Volksgezondheid, Welzijn en Sport (VWS). In de DBC-systematiek wordt een directe relatie gelegd tussen geleverde zorgproducten/diensten en de inkomsten. Daarnaast moet het systeem gaan leiden tot meer transparantie in de zorg en wordt het mogelijk om geleidelijk een vorm van marktwerking te introduceren. Door het College voor Tarieven in de Gezondheidszorg/Zorgautoriteit in Oprichting (CTG/Zaio) zijn door middel van de Kaderregeling AO/IC (Administratieve Organisatie en Interne Controle) eisen gesteld aan de wijze waarop de DBC-processen rond registratie, validatie en facturering worden ingericht. ICT speelt een cruciale rol bij het implementeren van de Kaderregeling. De NOREA kennisgroep ICT en Zorg heeft, onder auspiciën van het ministerie van VWS en in nauwe samenwerking met vertegenwoordigers van zorgaanbieders, zorgverzekeraars en ICT leveranciers een nadere invulling gegeven aan de ICT aspecten binnen deze kaderregeling. NOREA, de beroepsorganisatie van IT-audiors, concretiseert met dit beoordelingskader de kwaliteitseisen die nodig zijn voor een betrouwbare geautomatiseerde verwerking van DBC gegevens. Dit beoordelingskader is een nadere invulling van de automatiseringsaspecten die binnen de Kaderregeling AO/IC zijn gesteld aan de zorgaanbieders. Dit beoordelingskader vormt hiermee een essentiële grondslag voor het opzetten en handhaven van een effectief systeem van interne beheersing. De beheersmaatregelen hebben betrekking op aspecten registratie, validatie en declaratie alsmede het aanleveren van de gegevens aan het DBC Informatiesysteem (DIS). Dit beoordelingskader ondersteunt de zorgaanbieders bij het specificeren van eenduidige eisen voor de geautomatiseerde gegevensverwerking met betrekking tot DBC s. Een goed beheerde en beveiligde geautomatiseerde gegevensverwerking van DBC s vormt impliciet een belangrijk onderdeel van de bestuursverklaring die bestuurders van ziekenhuizen dienen af te geven. In dit beoordelingskader is op eenduidige wijze beschreven welke geautomatiseerde beheersmaatregelen in de software aanwezig dienen te zijn. Het stelt hiermee expliciet eisen aan de functionaliteit van de zorgapplicaties, die door softwareleveranciers aan zorgaanbieders beschikbaar worden gesteld. Hierdoor wordt voor zorgapplicaties een minimum controlepotentieel gewaarborgd. NOREA ZekeREzorg 1

2 Indien in dat verband behoefte bestaat aan een onafhankelijk oordeel, dan kan dit beoordelingskader als basis voor certificering worden gehanteerd. De overige gebruikers van dit beoorelingskader zijn de zorgverzekeraars, toezichthouders en IT-Auditors. Amsterdam, 10 juni 2005 NOREA Kennisgroep ICT en Zorg drs. H.E. Bakker (Projectleider DBC-Onderhoud), drs. ir. H.J. van Bon RE RA (KPMG), M.W. de Breed RE CISA (Deloitte), drs. W.J.A. Olthof (NOREA, ambtelijk-secretaris), ir. M.C. Roos (PricewaterhouseCoopers), ing. D.R. Utermark RE (Ernst & Young) 2

3 Inhoudsopgave 1 Inleiding 5 2 Uitgangspunten bij het beoordelingskader 7 3 Objectomschrijving en afbakening van het beoordelingskader 9 4 Doelgroepen en doelstellingen van het beoordelingskader 11 5 Beschrijving van de geautomatiseerde verwerking van DBC gegevens Inleiding Registratie Validatie Declaratie 15 6 Basisnormen en omgevingsfactoren 17 7 Relatie Bestuursverklaring en de Accountantsverklaring 19 8 Kwaliteitsaspecten 21 9 Het beoordelingskader Bron- en literatuurverwijzingen 47 NOREA ZekeREzorg 3

4 4

5 1 Inleiding In vervolg op het in 1994 uitgebrachte advies van de commissie Biesheuvel inzake de modernisering van de Curatieve Zorg, hebben de NVZ (vereniging van ziekenhuizen), de Orde van Medisch Specialisten, Zorgverzekeraars Nederland en het Ministerie van VWS het initiatief genomen om een bekostigingssysteem voor zorgaanbieders tot stand te brengen dat gebaseerd wordt op geleverde prestaties en hiermee samenhangende kosten. Deze prestaties worden vastgelegd in eenduidig gedefinieerde zorgproducten, Diagnose Behandeling Combinaties (DBC s). Een Diagnose Behandeling Combinatie typeert de medisch specialistische zorg volgens een methodiek waarbij de zorgvraag (diagnose) wordt gekoppeld aan de daartoe geleverde zorgprestaties (begeleiding, diagnostiek en behandeling). Het middelenbeslag van het ziekenhuis en de werklast van de medisch specialist worden aan deze producten toegerekend. De Raad van Bestuur verklaart door middel van een bestuursverklaring dat de DBC s die zijn geproduceerd en gedeclareerd juist, volledig en tijdig geregistreerd en verwerkt zijn. Met andere woorden in een zogenaamde bestuursverklaring wordt aangegeven dat de procedures van de administratieve organisatie en interne controle correct en volledig worden toegepast. De kwaliteit van de AO/IC wordt ook beoordeeld door de accountant. Het is van belang in de systemen die gezamenlijk de informatievoorziening van de zorgaanbieder bepalen, zoveel mogelijk toetsbare controle mogelijkheden en zekerheden in te bouwen om het operationaliseren van de bestuursverklaring te ondersteunen. In dit document wordt een beoordelingskader beschreven voor de DBC informatieverwerking, in het bijzonder voor de verwerking van de gegevens door de validatiemodule. NOREA ZekeREzorg 5

6 6

7 2 Uitgangspunten bij het beoordelingskader De bestuursverklaring geeft aan dat de DBC s die zijn geproduceerd en gedeclareerd juist, volledig en tijdig geregistreerd en verwerkt zijn. De kaderregeling AO/IC heeft op hoofdlijnen geschetst aan welke voorwaarden de Administratieve Organisatie en de Interne Controle van een zorgaanbieder dienen te voldoen. Dit beoordelingskader is een nadere invulling van de automatiseringsaspecten die binnen de Kaderregeling AO/IC zijn gesteld aan de zorgaanbieders. Interne controlemaatregelen dienen omwille van efficiency- en effectiviteitsredenen zoveel mogelijk geautomatiseerd te worden uitgevoerd, zodat de handmatige controle-activiteiten van de zorgaanbieders in dat verband tot een minimum kunnen worden beperkt. Indien een zorgaanbieder voldoet aan dit beoordelingskader kunnen, in overleg met de zorgverzekeraar, nader te bepalen controles door zorgverzekeraar worden beperkt. Dit beoordelingskader kan door IT-auditors als toetsingskader voor certificering worden gehanteerd. Ten aanzien van de verwerking van persoonsgegevens gelden de wettelijke kaders zoals vastgelegd in de Wbp en/of sectorspecieke wetgeving. Deze wettelijke kaders vallen buiten de scope van dit beoordelingskader. NOREA ZekeREzorg 7

8 8

9 3 Objectomschrijving en afbakening van het beoordelingskader Het beoordelingskader heeft betrekking op de volgende drie deelprocessen: (a) DBC registratie (c) DBC validatie (d) DBC declaratie (a) DBC registratie Het openen en vastleggen van de DBC-gegevens. Met behulp van DBC-registratiesoftware en verschillende stamtabellen worden de DBC-gegevens ingevoerd (onder andere zorgtype, diagnose en behandeling). Binnen het registratieproces worden ook de individuele verrichtingen vastgelegd. (b) DBC validatie Het automatisch (met behulp van DBC-validatiesoftware) controleren van de juistheid van de ingevoerde DBC-gegevens door deze met gegevens van de uitgevoerde verrichtingen te vergelijken. De gevalideerde DBC s worden aan de declaratiemodule aangeleverd. Tevens worden de gevalideerde DBC;s aangeleverd aan het DBC Informatie Systeem (DIS). (c) DBC declaratie Het declareren van de gevalideerde DBC s aan zorgverzekeraars met de juiste tarieven en codering. Deze deelprocessen zijn schematisch weergegeven in figuur 3-1. Figuur 3-1: Een controlemodel met repressieve beheersmaatregelen Huidige situatie Registratie Validatie Declaratie Stamgegevens NOREA ZekeREzorg 9

10 De drie betrouwbaarheid van de gegevensverwerking binnen de drie deelprocessen is volledig afhankelijk van de kwaliteit van de onderliggende stamgegevens. De kwaliteit van deze stamgegevens wordt in sterke mate bepaald door de wijze waarop deze worden beheerd. Om die reden vormt het beheer van stamgegevens een onderdeel van dit beoordelingskader. Het onderhandelingsproces van zorgaanbieder en zorgverzekeraar, met als doel de tariefvaststelling, valt echter buiten de scope van het beoordelingskader. 10

11 4 Doelgroepen en doelstellingen van het beoordelingskader Het beoordelingskader heeft de volgende doelgroepen en bijbehorende doelstellingen: Zorgaanbieders NOREA concretiseert met dit beoordelingskader de kwaliteitseisen die nodig zijn voor een betrouwbare geautomatiseerde verwerking van DBC-gegevens bij de zorgaanbieder. Dit beoordelingskader is geen vervanging van de Kaderregeling AO/IC maar geeft een nadere invulling van de automatiseringsaspecten die binnen de Kaderregeling zijn gesteld aan de zorgaanbieders. Dit beoordelingskader vormt hiermee een essentiële grondslag voor het opzetten en handhaven van een effectief systeem van interne beheersing. Dit beoordelingskader ondersteunt de zorgaanbieders bij het specificeren van eenduidige eisen voor de geautomatiseerde gegevensverwerking met betrekking tot DBC s. Een goed beheerde en beveiligde geautomatiseerde gegevensverwerking van DBC s vormt impliciet een belangrijk onderdeel van de bestuursverklaring die bestuurders van ziekenhuizen dienen af te geven. Het beoordelingskader vormt een leidraad voor zorgaanbieders in de gezamenlijke communicatie met softwareleveranciers over de inrichting van de zorgapplicaties. Een dergelijke standaardisatie zou kunnen leiden tot een reductie van de ontwikkelkosten. IT-Auditors Het beoordelingskader is een nuttig document voor de IT-auditors die betrokken zijn bij de beoordeling en advisering over DBC s bij zorgaanbieders, al dan niet in het kader controlewerkzaamheden. Deze controlemaatregelen worden veelal beoordeeld door de in het externe controleteam van de zorgaanbieder opgenomen IT-auditor. De beoordeling kan ook plaatsvinden door de interne IT-auditor van de zorgaanbieder als basis voor de review door de (externe) accountant Zorgverzekeraars Het beoordelingskader draagt bij aan het voor de zorgverzekeraars inzichtelijk maken van de mate van interne beheersing op ICT-gebied bij de zorgaanbieders. De doelstelling van dit beoordelingskader is om de validatie en andere repressieve beheersmaatregelen waar mogelijk eerder in het proces van totstandkoming van de DBC geautomatiseerd te laten uitvoeren (zie figuur 4-1). Hierdoor kan de efficiëntie en effectiviteit van de interne controle rond de DBC worden vergroot en kunnen arbeidsintensieve handmatige controlewerkzaamheden voorkomend uit uitvallijsten in de validatiemodule worden vermeden. NOREA ZekeREzorg 11

12 Figuur 4-1: Een controlemodel met preventieve beheersmaatregelen Gewenste situatie Registratie Validatie Declaratie Stamgegevens Softwareleveranciers Door middel van deze publicatie wordt inzicht gegeven in de eisen/wensen welke gesteld worden aan een betrouwbaar systeem en is daarmee van waarde voor de leveranciers van software. Door middel van dit beoordelingskader is daarnaast een set van onafhankelijke en eenduidige criteria verkregen welke als basis kan worden gebruikt om te komen tot certificering van de software door daartoe gekwalficeerde ITauditors (RE's). 12

13 5 Beschrijving van de geautomatiseerde verwerking van DBC gegevens 5.1 Inleiding Het DBC proces bestaat uit zoals hierboven schematisch weergegeven uit drie subprocessen. Deze processen zijn in de volgende paragrafen in meer detail beschreven. In de hierna volgende paragrafen wordt dit DBC proces toegelicht aan de hand van de voorbeeld DBC Registratie In eerste instantie moet een nieuwe DBC worden geopend. Dit gebeurt op het moment dat de patiënt voor het eerste consult bij de specialist (in dit geval de gastro-enteroloog) komt. In de DBC registratiesoftware voert hij de volgende gegevens in: Specialisme: 18 (gastro enterologie) Zorgtype: 11 (reguliere zorg) Diagnose: nog niet bekend waarschijnlijk 401 (gastritus diversen) Behandeling: nog niet bekend De DBC registratiesoftware maakt gebruik van stamgegevens die in tabellen zijn opgeslagen. Het betreft hier de typeringslijsten (zie paragraaf 2.1) en een diagnose conversie tabel. Veel specialisten diagnosticeren met behulp van de wereldwijde ICD-9 codering. Deze code moet worden omgezet in de DBC diagnosecode. Hiervoor is een conversietabel noodzakelijk. De specialist moet daarnaast ook nog het eerste consult (=verrichting) registreren. Dit gebeurt in een ZISmodule voor afspraken. De specialist stelt voor om een gastroscopie te maken en een bloedonderzoek te doen teneinde zijn diagnose zeker te kunnen stellen en deze samen met de behandeling te kunnen invoeren in de DBC registratie. Op de afdeling gastro-enterologie wordt de patiënt poliklinisch onderzocht. Deze verrichting wordt door een medewerker van de afdeling vastgelegd in de ZIS-module voor gastroscopie. Bij het laboratorium wordt het bloed van de patiënt afgenomen en onderzocht. Ook hier wordt deze verrichting ingevoerd in een ZIS-module (voor laboratorium). Op basis van de resultaten van de gastroscopie en het bloedonderzoek komt de specialist tot de conclusie dat zijn voorlopige diagnose (401) juist was. Hij voert deze diagnosecode samen met de behandeling (103) in de DBC registratiesoftware in. De DBC codering is nu compleet. NOREA ZekeREzorg 13

14 Vervolgens wordt de patiënt opgenomen, het betreft immers een DBC met klinische periode, en worden de verpleegdagen door het opnamebureau geregistreerd in de daarvoor bestemde ZIS-module. Als de patiënt is geopereerd dan wordt ook de operatie als verrichting ingevoerd in de betreffende ZIS-module. Na ontslag van de patiënt uit het ziekenhuis komt deze nog één keer terug voor een controle afspraak. Deze afspraak wordt uiteindelijk ook weer ingevoerd in een ZIS-module. De specialist besluit na de controle afspraak dat de patiënt genezen is verklaard. De DBC kan nu worden afgesloten en worden geautoriseerd door de specialist. Het registratieproces is hiermee teneinde gekomen. De volgende registraties hebben plaatsgevonden: 1 DBC ( ) 9 verrichtingen namelijk: 2 consulten 1 operatie 3 verpleegdagen 1 operatie 1 bloedonderzoek 1 gastroscopie 5.3 Validatie De Validatie wordt uitgevoerd door de DBC validatiesoftware. Dit is een batchproces dat zonder menselijke tussenkomst controleert of de behandeling die de specialist heeft ingevoerd overeenstemt met wat in werkelijkheid is uitgevoerd. In ons voorbeeld is de behandeling (103) een reguliere behandeling met klinische periode. Wij gaan er in dit voorbeeld vanuit dat een reguliere behandeling ook een operatie bevat. De validatiesoftware kan alleen worden uitgevoerd met afgesloten en geautoriseerde DBC s. Het validatieproces bestaat uit 3 stappen: 1. In de eerste stap worden op basis van patiëntnummer en de datum de verrichtingen gekoppeld aan de DBC. Indien de ziekenhuizen hebben besloten om verrichtingen te registreren op basis van de CBV coderingssystematiek dan dienen de verrichtingen eerst geconverteerd te worden in de noodzakelijke CTG codering. 2. Op basis van de verrichtingen wordt een zorgprofiel samengesteld. Dit is de set met uitgevoerde verrichtingen die in de ZIS-modules zijn ingevoerd. Dit vindt plaats aan de hand van een stamtabel (verrichtingen / zorgprofielen). Tevens wordt hier bepaald welke verrichtingen typerend zijn voor deze DBC. In dit geval de operatie en de verpleegdagen. Op basis van een andere stamtabel (zorgprofielen / behandel-as) wordt bepaald wat de werkelijke behandel-as (=behandeling) is geweest. In ons voorbeeld 14

15 is de door de specialist ingevulde behandeling (103) gelijk aan de door de validatiesoftware afgeleide behandel-as. Indien de validatiesoftware nu geen verpleegdagen had gevonden maar wel een operatie dan was de afgeleide behandeling 101 geweest: reguliere behandeling poliklinisch 3. De definitieve DBC code is nu gereed voor declaratie. Echter voordat de declaratie kan worden opgemaakt wordt de DBC ingedeeld in een DBC productgroep (dit met behulp van de stamtabel DBC / DBC productgroep). Deze stap is ingevoerd omdat er duizenden segment A DBC s zijn waarvoor het ondoenlijk is om hier adequaat prijsbeheer op uit te oefenen. Er is voor gekozen om segment A DBC s die ongeveer gelijk zijn en ongeveer dezelfde prijs hebben, te groeperen in een DBC Productgroep. De productgroepen zijn door het CTG voorzien van een prijs. 5.4 Declaratie De DBC s kunnen nu worden gedeclareerd. Hiervoor zijn weer stamtabellen noodzakelijk. Namelijk de prijstabellen voor segment A en segment B. Hieraan zijn ook de declaratiecodes gekoppeld. Voor de segment A DBC s zijn er vaste prijzen. Voor de segment B DBC s zijn er prijzen per zorgverzekeraar en een zogenoemd passantentarief. Dit passantentarief (per segment B ) is voor patiënten waarvan de zorgverzekeraar geen contract heeft afgesloten met het betreffende ziekenhuis. Er is een aantal verrichtingen die niet via een DBC mogen worden gedeclareerd. Deze verrichtingen dienen apart als verrichting te worden gedeclareerd. Dit betreft onder andere de onderzoeken die in opdracht van de huisarts worden uitgevoerd (1e lijnsverwijzingen), de klasseverpleging, verkeerde bed dagen en IC-dagen. NOREA ZekeREzorg 15

16 16

17 6 Basisnormen en omgevingsfactoren Als beroepsorganisatie stelt de NOREA eisen aan de IT-auditor die op grond van zijn beroepskwalificatie een oordeel over een object geeft. Deze zijn omschreven in het Reglement Gedrags- en Beroepsregels Register EDP-auditors (GBRE). Dit bevat bepalingen over de vereiste integriteit, deskundigheid, vertrouwelijkheid, kwaliteit, onpartijdigheid en onafhankelijkheid. Daarnaast zijn enkele aanvullende richtlijnen voor de beroepsuitoefening vastgelegd met betrekking tot opdrachtverwerving en aanvaarding, dossiervroming en beheer en rapportage. Het beoordelingskader dat wordt beschreven in deze handreiking is gebaseerd op een proces- en risicoanalyse en volgt daarmee niet helemaal het Raamwerk voor ontwikkeling van normensetelsels en standaarden (NOREA Studierapport 3). Wel is in het hele beoordelingskader de relatie met de door de NOREA onderscheiden kwaliteitsaspecten aangegeven. Het beoordelingskader is gedefinieerd op een zodanig niveau dat sprake is van behoorlijk IT-gebruik. Op dat niveau wordt verondersteld dat ook de afdoende maatregelen zijn getroffen inzake: Logische toegangsbeveiliging (uitsluitend door daartoe geautoriseerde specialisten of gemachtigden); Wijzigingsbeheer (ten aanzien van DBC-software en stamtabellen); Continuïteit (back-up en evt. uitwijk). Voor deze algemene computercontroles gelden algemeen aanvaarde normen. Naast de NOREA-richtlijnen en toetsingnormen hoort de IT-auditor zich op grond van de deskundigheidsvereiste ook rekenschap te geven van (sector-)specifieke beoordelingskaders en wet- of regelgeving. In dat perspectief zijn bij het opstellen van dit beoordelingskader ook de uitgangspunten meegewogen op grond van Nederlandse Norm voor Informatiebeveiliging in de Zorg (NEN 7510). NOREA ZekeREzorg 17

18 18

19 7 Relatie Bestuursverklaring en de Accountantsverklaring Elk jaar dient het bestuur van een ziekenhuis te verklaren dat de DBC s die zijn geproduceerd en gedeclareerd juist, volledig en tijdig geregistreerd en verwerkt zijn. Hiertoe is een standaard verklaring opgesteld. Deze verklaring voor het jaar T dient uiterlijk op 15 januari van het jaar T+1 te worden verstrekt. De positieve verklaring luidt als volgt: Wij bevestigen onze verantwoordelijkheid voor het systeem als geheel. Wij hebben ons vergewist van de werking van dit systeem. Op grond daarvan verklaren wij dat voor zover wij dat redelijkerwijze hebben kunnen constateren- de interne beheersing van ziekenhuis ABC gedurende het gehele kalenderjaar 200X voldaan heeft aan alle relevante eisen van de beleidsregel Kaderregeling Administratieve Organisatie en Interne Controle inzake DBC registratie en facturering. De registraties van de DBC s en de facturering voldoet derhalve aan alle daaraan redelijkerwijze te stellen eisen. Uitgangspunt is dat de Raad van Bestuur ten behoeve van de te verstrekken bestuursverklaring een deskundige en onafhankelijke rapportage wenst en dient te hebben over het functioneren van de bedrijfsvoering DBC s. Een verbijzonderde, onafhankelijke interne controlefunctie is hiertoe nodig. Idealiter is de interne controlefunctie direct onder de Raad van Bestuur gepositioneerd als verbijzonderde IC afdeling. Als minimumeisen worden echter gedefinieerd een zelfstandig werkende, rechtsreeks aan accountant en Raad van Bestuur rapporterende functionaris buiten de lijn, met een controleprogramma en vastleggingssystematiek die in nauwe samenwerking met de externe accountant tot stand zijn gekomen. Om te voorkomen dat een ziekenhuis ten onrechte een positieve bestuursverklaring afgeeft, is het noodzakelijk dat de accountant een accountantsverklaring afgeeft bij de bestuursverklaring. De accountantscontrole is gericht op het geven van een oordeel over de bestuursverklaring van de Raad van Bestuur van het ziekenhuis. De rapportage is gericht aan de Raad van Bestuur van het ziekenhuis en afgegeven ten behoeve van het CTG en de (Nederlandse) ziektekostenzorgverzekeraars. De accountant dient zijn controle zodanig in te richten dat een redelijke mate van zekerheid bereikt wordt. Voor de controletolerantie dient aangesloten te worden bij hetgeen hierover is voorgeschreven in het controleprotocol rechtmatigheidonderzoek ziekenfonds 2004 van het CVZ. Dit betekent dat de Administratieve Organisatie en Interne Controle waarover de Raad van Bestuur in de bestuursverklaring verantwoording aflegt en die een correcte declaratiestroom moet waarborgen, moet zijn ingericht en met een zodanig zekerheidsniveau moet zijn gecontroleerd, dat met 95% betrouwbaarheid gesteld moet kunnen worden dat niet meer dan 1% van het totale jaarlijkse factuurbedrag onjuist gefactureerd is. NOREA ZekeREzorg 19

20 20

21 8 Kwaliteitsaspecten Op grond van de Kaderregeling AO/IC wordt een juiste, volledige en tijdige vastlegging en facturering vereist. Dit kwaliteitsaspect wordt door IT-auditors ook wel aangeduid als betrouwbaarheid of integriteit. Daarnaast worden in het beoordelingskader eisen gesteld aan de exclusiviteit en controleerbaarheid. Hieronder zijn deze drie kwaliteitsaspecten kort beschreven: Integriteit: de mate waarin het object (gegevens en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid. Exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van de IT-processen; Controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd 1. 1 Definities kwaliteitsaspecten ontleend aan IT-auditing aangeduid (NOREA-geschrift 1) NOREA ZekeREzorg 21

22 22

23 9 Het beoordelingskader Door de kennisgroep zijn op systematische wijze aan de hand van de DBC-deelprocessen de risico s geïnventariseerd en gerelateerd aan de kwaliteitsaspecten. In het beoordelingskader worden de feitelijke normen uitgewerkt in termen van beheersmaatregelen. Deze maatregelen worden gekoppeld aan de benoemde kwaliteitsaspecten. Daarbij wordt nog aangeduid of de betreffende beheersmaatregel automatisch (d.w.z. als onderdeel van de applicatie) dan wel handmatig wordt uitgevoerd. Ten aanzien van het gebruik van het beoordelingskader als toetsingskader geldt als uitgangspunt dat gemotiveerde afwijkingen zijn toegestaan NOREA ZekeREzorg 23

24 Beoordelingskader ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel 100 Registreren Patientgegevens Norm: Patiëntgegevens (NAW- en verzekeringsgegevens) dienen juist, volledig en tijdig te worden geregistreerd Patiëntgegevens (NAWen verzekeringsgegevens) worden onvolledig of niet geregistreerd 101 Voor Patiëntgegevens (NAW- en verzekeringsgegevens) dienen verplichte velden te worden gedefinieerd in de inrichting van de applicatie 102 De applicatie bevat een signaleringslijst voor de controle van onvolledige patiëntgegevens (NAW- en verzekeringsgegevens) 103 De zorgaanbieder beschikt over een procedure betreffende periodieke analyse van de signaleringslijst "Onvolledige patientgegevens" en verricht de periodieke analyse conform de procedure Organisatorisch Patiëntgegevens (NAWen verzekeringsgegevens) worden dubbel geregistreerd 104 De applicatie bevat invoercontroles op de invoer van dubbele patiëntgegevens (NAWen verzekeringsgegevens) 105 De applicatie bevat een signaleringslijst voor de controle van dubbel ingevoerde patiëntgegevens (NAW- en verzekeringsgegevens) 106 De applicatie bevat een koppelfunctionaliteit om dubbel ingevoerde patiëntgegevens te ontdubbelen 107 De zorgaanbieder beschikt over een procedure betreffende periodieke analyse van de signaleringslijst "Dubbel ingevoerde patientgegevens" en verricht de periodieke analyse conform de procedure Organisatorisch 24

25 ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel Patiëntgegevens (NAWen verzekeringsgegevens) worden onjuist geregistreerd 108 De applicatie bevat functionaliteit waarmee verificatie van verzekeringsgevens (geen facturering zonder positief resultaat) kan worden uitgevoerd. Deze verificatie kan op meerdere momenten worden uitgevoerd en met terugwerkende kracht (in geval van wijziging van zorgverzekeraar tijdens het moment van registratie) 109 De applicatie voert validatie uit van de NAW-gegevens aan de hand van een postcodetabel Patiëntgegevens (NAWen verzekeringsgegevens) worden niet tijdig geregistreerd Tijdigheid 110 Voor uitzonderingen dient het mogelijk te zijn dat voorlopige registratie van Patiëntgegevens (NAW- en verzekeringsgegevens) plaatsvindt (onvolledig) Tijdigheid 111 De applicatie bevat een signaleringslijst van voorlopige registraties Tijdigheid 112 De zorgaanbieder beschikt over een procedure inzake periodieke analyse signaleringslijst "voorlopige registraties" en verricht de periodieke analyse conform de procedure Organisatorisch De exclusiviteit van mutaties op patientgegevens is niet gewaarborgd Exclusiviteit 113 functionaliteit voor het afschermen van patientgegevens tegen onbevoegd inzien en muteren De exclusiviteit van mutaties op patientgegevens is niet controleerbaar Controleerbaarheid 114 functionaliteit opdat mutaties in patientgegevens met gebruikersnaam, datum tijdstip en oude en nieuwe waarde worden vastgelegd in een audit trail NOREA ZekeREzorg 25

26 ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel De patiënt is niet degene voor wie hij/zij zich uitgeeft Exclusiviteit 115 Authenticatie van de patiënt aan de hand van rijbewijs of paspoort (Burger Service Nummer (BSN)). Organisatorisch 200 Openen DBC Norm: Het openen van DBC s dient juist, volledig, tijdig, controleerbaar en geautoriseerd plaats te vinden DBC wordt niet of niet tijdig geopend Tijdigheid 201 "Bij de invoer van een verrichting controleert de applicatie op de aanwezigheid van een open DBC voor de patient. De applicatie opent automatisch een DBC indien de verrichting niet tot de volgende categoriën behoort: - eerstelijns verrichtingen; - derde geldstroomverrichtingen; - ondersteunende producten; - verrichtingen waarvoor geen DBC behoeft te worden aangemaakt. " DBC wordt toegekend aan de verkeerde patient 202 De applicatie dient te voorzien in functionaliteit betreffende het extra bevestigen van de relatie patient en DBC op scherm. 203 een controle op invoer van secr. ondersteuning middels autorisatie door specialist bij openen DBC (vier ogenprincipe) DBC begindatum wordt onjuist geregistreerd 204 functionaliteit voor de registratie van de begindatum van DBC's waarbij begindatum = datum van vandaag. In een nachtelijke batch dient een controle te worden uitgevoerd op records waarbij openingsdatum DBC afwijkt van 26

27 ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel de datum eerste verrichting. Bij afwijking wordt de openingsdatum gelijk gesteld aan de datum eerste verrichting 205 De applicatie bevat een signaleringslijst van DBC's waarbij begindatum ongelijk is aan datum eerste verrichting 206 De zorgaanbieder beschikt over een procedure voor het periodieke analyseren van de signaleringslijst "DBC's met afwijkende begindatum" en verricht de periodieke analyse conform de procedure Organisatorisch DBC wordt dubbel geopend 207 De applicatie dient te voorzien in functionaliteit betreffende visuele controle van openstaande DBC's op scherm en het extra bevestigen van gegevens bij het aanmaken van een nieuwe DBC DBC-gegevens worden ongeautoriseerd geregistreerd Exclusiviteit 208 De applicatie dient te voorzien in functionaliteit voor het afschermen van de invoer van DBC-gegevens 209 functionaliteit waarbij een eenmaal geopende DBC slechts door de betreffende specialist (of andere daartoe geautoriseerde medewerker) kan worden bewerkt Ten onrechte wordt geen parallelle DBC geopend. 210 een signaleringslijst van DBC's waarvan het zorgprofiel afwijkt van het gemiddelde zorgprofiel van die DBC. NOREA ZekeREzorg 27

28 ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel 211 De zorgaanbieder beschikt over een procedure voor het periodiek analyseren van de signaleringslijst betreffende DBC's waarvan het zorgprofiel afwijkt van het gemiddelde zorgprofiel en voert deze conform de procedure uit DBC's worden geopend voor een specialisme waarvoor de zorgaanbieder geen vergunning heeft. Exclusiviteit 212 De applicaties dient te voorzien in functionaliteit waarbij alleen DBC's kunnen worden geopend voor specialismen waarvoor de zorgaanbieder een vergunning heeft. DBC's worden geopend zonder dat een machtiging is verkregen., 213 De applicatie dient te voorzien in een signaleringslijst van DBC's die zonder vereiste machtiging zijn geopend. Hierin dient specificatie van rode en oranje DBC's te zijn opgenomen., 214 De zorgaanbieder beschikt over een procedure voor het periodiek analyseren van de signaleringslijst die zonder vereiste machtiging zijn geopend en voert deze conform de procedure uit. Organisatorisch DBC wordt onterecht geopend 215 De applicatie dient te voorzien in functionaliteit betreffende visuele controle van DBC-gegevens op het scherm en het extra bevestigen van gegevens bij het aanmaken van een nieuwe DBC DBC wordt onterecht als vervolg-dbc getypeerd 216 het automatisch aanmaken van Vervolg-DBC's (alleen door het systeem) op basis van het bereiken van een grenswaarde voor daartoe aangewezen DBC's (30 dagen of 365 dagen) en de 28