Vrije Universiteit Amsterdam IT Audit opleiding Scriptie BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg? Naam: drs. G.J.A.M.J. (Gert-Jan) Gerrits RA Adres: Boreel de Mauregnaultstraat 16 5361 HG Grave Telefoonnummer: 0486-475895 06-29084292 E Mail: gert-jan.gerrits@nl.ey.com Studentnummer: 9981285 Teamnummer: 814 Werkgever: Ernst&Young EDP Audit, Apeldoorn Telefoonnummer: 055-5291400 Fax: 055-5291350 Bedrijfscoach Ernst &Young: Begeleider VU: ing. D.R. (Dennis) Utermark RE C.(Cees) Coumou
BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?
INHOUDSOPGAVE 1 Aanleiding tot het onderzoek en onderzoeksvraag 1 1.1 Aanleiding van het onderzoek 1 1.2 De onderzoeksvraag en aanvullende deelvragen 2 1.3 Opbouw van het rapport 3 2 Functioneel /(applicatie-)beheer 4 2.1 Inleiding 4 2.2 Wat is functioneel applicatiebeheer? 4 2.3 Wat is de relatie met technisch beheer? 6 2.4 Afsluiting 8 3 Inventarisatie van oorzaken en formulering van eisen 9 3.1 Inleiding 9 3.2 Inventarisatie van oorzaken 10 3.3 Formulering van eisen 11 3.4 Afsluiting 12 4 BiSL/ASL 13 4.1 Inleiding 13 4.2 Wat is BiSL/ASL? 13 4.3 Voldoet BiSL/ASL aan de eisen die daaraan gesteld worden vanuit de gezondheidszorg? 21 4.4 Welke aanpassingen zijn noodzakelijk om BiSL/ASL toepasbaar te maken? 25 4.5 Op welk detailniveau dient BiSL/ASL toegepast/ ingericht te worden binnen een organisatie? 25 4.6 Afsluiting 26 5 Beantwoording centrale onderzoeksvraag en wat nu? 28 5.1 Inleiding 28 5.2 Beantwoording centrale onderzoeksvraag 28 5.3 Wat nu? 28 6 Verklarende woordenlijst 30 7 Literatuurlijst 33
1 Aanleiding tot het onderzoek en onderzoeksvraag 1.1 Aanleiding van het onderzoek De gezondheidszorgbranche is een branche die constant in ontwikkeling is. Gezondheidszorginstellingen, en in het bijzonder ziekenhuizen, worden niet langer gefinancierd op basis van verrichtingen en de bijbehorende parameters (het zogenaamde FB Budget 1 ) maar op basis van werkelijke productie uitgedrukt in DBC s (Diagnose Behandeling Combinaties) 1. Deze veranderingen hebben niet alleen een grote invloed op de financieringwijze van een ziekenhuis, maar hebben vaak ook een grote impact op de automatiseringsomgeving van deze ziekenhuizen. Ziekenhuizen beschikken veelal over een IT infrastructuur die in sommige gevallen meer dan vijfentwintig jaar oud is. Met de komst van DBC s zijn hier IT componenten aan toegevoegd zoals een validatiemodule 1, om het koppelen van verrichtingen en het valideren 1 van DBC s mogelijk te maken. Een gemiddeld ziekenhuis beschikt al snel over vijfentwintig tot vijftig verschillende applicaties, dito applicatie beheerders en dito verschillende beheerprocedures. Dit heeft vaak een onoverzichtelijk geheel tot gevolg. Naast de gewijzigde financieringsstructuur krijgen ziekenhuizen ook te maken met de invoering van een EPD 1. Een duidelijke standaard voor de inrichting en beveiligingseisen van een dergelijk dossier ontbreken echter nog. Met de steeds verdere uitbaning van papierendossiers lopen ziekenhuizen grote risico s om niet te voldoen aan de vereisten zoals neergelegd in NEN7510 1, de WBP 1 en de WGBO 1. Tevens is het voor de interne beheersing en natuurlijk ook de jaarlijkse accountantscontrole een must om te kunnen steunen op geautomatiseerde controles. Mijn klantenpakket bestaat voor ongeveer 75% uit ziekenhuizen, verpleeg- en verzorgingshuizen en softwareleveranciers in de zorg. Mijn ervaring daar leert dat veel gezondheidszorginstellingen momenteel werken aan een geleidelijke invoering van NEN 7510, informatiebeveiliging in de zorg. Echter, goede en eenduidige IT-beheerprocedures ontbreken nog steeds. Hierdoor komen wij bij gezondheidszorginstellingen meer dan eens tot de conclusie dat de procedures voor functioneel applicatiebeheer een onvoldoende basis bieden om op te steunen tijdens de accountantscontrole. De vraag is of dit het gevolg is van de veelheid aan applicaties, de veelheid aan verschillende procedures, of juist het ontbreken van procedures, de veelheid aan functioneel applicatiebeheerders, de onduidelijkheid van de inhoud van de werkzaamheden van een functioneel applicatiebeheerder of een combinatie van deze factoren? Een framework dat zich meer richt op de bedrijfsprocessen en minder op de aanwezige applicaties zou uitkomst kunnen bieden om te komen tot goede en eenduidige ITbeheerprocedures. BiSL/ASL is een voorbeeld van zo n framework dat zich wat meer richt op de 1 Gebruikte begrippen zijn toegelicht in de verklarende woordenlijst in hoofdstuk 6. 1
onderkende processen en wat minder op de afzonderlijke applicaties, zoals dit binnen de gezondheidszorg momenteel nog erg gebruikelijk is. Maar uitsluitend de invoering van een theoretisch model, zonder adequate inrichting en toetsend kader, kan toch ook niet de oplossing zijn voor de jarenlange problemen? 1.2 De onderzoeksvraag en aanvullende deelvragen Op basis van de in 1.1 uiteengezette aanleiding van het onderzoek is de volgende onderzoeksvraag geformuleerd: Is het BiSL/ASL model een praktisch toepasbaar model voor het functioneel applicatiebeheer (FAB) binnen de Nederlandse gezondheidszorg? Als afstudeeropdracht aan de postdoctorale IT Audit van de Vrije Universiteit van Amsterdam wil ik bovengenoemde onderzoeksvraag nader uitwerken. Om een antwoord te kunnen geven op de geformuleerde onderzoeksvraag dienen de volgende deelvragen beantwoord te worden: 1 Wat is functioneel applicatiebeheer? 2 Wat zijn de oorzaken waarom de procedures voor functioneel applicatiebeheer voor de Nederlandse gezondheidszorginstellingen als onvoldoende wordt ervaren? 3 Wat zijn de eisen waaraan een goede procedure voor functioneel applicatiebeheer voor de Nederlandse gezondheidszorginstellingen moet voldoen? 4 Wat is BiSL/ASL? 5 Voldoet BiSL/ ASL aan de eisen vanuit de Nederlandse gezondheidszorg en welke aanpassingen zijn noodzakelijk om BiSL/ASL toepasbaar te maken voor de gezondheidszorg? 6 Op welk detailniveau dient BiSL/ASL ingezet te worden om toepasbaar te zijn voor Nederlandse Gezondheidszorginstelling? Voor het schrijven van mijn scriptie ben ik uitgegaan van de situatie bij de Nederlandse ziekenhuizen. Hierdoor blijven de uitkomsten van mijn onderzoek breed toepasbaar voor instellingen binnen de gehele gezondheidszorg in Nederland. De reden hiervoor is dat ziekenhuizen binnen de Nederlandse gezondheidszorginstellingen kunnen worden aangemerkt als het meest complex. Dit geldt zowel voor de organisatiestructuur, financieringstructuur als voor de automatiseringsomgeving. 2
1.3 Opbouw van het rapport Deze afstudeerscriptie is opgebouwd aan de hand van de bovengenoemde deelvragen. In hoofdstuk twee is een antwoord gegeven op deelvraag een. Deelvraag twee en drie zijn in hoofdstuk drie nader uitgewerkt. In hoofdstuk vier heb ik deelvraag drie tot en met zes nader uitgewerkt. Het laatste hoofdstuk, hoofdstuk vijf, wordt vervolgens afgesloten met beantwoording van de deelvragen en de centrale onderzoeksvraag van deze afstudeerscriptie. 3
2 Functioneel /(applicatie-)beheer 2.1 Inleiding De naamgeving van dit hoofdstuk met de diverse leestekens ziet er wat vreemd uit en is misschien wel wat verwarrend. Deze verwarrende indruk krijg ik ook wel eens bij instellingen waar wij onze werkzaamheden uitvoeren. Begrippen als functioneel applicatiebeheer, functioneel beheer en applicatiebeheer zijn te extraheren uit deze hoofdstukomschrijving. In paragraaf 2.2 zal ik deze begrippen nader uitwerken en omschrijven wat ik in het kader van deze scriptie versta onder deze begrippen. In paragraaf 2.3 wordt een aanvullend begrip geïntroduceerd, technisch beheer. In deze paragraaf wordt tevens de relatie met de begrippen functioneel beheer en applicatiebeheer verder uitgewerkt. In paragraaf 2.4 zal ik dit hoofdstuk afsluiten door te omschrijven wat ik onder de begrippen functioneel beheer en applicatiebeheer zal verstaan voor het vervolg van mijn scriptie. 2.2 Wat is functioneel applicatiebeheer? Functioneel applicatiebeheer is een containerbegrip. Stel een willekeurige organisatie of een willekeurige afdeling binnen een organisatie de vraag wat functioneel applicatiebeheer inhoudt en steeds weer wordt een andere invulling gegeven aan dit begrip. Opvallend hierbij is dat in veel gevallen de nadruk ligt op de IT-organisatie en de bijbehorende procedures, zoals ITIL 1. De inbreng vanuit de gebruikersorganisatie krijgt hierbij vaak nog onvoldoende aandacht. Zowel de invalshoek vanuit de IT-organisatie én de invalshoek vanuit de gebruikersorganisatie zijn van belang voor de inrichting van een adequate IT beheeromgeving. Wellicht kan zelfs gesteld worden dat de invalshoek vanuit de gebruikersorganisatie van net iets groter belang is. De reden hiervoor is dat IT een ondersteunende discipline is. Hierdoor is de IT organisatie in sterke mate afhankelijk van de perceptie van de dienstverlening door de primaire disciplines (de gebruikersorganisatie) binnen een organisatie. De perceptie van deze gebruikersorganisatie bepaalt in grote mate of de werking van een IT-organisatie 2 succesvol is of niet. Door deze perceptie is het in sommige gevallen van ondergeschikt belang of een IT-organisatie technisch subliem werk aflevert. Indien de werkzaamheden door de gebruikersorganisatie als onvoldoende ervaren en gewaardeerd worden omdat ze onvoldoende aansluiten bij de wensen 2 Het succes van de IT-organisatie is bij uitstek een van de dissatisfiers uit de motivatietheorieën van Maslow en Herzberg. De IT-organisatie zal nooit te horen krijgen dat zaken goed geregeld zijn, enkel zal men te horen krijgen indien de zaken niet goed geregeld zijn. 4
van de gebruikersorganisatie zal het eindoordeel onvoldoende zijn, ongeacht de technische kwaliteit van de werkzaamheden van de IT-organisatie 3. Het is van belang zowel de invalshoek van de gebruikersorganisatie als de invalshoek van de ITorganisatie een plaats te geven binnen het geheel. De gebruikersorganisatie en de IT-organisatie vormen samen de IT-beheerorganisatie. Looijen heeft het begrip functioneel applicatiebeheer gesplitst in functioneel beheer en applicatiebeheer. Functioneel beheer is het namens de gebruikersorganisatie instandhouden van de functionaliteit van de informatiesystemen en infrastructuur. In de praktijk ziet men deze functie uitgebreid worden naar de complete aansturing van de informatievoorziening in een organisatie. Primaire aandachtsgebieden 4 : informatievoorziening én de gebruikersorganisatie. Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 2005 conform de definitie van Looijen Om het begrip functioneel beheer nader te verduidelijken heb ik een aantal taken weergegeven die onder functioneel beheer kunnen vallen: Gebruikersbeheer (aanmaken van gebruikers en toekennen van rechten); Helpdeskfuncties (afhandelen service requests en incidenten); Specificeren maatwerk en specificeren van eisen; Uitvoeren van impactanalyses wijzigingen; Uitvoeren en begeleiden van testen; Ontwikkelen van rapportages middels rapportagetools; Opleiden eindgebruikers; Opleiden keyusers; Opstellen/ beheer van procesbeschrijvingen/ werkinstructies; Verzorgen van periode afsluitingen. 3 De wet van Maijer stelt; E=f K, A. Het betekent: Effect (E) van een activiteit is het product (*) van Kwaliteit (K) en Acceptatie (A). Dus, hoe goed een product/dienst inhoudelijk ook is (K), het gaat erom dat de activiteit wordt geaccepteerd door de gebruikers (A). Wanneer de acceptatie nihil is (A=0) is het effect nihil (E=0). Dus verspilde moeite. 4 Aanvulling door auteur van deze scriptie. 5
Applicatiebeheer is het namens de IT organisatie instandhouden van de applicatieprogrammatuur/ informatiesystemen en de gegevensbanken. Primaire aandachtsgebieden 5 : informatiesystemen, applicaties én de IT organisatie. Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 200 conform de definitie van Looijen 5 Om het begrip applicatiebeheer ook nader te verduidelijken heb ik een aantal voorbeelden opgenomen van taken die kunnen vallen onder applicatiebeheer: Doorvoeren van wijzigingen in applicaties; Invoeren van nieuwe toepassingen; Oplossen van incidenten; Uitvoeren en begeleiden van testwerkzaamheden; Opstellen/ beheer van beheerprocedures/ werkinstructies. De taken van applicatiebeheer zijn in tegenstelling tot functioneel beheer wat technischer van aard. Het is niet van direct belang dat beide functies expliciet benoemd zijn binnen een organisatie. Zoals reeds aangegeven, is het van belang dat aan de inhoud van beide aspecten in voldoende mate aandacht wordt besteed binnen de IT beheerorganisatie van een instelling. Voor het vervolg van mijn scriptie zal ik geen gebruik meer maken van het containerbegrip functioneel applicatiebeheer, maar beide begrippen functioneel beheer en applicatiebeheer afzonderlijk benoemen conform de definitie die ik hiervoor heb genoemd. 2.3 Wat is de relatie met technisch beheer? Alvorens de relatie tussen functioneel beheer, applicatiebeheer en technisch beheer verder uit te werken, is het van belang te weten wat onder technisch beheer wordt verstaan. Evenals bij functioneel applicatiebeheer het geval is, speelt ook bij technisch beheer de spraakverwarring een grote rol. Binnen veel ziekenhuizen zijn bijvoorbeeld technische applicatiebeheerders aangesteld. Indien uitsluitend wordt gekeken naar de inhoud van deze functies, wordt duidelijk dat dit vaak meer weg heeft van het technische gedeelte van het applicatiebeheer 6 zoals beschreven is in 2.2. Looijen 7 geeft aan dat bij middelgrote en grote organisaties drie verschillende soorten aandachtsgebieden zijn te onderkennen. Naast functioneel beheer en applicatiebeheer is daar het derde aandachtsgebied: technisch beheer. 5 Aanvulling door auteur van deze scriptie. 6 Dit zijn de functionarissen die versies van programmatuur in en uit productie nemen etc. 7 Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 2005 6
Technisch beheer is het namens de IT organisatie instandhouden van de operationele werking van de informatiesystemen. (bestaande uit apparatuur, programmatuur en gegevensverzamelingen) Primaire aandachtsgebieden 8 : infrastructuur én de IT organisatie. Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 2005 De relatie tussen technisch beheer, functioneel beheer en applicatiebeheer is middels het volgende figuur weer te geven: Figuur 1. De vormen van beheer volgens Looijen. Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 2005 Het overzicht zoals dit door Looijen is ontwikkeld toont de wisselwerking tussen de verschillende aandachtsgebieden. Punten die haar oorsprong vinden in functioneel beheer hebben veelal ook een invloed op applicatiebeheer en technisch beheer. Hetzelfde geldt echter ook voor punten die haar oorsprong hebben binnen applicatiebeheer of technisch beheer. Tevens geldt dat de taken, bevoegdheden en verantwoordelijkheden deels binnen de gebruikersorganisatie en deels binnen de IT- organisatie liggen. Een voorbeeld hiervan is het doorvoeren van wijzigingen in applicaties. Deze wijzingen zullen veelal geïnitieerd worden vanuit de gebruikersorganisatie, doorgevoerd worden door de IT-organisatie en vervolgens geaccepteerd worden door de gebruikersorganisatie. De cirkel is bewust niet exact door midden gedeeld. De reden hiervoor is dat het overgrote deel van de werkzaamheden van de IT beheersorganisatie nog altijd binnen de IT organisatie ligt. Functioneel beheer is echter wel een belangrijke schakel die niet vergeten mag worden. Tevens zijn lang niet altijd verschillende aandachtsgebieden expliciet terug te vinden in de 8 Aanvulling door auteur van deze scriptie. 7
organisatieschema s van een organisatie. Hiervoor grijp ik terug op een gezegde dat ik in de tijd dat ik werkzaam was als accountant heb geleerd: substance over form 9. Zolang er voldoende aandacht is voor alle aandachtsgebieden binnen de IT beheerorganisatie, zijn er voldoende waarborgen dat de IT beheerorganisatie adequaat kan werken. Het is dan van minder belang dat ieder aandachtgebied afzonderlijk benoemd is in een organisatie of organigram. 2.4 Afsluiting In dit hoofdstuk is aangegeven wat verstaan wordt onder functioneel beheer, applicatiebeheer en technisch beheer en hoe deze begrippen te relateren zijn aan elkaar. Hiermee is een antwoord gegeven op de eerste deelvraag; wat is functioneel applicatiebeheer? Voor het vervolg van mijn scriptie en de beantwoording van onderzoeksvraag zal ik gebruikmaken van de begrippen zoals deze in dit hoofdstuk zijn omschreven. Voornamelijk het begrip functioneel beheer en applicatiebeheer, redenerend vanuit het gebruikersperspectief, zal een rode draad door mijn scriptie zijn. Technisch beheer is echter wel een belangrijke schakel, zowel aan de inputzijde als aan de outputzijde van functioneel beheer en applicatiebeheer. In het vervolg van mijn scriptie zal ik nog een aantal maal, echter met een belangrijke nadruk op het gebruikersperspectief, terugkomen op technisch beheer. 9 Situatie waarin de werkelijkheid (inhoud) mag prevaleren boven de formele situatie. 8
3 Inventarisatie van oorzaken en formulering van eisen 3.1 Inleiding Een gemiddeld ziekenhuis heeft een groot aantal applicaties in haar beheer. Om een heel globaal overzicht te geven van deze applicaties heb ik een overzicht opgesteld waarin ik een zeer beperkt aantal van de applicaties toon die gebruikt worden voor de registratie, validatie en declaratie van DBC s. DBC Registratie applicatie Verpleegdagen applicatie COV Controle Correctie functionaliteit Tarieventabel tbv facturering Patientregistratie applicatie Laboratorium applicatie Validatiemodule Facturatiemodule Subadministratie debiteuren Rontgenapplicatie Tarieventabel tbv bepaling OHW Datawarehouse Financiële administratie OK Planningsapplicatie Apotheekapplicatie Onderhanden werk bepaling Uitvallijsten Etc, Etc Figuur 2. Een globale overview van de systemen voor de registratie, validatie en declaratie van DBC s Bron: Scriptie Gerrits 2008 Naast deze primaire applicaties beschikt een ziekenhuis ook nog over een groot aantal ondersteunende applicaties, zoals een HRM-toepassing, een logistieke applicatie, kantoorautomatisering, etc. Het beheersingsvraagstuk dat dit met zich meebrengt is enorm omdat 9
deze veelheid aan applicaties in principe niet geïntegreerd zijn, er sprake is van vele interfaces en er sprake is van veel beheer en onderhoud. In dit hoofdstuk staat het beantwoorden van de tweede en derde deelvraag centraal. In 3.2 is beschreven wat mogelijke oorzaken zijn voor het onvoldoende functioneren van functioneel beheer en applicatiebeheer binnen een gezondheidszorginstelling. Vervolgens wordt aan de hand van deze oorzaken een aantal eisen geformuleerd waaraan een goede procedure voor functioneel beheer en applicatiebeheer dient te voldoen, dit is beschreven in 3.3. In 3.4 zal ik dit hoofdstuk kort afsluiten. 3.2 Inventarisatie van oorzaken De redenen voor het ontstaan van de problemen op het gebied van functioneel beheer en applicatiebeheer vinden haar oorsprong in de situatie waar de Nederlandse gezondheidszorg vandaan komt en de situatie waarin men zich momenteel bevindt. Het is een lange tijd rustig geweest betreffende wijzigende wet- en regelgeving en daarmee met de wijzigingen in de automatiseringsomgeving. Met de komst van DBC s is deze rustige situatie gestopt en is het geheel in een stroomversnelling gekomen. Veel organisaties waren te laat en daarmee zijn veel organisaties op een razende trein gestapt. Zij hebben onvoldoende tijd gekregen, maar ook onvoldoende tijd genomen 10, om haar organisatie daarop aan te passen. Hierdoor is men steeds verder achterop geraakt. De gevolgen hiervan zijn dagelijks te merken De afgelopen zeven jaren heb ik (accountants)controlewerkzaamheden uitgevoerd bij diverse gezondheidszorginstellingen. Op basis van deze ervaringen, aangevuld met gesprekken die ik heb gehad met diverse functionarissen van enkele ziekenhuizen 11, ben ik tot een inventarisatie van verdere oorzaken gekomen. De oorzaken die, in mijn ogen, een adequate IT beheerorganisatie in de weg staan zijn opgenomen in het overzicht. 1 Cultuur: binnen de gezondheidszorg heerst op dit moment nog steeds een bepaalde mate van aversie tegen automatisering. Daarnaast is er tegenstand tegen het beperken van rechten binnen applicaties en het doen van aanvragen middels standaard aanvraagformulieren en procedures. 2 Geen uniformiteit in inrichting en uitvoering van IT beheerprocedures: van oudsher kenmerken ziekenhuizen zich door een sterk decentraal karakter. De diverse specialismen 10 Ik ben van mening dat het beide kanten op werkt. Instellingen hebben te weinig prioriteit aan de implicaties van nieuwe wet- en regelgeving gegeven en daarmee de komst van DBC s drastisch onderschat. Tevens heb ik bij meerdere van mijn klanten gehoord dat zij verwachtten dat DBC s (en daarmee de problemen) wel over zouden waaien. 11 Tijdens mijn onderzoek heb ik bewust in grote mate met controllers en hoofden van financiële afdelingen gesproken om daarmee een goed beeld te krijgen van het perspectief van de gebruikersorganisatie. 10
binnen het ziekenhuis kennen een grote mate van autonomie. De inrichting en uitvoering van IT beheerprocedures geschiedt binnen iedere afdeling anders. 3 Onderhoud van procedures heeft onvoldoende plaatsgevonden: de gezondheidszorg is jarenlang een branche geweest met zeer weinig veranderingen. De IT organisatie en IT infrastructuur waren decennia lang stabiel. Met de komst van de gewijzigde financieringsystematiek door middel van DBC s is de gehele organisatie (inclusief de IT beheerorganisatie) continue in beweging. Procedures zijn de afgelopen jaren niet actueel gehouden. 4 Ontbreken van goede functieomschrijvingen: het toekennen van rechten binnen applicaties zou moeten geschieden op basis van een functieomschrijving. Het ontbreekt echter aan goede functieomschrijvingen op basis waarvan rechten binnen een applicatie toegewezen zouden kunnen worden. 5 Ontbreken van adequate tooling: een groot aantal van de ziekenhuizen beschikt niet over adequate tooling voor haar IT-beheer. 6 Onvoldoende centrale coördinatie en ketenmanagement: om processen en de keten van processen (bijvoorbeeld registratie, validatie en declaratie van DBC s) adequaat te kunnen beheersen, dient er sprake te zijn van een centrale coördinatie en ketenmanagement 12. 7 Specifieke vereisten vanuit wet- en regelgeving: gezondheidszorginstellingen dienen aan een groot aantal specifieke vereisten vanuit wet- en regelgeving te voldoen. Een aantal van deze vereisten hebben een directe invloed op de IT beheeromgeving van een organisatie. Zo heeft een gezondheidszorginstelling ondermeer te maken met vereisten uit: NEN7510: informatiebeveiliging in de zorg, dit is de zorgvariant van de Code of Practise (ISO/ IEC 17799) WGBO: Wet op de Geneeskundige Behandelovereenkomst. WBP: Wet bescherming persoonsgegevens 8 Continue stroom van wijzigingen uit hoofde van wet- en regelgeving: de financieringsystematiek van de gezondheidszorg is de afgelopen jaren continue onderhevig aan wijzigingen. Een aantal maal per jaar worden er wijzigingen uitgebracht, soms zelfs met terugwerkende kracht. Deze wijzigen hebben vaak een belangrijke invloed op de IT beheerorganisatie van een instelling. 9 Ontbreken van toetsing op naleving van procedures: het opstellen van procedures binnen een organisatie is een verstandige keuze. Hierbij is echter wel een belangrijke randvoorwaarde te onderkennen en dat is het toezien op de naleving van deze procedures. Hiermee kan een organisatie leren van haar fouten. Hier ontbreekt het vaak nog aan in de huidige situatie. 3.3 Formulering van eisen In de voorgaande paragraaf zijn de oorzaken geformuleerd die hebben bijgedragen aan de huidige situatie binnen de Nederlandse gezondheidszorg: een niet-adequate IT beheersomgeving. 12 Wijzigingen in de ene applicatie kunnen gevolgen hebben op de andere applicatie. Het is van belang dat de gehele keten adequaat bewaakt en beheerst wordt. 11
Onderstaand heb ik een aantal eisen geformuleerd waar een adequaat beheersingskader voor functioneel beheer en applicatiebeheer aan zou moeten voldoen: eenvoudig, laagdrempelig zijn; ondersteunend zijn en geen doel op zich; passen bij de cultuur van de organisatie; uniformiteit bevorderen; eenvoudig te onderhouden zijn; centrale coördinatie en ketenmanagement bevorderen; ondersteunen in het voldoen aan vigerende wet- en regelgeving; flexibel zijn; toezien op naleving eenvoudig mogelijk maken. De eisen die ik geformuleerd heb zouden ook kunnen worden toegepast binnen iedere ander organisatie die niet te maken heeft met gezondheidszorg. Er zijn echter wel enkele specifieke aandachtspunten, zoals de vereisten vanuit wet- en regelgeving en de cultuur die momenteel nog heerst binnen gezondheidszorginstellingen. Ik ben blij met de uitkomst van mijn onderzoek. Zeer regelmatig wordt mij door de IT afdeling van het ziekenhuis verteld dat het niet mogelijk is om haar IT beheerorganisatie adequaat in te richten. De reden hiervoor zijn de specifieke problemen waarmee men kampt. Deze uitkomst toont aan dat de gezondheidszorg niet zo specifiek is als men soms zelf stelt en dat er niet heel andere eisen gesteld worden aan een IT beheersorganisatie binnen een gezondheidszorginstelling. Tevens sterkt deze uitkomst mij in het gevoel dat het ook voor een gezondheidzorginstelling mogelijk is om te beschikken over een adequate IT beheerorganisatie. Belangrijke randvoorwaarde hierbij blijft de inrichting, deze moet passend zijn bij de wensen van de (gebruikers-)organisatie. In 4.3 zal ik toetsen of BiSL/ASL voldoet aan de eisen zoals deze geformuleerd zijn in deze paragraaf. 3.4 Afsluiting In dit hoofdstuk zijn de oorzaken weergegeven die leiden tot de problemen waarmee gezondheidszorginstellingen kampen op het gebied van functioneel beheer en applicatiebeheer. Op basis van deze onderkende oorzaken zijn de eisen voor een adequaat beheersingkader op het gebied van functioneel beheer en applicatiebeheer geformuleerd. In het volgende hoofdstuk zal ik toetsen of BiSL/ASL voorziet in deze eisen. 12
4 BiSL/ASL 4.1 Inleiding In dit hoofdstuk staan deelvragen vier tot en met zes centraal. Deze deelvragen betroffen: 4. Wat is BiSL/ASL? 5. Voldoet BiSL/ ASL aan de eisen vanuit de Nederlandse gezondheidszorg en welke aanpassingen zijn noodzakelijk om BiSL/ASL toepasbaar te maken voor de gezondheidszorg? 6. Op welk detailniveau dient BiSL/ASL ingezet te worden om toepasbaar te zijn voor Nederlandse Gezondheidszorginstelling? In paragraaf 4.2 zal ik een antwoord geven op deelvraag vier. In de paragrafen 4.3 en 4.4 zal ik een antwoord geven op de vijfde deelvraag van mijn scriptie. Paragraaf 4.5 zal in het teken staan van deelvraag zes waarna ik in paragraaf 4.6 dit hoofdstuk over BiSL/ ASL zal afsluiten. 4.2 Wat is BiSL/ASL? In deze paragraaf zal ik het ontstaan, de inhoud van BiSL en ASL beschrijven en de relatie die deze beide begrippen met elkaar hebben. 4.2.1 Het ontstaan Een aantal decennia geleden is door het RCC (Rijks Computercentum), een van de rechtsvoorgangers van het huidige Getronics PinkRoccade, op basis van ITIL 13 een beheermethodiek ontwikkeld gericht op beheer en onderhoud van applicaties. Deze methodiek biedt de mogelijkheid om beheer- en onderhoudsprocessen op gestructureerde en inzichtelijke wijze in te richten. Dit model werd toen nog R2C (Regie, Control en Continuïteit) genoemd en is, na de nodige aanpassingen, op dit moment beter bekend als het ASL framework. Met de komst van een framework dat gericht was op applicatiebeheer werd de noodzaak voor een framework voor functioneel beheer ook groter. Doel hiervan was de opdrachtgeverprocessen en de ondersteuningsprocessen binnen de gebruikersorganisatie verder te structureren. Op basis van het R2C model (nu ASL), ITIL en beheermodel van Looijen 14 is vervolgens het huidige BiSL framework ontstaan. Dit model is evenals het ASL model binnen de gelederen van Getronics 13 Doordat het framework is gebaseerd op ITIL sluit het ook zeer makkelijk aan op de reeds aanwezige IT beheerprocedures. Binnen veel organisaties zijn deze immers gebaseerd op ITIL. 14 Looijen beschrijft functioneel beheer, applicatiebeheer en technisch beheer in het boek drievoudig model voor beheer.,. Bron: Een methodiek voor Functioneel Beheer van C.D. Deurloo, M.E.E. Meijer-Veldman, R. van der Pols (Pink Roccade) 6 november 1997 IT beheer jaarboek 1998. 13
PinkRoccade ontwikkeld. In februari 2005 is het BiSL model als eerste en enige publieke standaard voor functioneel beheer en informatiemanagement geïntroduceerd aan het publieke domein. Zowel het BiSL als het ASL model behoren tot het zogenoemde publieke domein. Dit houdt in dat de eigenaar 15 (Stichting ASL BiSL Foundation) het BiSL en ASL gedachtegoed vrij voor iedereen beschikbaar stelt en dat het vrij gebruikt mag worden. De frameworks zijn van én voor iedereen. De stichting fungeert als een centraal aanspreekpunt om nieuwe ideeën in te brengen, kennis te delen, de kwaliteit en consistentie te bewaken van BiSL en ASL publicaties en uitingen. 4.2.2 De begrippen In deze paragraaf worden de begrippen BiSL en ASL nader uitgewerkt. In 2.3 heb ik de relatie tussen technisch beheer, functioneel beheer en applicatiebeheer weergeven. Om duidelijk te maken wat de samenhang is tussen BiSL en ASL heb ik aan het figuur van 2.3 de begrippen BiSL en ASL toegevoegd. Figuur 3. De vormen van beheer volgens Looijen aangevuld met BiSL en ASL Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 2005 Zoals uit deze rest van deze paragraaf zal blijken hebben BiSL en ASL met name op het gebied van sturende processen hele duidelijke raakvlakken. Dit is bewust op deze wijze vormgegeven omdat uit de praktijk bleek dat met name de communicatie en sturing tussen de gebruikersorganisatie en applicatiebeheer moeizaam verliep en vaak een oorzaak was voor fouten. 15 Oorspronkelijk ontwikkeld binnen Getronics PinkRoccade worden BiSL en ASL nu beheerd door de stichting ASL BiSL Foundation. 14
De theoretische definitie van BiSL is als volgt: BiSL slaat een brug tussen ICT en bedrijfsproces, en tussen functioneel beheerders en informatiemanagers. Het BiSL-procesmodel geeft inzicht in alle hoofdprocessen van hun werkveld, en de relaties tussen de processen. Het biedt aanknopingspunten voor verbetering van de processen, onder meer via 'best practises' en het verschaft een uniforme terminologie. Kernpunten 16 : functioneel beheer en informatiemanagement, de gebruikersorganisatie staat centraal, uniformiteit. BiSL zit heel duidelijk aan de gebruikerskant van de IT-Beheersorganisatie. Bron www.aslbislfoundation.org geraadpleegd 5 januari 2008 Om deze definitie van BiSL duidelijker te maken heb ik de volgende praktijk casus opgenomen: Praktijkvoorbeeld BiSL: Ziekenhuis X beschikt over een groot aantal applicaties voor de registratie, validatie en declaratie van DBC s. De rechtenstructuur in deze applicaties is niet aan elkaar gekoppeld zoals dit het geval is bij veel ERP applicaties. Rechten dienen in iedere applicatie afzonderlijk toegekend te worden en zijn per applicatie ondergebracht bij een eigen functioneel beheerder. Iedere beheerder heef een eigen werkwijze. Mevrouw J. treedt in dienst bij Ziekenhuis X in de functie van verpleegster IC. Vervolgens dient zij rechten te krijgen binnen de volgende applicaties: Mirador voor het registreren en raadplegen van DBC gegevens en het EPD; Locati voor het registreren en raadplegen van de verpleegdagen en ligdagen; Glims voor het registreren en raadplegen laboratorium uitslagen; Aposys voor het doen van aanvragen voor medicatie; Etc. Oude situatie De medewerker krijgt rechten tot het netwerk en toegang tot de bovengenoemde applicaties. Vervolgens wordt aan de functioneel beheerders gecommuniceerd dat zij mevrouw J. rechten moeten toekennen. De communicatie geschiedt middels e-mail, telefonisch of schriftelijk, eigenlijk net zoals het op dat moment uitkomt. De rechten worden toegekend op basis van het eigen inzicht van de functioneel beheerder. De functioneel beheerder geeft mevrouw J. dezelfde rechten als meneer G. hij heeft dezelfde functie en daar ontvangen we nooit klachten over. Niemand heeft zich ooit afgevraagd of meneer G. wel bij zijn functie passende toegangrechten heeft ontvangen. 16 Aanvulling door auteur van deze scriptie. 15
Situatie in geval van BiSL Bij de indiensttreding van mevrouw J wordt door haar leidinggevende een aanvraag gedaan. Hiervoor mag uitsluitend een standaardformulier voor een bepaald proces worden gebruikt. In dit geval het aanvraagformulier zorgfunctie. Hier moet de functie van mevrouw J. aangegeven worden. Dit formulier wordt beoordeeld door het serviceteam Zorg indien er voor mevrouw J. afwijkende rechten worden gevraagd. Op basis van dit geautoriseerde formulier krijgt mevrouw rechten J toegang tot het netwerk en systemen waar zij volgens haar functieprofiel toegang toe mag hebben. De beheerder tekent het formulier af en stuurt het aan de functioneel beheerder Mirador. Op basis van haar functie krijgt mevrouw J. een standaard profiel toegewezen in Mirador. Vervolgens gaat het formulier naar de volgende functioneel beheerder. De laatste functioneel beheerder stuurt het formulier terug naar het serviceteam alwaar beoordeeld wordt of het formulier geheel is afgewerkt conform de procedure. Vervolgens wordt het formulier gearchiveerd. Indien het formulier niet tijdig terug wordt ontvangen neemt het serviceteam Zorg actie. Om de gestructureerde werkwijze van BiSL mogelijk te maken, is BiSL opgebouwd uit zeven clusters. Deze clusters zijn onder te verdelen naar uitvoerende, sturende of richtinggevende clusters. Voor BiSL geeft zijn dit de volgende clusters: Uitvoerende clusters 1 cluster gebruiksbeheer: Gebruiksbeheer heeft als doel dat de informatievoorziening juist gebruikt wordt. In de praktijk richt dit zich voornamelijk op het aanmaken, wijzigingen en ontnemen van rechten voor gebruikers; 2 cluster wijzigingenbeheer en transitie: De operationele verbindende processen binnen BiSL vormen de schakel tussen het gebruik van de informatievoorziening en de verandering of vernieuwing van de informatievoorziening. Ze vormen dus de koppeling tussen gebruiksbeheer en functionaliteitenbeheer ; 3 cluster functionaliteitenbeheer: Dit cluster van processen houdt zich bezig met het vormgeven van de veranderingen aan de informatievoorziening en het zorgdragen dat deze veranderingen goed worden ontworpen en ingevuld. Dit cluster heeft een heel duidelijk raakvlak met ASL en vertegenwoordigt de functionele kant van het doorvoeren van wijzigingen in applicaties; Sturende clusters 4 cluster sturende processen: De sturende processen zijn de ontmoetingspunten van de operationele en de richtinggevende processen. De volgende sturende processen zijn benoemd in BiSL: planning en control, kostenmanagement, behoefte management en service level management; Richtinggevende clusters 5 cluster vormgeven en sturen informatievoorziening: Dit cluster behandelt het vormgeven en sturen van de informatievoorziening. Een belangrijk aandachtspunt hierbij is de betrouwbaarheid van de informatievoorziening en de mate waarin de beschikbare informatievoorziening past bij de behoeften vanuit de organisatie; 6 cluster coördinatie informatievoorziening: Dit cluster behandelt de afstemming tussen inhoud en proces. Binnen het domein van functioneel beheer zijn geregeld veel partijen 16
actief die moeten samenwerken op het terrein van de informatievoorziening. Deels zijn deze partijen intern, deels extern. Daarnaast is er een informatievoorziening met een opdeling in diverse lagen. Op deze terreinen moet een beleid gemaakt worden en dit beleid moet samenhangend zijn; 7 cluster toekomst van de informatievoorziening: Het cluster opstellen informatiestrategie richt zich, op het ontwikkelen van een visie op de toekomst van de informatievoorziening van de organisatie. Het doel van dit cluster is om ervoor te zorgen dat de informatievoorziening van de organisatie goed aansluit en in de toekomst blijft aansluiten op de bedrijfsprocessen in de organisatie. De theoretische definitie van ASL is als volgt: ASL biedt een framework voor application management dat gestoeld is op de best practises van professionals met jarenlange ervaring. Het model is zodanig ontwikkeld dat het de optimale ICTondersteuning van bedrijfsprocessen garandeert. Zo kan de organisatie zich concentreren op haar core-business. ASL beperkt zich tot het geven van richtlijnen voor het inrichten van processen en laat de inrichting van de beheerorganisatie geheel vrij. Hierdoor is het framework algemeen toepasbaar binnen de ICT-dienstverlening, onafhankelijk van de maat van uw organisatie. Kernpunten 17 : Applicatiebeheer, IT service organisatie, uniformiteit. ASL zit heel duidelijk aan de IT-organisatiekant van de IT-beheersorganisatie. Bron www.aslbislfoundation.org geraadpleegd 5 januari 2008 Om de definitie van ASL te verduidelijken maak ik ook weer gebruik van een praktijkvoorbeeld: Praktijkvoorbeeld ASL 18 : Ziekenhuis X beschikt over een groot aantal applicaties voor de registratie, validatie en declaratie van DBC s. Dit zijn de ondermeer de volgende applicaties: Mirador voor het registreren en raadplegen van DBC gegevens en het EPD; Locati voor het registreren en raadplegen van de verpleegdagen en ligdagen; Glims voor het registreren en raadplegen laboratorium uitslagen; Aposys voor het doen van aanvragen voor medicatie; Etc. Met een frequentie van bijna wekelijks worden er releasenotes voor wijzigingen in programmatuur ontvangen, bijvoorbeeld door gewijzigde wet- en regelgeving in diverse applicaties. 17 Aanvulling door auteur van deze scriptie. 18 Ik chargeer een beetje in dit voorbeeld, de kern is echter wel gebaseerd op de waarheid. Bij klanten maak ik vaak enkele van deze voorbeelden mee, ik heb deze in dit voorbeeld gecombineerd. 17