Bijeenkomst voor auditoren Margon Tuinstra (programmamanager VIPP GGZ) Theo de Breed (NOREA) 2 september 2019
Agenda Introductie VIPP GGZ-regeling Auditproces: Theo de Breed
VIPP Doelen Patiënt & Informatie Patiënt & Medicatie Patiënt & ehealth A1 B1 C1 Inzage van dossier (MedMij/13 zibs) Digitaal aanbieden van medicatie-voorschrift Inzet ehealth A2 B2 C2 Koplopers voucher (>C2) Inzage van dossier (MedMij/29 zibs) Medicatieverificatie en actueel medicatieoverzicht Gegevensuitwisseling ehealth en EPD Doorontwikkeling ehealth en gegevensuitwisseling
Waarom een audit? Toetsen van resultaatsverplichtingen Monitor: 4x gedurende de looptijd van de regeling Voor instellingen: hoe ver is onze realisatie van resultaatsverplichtingen? Voor programmateam VIPP GGZ: welke onderdelen behoeven extra ondersteuning? Voor ministerie van VWS: zijn de doelen haalbaar? Moet er worden bijgesteld?
Documenten als hulpmiddelen Documenten Type document Beschrijving Voor wie Waar te vinden Publicatie van de regeling in de Staatscourant Doelstellingen en resultaatsverplichtingen per module De Staatscourant is leidend Iedereen https://zoek.officielebeke ndmakingen.nl/stcrt- 2018-60877.html Handboek Eindtoets Beschrijft procedure van toetsing door auditoren Toetsingscriteria uit beoordelingsmatrix Instellingen Auditoren Bijlage Staatscourant Handreiking Eindtoets Te gebruiken tijdens audit Inclusief rapportageformat Toelichting op toetsingsprocedure testpatiënt Auditoren https://www.norea.nl/do wnload/?id=5923 Beoordelingsmatrix Opsplitsing van modules in normen Uitwerking van normen in toetsingscriteria Wordt gebruikt voor nulmeting en monitor, en is hiermee een hulpmiddel ter voorbereiding op de eindtoets voor instellingen (maar auditor kan afwijken van meetmethodes in beoordelingsmatrix Instellingen Auditoren Volgt https://www.norea.nl/aan dachtspunten-vippassessments FAQ op site van Norea Volgt https://www.norea.nl/aan dachtspunten-vippassessments
Tijdlijn
Accountantsverklaring Alleen voor instellingen die meer dan 5 ton subsidie hebben ontvangen de afgelopen 3 belastingjaren Aantonen dat de kosten iig het te ontvangen subsidiebedrag overschrijden Protocol wordt verwacht in september
Audit Hoe ziet het proces eruit? 2 september 2019
Even voorstellen Theo de Breed (RE CISA CISSP CEH) Mobiel: 06-21226468 Mail: theodebreed@riskknowledge.nl IT auditor / Lid werkgroep Zorg en ICT (NOREA)
Agenda Inleiding Wijzigingen t.o.v. VIPP 1 en VIPP 2 Doel handreiking Scope van de audit Stappen in het auditproces Normering Benodigde voorbereidingen Tips
Inleiding VIPP GGZ / VIPP 3 In het Besluit van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 23 oktober 2018, kenmerk 1427093-181524-CZ inzake verantwoording subsidieverstrekking aan GGZ instellingen staat vermeld: Doel regeling: stimuleren van gestandaardiseerde elektronische gegevensuitwisseling tussen patiënt en zorgaanbieder en verbeterde inzet van e-health bij ggz-instellingen. Verantwoording door: Rapportage van de eindtoets, opgesteld door een onafhankelijke IT-auditor (De IT-auditor dient ingeschreven te staan in het register van gekwalificeerde IT-auditors) En, indien de instelling meer dan 500.000 EUR subsidie krijgt over een periode van drie belastingjaren een financiële verantwoording en een controleverklaring door een accountant Subsidie is rechtmatig verstrekt wanneer aan de gestelde eisen (eindtoets) is voldaan. Het bedrag wordt vooruit betaald en dient terug te worden betaald als niet wordt voldaan. 11
Inleiding VIPP GGZ / VIPP 3 Geïntegreerde Niet geïntegreerde instellingen instellingen Omzet > 10 milj 5-10 milj 2-5 milj 0,5-2 milj Subsidiebedrag per module per categorie: 100% 75% 50% 25% 10% Module A1 300.000 225.000 150.000 75.000 30.000 Module A2 340.000 255.000 170.000 85.000 34.000 Module B1 50.000 37.500 25.000 12.500 5.000 Module B2 100.000 75.000 50.000 25.000 10.000 Module C1 250.000 187.500 125.000 62.500 25.000 Module C2 250.000 187.500 125.000 62.500 25.000 Instellingen kunnen maximaal subsidie voor drie van de zes modules aanvragen. Daarbij moet in geval van modules A en C gekozen worden voor A1 of A2 en C1 of C2. Dit komt omdat in deze modules verschillende ambitieniveaus zijn verwerkt, om zowel middenmoters als voorlopers een impuls te geven. Van module B kan wel zowel B1 als B2 aangevraagd worden. De instelling die mee wil doen is in ieder geval verplicht om in te schrijven op module A1 of A2 12
Wijzigingen t.o.v. VIPP1 en VIPP2 Module opzet is anders (A1, A2, B1, B2, C1, C2) Voor VIPP GGZ is 1 februari 2021 de datum e-health vereisten zijn als aparte modules opgenomen PGO is het uitgangspunt en niet het patiënten portaal Extra controleverklaring vanuit de accountant nodig (optioneel) Standaarden voor digitale toegankelijkheid (WCAG 2.0) Mogelijkheid tot het uitgaan van 1 rapport Standards and Regulations 13
Doel van handreiking Consistentie van onderzoek door IT-auditors (RE) zodat: Geen verschillen in diepgang en beoordelen van afwijkingen Vergelijkbare rapportages als resultaat Appels vergeleken worden met appels
Scope van de audit Voldoet de instelling aan de normen van de opgegeven modules? Toets op rechtmatigheid van de subsidieverstrekking Oordeel is eenvoudig: Voldoet of Voldoet niet!
Stappen in auditproces Contracteren IT-auditor door instelling voor alle modules Voorbereiden assessment door instelling Uitvoeren proefassessment door IT-auditor Uitvoeren eventuele herstel werkzaamheden door instelling Uitvoeren assessment door IT-auditor Uitbrengen rapport door IT-auditor Insturen rapport door instelling als verantwoording Op https://www.norea.nl/kennisgroep-ict-en-zorg staat een lijst met beschikbare auditoren
Normering Beoordelingsmatrix: toetsingscriteria zijn ja/nee vragen Cumulatief ontstaat een percentage per norm, en zodoende ook in een percentage per doelstelling Tolerantie is 90% (als bij 10 criteria aan 9 criteria of meer is voldaan)
Voorbeeld: normen en criteria module A1 A1 Score per norm: Gemiddelde van de normen A1.N1 A1.N2 A1.N3 A1.N4 A1.N5 A1.N1.TC1 A1.N2.TC1 A1.N3.TC1 A1.N4.TC1 A1.N5.TC1 A1.N1.TC2 A1.N2.TC2 A1.N1.TC3 A1.N2.TC3 A1.N1.TC4 A1.N1.TC5 Per toetsingscriterium wordt bepaald of de instelling voldaan heeft. Score is 0 of 1. De score er norm wordt bepaald door het gemiddelde over de toetsingscriteria te nemen. A1.N1.TC6
Methodiek van audit Auditor is niet bevoegd om in dossiers van patiënten te kijken. Daarom bestaat de methodiek uit: Rapportages toetsing op groepen patiënten Testpatiënten toetsing op individueel niveau
Wat moet een instelling voor de audit kunnen aanleveren? De instelling moet bij aanvang van de toets de volgende zaken faciliteren: Inrichting van testpatiënten Beschikbaarheid procesbeschrijvingen t.a.v. inzage medische gegevens Beschikbaarheid rapportages: EPD/EVS Download/portaal/PGO Gebruik ehealth-toepassingen Aanvullende documentatie die de instelling relevant acht
De testpatiënt(en) Testpatiënt is een fictieve patiënt met representatieve gegevens Voor toetsen op individueel patiënten niveau: De patiënt heeft klinische en/of ambulante contacten (in het kader van de generalistische basis ggz of specialistische ggz); De patiënt heeft recente medische gegevens (bijvoorbeeld niet ouder dan 2 maanden); Gegevens van de patiënt kunnen in zib-formaat worden vastgelegd en uitgewisseld; De patiënt heeft medicatie voorgeschreven gekregen; De patiënt heeft uitgaande correspondentie, zoals een verwijsbrief, eindbrief of evaluatiebrief; De patiënt heeft ROM-uitslagen. Aanmaak van minimaal 1 testpatiënt is verantwoordelijkheid van de instelling
Voorbereiding ZIB (relevant?) Binnen de VIPP GGZ regeling zijn zorginformatiebouwstenen (zib s) van toepassing op de modulen A1, A2, B2 en C2. In de VIPP GGZ regeling is het feitelijk gebruik van dossiergegevens en e-health door patiënten het uitgangspunt Meer info: ZIB Wiki Legenda Onder module: D= volledig conform de datavereisten I=de inhoud van de gegevenselementen Onder zorg: (I)= ambulante zorg zonder voorschrijven medicatie, (II)= ambulante zorg met voorschrijven medicatie (III)=zorg met verblijf
De rapportages Rapportages zijn nodig voor toetsing van normen m.b.t. percentages, bijv.: Module A: aantallen patiënten, traffic portaal/pgo Module B: aantal opgenomen patiënten, aantal voorgeschreven receptregels Module C: aantal patiënten dat ehealth gebruikt Rapportages gebaseerd op gegevens, documentatie, observaties of andere werkzaamheden Het is de verantwoordelijkheid van de ggz-instelling dat relevante en betrouwbare rapportages aanwezig zijn Auditor beoordeelt rapportages op relevantie en betrouwbaarheid.
Tijdpad en procedure Audit mag uitgevoerd worden tussen 1 november 2018 en 1 augustus 2021 Audit gaat over een periode van 30 dagen, van een periode vóór 1 februari 2021 Advies is om de audit uiterlijk in november 2020 uit te voeren om eventuele correcties nog door te kunnen voeren
Scenario 1: audit succesvol doorlopen > 90 % van de normen van een module zijn behaald Output audit: rapportage van de eindtoets Indien de ontvanger over een periode van 3 belastingjaren 500.000 of meer overheidssubsidie ontvangt: Financiële verantwoording Accountantsverklaring
Scenario 2: audit niet succesvol doorlopen < 90% van de normen van een module zijn behaald Her-audit met gegevens van voor 1 februari 2021 Subsidie (deels) terugbetalen Uitzonderingen: bepalingen in de Staatscourant over het MedMij Afsprakenstelsel
Tips voor instellingen Wacht niet te lang met het selecteren van de IT-auditor en het afspreken van de planning. Er kunnen konijnen uit de hoge hoed komen die ervoor zorgen dat de beschikbare tijd snel voorbij gaat (voorbeeld: aansluiten op DigiD). Spreek een proefassessment af met uw IT-auditor als onderdeel van de afspraak. Het proefassessment is tevens om de context van uw organisatie te begrijpen en kan de doorlooptijd van het echte assessment beperken. Bewaak de scope van de audit De aspecten van de MedMij certificering hoeven niet meer apart te worden geaudit. Dit gebeurt in het kwalificatieproces van MedMij.
Bronnen Besluit van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 23 oktober 2018, kenmerk 1427093-181524-CZ Standaarden voor digitale toegankelijkheid (WCAG 2.0) MedMij-standaarden Zorg Informatie Bouwstenen (ZIB) MedMij afsprakenstelsel (onder meer FHIR) beveiligingsniveau eidas informatiestandaard voor het medicatieproces versie 9.06 of hoger Handreiking beoordelingsmatrix Websites van Nictiz, VIPP GGZ, DUS-I en NOREA. Bij onduidelijkheden is het mogelijk vragen in te dienen bij zowel GGZ-Nederland als bij de NOREA. Verder wordt op de websites van GGZ Nederland en NOREA een FAQ-lijst aangeboden
Dank voor uw aandacht Meer weten over het onderwerp? info@vippggz.nl norea@norea.nl www.vippggz.nl