Onderzoek naar Integriteit Onderzoeksgegevens

Onderzoek naar Integriteit Onderzoeksgegevens Johan van der Meer Raoul de Leeuw

De afbeelding op de voorzijde is het oude logo van het AMC. De slang staat in de esculaap symbool voor de genezing, omdat dit dier zijn huid kan afwerpen, hetgeen staat voor herboren worden en genezing, maar ook door zijn beet de dood kan brengen. De uil is een symbool van waakzaamheid en kennis omdat zij de duisternis kunnen doorvorsen. De drie Andreaskruisen zijn van het wapen van Amsterdam, de plaats waar het ziekenhuis gevestigd is.

Inhoudsopgave Voorwoord... 4 1 Probleemstelling en verantwoording... 5 1.1 Inleiding... 5 1.2 Probleemstelling... 5 1.3 Onderzoeksaanpak... 6 1.4 Opbouw van deze scriptie... 6 2 AMC organisatie en object van onderzoek... 8 2.1 Algemeen... 8 2.2 Organisatiestructuur... 8 2.3 Structuur ADICT... 9 2.4 Clinical Research Unit... 10 2.5 Medische processen... 10 2.6 Applicatielandschap... 13 2.7 Beschrijving DIO... 13 3 Theorie en definities... 15 3.1 Definitie van integriteit... 15 3.2 Structuur van gegevens... 17 4 Risico analyse... 19 4.1 Inleiding... 19 4.2 Input - Risico s in de gebruikersomgeving... 19 4.3 Verwerking - Risico s in de applicatieomgeving... 22 4.4 Output - Risico s koppeling onderzoeksapplicatie DIO... 22 4.5 Conclusie... 23 5 Beheersingsmaatregelen... 24 5.1 Inleiding... 24 5.2 Inzichten uit de literatuur... 24 5.3 Inzichten vanuit het onderzoek... 26 5.4 Input - Maatregelen in de gebruikersomgeving... 26 5.5 Verwerking - Maatregelen in de applicatieomgeving... 28 5.6 Output - Maatregelen koppeling onderzoeksapplicatie DIO... 29 5.7 Beantwoording tweede deelvraag... 30 6 Slothoofdstuk... 31 6.1 Conclusies en aanbevelingen... 31 6.2 Mogelijk vervolgonderzoek... 33 6.3 Persoonlijke reflectie... 33 Bijlage 1 - Vragenlijst... 34 Bijlage 2 - Audit framework... 39 Bijlage 3 - AMC medewerkers... 42 Bijlage 4 - Gebruikte Afkortingen... 43 Bijlage 5 - Literatuur... 44 Scriptie Integriteit Onderzoeksgegevens 3

Voorwoord Deze scriptie is geschreven ter afsluiting van de postgraduate IT Audit opleiding aan de Vrije Universiteit (VU) te Amsterdam. Het schrijven van deze scriptie was een interessant en leerzaam traject. Tijdens ons scriptieonderzoek hebben wij inzichten opgedaan over hoe in het AMC met de integriteit van gegevens wordt omgegaan in zorgprocessen en bij medisch wetenschappelijk onderzoek. De opleiding was een goede aanvulling op onze werkzaamheden bij UWV en het AMC en wij hebben mede hierdoor onze auditwerkzaamheden effectiever kunnen uitvoeren. Dankwoord Wij willen C.W.P.J. van Hoof als afstudeerbegeleider van de VU en J.E. Slot, directeur Algemene Dienst ICT, als bedrijfsbegeleider bedanken voor hun inhoudelijke bijdrage aan het eindresultaat in de vorm van adviezen en aandachtspunten. Tevens willen wij de medewerkers van het AMC bedanken voor het invullen van de vragenlijsten en het beantwoorden van onze vele vragen. Dankzij hun medewerking zijn wij in staat geweest om dit scriptieonderzoek te kunnen uitvoeren. Tenslotte willen wij W.N.B. Tewarie bedanken voor zijn medewerking en het gebruik van zijn audit framework. Santpoort-Noord, Almere, 26 oktober 2009 Scriptie Integriteit Onderzoeksgegevens 4

1 Probleemstelling en verantwoording 1.1 Inleiding Het Academisch Medisch centrum (AMC) is een universitair medisch centrum waar niet alleen basispatiëntenzorg, zoals algemene ziekenhuizen dat ook doen, maar met name bijzondere patiëntenzorg wordt uitgevoerd. Deze bijzondere patiëntenzorg betreft: topreferente zorg en topklinische zorg. Topreferente zorg is zeer specialistische patiëntenzorg die gepaard gaat met bijzondere diagnostiek en behandeling, waarvoor geen doorverwijzing meer mogelijk is ('last resort', eindstation). Topreferente zorg vereist een infrastructuur waarbinnen vele disciplines op het hoogste deskundigheidsniveau samenwerken ten behoeve van de patiëntenzorg en die gekoppeld is aan fundamenteel patiëntgericht onderzoek. Topklinische zorg is hooggespecialiseerde zorg (zoals hartchirurgie, neurochirurgie, in-vitrofertilisatie, etc.), waarvoor relatief dure en gespecialiseerde voorzieningen nodig zijn. Ter ondersteuning van de medische processen is in het AMC een complex en heterogeen landschap van informatiesystemen aanwezig waarin de verschillende applicaties beheerd worden en onder andere medische gegevens van patiënten worden vastgelegd. De vastgelegde gegevens worden behalve voor de directe patiëntenzorg ook gebruikt voor de genoemde topreferente zorg en overig medisch wetenschappelijk onderzoek. Het AMC speelt een belangrijke rol in het Dutch Cochrane Centre. Dit is het Nederlandse deel van een internationale organisatie die het gebruik van medische onderzoeksgegevens om behandelingen te verbeteren stimuleert, het zgn. evidence-based medicine. In het kader van het ondersteunen van medisch wetenschappelijk onderzoek worden gegevens vanuit de primaire zorgsystemen overgehaald of gekoppeld aan een onderzoekssysteem. Het AMC gebruikt hiervoor het DIO systeem (Data Integratie ten behoeve van Onderzoek) en heeft hiervoor koppelingen met bestaande applicaties ontwikkeld. Voor medisch onderzoek is het van belang dat de integriteit van de gegevens voldoende gewaarborgd is en dat van deze gegevens een eenduidige beschrijving van de betekenis beschikbaar is. Omdat bij medisch wetenschappelijk onderzoek gegevens die afkomstig zijn van verschillende primaire bronnen worden gecombineerd, neemt de uiteindelijke integriteit van deze gecombineerde gegevens af als de integriteit van de gegevens van enkele van deze bronsystemen niet voldoende is of deze onderling van context verschillen. Als onderzoekers niet beschikken over integere gegevens, bestaat het risico dat verkeerde conclusies worden getrokken. Dit kan in het uiterste geval leiden tot ernstige risico s voor, of de dood van patiënten. 1.2 Probleemstelling De wetenschappelijk onderzoekers in het AMC hebben op dit moment onvoldoende zicht op de integriteit van in AMC-informatiesystemen vastgelegde gegevens. De Algemene Dienst ICT (ADICT) heeft belang bij een beter beeld over de integriteit van de gegevens. Met meer informatie over integriteit kan de ADICT helpen veranderingen door te voeren om de integriteit van opgeslagen gegevens te verbeteren. Scriptie Integriteit Onderzoeksgegevens 5

Onderzoeksvraag Welke extra beheersingsmaatregelen, bij een normale en goed ingerichte automatiseringsomgeving, zijn nodig om te waarborgen dat onderzoekers over integere gegevens kunnen beschikken, bij gebruik van niet primair voor medisch wetenschappelijk onderzoek vastgelegde gegevens, om medisch wetenschappelijk onderzoek uit te kunnen uitvoeren. Deelvragen Welke risico s zijn verbonden aan het gebruik van in de patiëntenzorg vastgelegde gegevens in geautomatiseerde informatiesystemen ten behoeve van medisch wetenschappelijk onderzoek. Welke organisatorische, procedurele- en technische maatregelen zijn nodig om de integriteit van deze hergebruikte gegevens, gedurende het proces van invoer, verwerking en uitvoer te waarborgen zodat onderzoekers over integere gegevens kunnen beschikken. Onderzoeksobject en begrenzing Het object van onderzoek zijn de medische processen en de hieraan gerelateerde medische informatiesystemen die op dit moment gegevens leveren aan de onderzoeksapplicatie DIO. Buiten de scope van dit onderzoek vallen het netwerk, de hardware en de technische infrastructuur. 1.3 Onderzoeksaanpak De onderzoeksaanpak voor deze scriptie bestond uit een aantal onderdelen. Een literatuuronderzoek waarbij het begrip integriteit van gegevens is onderzocht. Ook werd in de literatuur bekeken welke beheersmaatregelen in grote mate de integriteit van gegevens in informatiesystemen bepalen. Na dit literatuuronderzoek is bepaald welke informatiesystemen in het scriptie onderzoek worden meegenomen. Uitgangspunt was dat het informatiesystemen betrof die gegevens leveren aan de onderzoeksapplicatie DIO. In het AMC zijn relevante delen van de documentatie met betrekking tot informatiesystemen bestudeerd om inzicht te krijgen in de wijze waarop de architectuur en infrastructuur zijn vormgegeven. Ook zijn relevante interne AMC documenten als beleidsstukken en notities bestudeerd. Vervolgens is, mede aan de hand van het literatuur onderzoek, het normenkader opgesteld dat als basis heeft gediend voor het scriptieonderzoek. Op basis van het opgestelde normenkader is een vragenlijst opgesteld die als basis heeft gediend voor de selfassessments van gebruikers en applicatiebeheerders. Belangrijk doel van deze vragenlijst was het verkrijgen van inzicht in de getroffen beheersingsmaatregelen. Op basis van de resultaten uit de selfassessments zijn aanvullend enkele interviews gehouden om vast te stellen of de resultaten uit de selfassessments een betrouwbare afspiegeling van de werkelijke situatie waren. Deze afgenomen interviews zijn vastgelegd in gespreksverslagen en teruggekoppeld met de betrokken. De resultaten van de bestudeerde literatuur, de selfassessments en de interviews zijn vervolgens uitgewerkt in deze scriptie. 1.4 Opbouw van deze scriptie In hoofdstuk 2 worden de organisatiestructuur van het AMC, de ICT inrichting van het AMC en de belangrijkste processen beschreven. Daarnaast geven we een korte beschrijving van het applicatielandschap en de onderzoeksapplicatie DIO. In hoofdstuk 3 wordt de theorie en de gebruikte werkdefinitie met betrekking tot integriteit behandeld. Scriptie Integriteit Onderzoeksgegevens 6

In hoofdstuk 4, waar de risicoanalyse beschreven staat, wordt de eerste deelvraag, over de risico s die van invloed zijn op de integriteit van de gegevens ten behoeve van medisch wetenschappelijk onderzoek, behandeld. In hoofdstuk 5 wordt de onderzoeksaanpak toegelicht en de uitkomsten van de vragenlijsten, interviews en inzichten uit bestudeerde literatuur en documenten behandeld. In dit hoofdstuk worden tevens de beheersingsmaatregelen behandeld die invloed op de integriteit van de gegevens hebben. In dit hoofdstuk wordt de tweede deelvraag beantwoord. In hoofdstuk 6 worden de eindconclusies en de evaluatie gepresenteerd. In dit hoofdstuk wordt de onderzoeksvraag beantwoord. Scriptie Integriteit Onderzoeksgegevens 7

2 AMC organisatie en object van onderzoek 2.1 Algemeen Het AMC is gevestigd in Amsterdam. In 1582 begonnen in een voormalig nonnenklooster als Sint Pietersgasthuis en later omgedoopt in het Binnengasthuis. In 1891 werd het Binnengasthuis met het Buitengasthuis samengevoegd onder de nieuwe naam het Wilhelmina Gasthuis. In 1983 is het ziekenhuis uit het centrum van Amsterdam verhuisd naar Amsterdam Zuid-Oost en omgedoopt naar het AMC. In het AMC werken 6421 medewerkers. Het AMC heeft als academisch ziekenhuis vier hoofdtaken: Patiëntenzorg Hieronder vallen het bieden van patiëntenzorg en het voorzien in topreferente zorg voor de regio. Het AMC heeft 1002 bedden, er worden per jaar 29.782 patiënten opgenomen (209.796 verpleegdagen). Daarnaast voert het AMC per jaar 29.942 dagbehandelingen uit en heeft 353.852 bezoeken op de poliklinieken. Opleiding Het AMC is een opleidingsziekenhuis en heeft doorlopend ongeveer 500 artsassistenten in opleidingstrajecten zitten. Onderwijs Het AMC geeft onderwijs aan 2.273 studenten geneeskunde. Onderzoek Het AMC voert medisch onderzoek uit, er promoveren jaarlijks 160 medewerkers. Er worden jaarlijks 2033 artikelen in Science Citation Index (SCI) tijdschriften gepubliceerd. Alle bovengenoemde cijfers hebben betrekking op 2007. 2.2 Organisatiestructuur De organisatiestructuur van het AMC bestaat uit een aantal divisies voor de belangrijkste medische specialismen met daarnaast een aantal ondersteunende diensten en staven. Figuur 1 - Organisatiestructuur AMC Medische divisies hebben een bestuur met een voorzitter (medische verantwoordelijkheid), directeur bedrijfsvoering en een verpleegkundig bestuurder. Scriptie Integriteit Onderzoeksgegevens 8

De divisies zijn verdeeld in afdelingen (staf, klinisch en poliklinisch) In de divisie heeft ieder medisch specialisme (inwendige, chirurgie, orthopedie etc.) een hoogleraar die medisch inhoudelijk verantwoordelijk is. In de kliniek is een chef de clinique en op de polikliniek een chef de polikliniek die medisch de leiding hebben. Afdelingshoofden op de verschillende onderdelen zijn verantwoordelijk voor de bedrijfsvoering. 2.3 Structuur ADICT Een van de ondersteunende diensten is de ADICT. Deze dienst bestaat uit de volgende onderdelen: Project Support Office (architectuur, datamanagement, business analisten, service level management, project administratie); Programmamanagement; Relatiemanagement; Applicatie Services; Infrastructuur Services. Het AMC heeft een eigen rekencentrum, een tweede back-up rekencentrum en contracten met de ICT-dienstverlener SARA voor services en uitwijk mogelijkheden. SARA is een organisatie die voor veel academische instellingen netwerk- en computerdiensten levert. De ADICT voert voor bijna alle applicaties het technisch beheer uit. Applicaties die door de hele organisatie heen worden gebruikt, zoals het poliklinisch afsprakenbeheer, worden functioneel door de Algemene Dienst Beheer (ADB) beheerd. Niet organisatiebreed gebruikte applicaties worden functioneel beheerd door de divisie of dienst die de hoofdgebruiker van deze applicatie is. Het eigenaarschap van applicaties in het AMC is in veel gevallen aan een medewerker hoog in de organisatiestructuur toegewezen. Er wordt in voorkomende gevallen een gedelegeerde autoriteit aangewezen om de dagelijkse gang van zaken rondom de applicatie te regelen. Deze gedelegeerde autoriteit is meestal een applicatiebeheerder of een direct aan de applicatiebeheerder verbonden medewerker. 2.3.1 ICT besluitvormingsstructuur Sinds 2005 is er in het AMC een IT-Raad aangesteld die als adviserend orgaan optreedt met betrekking tot de besluitvorming over ICT projecten. De IT-Raad kijkt in eerste instantie naar het nut en de toegevoegde waarde van IT projecten voor het AMC en naar de wijze van financiering. Daarnaast ondersteund de IT-Raad het maken van keuzes wanneer sprake is van schaarse middelen en kijkt of deze keuze in het ICT beleid past. Met ingang van 2008 zijn vier domeincommissies opgericht, deze houden zich bezig met het formuleren van beleid en het realiseren van dit beleid door middel van programma s en projecten. Deze domeinen sluiten aan met de genoemde hoofddoelstellingen van het AMC. Patiëntenzorg Onderzoek Opleiding/Onderwijs Ondersteunende processen De Raad van Bestuur stelt op basis van de strategische doelstellingen iedere 4 à 5 jaar de hoofdlijnen van het ICT beleid op. De domeincommissies stellen op basis van dit kader per domein een informatieplan op. Dit informatieplan wordt in principe jaarlijks door de domeincommissie geactualiseerd. Wensen vanuit de organisatie worden door het ADICT relatiemanagement begeleid en ingediend bij de domeincommissie. De domeincommissie bepaalt of een project- Scriptie Integriteit Onderzoeksgegevens 9

voorstel wordt opgenomen in de centrale projecten portfolio. De ADICT is verantwoordelijk voor de architectuur paragraaf in het advies. Bij negatief advies kan het project niet aanvangen. Indien het project niet past in de centrale projectenportfolio, dan kan de divisie besluiten tot decentrale uitvoering. De IT-Raad bewaakt de uitvoering van de centrale projecten. De IT-Raad heeft ieder kwartaal overleg met de portefeuillehouder ICT van de Raad van Bestuur en ieder jaar overleg met de voltallige Raad van Bestuur. De IT-Raad komt 6 keer per jaar bijeen. De IT-Raad bestaat uit een voorzitter, de 4 voorzitters van de domeincommissies, 3 onafhankelijke leden, de directeur ADICT als adviseur en een secretaris. In het strategische plan van de Raad van Bestuur wordt over de integratie van patiëntenzorg en onderzoeksgegevens opgemerkt, dat de materie zowel wat technische integratie betreft als in organisatorisch opzicht complex is. Gegevens moeten namelijk zeer zorgvuldig en eenduidig worden vastgelegd omdat anders geen effectief gebruik in medisch onderzoek mogelijk is. In het ICT masterplan wordt over de sturende rol voor de Clinical Research Unit (CRU) gesproken. Er dient meer afstemming en duidelijkheid te komen in de relatie tussen de vastlegging van klinische gegevens voor onderzoek en de vastlegging van gegevens voor de patiëntenzorg. Als gevolg hiervan moeten eisen vanuit medisch onderzoek worden meegenomen in de criteria en eisen die aan het Electronisch Patiënten Dossier (EPD) worden gesteld. Door het toenemende gebruik van klinische gegevens en de verdergaande digitalisering in het zorgproces wordt de relatie met het EPD meer van belang. 2.4 Clinical Research Unit De Clinical Research Unit (CRU), onderdeel van de divisie Public Health & Klinische Methoden en Informatie, coördineert en faciliteert veel van het medisch onderzoek. Onderzoekers worden door de CRU begeleid bij het uitvoeren van het onderzoek. Na een intake met de onderzoeker brengt de CRU een offerte uit waarin de noodzakelijke werkzaamheden en kosten vermeld zijn. De CRU ondersteunt bij het opzetten van gegevens-invoer en verwerking van onderzoeksgegevens in Access, SQL-server en Oracle Clinical databases. Afhankelijk van het soort onderzoek wordt het platform gekozen dat het beste bij het onderzoek en de eisen die wet en regelgeving stellen past. Het gaat hierbij meestal niet om onderzoek met gegevens uit zorgprocessen, maar om speciaal voor het onderzoek te verzamelen gegevens. DIO wordt ingezet indien bestaande gegevens uit het zorgdomein gebruikt kunnen worden. Op deze bestaande gegevens uit het zorgdomein voert de CRU extra controles uit voordat deze aan de database voor het specifieke onderzoek toegevoegd worden. De CRU is sinds januari 2009 verantwoordelijk voor het beheer van DIO. 2.5 Medische processen De medische (bedrijfs) processen die in een academisch ziekenhuis worden uitgevoerd en van belang zijn binnen dit scriptieonderzoek zijn in drie hoofdgeroepen in te delen. Hieronder worden deze groepen van processen beschreven. 2.5.1 Medische zorg Het belangrijkste proces is het uitvoeren van de medische zorg. Deze valt in te delen in klinische- en poliklinische zorg. Bij klinische zorg wordt de patiënt opgenomen en verblijft deze enige tijd in het ziekenhuis. Bij poliklinische zorg vindt het onderzoek en de behandeling in het ziekenhuis plaats maar wordt de patiënt niet opgenomen. Hieronder een globale beschrijving van het zorgproces: Scriptie Integriteit Onderzoeksgegevens 10

Verwijzing Een patiënt wordt doorgaans door de huisarts naar het ziekhuis verwezen. Middels de verwijsbrief wordt informatie van de huisarts aan de behandelend arts van het ziekhuis doorgegeven. Consult Het eerste contact in het ziekenhuis is meestal een consult op de polikliniek. Hier wordt de patiënt door de arts onderzocht. Anamnese Het onderzoek begint met de anamnese, dit is wat een patiënt met betrekking tot de voorgeschiedenis en relevante omstandigheden van zijn ziekte aan de arts kan vertellen. Onderzoek Tijdens dit consult kan de arts zelf het lichamelijk onderzoek uitvoeren. Ook kunnen aanvullende onderzoeken worden aangevraagd. Dit kan zijn laboratoriumonderzoek van lichaamsvocht of weefsel van de patiënt of beeldvormend onderzoek zoals röntgen foto s, Computertomografie (CT-scan), MRI-scanner, Echografie, Positronemissietomografie (PET) of een kijkoperatie. Diagnose De arts combineert de gegevens van de anamnese, het lichamelijk onderzoek en de uitslagen van aanvullende onderzoeken en door een diagnose wordt een ziekte geïdentificeerd. Bij het stellen van de diagnose wordt in het kader van de topreferente zorg meestal in multidisciplinaire teams van specialisten overlegd. Behandeling Als behandeling zijn in hoofdlijnen chemotherapie, chirurgie, farmacotherapie mogelijk. De behandeling kan klinisch of poliklinisch uitgevoerd worden. Verpleging/verzorging Tijdens en na de behandeling wordt de patiënt verpleegd en verzorgd. Dit deelproces betreft het monitoren van de toestand en het welzijn van de patiënt en het tijdig toedienen van medicatie. Nazorg In veel gevallen dient een patiënt na een behandeling periodiek op de polikliniek te worden gecontroleerd op het verloop van het herstel. Dit zorgproces kan in geval van nood- of spoedsituaties verkort en anders worden uitgevoerd. Voor dit scriptieonderzoek is daarbij van belang dat administratieve handelingen hierbij voor het grootste deel pas achteraf uitgevoerd worden en er minder tijd voor controles beschikbaar is. De applicatie die het zorgproces direct ondersteund is het Electronisch Patiënten Dossier (EPD). In het AMC wordt hiervoor de EPD applicatie Norma ingezet. Steeds meer afdelingen in het AMC maken gebruik van een electronisch patiëntendossier. Er loopt een project waarbij het oude papieren dossier wordt ingescand om het naast het nieuwe EPD eenvoudig beschikbaar te hebben. In het AMC worden in het EPD naast de door de artsen zelf vastgelegde informatie ook de uitslagen van onderzoeken getoond. Hiermee wordt gestreefd om alle informatie op een plaats en duidelijk aan de artsen te presenteren om zo het zorgproces optimaal te ondersteunen. 2.5.2 Medisch administratief Medisch administratieve processen betreffen werkzaamheden rondom het vastleggen van niet direct voor de medische zorg noodzakelijke gegevens. Het gaat in het kader van dit scriptieonderzoek om de volgende processen: Voorschrijven medicatie Het proces waarbij de arts via een recept of via de Apotheek applicatie medicijnen voorschrijft voor een patiënt. Deze medicijnen worden vervolgens Scriptie Integriteit Onderzoeksgegevens 11

door de apotheek aan de afdeling geleverd waarna de verpleging voor de toediening aan de patiënt zorgt. Poliklinisch afspraken Het proces van het maken en registreren van de afspraken op de polikliniek. In dit proces maakt een administratief medewerker een afspraak in de agenda van het betreffende spreekuur. Op de dag zelf wordt gemeld of een patiënt gekomen is en worden eventuele aanvullende gegevens vastgelegd. Hier worden met name de administratieve verrichtingcodes van specifieke medische handelingen van de arts op het spreekuur ingevoerd. Deze registraties zijn nodig om een juiste en volledige facturatie mogelijk te maken. Klinisch opnames Het proces van het registreren van klinische opnames van patiënten. Bij het opnamebureau worden de administratieve gegevens van de opname ingevoerd. Deze gegevens worden gebruikt voor latere facturatie, maar ook om bijvoorbeeld de afdeling patiëntenvoeding te informeren in verband met het aantal te bereiden maaltijden. OK behandelingen Het plannen en registreren van operatieve handelingen in het operatiecomplex. Hierbij worden naast veel administratieve gegevens zoals de datum, duur, operateurs en verrichtingen ook het medische, door de chirurg opgestelde operatieverslag vastgelegd. Registratie Diagnose Behandel Combinatie s (DBC) Het proces van het in eerste instantie door de arts vastleggen van de zorgvraag, de diagnose en de behandeling van de patiënt. Deze in het administratieve systeem vastgelegde gegevens vormen de basis voor de latere facturatie van de kosten. Deze registratie staat los van de gegevens die de arts in de medische status / EPD invoert. De medisch administratieve systemen worden in de meeste gevallen door (medisch) administratieve medewerkers gebruikt. Deze systemen worden voornamelijk in een administratieve setting uitgevoerd. Hierbij is een administratieve organisatie aanwezig met functiescheidingen en controles. 2.5.3 Medisch diagnostisch onderzoek Bij medisch diagnostisch onderzoek gaat het in hoofdlijnen over twee processen: het uitvoeren van laboratorium onderzoek en het uitvoeren van radiologisch (beeldvormend) onderzoek. Deze processen doorlopen de stappen van aanvraag, uitvoering onderzoek, verslaglegging, beoordeling / controle, autorisatie en rapportage van de uitkomsten. Voor het laboratoriumproces hieronder een uitgebreidere uitwerking. Laboratorium onderzoeksproces Aanvraag De behandelend arts dient een aanvraag in voor een onderzoek. Afnemen monster Er wordt materiaal (lichaamsvocht of weefsel) afgenomen van de patiënt. Uitvoeren onderzoek Het afgenomen materiaal wordt volgens de aanvraag onderzocht. Hiervoor heeft het laboratorium voor ieder type onderzoek protocollen (procedures) beschikbaar. Beoordeling (controle) In het laboratoriumproces worden op verschillende niveaus controles uitgevoerd. In de eerste plaats een technisch georiënteerde controle met behulp van controlemonsters en voortschrijdend patiëntengemiddelden. In de tweede plaats een klinisch georiënteerde controle, waarbij de analyseresultaten in hun onderlinge context beoordeeld worden. Scriptie Integriteit Onderzoeksgegevens 12

Autorisatie Autoriseren voor de controlestap met o.a. een plausibiliteitscontrole, waarna toestemming wordt gegeven om het geconfirmeerde laboratoriumresultaat vrij te geven voor rapportage richting aanvragers. Registratie verrichtingen De medische verrichtingenregistratie voor de uitgevoerde laboratorium onderzoeken wordt bijgewerkt. Rapportage uitslag De uitslag wordt aan de aanvragende arts gerapporteerd. Dit kan schriftelijk maar ook electronisch, door het opnemen van de uitslagen in het EPD, plaatsvinden. In het AMC zijn bijna alle laboratoria geaccrediteerd bij de Coördinatie Commissie ter bevordering van de Kwaliteitsbeheersing van het Laboratoriumonderzoek op het gebied van de Gezondheidszorg (CCKL). De CCKL heeft aan de basis van de ISO norm 15189 voor medische laboratoria gestaan. 2.6 Applicatielandschap Het centrale ziekenhuis informatie systeem (ZIS) in het AMC is oorspronkelijk in samenwerking met enkele ziekenhuizen ontwikkeld. Het is een wat ouder geïntegreerd platform waarop veel systemen van het AMC draaien. Inmiddels wordt er, vooruitlopend op de vervanging van grote delen van het ZIS, voor een aantal applicaties gebruik gemaakt van andere leveranciers. Het gaat in het kader van DIO om X/Care voor poliklinische afspraken, CS-OK voor operatie planning en registratie en Norma voor het EPD. Voor integratie wordt zoveel mogelijk gebruik gemaakt van een HL7 (Health Level 7) berichtenserver. HL7 is een internationale standaard voor berichtenuitwisseling in de zorg. Door het gesloten karakter van het ZIS platform is het voor externe applicaties niet mogelijk de gegevens van ZIS applicaties rechtstreeks te benaderen. Er wordt van Extractie Transformatie en Laden (ETL) software gebruik gemaakt om gegevens van het ZIS platform via een datawarehouse te ontsluiten. 2.7 Beschrijving DIO De DIO applicatie (Data Integratie ten behoeve van Onderzoek) is bedoeld als systeem voor ondersteuning van onderzoekers bij het proces van het verzamelen van gegevens uit AMC systemen t.b.v. medisch onderzoek. Het systeem is door IBM ontwikkeld in de Mayo Clinics in Amerika. Functioneel wordt het systeem beheerd door de DIO applicatiebeheerders. Deze waren tot eind 2008 ondergebracht onder het project DIO productvernieuwing, daarna is het DIO applicatiebeheer belegd bij de Clinical Research Unit (CRU). Het technisch beheer is verdeeld tussen de ADICT (servers en besturingssysteem) en de DIO applicatiebeheerders. Ontwikkeling van de software onderdelen van de DIO applicatie wordt uitgevoerd door IBM. Via een SQL query builder kunnen vragen worden gesteld waarbij gegevens in de onderliggende databases worden benaderd. De data integratie zorgt ervoor dat de gegevens in verschillende bronnen als een grote database te benaderen zijn. Voor de koppeling met gegevens in de verschillende systemen wordt een mapping gemaakt zodat DIO weet welke gegevens waar aanwezig zijn. De DIO applicatie filtert de patiëntnummers weg waardoor de gegevens uitsluitend anoniem en voor statistische doeleinden te gebruiken zijn. Indien voor onderzoek gegevens op patiëntniveau nodig zijn, worden deze gegevens op een andere wijze Scriptie Integriteit Onderzoeksgegevens 13

uit de databronnen opgehaald. De DIO query builder voorziet niet in deze functionaliteit. In principe benadert DIO rechtstreeks de gegevens van een gekoppelde applicatie. Om technische redenen zoals genoemd in paragraaf 2.6, worden de gegevens van een aantal applicaties via een datawarehouse benaderd. Scriptie Integriteit Onderzoeksgegevens 14

3 Theorie en definities Om onderzoekers, zoals in de probleemstelling aangegeven, over integere gegevens te laten beschikken is het van belang eerst vast te stellen wat de integriteit van gegevens betekent voor een medische omgeving. Voor de gewenste verduidelijking zullen we het kwaliteitsaspect integriteit eerst uitwerken vanuit definities uit de literatuur. Vervolgens zullen we nagaan hoe binnen de relevante wetgeving op het medische gebied en zorg invulling wordt gegeven aan het aspect integriteit. Op basis van inzichten uit beide bronnen zullen wij voor dit scriptieonderzoek een werkdefinitie formuleren. Voor het waarborgen van het ter beschikking stellen van gegevens is het nodig dat gegevens behalve integer, ook qua vorm en inhoud eenduidig en gestructureerd zijn vastgelegd. In de paragraaf 3.2 gaan wij in op de aspecten die hier toe bijdragen. 3.1 Definitie van integriteit Het begrip 'integriteit' is afkomstig van het Latijnse woord in-tangere dat letterlijk niet aanraken betekent. In-tangere kan vertaald worden naar iets of iemand die onbesmet, onaangetast, ongekreukt of ongeschonden is. In de literatuur bestaan meerdere definities van integriteit. Hieronder volgen enkele van deze definities. Fijneman et.al.- de juistheid en volledigheid van de gegevens die in het systeem zijn opgeslagen en door het systeem worden verwerkt en gecommuniceerd [1]. Norea - De mate waarin het object (gegevens en informatie- technische en processystemen) in overeenstemming is met de afgebeelde werkelijkheid De aspecten die de Norea benoemt in het kader van integriteit zijn: juistheid, volledigheid, tijdigheid, nauwkeurigheid en waarborging [2]. Overbeek en Spruit - Integriteit is de mate waarin gegevens of functionaliteit juist ingevuld zijn Vanuit het oogpunt van informatiebeveiliging geeft Overbeek aan dat hij onder integriteit de juistheid, volledigheid en tijdigheid van informatie verstaat [3]. Mollema - Het correct weergeven van een vooraf gedefinieerd deel van de werkelijkheid. Aspecten van correctheid zijn compleetheid, nauwkeurigheid en actueel [4]. Mollema benadrukt dat er pas invulling kan worden gegeven aan gegevensintegriteit als er een proces is ingericht om gegevens in overeenstemming te houden met de werkelijkheid. Om dit proces te kunnen controleren is een stelsel van autorisaties vereist. Hiermee kan worden gezorgd dat autorisaties volgens een vastgestelde procedure aan juiste functionarissen worden toegekend. Bij eventuele ongewenste gebeurtenissen kan dan worden vastgesteld welke functionaris, in het kader van integriteit, verantwoordelijk is voor bijvoorbeeld toevoegen, veranderen of verwijderen van specifieke gegevens. Op het gebied van de zorg en het medisch wetenschappelijk onderzoek in ziekenhuizen is een scala aan wettelijke regelgeving en een veelvoud aan richtlijnen van toepassing. In ons onderzoek hebben we de volgende wet en regelgeving onderzocht op het kwaliteitsaspect integriteit: Scriptie Integriteit Onderzoeksgegevens 15

Wet Geneeskundige Behandelings Overeenkomst (WGBO); Kwaliteitswet Zorginstellingen (KZ); Wet Medisch-wetenschappelijk Onderzoek met mensen (WMO); NEN 7510 Medische informatica - Informatiebeveiliging in de zorg; CCKL praktijkrichtlijn voor laboratoria (op basis van de norm ISO 15189). WGBO WGBO heeft betrekking op een aantal artikelen uit het Burgerlijk Wetboek Boek 7, Bijzondere overeenkomsten. Zoals zoveel benoemde overeenkomsten in het burgerlijk wetboek, bijvoorbeeld de arbeidsovereenkomst of de huurovereenkomst, regelt de geneeskundige behandelingsovereenkomst daarbij uitdrukkelijk de rechten van de zwakkere partij, de patiënt. De WGBO behandelt een aantal relevante zaken over dossiervorming maar geeft hierbij geen specifieke invulling aan het kwaliteitsaspect integriteit. Door het ontbreken hiervan is het voor de zorg legitiem om gegevens in vrije tekst vast te leggen. Ook de Inspectie voor de gezondheidszorg [5] heeft in haar onderzoek onder andere onderkend dat standaardisatie van de informatievoorziening in zijn geheel ontbreekt en dat de noodzakelijke gegevens niet eenduidig en makkelijk toegankelijk in een dossier worden vastgelegd. Kwaliteitswet zorginstellingen De Kwaliteitswet stelt globale eisen ten aanzien van de zorg en laat de invulling daarvan over aan de zorginstelling zelf. In de Kwaliteitswet staat dat een zorginstelling de kwaliteit van zorg systematisch moet bewaken, beheersen en zo mogelijk verbeteren. Om dit te realiseren dient de zorgaanbieder gegevens, betreffende de kwaliteit van de zorg, op systematische wijze te verzamelen en te registreren. Dat kan worden gerealiseerd door een kwaliteitssysteem te ontwikkelen. Aan de term integriteit wordt in de kwaliteitswet als zodanig geen concrete invulling gegeven. WMO WMO is in 1998 ingesteld om proefpersonen bij medisch-wetenschappelijk onderzoek te beschermen. Door de WMO wordt onder andere aangegeven welke maatregelen genomen dienen te worden om de integriteit van de onderzoeksgegevens te waarborgen. Hierbij worden specifieke eisen aan de volgende aspecten gesteld: juistheid, volledigheid, accuraatheid, betrouwbaarheid en validatie van de elektronische dataverwerking. Om dit te realiseren worden in de WMO een aantal maatregelen benoemd. De WMO geeft aan welke integriteitaspecten binnen het medisch wetenschappelijk onderzoeksdomein van toepassing zijn. Het zorgdomein valt niet onder de regelgeving van de WMO, maar bij het hergebruiken van gegevens uit het zorgdomein (de patiëntenzorg) voor medisch wetenschappelijk onderzoek komen de gegevens wel onder het regime van de WMO. NEN 7510 Medische informatica De NEN 7510 richtlijn geeft uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie in de gezondheidszorg moet treffen ter beveiliging van de informatievoorziening. De NEN 7510 is gebaseerd op de NEN- ISO/IEC 17799 en komt ook in structuur overeen met de Code voor Informatiebeveiliging. De Inspectie voor de Gezondheidszorg wil het voldoen aan de NEN 7510 voor zorginstellingen verplicht gaan stellen [6]. De NEN 7510 integriteit definitie luidt: het waarborgen dat gegevens niet ongecontroleerd worden gewijzigd of verloren gaan Scriptie Integriteit Onderzoeksgegevens 16

Met name artikel 12 geeft richtlijnen met betrekking tot de validatie van gegevensinvoer, de interne gegevensverwerking en de gegevensuitvoer. Bij invoer moeten gegevens voor zover mogelijk worden gecontroleerd op juistheid, volledigheid en actualiteit. De NEN 7510 geeft hierbij, ten opzichte van de wetgeving, concreter de eisen aan waaraan een vastlegging in een geautomatiseerd systeem moet voldoen. CCKL praktijkrichtlijn De CCKL praktijkrichtlijn is opgesteld door de stichting CCKL (Coördinatie Commissie ter bevordering van de Kwaliteitsbeheersing op het gebied van Laboratoriumonderzoek in de Gezondheidszorg) aan de hand van de internationale laboratoriumnorm ISO 15189[7]. De ISO 15189 geeft geen definitie van integriteit maar geeft richtlijnen waaraan een laboratorium moet voldoen om de betrouwbaarheid, integriteit en kwaliteit van laboratoriumonderzoeken te waarborgen. In het AMC zijn de meeste laboratoria CCKL geaccrediteerd. Concluderend kan gesteld worden dat uit de literatuur geen eenduidige definitie voor de term integriteit beschikbaar is. Ook de wetgeving rondom ziekenhuizen en onderzoek geeft geen specifieke invulling aan het aspect integriteit. Wel wordt duidelijk dat de algemene aanwijzingen volgens de WGBO vanuit meerdere kanten worden aangescherpt. De Inspectie voor de Gezondheidszorg die eisen gaat stellen over standaardisatie van dossiervoering om de veiligheid en kwaliteit bij samenwerking en overdrachten te waarborgen. De NEN 7510 die vanuit informatiebeveiliging concretere eisen stelt aan de vastlegging en verwerking van gegevens. Wij hanteren voor ons onderzoek de volgende werkdefinitie voor integriteit van gegevens. De mate waarin gegevens in overeenstemming zijn met de afgebeelde werkelijkheid. Hierbij hanteren we de volgende kwaliteitsaspecten: Juistheid - de mate waarin de invoer conform de specificaties wordt verwerkt tot correcte uitvoer, die tevens in overeenstemming met de werkelijkheid is. Volledigheid mate waarin alle gegevens aanwezig zijn (niet te veel en niet te weinig). Tijdigheid - de mate waarin gegevens op tijd beschikbaar (up-to-date) zijn voor het uitvoeren van de taak. Waarborging - er dienen hierbij waarborgen te worden verkregen door inrichting van beheersingsprocessen in de verschillende fasen van de processen: de input (gebruikersomgeving), de verwerking (applicatieomgeving) en de output (de koppelingen met de onderzoeksomgeving). 3.2 Structuur van gegevens Naast het feit dat de gegevens integer dienen te zijn, is het voor gebruik van gegevens uit de zorg voor medisch wetenschappelijk onderzoek noodzakelijk dat de gegevens gestructureerd en in juiste context vastgelegd worden. Met name het invoeren van zorggegevens in vrije tekst bemoeilijkt het gebruik van deze gegevens voor medisch wetenschappelijk onderzoek. In het kader van gegevensuitwisseling in de zorg (EN13606 norm [8]) worden hierover aanbevelingen gedaan en standaarden voorgesteld. Belangrijke aspecten die hierbij van toepassing zijn, zijn: Scriptie Integriteit Onderzoeksgegevens 17

Betekenis (semantiek) - de medisch inhoudelijke betekenis van gegevens dient eenduidig te zijn. Hiervoor is het nodig zo veel mogelijk aan te sluiten bij nationaleen internationale coderingen als de International statistical Classification of Diseases and related health problems code revision 9 (ICD9) en de Systematized Nomenclature of Medicine - Clinical Terms (SNOMED-CT). Structuur - de structuur geeft de samenhang met andere gegevenselementen aan om de betekenis van een gegeven eenduidig te maken (context, referentie). Om deze eenduidigheid te realiseren moeten aanvullende gegevens, zogenaamde metadata, worden vastgelegd. Hiervoor moeten nationaal en internationaal afspraken worden gemaakt over de structuur en representatie van medische concepten (zogenaamde archetypes). In samenwerking met classificatie- en coderingstandaarden wordt de betekenis van deze medische concepten vastgelegd. Vorm (syntax) - de syntax definieert de wijze waarop gegevens worden opgeslagen en worden overgedragen. Vaste afspraken over de standaardisatie van opslag en uitwisseling van gegevens maken betrouwbare en efficiënte uitwisseling van data uit de zorg voor onderzoek mogelijk. Het is ons bij de uitwerking van het kwaliteitsaspect integriteit opgevallen dat door de door ons bestudeerde auteurs geen aandacht wordt gegeven aan het aspect gestructureerdheid van gegevens. Dit terwijl gestructureerdheid naar onze mening een belangrijk aspect van integriteit zou moeten zijn. Scriptie Integriteit Onderzoeksgegevens 18

4 Risico analyse 4.1 Inleiding In dit hoofdstuk benoemen we de potentiële risico s ten aanzien van het gebruik van gegevens uit de medische zorg voor medisch wetenschappelijk onderzoek. Tenslotte zullen we in paragraaf 4.5 antwoord geven op de eerste deelvraag. We werken de risico s in de volgende paragrafen als volgt uit: De input, de gebruikersomgeving waar de gegevens worden bepaald, verzameld en ingevoerd. Hierbij volgen we de drie hoofdgroepen van processen waarbij deze vastleggingen plaatsvinden zoals in hoofdstuk 3 beschreven. 1. Medische zorg processen; 2. Medisch administratieve processen; 3. Medisch diagnostische onderzoeksprocessen. De verwerking, de applicatieomgeving waarin de gegevens worden ontvangen, verwerkt en opgeslagen; De output, de koppeling/mapping omgeving waarin de gegevens vanuit de applicaties voor de medische onderzoeksapplicatie DIO beschikbaar worden gemaakt. Hierbij zijn twee mogelijkheden: 1. Direct van de applicatie naar DIO; 2. Via de tussenstap van een datawarehouse. 4.2 Input - Risico s in de gebruikersomgeving De gebruikersomgeving betreft de aspecten van de organisatiestructuur en de inrichting van de werkprocessen. Zaken die voor integriteit van de gegevens van belang zijn betreffen onder andere: procedures, protocollen, standaard formulieren, opleiding van personeel, functiescheidingen en preventieve- en repressieve controles. In een ideale situatie is de gebruikersorganisatie zodanig ingericht dat de kans op fouten bij de invoer geminimaliseerd wordt. Binnen de verschillende hoofdgroepen van processen zijn grote verschillen in de risico s voor de integriteit van gegevens. 4.2.1 Medische zorg processen Medische zorgprocessen worden uitgevoerd in een heterogene gebruikersomgeving waar professionals van verschillende disciplines (zoals artsen, verpleegkundigen en administratieve medewerkers) samenwerken. Daarnaast betreft het een dynamische omgeving (poliklinieken, klinieken, spoedeisende hulp) waar niet altijd de tijd is registraties direct uit te voeren. Tenslotte is in de gebruikersomgeving niet altijd een computer aanwezig om vastleggingen te maken waardoor op een aantal plaatsen vastleggingen eerst op papier worden gedaan om later in applicaties te worden overgenomen. Deze feiten maken het niet eenvoudig de integriteit van de gegevens, die tijdens de uitvoering van deze processen worden vastgelegd, te borgen. In de verschillende fasen van het proces zijn de volgende risico s aanwezig. Verwijzing - de gegevens van de verwijzer (meestal huisarts) worden niet of niet gestructureerd vastgelegd. Consult en anamnese - hierbij worden gegevens onvoldoende gestructureerd (vooral in vrije tekst) vastgelegd. Het gebruik van de juiste medische codering Scriptie Integriteit Onderzoeksgegevens 19

voor eerdere diagnosen en behandelingen is belangrijk. Het risico bestaat dat er onjuiste diagnose codes worden ingevoerd. Door het ontbreken van landelijke electronische uitwisseling van zorggegevens is er een risico dat in een gesprek met de patiënt niet alle relevante informatie en zelfs onjuiste informatie in het medisch dossier wordt vastgelegd. Onderzoek - het gaat hierbij om het vastleggen van de gegevens van het eventueel door de arts zelf uitgevoerde lichamelijk onderzoek. Het belangrijkste risico is hier dat gegevens niet gestructureerd worden vastgelegd. Hierbij speelt de context waarbinnen het onderzoek wordt uitgevoerd en vastgelegd een grote rol. Voor aanvragen van diagnostisch- en beeldvormend onderzoek liggen de risico s voor het grootste deel bij de uitvoerders van deze onderzoeken. Belangrijkste risico in het zorgproces is het onjuist afnemen of labelen van lichaamsmateriaal waardoor het latere onderzoek verstoord wordt. Diagnose en behandeling - bij deze deelprocessen is het onjuist coderen en onvoldoende gestructureerd vastleggen van diagnose- en behandelingsinformatie een risico. Verpleging/verzorging en nazorg - het ongestructureerd en niet in context vastleggen van de gegevens is een belangrijk risico voor de integriteit van gegevens. In veel situaties worden hierbij papieren vastleggingen gebruikt. Vastleggingen in de medische status / EPD vinden vrijwel altijd plaats door de behandelend arts, in de huidige inrichting van deze processen en huidige cultuur in de organisatie zijn hierop weinig controlemaatregelen ingericht. De verwerking van de meer administratieve gegevens, zoals uitgevoerde verrichtingen en voorgeschreven medicatie, worden meestal door de behandelend arts in een aparte (administratieve) applicatie ingevoerd of op een (meerkeuze) formulier vastgelegd. Op de invoer van deze meer administratieve gegevens zijn meer controles aanwezig. Administratieve medewerkers die de gegevens van de (meerkeuze) formulieren vastleggen krijgen hiervan periodiek verwerkingsverslagen. Bij deze invoer zijn risico s op tijdigheid en juistheid (niet goed overnemen van de gegevens) aanwezig. 4.2.2 Medisch administratieve processen Medisch administratieve processen betreffen werkzaamheden rondom het vastleggen van niet direct voor de medische zorg noodzakelijke gegevens. De setting hiervan is in bijna alle gevallen een gebruikersomgeving waarbij een administratieve organisatie aanwezig is. Functiescheidingen, procedures en controles zijn ingericht. Algemeen is er het risico dat de invoer van gegevens onvoldoende wordt teruggekoppeld naar de invoerder en of arts en dat onvoldoende aandacht wordt besteed aan het tijdig afhandelen van fouten. Ook is het een risico dat fouten alleen in de administratieve systemen worden gecorrigeerd maar niet in het bijbehorende medisch dossier / EPD. In de verschillende processen zijn de volgende risico s aanwezig. Voorschrijven medicatie - Het proces van het voorschrijven van medicatie door de arts vindt plaats door middel van een aanvraag applicatie of een papieren recept. Bij de aanvraag middels een recept is er een risico op het niet juist overnemen van de gegevens in de administratie van de apotheek. In de aanvraag applicatie en bij de verwerking in de apotheek vinden controles plaats. Scriptie Integriteit Onderzoeksgegevens 20

Poliklinische afspraken - Het administratieve proces op de polikliniek wordt door een agendasysteem ondersteund. Doordat door alle betrokkenen met deze applicatie gewerkt wordt, worden fouten gesignaleerd en gecorrigeerd. In de tijdigheid van het administratief afhandelen van de spreekuren en in de juistheid en volledigheid van de registratie van specifieke (tijdens de spreekuren uitgevoerde) verrichtingcodes zit risico. Klinische opnamen - De klinische opnamen worden door een centraal administratief punt (het opname bureau) uitgevoerd. Doordat veel zorgverleners en facilitaire diensten van deze gegevens gebruik maken is de kans op niet ontdekte en niet gecorrigeerde fouten in deze registratie klein. OK behandelingen - Het OK systeem is een combinatie van een plannings- en registratie pakket. Doordat alle OK zaken via de applicatie lopen is de kans op niet gecorrigeerde fouten in de basisgegevens klein. Risico is het coderen en invoeren van de administratieve gegevens vanuit het operatieverslag zoals de specifieke uitgevoerde medische verrichtingen. Registratie DBC s - De gegevens voor de Diagnose Behandel Combinatie (DBC) registratie worden voor het grootste deel door de behandelend arts ingevoerd. Deze registratie is noodzakelijk voor de latere facturatie van de medische zorg. Deze registratie staat los van de registratie in de medische status. Het is daarmee een dubbele registratie met het risico dat de gegevens inconsistent zijn. Daarnaast bestaat het risico op tijdigheid en juistheid van het coderen van diagnose- en behandelgegevens. Het signaleren van fouten is moeilijk omdat de medische registratie in het EPD (zoals behandeld in de paragraaf 2.5.1 zorgprocessen) niet altijd voldoende gestructureerd plaatsvindt. Geautomatiseerde controles op een consistente invoer zijn daarom niet eenvoudig mogelijk. 4.2.3 Medisch diagnostisch onderzoek De diagnostische- en beeldvormende onderzoeksprocessen doorlopen de volgende globale stappen: Aanvraag Afnemen monster (niet bij beeldvormend onderzoek) Uitvoeren onderzoek Beoordeling (controle) Autorisatie uitkomsten Registratie verrichtingen Rapportage uitslag Risico s Laboratoria Belangrijke risico s zijn fouten bij het afnemen van het monster (het verkeerde patiëntnummer koppelen aan een monster of het niet juist afnemen van het monster). Daarnaast zijn er integriteitrisico s bij de controle en autorisatie van de uitkomsten en het niet juist registreren van de uitkomsten van het onderzoek. Risico s Beeldvormend onderzoek Voor beeldvormend onderzoek worden de medische verrichtingcodes van de uitgevoerde scans aan de onderzoeksapplicatie DIO doorgegeven en niet de uitslagen en verslagen zelf. Hierdoor is het belangrijkste integriteitrisico het niet juist coderen/registreren van de uitgevoerde onderzoeken. Scriptie Integriteit Onderzoeksgegevens 21

4.3 Verwerking - Risico s in de applicatieomgeving In deze paragraaf worden de risico s tijdens de verwerking behandeld met betrekking tot de applicatie controles. De verschillende processen worden ondersteund door applicaties die bepaalde taken uitvoeren. Applicaties worden door de IT organisatie (applicatiebeheerders) ingericht en onderhouden. Om de integriteit van in de applicatie vastgelegde gegevens te waarborgen, is het belangrijk dat er in de applicatie voldoende controles worden ingericht. Risico s in deze omgeving: De verwerkingsverslagen van de applicatie worden onvoldoende gecontroleerd door applicatiebeheer waardoor het risico op onjuiste en/of onvolledige verwerking bestaat; Gegevens worden onjuist verwerkt door fouten in de applicatie; Hulp- en stamtabellen bevatten onjuistheden, zijn niet actueel of onvolledig doordat deze niet c.q. verkeerd worden onderhouden; De applicatie en de beheersprocessen zijn niet voldoende gedocumenteerd; Verantwoordelijkheden en eigenaarschap van de applicatie zijn niet goed belegd. Medische zorgprocessen De medische processen worden ondersteund door de EPD applicatie Norma. Deze applicatie biedt de functionaliteit van een electronisch patiëntendossier. De applicatie Norma sluit aan op het medisch proces en is voornamelijk gericht op dossiervorming. Als gevolg hiervan worden gegevens in de applicatie voornamelijk ongestructureerd en in vrije tekst vastgelegd. Dit maakt het moeilijk de invoer te controleren door middel van applicatie controles. De opslag van gegevens in ongestructureerde vorm verhindert het geautomatiseerd gebruiken van deze gegevens voor medisch wetenschappelijk onderzoek. 4.4 Output - Risico s koppeling onderzoeksapplicatie DIO Het gaat hier om de risico s in koppelingen van de medische onderzoeksapplicatie DIO waarbij de gegevensoverdracht niet juist of onvolledig plaatsvindt. In het kader van dit onderzoek gaat het om twee soorten van koppelingen: Koppelingen via een datawarehouse (via ETL processen gevuld); Koppelingen rechtstreeks met de database van de applicatie. De onderkende risico s zijn de volgende: Eenduidige betekenis Belangrijk is dat van de gegevens in de bronsystemen de eenduidige betekenis bekend is. Daarnaast is ook de context van de gegevens van belang. Deze context speelt bijvoorbeeld bij laboratoriumuitslagen waarbij de referentiewaarde door de tijd heen kan wijzigen. Het aanvullend vastleggen in de metadata van de bij de uitslag behorende referentiewaarde is noodzakelijk om de gegevens later voor medisch onderzoek te kunnen gebruiken. De risico s die hierbij kunnen spelen zijn: De betekenis/context van gegevens is niet eenduidig; De betekenis/context van een gegeven wordt verkeerd geïnterpreteerd; Gegevens items worden door gebruikers anders gebruikt dan in data dictionary beschreven. Datawarehouse Dagelijks worden gegevens vanuit bronsystemen middels een ETL proces overgehaald naar het datawarehouse. Hierbij is het belangrijk dat de beheerders van de datawarehouse het dagelijks bijwerken van de gegevens controleren. Er is Scriptie Integriteit Onderzoeksgegevens 22