Over de PRI
Dit artikel beschrijft waarom de risicoinventarisatie belangrijk is. Hierbij belichten we zowel de patiëntveiligheid als de bedrijfscontinuïteit. Daarnaast bespreken we methodes om te bepalen in welke gevallen een uitgebreidere risico-inventarisatie zinvol is en in welke gevallen kan worden volstaan met een verkorte risico-inventarisatie. Het risicomanagement dat we hier beschrijven is van toepassing gedurende de gehele levenscyclus. Tijdens de fasen verwerving en ingebruikname worden risico’s vooraf aan het gebruik ingeschat. Dit kan gedaan worden door een prospectieve risico-inventarisatie uit te voeren met beoordeling van risico’s op het gebied van patiëntveiligheid. Tijdens de gebruiksfase kunnen door wijzigingen (updates/upgrades) de risico’s veranderen. Ook het gebruik in de patiëntenzorg kan veranderen. Dit betekent dat een prospectieve risico-inventarisatie tijdens de gebruiksfase geüpdatet moet worden.
Daarnaast kan er een risico-inventarisatie uitgevoerd worden op de betrouwbaarheid van de patiëntinformatie wat betreft beschikbaarheid, integriteit en vertrouwelijkheid (BIV). Met een business impact analyse (BIA) en een Privacy Impact Analyse (PIA) worden respectievelijk de risico’s
voor bedrijfsvoering en privacy bekeken. En juist deze laatste analyse is bijvoorbeeld relevant tot en met de afstotingsfase.
Ik moet een PRI over een bepaald softwarepakket uitvoeren, hoe begin ik?
Om een risico-inventarisatie te maken, staan verschillende methoden ter beschikking zoals SAFER en HFMEA. Deze laatste is door VMS Zorg uitvoerig beschreven in de vorm van een praktijkgids PRI. Daarnaast kan een bow-tieanalyse zinvol zijn. Andere bruikbare bronnen zijn de Leidraad NIKP (FMS) en het WINT2.0 rapport (Koepel MT) over Risicomanagement ten behoeve van veilig toepassen van medische hulpmiddelen. In bijlage IV staat een uitgebreid stappenplan PRI, uitgewerkt op basis van het VMS Zorg format. Een risico-inventarisatie op basis van de HFMEA en SAFER bevat een vijftal stappen, waarbij in stap 4 de daadwerkelijke risico-inventarisatie van het werkproces uitgevoerd wordt.
Stap 1 en 2: benoemen PRI en samenstelling projectgroep
In de eerste stap wordt benoemd waar de risico-inventarisatie over gaat. Daarna worden de leden van de projectgroep benoemd. Het is belangrijk dat een multidisciplinaire groep de risico-inventarisatie uitvoert zodat er brede deskundigheid aanwezig is en er vanuit verschillende invalshoeken naar mogelijke risico’s wordt gekeken. Welke deskundigen hierbij betrokken moeten worden hangt sterk af van de aard en toepassing en dus van de scope van de analyse: is de software bijvoorbeeld bedoeld voor een specifieke afdeling of voor meerdere afdelingen? De lokaal aanwezige Taken, Bevoegdheden en Verantwoordelijkheden-matrix maakt duidelijk welke stakeholders vertegenwoordigd moeten zijn. Zie ook Praktijkvraag 4. In het geval van medische software, kan gedacht worden aan key-users, klinisch fysicus, klinisch informaticus, medisch technicus, functioneel beheerder, technisch beheerder en IT-architect. Daarnaast moeten deelnemers uit het primaire (zorg)proces, zoals de medisch specialist, verpleegkundige of laborant, vertegenwoordigd zijn.
Stap 3: afbakening
Een PRI gaat nooit over een applicatie of medisch apparaat, maar altijd over het werken met een applicatie. Het is noodzakelijk om het proces goed af te bakenen, passend bij het werkproces, voordat de risico’s daadwerkelijk getoetst worden. Dit voorkomt onnodig werk maar ook onnodige discussie in het bestrijden van risico’s die functioneel buiten de scope vallen.
Stap 4: analyse van het proces
Voor de beschouwing van het werkproces is het belangrijk om dat proces stapsgewijs te doorlopen, gebaseerd op de mogelijke faalwijzen die kunnen plaatsvinden. Elke faalwijze kent oorzaken en mogelijke gevolgen voor zowel de patiënt en de medewerker als de bedrijfscontinuïteit. Benoem vervolgens de ernst van de faalwijze en de kans dat deze faalwijze optreedt. Het product van beide is de risicoscore. Bepaal met behulp van een risicomatrix of de vastgestelde risico’s acceptabel zijn of niet. In geval van een hoge of zeer hoge risicoscore, moeten er passende tegenmaatregelen benoemd worden.
Risico’s met een hoge risicoscore, moeten worden weggenomen of met een geschikte tegenmaatregel tot een aanvaardbaar niveau worden teruggebracht. Daarna moet nagegaan worden of deze tegenmaatregel geen nieuwe risico’s introduceert.
Stap 5: benoemen verbetermaatregel
In stap 4 kunnen tegenmaatregelen benoemd zijn, die nog verdere uitwerking behoeven. Dit zijn de zogenaamde verbetermaatregelen. Deze kunnen van pas komen bij het opstellen van het Pakket van Eisen voor de aanschaf en/of de verdere inrichting van de gebruiksomgeving en de organisatie van het functionele en technische beheer van de software- en IT-infrastructuur. Daarnaast kunnen deze uitkomsten gebruikt worden om de keuzes van het management te verantwoorden over de inzet van geld en middelen. Deze verbetermaatregelen moeten binnen de gestelde termijn opgelost worden.
Moet ik voor alle medische informatietechnologie een volledige risicoinventarisatie uitvoeren?
Het is niet zinvol om elk proces zo uitgebreid te analyseren. Een uitgebreide risicoinventarisatie is enkel zinvol als het proces daar om vraagt. Maar hoe bepaal je dit?
Om te bepalen of een zorgproces (met software en afhankelijkheid van IT-componenten) een hoog patiëntveiligheidsrisico heeft, wordt in veel ziekenhuizen een vorm van screening toegepast. Een voorbeeld hiervan is de PRI-screening van het Jeroen Bosch Ziekenhuis (bijlage V). Na het doorlopen van een standaardvragenlijst, wordt op basis van de antwoorden bepaald of een uitgebreide risicoinventarisatie (volgens HFMEA of SAFER) noodzakelijk is.
Voor meer IT-gerichte risico’s zijn aparte tools beschikbaar om een eerste risico-inschatting te doen. De BIV, BIA en PIA zijn zo opgezet dat deze een scoring geven als bepaalde belangrijke risico’s hoog zijn. Ook hierbij is het mogelijk om een uitgebreidere risico-inventarisatie uit te voeren. Voor een aantal toepassingen zijn al formats of normen beschikbaar. Zo beschrijft de IEC 80001 normenreeks het risicomanagement voor de integratie van medische apparatuur in een IT-netwerk.
Wat zijn de verschillen tussen PRI, BIV, BIA en PIA?
Risico’s binnen een zorginstelling zijn vanaf meerdere kanten te beschouwen. Om enkel patiëntveiligheidsrisico’s te analyseren wordt de PRI gebruikt. Deze methode gaat altijd uit van het risico voor één individuele patiënt. Om risico’s te analyseren op het gebied van informatiebeveiliging en bedrijfsvoering zijn respectievelijk de BIV-classificatie (over de betrouwbaarheid van informatie), de BIA (Business Impact Analyse) en de PIA (Privacy Impact Analyse) belangrijk.
BIV-classificatie
Bij het uitvoeren van een risico-inventarisatie over de betrouwbaarheid van informatie moet men de totale informatietechnologie in ogenschouw nemen, dus ook de hardware en het operating system waarop de software draait en, indien van toepassing, ook de IT-infrastructuur. De uiteindelijke betrouwbaarheid van het informatiesysteem wordt immers bepaald door de betrouwbaarheid van alle onderdelen van het systeem.
De BIV-classificatie geeft een indicatie voor het gewenste beveiligingsniveau van een object. Dat object kan meerdere vormen aannemen zoals informatie of een bedrijfsproces, maar ook een informatiesysteem. De B staat voor Beschikbaarheid: de mate waarin informatie beschikbaar moet zijn wanneer het bedrijfsproces daar om vraagt.
De I staat voor Integriteit: de mate waarin informatie juist, volledig en actueel is en V staat voor Vertrouwelijkheid: de mate waarin informatie alleen toegankelijk is voor daartoe geautoriseerde gebruikers. Een voorbeeld van een BIV-classificatiemethode staat in bijlage VI.
Meestal wordt voor de BIV-classificatie een indeling in 3 niveaus gebruikt bijvoorbeeld 3,3,2, wat staat voor: B=3, I=3, V=2. Dit zou bijvoorbeeld de BIV-classificatie voor een epdsysteem kunnen zijn. De BIV classificatie speelt niet alleen een rol in de verwervingsfase maar ook in de andere fasen van de levenscyclus van medische informatietechnologie. De BIV-classificatie is ontleend aan de norm ISO 27005:2011; Information Technology; Security Techniques; Information Security Management.
BIA
Dit is een risicoanalysemethode waarmee de impact wordt bepaald op de factoren Beschikbaarheid, Integriteit en Vertrouwelijkheid als er storingen zijn in medische informatietechnologie. Wat betreft Beschikbaarheid wordt gekeken naar de business impact wanneer een systeem door een storing een bepaalde tijd niet gebruikt kan worden. Zo kan bijvoorbeeld de vergelijking worden gemaakt tussen de impact van het twee uur uitvallen van een ergometriemeetopstelling en het epd-systeem. Ook gaat het bij Beschikbaarheid om de impact van het verlies van gegevens.
Bij de BIA wordt gebruikgemaakt van een schaal met vijf niveaus om het impactniveau voor schade te bepalen: catastrofaal, ernstig, belangrijk, gering en verwaarloosbaar. In de analyse wordt aan de hand van een vragenlijst gekeken naar de gevolgen voor verschillende risicogebieden zoals patiënten, medewerkers, verstoring bedrijfsproces, verlieskosten, imagoverlies, aansprakelijkheid en fraude. De BIA maakt zo duidelijk wat de kritische en minder kritische systemen binnen een zorginstelling zijn. Veelal wordt de uiteindelijke BIA-score omgezet naar een driepuntschaal: laag, midden, hoog. Een voorbeeld van een BIA vragenlijst is opgenomen in bijlage VII. De BIA is belangrijk voor de inrichting van de IT-infrastructuur, maar ook om de eisen vast te stellen voor het supportniveau van het functionele en technische beheer. Zo worden de servers en dataopslag van een informatiesysteem met BIA-score ‘hoog’ zeer waarschijnlijk dubbel uitgevoerd. Ook moeten er goede afspraken en waarborgen zijn voor 24-uursondersteuning, hoge uptime, korte responstijd bij storingen en de inrichting van een volledige teststraat bij het doorvoeren van updates.
De eindverantwoordelijkheid voor de uitvoering en het resultaat van een BIA ligt formeel bij de eigenaar van het proces waarbinnen het systeem gebruikt wordt. De eigenaar beslist over zowel de impact van storingen als over risico’s bij wijzigingen in functionaliteit.
De eigenaar is ook verantwoordelijk voor de implementatie en opvolging van de vastgestelde beveiligingsmaatregelen. Beveiligingsmaatregelen kosten tijd en geld en moeten gerechtvaardigd zijn ten opzichte van de te beheersen risico’s. Gezien het specialistische karakter worden een BIV en BIA voor de belangrijkere applicaties binnen een zorginstelling veelal het best door een multidisciplinaire groep gemaakt.
PIA
Bij inzet van medische informatietechnologie is het van belang om zorgvuldig om te gaan met de privacy van patiënten en medewerkers. Er worden immers persoonsgegevens vastgelegd en verwerkt waardoor de privacy potentieel risico ondervindt. Een handige tool om privacyrisico’s in kaart te brengen, is de Privacy Impact Assessment (PIA). Een geschikte methode hiervoor is die van NOREA, de beroepsorganisatie van IT-auditoren. NOREA raadt aan om de PIA volgens deze stappen uit te voeren:
In stap 1 wordt bepaald met wie de PIA moet worden uitgevoerd. Net als voor de andere risico inventarisaties is het noodzakelijk om de PIA met een team uit te voeren. Vanuit de stakeholdersanalyse kan bepaald worden wie onderdeel moeten uitmaken van het team. Voorbeelden zijn: de opdrachtgever, opdrachtnemer, (toekomstig) gebruiker, expert informatiebeveiliging, expert medische technologie, klinisch informaticus en ITarchitect. Als vervolgens in stap 3 de PIA-vragenlijst wordt ingevuld, gebeurt dit aan de hand van diverse onderwerpen, zoals de gegevens waar het om gaat, de betrokken partijen, de bewaartermijn van de gegevens, de beveiliging en het onderwerp meldplicht datalekken.
Als de vragenlijst is ingevuld, bepaalt de groep de impact, waarbij er onderscheid gemaakt moet worden tussen de impact op de betrokkenen en de impact op de organisatie (imago, financieel). Vanuit de impact kan de groep bepalen waar welke maatregelen geïmplementeerd moeten worden. Meer hierover is terug te vinden in Praktijkvraag 11.
Conclusie
Een PRI moet altijd uitgevoerd worden als het een informatietechnologie betreft die voldoet aan de definitie van medisch hulpmiddel. Het is echter zinvol te starten met een vorm van screening om te bepalen of een uitgebreidere analyse noodzakelijk is. Deze screening kan zich richten op het patiëntrisico of meer op een continuïteitsrisico voor de patiëntenzorg. Afhankelijk van de uitkomst kan het raadzaam zijn een uitgebreidere analyse uit te voeren volgens bijvoorbeeld het format van VMS Zorg of volgens de formats uit de IEC 80001. Dit levert vervolgens een PRI op die als levend document gebruikt kan worden gedurende de gehele levenscyclus van de toepassing.
Waar kan ik meer lezen?
Risicomanagement van medische informatietechnologie wordt verplicht gesteld door het Convenant Medische Technologie gedurende de gehele levenscyclus. Vanuit deze richtlijn is meer informatie te vinden.
Naast het Convenant bieden de volgende twee richtlijnen ook meer informatie:
• IEC 80001 (IEC 80001-1 Application of risk management for IT networks incorporating medical devices IEC 80001-2-1 Step-by-step risk management of medical IT-networks)
en
• IEC 80002-1.
Tot slot wordt vaak aangeraden om risicomanagement volgens de ISO 14971 uit te voeren.