EPD

Autoriseren kun je leren

Frans Hanssen

Autorisaties zijn een cruciaal onderdeel bij de inrichting van het elektronisch patiëntendossier (EPD) – zonder de juiste rechten is er geen toegang tot het dossier en haar functionaliteiten. Iedereen die een EPD-implementatie heeft meegemaakt weet: het missen van functionaliteiten is één van de meest gemelde problemen in de periode na de go-live. Gaat het zo vaak mis bij het inrichten en toekennen van autorisaties, of speelt er meer in de complexe ziekenhuisorganisatie?

Om deze reden vertel ik, Frans Hanssen, consultant bij Beter Healthcare en ervaren op het gebied van autorisaties in HiX en SAP, over mijn lessen uit de praktijk.

Autoriseren op basis van functie
Het goed inrichten en toekennen van rechten in het EPD zorgt ervoor dat gebruikers niet zomaar overal bij kunnen. Zij hebben enkel toegang tot de dossiers en functionaliteiten die bij hun functie horen. Dit is een belangrijk middel om de privacywetgeving te handhaven – als de zorgverlener geen behandelrelatie heeft met een patiënt, hoeft hij/zij ook niet in dat dossier te kijken. In combinatie met de juiste audit-tooling, waarmee inzage in het EPD wordt gemonitord, geeft dit de organisatie grip op gegevensbescherming. Mocht inzage in een spoedgeval toch nodig zijn, dan zorgen goed ingerichte breaking glass procedures dat beperkingen tijdelijk worden opgeheven.

Daarnaast zorgt een goede autorisatiestructuur ervoor dat zorgprocessen gestandaardiseerd worden uitgevoerd. Doordat functionaliteiten alleen beschikbaar zijn voor bepaalde personen, is het voor iedereen duidelijk wie welke taken uitvoert. Zo kan er geen verwarring ontstaan over verantwoordelijkheden en wordt dubbel werk voorkomen.

Vaak begrijpen mensen niet dat rechten in het EPD worden toegekend aan functies, niet aan personen. De rechten die medewerkers hebben, zijn direct gekoppeld aan hun functie binnen de organisatie en de werkcontext waarin zij die functie vervullen, zoals een afdeling, discipline of vakgroep. De functies en autorisaties die aan medewerkers worden toegekend in het EPD, worden bepaald op basis van hoe zij geregistreerd staan in het HR-systeem van het ziekenhuis. De autorisatie van nieuwe gebruikers wordt vaak zelfs automatisch geregeld via een koppeling met het HR-systeem.

Het belang van de testfase
Als er na livegang veel meldingen komen van missende functionaliteiten, is een belangrijke vraag of alle functies van de persoon wel geregistreerd staan in het HR-systeem. Daarnaast is het vaak een uitdaging om de gebruikte terminologie in het ziekenhuis te vertalen naar de standaard functies in het EPD. Het kan ook verkeerd gaan bij de inrichting, waardoor een functionaliteit niet goed gekoppeld is aan de functie. Daarom is het belangrijk om goed te testen.

In de testfase testen gebruikers de inrichting van het EPD. Daarbij zou men alle rollen moeten uittesten binnen de functie of het specialisme. Dat blijkt na livegang niet altijd het geval. Mensen testen vaak wat ze gewend zijn te doen. Daarbij is te weinig variatie en worden sommige rollen en functionaliteiten overgeslagen. Het goed in kaart brengen van alle functies in ieder specialisme en deze allemaal meenemen in het testscript, kan veel problemen voorkomen.

Zodra er verzoeken binnenkomen voor aanvullende rechten, is een goede toezichtstructuur in de organisatie van belang. Je wilt voorkomen dat individuele beheerders beslissingen nemen die impact hebben op organisatiebrede werkprocessen en de beveiliging van patiëntgegevens. Een onafhankelijke autorisatiecommissie beoordeelt alle aanvragen en geeft opdracht aan het autorisatiebeheer om deze in te regelen.

“Zorg bij de invoering van een nieuw EPD voor goede communicatie en neem iedereen mee in de voorbereidingen. Help medewerkers te laten wennen aan de nieuwe situatie.”

Weerstand tegen verandering
Toch lost testen niet alle problemen op. Vaak blijkt dat de standaardgroepen in het EPD niet goed zijn afgestemd op de bestaande functies in het ziekenhuis. Een standaard content EPD is voor alle ziekenhuizen hetzelfde; ook de functiegroepen en autorisatiematrix zijn standaard. Het ziekenhuis moet kijken of ze daarmee uit de voeten kunnen. Daarbij moeten ze heel goed naar hun eigen processen kijken, en hoe ze die kunnen inbedden of aanpassen aan de werkwijze van het EPD.

Dit aanpassen van werkprocessen is vaak nog de grootste uitdaging. Medewerkers willen het oude systeem en werkproces niet loslaten. Vaak zijn medewerkers gewend om van alles te kunnen, ook als het eigenlijk niet (meer) bij hun functie hoort. Als die rechten worden ontnomen, zorgt dat voor frustratie. Neem bijvoorbeeld een gespecialiseerd verpleegkundige die gewend was secretaressetaken uit te voeren – dat kan nu niet meer. Soms is men ook gewend aan een werkwijze, bijvoorbeeld het gebruik van een bepaald overzicht. Dat overzicht hebben ze niet meer, maar dat betekent niet dat zij hun werk niet kunnen doen. De gebruiker zal dan zijn werkproces moeten aanpassen, en dat geeft weerstand.

Mijn belangrijkste advies is daarom: zorg bij de invoering van een nieuw EPD voor goede communicatie en neem iedereen mee in de voorbereidingen. Help medewerkers te laten wennen aan de nieuwe situatie.

 

Topic:

Frans Hanssen

Frans Hanssen is een ervaren applicatie consultant bij Beter Healthcare met focus op gegevensbescherming en gespecialiseerde zorgprocessen.

Gerelateerde blogs

NEN 7510 en de veiligheid van data: van theorie naar praktijk
EPD • 5 min read.

NEN 7510 en de veiligheid van data: van theorie naar praktijk

De veiligheid van data is belangrijk en krijgt steeds meer aandacht en focus binnen (zorg)organisaties. Dit komt onder meer door de toenemende mate van digitalisering en gegevensuitwisseling...

Cevin Krooneman
Cevin Krooneman op 9 januari 2023
Het belang van controle voor de NEN7510 en veiligheid van data
EPD • 5 min read.

Het belang van controle voor de NEN7510 en veiligheid van data

De veiligheid van data is belangrijk. Dit krijgt steeds meer aandacht en focus binnen (zorg)organisaties. Om deze veiligheid te waarborgen, zijn er verschillende Nederlandse Norm (NEN) en In...

Cevin Krooneman
Cevin Krooneman op 3 november 2022
Het Zorgprestatiemodel: maak het een succes
EPD • 3 min read.

Het Zorgprestatiemodel: maak het een succes

De huidige bekostiging van de geestelijk gezondheidszorg (GGZ) en forensische zorg (FZ) kent meerdere knelpunten en is op de lange termijn niet toekomstbestendig. Om deze reden werken de NZa...

Corine Mensink
Corine Mensink op 29 maart 2021