Automatiseringsprocessen in de cloud onder controle

Geplaatst op

Zorginstellingen concentreren zich zoveel mogelijk op hun kerntaken: het zo goed mogelijk verlenen van zorg. Om die reden wordt de automatisering vaak (gedeeltelijk) uitbesteed aan een externe partij waarbij beheer, data en processen - van indicatiestelling tot declaratie - extern of in de cloud zijn ondergebracht. De verantwoordelijkheid voor IT-processen houdt niet op bij de organisatiegrens van uw zorginstelling. Die loopt door naar leveranciers, zoals de aanbieder van clouddiensten. Wie de cloud in gaat, moet zich hiervan bewust zijn.

‘Goed geregeld’, zou u als bestuurder kunnen denken. Maar dit ligt wat ge­nuanceerder. U blijft namelijk (mede)verantwoordelijk. Niet alleen wat betreft de beveiliging van cliënten- of patiëntendossiers. Ook wat betreft de integriteit en continue beschikbaarheid van data blijft u verantwoordelijk en in het verlengde hiervan ook aanspra­kelijk. Voor zorgverzekeraars is het inmiddels een harde eis: u moet aan kunnen to­nen in control te zijn met betrekking tot het gebruik van software. Als u gebruik maakt van een cloudoplossing loopt uw verantwoordelijkheid voor proces­sen en de interne beheersing ervan door naar de leveranciers. Dus ook naar de aanbieder van de clouddiensten.

Het is gebruikelijk dat zorginstellingen met hun leverancier afspraken maken die vervolgens worden vastgelegd en geborgd in Service Level Agreements (SLA’s). De praktijk wijst uit dat de meeste SLA’s en de algemene voor­waarden van dienstverlening eenzijdig geformuleerd worden. Dat wil zeggen dat ze vooral de zorginstelling voor­schrijven aan welke eisen zij moet voldoen. Over de verplichtingen van de leverancier gaat het vaak nauwelijks. Het komt regelmatig voor dat een zorginstelling geen aanvullende eisen stelt aan de algemene voorwaarden van haar leverancier.

Maar wat gebeurt er wanneer uw leve­rancier failliet gaat? Heeft u dan nog toegang tot de dossiers? En wanneer u op een andere manier afscheid van uw leverancier neemt? Hoe krijgt u alle data dan terug? Is er een periode afgesproken waarin data op de oude applicatie blijft draaien, zodat u de gegevens kunt overzetten naar een ander systeem? Aanvullende eisen stellen aan uw leverancier is daarom geen overbodige luxe.

Om voorbereid te zijn op dit soort situaties is het zinvol om - voordat u met een geselecteerde leverancier in zee gaat - een risico-inventarisatie te maken. Op basis hiervan kunt u met kwalitatieve SLA’s en aanvullende eisen op de algemene voorwaarden aan de onderhandelingstafel verschijnen. Kortom, bereid u gedegen voor op de cloud en let daarbij in het bijzonder op een adequate beheersing van processen en data, en een goede exitregeling.

back to top