Prismant
ontwikkeling of loterij?
Risicomanagement: beheersbare ontwikkeling of loterij?
29 januari 2004
Inleiding
De kans dat een zorginstelling op medisch aansprakelijk wordt gesteld
voor schade aan derden door toedoen van fouten van personeel of
informatiesystemen neemt steeds meer toe. De kosten die deze fouten
veroorzaken en de eventueel daaruit voortkomende schadeclaims, zijn
niet bekend, maar kunnen waarschijnlijk hoog oplopen. Veelal is er
geen beleids- en actieplan om risicos te kunnen beheersen en
pro-actief te kunnen sturen op ongewenste ontwikkelingen.
Het beeld van een loterij met een relatief groot aantal nega¬tieve
hoofd¬prijzen dringt zich op. Maar dit kan en moet natuurlijk anders.
Risicomanagement: topic voor de raden van bestuur van zorginstellingen
Met het instellen van de Zorgkamer door de minister bij het
gerechtshof Amsterdam, vier jaar geleden op advies van de Commissie
Health Care Governance onder leiding van prof.dr. P.L. Meurs, is de
noodzaak van een goed onderbouwd en ingericht risicomanagement, al
lang geen punt van discussie meer . Belanghebbenden zoals de
cliëntenraad, regionale patiënten/consumenten platforms, de Inspectie
voor de Gezondheidszorg of de Zorgverzekeraar kunnen de Zorgkamer
vragen het ter discussie gestelde beleid te onderzoeken. Met als
mogelijk gevolg imagoschade voor de organisatie en de leden van de
raden van bestuur. De tragische gebeurtenissen in Volendam en Enschede
staan ons allen nog helder voor de geest. Gemeentebestuurders werden
daarbij publiekelijk geëvalueerd op hun verantwoordelijkheid voor hun
beleid de risicos op dergelijke rampen binnen aanvaardbare grenzen te
houden en op hun adequaat handelen ten tijde van de ramp. Ook binnen
de zorg komen bestuurders met hun beleid en de effecten daarvan meer
en meer in de publieke openbaarheid.
We zien dan ook dat het schatten en planmatig kunnen beheersen van
risicos die zorginstellingen lopen, een steeds belangrijker punt wordt
op de agenda van de raden van bestuur en raden van toezicht van
zorginstellingen.
Risicomanagement in een notendop
Wat verstaan we eronder?
Vanuit het strategisch perspectief is het de taak van het
(top-)management van de zorginstelling om zodanig met de onderkende
risicos om te gaan dat de doelen en het beleid van de organisatie op
alle niveaus worden bereikt. In deze korte introductie van het
onderwerp benaderen we risicomanagement als een systematisch,
gefaseerd proces (zie het vervolg voor een nadere concretisering).
Er zijn verschillende standaardmethoden beschikbaar, veelal vanuit
financiële en industriële omgevingen .Toch moet elke zorginstelling
dát risicomanagementsysteem ontwikkelen dat het beste past bij de
eigen doelen, bedrijfsprocessen en zelf geprioriteerde risicogebieden.
Voorbeelden van risicogebieden zijn:
* Bestuurlijke risicoprocessen, zoals rondom de continuïteit van de
organisatie, omge¬ving, maatschappij en politiek, kwaliteit van de
zorg, doel¬matigheid, efficiëntie en imago en pers.
* Wet- en regelgeving, juridische aansprake¬lijkheid (o.a. medische
fouten , privacy van patiënten, vertrouwelijkheid en beveiliging
van informatie ).
* Financiën (liquiditeitsposities, DBC-onderhandelingen en
bestuursverklaringen, beoordeeld door de accountant, over de
juistheid, volledigheid en tijdigheid van de DBC-registratie en
declaratie).
* Falen van mensen, processen en informatiesystemen (beschikbaarheid
van computersystemen, calamiteiten, informatiebeveiliging).
* Huisvesting, personeel, ARBO gerelateerde onderwerpen, veiligheid
van personeel en patiënten.
Toenemende marktwerking in de zorg doet het belang van een adequaat
management op deze risicobeheersingsprocessen vanuit de top verder
toenemen.
Planmatige aanpak
Bestudering van de verschillende methoden van risicomanagement leert
dat er een vast stramien ligt onder de verschillende methodieken.
Grofweg komt dit neer op de volgende fasering:
* Als afgeleide van de doelstellingen en het beleid van de
organisatie wordt een inventarisatie en prioritering van
risicogebieden uitgevoerd, waarbij de risicogebieden in samenhang
worden geanalyseerd.
* Per risicogebeid worden risicotoleranties afgeleid om de risicos
te kunnen evalueren op de kans (0-1) dat ze zich kunnen voordoen,
de impact die het zich voordoen van een risico op het bereiken van
de organisatiedoelen zal hebben (laag-hoog), de mate van
beheersbaarheid van het risico (goed nauwelijks) en de mate van
urgentie van de treffen maatregelen.
Voor de geïnventariseerde en geëvalueerde risicos wordt bepaald in
welke processen van de zorginstelling dat risico zich voordoet en
welke medewerkers van de organisatie in welke rol en met welke
verantwoordelijkheid bij het risicomanagementproces zijn
betrokken.
* Het identificeren van de maatregelen om de risicos te reduceren.
Hiervoor zijn verschillende strategieën in omloop, zoals het
herontwerpen van processen, het opvoeren van de bewaking, het
opschakelen in de besluitvorming, het reduceren of beëindigen van
de over risicodragende activiteit, verzekeren of uitbesteding aan
derden.
* Inbedden in de organisatie (toewijzen verantwoordelijkheden).
Essentieel hierbij is een instellingsbrede implementatie en
coördinatie van het Risicomanagementsysteem.
* Monitoring en rapportage, bij voorkeur ondersteund door een
geautomatiseerd monitoring- en rapportagesysteem.
* Financiering van het risicomanagementsysteem.
Huidige diensten van Prismant m.b.t. Risicomanagement
Prismant heeft met de WBP-scan die zij al voor ca 30 zorginstellingen
heeft uitgevoerd, een eerste belangrijke stap gezet in het vormgeven
van Risicomanagement voor de zorginstellingen op het gebied van
privacybescherming. De WBP-Scan inventariseert de verwerkingen van
persoonsgegevens, brengt in kaart waarop die verwerking niet aan de
wetgeving voldoet en presenteert met welke verbetermaatregelen wél aan
de eisen wordt voldaan. WBP-scan brochure
In de loop van het eerste kwartaal 2004 wordt de dienstverlening van
Prismant in het kader van het Risicomanagement uitgebreid met de
zogenaamde IBIZ-scan, een eerste vervolgstap op de WBP-scan. IBIZ
staat voor Informatie Beveiliging In de Zorg en verwijst naar de
NEN-norm 7510 die het eerste kwartaal van 2004 van kracht wordt en
nieuwe eisen ten aanzien van informatiebeveiliging afdwingt. Deze norm
is gekoppeld aan het veilig gebruik binnen de instellingen van het
landelijk unieke patiëntennummer, dat de minister tijdens het Medisch
Informatica Congres van 20 november aankondigde en in 2006
operationeel zal zijn. artikel over informatiebeveiliging. Met de
ervaringen van de WPB-scan en de IBIZ-scan zal Prismant het
instrumentarium voor het risicomanagement van zorginstellingen verder
uitbreiden.
Uitnodiging aan de raden van bestuur van zorginstellingen
Binnen Prismant is de expertise aanwezig om een integrale aanpak van
Risicomanagement gericht op de door de zorginstelling geprioriteerde
risicogebieden invulling te geven. Betrokkenheid en inbreng vanuit de
praktijk is daarbij onmisbaar.
Wij nodigen bestuurders van zorginstellingen dan ook van harte uit
met ons mee te denken over hoe wij het Risicomanagement voor de
Nederlandse zorginstellingen gestalte kunnen geven.
Hebt u vragen, ideeën, suggesties of opmerkingen dan kunt u contact
opnemen met Marcel Jonker of Dick Belderbos, afdeling
Informatiemanagement (030-2345644). U kunt ook een mail sturen aan
dick.belderbos@prismant.nl