Automatiseringsprocessen in de cloud onder controle
Zorginstellingen concentreren zich zoveel mogelijk op hun kerntaken: het zo goed mogelijk verlenen van zorg. Om die reden wordt de automatisering vaak (gedeeltelijk) uitbesteed aan een externe partij waarbij beheer, data en processen - van indicatiestelling tot declaratie - extern of in de cloud zijn ondergebracht. De verantwoordelijkheid voor IT-processen houdt niet op bij de organisatiegrens van uw zorginstelling. Die loopt door naar leveranciers, zoals de aanbieder van clouddiensten. Wie de cloud in gaat, moet zich hiervan bewust zijn.
‘Goed geregeld’, zou u als bestuurder kunnen denken. Maar dit ligt wat genuanceerder. U blijft namelijk (mede)verantwoordelijk. Niet alleen wat betreft de beveiliging van cliënten- of patiëntendossiers. Ook wat betreft de integriteit en continue beschikbaarheid van data blijft u verantwoordelijk en in het verlengde hiervan ook aansprakelijk. Voor zorgverzekeraars is het inmiddels een harde eis: u moet aan kunnen tonen in control te zijn met betrekking tot het gebruik van software. Als u gebruik maakt van een cloudoplossing loopt uw verantwoordelijkheid voor processen en de interne beheersing ervan door naar de leveranciers. Dus ook naar de aanbieder van de clouddiensten.
Het is gebruikelijk dat zorginstellingen met hun leverancier afspraken maken die vervolgens worden vastgelegd en geborgd in Service Level Agreements (SLA’s). De praktijk wijst uit dat de meeste SLA’s en de algemene voorwaarden van dienstverlening eenzijdig geformuleerd worden. Dat wil zeggen dat ze vooral de zorginstelling voorschrijven aan welke eisen zij moet voldoen. Over de verplichtingen van de leverancier gaat het vaak nauwelijks. Het komt regelmatig voor dat een zorginstelling geen aanvullende eisen stelt aan de algemene voorwaarden van haar leverancier.
Maar wat gebeurt er wanneer uw leverancier failliet gaat? Heeft u dan nog toegang tot de dossiers? En wanneer u op een andere manier afscheid van uw leverancier neemt? Hoe krijgt u alle data dan terug? Is er een periode afgesproken waarin data op de oude applicatie blijft draaien, zodat u de gegevens kunt overzetten naar een ander systeem? Aanvullende eisen stellen aan uw leverancier is daarom geen overbodige luxe.
Om voorbereid te zijn op dit soort situaties is het zinvol om - voordat u met een geselecteerde leverancier in zee gaat - een risico-inventarisatie te maken. Op basis hiervan kunt u met kwalitatieve SLA’s en aanvullende eisen op de algemene voorwaarden aan de onderhandelingstafel verschijnen. Kortom, bereid u gedegen voor op de cloud en let daarbij in het bijzonder op een adequate beheersing van processen en data, en een goede exitregeling.
Heeft u vragen?
Neem dan contact op met een van onze collega's van IT Advisory.