Op 19 juli legde een wereldwijde uitval van Microsoft de activiteiten van bedrijven, luchthavens en ziekenhuizen enkele uren lam. Hoewel dergelijke ernstige storingen zeldzaam zijn, moet elke zorginstelling voorbereid zijn op een verstoring van informatiesystemen.
Toen op dinsdag 19 juli een blauw scherm op computerschermen verscheen, meldden sommige getroffen ziekenhuizen problemen met de toegang tot elektronische patiëntendossiers. Dit leidde tot annulering van geplande behandelingen en afspraken. Zelfs toen Microsoft het probleem snel oploste, verstoorde het diensten die tijdgebonden zijn, zoals medische diensten, bankzaken en het vliegverkeer.
Blue screen of death
Het Blue Screen of Death (BSOD) in het Windows-besturingssysteem is niet ongewoon. Het kan voorkomen door een fout op de harde schijf, het gebruik van verouderde systeemversies, malware of andere problemen. De wereldwijde IT-storing toonde aan dat zelfs de meest vooraanstaande IT-providers niet immuun zijn voor systeemfouten. Zo'n kritiek probleem kan zich ook voordoen in EPD-systemen. Zorginstellingen moeten zich daarop voorbereiden omdat er veel scenario's zijn waarbij een computer plotseling kan uitvallen, zoals cyberaanvallen, hardware schade, stroomstoringen en meer.
Omdat zorginstellingen steeds meer vertrouwen op IT-systemen van verschillende leveranciers, moeten ziekenhuizen en klinieken noodprocedures ontwikkelen voor het geval er een IT-storing optreedt. Zelfs als gegevens door een korte storing slechts een paar minuten van niet toegankelijks zijn, kan dat grote gevolgen hebben voor de continuïteit van de medische dienstverlening. Bijvoorbeeld doordat de resultaten van laboratoriumtests of diagnostische beeldvorming niet beschikbaar zijn voor een patiënt die gepland staat voor een operatie. Een dergelijke situatie kan tot chaos en stress leiden.
Wat te doen in zo'n situatie? Twee belangrijke elementen zijn essentieel: een proactieve strategie om de risico's en de gevolgen te beperken en een plan om de operationele continuïteit te handhaven.
Risicobeheer
Net als in het geval van cyberbeveiliging hebben zorginstellingen een proactief plan nodig voor IT-storingen. De eerste stap is het opstellen van een lijst met kritieke IT-systemen en het uitvoeren van een grondige risicobeoordeling om mogelijke storingen te identificeren. Op basis van deze beoordeling moeten responsplannen worden ontwikkeld, zodat IT-professionals de situatie onder controle hebben.
Voorbereiding op noodsituaties begint al bij het selecteren van de juiste IT-leverancier. Hoewel een bedrijf met een uitgebreid servicenetwerk misschien iets duurder is, biedt het doorgaans ook betere ondersteuning op de lange termijn. Bij de onderhandelingen voor het afsluiten van een onderhoudscontract is het essentieel om de voorwaarden in overweging te nemen, inclusief de reactietijden van de klantenservice in geval van fouten. Experts raden aan om je te concentreren op kritieke storingen die de lopende activiteiten kunnen stilleggen. Kleinere problemen kunnen meestal worden opgelost door een interne IT-specialist.
Kwaliteitsservice is niet goedkoop, net als een goede verzekering. Het is misschien nooit nodig, maar het biedt de zekerheid dat de instelling is voorbereid op elke eventualiteit.
Continuïteit van administratieve activiteiten en zorg
Wat gebeurt er als computers uitvallen? Het is, ook voor zorginstellingen, zaak dat er een gedocumenteerd plan aanwezig is waarin de stappen en acties die ondernomen moeten worden in dergelijke situaties vermeld staan. Terwijl de IT-afdeling de softwarefunctionaliteit herstelt, moeten de medewerkers een noodplan volgen.
Dit kan inhouden dat artsen en verpleegkundigen gegevens op papier vastleggen volgens een specifieke procedure. Sommige instellingen printen uit voorzorg routinematig een lijst met afspraken van patiënten voor die dag. Als het systeem uitvalt, kunnen receptionisten snel patiënten bellen en afspraken verzetten. Daarnaast moeten alternatieve methoden voor het leveren van zorg overwogen worden, zoals het doorverwijzen van spoedeisende patiënten naar andere zorgverleners in de buurt.
De nummer één regel is om te zorgen voor snelle toegang tot gegevensarchieven. Real-time, cloud-gebaseerde back-ups zijn bijzonder waardevol, omdat ze blijvend toegang geven tot gegevens zoals die voor de storing opgeslagen waren en zo de mogelijkheid bieden om kritieke gevallen af te handelen terwijl het systeem wordt hersteld.
Deze procedures moeten niet alleen worden opgeschreven en vergeten, maar regelmatig worden geoefend. In bedrijfscontinuïteitsplanning worden deze procedures vaak ‘zekeringen’ genoemd. Dit omvat back-ups, onderhoudscontracten voor IT-systemen en procedures voor de behandeling van patiënten wanneer er geen werkend IT-systeem beschikbaar is. Iedereen moet weten wat te doen om chaos te voorkomen tijdens een kritieke situatie. Zonder deze voorzorgsmaatregelen riskeert een zorginstelling de veiligheid van patiënten, stress bij het personeel en zelfs juridische en financiële gevolgen.
Leverancierbeheer
Een sterk en vertrouwensvol partnerschap met een IT-leverancier is niet alleen van onschatbare waarde tijdens een storing, maar ook in veel andere situaties. Denk aan het doorvoeren van wijzigingen in het IT-systeem. Of, wanneer de gezondheidsautoriteit een nieuw type rapport nodig heeft of externe applicaties geïnstalleerd en geïntegreerd moeten worden.
Deze aanpak staat bekend als ‘due diligence’. In plaats van zich alleen te richten op de functionaliteit van het IT-systeem en de naleving van de regelgeving (bijv. GDPR, integratie met P1), moet de zorginstelling een diepgaande analyse van de IT-leverancier uitvoeren. Belangrijke vragen tijdens deze audit kunnen zijn:
- Wat is de capaciteit van de IT-provider voor tijdige systeemupdates?
- Wat is de reputatie van de leverancier?
- Heeft hij een lokaal servicenetwerk?
- Wat is zijn financiële situatie en wat zijn zijn vooruitzichten voor de toekomst?
- Is hij in staat om IT-innovaties te introduceren die voldoen aan de administratieve vereisten en de behoeften van patiënten, medewerkers en management?
Overweeg om SaaS-oplossingen (Software as a Service) te implementeren om risico's te beperken. In plaats van een systeem lokaal te installeren, loggen gebruikers in op een applicatie die beschikbaar is in de cloud. Omdat er geen installatie nodig is, worden gebruikersfouten door software- en hardwareconflicten geminimaliseerd. Als een computer crasht, kun je een tablet of een andere computer gebruiken om verder te werken. SaaS beschermt je echter niet tegen uitval zoals die Microsoft-storing van 19 juli.
Training en interne paraatheid
Een goed voorbereid noodplan kan de negatieve effecten van zelfs de ernstigste storingen beperken. Hoewel dergelijke storingen zeldzaam zijn, kunnen ze niet worden uitgesloten. Wil het plan effectief zijn, dan moeten werknemers ermee bekend zijn. Trainingssessies kunnen naast cyberbeveiligingstrainingen worden gegeven, omdat veel procedures elkaar overlappen - het resultaat van een cyberaanval of een storing in een IT-systeem is vaak hetzelfde: geblokkeerde toegang tot computers en gegevens.
De IT-afdeling, die verantwoordelijk is voor de goede werking van de IT-infrastructuur, moet werknemers onmiddellijk informeren over onderbrekingen, de tijd die nodig is om de storing te verhelpen, mogelijke workarounds, tijdelijke methoden voor gegevensregistratie en meer. Als de instelling e-health diensten aanbiedt, zoals het online maken van afspraken of toegang tot testresultaten, moeten berichten die tijdens storingen worden weergegeven van tevoren worden voorbereid.
Storingen testen ook de digitale volwassenheid van een zorginstelling. Een goede IT-afdeling houdt de prestaties van hardware en software in de gaten en reageert snel als zich problemen voordoen. Bezuinigen op IT-professionals kan op de lange termijn een riskante zet zijn.