Scriptie BiSL/ ASL, het wondermiddel voor de IT ... - Vurore

Vrije Universiteit AmsterdamIT Audit opleidingScriptieBiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen deNederlandse gezondheidszorg?Naam:drs. G.J.A.M.J. (Gert-Jan) Gerrits RAAdres: Boreel de Mauregnaultstraat 165361 HG GraveTelefoonnummer: 0486-47589506-29084292E–Mail:gert-jan.gerrits@nl.ey.comStudentnummer: 9981285Teamnummer: 814Werkgever:Ernst&Young EDP Audit, ApeldoornTelefoonnummer: 055-5291400Fax: 055-5291350Bedrijfscoach Ernst &Young:Begeleider VU:ing. D.R. (Dennis) Utermark REC.(Cees) Coumou

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen deNederlandse gezondheidszorg?

INHOUDSOPGAVE1 Aanleiding tot het onderzoek en onderzoeksvraag 11.1 Aanleiding van het onderzoek 11.2 De onderzoeksvraag en aanvullende deelvragen 21.3 Opbouw van het rapport 32 Functioneel /(applicatie-)beheer 42.1 Inleiding 42.2 Wat is functioneel applicatiebeheer? 42.3 Wat is de relatie met technisch beheer? 62.4 Afsluiting 83 Inventarisatie van oorzaken en formulering van eisen 93.1 Inleiding 93.2 Inventarisatie van oorzaken 103.3 Formulering van eisen 113.4 Afsluiting 124 BiSL/ASL 134.1 Inleiding 134.2 Wat is BiSL/ASL? 134.3 Voldoet BiSL/ASL aan de eisen die daaraan gesteld worden vanuit de gezondheidszorg?214.4 Welke aanpassingen zijn noodzakelijk om BiSL/ASL toepasbaar te maken? 254.5 Op welk detailniveau dient BiSL/ASL toegepast/ ingericht te worden binnen eenorganisatie? 254.6 Afsluiting 265 Beantwoording centrale onderzoeksvraag en wat nu? 285.1 Inleiding 285.2 Beantwoording centrale onderzoeksvraag 285.3 Wat nu? 286 Verklarende woordenlijst 307 Literatuurlijst 33

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?1 Aanleiding tot het onderzoek en onderzoeksvraag1.1 Aanleiding van het onderzoekDe gezondheidszorgbranche is een branche die constant in ontwikkeling is.Gezondheidszorginstellingen, en in het bijzonder ziekenhuizen, worden niet langer gefinancierdop basis van verrichtingen en de bijbehorende parameters (het zogenaamde FB Budget 1 ) maar opbasis van werkelijke productie uitgedrukt in DBC’s (Diagnose Behandeling Combinaties) 1 . Dezeveranderingen hebben niet alleen een grote invloed op de financieringwijze van een ziekenhuis,maar hebben vaak ook een grote impact op de automatiseringsomgeving van deze ziekenhuizen.Ziekenhuizen beschikken veelal over een IT infrastructuur die in sommige gevallen meer danvijfentwintig jaar oud is. Met de komst van DBC’s zijn hier IT componenten aan toegevoegdzoals een validatiemodule 1 , om het koppelen van verrichtingen en het valideren 1 van DBC’smogelijk te maken. Een gemiddeld ziekenhuis beschikt al snel over vijfentwintig tot vijftigverschillende applicaties, dito applicatie beheerders en dito verschillende beheerprocedures. Ditheeft vaak een onoverzichtelijk geheel tot gevolg.Naast de gewijzigde financieringsstructuur krijgen ziekenhuizen ook te maken met de invoeringvan een EPD 1 . Een duidelijke standaard voor de inrichting en beveiligingseisen van een dergelijkdossier ontbreken echter nog. Met de steeds verdere uitbaning van papierendossiers lopenziekenhuizen grote risico’s om niet te voldoen aan de vereisten zoals neergelegd in NEN7510 1 ,de WBP 1 en de WGBO 1 . Tevens is het voor de interne beheersing en natuurlijk ook de jaarlijkseaccountantscontrole een must om te kunnen steunen op geautomatiseerde controles.Mijn klantenpakket bestaat voor ongeveer 75% uit ziekenhuizen, verpleeg- en verzorgingshuizenen softwareleveranciers in de zorg. Mijn ervaring daar leert dat veel gezondheidszorginstellingenmomenteel werken aan een geleidelijke invoering van NEN 7510, informatiebeveiliging in dezorg. Echter, goede en eenduidige IT-beheerprocedures ontbreken nog steeds. Hierdoor komenwij bij gezondheidszorginstellingen meer dan eens tot de conclusie dat de procedures voorfunctioneel applicatiebeheer een onvoldoende basis bieden om op te steunen tijdens deaccountantscontrole. De vraag is of dit het gevolg is van de veelheid aan applicaties, de veelheidaan verschillende procedures, of juist het ontbreken van procedures, de veelheid aan functioneelapplicatiebeheerders, de onduidelijkheid van de inhoud van de werkzaamheden van eenfunctioneel applicatiebeheerder of een combinatie van deze factoren?Een framework dat zich meer richt op de bedrijfsprocessen en minder op de aanwezigeapplicaties zou uitkomst kunnen bieden om te komen tot goede en eenduidige ITbeheerprocedures.BiSL/ASL is een voorbeeld van zo’n framework dat zich wat meer richt op de1 Gebruikte begrippen zijn toegelicht in de verklarende woordenlijst in hoofdstuk 6.1

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?onderkende processen en wat minder op de afzonderlijke applicaties, zoals dit binnen degezondheidszorg momenteel nog erg gebruikelijk is.Maar uitsluitend de invoering van een theoretisch model, zonder adequate inrichting en toetsendkader, kan toch ook niet de oplossing zijn voor de jarenlange problemen?1.2 De onderzoeksvraag en aanvullende deelvragenOp basis van de in §1.1 uiteengezette aanleiding van het onderzoek is de volgendeonderzoeksvraag geformuleerd:Is het BiSL/ASL model een praktisch toepasbaar model voor het functioneel applicatiebeheer(FAB) binnen de Nederlandse gezondheidszorg?Als afstudeeropdracht aan de postdoctorale IT Audit van de Vrije Universiteit van Amsterdamwil ik bovengenoemde onderzoeksvraag nader uitwerken. Om een antwoord te kunnen geven opde geformuleerde onderzoeksvraag dienen de volgende deelvragen beantwoord te worden:1 Wat is functioneel applicatiebeheer?2 Wat zijn de oorzaken waarom de procedures voor functioneel applicatiebeheer voor deNederlandse gezondheidszorginstellingen als onvoldoende wordt ervaren?3 Wat zijn de eisen waaraan een goede procedure voor functioneel applicatiebeheer voor deNederlandse gezondheidszorginstellingen moet voldoen?4 Wat is BiSL/ASL?5 Voldoet BiSL/ ASL aan de eisen vanuit de Nederlandse gezondheidszorg en welkeaanpassingen zijn noodzakelijk om BiSL/ASL toepasbaar te maken voor degezondheidszorg?6 Op welk detailniveau dient BiSL/ASL ingezet te worden om toepasbaar te zijn voorNederlandse Gezondheidszorginstelling?Voor het schrijven van mijn scriptie ben ik uitgegaan van de situatie bij de Nederlandseziekenhuizen. Hierdoor blijven de uitkomsten van mijn onderzoek breed toepasbaar voorinstellingen binnen de gehele gezondheidszorg in Nederland. De reden hiervoor is datziekenhuizen binnen de Nederlandse gezondheidszorginstellingen kunnen worden aangemerkt alshet meest complex. Dit geldt zowel voor de organisatiestructuur, financieringstructuur als voor deautomatiseringsomgeving.2

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?1.3 Opbouw van het rapportDeze afstudeerscriptie is opgebouwd aan de hand van de bovengenoemde deelvragen. Inhoofdstuk twee is een antwoord gegeven op deelvraag een. Deelvraag twee en drie zijn inhoofdstuk drie nader uitgewerkt. In hoofdstuk vier heb ik deelvraag drie tot en met zes naderuitgewerkt. Het laatste hoofdstuk, hoofdstuk vijf, wordt vervolgens afgesloten metbeantwoording van de deelvragen en de centrale onderzoeksvraag van deze afstudeerscriptie.3

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?2 Functioneel /(applicatie-)beheer2.1 InleidingDe naamgeving van dit hoofdstuk met de diverse leestekens ziet er wat vreemd uit en ismisschien wel wat verwarrend. Deze verwarrende indruk krijg ik ook wel eens bij instellingenwaar wij onze werkzaamheden uitvoeren. Begrippen als functioneel applicatiebeheer, functioneelbeheer en applicatiebeheer zijn te extraheren uit deze hoofdstukomschrijving. In paragraaf 2.2 zalik deze begrippen nader uitwerken en omschrijven wat ik in het kader van deze scriptie verstaonder deze begrippen. In paragraaf 2.3 wordt een aanvullend begrip geïntroduceerd, technischbeheer. In deze paragraaf wordt tevens de relatie met de begrippen functioneel beheer enapplicatiebeheer verder uitgewerkt. In paragraaf 2.4 zal ik dit hoofdstuk afsluiten door teomschrijven wat ik onder de begrippen functioneel beheer en applicatiebeheer zal verstaan voorhet vervolg van mijn scriptie.2.2 Wat is functioneel applicatiebeheer?Functioneel applicatiebeheer is een containerbegrip. Stel een willekeurige organisatie of eenwillekeurige afdeling binnen een organisatie de vraag wat functioneel applicatiebeheer inhoudt ensteeds weer wordt een andere invulling gegeven aan dit begrip. Opvallend hierbij is dat in veelgevallen de nadruk ligt op de IT-organisatie en de bijbehorende procedures, zoals ITIL 1 . Deinbreng vanuit de gebruikersorganisatie krijgt hierbij vaak nog onvoldoende aandacht.Zowel de invalshoek vanuit de IT-organisatie én de invalshoek vanuit de gebruikersorganisatiezijn van belang voor de inrichting van een adequate IT beheeromgeving. Wellicht kan zelfsgesteld worden dat de invalshoek vanuit de gebruikersorganisatie van net iets groter belang is. Dereden hiervoor is dat IT een ondersteunende discipline is. Hierdoor is de IT organisatie in sterkemate afhankelijk van de perceptie van de dienstverlening door de primaire disciplines (degebruikersorganisatie) binnen een organisatie. De perceptie van deze gebruikersorganisatiebepaalt in grote mate of de werking van een IT-organisatie 2 succesvol is of niet. Door dezeperceptie is het in sommige gevallen van ondergeschikt belang of een IT-organisatie technischsubliem werk aflevert. Indien de werkzaamheden door de gebruikersorganisatie als‘onvoldoende’ ervaren en gewaardeerd worden omdat ze onvoldoende aansluiten bij de wensen2 Het succes van de IT-organisatie is bij uitstek een van de dissatisfiers uit de motivatietheorieën van Maslow enHerzberg. De IT-organisatie zal nooit te horen krijgen dat zaken goed geregeld zijn, enkel zal men te horenkrijgen indien de zaken niet goed geregeld zijn.4

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?van de gebruikersorganisatie zal het eindoordeel ‘onvoldoende’ zijn, ongeacht de technischekwaliteit van de werkzaamheden van de IT-organisatie 3 .Het is van belang zowel de invalshoek van de gebruikersorganisatie als de invalshoek van de ITorganisatieeen plaats te geven binnen het geheel. De gebruikersorganisatie en de IT-organisatievormen samen de IT-beheerorganisatie.Looijen heeft het begrip functioneel applicatiebeheer gesplitst in functioneel beheer enapplicatiebeheer.Functioneel beheer is het namens de gebruikersorganisatie instandhouden van de functionaliteitvan de informatiesystemen en infrastructuur. In de praktijk ziet men deze functie uitgebreidworden naar de complete aansturing van de informatievoorziening in een organisatie.Primaire aandachtsgebieden 4 : informatievoorziening én de gebruikersorganisatie.Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 2005conform de definitie van LooijenOm het begrip functioneel beheer nader te verduidelijken heb ik een aantal taken weergegevendie onder functioneel beheer kunnen vallen:• Gebruikersbeheer (aanmaken van gebruikers en toekennen van rechten);• Helpdeskfuncties (afhandelen service requests en incidenten);• Specificeren maatwerk en specificeren van eisen;• Uitvoeren van impactanalyses wijzigingen;• Uitvoeren en begeleiden van testen;• Ontwikkelen van rapportages middels rapportagetools;• Opleiden eindgebruikers;• Opleiden keyusers;• Opstellen/ beheer van procesbeschrijvingen/ werkinstructies;• Verzorgen van periode afsluitingen.3 De wet van Maijer stelt; E=f K, A. Het betekent: Effect (E) van een activiteit is het product (*) van Kwaliteit (K) enAcceptatie (A). Dus, hoe goed een product/dienst inhoudelijk ook is (K), het gaat erom dat de activiteit wordtgeaccepteerd door de gebruikers (A). Wanneer de acceptatie nihil is (A=0) is het effect nihil (E=0). Dus verspildemoeite.4 Aanvulling door auteur van deze scriptie.5

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?Applicatiebeheer is het namens de IT organisatie instandhouden van deapplicatieprogrammatuur/ informatiesystemen en de gegevensbanken.Primaire aandachtsgebieden 5 : informatiesystemen, applicaties én de IT organisatie.Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 200conform de definitie van Looijen 5Om het begrip applicatiebeheer ook nader te verduidelijken heb ik een aantal voorbeeldenopgenomen van taken die kunnen vallen onder applicatiebeheer:• Doorvoeren van wijzigingen in applicaties;• Invoeren van nieuwe toepassingen;• Oplossen van incidenten;• Uitvoeren en begeleiden van testwerkzaamheden;• Opstellen/ beheer van beheerprocedures/ werkinstructies.De taken van applicatiebeheer zijn in tegenstelling tot functioneel beheer wat technischer vanaard. Het is niet van direct belang dat beide functies expliciet benoemd zijn binnen eenorganisatie. Zoals reeds aangegeven, is het van belang dat aan de inhoud van beide aspecten involdoende mate aandacht wordt besteed binnen de IT beheerorganisatie van een instelling.Voor het vervolg van mijn scriptie zal ik geen gebruik meer maken van het containerbegripfunctioneel applicatiebeheer, maar beide begrippen functioneel beheer en applicatiebeheerafzonderlijk benoemen conform de definitie die ik hiervoor heb genoemd.2.3 Wat is de relatie met technisch beheer?Alvorens de relatie tussen functioneel beheer, applicatiebeheer en technisch beheer verder uit tewerken, is het van belang te weten wat onder technisch beheer wordt verstaan. Evenals bijfunctioneel applicatiebeheer het geval is, speelt ook bij technisch beheer de spraakverwarring eengrote rol. Binnen veel ziekenhuizen zijn bijvoorbeeld technische applicatiebeheerders aangesteld.Indien uitsluitend wordt gekeken naar de inhoud van deze functies, wordt duidelijk dat dit vaakmeer weg heeft van het technische gedeelte van het applicatiebeheer 6 zoals beschreven is in §2.2.Looijen 7 geeft aan dat bij middelgrote en grote organisaties drie verschillende soortenaandachtsgebieden zijn te onderkennen. Naast functioneel beheer en applicatiebeheer is daar hetderde aandachtsgebied: technisch beheer.5 Aanvulling door auteur van deze scriptie.6 Dit zijn de functionarissen die versies van programmatuur in en uit productie nemen etc.7 Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 20056

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?Technisch beheer is het namens de IT organisatie instandhouden van de operationele werkingvan de informatiesystemen. (bestaande uit apparatuur, programmatuur engegevensverzamelingen)Primaire aandachtsgebieden 8 : infrastructuur én de IT organisatie.Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 2005De relatie tussen technisch beheer, functioneel beheer en applicatiebeheer is middels hetvolgende figuur weer te geven:Figuur 1. De vormen van beheer volgens Looijen.Bron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 2005Het overzicht zoals dit door Looijen is ontwikkeld toont de wisselwerking tussen de verschillendeaandachtsgebieden. Punten die haar oorsprong vinden in functioneel beheer hebben veelal ookeen invloed op applicatiebeheer en technisch beheer. Hetzelfde geldt echter ook voor punten diehaar oorsprong hebben binnen applicatiebeheer of technisch beheer. Tevens geldt dat de taken,bevoegdheden en verantwoordelijkheden deels binnen de gebruikersorganisatie en deels binnende IT- organisatie liggen. Een voorbeeld hiervan is het doorvoeren van wijzigingen in applicaties.Deze wijzingen zullen veelal geïnitieerd worden vanuit de gebruikersorganisatie, doorgevoerdworden door de IT-organisatie en vervolgens geaccepteerd worden door de gebruikersorganisatie.De cirkel is bewust niet exact door midden gedeeld. De reden hiervoor is dat het overgrote deelvan de werkzaamheden van de IT beheersorganisatie nog altijd binnen de IT organisatie ligt.Functioneel beheer is echter wel een belangrijke schakel die niet vergeten mag worden. Tevenszijn lang niet altijd verschillende aandachtsgebieden expliciet terug te vinden in de8 Aanvulling door auteur van deze scriptie.7

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?organisatieschema’s van een organisatie. Hiervoor grijp ik terug op een gezegde dat ik in de tijddat ik werkzaam was als accountant heb geleerd: ‘substance over form 9 ’. Zolang er voldoendeaandacht is voor alle aandachtsgebieden binnen de IT beheerorganisatie, zijn er voldoendewaarborgen dat de IT beheerorganisatie adequaat kan werken. Het is dan van minder belang datieder aandachtgebied afzonderlijk benoemd is in een organisatie of organigram.2.4 AfsluitingIn dit hoofdstuk is aangegeven wat verstaan wordt onder functioneel beheer, applicatiebeheer entechnisch beheer en hoe deze begrippen te relateren zijn aan elkaar. Hiermee is een antwoordgegeven op de eerste deelvraag; wat is functioneel applicatiebeheer?Voor het vervolg van mijn scriptie en de beantwoording van onderzoeksvraag zal ikgebruikmaken van de begrippen zoals deze in dit hoofdstuk zijn omschreven. Voornamelijk hetbegrip functioneel beheer en applicatiebeheer, redenerend vanuit het gebruikersperspectief, zaleen rode draad door mijn scriptie zijn. Technisch beheer is echter wel een belangrijke schakel,zowel aan de inputzijde als aan de outputzijde van functioneel beheer en applicatiebeheer. In hetvervolg van mijn scriptie zal ik nog een aantal maal, echter met een belangrijke nadruk op hetgebruikersperspectief, terugkomen op technisch beheer.9 Situatie waarin de werkelijkheid (inhoud) mag prevaleren boven de formele situatie.8

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?deze veelheid aan applicaties in principe niet geïntegreerd zijn, er sprake is van vele interfaces ener sprake is van veel beheer en onderhoud.In dit hoofdstuk staat het beantwoorden van de tweede en derde deelvraag centraal. In §3.2 isbeschreven wat mogelijke oorzaken zijn voor het onvoldoende functioneren van functioneelbeheer en applicatiebeheer binnen een gezondheidszorginstelling. Vervolgens wordt aan de handvan deze oorzaken een aantal eisen geformuleerd waaraan een goede procedure voor functioneelbeheer en applicatiebeheer dient te voldoen, dit is beschreven in §3.3. In §3.4 zal ik dit hoofdstukkort afsluiten.3.2 Inventarisatie van oorzakenDe redenen voor het ontstaan van de problemen op het gebied van functioneel beheer enapplicatiebeheer vinden haar oorsprong in de situatie waar de Nederlandse gezondheidszorgvandaan komt en de situatie waarin men zich momenteel bevindt. Het is een lange tijd rustiggeweest betreffende wijzigende wet- en regelgeving en daarmee met de wijzigingen in deautomatiseringsomgeving. Met de komst van DBC’s is deze rustige situatie gestopt en is hetgeheel in een stroomversnelling gekomen. Veel organisaties waren te laat en daarmee zijn veelorganisaties op een razende trein gestapt. Zij hebben onvoldoende tijd gekregen, maar ookonvoldoende tijd genomen 10 , om haar organisatie daarop aan te passen. Hierdoor is men steedsverder achterop geraakt. De gevolgen hiervan zijn dagelijks te merkenDe afgelopen zeven jaren heb ik (accountants)controlewerkzaamheden uitgevoerd bij diversegezondheidszorginstellingen. Op basis van deze ervaringen, aangevuld met gesprekken die ik hebgehad met diverse functionarissen van enkele ziekenhuizen 11 , ben ik tot een inventarisatie vanverdere oorzaken gekomen.De oorzaken die, in mijn ogen, een adequate IT beheerorganisatie in de weg staan zijnopgenomen in het overzicht.1 Cultuur: binnen de gezondheidszorg heerst op dit moment nog steeds een bepaalde matevan aversie tegen automatisering. Daarnaast is er tegenstand tegen het beperken van rechtenbinnen applicaties en het doen van aanvragen middels standaard aanvraagformulieren enprocedures.2 Geen uniformiteit in inrichting en uitvoering van IT beheerprocedures: van oudsherkenmerken ziekenhuizen zich door een sterk decentraal karakter. De diverse specialismen10 Ik ben van mening dat het beide kanten op werkt. Instellingen hebben te weinig prioriteit aan de implicaties vannieuwe wet- en regelgeving gegeven en daarmee de komst van DBC’s drastisch onderschat. Tevens heb ik bijmeerdere van mijn klanten gehoord dat zij verwachtten dat DBC’s (en daarmee de problemen) wel over zoudenwaaien.11 Tijdens mijn onderzoek heb ik bewust in grote mate met controllers en hoofden van financiële afdelingengesproken om daarmee een goed beeld te krijgen van het perspectief van de gebruikersorganisatie.10

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?binnen het ziekenhuis kennen een grote mate van autonomie. De inrichting en uitvoeringvan IT beheerprocedures geschiedt binnen iedere afdeling anders.3 Onderhoud van procedures heeft onvoldoende plaatsgevonden: de gezondheidszorg isjarenlang een branche geweest met zeer weinig veranderingen. De IT organisatie en ITinfrastructuur waren decennia lang stabiel. Met de komst van de gewijzigdefinancieringsystematiek door middel van DBC’s is de gehele organisatie (inclusief de ITbeheerorganisatie) continue in beweging. Procedures zijn de afgelopen jaren niet actueelgehouden.4 Ontbreken van goede functieomschrijvingen: het toekennen van rechten binnenapplicaties zou moeten geschieden op basis van een functieomschrijving. Het ontbreektechter aan goede functieomschrijvingen op basis waarvan rechten binnen een applicatietoegewezen zouden kunnen worden.5 Ontbreken van adequate tooling: een groot aantal van de ziekenhuizen beschikt niet overadequate tooling voor haar IT-beheer.6 Onvoldoende centrale coördinatie en ketenmanagement: om processen en de keten vanprocessen (bijvoorbeeld registratie, validatie en declaratie van DBC’s) adequaat te kunnenbeheersen, dient er sprake te zijn van een centrale coördinatie en ketenmanagement 12 .7 Specifieke vereisten vanuit wet- en regelgeving: gezondheidszorginstellingen dienen aaneen groot aantal specifieke vereisten vanuit wet- en regelgeving te voldoen. Een aantal vandeze vereisten hebben een directe invloed op de IT beheeromgeving van een organisatie. Zoheeft een gezondheidszorginstelling ondermeer te maken met vereisten uit:– NEN7510: informatiebeveiliging in de zorg, dit is de zorgvariant van de Code ofPractise (ISO/ IEC 17799)– WGBO: Wet op de Geneeskundige Behandelovereenkomst.– WBP: Wet bescherming persoonsgegevens8 Continue stroom van wijzigingen uit hoofde van wet- en regelgeving: definancieringsystematiek van de gezondheidszorg is de afgelopen jaren continue onderhevigaan wijzigingen. Een aantal maal per jaar worden er wijzigingen uitgebracht, soms zelfsmet terugwerkende kracht. Deze wijzigen hebben vaak een belangrijke invloed op de ITbeheerorganisatie van een instelling.9 Ontbreken van toetsing op naleving van procedures: het opstellen van proceduresbinnen een organisatie is een verstandige keuze. Hierbij is echter wel een belangrijkerandvoorwaarde te onderkennen en dat is het toezien op de naleving van deze procedures.Hiermee kan een organisatie leren van haar fouten. Hier ontbreekt het vaak nog aan in dehuidige situatie.3.3 Formulering van eisenIn de voorgaande paragraaf zijn de oorzaken geformuleerd die hebben bijgedragen aan de huidigesituatie binnen de Nederlandse gezondheidszorg: een niet-adequate IT beheersomgeving.12 Wijzigingen in de ene applicatie kunnen gevolgen hebben op de andere applicatie. Het is van belang dat de geheleketen adequaat bewaakt en beheerst wordt.11

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?Onderstaand heb ik een aantal eisen geformuleerd waar een adequaat beheersingskader voorfunctioneel beheer en applicatiebeheer aan zou moeten voldoen:• eenvoudig, laagdrempelig zijn;• ondersteunend zijn en geen doel op zich;• passen bij de cultuur van de organisatie;• uniformiteit bevorderen;• eenvoudig te onderhouden zijn;• centrale coördinatie en ketenmanagement bevorderen;• ondersteunen in het voldoen aan vigerende wet- en regelgeving;• flexibel zijn;• toezien op naleving eenvoudig mogelijk maken.De eisen die ik geformuleerd heb zouden ook kunnen worden toegepast binnen iedere anderorganisatie die niet te maken heeft met gezondheidszorg. Er zijn echter wel enkele specifiekeaandachtspunten, zoals de vereisten vanuit wet- en regelgeving en de cultuur die momenteel nogheerst binnen gezondheidszorginstellingen. Ik ben blij met de uitkomst van mijn onderzoek. Zeerregelmatig wordt mij door de IT afdeling van het ziekenhuis verteld dat het niet mogelijk is omhaar IT beheerorganisatie adequaat in te richten. De reden hiervoor zijn de specifieke problemenwaarmee men kampt. Deze uitkomst toont aan dat ‘de gezondheidszorg’ niet zo specifiek is alsmen soms zelf stelt en dat er niet heel andere eisen gesteld worden aan een IT beheersorganisatiebinnen een gezondheidszorginstelling.Tevens sterkt deze uitkomst mij in het gevoel dat het ook voor een gezondheidzorginstellingmogelijk is om te beschikken over een adequate IT beheerorganisatie. Belangrijkerandvoorwaarde hierbij blijft de inrichting, deze moet passend zijn bij de wensen van de(gebruikers-)organisatie.In §4.3 zal ik toetsen of BiSL/ASL voldoet aan de eisen zoals deze geformuleerd zijn in dezeparagraaf.3.4 AfsluitingIn dit hoofdstuk zijn de oorzaken weergegeven die leiden tot de problemen waarmeegezondheidszorginstellingen kampen op het gebied van functioneel beheer en applicatiebeheer.Op basis van deze onderkende oorzaken zijn de eisen voor een adequaat beheersingkader op hetgebied van functioneel beheer en applicatiebeheer geformuleerd. In het volgende hoofdstuk zal iktoetsen of BiSL/ASL voorziet in deze eisen.12

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?4 BiSL/ASL4.1 InleidingIn dit hoofdstuk staan deelvragen vier tot en met zes centraal. Deze deelvragen betroffen:4. Wat is BiSL/ASL?5. Voldoet BiSL/ ASL aan de eisen vanuit de Nederlandse gezondheidszorg en welkeaanpassingen zijn noodzakelijk om BiSL/ASL toepasbaar te maken voor de gezondheidszorg?6. Op welk detailniveau dient BiSL/ASL ingezet te worden om toepasbaar te zijn voorNederlandse Gezondheidszorginstelling?In paragraaf 4.2 zal ik een antwoord geven op deelvraag vier. In de paragrafen 4.3 en 4.4 zal ikeen antwoord geven op de vijfde deelvraag van mijn scriptie. Paragraaf 4.5 zal in het teken staanvan deelvraag zes waarna ik in paragraaf 4.6 dit hoofdstuk over BiSL/ ASL zal afsluiten.4.2 Wat is BiSL/ASL?In deze paragraaf zal ik het ontstaan, de inhoud van BiSL en ASL beschrijven en de relatie diedeze beide begrippen met elkaar hebben.4.2.1 Het ontstaanEen aantal decennia geleden is door het RCC (Rijks Computercentum), een van derechtsvoorgangers van het huidige Getronics PinkRoccade, op basis van ITIL 13 eenbeheermethodiek ontwikkeld gericht op beheer en onderhoud van applicaties. Deze methodiekbiedt de mogelijkheid om beheer- en onderhoudsprocessen op gestructureerde en inzichtelijkewijze in te richten. Dit model werd toen nog R2C (Regie, Control en Continuïteit) genoemd en is,na de nodige aanpassingen, op dit moment beter bekend als het ASL framework.Met de komst van een framework dat gericht was op applicatiebeheer werd de noodzaak voor eenframework voor functioneel beheer ook groter. Doel hiervan was de opdrachtgeverprocessen ende ondersteuningsprocessen binnen de gebruikersorganisatie verder te structureren. Op basis vanhet R2C model (nu ASL), ITIL en beheermodel van Looijen 14 is vervolgens het huidige BiSLframework ontstaan. Dit model is evenals het ASL model binnen de gelederen van Getronics13 Doordat het framework is gebaseerd op ITIL sluit het ook zeer makkelijk aan op de reeds aanwezige ITbeheerprocedures. Binnen veel organisaties zijn deze immers gebaseerd op ITIL.14 Looijen beschrijft functioneel beheer, applicatiebeheer en technisch beheer in het boek “drievoudig model voorbeheer”.,. Bron: Een methodiek voor Functioneel Beheer van C.D. Deurloo, M.E.E. Meijer-Veldman, R. van der Pols(Pink Roccade) 6 november 1997 IT beheer jaarboek 1998.13

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?PinkRoccade ontwikkeld. In februari 2005 is het BiSL model als eerste en enige publiekestandaard voor functioneel beheer en informatiemanagement geïntroduceerd aan het publiekedomein.Zowel het BiSL als het ASL model behoren tot het zogenoemde publieke domein. Dit houdt indat de eigenaar 15 (Stichting ASL BiSL Foundation) het BiSL en ASL gedachtegoed vrij vooriedereen beschikbaar stelt en dat het vrij gebruikt mag worden. De frameworks zijn van én vooriedereen. De stichting fungeert als een centraal aanspreekpunt om nieuwe ideeën in te brengen,kennis te delen, de kwaliteit en consistentie te bewaken van BiSL en ASL publicaties en uitingen.4.2.2 De begrippenIn deze paragraaf worden de begrippen BiSL en ASL nader uitgewerkt. In §2.3 heb ik de relatietussen technisch beheer, functioneel beheer en applicatiebeheer weergeven. Om duidelijk temaken wat de samenhang is tussen BiSL en ASL heb ik aan het figuur van §2.3 de begrippenBiSL en ASL toegevoegd.Figuur 3. De vormen van beheer volgens Looijen aangevuld met BiSL en ASLBron: Strategisch beheer van informatievoorziening met ASL en BiSL, Remko van der Pols, 2005Zoals uit deze rest van deze paragraaf zal blijken hebben BiSL en ASL met name op het gebiedvan sturende processen hele duidelijke raakvlakken. Dit is bewust op deze wijze vormgegevenomdat uit de praktijk bleek dat met name de communicatie en sturing tussen degebruikersorganisatie en applicatiebeheer moeizaam verliep en vaak een oorzaak was voorfouten.15 Oorspronkelijk ontwikkeld binnen Getronics PinkRoccade worden BiSL en ASL nu beheerd door de stichting ASLBiSL Foundation.14

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?De theoretische definitie van BiSL is als volgt:BiSL slaat een brug tussen ICT en bedrijfsproces, en tussen functioneel beheerders eninformatiemanagers. Het BiSL-procesmodel geeft inzicht in alle hoofdprocessen van hunwerkveld, en de relaties tussen de processen. Het biedt aanknopingspunten voor verbetering vande processen, onder meer via 'best practises' en het verschaft een uniforme terminologie.Kernpunten 16 : functioneel beheer en informatiemanagement, de gebruikersorganisatie staatcentraal, uniformiteit.BiSL zit heel duidelijk aan de gebruikerskant van de IT-Beheersorganisatie.Bron www.aslbislfoundation.org geraadpleegd 5 januari 2008Om deze definitie van BiSL duidelijker te maken heb ik de volgende praktijk casus opgenomen:Praktijkvoorbeeld BiSL:Ziekenhuis X beschikt over een groot aantal applicaties voor de registratie, validatie endeclaratie van DBC’s. De rechtenstructuur in deze applicaties is niet aan elkaar gekoppeld zoalsdit het geval is bij veel ERP applicaties. Rechten dienen in iedere applicatie afzonderlijktoegekend te worden en zijn per applicatie ondergebracht bij een eigen functioneel beheerder.Iedere beheerder heef een eigen werkwijze.Mevrouw J. treedt in dienst bij Ziekenhuis X in de functie van verpleegster IC. Vervolgens dientzij rechten te krijgen binnen de volgende applicaties:• Mirador voor het registreren en raadplegen van DBC gegevens en het EPD;• Locati voor het registreren en raadplegen van de verpleegdagen en ligdagen;• Glims voor het registreren en raadplegen laboratorium uitslagen;• Aposys voor het doen van aanvragen voor medicatie;• Etc.Oude situatieDe medewerker krijgt rechten tot het netwerk en toegang tot de bovengenoemde applicaties.Vervolgens wordt aan de functioneel beheerders gecommuniceerd dat zij mevrouw J. rechtenmoeten toekennen. De communicatie geschiedt middels e-mail, telefonisch of schriftelijk,eigenlijk net zoals het op dat moment uitkomt. De rechten worden toegekend op basis van heteigen inzicht van de functioneel beheerder. De functioneel beheerder geeft mevrouw J. dezelfderechten als meneer G. hij heeft dezelfde functie en daar ontvangen we nooit klachten over.Niemand heeft zich ooit afgevraagd of meneer G. wel bij zijn functie passende toegangrechtenheeft ontvangen.16 Aanvulling door auteur van deze scriptie.15

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?Situatie in geval van BiSLBij de indiensttreding van mevrouw J wordt door haar leidinggevende een aanvraag gedaan.Hiervoor mag uitsluitend een standaardformulier voor een bepaald proces worden gebruikt. Indit geval het aanvraagformulier ‘zorgfunctie’. Hier moet de functie van mevrouw J. aangegevenworden. Dit formulier wordt beoordeeld door het serviceteam Zorg indien er voor mevrouw J.afwijkende rechten worden gevraagd. Op basis van dit geautoriseerde formulier krijgt mevrouwrechten J toegang tot het netwerk en systemen waar zij volgens haar functieprofiel toegang toemag hebben. De beheerder tekent het formulier af en stuurt het aan de functioneel beheerderMirador. Op basis van haar functie krijgt mevrouw J. een standaard profiel toegewezen inMirador. Vervolgens gaat het formulier naar de volgende functioneel beheerder. De laatstefunctioneel beheerder stuurt het formulier terug naar het serviceteam alwaar beoordeeld wordtof het formulier geheel is afgewerkt conform de procedure. Vervolgens wordt het formuliergearchiveerd. Indien het formulier niet tijdig terug wordt ontvangen neemt het serviceteam Zorgactie.Om de gestructureerde werkwijze van BiSL mogelijk te maken, is BiSL opgebouwd uit zevenclusters. Deze clusters zijn onder te verdelen naar uitvoerende, sturende of richtinggevendeclusters. Voor BiSL geeft zijn dit de volgende clusters:Uitvoerende clusters1 cluster gebruiksbeheer: Gebruiksbeheer heeft als doel dat de informatievoorziening juistgebruikt wordt. In de praktijk richt dit zich voornamelijk op het aanmaken, wijzigingen enontnemen van rechten voor gebruikers;2 cluster wijzigingenbeheer en transitie: De operationele verbindende processen binnenBiSL vormen de schakel tussen het gebruik van de informatievoorziening en deverandering of vernieuwing van de informatievoorziening. Ze vormen dus de koppelingtussen ‘gebruiksbeheer’ en ‘functionaliteitenbeheer’;3 cluster functionaliteitenbeheer: Dit cluster van processen houdt zich bezig met hetvormgeven van de veranderingen aan de informatievoorziening en het zorgdragen dat dezeveranderingen goed worden ontworpen en ingevuld. Dit cluster heeft een heel duidelijkraakvlak met ASL en vertegenwoordigt de functionele kant van het doorvoeren vanwijzigingen in applicaties;Sturende clusters4 cluster sturende processen: De sturende processen zijn de ontmoetingspunten van deoperationele en de richtinggevende processen. De volgende sturende processen zijnbenoemd in BiSL: planning en control, kostenmanagement, behoefte management enservice level management;Richtinggevende clusters5 cluster vormgeven en sturen informatievoorziening: Dit cluster behandelt hetvormgeven en sturen van de informatievoorziening. Een belangrijk aandachtspunt hierbij isde betrouwbaarheid van de informatievoorziening en de mate waarin de beschikbareinformatievoorziening past bij de behoeften vanuit de organisatie;6 cluster coördinatie informatievoorziening: Dit cluster behandelt de afstemming tusseninhoud en proces. Binnen het domein van functioneel beheer zijn geregeld veel partijen16

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?actief die moeten samenwerken op het terrein van de informatievoorziening. Deels zijndeze partijen intern, deels extern. Daarnaast is er een informatievoorziening met eenopdeling in diverse lagen. Op deze terreinen moet een beleid gemaakt worden en dit beleidmoet samenhangend zijn;7 cluster toekomst van de informatievoorziening: Het cluster ‘opstelleninformatiestrategie’ richt zich, op het ontwikkelen van een ‘visie’ op de toekomst van deinformatievoorziening van de organisatie. Het doel van dit cluster is om ervoor te zorgendat de informatievoorziening van de organisatie goed aansluit en in de toekomst blijftaansluiten op de bedrijfsprocessen in de organisatie.De theoretische definitie van ASL is als volgt:ASL biedt een framework voor application management dat gestoeld is op de best practises vanprofessionals met jarenlange ervaring. Het model is zodanig ontwikkeld dat het de optimale ICTondersteuningvan bedrijfsprocessen garandeert. Zo kan de organisatie zich concentreren ophaar core-business. ASL beperkt zich tot het geven van richtlijnen voor het inrichten vanprocessen en laat de inrichting van de beheerorganisatie geheel vrij. Hierdoor is het frameworkalgemeen toepasbaar binnen de ICT-dienstverlening, onafhankelijk van de maat van uworganisatie.Kernpunten 17 : Applicatiebeheer, IT service organisatie, uniformiteit.ASL zit heel duidelijk aan de IT-organisatiekant van de IT-beheersorganisatie.Bron www.aslbislfoundation.org geraadpleegd 5 januari 2008Om de definitie van ASL te verduidelijken maak ik ook weer gebruik van een praktijkvoorbeeld:Praktijkvoorbeeld ASL 18 :Ziekenhuis X beschikt over een groot aantal applicaties voor de registratie, validatie endeclaratie van DBC’s. Dit zijn de ondermeer de volgende applicaties:• Mirador voor het registreren en raadplegen van DBC gegevens en het EPD;• Locati voor het registreren en raadplegen van de verpleegdagen en ligdagen;• Glims voor het registreren en raadplegen laboratorium uitslagen;• Aposys voor het doen van aanvragen voor medicatie;• Etc.Met een frequentie van bijna wekelijks worden er releasenotes voor wijzigingen inprogrammatuur ontvangen, bijvoorbeeld door gewijzigde wet- en regelgeving in diverseapplicaties.17 Aanvulling door auteur van deze scriptie.18 Ik chargeer een beetje in dit voorbeeld, de kern is echter wel gebaseerd op de waarheid. Bij klanten maak ik vaakenkele van deze voorbeelden mee, ik heb deze in dit voorbeeld gecombineerd.17

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?Oude situatieWijzigen worden beoordeeld door de betreffende applicatiebeheerder. De applicatiebeheerderkent de betreffende functioneel beheerder goed omdat ze dagelijks samen lunchen. Onder delunch wordt de impact van de wijziging besproken, die valt wel mee. De wijziging kandoorgevoerd worden. De applicatiebeheerder voert geen test uit en legt ook niets vast. Zonde vande tijd!, de update is immers van een gerenommeerde leverancier en veel meer ziekenhuizenkrijgen de deze update omdat zij ook gebruik maken van deze applicatie. Het moet wel goed gaanSituatie in geval van BiSLZiekenhuis X beschikt over een wijzigingenkalender. Iedere derde dinsdag van de maand wordenwijzigingen in applicaties doorgevoerd. Wijzigen worden vooraf beoordeeld door de betreffendefunctioneel beheerder en applicatiebeheerder. Aan de hand van intern vastgestelde criteriaschatten zij de impact van de wijziging in. Wijzigingen met een impact groter dan X wordenbesproken in het maandelijkse Wijzigingen Advies Comité (WAC). In dit WAC zijnvertegenwoordigers opgenomen vanuit de diverse serviceteams, functioneel beheerder,applicatiebeheerders en technisch beheerders. Zij bepalen of en wanneer de update kan wordendoorgevoerd. Dit wordt bijgehouden in een logboek met wijzigingen.Alle wijzigingen worden getest in een representatieve testomgeving. Het testen geschiedt conformde beschreven testprocedures. Van deze testen wordt een verslag opgesteld. Na afwikkeling vanhet testverslag wordt akkoord gegeven voor het in productie nemen van de wijzigingen. In heteerst volgende WAC wordt de wijziging geëvalueerd.Om deze gestructureerde aanpak mogelijk te maken is ASL opgebouwd uit zes clusters. Dezeclusters zijn net als bij BiSL onder te verdelen naar uitvoerende, sturende of richtinggevendeclusters. Voor ASL zijn de volgende clusters gedefinieerd.Uitvoerende clusters1 cluster beheer. Dit cluster gaat over de applicatiebeheer activiteiten op het gebied vanincidentbeheer, configuratiebeheer, beschikbaarheidbeheer, capaciteitsbeheer encontinuïteitsbeheer;2 cluster wijzigingenbeheer en programmabeheer en distributie. Dit cluster gaat oververbindende processen. Wijzigingenbeheer houdt zich bezig met opstellen en inplannen vanreleases. Daarnaast is er programma beheer en distributie dat zich bezighoudt met delogistiek in onderhoudsprocessen en de uiteindelijke uitlevering naar beheer;3 cluster onderhoud en vernieuwing. De bedrijfsprocessen van een organisatie veranderencontinue. Er is zijn nieuwe rapportages noodzakelijk, de organisatie verandert en regelingenveranderen. De processen die in dit cluster te vinden zijn, zijn de processen impactanalyse,ontwerp, realisatie, testen en implementatie;Sturende clusters4 cluster sturende processen. De sturende processen zijn planning en control,kostenmanagement, kwaliteitsmanagement en service level management. De sturendeprocessen zijn de ontmoetingspunten van de operationele en de richtinggevende processen;18

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?Richtinggevende clusters5 cluster organisation cycle management. Organisation cycle management hebben als doelde organisatie rondom applicatiebeheer te verbeteren en te veranderen op het terrein vantechnologie, klanten, klantbenadering en de positie op de markt;6 cluster application cycle management. De doelstelling achter de processen binnenapplication cycle management is ervoor zorg te dragen dat informatiesystemen ook op delangere termijn blijven aansluiten op het bedrijfsproces.4.2.3 Samenvatting en afsluiting van de begrippen BiSL en ASLIn de voorgaande paragraaf heb ik een aantal, wellicht wat chargerende, praktijkcasussenuitgewerkt voor BiSL en ASL. Het is wel de problematiek waar ik in de praktijk tegenaan loop.In het kader van deze afstudeerscriptie heb ik beide frameworks uitgebreid bestudeerd.Kenmerkend voor beide frameworks is dat zij een aantal aandachtsgebieden op uitvoerend(operationeel), sturend (organisatorisch) en richtinggevend (strategisch) niveau formuleren. Hetacroniem dat vervolgens ontstaat;‘USR’ (USeR), beschrijft direct de kern van de frameworks 19 .De gebruikers en de communicatie met en de communicatie naar de gebruikers toe staat centraalbinnen beide frameworks en vormen de rode draad door het geheel. Ook ASL, dat toch een meertechnische insteek kent, onderkent de noodzakelijke input vanuit de gebruikersorganisatieexpliciet.Beide frameworks zijn gebaseerd op best practises. Hierdoor is het framework niet dwingend endaarmee erg flexibel en eenvoudig aan te passen aan de wensen van de organisatie. Daarnaastsluit het BiSL/ASL framework zich zeer goed aan op reeds aanwezige frameworks zoals ITIL,omdat BiSL/ ASL voor een groot gedeelte is gebaseerd op ITIL.Verder kenmerkt de BiSL/ ASL zich door een heldere en centraal georiënteerdecommunicatiestructuur. De gedachte om te beheren op applicatieniveau is losgelaten en daarvoorin de plaats wordt beheerd op bedrijfsprocesniveau, waarbij serviceteams een belangrijke rolspelen. De gebruikersorganisatie krijgt hierdoor het gevoel van ‘one stop shopping’. Daarnaastwordt ook een belangrijk voordeel behaald op het gebied van ketenbeheersing. Conflicterendetoegangsrechten binnen applicaties, de impact van wijzigingen in de ene applicatie op de andereapplicatie zijn aspecten die hierdoor vroegtijdiger en beter zichtbaar worden. Daarmee wordt debeheersbaarheid van een proces enorm vergroot.Al deze factoren samen maakt het BiSL en ASL framework tot een zeer flexibel framework.De kern van BiSL/ ASL is als volgt omschrijven:19 Dit betreft de interpretatie van de auteur. Het acroniem is ook door de auteur van deze scriptie opgesteld.19

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?BiSL/ ASL kenmerkt zich door aandachtsgebieden te hebben op zowel uitvoerend, sturend enrichtinggevend niveau. Waarbij het heden, de toekomst én de gebruikersorganisatie centraalstaan. Hierbij zijn applicaties losgelaten en er wordt beheerd in bedrijfsprocessen. Uniformiteiten heldere communicatie gedurende het gehele proces én door de gehele organisatie zijn derode draad door het BiSL/ ASL gedachtegoed.Op basis van mijn samenvatting lijkt BiSL/ASL het wondermiddel waar de Nederlandsegezondheidszorg nu al langere tijd op wacht. Hierbij moet ik echter wel twee belangrijkekanttekeningen plaatsen.• het framework kan alleen succesvol zijn indien het op een adequate wijze wordtgeïmplementeerd binnen een zorginstelling;• het framework helpt bij de inrichting van een IT beheerorganisatie maar is geen toetsendframework. Er kan dus niet bij voorbaat worden vastgesteld of een IT beheerorganisatieadequaat is ingericht.Onder adequaat versta ik ‘passend’ bij de organisatie. De ogenschijnlijke tegenstrijdigheid die inbovenstaande kanttekening staat: op adequate wijze implementeren, maar het niet aanwezig zijnvan een toetsingskader is exact waar ik middels deze scriptie op wil in spelen. In bijlage I heb ikeen beoordelingskader voor BiSL/ASL opgenomen. In §5.3 ga ik hier verder op in.20

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?4.3 Voldoet BiSL/ASL aan de eisen die daaraan gesteld worden vanuit degezondheidszorg?Het toetsen van de eisen aan het framework is een lastige opgave, te meer omdat het BiSL/ASLframework geen toetsend beheersingskader is. Ik heb deze toetsing uitgevoerd op basis van mijninterpretatie van het BiSL/ ASL framework en de eisen die ik heb geformuleerd in paragraaf 3.3.Deze eisen waren:• Eenvoudig, laagdrempelig zijn;• Ondersteunend zijn en geen doel op zich;• Passend bij de cultuur van de organisatie;• Uniformiteit bevorderen;• Eenvoudig te onderhouden zijn;• Centrale coördinatie en ketenmanagement bevorderen;• Ondersteunen in het voldoen aan vigerende wet- en regelgeving;• Flexibel zijn;• toezien op naleving eenvoudig mogelijk maken.In de volgende paragrafen heb ik aangegeven of BiSL/ ASL aan deze eis voldoet. Ik heb hierbijde volgende gradaties gehanteerd:VoldoetVoldoet, maar niet bij voorbaatVoldoet niet4.3.1 Eenvoudig, laagdrempelig zijnOp basis van mijn onderzoek naar BiSL/ ASL kom ik tot de conclusie dat BiSL/ ASL zekereenvoudig en laagdrempelig kan zijn. Dit is echter wel geheel afhankelijk van de gekozen wijzevan inrichting van deze procedures binnen de organisatie. Een organisatie kan er voor kiezen omBiSL/ ASL exact conform de theorie in te richten of een organisatie kan er voor kiezen om dit tedoen op een praktische en laagdrempelige manier.21

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?4.3.2 Ondersteunend zijn en geen doel op zichHierbij geldt dezelfde opmerking als ik reeds in §4.3.1 gemaakt heb. Door BiSL/ASL tetheoretisch in te richten binnen een organisatie wordt het risico gelopen dat het enige eindproduct‘een kast vol procedures’ is en dat men uiteindelijk niet beschikt over adequaat ingericht ITbeheersomgeving. Door BiSL/ASL op een wijze te implementeren die goed past bij deorganisatie, is BiSL/ASL zeker een framework dat ondersteunend kan zijn. Het is aan deorganisatie, maar ook aan ons als toekomstig IT-auditors’ om te waken dat de invoering vanBiSL/ASL toevoegde waarde heeft aan de organisatie en geen doel op zich wordt. Dezetoegevoegde waarde kan bijvoorbeeld liggen in een lagere beheerlast.4.3.3 Passend bij de cultuur van de organisatieAlvorens over te gaan tot de invoering van BiSL/ASL dient een duidelijk inzicht verkregen teworden in de cultuur van de betreffende zorginstelling. Eén ding is bij voorbaat al duidelijk, het isniet mogelijk om 100% van de oude werkwijzen te behouden. Zowel de IT-organisatie als degebruikersorganisatie zullen concessies moeten doen indien overgegaan wordt naar BiSL/ASL.Deze concessies liggen bijvoorbeeld in een afname van de vrijblijvendheid van degebruikersorganisatie voor het aanvragen van toegangsrechten op iedere manier die men wenst.Voor de IT-organisatie ligt dit op het gebied dat zij ook gestructureerde vastleggingen moetengaan doen en alles mondeling kunnen afwikkelen. Zoals reeds aangegeven kom ik bij veelzorginstellingen en daar merk ik tegenstand tegen bepaalde vernieuwingen. Deze tegenstand ismet name te voelen bij de gebruikersorganisatie die alle formaliteiten eigenlijk maar lastig vindenen er het nut niet van inzien. Indien een zorginstelling tot de invoering van BiSL/ASL wilovergaan, is het noodzakelijk dat voldoende steun wordt verkregen vanuit de leiding van deorganisatie.4.3.4 Uniformiteit bevorderenBiSL/ASL is een helder en een overzichtelijk framework. Het grote voordeel van BiSL/ASL isdat applicaties worden losgelaten en er wordt overgegaan tot beheersing in bedrijfsprocessenmiddels serviceteams. Deze aanpak leidt tot een grote mate van uniformiteit omdat alleserviceteams op een gelijke wijze werken.22

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?4.3.5 Eenvoudig te onderhouden zijnAfhankelijk van de wijze van invoering van BiSL/ ASL binnen de organisatie is de vraag tebeantwoorden of het framework eenvoudig te onderhouden is. De Stichting ASL BiSLFoundation helpt bij het eenvoudig onderhouden middels het verstrekken van ‘best practise’voorbeelden op het gebied van functioneel beheer en applicatiebeheer. Op het moment datBiSL/ASL ingevoerd wordt bij meerdere gezondheidszorginstellingen ligt hier wellicht ook eenkans om BiSL/ASL eenvoudig te onderhouden middels het uitwisselen van ‘best practises’.4.3.6 Centrale coördinatie en ketenmanagement bevorderenHet grote voordeel van BiSL/ ASL is dat applicaties worden losgelaten en er wordt overgegaantot beheersing in bedrijfsprocessen middels serviceteams. De serviceteams zijn verantwoordelijkvoor een bepaald bedrijfsproces of een deel van dit bedrijfsproces. Door deze aanpak wordtketenmanagement bevorderd en de centrale coördinatie vergroot. In het praktijkvoorbeeld vanBiSL en ASL zoals ik dat in §4.2.2 heb opgenomen is dit goed te zien.4.3.7 Ondersteunen in het voldoen aan vigerende wet- en regelgevingBiSL/ASL ondersteunt de specifieke vereisten vanuit bijvoorbeeld de WGBO of NEN7510 niet.De zorginstelling zal zelf aanvullende maatregelen moeten nemen om te waarborgen dat toch aandeze wet- en regelgeving wordt voldaan.4.3.8 Flexibel zijnDe flexibiliteit van BiSL/ ASL ligt met name in de modulaire opbouw van het frameworkmiddels de cluster. In het geval dat een aanpassing gedaan moet worden, behoeft uitsluitend hetbetreffende cluster aangepast te worden.23

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?4.3.9 Toezien op naleving eenvoudig mogelijk makenDoor het adequaat inrichten en het inbouwen van voldoende controlemomenten is het middelsBiSL/ ASL mogelijk om periodiek toe te zien op de naleving van de intern opgesteldebeheerprocedures. BiSL/ ASL kent naast de uitvoerende niveaus ook sturende en richtinggevendeniveaus. In deze niveaus dient voldoende aandacht te zijn op naleving van de interne procedures.4.3.10 AfsluitingUit deze analyse wordt duidelijk dat een goed framework zeker niet bij voorbaat hetwondermiddel is voor een organisatie om haar problemen omtrent IT beheersing op te lossen.Een bij de organisatie passende inrichting en een goede risicoanalyse, om bijvoorbeeld demogelijke risico’s op het gebied van wet- en regelgeving inzichtelijk te krijgen, is hierbij eenabsolute must.In bijlage I van deze scriptie heb ik een beoordelingskader voor BiSL en ASL opgenomen. Depunten die ik een score heb toegekend van drie rode bolletjes óf twee groene bolletjes en één roodbolletje hebben extra aandacht gehad bij de uitwerking van het beoordelingskader.24

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?4.4 Welke aanpassingen zijn noodzakelijk om BiSL/ASL toepasbaar te maken?Het BiSL/ASL framework is een samenvoeging van een aantal ‘best practises’ op het gebied vanIT beheersing. Het is echter geen toetsend beoordelingskader op basis waarvan een organisatiezelf een analyse kan doen in hoeverre de IT beheerorganisatie voldoet aan de daaraan te stelleneisen. Er zijn wel generieke zelfdiagnose vragenlijsten op het gebied van BiSL/ ASL beschikbaar.Specifieke punten op het gebied van organisatiecultuur en specifieke wet- en regelgeving wordtdaarin echter gemist.In bijlage I van deze afstudeerscriptie heb ik een eerste aanzet gedaan voor een beoordelingskaderdat specifiek is toegespitst op de Nederlandse gezondheidszorg en rekening houdt met de‘eigenaardigheden’ van de Nederlandse gezondheidszorg.Ik noem het bewust een ‘eerste aanzet’. Nadat het beoordelingskader een aantal maal in depraktijk toegepast is, zullen er zeker nog wat aanpassingen aan het beoordelingskader gedaanmoeten worden. Verder is ieder ziekenhuis uniek en heeft haar eigen specifieke behoeften, ookdeze kunnen in het beoordelingskader opgenomen worden. Enkel op deze wijze wordt een ITbeheersingskader verkregen dat laagdrempelig is en goed past bij de behoeften van eenorganisatie. Dit past ook precies in het beeld dat de ASL BiSL Foundation (voorheen ASLFoundation) voor ogen heeft; een flexibel, adequaat én bij de organisatie passend ITbeheersingkader.4.5 Op welk detailniveau dient BiSL/ASL toegepast/ ingericht te worden binnen eenorganisatie?De rode draad in BiSL/ASL is om de op applicatie gebaseerde beheersing los te laten en over tegaan op beheersing van bedrijfsprocessen. Hiertoe worden serviceteams geformeerd die ieder eenbepaald (deel) proces beheren. In bijlage I heb ik deze serviceteams gedefinieerd opprocesniveau. Hierbij zijn de volgende processen/serviceteams gedefinieerd:• Zorgproces: registratie, validatie en declaratie;• HR/ Salaris;• facilitair beheer, inkoop en logistiek;• geldverkeer/ treasury;• financiële administratie/ controlling;• overige.Afhankelijk van de veelheid van gebruikers, applicaties, specialismen en complexiteit kan eenziekenhuis het serviceteam voor het zorgproces verder detailleren, bijvoorbeeld middels deinvoering van sub serviceteams. Ik kan hiervoor geen eenduidig en juiste oplossing geven, dit isgeheel afhankelijk van vorengenoemde en vele andere factoren binnen de betreffende organisatie.Wel is het van essentieel belang dat dit weloverwogen, gestructureerd gebeurt en dat structurele25

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?coördinatie blijft bestaan. Mijn advies is om deze sub serviceteams zoveel mogelijk te beperkenomdat dit weer extra coördinatie en daarmee een verhoogd risico op fouten met zich meebrengt.Afhankelijk van het aantal sub serviceteams dat men in het leven roept is het aan te raden om eencentrale coördinator aan te stellen en daarmee te waarborgen dat de procedures synchroon lopenen synchroon blijven lopen.Figuur 4. Een voorbeeld van subservice teams waarbij een onderscheid is gemaakt tussen beschouwende,ondersteunende en snijdende specialismen.In de bovenstaande figuur heb ik een voorbeeld gegeven hoe een Serviceteam Zorgonderverdeeld kan worden naar drie sub serviceteams, op basis van het specialisme. Er zijn echterook andere onderverdelingen mogelijk, dit is geheel afhankelijk van de wensen en eisen van debetreffende gezondheidszorginstelling.4.6 AfsluitingIn dit hoofdstuk is de gedachte achter BiSL/ASL beschreven. Tevens is aangegeven in hoeverreBiSL/ASL ondersteunend is om de problemen en de oorzaken van deze problemen waarmee deNederlandse gezondheidszorginstellingen op het gebied van IT beheersing kampen op te lossen.Op basis van deze problemen en oorzaken heb ik een aantal eisen geformuleerd waaraan een ITbeheersingskader moet voldoen. Daarnaast heb ik in dit hoofdstuk aangegeven op welkdetailniveau BiSL/ASL geïmplementeerd dient te worden binnen een organisatie. De conclusievan mijn onderzoek is dat BiSL/ASL zeker kan voldoen aan deze eisen, maar dat er voor deinstelling zelf een belangrijke taak is weggelegd om de implementatie van BiSL/ASL succesvolte maken en succesvol te houden.26

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?Middels het beoordelingskader dat ik heb opgesteld in bijlage I, kunnen instellingen een eerstebeoordeling uitvoeren of de aspecten van IT beheersing in voldoende mate zijn ingebed in debetreffende instelling.De ASL BiSL foundation geeft het zelf ook aan: BiSL/ASL kan enkel een succes worden indienhet naadloos aansluit op de doelstellingen en cultuur van de organisatie, KISS is hierbij hetsleutelwoord. (KEEP IT SHORT AND SIMPLE)27

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?5 Beantwoording centrale onderzoeksvraag en wat nu?5.1 InleidingIn dit hoofdstuk worden de kernpunten van mijn scriptie nogmaals uiteengezet, teneinde eenantwoord te kunnen geven op de centrale onderzoeksvraag zoals opgenomen in §1.2.In §5.2 zal ik een antwoord geven op de centrale onderzoeksvraag om vervolgens in §5.3 af tesluiten met de toegevoegde waarde van dit onderzoek voor de EDP Auditor.5.2 Beantwoording centrale onderzoeksvraagIn de hoofdstukken twee tot en met vier zijn begrippen zoals functioneel applicatiebeheer enBiSL/ASL nader toegelicht. Tevens heb ik in deze hoofdstukken de problemen geschetst die deNederlandse gezondheidszorg ervaart bij de uitvoering van haar IT beheerprocessen. Dezeproblemen zijn vervolgens vertaald naar eisen en getoetst aan het BiSL/ASL framework.Dit alles heb ik gedaan om een antwoord te kunnen geven op mijn centrale onderzoeksvraag: ‘Ishet BiSL/ASL model een praktisch toepasbaar model voor het functioneel applicatiebeheer (FAB)binnen de Nederlandse gezondheidszorg?’Op basis van mijn onderzoek moet ik deze vraag zeker positief beantwoorden. BiSL/ASL is metname geschikt omdat het:• de gedachte van beheersing in applicaties kantelt naar het beheersen in bedrijfsprocessen;• zowel uitvoerende, sturende en richtinggevende (USR) doelstellingen kent en de User (degebruikersorganisatie) hierbij continu centraal staat;• flexibel en in te richten is op ieder gewenst detailniveau;• aansluit op reeds aanwezige frameworks binnen een instelling, zoals ITIL.Er is echter wel een belangrijke ‘maar’. Deze ‘maar’ geldt eigenlijk voor ieder framework datbinnen een organisatie wordt geïmplementeerd. Het framework op zich is niet het wondermiddelvoor alle perikelen die men op het gebied van IT beheersing ervaart. Het framework kan enkeleen succes worden indien het naadloos aansluit op de doelstellingen van de organisatie, decultuur van de organisatie en wordt (uit)gedragen door de leiding van de organisatie.5.3 Wat nu?Zoals ik reeds in deze scriptie heb aangegeven is het BiSL/ASL framework geen toetsend ofnormstellend beheersingskader. Daarnaast is het BiSL/ASL een generiek framework. Ook de28

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?‘eigenaardigheden’ binnen de gezondheidszorg, zoals de cultuur van de organisatie en despecifieke vereisten uit wet- en regelgeving zijn geen standaard onderdeel van het framework.Om mijn onderzoek van nut te laten zijn voor mijn collega’s binnen de sector gezondheidszorg enmijzelf als toekomstig IT auditor heb ik in bijlage I een eerste aanzet voor een beoordelingskader‘a la BiSL/ASL’ gedaan dat specifiek is toegesneden op de gezondheidszorg. Ik heb hierbijrekening gehouden met de bevindingen uit mijn onderzoek. Hierbij is het startpunt geweest omde risico’s die op richtinggevend, sturend en uitvoerend niveau te onderkennen zijn in kaart tebrengen. Voor deze risico’s zijn vervolgens interne beheersingsmaatregelen geformuleerd.Ik heb in de periode dat ik deze scriptie heb geschreven het beoordelingskader reeds éénmaalgebruikt bij de controle van een ziekenhuis. Na afstemming van het beoordelingskader en deuitvoering van onze werkzaamheden heb ik het beoordelingskader op kleine punten aangepast.Nadat het beoordelingskader nog een aantal maal in de praktijk is toegepast, zullen er zeker nogmeer aanpassingen aan het beoordelingskader gedaan worden. Verder is ieder ziekenhuis unieken heeft haar eigen specifieke behoeften, ook deze kunnen in het beoordelingskader opgenomenworden. Enkel op deze wijze is het mogelijk een IT beheersingskader te krijgen datlaagdrempelig is en goed past bij de behoeften van een organisatie. Dit past ook precies in hetbeeld dat de ASL BiSL Foundation (voorheen ASL Foundation) voor ogen heeft, een flexibel enbij de organisatiepassend IT beheersingskader29

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?6 Verklarende woordenlijstDBCDeclaratieEPDFB BudgetEen DBC (Diagnose Behandeling Combinatie) is te zien als eenvooraf gedefinieerd gemiddeld zorgproduct dat de zorgverlenerselecteert op basis van de zorgvraag van de patiënt. De DBC bevatinformatie over de zorgvraag, de diagnose en de benodigdebehandeling. De DBC benoemt elke activiteit in de behandeling vande patiënt, van het eerste contact tot en met de laatste controle. Bronwww.dbconderhoud.nlHet door de zorgaanbieder bepalen aan wie en tegen welk prijs/ tariefde declarabele prestatie moet worden gefactureerd. De afhandelingvan DBC declaratie door de zorgverzekeraar en/of patiënt waarbijwordt vastgesteld of er recht is op vergoeding en of de juistedeclarabele prestatie en het juiste tarief is gedeclareerd.Elektronisch Patiënten Dossier. Het EPD kan gezien worden als eencontainerbegrip. Een functionele definitie van een EPD is dat allerelevante patiëntinformatie, 24 uur per dag, vanaf elke werkplekbeschikbaar is. Als extra inhoudelijke eigenschappen van een EDPSysteem kan de ondersteuning van de zorgprofessional bij hetzorgproces genoemd worden, zoals het opnemen vanveiligheidsmaatregelen voor medicatie, waarschuwingssystemen voorafwijkende uitslagen, richtlijnen en protocollering.Bekostigingssysteem in de ziekenhuiszorg. Door de NederlandseZorgautoriteit (NZa) voorheen College Tarieven Gezondheidszorg(CTG)) wordt voor ieder ziekenhuis in Nederland een budgetvastgesteld. Hiertoe hanteert de NZa door haar opgestelde en door hetMinisterie van VWS goedgekeurde rekenregels. De budgettering vanziekenhuizen is gestart in 1983 op basis van een beoordeling van deexploitatie van 1982 en heeft zich ontwikkeld tot eenbudgettoekenning op basis van budgetparameters (FB budget). Naasttoekenning van budget voor de klinische en poliklinische activiteitenvan het ziekenhuis kan eveneens budget worden toegekend vooractiviteiten voor derden zoals de eerstelijnszorg (huisartsen) en andereinstellingen (verpleeghuizen). Tevens worden in het budget de kostenmeegenomen van medisch specialisten in het geval deze in loondienstzijn.(Bron: www.minvws.nl) Het FB-systeem zal per 2009 wordenvervangen door een systeem van prestatiebekostiging voor medischspecialistische zorg.30

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?IT BeheerorganisatieITILNEN7510RegistratieRisicoanalyseValidatiemoduleValidatie/ValiderenWBPDe IT-beheerorganisatie bestaat uit de gebruikersorganisatie en de ITorganisatie.De Information Technology Infrastructure Library is ontwikkeld alseen referentiekader/ best practise voor het inrichten van debeheerprocessen binnen een IT-organisatie.De norm NEN 7510 is een door het Nederlands Normalisatie-instituutontwikkelde norm voor Informatiebeveiliging voor de zorgsector inNederland. De norm is gebaseerd op de Code voorInformatiebeveiliging.Voor de zorgsector is een aangepaste versie vande Code opgesteld. De reden hiervoor is dat er met name specifiekeextra aandachtspunten zijn, zoals privacybescherming, en hettaalgebruik, dat voor de zorgsector niet volledig duidelijk is. De NEN7510 wordt aangevuld met de NEN 7511 (Toetsbaar voorschrift voorsolopraktijken, samenwerkingsverbanden en grote instellingen) enNEN 7512 (gegevensuitwisseling, gericht op de AORTAinfrastructuur).Het vastleggen van Diagnose Behandeling Combinaties door of onderverantwoordelijkheid van de medisch specialist in het ZiekenhuisInformatie Systeem (ZIS). Dit wordt gedaan met behulp van de doorde verschillende wetenschappelijke verenigingen opgesteldetyperingslijsten en binnen de richtlijnen zoals die in detyperingsinstructies zijn opgesteld. Daarnaast moet worden voldaanaan de regels zoals die in de NZa beleidsregels zijn vastgesteld.Het op gestructureerde wijze in kaart van brengen van risico’s enbeheersingmaatregelen in bedrijfsprocessen.Deel van het ICT-systeem waarmee de DBC’s worden gevalideerdvoordat ze ter declaratie aan worden geboden. In deze module wordtaan de hand van de gekoppelde zorgactiviteiten een behandelasafgeleid. Indien van toepassing wordt deze afgeleide behandelasvergeleken met de ingevoerde behandelas en wanneer er verschil is,komt de betreffende DBC op de uitvallijst te staan. Wanneer de DBCniet uitvalt wordt tenslotte gecheckt of de combinatie van DBCcomponenten declarabel is.Controleren of de gekozen DBC-typering (met name de behandeling)past bij de uitgevoerde zorgactiviteiten.De Nederlandse Wet bescherming persoonsgegevens, afgekort Wbp,geeft regels ter bescherming van de privacy van burgers. De wet is op1 september 2001 in werking getreden.31

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?WGBODe Wet op de Geneeskundige Behandelingsovereenkomst is eenNederlandse wet waarin rechten en plichten van behandelaar enpatiënt geregeld worden, en is 1 april 1995 in werking getreden. Het isvastgelegd in boek 7, titel 7, afdeling 5 van het Burgerlijk Wetboek(Nederland) (B.W.). Het is een vorm van een overeenkomst vanopdracht (titel 7.7 B.W.).In deze wet wordt onder meer recht vaninzage in het eigen medische dossier geregeld. Ook bevat de WGBOeen informatieplicht en toestemmingsvereiste. De zorgverlener isverplicht de patiënt te informeren en deze toestemming voor eenbehandeling te vragen.32

BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?7 LiteratuurlijstGeraadpleegde boeken1 Pols, Strategisch Beheer van informatievoorziening met ASL en BISL, AcademicServices 2005.2 Aanvulling op boek Strategisch Beheer van informatievoorziening met ASL en BISL,DEEL D website www.academicservices.nl geraadpleegd 28 december 2007.3 Liefers, Burk, Compliance en IT Beheer, Academic Services 2006.4 Praat, Suerink, Inleiding EDP-auditing, Ten Hagen en Stam november 2004.Geraadpleegde artikelen1 Deurlo, Meijer-Veldman, Pols, een methodiek voor functioneel beheer, ITbeheerhandboek 19982 Outvorst, Zee, Deurlo, De praktijk van functioneel beheer – het model voor functioneelbeheer in de praktijk, IT beheerhandboek 20013 Meijer, Meijers. Effectief IT-beheer: samenwerken waar nodig, zelfstandig opererenwaar mogelijk. IT beheerhandboek 20024 Deurlo, Outvorst, Pols, een nieuwe functioneel-beheermodel, It Beheerhandboek 20025 Outvorst, Functioneel beheer bij pakketten. IT beheerhandboek 20036 Pols, de nieuwe rol voor informatiemanagement, IT beheerhandboek 20037 Outvorst, Donatz, functioneel beheer bij pakketten deel 2. ITSM bestpractises 20048 Van Dolder, hoe sterker de schakels, hoe beter de ketting, IT beheer 2-20049 Outvorst, Donatz/, Pols, introductie BiSL ITSM best practises 200510 Bordewijk, In samenhang met ITIL is BiSL verrijking van IT Service Management, ITbeheer 10-2006Geraadpleegde websites1 www.aslbislfoundation.org2 www.getronicspinkroccade.nl3 www.dbconderhoud.nl33

Scriptie ter afronding van de IT Audit opleiding aan de Vrije Universiteit van AmsterdamGeheimhoudingDe inhoud van deze scriptie is vertrouwelijk. Niets uit deze scriptie mag vermenigvuldigd, nochopenbaar gemaakt worden zonder de uitdrukkelijke toestemming van de auteur.drs. G.J.A.M.J. (Gert-Jan) Gerrits RA, april 2008