Deloitte Risk Services B.V. Laan van Kronenburg 2 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088 288 9711 www.deloitte.nl IT-Audit Grouper Onafhankelijk assurance rapport Uitgebracht aan: Stichting DBC-Onderhoud c.c.: T.a.v. de heer V. Sewkaransing 12 februari 2013 Van: Jacques Buith Richard Drewes Deloitte Risk Services B.V. is ingeschreven in het handelsregister van de Kamer van Koophandel te Member of Rotterdam onder nummer 50340158. Deloitte Touche Tohmatsu Limited Inhoudsopgave 1. Inleiding 2 2. Opdrachtformulering 3 2.1 Opdracht 3 2.2 Criteria 3 2.3 Verantwoordelijkheden 3 2.4 Werkzaamheden 4 2.5 Begrenzing van het Assurance Rapport 5 3. Conclusie 6 3.1 Oordeel 6 3.2 Toelichting 6 4. Bevindingen 9 5. Reactie DBC-Onderhoud op rapport 10 6. Tot slot 11 Bijlage 1 – Toetsingskader 12 2 1 2 februari 2013 RD_ska_13-194 1. Inleiding Stichting DBC-Onderhoud (hierna: DBC-O) biedt als onafhankelijke kennisorganisatie inzicht in de zorgprestaties van de curatieve en langdurige zorg en is verantwoordelijk voor een goed werkende DBC-Systematiek. Ter verbetering van de DBC-systematiek heeft DBC-O, in overleg met het Ministerie van VWS, NZa en overige veldpartijen, een aantal ingrijpende wijzigingen doorgevoerd in de productstructuur en in de wijze waarop de totstandkoming van DBC-productie plaatsvindt. Dit onder de naam ‘DBC’s op weg naar Transparantie’ (DOT). Bij deze systematiek worden declaraties van zorgproducten afgeleid door de zogenaamde Grouper applicatie. De Grouper applicatie is per 1 januari 2012 in productie gegaan. Zorginstellingen verzorgen de aanlevering van verrichtingen, diagnose- en patiënten informatie aan deze Grouper. De Grouper levert de DBC-zorgproductie inclusief een ‘verzegeling’ terug aan zorginstellingen, zodat zij in staat zijn de DBC-zorgproducten te declareren. Het belang van de Grouper applicatie voor de verschillende partijen in de zorg, de zorgaanbieders en zorgverzekeraars, is daarmee evident. Vertrouwen in de werking van de Grouper applicatie is derhalve noodzakelijk voor een goede werking van de DOT-systematiek. Ten grondslag aan het beheersen van de betrouwbare, continue en vertrouwelijke verwerking van de Grouper ligt het toetsingskader dat DBC-Onderhoud heeft opgesteld met de veldpartijen. Deloitte heeft een onafhankelijke beoordeling verricht op de betrouwbare, continue en vertrouwelijke werking van de Grouper applicatie in de periode 1 oktober 2011 tot en met 31 december 2012. Dit rapport bevat de conclusie en een overzicht van de bevindingen die Deloitte heeft aangetroffen bij de IT-Audit ten aanzien van de kwaliteitsaspecten betrouwbaarheid, vertrouwelijkheid en continuïteit. Per aanbeveling geeft DBC-Onderhoud een reactie en in hoofdstuk 5 geeft DBC-Onderhoud een algemene reactie op de rapportage. 3 1 2 februari 2013 RD_ska_13-194 2. Opdrachtformulering 2.1 Opdracht Wij hebben in opdracht van Stichting DBC-Onderhoud een assurance-opdracht uitgevoerd gericht op het verkrijgen van een redelijke mate van zekerheid dat de werking van de Grouper in alle van materieel belang zijnde opzichten gedurende de periode van 1 oktober 2011 tot en met 31 december 2012 heeft voldaan aan de eisen van betrouwbaarheid, continuïteit en vertrouwelijkheid zoals deze zijn geformuleerd in het voor deze opdracht gehanteerde normenkader. Daarnaast is de scope van onze opdracht uitgebreid met een beoordeling van de juiste werking van de Grouper applicatie voor de afleiding naar de zorgproducten. Wij verstaan onder deze kwaliteitsaspecten: Kwaliteitsaspect Definitie Betrouwbaarheid de mate waarin de gegevens in de Grouper applicatie in overeenstemming zijn met de afgebeelde werkelijkheid (tijdigheid, juistheid en volledigheid) en vast te stellen is (controleerbaarheid) dat de informatieverwerking is uitgevoerd in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten. Vertrouwelijkheid de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van de Grouper applicatie. Continuïteit de mate waarin de (gegevens in de) Grouper applicatie beschikbaar is/zijn en de gegevensverwerking ongestoord voortgang kan hebben. Dit Assurance-rapport en de beschrijving van de door ons uitgevoerde testwerkzaamheden is uitsluitend bedoeld voor DBC-Onderhoud en de volgende veldpartijen: • Onderhoudspartijen: VWS, CVZ, NZa; • Branchepartijen: NFU, NVZ, ZN, ZKN; • Individuele ziekenhuizen en andere tweedelijns zorgaanbieders en hun accountants; • Hostingpartij: CSC. 2.2 Criteria Als toetsingscriteria hebben wij het in de bijlage opgenomen normenkader gehanteerd zoals door DBC-Onderhoud is aangereikt. Wij zijn van mening dat dit normenkader toereikend is voor het doel van deze Assurance opdracht. 2.3 Verantwoordelijkheden Het Bestuur van Stichting DBC-Onderhoud is verantwoordelijk voor de opzet, de implementatie en doorlopend goede werking van de Grouper. Het is onze verantwoordelijkheid een assurance-rapport inzake continuïteit, betrouwbaarheid en vertrouwelijkheid van de Grouper te verstrekken. 4 1 2 februari 2013 RD_ska_13-194 2.4 Werkzaamheden Wij hebben ons onderzoek verricht in overeenstemming met Nederlands recht, waaronder Richtlijn voor assurance-opdrachten door IT-auditors ("Richtlijn 3000"). Dienovereenkomstig dienen wij ons onderzoek zodanig te plannen en uit te voeren, dat een redelijke mate van zekerheid wordt verkregen dat de betrouwbaarheid, vertrouwelijkheid en continuïteit van de Grouper in alle van materieel belang zijnde opzichten in de periode van 1 oktober 2011 tot en met 31 december 2012 hebben voldaan aan de normen zoals deze zijn geformuleerd in het voor deze opdracht gehanteerde toetsingskader. Aanvullend op het toetsingskader zijn de volgende werkzaamheden verricht: • Beoordeling van de toereikendheid en de uitkomsten van de testset die DBC-O hanteert als onderdeel van de procedure voor het doorvoeren van wijzigingen in de Grouper; • Voor de zorgproducten die niet worden afgedekt door deze testset, is vastgesteld dat deze zorgproducten deel uitmaken van het afleidingsproces in de Grouper; • Beoordeling van de verwerkingswijze van de zorgtrajecten die niet middels de beslisboom worden afgeleid (add-ons en OVP). Ons onderzoek omvat mede die werkzaamheden die wij in de omstandigheden nodig achten om een toereikende zekerheid te verkrijgen voor het afgeven van ons oordeel, waaronder: • Identificeren van inherente risico’s aangaande de Grouper in de omgeving van DBC- Onderhoud en CSC; • Toetsen van de controlemaatregelen middels het doen van deelwaarnemingen; • Inwinnen van inlichtingen, met name bij personen die verantwoordelijk zijn voor de beheersmaatregelen omtrent de Grouper. De testwerkzaamheden vonden gefaseerd plaats gedurende twee perioden: • In de periode oktober 2012 tot en met december 2012 is een audit verricht over de periode van 1 oktober 2011 tot en met 31 oktober 2012. • In de periode december 2012 tot en met 11 februari 2013 is een audit verricht over de periode van 1 november 2012 tot en met 31 december 2012. Wij zijn van mening dat de door ons verkregen assurance-informatie voldoende en geschikt is als basis voor onze conclusie. 5 1 2 februari 2013 RD_ska_13-194 2.5 Begrenzing van het Assurance Rapport Het onderzoek is gericht geweest op de beheersmaatregelen omtrent de Grouper in opzet, bestaan en werking. Onder werking verstaan wij het aantoonbaar waarnemen van het functioneren van de beheersmaatregelen gedurende de periode. Ons assurance-rapport is alleen van toepassing ten aanzien van de Grouper binnen de eerder vermelde toetsingsperiode, wij doen geen mededeling over de kwaliteit van de Grouper buiten deze periode. Buiten de reikwijdte van onze opdracht vielen: • Beoordeling van de beheersmaatregelen bij de zorginstellingen; • Beoordeling van de beheersmaatregelen binnen de applicaties van de zorginstellingen. De informatie opgenomen in hoofdstuk 5 van dit rapport is verstrekt door Stichting DBC- Onderhoud om aanvullende informatie te verschaffen aan (potentiële) gebruikers van de Grouper applicatie. De informatie in hoofdstuk 5 is geen onderdeel geweest van de reikwijdte van onze opdracht. Om deze reden verstrekken wij geen oordeel over de informatie opgenomen in dit hoofdstuk. 6 1 2 februari 2013 RD_ska_13-194 3. Conclusie 3.1 Oordeel Wij zijn van oordeel dat de Grouper applicatie gedurende de periode 1 oktober 2011 tot en met 31 december 2012 in opzet, bestaan en werking in alle van materieel belang zijnde opzichten heeft voldaan aan de eisen van betrouwbaarheid, continuïteit en vertrouwelijkheid zoals geformuleerd in het toetsingskader “Testplan audit gegevensverwerking Grouper” (zie bijlage 1). Daarnaast zijn wij op grond van de in paragraaf 2.4 genoemde aanvullende werkzaamheden, van oordeel dat de volledigheid en juistheid van de afleiding en de betrouwbare kleuring van de zorgproducten (gericht op het toekennen van de juiste aanspraakcodes) met een redelijke mate van zekerheid is gewaarborgd. 3.2 Toelichting 3.2.1 RSAD model De Grouper is onderdeel van het registratiemodel DOT. Het RSAD model: van Registratie en Samenvatten naar Afleiden en Declareren. Onderstaande figuur geeft dit model weer. Het RSAD proces vindt, met uitzondering van afleiden, volledig plaats binnen de zorginstelling met het ZIS (ziekenhuisinformatiesysteem). Registreren omvat het openen van een zorgtraject en het registreren van zorgactiviteiten zoals consulten, onderzoeken, ligdagen, OK-activiteiten en het toedienen van dure- en weesgeneesmiddelen. Wanneer een (sub) zorgtraject is afgesloten, vindt samenvatten plaats. Samenvatten is gebaseerd op algemene afsluitregels en uitzonderingsregels die in het kader van de DOT systematiek zijn vastgelegd. Resultaat van samenvatten is een declaratiedataset die de zorginstelling als invoer aanbiedt aan de Grouper. De Grouper verzorgt de afleiding van de declaratiedataset naar declarabele DBC zorgproducten; deze gegevens gaan verzegeld terug naar de zorginstelling. Na toevoeging van de tariefgegevens, kan de zorginstelling het DBC zorgproduct bij de zorgverzekeraar declareren en de informatie naar DIS aanleveren. 7 1 2 februari 2013 RD_ska_13-194 3.2.2 Controle technische aspecten Grouper Grouper werkt op basis van berichtenverkeer. Hiervoor wordt de HL7 standaard gebruikt, een internationale standaard voor de uitwisseling van medische, financiële en administratieve gegevens tussen zorginformatiesystemen. In termen van RSAD wordt iedere declaratiedataset door het ZIS als zelfstandig bericht naar de Grouper verzonden. Hetzelfde geldt voor het versturen van het declarabele zorgproduct door de Grouper naar het ZIS. Na verzending van het bericht wordt de data betreffende de afleiding niet meer door de Grouper vastgehouden. Bijlage 1 Toetsingskader bevat de controle technische normen waaraan de Grouper moet voldoen. Dit toetsingskader is volledig gebaseerd op het Toetsingskader Grouper (zoals gepubliceerd op 1 november 2010). Grouper omvat controles die waarborgen dat ieder bericht wordt verwerkt, dat wil zeggen dat een bericht met declarabele DBC zorgproducten wordt verzonden naar het ZIS of dat het bericht wordt teruggestuurd indien een fout wordt geconstateerd (zijn alle velden ingevuld, en inhoudelijke controles zoals de geldigheid van zorgactiviteiten). Ieder declarabel DBC zorgproduct (één of meer per bericht) krijgt een eigen controlegetal, hashcode genaamd. Daarmee wordt ieder declarabel DBC zorgproduct van een unieke door de Grouper toegekende code voorzien. Een wijziging van het controlegetal betekent dat de afleiding door de Grouper ongeautoriseerd kan zijn aangepast. Verder omvat het beheer van de Grouper controles om te waarborgen dat de door NZa vastgestelde versie van de beslisboom wordt gebruikt. 3.2.3 Controle technische overwegingen voor de zorginstellingen Vanuit een zorginstelling bezien is de Grouper slechts één stap van het proces, om van diagnose en registratie van zorgactiviteiten tot declaratie te komen (RSAD). In 2012 heeft een belangrijke controle gewerkt, te weten dat ieder bericht van een ZIS naar de Grouper leidt tot een bericht van de Grouper naar dat ZIS. Aanvullend op deze controle, zullen in de zorginstelling minimaal de volgende controles moeten worden vormgegeven en werken om vast te stellen dat de DBC zorgproducten juist, rechtmatig en volledig zijn afgeleid en gefactureerd: • Waarborgen dat alle zorgtrajecten en –activiteiten juist, volledig en tijdig worden geregistreerd; • Waarborgen dat alle zorgtrajecten en –activiteiten juist, volledig en tijdig worden samengevat; • Waarborgen dat alle declaratiedatasets tijdig en volledig worden verzonden naar de Grouper; • Waarborgen dat alle van de Grouper ontvangen declarabele producten tijdig, volledig en met de juiste tarieven worden gedeclareerd bij de zorgverzekeraars. 8 1 2 februari 2013 RD_ska_13-194 Bovenstaande waarborgen zijn nadrukkelijk niet opgenomen in de scope van onze werkzaamheden. In de zorginstellingen vraagt dit een mix van waarborgen van organisatorische en procedurele aard en stelt dit eisen aan de functionaliteit van het ZIS. 9 1 2 februari 2013 RD_ska_13-194 4. Bevindingen Aan de hand van het toetsingskader (zie bijlage I) zijn uit de beoordeling van de werking twee bevindingen naar voren gekomen. De geconstateerde bevindingen doen geen afbreuk aan het oordeel zoals weergegeven in hoofdstuk 3. Bij control 1.17 hebben wij een afwijking geconstateerd. In de huidige structuur van het beheerteam binnen DBC-Onderhoud is beperkt gebruik gemaakt van de mogelijkheid tot functiescheiding met behulp van de rollenstructuur en beschikken vier van de vijf gebruikers over alle rollen. Dit is wel in lijn met de huidige opzet van de beheerorganisatie. Verder hebben wij geconstateerd dat de functie van het laden van tabellen niet rol gebonden is en daarmee geen onderdeel uitmaakt van de bestaande rollen. Dit kan leiden tot (per abuis) inladen van tabellen. Echter het risico is beperkt tot gebruikers van CSC en DBC-Onderhoud met VPN verbinding. Daarnaast zal het laden van tabellen leiden tot het (tijdelijk) niet beschikbaar zijn van de Grouper. Daarom is impact van deze bevinding beperkt. Reactie DBC-Onderhoud: De bevinding van Deloitte is een terechte constatering. Er zijn geen negatieve gevolgen geweest, het risico is niet opgetreden. Onderzocht of de rol "laden van tabellen" aangepast kan worden. Tevens zijn afspraken gemaakt met onze leverancier om het laden van tabellen te vermelden in de maandelijkse Service Level Rapportage. Bij controls 1.4 en 1.18 hebben wij geconstateerd dat de updatelogs die de Grouper op systeemniveau vasthoudt, in de periode januari tot en met april 2012 in verband met een systeemmigratie niet meer beschikbaar zijn. Daardoor was het niet mogelijk om voor deze periode vast te stellen in hoeverre er softwarewijzigingen hebben plaatsgevonden die niet in de wijzigingenadministratie van DBC-O zijn geregistreerd. Middels een schriftelijke verklaring heeft CSC bevestigd dat over de periode januari tot met mei 2012 geen onregelmatigheden zijn geconstateerd in de toegang tot het systeem. Daarnaast hebben wij geconstateerd dat de wijzigingenregistratie over de rest van de controleperiode volledig is. Daarom is impact van deze bevinding beperkt. Reactie DBC-Onderhoud: De logging is gewist bij een hardware vervanging. Dit incident is met de leverancier besproken en hierbij nadrukkelijk afgesproken dat de logging periodiek veilig wordt gesteld.