IT-audit in de zorg: tijd voor herijking

Van compliance naar betekenis: audit, data en AI in de zorg

In de zorg is er een groeiende behoefte aan zinnige inzet van IT en AI om het toenemende zorgprobleem het hoofd te bieden. Tegelijk rekenen we op audits voor veiligheid en vertrouwen. In de praktijk blijven audits echter vaak steken in vinklijsten. Zonder fundamentele herijking van normen en aanpak sturen we op compliance in plaats van op maatschappelijke waarde. Dit moet anders.

Ik loop al een tijdje mee in de zorg en zie dat IT-audits vaak achter de risico’s aanlopen. Terwijl ze enorm veel tijd en kosten vragen. Tegelijk worstelen zorgaanbieders met de vraag welke AI-toepassingen werkelijk zinnig en betrouwbaar zijn, en hoe al die nieuwe IT beheersbaar kan worden ingericht. Iemand fluisterde me in: IT-audit moet worden herijkt. En jij kunt het voortouw nemen zei hij er achteraan. Iedereen die ik hierover vraag is het daar mee eens. Met AI neemt de noodzaak daarvan enorm toe: nieuwe technologie creëert risico’s sneller dan normen en audits kunnen bijhouden.

Waar het nu wringt

Daarbij moet ook wat we auditten – het object – onder de loep. Nu kijken we vooral naar processen. Maar er is geen enkele norm die datakwaliteit afdwingt. De normen voor Wegiz en EHDS gaan alleen over uitwisseling. Garbage in, garbage out hoor ik vaak als het over die normen gaat. Voor de zorg is dat lastig, maar zorgprofessionals zijn gewend aan wat minder volledige of eenduidige data en houden een slag om de arm. Zorgprofessionals roepen sinds enkele jaren om databeschikbaarheid, maar de vastlegging voor anderen blijft vaak achter. Hoe en voor welke data spreken we minimale kwaliteit af?

Misschien is het slimmer om de 1–10% data die echt belangrijk is voor hergebruik veilig, vindbaar en dubbel gecontroleerd vast te leggen.

As 1: de IT-audit in de zorg herijkt

Traditionele IT-audits zijn primair ingericht rond regels en normen zoals NEN 7510 en AVG, en straks EHDS en Cbw. Ze controleren of systemen veilig zijn, toegang goed geregeld is en logging klopt. Dat is nodig, maar vaak onvoldoende. Ze kijken vooral naar bestaande risico’s, missen soms de medische context en zijn momentopnames.

Een herijkte audit ziet er anders uit. Dit zijn geen vaste regels, maar een paar belangrijke richtingen om het denken over audit te kantelen::

• Breder: niet alleen systemen, maar ook processen, mensen, ketenpartners en maatschappelijke impact.
• Proactief: risicogebaseerd, horizon scanning en doorlopende checks.
• Adviserend: niet alleen controleren, maar helpen verbeteren.

Belangrijk om te benadrukken: een herijkte audit kan juist eenvoudiger worden voor de organisatie. Als systemen bijvoorbeeld zichzelf continu basaal testen – iets wat in de accountancy al standaard is – kan de voorbereiding en het eigenlijke auditproces zich richten op de echt zinvolle en risicovolle zaken. Zo wordt de audit juist effectiever en minder belastend.:

As 2: omgaan met data en hergebruik

Ook hier geen checklist, maar een aantal keuzes die bepalen of we data echt bruikbaar maken voor de toekomst:

• Uniforme registratie in het EPD is essentieel. Alleen zo kan AI betrouwbare beslissingen ondersteunen.
• Niet alle data is even belangrijk. Het is beter om de 1–10% echt belangrijke data veilig, uniform, dubbel gecontroleerd en goed vindbaar vast te leggen.
• Misschien is het een beter idee om de data niet verspreid in instellingen te laten, maar op een logische, beveiligde plek buiten de instelling.
• Proactief nadenken over relevantie, context en houdbaarheid van data maakt hergebruik later veel efficiënter en veiliger.

Velen hopen dat AI de zorg eindelijk uit zijn groeiende infarct door personeelstekort kan halen. Dat kan, maar we moeten het goed doen. Het moet nu opgepakt worden, onvertraagd. Goede audits kunnen hierbij helpen sturen. Ze zorgen dat risico’s zichtbaar worden en dat organisaties proactief handelen in plaats van reactief.

Conclusie

Herijking van IT-audits en een slimmere omgang met data is geen luxe, maar een noodzaak om het groeiende infarct in de zorg het hoofd te bieden. Juist deze twee assen samen maken het mogelijk dat zorgorganisaties veilig blijven voor patiënten en medewerkers, zich gericht voorbereiden op verantwoorde inzet van AI en nieuwe technologie, en hun data zó organiseren dat deze efficiënt, herbruikbaar en toekomstbestendig bijdraagt aan het ontlasten van de zorg.

Zonder herijking van audit en data blijft AI symptoombestrijding, geen oplossing voor het zorginfarct.

De praktijk lijkt dit beeld te bevestigen en vraagt om verdere doordenking.

Terug naar de vraag of ik het voortouw oppak. Het korte antwoord is: ja. Samen met MediPrepare, en in verbinding met KNVI en VRI. Binnen deze verenigingen vertegenwoordig ik het ethische en maatschappelijke perspectief op IT, specifiek voor de zorg. Juist die combinatie maakt het mogelijk om audit, data en AI in samenhang te herijken.