Hoe houd je een informatiesysteem 24/7 in de lucht als het operationeel is? Hoe zorg je ervoor dat het medisch dossier van een patiënt tijdens een operatie gegarandeerd toegankelijk blijft? Hoe bewaak je de toegang tot alle bronnen en al de data die ze voortbrengen? Hoe zorg je ervoor dat informatie alleen beschikbaar is voor geautoriseerde zorgaanbieders? Zomaar wat vragen die leiden tot eisen aan een IT systeem waar je misschien in eerste instantie niet bij stilstaat, maar die wel van cruciaal belang zijn bij de ontwikkeling van een informatiesysteem in de zorg.
Traditionele ontwikkeling van informatiesystemen
Traditioneel wordt er bij ontwikkeling van informatiesystemen vooral gefocust op de functionaliteiten voor eindgebruikers. Non functional requirements (NFR), de eisen aan een systeem zoals de vragen uit de alinea hierboven, sneeuwen onder. Een ontwikkelteam stuurt een project door naar het operationele beheerteam. Waar het informatiesysteem in de ontwikkelomgeving feilloos opereerde, blijkt er een mismatch te zijn in de operationele omgeving. Het gevolg is vaak dat óf er een enorme vertraging optreed door aanpassingen in het systeem (met alle financiële gevolgen van dien), óf dat een in de praktijk niet voor 100% functioneel systeem wordt ingezet.
Nieuwe methodiek: DevOps
Sinds een aantal jaren maken bedrijven in toenemende mate gebruik van de methodiek DevOps bij de ontwikkeling van informatiesystemen. DevOps is een gecombineerde term en verenigt de twee grote IT disciplines, namelijk; Development (Ontwikkeling) en Operations (Beheer). DevOps is ‘the next big thing’ wanneer het gaat om het ontwikkelen van complexe informatiesystemen. DevOps borduurt voort op de Agile-methodiek, waarbij wendbaarheid voorop staat. Bij deze methodiek gaat men ervan uit dat de omstandigheden tijdens een project steeds veranderen, en kan men hier op in spelen - wat er voor zorgt dat het gewenste eindresultaat altijd in het vizier blijft. DevOps slaat een brug tussen de ontwikkeling van software en de beheersing ervan. Het geeft het uiteindelijke gebruik van het informatiesysteem een belangrijke rol in de ontwikkelfase. Door het proces eenvoudiger te maken, sneller en door de ontwikkeling ervan in kleine stukjes op te delen, moet DevOps leiden tot betere software die in minder tijd ontwikkeld wordt.
DevOps in diverse sectoren
Het gebruik van DevOps stijgt gestaag. Facebook, Spotify, Netflix en Amazon zijn enkele voorlopers die DevOps geadopteerd hebben. Nadat vooral internetbedrijven en start-ups hiermee succesvol werden, wordt DevOps tegenwoordig in meerdere sectoren toegepast. Zo zijn financiële dienstverleners, energiebedrijven, de spoorsector en diverse multinationals reeds gestart met het toepassen van DevOps in Nederland. Ook in de zorg zijn de eerste voorbeelden bekend, onder andere vanuit de GGZ met de ontwikkeling van een set applicaties rondom het EPD, gebruikmakend van de DevOps-methodiek.
Spoornetbeheerder ProRail is recent gestart met het toepassen van DevOps. Voor ProRail is het van groot belang altijd toegang te hebben tot gegevens waaruit blijkt waar treinen zich bevinden. Een ander voorbeeld is de noodzaak om realtime te kunnen monitoren hoe de aansturing van wissels en seinen verloopt en desgewenst direct bij te kunnen sturen. De gevolgen van foutief verwerkte data kunnen desastreus zijn. DevOps blijkt juist hier van toegevoegde waarde door de focus op de dialoog tussen de ontwikkelaars en de beheerders en door al tijdens de ontwikkelfase na te denken over de operationele aspecten. Bijkomend voordeel dat men hierbij ervaart is het opbouwen van kennis in het operationele team, door de vroege betrokkenheid in het ontwikkelproces.
DevOps in de zorg?
Dat DevOps van toegevoegde waarde kan zijn, is duidelijk. Maar over het toepassingsgebied is minder bekend. In ieder geval lijken een aantal criteria van belang voor het beoordelen van de toepasbaarheid van DevOps: (1) de complexiteit van het informatiesysteem, (2) de grootte van de IT-organisatie en (3) de mate van regulering.
1. Complexiteit
De complexiteit van een informatiesysteem kan in kaart worden gebracht door een BIV-indeling, waarbij Beschikbaarheid, Integriteit en Vertrouwelijkheid worden geanalyseerd en een graadmeter zijn voor de complexiteit van een informatiesysteem. Net als in de spoorsector moet een informatiesysteem in de zorg zoals een EPD altijd beschikbaar zijn. Zorg wordt 24/7 geleverd en patiëntgegevens moeten te allen tijde beschikbaar zijn voor zorgverleners. Ook is integriteit van data van groot belang. Foutieve data kan zelfs dodelijke gevolgen hebben, bijvoorbeeld wanneer verkeerde medicatie toegediend wordt. Daarnaast is vertrouwelijkheid zeer belangrijk. Het uitlekken van privacygevoelige gegevens kan grote gevolgen hebben voor zowel patiënt als zorginstelling.
De analyse van de Beschikbaarheid, Integriteit en Vertrouwelijkheid resulteert uiteindelijk in een pakket van eisen. Voor een informatiesysteem in de zorg geldt dat je wilt weten of je systeem aangevallen is, wanneer welke data is uitgelekt en bij wie deze is terechtgekomen. Om informatie uit te wisselen tussen ketenpartners is een beveiligde samenwerking nodig. De vele verschillende gegevensbronnen, variërend van EPD’s, medische apparaten, apotheken, laboratoriumrapporten, verzekeringsclaims tot wearables dienen te worden gekoppeld en de data hieruit moet in het systeem worden opgenomen.
Zoals we hierboven hebben gezien wordt op ieder aspect van de BIV-index hoog gescoord en kunnen we stellen dat de complexiteit van informatiesystemen in de zorg erg hoog is, of kan zijn afhankelijk van wat het beoogde doel van het systeem is.
2. De grootte van de IT-organisatie
In tegenstelling tot het toevoegen van een nieuwe DevOps afdeling, naast de bestaande ontwikkel- en beheerafdeling, is het de bedoeling om rollen toe te wijzen aan medewerkers die tussen diverse afdelingen kunnen fungeren. In kleine organisaties zijn de verantwoordelijkheden tussen ontwikkelaars en beheerders vaak minder gescheiden. Werknemers acteren in meerdere rollen en er is al een korte communicatielijn tussen de ontwikkelaar en beheerder.
In grotere organisaties is een duidelijkere scheiding tussen ontwikkel- en beheertaken. Het toepassen van DevOps lijkt in deze situatie dus meer bij te kunnen dragen. Dit gaat echter niet in alle gevallen op. Afhankelijk van de organisatiestructuur, profiteren organisaties van een optimale inzet van capaciteit (schaalvoordelen) door ontwikkeltaken in één afdeling te beleggen en beheertaken in een andere afdeling. DevOps creëert rollen die afdelingoverstijgend zijn en mogelijk niet bijdragen aan efficiëntie van deze afdelingen. Grotere IT-organisaties zullen een afweging moeten maken tussen de winst die DevOps kan brengen en de impact die het heeft op de organisatie.
