Risico en Interne Controle

Lees ons jaarverslag online

Het Erasmus MC staat voor een gezonde bevolking en excellente zorg door onderzoek en onderwijs.

Risico en Interne Controle

Risicomanagement

Het Erasmus MC staat voor een gezonde bevolking en excellente zorg door onderzoek en onderwijs. Om optimaal invulling te kunnen geven aan deze missie, onderschrijft het Erasmus MC het belang van een breed inzicht in, en beheersing van de belangrijkste risico’s. Risicomanagement en compliance spelen hierbij een belangrijke rol door aan de ene kant risico’s te onderkennen en te beheersen, en aan de andere kant te helpen bij het verantwoord benutten van kansen.

Risicomanagement draagt bij aan het behalen van doelstellingen door continu te verbeteren, interne en externe ontwikkelingen te volgen, afgewogen besluitvorming te faciliteren en voorbereid te zijn op ongewenste situaties. Compliance concentreert zich met name op houding, gedrag, kernwaarden, cultuur en wet- en regelgeving. Het Erasmus MC is georganiseerd volgens het Drie Lijnen Model, waarbij Risk & Compliance vanuit de tweede lijn werkt aan een risicobewuste cultuur binnen zorg, onderzoek, onderwijs en bedrijfsvoering. Daarbij wordt rekening gehouden met de verschillende dwarsdoorsneden van de organisatie en wordt gebruik gemaakt van zowel ‘hard’ als ‘soft’ controls. Het uitgangspunt binnen het Erasmus MC is om te blijven werken aan een cultuur waar doorlopend aandacht is voor een passende balans tussen controle en vertrouwen.

Ontwikkelingen

Vanuit de bestuurlijke laag dient de ‘Top 10 risico's’ als leidraad voor de beheersing van risico’s. Daarnaast wordt bij de implementatie van Koers28 aandacht besteed aan de beheersing van de strategische kansen en risico’s die invloed kunnen hebben op het behalen van Koers28-doelstellingen. Zowel de Top 10 risico’s als de Strategische risico’s zijn eind 2024 herijkt.

Het Erasmus MC verbetert de beheersing continu door risicomanagement een terugkerend onderdeel te maken in onder andere de risicorapportage, planning en control-cyclus, business cases en dialoog op strategisch niveau.

In het kader van continu verbeteren is in 2024 gewerkt aan het verhogen van de risicovolwassenheid. Het vaststellen van de vernieuwde heatmap en impactschalen heeft gezorgd voor een huisbrede risicomanagementmethode. Deze bekendheid en betrokkenheid vertaalt zich onder andere in verzoeken ‘uit het huis’ voor kennissessies, hulp bij operationele vraagstukken, proces- en beleidsadvies of deelname aan werk- en projectgroepen.

Business Continuity Management

Business Continuity Management (BCM) heeft als doel om de continuïteit van de kritieke bedrijfsprocessen zo goed mogelijk te waarborgen. Mede door maatschappelijke ontwikkelingen als personeelstekorten, oplopende kosten, groeiende zorgvraag, verdergaande digitalisering, klimaatproblemen en supply chain risico’s krijgt de continuïteit van bedrijfsprocessen steeds meer aandacht. Binnen het Erasmus MC komt dit onder andere tot uiting door business continuïteit en in het verlengde daarvan technologische continuïteit op te nemen in de top 10 risico’s voor het Erasmus MC.

Vanuit BCM zal de focus liggen op het continu verbeteren van het Business Continuity Management Systeem (BCMS). In 2024 is het beleidsplan (Charter BCM) goedgekeurd door de Raad van Bestuur. Het beleid beschrijft de missie, visie, het BCM-proces en de verantwoordelijkheden, benodigd om het BCMS goed te laten functioneren. Het BCMS wordt in samenwerking met de Thema’s en Directies samengesteld en bestaat onder andere uit een bedrijfsimpactanalyse (BIA), een bedrijfscontinuïteitsplan (BCP), een crisismanagement plan (CMP), disasterrecovery plannen (DRP) en herstelplannen (‘Recovery plan’).

Compliance

Compliance heeft tot doel om de integriteit van de organisatie te bevorderen. Dit ziet zowel op de integriteit van het Erasmus MC zelf, als de integriteit van haar medewerkers. Het Erasmus MC heeft een grote maatschappelijke functie en staat, letterlijk en figuurlijk, middenin Rotterdam. Onze medewerkers, patiënten, studenten en samenwerkingspartners verwachten dat wij ons integer gedragen. Integriteit houdt in dat we het juiste doen. We leven de wet- en regelgeving na en gedragen ons op een verantwoorde manier. Het een kan niet zonder het ander, gedrag en cultuur en naleving van wet- en regelgeving zijn onlosmakelijk met elkaar verbonden.


Bij een verantwoorde bedrijfsvoering hoort integer gedrag. De Compliance officer ziet toe op de naleving van wet- en regelgeving, in samenhang met cultuur, gedrag en integriteit binnen de organisatie. De Compliance officer kan hierbij kaders stellen, ondersteunen bij de implementatie van beleid, de naleving monitoren en advies geven.

In de Top 10 risico’s komt de combinatie van wet- en regelgeving en gedrag en cultuur duidelijk terug:

License to Operate’ ziet op de naleving van wet- en regelgeving waarbij vooral ook nadruk ligt op het monitoren van regelgeving die in ontwikkeling is. De snel veranderende wereld vraagt om flexibiliteit en het vermogen om nieuwe wetgeving snel te kunnen adapteren;

Sociale veiligheid’ ziet met name op het creëren van de juiste omgeving om medewerkers en studenten een veilige werk- of studieplek te bieden. Deels steunt dit op beleid en gedragsregels en deels ook op de (integriteitsbewuste)organisatiecultuur;

Het risico omtrent ‘Gebrek corrigerend vermogen’ ziet op het bevorderen van medewerkers om zich uit te spreken en elkaar aan te spreken. Door een goede integriteitsbewuste organisatie, stimuleren we het gesprek om potentiële risico’s met elkaar te bespreken en waar nodig maatregelen te nemen.

Regeling nevenwerkzaamheden

Net als in 2023 is in 2024 aandacht besteed aan nevenwerkzaamheden. De Compliance officer heeft ondersteund in het voorbereiden van de implementatie van de nieuwe regels omtrent nevenwerkzaamheden en het beantwoorden van vragen vanuit de organisatie op dit gebied.

De Compliance officer heeft in 2024 samen met een kerngroep gewerkt aan een update van het Integriteitsdocument en de Klokkenluidersregeling. Het integriteitsdocument is bedoeld als een ‘kapstok’ om medewerkers wegwijs te maken in de verschillende beleidsstukken op het gebied van integriteit. De klokkenluidersregeling krijgt een update om te blijven voldoen aan de wet- en regelgeving.

Frauderisicoanalyse

Het Erasmus MC heeft de nodige checks en balances ingericht om eventuele fraude te voorkomen, op te sporen en op te lossen. Risk & Compliance heeft in aanvulling hierop in 2024 een frauderisicoanalyse uitgevoerd die specifiek gericht is op frauderisico’s met operationele en integriteits-impact. In de zomer is een workshop georganiseerd met afgevaardigden van de RvB, inkoop, financiën, apotheek, HR, vastgoed, onderzoek en onderwijs. In deze workshop is gezamenlijk gewerkt aan het identificeren van de grootste frauderisico’s in het Erasmus MC. In de tweede helft van het jaar zijn vervolggesprekken gevoerd met de betrokken managers om de genoemde frauderisico’s en bestaande beheersing verder uit te werken. Dit heeft geleid tot inzicht in de mogelijke frauderisico’s en de belangrijkste beheersmaatregelen, om zo te komen tot een risico-gebaseerde aanpak voor verdere beheersing.

Privacy en informatiebeveiliging

Het vertrouwen van patiënten is van het grootste belang voor het Erasmus MC, als het gaat om zorg, onderzoek en onderwijs. Zonder vertrouwen van patiënten en van de maatschappij als geheel kan het Erasmus MC zijn kerntaken niet adequaat vervullen. Privacy, ofwel zorgvuldige omgang met gegevens van onze medewerkers, studenten en de gezondheidsgegevens van patiënten in zorg, onderzoek, onderwijs en bedrijfsvoering, is daarmee randvoorwaardelijk voor de uitvoering van de kerntaken van het Erasmus MC. Gezien de aard van de bedrijfsprocessen en de afhankelijkheid van IT is ook aandacht voor informatiebeveiliging noodzakelijk.

Monitoring inzagen patiëntendossiers

In 2024 heeft het Erasmus MC een systeem geïmplementeerd dat het Erasmus MC beter in staat stelt om de raadplegingen van patiëntendossiers risico-gebaseerd te monitoren. De impact van deze maatregel, net name rond bewustwording en monitoring van raadplegingen, is in de loop van 2024 geëvalueerd. Deze monitoring wordt in 2025 gecontinueerd en verder uitgebreid.

Bewustwording

Om de bewustwording onder medewerkers te vergroten, is in 2024 een vernieuwde en verplichte e-learning over informatiebeveiliging en gegevensbescherming beschikbaar gesteld aan alle medewerkers. Van hen wordt verwacht dat zij deze e-learning volgen. Voor leidinggevenden, onderzoekers en zorgmedewerkers zijn aanvullende modules ontwikkeld met specifieke content gericht op hun taken. Nieuwe medewerkers ontvangen de e-learning als onderdeel van hun introductieprogramma.

De privacy- en informatiebeveiligingsorganisatie van het Erasmus MC zal in 2025 de nodige activiteiten ontplooien om bewustwording en normconform gedrag verder te bevorderen en te vergroten. Dit gebeurt aan de hand van een awareness-strategie en communicatieplan(nen). Zo worden er trainingen aangeboden aan medewerkers op het gebied van privacy en worden er via het Intranet op regelmatige basisartikelen gepubliceerd. Dit draagt bij aan de voortdurende aandacht voor dit onderwerp.

Gegevensuitwisseling

In 2024 is veel aandacht uitgegaan naar privacy en informatiebeveiligingsaspecten rond gegevensuitwisseling in de regio. Het IZA zet in op zorg in de keten, wat betekent dat zorgdata in meerdere mate uitgewisseld moet worden tussen ketenpartners. Het Erasmus MC neemt deel aan verschillende samenwerkingen om gegevensuitwisseling op te zetten, hetgeen vraagt om de juiste afspraken en maatregelen om zorgdata veilig en vertrouwelijk te houden.

Certificering

Het Erasmus MC is al jarenlang gecertificeerd voor de normen NEN 7510, Informatiebeveiliging in de zorg, en ISO 27001, Managementsystemen voor informatiebeveiliging. In januari 2024 heeft er weer een hercertificeringsaudit plaatsgevonden met positieve uitkomst.

Verbetering cybersecurity

Vanwege de toegenomen dreiging van cyberrisico’s, waaronder ransomware, is in 2024 uitgebreid aandacht besteed aan verbetering van cybersecurity in de vorm van het project Cyber Resilience. Dit meerjarige project omvat diverse maatregelen die de weerbaarheid van het Erasmus MC voor cybercrime vergroten. Hierbij is ook gewerkt aan het verder verbeteren van cyber incident response. Het project Cyber Resilience loopt door in 2025 met nieuwe maatregelen en investeringen. Als onderdeel hiervan zal aandacht worden besteed aan de invoering van de Cyberbeveiligingswet (NIS2), waaronder het inrichten van het meldproces, het organiseren van de verplichte managementtraining en het verbeteren van leveranciersmanagement. In het voorjaar van 2025 doet het Erasmus MC opnieuw mee aan de sectorbrede cybercrisisoefening voor onderwijs en onderzoek OZON, georganiseerd door ICT-coöperatie SURF, om de weerbaarheid in de praktijk te oefenen.

Internal Audit

In 2024 heeft Internal Audit diverse maatwerk onderzoeken uitgevoerd, waarbij nadrukkelijk aansluiting is gezocht bij de Top 10 risico’s en bedrijfsvoering processen met een financiële impact. Tevens heeft KPMG, onder regie van Internal Audit, audits uitgevoerd op vastgoedprojecten en vastgoedbeheer. Daarnaast zijn de jaarlijkse reviews uitgevoerd in het kader van Horizontaal Toezicht (rechtmatigheid zorguitgaven), Productieverantwoording Jeugdwet GGZ en de Rechtmatigheid van de besteding van onderzoek en onderwijs gelden in het kader van de naleving van de Europese aanbestedingsregels.

Alle auditrapporten worden besproken in de RvB en daarna beschikbaar gesteld aan leden van het ARCC. In de kwartaalrapportage wordt per onderzoek een management samenvatting opgenomen. Internal Audit monitort de opvolging van verbeterpunten uit auditrapporten en bevindingen uit de Management Letter van de externe accountant: ieder kwartaal wordt de status gerapporteerd aan en besproken met de RvB en geagendeerd in de ARCC. De manager Internal Audit heeft jaarlijks een aantal één-op-één gesprekken met de voorzitter van het ARCC.

Internal Audit is gecertificeerd tegen de beroepsstandaarden van het IIA en gerelateerde standaarden van NBA en NOREA. Gedurende het jaar worden diverse werkzaamheden uitgevoerd, gericht op kwaliteitsbeheersing en verbetering. Hierover wordt gerapporteerd aan de RvB middels de jaarrapportage kwaliteit. In 2024 is ervaring opgedaan met een nieuwe ‘kort- cyclische’ auditaanpak en is middels een ‘lean’ project onderzocht hoe de doorlooptijd van de rapportagefase kan worden verbeterd. Verder zijn voorbereidende werkzaamheden uitgevoerd om te voldoen aan de nieuwe Global Internal Audit Standards van de internationale beroepsorganisatie IIA (gepubliceerd begin 2024 en effectief in werking tredend per 2025). Tot slot is de strategie voor Internal Audit (Koers28) ontwikkeld, een verplichting vanuit de nieuwe GIAS standaarden: doelstellingen en maatstaven zijn geformuleerd om te zorgen dat Internal Audit de deskundige partner blijft voor inzicht in de mate van interne beheersing van het Erasmus MC.