• Fizr

Wat is er nodig voor een duidelijke en actuele autorisatiematrix?



Een duidelijke autorisatiematrix is onmisbaar voor iedere organisatie. U moet kunnen aantonen dat u in control bent als het gaat om privacy. Tegelijkertijd zal de accountant jaarlijks willen kijken hoe de functiescheiding binnen uw organisatie is gewaarborgd. Naast deze 'moetjes' zijn er ook tal van situaties waarin het handig is om een autorisatiematrix te hebben. Bijvoorbeeld als u wilt dat alle medewerkers van functioneel beheer en de helpdesk dezelfde autorisaties uitdelen.


Het maken van een autorisatiematrix lijkt vrij eenvoudig; u draait een excelbestand in elkaar van de huidige rollen en rechten in het systeem. Hiermee komen eventuele weeffouten in uw huidige autorisatiemodel niet aan het licht. Het is dan ook verstandig om uw autorisatiematrix periodiek volledig te herzien. Wat heeft u ervoor nodig om dat goed aan te pakken?


1. Wet- en regelgeving

U en uw zorginstelling heeft te voldoen aan de wet- en regelgeving. Het afgelopen jaar is er veel aandacht uitgegaan naar de privacywetgeving. Zo mogen medewerkers alleen toegang hebben tot een dossier als er sprake is van een directe behandelrelatie. Verder mogen uw medewerkers alleen die gegevens inzien die zij nodig hebben voor de uitvoer van hun functie.

Andere eisen zijn niet verankerd in wet- en regelgeving, maar er zijn andere gronden waardoor ze als zodanig beschouwd kunnen worden. De inkoopeisen van de zorgverzekeraar zijn hier een voorbeeld van. Een thuiszorgorganisatie loopt bijvoorbeeld grote risico's als de legitimaties Zvw niet door een wijkverpleegkundige worden gesteld. Het is daarom verstandig om het autorisatiemodel zodanig in te richten dat ook alleen wijkverpleegkundigen de legitimaties kunnen stellen.


2. Beleid

Als zorginstelling wilt u de zorg voor uw cliënten graag op een bepaalde manier organiseren. De keuzes die u maakt, zowel organisatorisch als zorginhoudelijk, worden verankerd in beleid.


Er zijn tal van voorbeelden te bedenken van beleidskeuzes die invloed hebben op de inrichting van uw autorisatiematrix. Zijn de medewerkers verantwoordelijk voor de registratie van hun eigen uren of doen planners of leidinggevenden dit? Heeft uw organisatie zelfsturende teams of centraal geleide teams? Wat is het beleid rondom medicatieveiligheid? Heeft uw organisatie een ECD en een los behandeldossier, of worden alle vormen van zorg in een pakket geregistreerd?

Soms is het ook noodzakelijk om wet- en regelgeving te vertalen naar beleid. Als gevolg van de privacywetgeving moet u laten zien dat u in control bent. U dient daarom te kunnen beargumenteren waarom u bepaalde keuzes maakt. Als u beleid heeft rondom regio-overstijgende teams, dan kunt u beargumenteren waarom een medewerker toegang heeft tot de dossiers van alle cliënten op meerdere locaties.


3. Processen

Duidelijke processen zijn nodig om de zorg in de dagelijkse praktijk goed te laten verlopen. Soms volgen deze processen rechtstreeks uit beleid. Meestal wordt er echter een pragmatische aanpak gekozen. Hoe zorgen we ervoor dat een bepaalde taak zo eenvoudig mogelijk of zo goed mogelijk wordt gedaan.


Door de processen in kaart te brengen kent u taken toe aan medewerkers. Wie doet de registratie van contactpersonen? Doet de zorg dit, de cliëntenadministratie of een administratieve medewerker op locatie? Wat uw organisatie ook besluit, uiteindelijk heeft dit invloed op de manier waarop u uw applicaties inricht.


4. Functies

De combinatie van wet- en regelgeving, beleid en processen resulteren uiteindelijk in functieprofielen. Hierin staat beschreven wat de verantwoordelijkheden zijn van een medewerker. Een functieprofiel is gedetailleerder dan het functieprofiel zoals dat door personeelszaken wordt gehanteerd. De functies worden gedetailleerder omschreven.

Ook op andere vlakken kunnen afwijkingen ontstaan met de profielen van personeelszaken. Twee medewerkers die volgens personeelszaken dezelfde functie hebben, kunnen toch andere rechten krijgen. Dit kan als een van de twee verpleegkundige is op een revalidatieafdeling, terwijl de andere op een verpleegafdeling werkt.


Bij het opstellen van de functies controleert u bovendien of de kritieke functies binnen uw organisatie goed gescheiden zijn. Op deze manier voorkomt u problemen tijdens de jaarlijkse accountantscontrole. Een simpel voorbeeld hiervan is als een medewerker verantwoordelijk is voor zowel de registratie als accordering (controle) van uren.

Meestal voorzien de functieprofielen wel in een duidelijke functiescheiding, maar krijgt een medewerker meerdere rollen toegekend met verschillende kritieke functies. Een goede autorisatiematrix bevat dan ook een lijst van rollen die onder geen beding gecombineerd mogen worden.


Tot slot lopen bepaalde kritische functies soms door meerdere applicaties heen, bijvoorbeeld als de gewerkte uren eerst geëxporteerd worden naar een salarispakket voordat ze geaccordeerd worden. In dat geval moeten de autorisaties binnen de verschillende systemen in samenhang worden bekeken.


Het opstellen van een waterdichte autorisatiematrix is geen sinecure. Om de autorisatiematrix goed op papier te krijgen moet u door alle lagen van de organisatie heen. Wat is het beleid van uw organisatie en aan welke wet- en regelgeving moet u voldoen? Maar het is net zo belangrijk om te kijken hoe de dagelijkse praktijk eruitziet. Uiteindelijk moet het autorisatiemodel immers zo ingericht zijn dat het primaire proces ondersteund wordt.


Heeft u vragen- en of opmerkingen over dit onderwerp? Neem dan contact op met:

- Manfred Kat (06 30398034)

- Laurens Eikendal (06 58721801)

671 weergaven0 opmerkingen

Recente blogposts

Alles weergeven