top of page
  • Foto van schrijverFizr

# Wat is er nodig voor een duidelijke en actuele autorisatiematrix?

Een duidelijke autorisatiematrix is onmisbaar voor iedere organisatie. U moet kunnen aantonen dat u in control bent als het gaat om privacy. Tegelijkertijd zal de accountant jaarlijks willen kijken hoe de functiescheiding binnen uw organisatie is gewaarborgd. Naast deze ‘moetjes’ zijn er ook tal van situaties waarin het handig is om een autorisatiematrix te hebben. Bijvoorbeeld als u wilt dat alle medewerkers van functioneel beheer en de helpdesk dezelfde autorisaties uitdelen.

Het maken van een autorisatiematrix lijkt vrij eenvoudig; u draait een excelbestand in elkaar van de huidige rollen en rechten in het systeem. Hiermee komen eventuele weeffouten in uw huidige autorisatiemodel niet aan het licht. Het is dan ook verstandig om uw autorisatiematrix periodiek volledig te herzien. Hoe pakt u het proces van opstellen en onderhouden van een autorisatiematrix gedegen aan? We zetten de belangrijkste stappen op een rij.

1. Wet- en regelgeving

U en uw zorginstelling heeft te voldoen aan de wet- en regelgeving. Het afgelopen jaar is er veel aandacht uitgegaan naar de privacywetgeving. Zo mogen medewerkers alleen toegang hebben tot een dossier als er sprake is van een directe behandelrelatie. Verder mogen uw medewerkers alleen die gegevens inzien die zij nodig hebben voor de uitvoer van hun functie.

Andere eisen zijn niet verankerd in wet- en regelgeving, maar er zijn andere gronden waardoor ze als zodanig beschouwd kunnen worden. De inkoopeisen van de zorgverzekeraar zijn hier een voorbeeld van. Een thuiszorgorganisatie loopt bijvoorbeeld grote risico’s als de legitimaties Zvw niet door een wijkverpleegkundige worden gesteld. Het is daarom verstandig om het autorisatiemodel zodanig in te richten dat ook alleen wijkverpleegkundigen de legitimaties kunnen stellen.

2. Beleid

Als zorginstelling wilt u de zorg voor uw cliënten graag op een bepaalde manier organiseren. De keuzes die u maakt, zowel organisatorisch als zorginhoudelijk, worden verankerd in beleid.

Er zijn tal van voorbeelden te bedenken van beleidskeuzes die invloed hebben op de inrichting van uw autorisatiematrix. Zijn de medewerkers verantwoordelijk voor de registratie van hun eigen uren of doen planners of leidinggevenden dit? Heeft uw organisatie zelfsturende teams of centraal geleide teams? Wat is het beleid rondom medicatieveiligheid? Heeft uw organisatie een ECD en een los behandeldossier, of worden alle vormen van zorg in een pakket geregistreerd?

Soms is het ook noodzakelijk om wet- en regelgeving te vertalen naar beleid. Als gevolg van de privacywetgeving moet u laten zien dat u in control bent. U dient daarom te kunnen beargumenteren waarom u bepaalde keuzes maakt. Als u beleid heeft rondom regio-overstijgende teams, dan kunt u beargumenteren waarom een medewerker toegang heeft tot de dossiers van alle cliënten op meerdere locaties.

3. Processen

Duidelijke processen zijn nodig om de zorg in de dagelijkse praktijk goed te laten verlopen. Soms volgen deze processen rechtstreeks uit beleid. Meestal wordt er echter een pragmatische aanpak gekozen. Hoe zorgen we ervoor dat een bepaalde taak zo eenvoudig mogelijk of zo goed mogelijk wordt gedaan.

Door de processen in kaart te brengen kent u taken toe aan medewerkers. Wie doet de registratie van contactpersonen? Doet de zorg dit, de cliëntenadministratie of een administratieve medewerker op locatie? Wat uw organisatie ook besluit, uiteindelijk heeft dit invloed op de manier waarop u uw applicaties inricht.

4. Functies

De combinatie van wet- en regelgeving, beleid en processen resulteren uiteindelijk in functieprofielen. Hierin staat beschreven wat de verantwoordelijkheden zijn van een medewerker. Een functieprofiel is gedetailleerder dan het functieprofiel zoals dat door personeelszaken wordt gehanteerd. De functies worden gedetailleerder omschreven.

Ook op andere vlakken kunnen afwijkingen ontstaan met de profielen van personeelszaken. Twee medewerkers die volgens personeelszaken dezelfde functie hebben, kunnen toch andere rechten krijgen. Dit kan als een van de twee verpleegkundige is op een revalidatieafdeling, terwijl de andere op een verpleegafdeling werkt.

Bij het opstellen van de functies controleert u bovendien of de kritieke functies binnen uw organisatie goed gescheiden zijn. Op deze manier voorkomt u problemen tijdens de jaarlijkse accountantscontrole. Een simpel voorbeeld hiervan is als een medewerker verantwoordelijk is voor zowel de registratie als accordering (controle) van uren.

Meestal voorzien de functieprofielen wel in een duidelijke functiescheiding, maar krijgt een medewerker meerdere rollen toegekend met verschillende kritieke functies. Een goede autorisatiematrix bevat dan ook een lijst van rollen die onder geen beding gecombineerd mogen worden.

Soms vereist dit afstemming tussen de beheerders van verschillende systemen. Dit komt voor als een kritiek proces door meerdere applicaties heen loopt. Een voorbeeld hiervan is als de gewerkte uren eerst geëxporteerd worden vanuit het ECD naar het salarispakket voordat ze geaccordeerd worden.

Onderhoud

Een autorisatiematrix is nooit af. Op de volgende momenten herziet u de autorisatiematrix: * Bij wijzigingen in de rechtenstructuur binnen de applicatie(s) * Bij proces- of beleidswijzigingen * Bij nieuwe wet- en regelgeving * Bij nieuwe functies binnen de organisatie

Het is daarnaast ook verstandig om eens in de paar jaar de autorisatiematrix bij langs te lopen. Zo voorkomt u dat eventuele fouten die in de matrix zijn geslopen door de jaren heen blijven staan.

Van autorisatie naar automatisering

Als u eenmaal een duidelijke autorisatiematrix heeft, dan is het als goed is in alle gevallen klip en klaar wie welke rechten krijgt. Dat opent de deur naar een automatisering. Als een helpdeskmedewerker aan de hand van een lijst de juiste rechten toe kan kennen, dan kan software dit waarschijnlijk ook.

Het automatisch toekennen van rollen heeft diverse voordelen. Uw medewerkers zijn een stuk minder tijd kwijt aan repeterende werkzaamheden. Tegelijkertijd worden er minder fouten gemaakt. Grote aanpassingen, bijvoorbeeld de splitsing van een rol, worden ook met een druk op de knop doorgevoerd.

Investering met hoog rendement

Het opstellen van een autorisatiematrix is geen sinecure. Vaak komt u terecht in een uitgebreid proces waarbij alle geledingen van de organisatie worden geraakt. Dit is uiteindelijk wel de moeite waard. De uitvoering van processen wordt gewaarborgd en het beleid krijgt handen en voeten. U toont aan dat u in control bent als het gaat om privacy en functiescheiding. Als kers op de taart kan de matrix als basis worden gebruikt voor het automatisch toekennen van rollen en rechten.






80 weergaven0 opmerkingen

Recente blogposts

Alles weergeven
bottom of page