Centrale hal van Frisius MC Heerenveen met een rij van aanmeldschermen

Risicomanagement

Inleiding

Frisius MC heeft een proces voor integraal risicomanagement (IRM) ingericht waarbinnen de belangrijkste risico’s en beheersmaatregelen per risicodomein in kaart worden gebracht. Daarnaast is ook de risicobereidheid bepaald per risicodomein. De risicobereidheid is de mate van risico die Frisius MC bereid is om te accepteren bij het realiseren van de doelen. Waar nodig worden beheersmaatregelen genomen om de risico’s weg te nemen of te verkleinen. Binnen Frisius MC zijn in 2025 de volgende 13 risicodomeinen vastgesteld: capaciteit, crisisorganisatie, financiën, gebouw, governance & compliance, ICT & informatieveiligheid, imago, opleiding & innovatie & wetenschap, inkoop & logistiek, medewerker, medische technologie, patiënt en zorgtransformatie. Binnen elk domein worden de risico’s in kaart gebracht.

9.1 Toprisico's

Op strategisch niveau zijn risico’s geformuleerd die in 2025 door de raad van bestuur zijn aangemerkt als toprisico (zie onderstaande tabel). De toprisico’s zijn de grootste en belangrijkste risico’s voor Frisius MC. Bij het maken van de risico-inschatting voor de toprisico’s is nog geen rekening gehouden met de effectieve werking van ingerichte beheersmaatregelen, het betreffen de bruto risico’s. In de monitoring, als onderdeel van het integraal risicomanagement, krijgen deze toprisico’s extra aandacht. De netto risico’s (de risico’s met inachtneming van de beheersmaatregelen) worden afgezet tegen de risicobereidheid per domein. Als het netto risico niet in lijn ligt met de risicobereidheid (ondanks de beheersmaatregelen resteerteen groter netto risico dan de risicobereidheid), wordt aanvullende actie ondernomen.

Nu de fusie per 1 januari 2025 een feit is, heeft Frisius MC naast de toprisico’s veel aandacht gehad voor de integraliteit (en daarmee: het risico op onvoldoende integraliteit) tijdens de transitieperiode. Ook dit risico is in onderstaande tabel daarom meegenomen. In de transitie is gekozen de risico's eerst in de domeinen vast te leggen en dit verder door te ontwikkelen in 2026.

Voornaamste risico's en onzekerheden Risicobereidheid (hoog/midden/minimaal) Getroffen maatregelen/verbeteringen Impact boekjaar en verwachte impact op de resultaten
Onvoldoende capaciteit om zorg te leveren Minimaal Er is een strategisch beleid Integraal Capaciteitsmanagement (ICM), daarnaast zijn en worden netwerkafspraken gemaakt met ketenpartners en vinden diverse scholings- en wervingsactiviteiten, waaronder ontwikkelprogramma’s, plaats. De oorzaken van het risico liggen o.a. in het niet voldoende beschikbaar zijn van (specifiek) personeel (ook door de algemene tendens van een krimpende beroepsbevolking) of andere productiemiddelen, en/of onvoldoende planning waardoor zorg niet zou kunnen worden geleverd.
Dit heeft impact op de zorg voor de patiënt, het imago, de financiën en de bedrijfsvoering.
(Gedeeltelijk) geen toegang tot systemen & informatie, oneigenlijke toegang tot systemen & informatie Minimaal Preventieve en correctieve maatregelen zijn ingericht om het risico en de impact te beperken. De belangrijkste maatregelen zijn onderdeel van het Integrated Security Management System (ISMS).

In 2025 heeft opnieuw een NEN 7510 audit Informatiebeveiliging in de zorg plaatsgevonden op de locaties van Frisius MC. In het verleden waren zowel MCL als Tjongerschans al gecertificeerd. De audit is als zeer positief beoordeeld.		 Het risico kan bijvoorbeeld ontstaan door digitale aanvallen, als toegangsbeveiligingsmaatregelen onvoldoende werken of door onvoldoende bewustzijn bij het personeel.
Dit kan impact hebben op de bedrijfsvoering, de patiënt en de financiën.
Onvoldoende integraliteit in de transitieperiode Minimaal Als vervolg op de fusieorganisatie is er een transitieorganisatie ingericht waarbinnen rollen en verantwoordelijkheden zijn belegd en nadrukkelijke aandacht is voor communicatie, cultuur en leiderschap. Daarnaast is ook het programma Cultuur en Leiderschap gestart, dat aandacht heeft voor de integraliteit en het neerzetten van de gewenste cultuur binnen Frisius MC. De mogelijke gevolgen hebben voornamelijk betrekking op de bedrijfsvoering, het imago en de financiën.
De mogelijke oorzaken die het risico kunnen veroorzaken hebben betrekking op culturele aspecten, (onvoldoende) communicatie en governance.

9.2 Informatieveiligheid

Risico’s op het gebied van cybersecurity en datalekken krijgen permanent (grote) aandacht binnen het Frisius MC. Er lopen continu meerdere projecten rond informatieveiligheid. Zoals ook hierboven aangegeven heeft Frisius MC een positieve beoordeling gekregen op de NEN 7510 audit in 2025. Om datalekken op te sporen en te voorkomen, worden procedures door de functionaris gegevensbescherming frequent beoordeeld en waar noodzakelijk aangescherpt.

9.3 Systeemrisico's

Frisius MC is, ondanks haar solide financiële positie, net als andere grote ziekenhuizen, vatbaar voor systeemrisico’s, waaronder:

  • Krapte op de arbeidsmarkt voor zorgpersoneel en toenemende loonkosten hierdoor;
  • Toenemende zorgvraag en kostenontwikkeling door demografische ontwikkelingen;
  • Prijsdruk door beperkte doorvertaling van kostenstijgingen in de prijsindex en ontwikkelingen in het macrokader;
  • Informatieveiligheid van gevoelige data over de gezondheid van patiënten.
  • De genoemde klimaatrisico's, waarbij het fysieke risico waterschaarste is en de transitie risico's zijn verschuiving van consumentenvoorkeuren en stigmatisering van de sectorsector (zie voor verdere toelichting Hoofdstuk 8.1).

De risicobereidheid ten aanzien van deze risico’s is minimaal. Om de risico’s te beheersen worden de beheersingsmaatregelen periodiek geëvalueerd en worden de risico’s gemonitord.

9.4 Frauderisicoanalyse

Het frauderisico ten aanzien van management override of controls is gedefinieerd in overeenstemming met de NV COS 240. De voornaamste risico’s ten aanzien van fraude betreffen:

  • Het onrechtmatig onttrekken van middelen aan de organisatie
  • Frauduleuze financiële verslaglegging

De risicobereidheid ten aanzien van deze risico’s is minimaal. Binnen de organisatie zijn diverse maatregelen getroffen om de risico’s ten aanzien van fraude te beheersen, zoals bijvoorbeeld minimale functiescheiding in de (inkoop- en betaal)processen en de toetsing op het procuratiebeleid. Om de risico’s te beheersen worden de beheersingsmaatregelen periodiek geëvalueerd en worden de risico’s gemonitord. Samengevat is de raad van bestuur van mening dat, met de genomen maatregelen en de cyclische aanpak die is verankerd in het beleid, het risico op fraude zoals hierboven beschreven, beperkt is.