Inhoudsopgave:

Inleiding

Wat is een BowTie-risico analyse?

De geschiedenis van BowTie

De BowTie-methode

De elementen van een BowTie diagram

Gevaar

Kritieke Gebeurtenis

Bedreigingen

Consequenties

Barrières

Escalatie-factoren

 

Inleiding

Binnen Nederland moet ieder ziekenhuis/zorgorganisatie over een Veiligheidsmanagementsysteem (VMS) beschikken. Dit VMS dient te voldoen aan de in Nederland geldende technische afspraak, de NTA 8009: 2011. Hierin worden 13 verschillende onderwerpen beschreven waar in het VMS aandacht aan besteed moet worden.
Eén daarvan is de Prospectieve Risico-Inventarisatie (PRI). Daarin worden de veiligheidsrisico’s van zorgprocessen geïnventariseerd en worden, indien noodzakelijk, verbetermaatregelen voorgesteld. In de Praktijkgids van het VMS Veiligheidsprogramma staat beschreven hoe een PRI uitgevoerd kan worden. Door het preventief uitvoeren van verbetermaatregelen kunnen veiligheidsrisico’s worden gereduceerd en kan vermijdbare schade bij zorgprocessen worden voorkomen.

Wat is een BowTie-risicoanalyse?

De BowTie-methode is een hulpmiddel om proactief mogelijke incidentscenario’s en relevante beheers- en beschermingsmaatregelen, de z.g. barrières, snel en begrijpelijk in kaart te brengen. De kracht van de BowTie-methode ligt in de duidelijke visualisatie. Hierdoor kunnen de risico’s en beheersmaatregelen optimaal worden gecommuniceerd. Met de methode wordt informatie op overzichtelijke wijze geordend, waardoor de zwakke plekken in een operationeel zorgproces snel zichtbaar worden. Een BowTie-visualisatie zorgt tijdens een risico-inventarisatie voor overzicht, waardoor alle betrokkenen direct de effecten van hun beslissingen kunnen zien. Daarmee geeft de BowTie effectief richting aan de besluitvorming omtrent preventieve verbetermaatregelen.
De BowTie-methode kan zowel op papier als met behulp van een software-toepassing (BowTieXP) worden uitgevoerd. In de BowTieXP-variant kunnen risicoanalyses op ieder gewenst moment met anderen worden gedeeld en aangevuld worden door iedere geautoriseerde deelnemer. Op die manier kan een prospectieve BowTie-risicoanalyse 'uitgroeien' tot een volwaardig risicobeheersinstrument. De BowTieXP-software biedt ook de mogelijkheid om elementen uit het veiligheidsmanagementsysteem (VMS) te koppelen aan de risicoanalyse. Zo kunnen bijvoorbeeld de barrières in de BowTie worden gekoppeld aan de door het managementsysteem vereiste beheers- en onderhoudsactiviteiten. Tevens kunnen de bevindingen uit incidentanalyses (bijv. SIRE, Prisma of Tripod)  aan de BowTie worden gekoppeld. Op die wijze kunnen prospectieve en retrospectieve risicoanalyses worden geïntegreerd.
De BowTie-methode is oorspronkelijk ontwikkeld voor het analyseren van veiligheidsrisico's, maar wordt inmiddels ook ingezet voor het analyseren van andere mogelijke verstoringen van operationele processen, waarbij sprake kan zijn van andere soorten gevolgen, zoals bijvoorbeeld productieverlies, verlies van data, vertragingen, financiële schade en reputatieschade.

 

De geschiedenis van BowTie

Een belangrijke voorvader van het BowTie-concept is het ‘Zwitserse kaas-model’ dat is ontwikkeld door de Engelse psycholoog James Reason in de jaren negentig van de vorige eeuw. Dit model initieerde een geheel nieuwe visie op veiligheidsmanagement: het 'Barrier Based Risk Management'. Met name Shell is instrumenteel geweest in de verdere ontwikkeling en wereldwijde implementatie van deze visie, waarin de BowTie-methode een belangrijke rol vervult voor het analyseren van veiligheidsrisico’s. Naast de olie- en gasindustrie heeft de methode ook haar weg gevonden naar andere sectoren, zoals de luchtvaart, scheepvaart, de chemisch industrie en de zorgsector.
Reason introduceerde zijn Zwitserse kaas-metafoor om te illustreren dat incidenten ontstaan, doordat de barrières die een organisatie heeft geïmplementeerd zelden onfeilbaar zijn. De huidige BowTie-methode is te herleiden naar nog twee andere methodologische voorgangers, namelijk de foutenboom en gebeurtenissenboom. Door deze methoden te combineren met het Zwitserse kaas-model, ontstond een methode die prospectief (zorg-)procesrisico's met de mogelijke incidentenscenario’s kan visualiseren: de BowTie-methode.
 
 

De BowTie-methode 

De BowTie-methode is een proactieve risicoanalyse-methode, waarmee scenario’s van potentiële procesverstoringen kunnen worden gecommuniceerd. De methode is vernoemd naar de vorm van het diagram, welke lijkt op een vlinderdas (in het Engels ‘bow tie’). Het BowTie-diagram visualiseert de risico’s in één, eenvoudig te begrijpen diagram: bovenaan wordt het bedoelde proces/potentiële gevaar beschreven (Engels: Hazard). In het centrum bevindt zich de kritieke gebeurtenis die plaatsvindt als controle over het proces verloren is gegaan (Engels: Top Event). Aan de linkerzijde bevinden zich Bedreigingen (Engels: Threats), die ook wel oorzaken worden genoemd. Deze Bedreigingen beschikken over eigenschappen die het bedoelde proces kunnen verstoren, waardoor de controle over het gevaar wordt verloren en de Kritieke Gebeurtenis plaatsvindt. Aan de rechterzijde staan de mogelijke Consequenties (Engels: Consequences). Consequenties beschrijven de negatieve gevolgen van de procesverstoring. Tussen de Bedreigingen en de Kritieke Gebeurtenis bevinden zich de Beheers-barrières (Engels: Control Barriers). Tussen de Kritieke Gebeurtenis en de Consequenties bevinden zich de Beschermings-barrières (Engels: Defence Barriers). Voor iedere Barrière kunnen factoren worden benoemd die de effectiviteit van die barrière kunnen aantasten; die factoren worden Escalatiefactoren genoemd (Engels: Escalation Factor). Tussen deze Escalatiefactoren en de betrokken Barrière kunnen Escalatiefactor-barrières (Engels: Escalation Factor Barriers) worden geplaatst. De effectiviteit van deze barrières bepaalt de invloed van de Escalatiefactoren.
Risicoanalyse is teamwerk. Tijdens een risicoanalyse wordt een BowTie dan ook in groepsverband ontwikkeld. Aan de hand van de onderlinge discussie tussen de leden van het risicoanalyse-team worden de verschillende elementen aan het diagram toegevoegd. Ook bij het invoeren van aanvullende data, zoals barrière-kwaliteitsscores, speelt de onderlinge communicatie een belangrijke rol.


 

De elementen van een BowTie-diagram

 

Gevaar

Definitie: een (onderdeel van een) proces of activiteit met de potentie om schade of letsel toe te brengen, indien de controle erover wordt verloren.


Een BowTie-analyse begint met het benoemen van het Gevaar. Het beschrijft een noodzakelijk, bedoeld en gewenst deel van het zorgproces, maar heeft tevens de potentie om schade aan te richten. Vandaar de term Gevaar. ‘Medicijnen toedienen’ en ‘opereren’ zijn voorbeelden van noodzakelijke en gewenste processen, maar deze zijn door hun aard tevens in staat om, indien er tijdens het proces iets mis gaat, (veel) schade aan te richten. Bij het maken van een BowTie wordt gevisualiseerd wat we kunnen doen om te voorkomen dat het beschreven Gevaar leidt tot een incident.

 

Kritieke Gebeurtenis

Definitie: De ongewenste gebeurtenis die plaatsvindt als controle over het Gevaar wordt verloren.


Na het definiëren van het Gevaar wordt de Kritieke Gebeurtenis geformuleerd. De Kritieke Gebeurtenis visualiseert het moment waarop we de beheersing over het zorgproces verliezen. Er is op dat moment nog geen sprake van schade of letsel, maar er is wel degelijk sprake van directe dreiging. Of deze directe dreiging daadwerkelijk tot schade of letsel leidt, hangt af van de effectiviteit van de aanwezige Beschermings-barrières. De beschrijving van de Kritieke Gebeurtenis is een subjectieve en pragmatische keuze, afhankelijk van het moment dat de opstellers van de BowTie beschouwen als verlies van controle en de specifieke aspecten die ze in de BowTie willen visualiseren/benadrukken. Maakt u zich in het begin niet te veel zorgen over de exacte woordkeus, de Kritieke Gebeurtenis kan gedurende het risicoanalyseproces  worden aangepast. U kunt ook starten met de algemene term ‘verlies van controle over [Gevaar]’ en tijdens het opstellen van de BowTie de verwoording aanscherpen.

Let op: Een Gevaar kan meerdere Kritieke Gebeurtenissen tot gevolg hebben. Voor elke Kritieke Gebeurtenis die men wil analyseren dient een aparte BowTie gemaakt te worden, omdat verschillende Kritieke Gebeurtenissen verschillende oorzaken en gevolgen hebben.

Bedreigingen

Definitie: mogelijke oorzaken van de Kritieke Gebeurtenis.


Probeer een Bedreiging zo specifiek mogelijk te beschrijven en vermijd algemene verwoordingen, zoals ‘een menselijke fout’ of ‘het falen van apparatuur’ of ‘weersomstandigheden’. Gebruik bijvoorbeeld ‘te lage/hoge dosering medicijn’, of ‘infuuspomp defect’, of ‘te warme/koude/droge omgeving’ of “[X] lager dan (juiste) waarde [Y]”, zoals “temperatuur lager dan 20 graden Celsius”.
Bedreigingen kunnen ook te specifiek verwoord worden, maar over het algemeen verwoorden mensen te algemeen. Het is belangrijk om helder te visualiseren hoe de Bedreiging de Kritieke Gebeurtenis veroorzaakt. Als de Bedreiging op meerdere manieren de Kritieke Gebeurtenis kan veroorzaken, kan het waardevol zijn om dit uit te splitsen. U kunt bijvoorbeeld de Bedreiging ‘onduidelijke instructie’ leidend tot ‘operatie van/aan verkeerde lichaamsdeel’, opsplitsen in ‘markeren verkeerde lichaamsdeel’ en ‘gebruik verkeerde markering’ en eventueel nog andere redenen die kunnen leiden tot operatie aan het verkeerde lichaamsdeel.
 
Daarnaast is een belangrijke richtlijn voor het verwoorden van  Bedreigingen dat elke Bedreiging op zichzelf de Kritieke Gebeurtenis kan veroorzaken. Indien twee Bedreigingen aanwezig moeten zijn om de Kritieke Gebeurtenis te kunnen veroorzaken, dienen deze Bedreigingen gecombineerd te worden.

 

Consequenties

Definitie: de onbedoelde schade van een Kritieke Gebeurtenis.


Vermeld bij voorkeur ook de wijze waarop de schade is ontstaan. Probeer bijvoorbeeld een Consequentie niet alleen te beschrijven als ‘patiënt overleden’ of ‘instrument beschadigd’, maar kies voor bijvoorbeeld ‘patiënt overleden door allergische reactie’, ‘letsel door hypotensie’, ‘patiënt overleden door besmetting met virus’, of ‘instrument beschadigd door omvallen monitor’.

 

Het plaatje tot nu toe

In deze fase van de opbouw van een BowTie-analyse hebben we een duidelijk overzicht van het onderwerpelijke Gevaar, de mogelijke Kritieke Gebeurtenis, de Bedreigingen en de mogelijke daaruit voortkomende Consequenties. Als we deze elementen in een BowTie-diagram plaatsen, geeft ons dat een overzicht van de risico’s die aan het beschreven proces (het Gevaar) verbonden zijn. Van links naar rechts geven de lijnen van het BowTie-diagram mogelijke incidentscenario’s weer, voordat ze zijn gerealiseerd. Hiermee krijgt de BowTie-analyse haar prospectieve karakter.

 

Barrières

Definitie: maatregelen die genomen kunnen worden om Kritieke Gebeurtenissen en Consequenties te voorkomen of mitigeren.


Nadat de Gevaren, Kritieke Gebeurtenissen, Bedreigingen en Consequenties in kaart zijn gebracht, kunnen de Barrières geïdentificeerd worden. In een BowTie-diagram worden Barrières links en rechts van de Kritieke Gebeurtenis geplaatst. De Barrières tussen een Bedreiging en de Kritieke Gebeurtenis, ook wel Beheers-barrière genoemd, voorkomen dat die Bedreiging kan leiden tot de Kritieke Gebeurtenis, waardoor deze laatste niet plaatsvindt. Het zorgdragen voor optimale effectiviteit van Beheers-barrières is in het kader van incidentenpreventie de eerste en belangrijkste verantwoordelijkheid van de organisatie.
De barrières tussen de Kritieke Gebeurtenis en een Consequentie worden ook wel de Beschermings-barrières genoemd. Deze barrières zijn effectief doordat ze voorkomen dat de Kritieke Gebeurtenis kan leiden tot die specifieke Consequentie of, indien de Consequentie plaatsvindt, door de gevolgen van de Consequentie te mitigeren.

Categorieën Barrières: techniek, handelingen, procedures, etc.


Naast het onderscheid tussen Beheers- en Beschermings-barrières kunnen Barrières worden onderverdeeld naar hun specifieke functionaliteit. Bij sommige Barrières is de functionaliteit aan menselijke handelingen gerelateerd, andere Barrières zijn bijvoorbeeld meer technisch/materieel of procedureel van aard. Door de Barrières te categoriseren op functionaliteit ontstaat meer overzicht met betrekking tot de wijze waarop de risico’s beheerst worden, bijvoorbeeld met overwegend handeling-gebaseerde maatregelen of juist technische maatregelen.
Ook kunt u aan de Barrières de vereiste onderhoudsactiviteiten koppelen die nodig zijn om de effectiviteit van die Barrières te waarborgen, alsmede wie verantwoordelijk is voor deze activiteiten. Daarnaast is het mogelijk om aan te geven wie voor het functioneren van de Barrière verantwoordelijk is. Op deze manier ontstaat een goed communicatiemiddel naar de betreffende medewerkers. Behalve de hier genoemde voorbeelden zijn er meer opties waarmee u een BowTie-analyse kunt operationaliseren en aanvullen. Door toepassing van de mogelijke opties van een BowTie-analyse kunt u Barrières integreren in uw Veiligheidszorgsysteem.
 
 

Escalatie-factoren

Definitie: Bedreigingen die de effectiviteit van Barrières kunnen aantasten.


Barrières functioneren zelden perfect. Hardware kan defect raken, mensen kunnen fouten maken. In het kader van risicomanagement is het daarom belangrijk om te weten hoe een Barrière kan falen. In een BowTie-diagram kan dat worden weergegeven door het toevoegen van Escalatiefactoren. Een alarmsignaal dat door elektriciteit wordt gevoed, faalt bijvoorbeeld als er een stroomstoring is; zo’n stroomstoring noemen we dan een Escalatiefactor.
Escalatiefactoren kunnen worden beschouwd als ‘secundaire Bedreigingen’. Op hun beurt kunnen Escalatiefactoren dan ook beheerst worden door Escalatiefactor-barrières. In het gegeven voorbeeld zou een noodgenerator een nuttige Escalatiefactor-barrière kunnen zijn.
Waarschuwing: Wees voorzichtig met het in een BowTie-diagram opnemen van Escalatie-factoren. Tracht niet tot in het oneindige allerlei manieren van falen te beschrijven. Beschrijf alleen de voorstelbare kritische faalmogelijkheden van de in een BowTie-diagram opgenomen Barrières. Als overal meerdere Escalatie-factoren worden toegevoegd, verliezen ze snel hun attenderende functie en de BowTie zijn meerwaarde met betrekking tot het creëren van overzicht.