ePA-integratie voor fysiotherapeuten: waar u op moet letten bij het kiezen van software (2026)

Juni 24, 2026
Een jongen en een fysiotherapeut die met weerstandsbanden trainen in een kliniek met klimrekken en fitnessballen

TL;DR

  • Sinds 1 oktober 2025 moeten medische instellingen de ePA in hun dagelijkse praktijk integreren, en zorgverleners zoals fysiotherapeuten behoren uitdrukkelijk tot de betrokken groep (gematik.de).
  • Voor elke demo zijn twee criteria doorslaggevend. Software zonder een gedocumenteerd ISO 27001-ISMS voldoet niet aan de interne IT-inkooprichtlijnen, en zonder een AVG-conforme gegevensopslag in de EU, inclusief een verwerkersovereenkomst, ontbreekt de juridische grondslag.
  • Physitrack het enige platform in deze vergelijking met volledig gedocumenteerde certificeringen, waaronder ISO 27001, ISO 13485 en de CE-markering (Physitrack).
  • Physitrack geen DiGA-status en staat niet vermeld in het BfArM-register. ePA-geschiktheid en DiGA zijn twee verschillende begrippen.

Wat ePA-integratie voor fysiotherapeuten in de dagelijkse praktijk betekent

Sinds 1 oktober 2025 moeten medische instellingen het elektronische patiëntendossier (ePA) in hun dagelijkse praktijk integreren, en gematik noemt zorgverleners, waaronder fysiotherapeuten, uitdrukkelijk als betrokken groep (gematik.de). Deze verplichting houdt in eerste instantie in dat u het elektronische patiëntendossier in de behandelingscontext moet kunnen inzien en invullen. Het betekent niet dat u een volledig genetwerkte, diepgaande integratie met automatische gegevensuitwisseling moet toepassen.

Het verschil tussen verplichte en optionele diepgaande integratie bepaalt hoeveel werk dit voor uw praktijk met zich meebrengt. De wettelijke basis vereist toegang in de zorgcontext, niet een bepaalde softwarearchitectuur. Een diepgaande integratie, waarbij behandelingsgegevens gestructureerd volgens FHIR in het dossier worden opgenomen, biedt meer gebruiksgemak en efficiëntie, maar is geen minimumnorm. Controleer vóór elke aankoopbeslissing welke van deze twee uitbreidingsniveaus uw software ondersteunt.

In de dagelijkse praktijk verandert er minder dan velen vrezen, omdat de ePA volgens een duidelijk toestemmingsmodel werkt. Het dossier wordt automatisch aangemaakt voor alle wettelijk verzekerden, en ook particulier verzekerden kunnen er gebruik van maken (gematik.de). Patiënten moeten actief bezwaar maken als ze niet willen deelnemen. Deze opt-out-regeling betekent voor u dat de meeste patiënten een ePA hebben, waartoe u in het kader van de behandeling toegang hebt zonder dat u per afspraak een aparte toestemming hoeft te vragen.

Documenten worden daarbij niet automatisch geladen, op één uitzondering na. Alleen gegevens van elektronische recepten worden automatisch in de medicatielijst opgenomen; alle andere inhoud moet u zelf opvragen (gematik.de). Patiënten kunnen de toegang per instelling beperken, het uploaden van documenten blokkeren of bepaalde categorieën blokkeren, en dat vaak mondeling tijdens de behandeling. Uw software moet deze gedetailleerde beperkingen technisch ondersteunen, zodat u geen inhoud kunt zien of uploaden waarvoor geen toestemming is verleend.

Voor de dagelijkse praktijk betekent dit concreet dat u per patiënt moet controleren of er een ePA is en welke bevoegdheden van toepassing zijn, voordat u bevindingen of behandelverslagen opslaat. Goede software begeleidt u bij deze stappen, in plaats van ze u op te leggen.

De vijf selectiecriteria voor fysiotherapiesoftware met ePA-koppeling

Beoordeel elk platform op basis van bewijsmateriaal, niet op basis van lijsten met functies. Een aanbieder die een functie demonstreert, voldoet daarmee nog niet aan ook maar één compliance-eis. De volgende vijf criteria kunt u vóór elke demo-afspraak schriftelijk controleren, en dat is precies wat u moet doen.

1. ISO 27001 als strikt uitsluitingscriterium

Zonder een gedocumenteerd ISO 27001-certificaat voor informatiebeveiliging wordt software bij veel aanbestedingen van ziekenhuizen afgewezen nog voordat er zelfs maar een demonstratie is gepland. ISO 27001 bewijst dat er een gecontroleerd managementsysteem is voor de bescherming van gevoelige patiëntgegevens, en IT-inkoopafdelingen beschouwen dit als een minimumvereiste, niet als een pluspunt. Caspar Health beschikt over een ISO 27001:2017-certificering. Physitrack eveneens Physitrack ISO 27001, terwijl er voor Wibbi in de beschikbare bronnen geen openbaar gedocumenteerd certificaat te vinden is.

2. ISO 13485 en CE-markering als aanvullende eis specifiek voor medische hulpmiddelen

Als uw software klinische functies vervult die verder gaan dan louter documentatie, zijn ISO 13485 en de CE-markering van belang. ISO 13485 beoordeelt het kwaliteitsmanagement voor medische hulpmiddelen, en de CE-markering bewijst de conformiteit als medisch hulpmiddel. Physitrack zowel Physitrack ISO 13485 als over een CE-markering. Caspar Health noemt in de beschikbare bronnen DIN ISO 9001, maar geen ISO 13485 en geen CE-markering. Vraag zelf om het certificaat, niet om een verklaring hierover.

3. EU-gegevensopslag met AVV

Laat de locatie van het datacenter contractueel bevestigen en sluit een verwerkersovereenkomst (VO) af. Naleving van de AVG is op zich slechts een bewering, zolang u niet weet in welk land uw patiëntgegevens zijn opgeslagen. Physitrack aan dat het hosting binnen de EU plaatsvindt en dat het aan de AVG voldoet, en raadt zelf aan om de locatie schriftelijk vast te leggen. Voor Caspar Health en Wibbi vermelden de gecontroleerde bronnen geen concrete hostinglocatie, en juist deze leemte moet vóór het sluiten van de overeenkomst worden opgevuld.

4. DiGA-status en ePA-geschiktheid als afzonderlijke concepten

Verwar de DiGA-status niet met ePA-compatibiliteit, want beide begrippen hebben betrekking op verschillende zaken. Een DiGA is een door het BfArM geregistreerde, vergoedbare digitale gezondheidsapplicatie volgens §139e SGB V. ePA-compatibiliteit houdt in dat software, bovenop de vanaf oktober 2025 geldende verplichting, samenwerkt met het elektronische patiëntendossier. Physitrack geen DiGA-status en staat niet in het BfArM-register vermeld, maar positioneert zich via een FHIR- en HL7-laag binnen het ePA-kader. Als u op zoek bent naar een vergoedbare toepassing, is DiGA het juiste criterium. Als u op zoek bent naar een ePA-koppeling, is dat niet het geval.

5. Integratieniveau: SSO of gegevenssynchronisatie

Ga na of een koppeling alleen een gezamenlijke aanmelding inhoudt of dat er daadwerkelijk gegevens tussen systemen worden uitgewisseld. Physitrack drie niveaus: van Single Sign-On via SSO met PDF-upload tot diepgaande gegevenssynchronisatie, waarbij therapietrouwgegevens en vragenlijsten worden teruggestuurd naar het praktijksysteem. In de ziekenhuiscontext is vooral de FHIR-R4-conformiteit van belang, die door gematik wordt gedefinieerd als interoperabiliteitsstandaard voor de telematica-infrastructuur. Een native Epic-koppeling is gedocumenteerd, terwijl ORBIS en i.s.h.med – de twee ZIS-systemen die het vaakst worden geëist in Duitse aanbestedingen voor ziekenhuizen – niet worden genoemd als bevestigde integraties. Heeft u een concrete ORBIS- of i.s.h.med-eis, laat de koppeling dan vóór het sluiten van het contract schriftelijk bevestigen.

Wat u aan uw softwareleverancier zou moeten vragen

Stel deze vragen schriftelijk voordat u een contract ondertekent. Een mondelinge toezegging tijdens de demonstratieafspraak kan later niet worden aangetoond, een e-mailantwoord van de aanbieder daarentegen wel. Vraag om schriftelijke antwoorden op elk punt en beschouw elke ontwijkende formulering als een teken dat er iets aan de hand is.

Certificering. Vraag om het ISO 27001-certificaat als document, en niet om de bewering dat men „gecertificeerd” is. Vraag om het certificaat met de uitgiftedatum en het toepassingsgebied. Als een aanbieder antwoordt met „wij werken volgens ISO-normen”, is dat een rode vlag, want dat is geen certificering.

Medisch hulpmiddel. Vraag of de software als medisch hulpmiddel een CE-markering heeft en of er een ISO 13485-certificaat voor het kwaliteitsmanagement is. Deze vraag maakt het verschil tussen platforms met een medische zorgplicht en platforms die louter als oefenbibliotheken fungeren.

Locatie van het datacenter. Vraag naar de exacte locatie van de servers, bij voorkeur het land. „EU-hosting“ zonder vermelding van de locatie volstaat niet voor een aankoop die voldoet aan de AVG. Vraag bovendien om een verwerkersovereenkomst overeenkomstig artikel 28 van de AVG. Een aanbieder die geen verwerkersovereenkomst ter beschikking stelt, komt niet in aanmerking.

FHIR-conformiteit. Vraag of het platform FHIR R4 ondersteunt, want dat is de door gematik voorgeschreven interoperabiliteitsstandaard voor de ePA (gematik). Ga na via welke interface documenten in de ePA terechtkomen en welke van de ondersteunde formaten (PDF, XML of JSON) de aanbieder gebruikt.

Integratieniveau. Ga na of u alleen Single Sign-On krijgt of dat er ook sprake is van een echte gegevenssynchronisatie terug naar uw praktijkbeheersysteem. Beide opties zijn legitiem, maar vergen in de dagelijkse praktijk een verschillende mate van inspanning. Vraag concreet welke gegevens in welke richting worden uitgewisseld.

Ziekenhuis-KIS. Als u bij een ziekenhuis bent aangesloten, vraag dan expliciet naar ORBIS en i.s.h.med. Deze twee systemen worden door inkoopteams van ziekenhuizen nadrukkelijk genoemd. Laat een bestaande integratie schriftelijk bevestigen voordat u tekent. Ook Physitrack ORBIS en i.s.h.med niet als openbaar gedocumenteerde integraties en raadt zelf aan om dit vooraf schriftelijk te verduidelijken.

DiGA-afbakening. Vraag rechtstreeks of de aanbieder de DiGA-status volgens §139e SGB V heeft en in het BfArM-register is opgenomen. Verwar dit niet met ePA-geschiktheid. Een aanbieder die hierover onduidelijk blijft, haalt twee verschillende regelgevingen door elkaar.

Als u op een van deze vragen geen duidelijk schriftelijk antwoord krijgt, beschouw het stilzwijgen dan als een antwoord. Wie een certificaat heeft, stuurt dat binnen twee minuten op.

Vergelijking van platforms: Physitrack, Caspar Health, Wibbi en ExorLive in één oogopslag

In de onderstaande tabel worden de vijf selectiecriteria uit deze handleiding toegepast op vier platforms. Wanneer een platform een criterium niet openbaar aantoont, staat er „niet openbaar gedocumenteerd”. Dit is een opmerking met betrekking tot transparantie, geen negatief oordeel. Het ontbreken van bewijs betekent niet dat de capaciteit ontbreekt, maar dat u dit vóór het sluiten van een overeenkomst schriftelijk moet laten bevestigen.

Kriterium Physitrack Caspar Health Wibbi (voorheen Physiotec) ExorLive
ISO 27001 Gedocumenteerd Gedocumenteerd volgens ISO 27001:2017 Niet openbaar gedocumenteerd Niet openbaar gedocumenteerd
ISO 13485 / CE Gecertificeerd volgens ISO 13485 + CE Niet openbaar gedocumenteerd Niet openbaar gedocumenteerd Niet openbaar gedocumenteerd
EU-gegevensbeheer gedocumenteerd EU-Hosting vermeld, AVV opvragen Locatie wordt niet openbaar gemaakt Niet openbaar gedocumenteerd Niet openbaar gedocumenteerd
FHIR / HL7 FHIR- en HL7-laag gedocumenteerd Bidirectionele KIS-interfaces, FHIR niet gespecificeerd Niet openbaar gedocumenteerd Niet openbaar gedocumenteerd
ePA-koppeling gedocumenteerd Positioneert zich als FHIR/HL7-laag, maakt geen aanspraak op TI-connector-certificering Niet gedocumenteerd Niet gedocumenteerd Niet gedocumenteerd
DiGA-status Geen DiGA-status, niet opgenomen in het BfArM-register Geen DiGA-status; erkenning door de DRV als digitaal nazorgcentrum Niet openbaar gedocumenteerd Niet openbaar gedocumenteerd
Bijzonder geschikt voor Ziekenhuizen en praktijken met een aangetoonde behoefte aan compliance en een specialisatie in HEP DRV-Revalidatie, nazorg en intramurale revalidatie (Er ontbreken bronvermeldingen in openbare bronnen) (Er ontbreken bronvermeldingen in openbare bronnen)

Caspar Health verdient een nadere toelichting, omdat zijn kracht op een ander vlak ligt dan bij de overige aanbieders. Caspar Health is gecertificeerd volgens de ISO 27001:2017-norm voor informatiebeveiliging en heeft per 1 januari 2022 de permanente erkenning van de Duitse Pensioenverzekering (DRV) als digitaal nazorgcentrum ontvangen. Met meer dan 260 partnerklinieken en meer dan 1.100 KTL-relevante inhoud is Caspar Health duidelijk gericht op de revalidatie-nazorg volgens de DRV-criteria. Als uw focus ligt op revalidatie-nazorg volgens DRV-criteria, hoort Caspar Health thuis op uw shortlist. Het bedrijf maakt in zijn openbare documentatie echter geen melding van een ePA-koppeling of TI-integratie.

Over Wibbi en ExorLive waren in de gecontroleerde bronnen geen openbaar beschikbare gegevens te vinden over certificeringen, de locatie van de gegevensopslag of de koppeling met ePA. Beschouw dit ontbreken van informatie niet als een reden om deze aanbieders uit te sluiten. Vraag in plaats daarvan de bewijsstukken rechtstreeks bij de aanbieder op, zoals beschreven in de vorige paragraaf. Een aanbieder die op verzoek schriftelijk ISO-certificaten en de locatie van het datacenter verstrekt, beantwoordt de vraag. Een aanbieder die dat niet doet, geeft eveneens antwoord op de vraag.

Volgens de hier onderzochte documenten Physitrack het enige platform met een gedocumenteerde ISO 27001-, ISO 13485- en CE-certificering, evenals een aangewezen FHIR/HL7-laag. De certificaten zijn afkomstig van Physitracks eigen vergelijkingspagina's en zijn in de beschikbare bronnen niet onafhankelijk gecontroleerd. Behandel deze gegevens daarom net als alle andere en vraag om de certificaatnummers en de uitgiftedatum.

Physitrack: het gecertificeerde platform voor de Duitse markt

Physitrack de vijf selectiecriteria van deze gids op basis van gedocumenteerd bewijs, niet op basis van beloften. Het platform is gecertificeerd volgens ISO 27001 voor informatiebeveiliging en ISO 13485 voor kwaliteitsmanagement van medische hulpmiddelen, draagt een CE-markering als medisch hulpmiddel en werkt in overeenstemming met de AVG op infrastructuur die binnen de EU wordt gehost (Enterprise-vergelijking). Juist deze twee certificaten zijn in Duitse IT-aanbestedingsprocedures vaak doorslaggevend nog vóór de eerste demo-afspraak, zoals de gids hierboven heeft aangetoond.

Voor de ePA-koppeling maakt Physitrack een FHIR- en HL7-compatibele interoperabiliteitslaag, die aansluit op bestaande ziekenhuis- en praktijksystemen in plaats van deze te vervangen (ePA-vergelijking). Er is een native Epic-integratie gedocumenteerd, evenals koppelingen met Jane, Intramed, Gensolve, Zanda, Nookal en Lyfe. De integratiediepte kan in drie niveaus worden gekozen, van puur Single-Sign-On via SSO met PDF-upload tot diepgaande gegevenssynchronisatie, waarbij therapietrouwgegevens en vragenlijsten worden teruggestuurd naar uw praktijksysteem.

De klinische onderbouwing achter deze certificaten biedt u een argument dat verder gaat dan louter naleving. Physitrack gebruikt door 110.000 zorgverleners in meer dan 180 landen, biedt meer dan 18.000 oefeningen in 14 talen en wordt in meer dan 100 klinische studies genoemd (Enterprise-vergelijking). De patiënten-app PhysiApp meer dan drie miljoen keer gedownload en heeft een gemiddelde beoordeling van 4,5 sterren.

Waar u goed op moet letten

Physitrack in Duitsland geen DiGA-status en staat niet vermeld in het BfArM-register. Er bestaat dus geen recht op vergoeding op grond van §139e SGB V. Als uw praktijk afhankelijk is van een digitale gezondheidsapplicatie die voor vergoeding in aanmerking komt, is dat een uitsluitingsgrond en dient u eerlijk te overwegen of ePA-geschiktheid of DiGA-vergoeding uw eigenlijke doel is. Beide concepten bieden een antwoord op verschillende vraagstukken.

Een tweede beperking betreft de ziekenhuiscontext. ORBIS en i.s.h.med, de twee ziekenhuisinformatiesystemen waar Duitse inkoopteams het vaakst om vragen, worden in de openbare documentatie van Physitrack niet genoemd als bevestigde integraties (ePA-vergelijking). Als uw aanbesteding een specifieke koppeling met ORBIS of i.s.h.med vereist, vraag dan om een schriftelijke bevestiging hiervan voordat u het contract ondertekent. Dit geldt voor elke aanbieder, niet alleen voor Physitrack, en behoort tot de vragen aan leveranciers die u sowieso zou moeten stellen.

Voor praktijken en klinische afdelingen die prioriteit geven aan gedocumenteerd bewijs van naleving en op zoek zijn naar een FHIR-compatibel platform met klinische diepgang, voldoet Physitrack beter aan Physitrack criteria van deze richtlijn dan de meeste alternatieven op de markt. De openlijk genoemde tekortkomingen zijn daarbij geen tegenstrijdigheid, maar juist de reden waarom u de bewijsstukken zelf zou moeten inzien voordat u tekent.

Conclusie: checklist voor de keuze van software

Neem deze checklist mee naar uw volgende inkoopgesprek. Hierin worden de vijf selectiecriteria omgezet in toetsbare vragen, waarmee elke aanbieder aan dezelfde maatstaven wordt getoetst.

  • Is ISO 27001 gedocumenteerd? Vraag om het certificaat, niet om een verklaring. Zonder een aangetoond ISMS wordt een platform bij veel aanbestedingen van ziekenhuizen al vóór de eerste demonstratieafspraak afgewezen.
  • Zijn ISO 13485 en de CE-markering aanwezig? Deze certificaten tonen aan dat het kwaliteitsmanagement voldoet aan de normen voor medische hulpmiddelen en zijn in de klinische omgeving vaak verplicht.
  • Gegevensopslag in de EU met AVV? Laat de locatie van het datacenter contractueel bevestigen en sluit een verwerkersovereenkomst af.
  • Is de FHIR/HL7-compatibiliteit aangetoond? De ePA vereist FHIR R4. Ga na of het platform kan worden gekoppeld aan uw KIS of PMS, en in het geval van een klinische context, of ORBIS of i.s.h.med schriftelijk zijn bevestigd.
  • Is de integratiediepte duidelijk? Maak onderscheid tussen Single Sign-On (SSO) met PDF-upload en echte gegevenssynchronisatie, zodat de koppeling goed aansluit op uw workflow.

Als het aantonen van compliance uw hoogste prioriteit is, voldoet Physitrack het best aan Physitrack criteria. Het platform voldoet aan ISO 27001, ISO 13485 en beschikt over een CE-markering, wordt gehost in de EU en sluit via een FHIR/HL7-laag aan op bestaande systemen. U dient echter vóór het sluiten van de overeenkomst de DiGA-status en de concrete ORBIS- of i.s.h.med-koppelingen schriftelijk te controleren.

Veelgestelde vragen over de integratie van de ePA in de fysiotherapie

Ben ik als zorgverlener verplicht om deel te nemen aan de ePA-integratie?

Zorgverleners, waaronder fysiotherapeuten, zijn door gematik uitdrukkelijk aangewezen als doelgroep voor de integratie van het ePA. Vanaf 1 oktober 2025 moeten medische instellingen het ePA in hun dagelijkse praktijk integreren. In de praktijk betekent dit dat uw praktijk in het kader van de behandeling toegang moet hebben tot het dossier, tenzij de patiënt hiertegen bezwaar heeft gemaakt.

Wat kost de TI-aansluiting op de telematica-infrastructuur?

De bronnen van gematik vermelden geen vaste tariefstructuren voor de TI-aansluiting van zorgverleners, en de kosten zijn afhankelijk van uw keuze van software en hardware. Bespreek de connector, de kaartlezer en de doorlopende licentiekosten rechtstreeks met uw leverancier voordat u een contract ondertekent. Een schriftelijke kostenopgave is de enige betrouwbare basis voor uw berekening.

Wat is het verschil tussen DiGA- en ePA-compatibele software?

Een DiGA is een digitale gezondheidsapplicatie die is opgenomen in het BfArM-register en waarvoor vergoeding wordt verleend op grond van §139e SGB V. ePA-compatibiliteit geeft daarentegen aan of software via FHIR en HL7 kan communiceren met het elektronische patiëntendossier. Physitrack geen DiGA-status en staat niet in het BfArM-register, maar positioneert zich als een FHIR- en HL7-compatibele interoperabiliteitslaag voor bestaande systemen.

Moet ik nieuwe software kopen of volstaat een update?

Dat hangt ervan af of uw huidige praktijksoftware beschikt over een gedocumenteerde FHIR- en HL7-interface en een AVG-conforme gegevensopslag binnen de EU. Als deze bewijzen ontbreken, volstaat een update meestal niet. Vraag uw huidige leverancier schriftelijk om het ISO 27001-certificaat, de locatie van het datacenter en de verwerkersovereenkomst, voordat u besluit om over te stappen.

Welke certificaten moet mijn ePA-software kunnen aantonen?

ISO 27001 voor informatiebeveiliging geldt in Duitse aanbestedingen voor ziekenhuizen als een strikt uitsluitingscriterium, niet als een pluspunt. ISO 13485 en een CE-markering komen daar nog bij als de software als medisch hulpmiddel wordt aangemerkt. Physitrack zich in zijn vergelijking als het enige platform met volledig gedocumenteerde certificeringen, wat echter geen vervanging is voor het schriftelijk overleggen van de certificaten.

Kevin Kaminyar
Wereldwijd hoofd Groei