Integracja z systemem ePA dla fizjoterapeutów: na co należy zwrócić uwagę przy wyborze oprogramowania (2026)

24 czerwca 2026 r.
Chłopiec i fizjoterapeuta ćwiczący z taśmami oporowymi w gabinecie wyposażonym w drążki ścienne i piłki do ćwiczeń

W skrócie

  • Od 1 października 2025 r. placówki medyczne muszą wdrożyć ePA do codziennej praktyki, a osoby świadczące usługi terapeutyczne, takie jak fizjoterapeuci, wyraźnie należą do grupy, której to dotyczy (gematik.de).
  • Przed każdą demonstracją decydujące znaczenie mają dwa kryteria. Oprogramowanie bez udokumentowanego systemu zarządzania bezpieczeństwem informacji (ISMS) zgodnego z normą ISO 27001 nie spełnia wewnętrznych wytycznych dotyczących zamówień w zakresie IT, a bez przechowywania danych w UE zgodnego z RODO wraz z umową o przetwarzaniu danych brakuje podstawy prawnej.
  • Physitrack jedyną platformą w tym zestawieniu, która posiada w pełni udokumentowane certyfikaty, w tym ISO 27001, ISO 13485 oraz oznaczenie CE (Physitrack).
  • Physitrack nie Physitrack statusu DiGA i nie figuruje w wykazie BfArM. Zgodność z ePA i status DiGA to odrębne pojęcia.

Co oznacza integracja z systemem ePA dla fizjoterapeutów w codziennej praktyce

Od 1 października 2025 r. placówki medyczne muszą włączyć elektroniczną kartę pacjenta (ePA) do swojej codziennej działalności, a agencja gematik wyraźnie wymienia świadczeniodawców, do których zaliczają się fizjoterapeuci, jako grupę objętą tym obowiązkiem (gematik.de). Obowiązek ten oznacza przede wszystkim, że muszą Państwo umieć przeglądać i uzupełniać elektroniczną kartę pacjenta w kontekście leczenia. Nie oznacza to jednak, że muszą Państwo stosować w pełni zintegrowane rozwiązanie z automatyczną wymianą danych.

Różnica między obowiązkową a opcjonalną głęboką integracją decyduje o tym, jak duże nakłady pracy będą musiały zostać poniesione przez Państwa placówkę. Podstawy prawne wymagają dostępu w kontekście opieki zdrowotnej, a nie konkretnej architektury oprogramowania. Głęboka integracja, w ramach której dane dotyczące leczenia są przekazywane do dokumentacji medycznej w formacie FHIR, stanowi korzyść pod względem wygody i wydajności, a nie minimalny standard. Przed podjęciem decyzji o zakupie należy sprawdzić, który z tych dwóch poziomów integracji obsługuje Państwa oprogramowanie.

W codziennej praktyce zmiany są mniejsze, niż wielu się obawia, ponieważ ePA działa w oparciu o jasny model zgody. Dokumentacja jest tworzona automatycznie dla wszystkich osób ubezpieczonych w ramach ubezpieczenia ustawowego, a osoby ubezpieczone prywatnie również mogą z niej korzystać (gematik.de). Pacjenci muszą aktywnie wyrazić sprzeciw, jeśli nie chcą uczestniczyć w programie. Ta logika „opt-out” oznacza dla Państwa, że większość pacjentów posiada ePA, do której mają Państwo dostęp w kontekście leczenia bez konieczności uzyskiwania oddzielnej zgody na każdą wizytę.

Dokumenty nie są przy tym ładowane automatycznie, z jednym wyjątkiem. Tylko dane z e-recepty są automatycznie wprowadzane do listy leków; wszystkie pozostałe treści należy pobierać samodzielnie (gematik.de). Pacjenci mogą ograniczyć dostęp w poszczególnych placówkach, zablokować przesyłanie dokumentów lub zablokować określone kategorie – często ustnie, w trakcie wizyty. Oprogramowanie musi technicznie uwzględniać te szczegółowe ograniczenia, aby uniemożliwić wyświetlanie lub przesyłanie treści, na które nie uzyskano zgody.

W praktyce oznacza to, że przed zapisaniem wyników badań lub raportów terapeutycznych należy sprawdzić dla każdego pacjenta, czy posiada on ePA oraz jakie uprawnienia mu przysługują. Dobre oprogramowanie przeprowadzi Państwa przez te etapy, zamiast obciążać Państwa tymi zadaniami.

Pięć kryteriów wyboru oprogramowania do fizjoterapii z integracją z systemem ePA

Oceniaj każdą platformę na podstawie dowodów, a nie listy funkcji. Dostawca, który prezentuje daną funkcję, nie spełnia jeszcze żadnego wymogu zgodności. Poniższe pięć kryteriów można sprawdzić na piśmie przed każdą prezentacją – i właśnie to powinieneś zrobić.

1. Norma ISO 27001 jako twarde kryterium wykluczające

Bez udokumentowanego certyfikatu ISO 27001 w zakresie bezpieczeństwa informacji oprogramowanie nie przechodzi wielu przetargów szpitalnych, zanim jeszcze zostanie zaplanowana prezentacja. Certyfikat ISO 27001 potwierdza istnienie sprawdzonego systemu zarządzania służącego ochronie wrażliwych danych pacjentów, a jednostki odpowiedzialne za zamówienia informatyczne traktują go jako warunek minimalny, a nie jako dodatkowy atut. Caspar Health posiada certyfikat ISO 27001:2017. Physitrack również Physitrack certyfikat ISO 27001, natomiast w przypadku Wibbi w dostępnych źródłach nie ma publicznie udokumentowanego certyfikatu.

2. Norma ISO 13485 i oznakowanie CE jako dodatkowe wymagania dotyczące wyrobów medycznych

Jeśli Państwa oprogramowanie pełni funkcje kliniczne wykraczające poza samą dokumentację, istotne znaczenie mają norma ISO 13485 oraz oznakowanie CE. Norma ISO 13485 dotyczy systemu zarządzania jakością w odniesieniu do wyrobów medycznych, a oznakowanie CE potwierdza zgodność produktu z wymogami dotyczącymi wyrobów medycznych. Physitrack zarówno certyfikat ISO 13485, jak i oznakowanie CE. Firma Caspar Health w dostępnych źródłach wymienia normę DIN ISO 9001, ale nie wspomina o normie ISO 13485 ani o oznakowaniu CE. Należy poprosić o sam certyfikat, a nie o oświadczenie na ten temat.

3. Przechowywanie danych UE z wykorzystaniem AVV

Proszę uzyskać pisemne potwierdzenie lokalizacji centrum danych w umowie oraz zawrzeć umowę o przetwarzaniu danych (AVV). Sama zgodność z RODO to tylko twierdzenie, dopóki nie wiadomo, w jakim kraju przechowywane są dane pacjentów. Physitrack hosting w UE oraz zgodność z RODO i sama zaleca pisemne potwierdzenie lokalizacji. W przypadku Caspar Health i Wibbi sprawdzone źródła nie podają konkretnej lokalizacji hostingu, a właśnie tę lukę należy wyeliminować przed zawarciem umowy.

4. Status DiGA i zgodność z ePA jako odrębne koncepcje

Nie należy mylić statusu DiGA z kompatybilnością z ePA, ponieważ oba pojęcia odnoszą się do różnych kwestii. DiGA to wymieniona w wykazie BfArM aplikacja cyfrowa służąca zdrowiu, kwalifikująca się do refundacji zgodnie z §139e SGB V. Kompatybilność z ePA oznacza, że oprogramowanie współpracuje z elektroniczną kartoteką pacjenta w zakresie wykraczającym poza obowiązek obowiązujący od października 2025 r. Physitrack nie Physitrack statusu DiGA i nie figuruje w wykazie BfArM, ale dzięki warstwie FHIR i HL7 wpisuje się w ramy ePA. Jeśli szukają Państwo aplikacji kwalifikującej się do refundacji, właściwym kryterium jest status DiGA. Jeśli natomiast szukają Państwo integracji z ePA, nie jest to właściwe kryterium.

5. Poziom integracji: SSO lub synchronizacja danych

Należy ustalić, czy integracja oznacza jedynie wspólne logowanie, czy też faktycznie dochodzi do przepływu danych między systemami. Physitrack trzy poziomy: od Single Sign-On, przez SSO z przesyłaniem plików PDF, aż po głęboką synchronizację danych, w ramach której dane dotyczące przestrzegania zaleceń i kwestionariusze są przesyłane z powrotem do systemu gabinetu. W kontekście klinicznym najważniejsza jest zgodność z FHIR R4, którą gematik definiuje jako standard interoperacyjności dla infrastruktury telematycznej. Udokumentowano natywną integrację z systemem Epic, natomiast ORBIS i i.s.h.med – dwa systemy KIS najczęściej wymagane w niemieckich przetargach szpitalnych – nie zostały wymienione jako potwierdzone integracje. Jeśli mają Państwo konkretne wymagania dotyczące systemów ORBIS lub i.s.h.med, prosimy o uzyskanie pisemnego potwierdzenia integracji przed zawarciem umowy.

O co warto zapytać dostawcę oprogramowania

Zanim podpiszą Państwo umowę, proszę zadać te pytania na piśmie. Ustnej obietnicy złożonej podczas spotkania demonstracyjnego nie da się później udowodnić, natomiast odpowiedź dostawcy przesłana e-mailem – już tak. Proszę poprosić o pisemne odpowiedzi na każdy punkt i traktować każde wymijające sformułowanie jako sygnał ostrzegawczy.

Certyfikacja. Należy poprosić o certyfikat ISO 27001 w formie dokumentu, a nie o samo oświadczenie, że firma jest „certyfikowana”. Należy zażądać certyfikatu zawierającego datę wydania i zakres obowiązywania. Jeśli dostawca odpowie: „działamy zgodnie z normami ISO”, jest to sygnał ostrzegawczy, ponieważ nie oznacza to certyfikacji.

Wyrób medyczny. Należy zapytać, czy oprogramowanie posiada oznaczenie CE jako wyrób medyczny oraz czy spełnia wymagania normy ISO 13485 w zakresie zarządzania jakością. To pytanie pozwala odróżnić platformy podlegające obowiązkom staranności w zakresie medycznym od zwykłych bibliotek ćwiczeń.

Lokalizacja centrum danych. Należy poprosić o podanie konkretnej lokalizacji serwerów, najlepiej kraju. Sformułowanie „hosting w UE” bez podania lokalizacji nie wystarcza do zapewnienia zgodności zamówienia z RODO. Należy dodatkowo zażądać zawarcia umowy o przetwarzaniu danych zgodnie z art. 28 RODO. Dostawca, który nie udostępnia takiej umowy, nie wchodzi w grę.

Zgodność z FHIR. Należy zapytać, czy platforma obsługuje standard FHIR R4, ponieważ jest to standard interoperacyjności określony przez gematik dla ePA (gematik). Należy ustalić, za pośrednictwem jakiego interfejsu dokumenty trafiają do ePA oraz który z obsługiwanych formatów – PDF, XML lub JSON – wykorzystuje dostawca.

Stopień integracji. Należy ustalić, czy otrzymują Państwo jedynie funkcję pojedynczego logowania (Single Sign-On), czy też rzeczywistą synchronizację danych z systemem zarządzania gabinetem. Oba rozwiązania są uzasadnione, jednak w codziennej praktyce wiążą się z różnym nakładem pracy. Należy zapytać konkretnie, jakie dane są przesyłane i w którym kierunku.

Systemy informatyczne szpitalne (KIS). Jeśli współpracują Państwo ze szpitalem, proszę wyraźnie zapytać o systemy ORBIS i i.s.h.med. Oba te systemy wymagają, aby zespoły ds. zamówień szpitalnych zostały wymienione z nazwy. Przed podpisaniem umowy proszę poprosić o pisemne potwierdzenie istnienia integracji. Również Physitrack nie Physitrack ORBIS i i.s.h.med jako publicznie udokumentowanych integracji i sama zaleca wcześniejsze uzyskanie pisemnego potwierdzenia.

Określenie statusu DiGA. Należy bezpośrednio zapytać, czy dostawca posiada status DiGA zgodnie z § 139e SGB V i czy figuruje w rejestrze BfArM. Nie należy tego mylić z zgodnością z ePA. Dostawca, który nie udziela jasnej odpowiedzi w tej kwestii, miesza dwa różne systemy regulacyjne.

Jeśli nie otrzymają Państwo jasnej, pisemnej odpowiedzi na którekolwiek z tych pytań, proszę potraktować milczenie jako odpowiedź. Osoba posiadająca certyfikat prześle go w ciągu dwóch minut.

Porównanie platform: Physitrack, Caspar Health, Wibbi i ExorLive – przegląd

W poniższej tabeli zastosowano pięć kryteriów wyboru zawartych w niniejszym przewodniku w odniesieniu do czterech platform. W przypadku gdy platforma nie udokumentowała publicznie spełnienia danego kryterium, widnieje adnotacja „brak publicznej dokumentacji”. Jest to wskazówka dotycząca przejrzystości, a nie negatywna ocena. Brak dokumentacji nie oznacza braku danej zdolności, lecz sugeruje, że przed zawarciem umowy należy uzyskać pisemne potwierdzenie tej zdolności.

Kriterium Physitrack Caspar Health Wibbi (dawniej Physiotec) ExorLive
ISO 27001 Udokumentowane Zgodność z normą ISO 27001:2017 Brak publicznie dostępnych informacji Brak publicznie dostępnych informacji
ISO 13485 / CE Certyfikat zgodności z normą ISO 13485 i oznaczeniem CE Brak publicznie dostępnych informacji Brak publicznie dostępnych informacji Brak publicznie dostępnych informacji
Dokumentacja dotycząca przechowywania danych w UE Podano „EU-Hosting”, należy zapytać o AVV Lokalizacja nie została podana do wiadomości publicznej Brak publicznie dostępnych informacji Brak publicznie dostępnych informacji
FHIR / HL7 Udokumentowane warstwy FHIR i HL7 Dwukierunkowe interfejsy KIS, bez odniesienia do FHIR Brak publicznie dostępnych informacji Brak publicznie dostępnych informacji
Udokumentowano integrację z systemem ePA Produkt ten jest pozycjonowany jako warstwa FHIR/HL7, nie posiada certyfikatu TI-Konnektor Brak dokumentacji Brak dokumentacji Brak dokumentacji
Status DiGA Brak statusu DiGA, nie figuruje w wykazie BfArM Brak statusu DiGA; uznanie przez DRV jako cyfrowe centrum opieki pooperacyjnej Brak publicznie dostępnych informacji Brak publicznie dostępnych informacji
Szczególnie nadaje się do Kliniki i gabinety, w których stwierdzono potrzebę zapewnienia zgodności z przepisami i które specjalizują się w terapii HEP DRV – rehabilitacja i opieka po zakończeniu leczenia oraz rehabilitacja stacjonarna (Brakuje dowodów w źródłach publicznych) (Brakuje dowodów w źródłach publicznych)

Caspar Health zasługuje na bardziej szczegółową analizę, ponieważ jego mocne strony różnią się od tych, które charakteryzują pozostałe podmioty. Caspar Health posiada certyfikat ISO 27001:2017 w zakresie bezpieczeństwa informacji, a od 1 stycznia 2022 r. posiada stałą akredytację Niemieckiego Ubezpieczenia Emerytalnego (DRV) jako cyfrowe centrum opieki po rehabilitacji. Dzięki ponad 260 klinikom partnerskim i ponad 1100 treściom istotnym z punktu widzenia KTL firma Caspar Health jest wyraźnie ukierunkowana na rehabilitacyjną opiekę po zakończeniu leczenia zgodnie z kryteriami DRV. Jeśli Państwa głównym obszarem działalności jest rehabilitacyjna opieka po zakończeniu leczenia zgodnie z kryteriami DRV, firma Caspar Health powinna znaleźć się na Państwa liście potencjalnych partnerów. W swoich publicznych materiałach firma nie wspomina jednak o połączeniu z ePA ani integracji z TI.

W przypadku serwisów Wibbi i ExorLive w sprawdzonych źródłach nie znaleziono żadnych publicznie dostępnych informacji dotyczących certyfikatów, lokalizacji danych ani integracji z ePA. Nie należy traktować tego braku jako powodu do wykluczenia. Zamiast tego należy zwrócić się o przedstawienie odpowiednich dokumentów bezpośrednio do dostawcy, zgodnie z opisem w poprzednim akapicie. Dostawca, który na żądanie dostarczy na piśmie certyfikaty ISO oraz informacje o lokalizacji centrum danych, udziela odpowiedzi na to pytanie. Dostawca, który tego nie robi, również udziela odpowiedzi.

Zgodnie z przeanalizowanymi tutaj dokumentami Physitrack jedyną platformą posiadającą udokumentowane certyfikaty ISO 27001, ISO 13485 oraz oznaczenie CE, a także wyznaczoną warstwę FHIR/HL7. Certyfikaty pochodzą z własnych stron porównawczych Physitrack i nie zostały poddane niezależnemu audytowi w niniejszych źródłach. Dlatego też należy traktować te informacje tak samo jak wszystkie inne – należy poprosić o podanie numerów certyfikatów i daty ich wydania.

Physitrack: certyfikowana platforma przeznaczona na rynek niemiecki

Physitrack pięć kryteriów wyboru określonych w niniejszym przewodniku, opierając się na udokumentowanych dowodach, a nie na obietnicach. Platforma posiada certyfikaty ISO 27001 w zakresie bezpieczeństwa informacji oraz ISO 13485 w zakresie zarządzania jakością wyrobów medycznych, posiada oznaczenie CE jako wyrób medyczny oraz działa zgodnie z RODO w ramach infrastruktury hostowanej w UE (porównanie rozwiązań dla przedsiębiorstw). Jak wykazano powyżej w niniejszym przewodniku, to właśnie te dwa certyfikaty często decydują w niemieckich procedurach zamówień publicznych w zakresie IT jeszcze przed pierwszym spotkaniem demonstracyjnym.

W zakresie integracji z ePA Physitrack warstwę interoperacyjności zgodną ze standardami FHIR i HL7, która łączy się z istniejącymi systemami klinicznymi i gabinetowymi, zamiast je zastępować (porównanie ePA). Udokumentowano natywną integrację z systemem Epic, a także połączenia z systemami Jane, Intramed, Gensolve, Zanda, Nookal i Lyfe. Poziom integracji można wybrać spośród trzech stopni – od zwykłego logowania jednokrotnego (SSO) poprzez SSO z przesyłaniem plików PDF aż po głęboką synchronizację danych, która przekazuje dane dotyczące przestrzegania zaleceń i kwestionariusze z powrotem do systemu gabinetu.

Podstawy kliniczne tych certyfikatów stanowią argument wykraczający poza samą zgodność z przepisami. Physitrack 110 000 specjalistów medycznych w ponad 180 krajach; oferuje ona ponad 18 000 ćwiczeń w 14 językach i została przytoczona w ponad 100 badaniach klinicznych (porównanie w segmencie Enterprise). Aplikacja dla pacjentów PhysiApp ponad trzy miliony pobrań i średnią ocenę 4,5 gwiazdek.

Gdzie należy zwrócić szczególną uwagę

Physitrack nie Physitrack w Niemczech statusu DiGA i nie figuruje w wykazie BfArM. W związku z tym nie przysługuje prawo do refundacji zgodnie z § 139e SGB V. Jeśli Państwa gabinet jest uzależniony od aplikacji cyfrowych w służbie zdrowia kwalifikujących się do refundacji, stanowi to podstawę do wykluczenia i powinni Państwo szczerze rozważyć, czy Państwa rzeczywistym celem jest zgodność z ePA, czy też refundacja w ramach DiGA. Oba koncepcje odpowiadają na różne pytania.

Drugie ograniczenie dotyczy środowiska szpitalnego. ORBIS i i.s.h.med – dwa systemy informatyczne dla szpitali, których najczęściej wymagają niemieckie zespoły ds. zamówień – nie zostały wymienione w publicznej dokumentacji Physitrack jako potwierdzone integracje (porównanie ePA). Jeśli w ogłoszeniu o przetargu wymagana jest konkretna integracja z systemem ORBIS lub i.s.h.med, należy uzyskać pisemne potwierdzenie tego faktu przed zawarciem umowy. Dotyczy to każdego dostawcy, nie tylko Physitrack, i należy to do pytań dotyczących dostawców, które i tak należy zadać.

Dla gabinetów i oddziałów szpitalnych, które przywiązują dużą wagę do udokumentowanego potwierdzenia zgodności z przepisami i poszukują platformy obsługującej standard FHIR, oferującej dogłębną wiedzę kliniczną, Physitrack spełnia Physitrack niniejszego przewodnika w pełniejszym stopniu niż większość alternatywnych rozwiązań dostępnych na rynku. Otwarcie wskazane luki nie stanowią tu sprzeczności, lecz są powodem, dla którego przed podpisaniem umowy warto samodzielnie zapoznać się z dokumentacją.

Podsumowanie: Lista kontrolna przy wyborze oprogramowania

Proszę zabrać tę listę kontrolną na następną rozmowę dotyczącą zamówień. Przekształca ona pięć kryteriów wyboru w pytania, które można zweryfikować, dzięki czemu każdy dostawca jest oceniany według tych samych standardów.

  • Czy posiadacie certyfikat ISO 27001? Żądajcie certyfikatu, a nie oświadczenia. Bez udokumentowanego systemu zarządzania bezpieczeństwem informacji (ISMS) platforma nie przejdzie selekcji w wielu przetargach szpitalnych jeszcze przed pierwszym terminem prezentacji.
  • Czy posiadają Państwo certyfikat ISO 13485 i oznaczenie CE? Dokumenty te potwierdzają zgodność systemu zarządzania jakością z wymogami dotyczącymi wyrobów medycznych i są często obowiązkowe w środowisku szpitalnym.
  • Przechowywanie danych w UE z wykorzystaniem AVV? Należy uzyskać umowne potwierdzenie lokalizacji centrum danych oraz zawrzeć umowę o przetwarzaniu danych.
  • Czy potwierdzono zgodność z FHIR/HL7? Aplikacja ePA wymaga standardu FHIR R4. Należy sprawdzić, czy platforma integruje się z Państwa systemem KIS lub PMS, a w przypadku placówek klinicznych – czy systemy ORBIS lub i.s.h.med zostały potwierdzone na piśmie.
  • Czy poziom integracji został wyjaśniony? Należy rozróżnić logowanie jednokrotne (SSO), SSO z przesyłaniem plików PDF oraz prawdziwą synchronizację danych, aby połączenie pasowało do Państwa procesu roboczego.

Jeśli potwierdzenie zgodności z przepisami jest dla Państwa najwyższym priorytetem, to Physitrack w najpełniejszym stopniu spełnia Physitrack kryteria. Platforma posiada certyfikaty ISO 27001, ISO 13485 oraz oznaczenie CE, jest hostowana w UE i integruje się z istniejącymi systemami za pośrednictwem warstwy FHIR/HL7. Przed zawarciem umowy należy jednak na piśmie sprawdzić status DiGA oraz konkretne integracje z systemami ORBIS lub i.s.h.med.

Najczęściej zadawane pytania dotyczące wdrożenia ePA w fizjoterapii

Czy jako podmiot świadczący usługi medyczne mam obowiązek wdrożenia systemu ePA?

Podmioty świadczące usługi medyczne, do których zaliczają się fizjoterapeuci, zostały przez gematik wyraźnie wskazane jako grupa docelowa w ramach wdrażania ePA. Od 1 października 2025 r. placówki medyczne będą miały obowiązek włączenia ePA do codziennej praktyki. W praktyce oznacza to, że Państwa gabinet musi mieć dostęp do dokumentacji medycznej w kontekście leczenia, o ile pacjent nie wyraził sprzeciwu.

Ile kosztuje podłączenie TI do infrastruktury telematycznej?

Źródła gematik nie podają stałych stawek opłat za podłączenie świadczeniodawców do systemu TI, a koszty zależą od wybranego oprogramowania i sprzętu. Przed podpisaniem umowy należy uzgodnić z dostawcą rodzaj złącza, czytnik kart oraz bieżące koszty licencji. Jedynym wiarygodnym punktem odniesienia dla Państwa kalkulacji jest pisemny wykaz kosztów.

Jaka jest różnica między oprogramowaniem DiGA a oprogramowaniem zgodnym z ePA?

DiGA to cyfrowa aplikacja medyczna, która figuruje w wykazie BfArM i podlega refundacji na podstawie § 139e SGB V. Z kolei zgodność z ePA określa, czy oprogramowanie może komunikować się z elektroniczną kartoteką pacjenta za pośrednictwem standardów FHIR i HL7. Physitrack nie Physitrack statusu DiGA i nie figuruje w wykazie BfArM, ale pozycjonuje się jako warstwa interoperacyjności zgodna ze standardami FHIR i HL7 dla istniejących systemów.

Czy muszę kupić nowe oprogramowanie, czy wystarczy aktualizacja?

Zależy to od tego, czy Państwa obecne oprogramowanie gabinetowe posiada udokumentowane interfejsy FHIR i HL7 oraz zapewnia przechowywanie danych w UE zgodne z RODO. W przypadku braku takich dowodów sama aktualizacja zazwyczaj nie wystarczy. Przed podjęciem decyzji o zmianie dostawcy proszę zwrócić się do obecnego dostawcy z pisemną prośbą o przedstawienie certyfikatu ISO 27001, lokalizacji centrum danych oraz umowy o przetwarzaniu danych.

Jakie certyfikaty powinno posiadać moje oprogramowanie ePA?

Norma ISO 27001 dotycząca bezpieczeństwa informacji stanowi w niemieckich przetargach szpitalnych surowe kryterium wykluczające, a nie dodatkowy atut. Jeśli oprogramowanie zostanie sklasyfikowane jako wyrób medyczny, wymagane są dodatkowo norma ISO 13485 oraz oznaczenie CE. W swoim zestawieniu Physitrack się jako jedyna platforma posiadająca w pełni udokumentowane certyfikaty, co jednak nie zastępuje pisemnego przedłożenia tych certyfikatów.

Kevin Kaminyar
Globalny dyrektor ds. rozwoju