ePA-integration för fysioterapeuter: Vad du bör tänka på när du väljer programvara (2026)

24 juni 2026
En pojke och en fysioterapeut tränar med motståndsband på en klinik med klätterställ och träningsbollar

I korthet

  • Från och med den 1 oktober 2025 måste vårdinrättningar integrera ePA i sin dagliga verksamhet, och vårdgivare som till exempel fysioterapeuter ingår uttryckligen i den berörda gruppen (gematik.de).
  • Två kriterier är avgörande inför varje demonstration. En programvara utan ett dokumenterat ISMS enligt ISO 27001 godkänns inte enligt interna riktlinjer för IT-inköp, och utan EU-datalagring som uppfyller GDPR samt ett avtal om uppdragshantering saknas den rättsliga grunden.
  • Physitrack den enda plattformen i denna jämförelse som har fullständigt dokumenterade certifieringar, däribland ISO 27001, ISO 13485 och CE-märkning (Physitrack).
  • Physitrack inte DiGA-status och finns inte med i BfArM:s förteckning. ePA-kompatibilitet och DiGA är två skilda begrepp.

Vad ePA-integrationen innebär för fysioterapeuter i vardagen

Från och med den 1 oktober 2025 måste vårdinrättningar integrera den elektroniska patientjournalen (ePA) i sin dagliga verksamhet, och gematik nämner uttryckligen vårdgivare – däribland fysioterapeuter – som en berörd grupp (gematik.de). Denna skyldighet innebär i första hand att ni måste kunna läsa och fylla i den elektroniska patientjournalen i behandlingssammanhang. Det innebär inte att ni måste genomföra en fullständigt nätverksansluten djupintegration med automatisk datautväxling.

Skillnaden mellan obligatorisk och frivillig djupintegration avgör hur stor arbetsinsats som krävs av er mottagning. Den rättsliga grunden kräver tillgång inom vårdkontexten, inte en viss programvaruarkitektur. En djupintegration, där behandlingsdata matas in i journalen i strukturerad form enligt FHIR, innebär ökad bekvämlighet och effektivitet, men är inte en minimistandard. Kontrollera vilken av dessa två utbyggnadsnivåer er programvara stöder innan ni fattar ett köpbeslut.

I den dagliga verksamheten förändras mindre än vad många befarar, eftersom ePA bygger på en tydlig samtyckesmodell. Journalen skapas automatiskt för alla som är lagligt försäkrade, och även privatförsäkrade kan använda den (gematik.de). Patienter måste aktivt säga nej om de inte vill delta. Denna opt-out-logik innebär för er att de flesta patienter har en ePA som ni får tillgång till i behandlingssammanhanget utan att behöva begära ett separat godkännande för varje besök.

Dokument laddas inte automatiskt, med ett enda undantag. Endast uppgifter om e-recept överförs automatiskt till läkemedelslistan; allt annat innehåll hämtar du själv (gematik.de). Patienterna kan begränsa åtkomsten per vårdinrättning, spärra uppladdning av dokument eller blockera vissa kategorier, ofta muntligt under behandlingen. Er programvara måste tekniskt stödja dessa detaljerade begränsningar så att ni inte kan se eller ladda upp innehåll för vilket inget samtycke har givits.

I den dagliga behandlingsrutinen innebär detta konkret att ni för varje patient måste kontrollera om det finns en ePA och vilka behörigheter som gäller innan ni arkiverar undersökningsresultat eller behandlingsrapporter. En bra programvara guidar er genom dessa steg, istället för att lägga bördan på er.

De fem urvalskriterierna för programvara för fysioterapi med ePA-anslutning

Bedöm varje plattform utifrån dokumenterade bevis, inte utifrån listor över funktioner. En leverantör som demonstrerar en funktion har därmed ännu inte uppfyllt ett enda krav på regelefterlevnad. Följande fem kriterier kan granskas skriftligen inför varje demomöte, och det är precis vad ni bör göra.

1. ISO 27001 som ett strikt uteslutningskriterium

Utan ett dokumenterat ISO 27001-certifikat för informationssäkerhet blir en mjukvara underkänd i många upphandlingar inom sjukvården redan innan en demonstration ens har bokats in. ISO 27001 intygar att ett granskat ledningssystem för skydd av känsliga patientuppgifter finns på plats, och IT-upphandlingsenheter betraktar detta som ett minimikrav, inte som en merit. Caspar Health har en ISO 27001:2017-certifiering. Physitrack också ISO 27001, medan det enligt tillgängliga källor inte finns något offentligt dokumenterat certifikat för Wibbi.

2. ISO 13485 och CE-märkning som ytterligare krav specifika för medicintekniska produkter

Om er programvara har kliniska funktioner som går utöver ren dokumentation blir ISO 13485 och CE-märkning relevanta. ISO 13485 granskar kvalitetsledningen för medicintekniska produkter, och CE-märkningen intygar att produkten uppfyller kraven som medicinteknisk produkt. Physitrack både ISO 13485 och har CE-märkning. Caspar Health nämner i tillgängliga källor DIN ISO 9001, men varken ISO 13485 eller CE-märkning. Begär själva certifikatet, inte bara ett uttalande om det.

3. EU-datahantering med AVV

Se till att få datacentrets placering bekräftad i avtalet och teckna ett uppdragsbehandlingsavtal (AVV). Att hävda att man följer GDPR räcker inte så länge ni inte vet i vilket land era patientuppgifter lagras. Physitrack har EU-baserad hosting och följer GDPR, och rekommenderar själva att man säkerställer placeringen skriftligen. För Caspar Health och Wibbi anger de granskade källorna ingen konkret hostingplats, och just denna lucka måste täppas till innan avtalet ingås.

4. DiGA-status och ePA-kompatibilitet som separata begrepp

Förväxla inte DiGA-status med ePA-kompatibilitet, eftersom de båda begreppen avser olika saker. En DiGA är en digital hälsoapplikation som är listad av BfArM och som berättigar till ersättning enligt §139e SGB V. ePA-kompatibilitet innebär att en programvara samverkar med den elektroniska patientjournalen utöver det krav som gäller från och med oktober 2025. Physitrack ingen DiGA-status och finns inte med i BfArM:s förteckning, men är integrerad i ePA-ramverket via ett FHIR- och HL7-lager. Om du söker en ersättningsberättigad applikation är DiGA rätt kriterium. Om du söker ePA-integration är det inte det.

5. Integrationsnivå: SSO eller datasynkronisering

Ta reda på om en anslutning endast innebär en gemensam inloggning eller om data faktiskt överförs mellan systemen. Physitrack tre nivåer, från Single Sign-On via SSO med PDF-uppladdning till djupgående datasynkronisering, som överför följsamhetsdata och frågeformulär tillbaka till mottagningens system. I sjukhuskontexten är det framför allt FHIR R4-överensstämmelse som räknas, vilket gematik definierar som interoperabilitetsstandard för telematikinfrastrukturen. En inbyggd Epic-anslutning är dokumenterad, medan ORBIS och i.s.h.med – de två KIS-system som oftast efterfrågas i tyska sjukhusupphandlingar – inte nämns som bekräftade integrationer. Om ni har ett konkret krav på ORBIS eller i.s.h.med bör ni begära en skriftlig bekräftelse på anslutningen innan avtalet ingås.

Vad du bör fråga din programvaruleverantör

Innan ni undertecknar ett avtal bör ni ställa dessa frågor skriftligt. Ett muntligt löfte som ges under ett demonstrationsmöte går inte att bevisa i efterhand, medan ett e-postsvar från leverantören däremot går att bevisa. Be om skriftliga svar på varje punkt och betrakta varje undvikande formulering som ett tecken på något.

Certifiering. Be om att få se ISO 27001-certifikatet i dokumentform, inte bara ett påstående om att man är ”certifierad”. Begär att få se certifikatet med utfärdandedatum och tillämpningsområde. Om en leverantör svarar ”vi arbetar enligt ISO-standarder” är det en varningssignal, eftersom det inte innebär någon certifiering.

Medicinsk produkt. Fråga om programvaran är CE-märkt som medicinsk produkt och om det finns ett kvalitetsledningssystem enligt ISO 13485. Denna fråga skiljer plattformar med medicinsk ansvarsskyldighet från rena övningsbibliotek.

Datacentrets placering. Be om att få veta servernas exakta placering, helst i vilket land de finns. ”EU-hosting” utan angivelse av plats räcker inte för en upphandling som uppfyller GDPR. Begär dessutom ett avtal om uppdragshantering enligt artikel 28 i GDPR. En leverantör som inte tillhandahåller ett sådant avtal kan inte komma i fråga.

FHIR-kompatibilitet. Fråga om plattformen stöder FHIR R4, eftersom det är den interoperabilitetsstandard som gematik har fastställt för ePA (gematik). Ta reda på via vilket gränssnitt dokumenten överförs till ePA och vilket av de stödda formaten – PDF, XML eller JSON – som leverantören använder.

Integrationsnivå. Ta reda på om ni endast får en enkel inloggning (Single Sign-On) eller om det sker en verklig datasynkronisering tillbaka till ert mottagningsadministrationssystem. Båda alternativen är fullt giltiga, men kräver olika mycket arbete i det dagliga arbetet. Fråga konkret vilka uppgifter som flödar i vilken riktning.

Kliniksystem (KIS). Om ni är anslutna till ett sjukhus ska ni uttryckligen fråga efter ORBIS och i.s.h.med. Dessa båda system kräver uttryckligen att klinikens inköpsteam nämns vid namn. Se till att få en skriftlig bekräftelse på att en befintlig integration finns innan ni undertecknar avtalet. Även Physitrack inte ORBIS och i.s.h.med som offentligt dokumenterade integrationer och rekommenderar själv att man i förväg klargör detta skriftligen.

DiGA-avgränsning. Fråga direkt om leverantören har DiGA-status enligt §139e SGB V och är upptagen i BfArM-registret. Blanda inte ihop detta med ePA-kompatibilitet. En leverantör som inte ger ett tydligt svar här blandar ihop två olika regelverk.

Om ni inte får något tydligt skriftligt svar på någon av dessa frågor, betrakta tystnaden som ett svar. Den som har en certifiering skickar certifikatet på två minuter.

Jämförelse av plattformar: Physitrack, Caspar Health, Wibbi och ExorLive i korthet

I tabellen nedan tillämpas de fem urvalskriterierna från denna vägledning på fyra plattformar. Om en plattform inte offentligt dokumenterar ett kriterium anges ”inte offentligt dokumenterat”. Detta är en anmärkning om transparens, inte ett negativt omdöme. Att dokumentation saknas innebär inte att funktionen saknas, utan att ni bör begära en skriftlig bekräftelse av denna innan avtalet ingås.

Kriterium Physitrack Caspar Health Wibbi (tidigare Physiotec) ExorLive
ISO 27001 Dokumenterat Dokumenterat enligt ISO 27001:2017 Ej offentligt dokumenterat Ej offentligt dokumenterat
ISO 13485 / CE Dokumenterat enligt ISO 13485 + CE Ej offentligt dokumenterat Ej offentligt dokumenterat Ej offentligt dokumenterat
EU:s datalagring dokumenterad Angett som EU-värd, begär AVV Platsen anges inte offentligt Ej offentligt dokumenterat Ej offentligt dokumenterat
FHIR / HL7 FHIR- och HL7-lagren dokumenterade Dubbelriktade KIS-gränssnitt, FHIR ej specificerat Ej offentligt dokumenterat Ej offentligt dokumenterat
ePA-anslutning dokumenterad Positioneras som ett FHIR/HL7-lager, gör inte anspråk på TI-Konnektor-certifiering Ej dokumenterat Ej dokumenterat Ej dokumenterat
DiGA-status Ingen DiGA-status, finns inte med i BfArM:s förteckning Ingen DiGA-status; DRV-erkännande som digitalt eftervårdscentrum Ej offentligt dokumenterat Ej offentligt dokumenterat
Särskilt lämpligt för Kliniker och mottagningar med dokumenterat behov av regelefterlevnad och inriktning på HEP DRV – rehabilitering, eftervård och slutenvårdsrehabilitering (Källhänvisningar saknas i offentliga källor) (Källhänvisningar saknas i offentliga källor)

Caspar Health förtjänar en närmare granskning, eftersom dess styrka ligger på ett annat område än hos de övriga aktörerna. Caspar Health uppfyller kraven i ISO 27001:2017 för informationssäkerhet och erhöll den 1 januari 2022 ett permanent godkännande från den tyska pensionsförsäkringen (DRV) som digitalt eftervårdscenter. Med över 260 partnerkliniker och mer än 1 100 KTL-relevanta innehåll är Caspar Health tydligt inriktat på DRV:s rehabiliteringsuppföljning. Om ditt fokus ligger på rehabiliteringsuppföljning enligt DRV:s kriterier hör Caspar Health hemma på din kortlista. Företaget nämner dock inte någon ePA-anslutning eller TI-integration i sitt offentliga material.

När det gäller Wibbi och ExorLive fanns det i de granskade källorna inga offentligt dokumenterade uppgifter om certifieringar, datacentrets placering eller anslutning till ePA. Betrakta inte denna brist som ett skäl att utesluta dem. Begär istället in bevis direkt från leverantören, precis som beskrivs i föregående avsnitt. En leverantör som på begäran skriftligen tillhandahåller ISO-certifikat och uppgifter om datacentrets placering besvarar frågan. En leverantör som inte gör detta ger också ett svar.

Enligt de dokument som granskats här Physitrack den enda plattformen med dokumenterad certifiering enligt ISO 27001, ISO 13485 och CE-märkning samt ett utsett FHIR/HL7-lager. Certifikaten härrör från Physitracks egna jämförelsesidor och har inte granskats oberoende i de föreliggande källorna. Behandla därför även dessa uppgifter som alla andra och be om certifikatnumren och utfärdandedatumet.

Physitrack: Den certifierade plattformen för den tyska marknaden

Physitrack de fem urvalskriterierna i denna vägledning med dokumenterade bevis, inte med löften. Plattformen är certifierad enligt ISO 27001 för informationssäkerhet och ISO 13485 för kvalitetsledning av medicintekniska produkter, är CE-märkt som medicinteknisk produkt och drivs i enlighet med GDPR på infrastruktur som är hostad inom EU (jämförelse av företagslösningar). Det är just dessa två certifikat som ofta avgör utfallet i tyska IT-upphandlingsförfaranden redan före det första demonstrationsmötet, vilket riktlinjerna ovan har visat.

För ePA-integrationen Physitrack ett FHIR- och HL7-kompatibelt interoperabilitetslager som kopplas till befintliga kliniksystem och mottagningssystem istället för att ersätta dem (ePA-jämförelse). En inbyggd Epic-integration är dokumenterad, liksom integrationer med Jane, Intramed, Gensolve, Zanda, Nookal och Lyfe. Anslutningsnivån kan väljas i tre steg, från ren Single-Sign-On via SSO med PDF-uppladdning till djup datasynkronisering, som skickar tillbaka följsamhetsdata och frågeformulär till ert mottagningssystem.

Den kliniska grunden bakom dessa certifikat ger er ett argument som går utöver ren efterlevnad. Physitrack av 110 000 vårdgivare i över 180 länder, erbjuder mer än 18 000 övningar på 14 språk och har citerats i över 100 kliniska studier (jämförelse inom Enterprise-segmentet). Patientappen PhysiApp över tre miljoner nedladdningar och ett genomsnittligt betyg på 4,5 stjärnor.

Var man måste titta noga

Physitrack ingen DiGA-status i Tyskland och finns inte med i BfArM:s förteckning. Det finns därför ingen rätt till ersättning enligt §139e SGB V. Om er mottagning är beroende av en digital hälsoapplikation som ger rätt till ersättning utgör detta ett uteslutningsskäl, och ni bör noggrant överväga om ePA-kompatibilitet eller DiGA-ersättning egentligen är ert mål. De båda koncepten svarar på olika frågor.

En andra begränsning gäller sjukhusmiljön. ORBIS och i.s.h.med, de två sjukhusinformationssystem som tyska upphandlingsgrupper oftast efterfrågar, nämns inte som bekräftade integrationer i Physitracks offentliga dokumentation (ePA-jämförelse). Om er upphandling kräver en specifik anslutning till ORBIS eller i.s.h.med bör ni begära en skriftlig bekräftelse på detta innan avtalet ingås. Detta gäller alla leverantörer, inte bara Physitrack, och ingår i de frågor till leverantören som ni ändå bör ställa.

För vårdmottagningar och klinikavdelningar som prioriterar dokumenterade bevis på regelefterlevnad och söker en FHIR-kompatibel plattform med klinisk djup, uppfyller Physitrack denna vägledning i högre grad än de flesta alternativen på marknaden. De öppet angivna bristerna står inte i motsats till detta, utan är just anledningen till att ni själva bör granska dokumentationen innan ni undertecknar avtalet.

Sammanfattning: Checklista för val av programvara

Ta med dig den här checklistan till ditt nästa upphandlingsmöte. Den omvandlar de fem urvalskriterierna till kontrollerbara frågor som gör att alla leverantörer bedöms utifrån samma måttstock.

  • Är ISO 27001 dokumenterat? Begär certifikatet, inte bara ett uttalande. Utan ett verifierat ISMS misslyckas en plattform i många upphandlingar inom sjukvården redan innan den första demonstrationen.
  • Finns ISO 13485 och CE-märkning? Dessa intyg visar att kvalitetsledningssystemet uppfyller kraven för medicintekniska produkter och är ofta ett krav inom sjukvården.
  • Datalagring inom EU med AVV? Se till att datacentrets placering bekräftas i avtalet och teckna ett uppdragsbehandlingsavtal.
  • Har FHIR/HL7-kompatibiliteten bekräftats? ePA kräver FHIR R4. Kontrollera om plattformen kan integreras med ert KIS eller PMS och, vid användning inom sjukhusmiljö, om ORBIS eller i.s.h.med har bekräftats skriftligen.
  • Har ni klargjort integrationsgraden? Se till att skilja mellan Single Sign-On (SSO) med PDF-uppladdning och verklig datasynkronisering, så att integrationen passar in i er arbetsflöde.

Om att kunna styrka efterlevnad är er högsta prioritet uppfyller Physitrack kriterier bäst. Plattformen uppfyller kraven i ISO 27001, ISO 13485 och har CE-märkning, är hostad inom EU och ansluts till befintliga system via ett FHIR/HL7-lager. Du bör dock skriftligen kontrollera DiGA-statusen och konkreta ORBIS- eller i.s.h.med-anslutningar innan avtalet ingås.

Vanliga frågor om integrationen av ePA inom fysioterapin

Är jag som vårdgivare skyldig att integrera ePA?

Vårdgivare, däribland fysioterapeuter, har av gematik uttryckligen utsetts till målgrupp för integreringen av ePA. Från och med den 1 oktober 2025 måste vårdinrättningar integrera ePA i sin dagliga verksamhet. I praktiken innebär detta att er mottagning måste kunna få tillgång till journalen i samband med behandlingen, såvida inte patienten har invänt mot detta.

Vad kostar TI-anslutningen till telematikinfrastrukturen?

Källorna från gematik anger inga fasta avgiftsstrukturer för vårdgivares anslutning till TI, och kostnaderna beror på vilket program och vilken hårdvara ni väljer. Rådgör direkt med er leverantör om anslutningsenhet, kortläsare och löpande licenskostnader innan ni undertecknar ett avtal. En skriftlig kostnadsöversikt är den enda tillförlitliga grunden för er beräkning.

Vad är skillnaden mellan DiGA och ePA-kompatibel programvara?

En DiGA är en digital hälsoapplikation som är upptagen i BfArM:s register och som ersätts enligt §139e SGB V. ePA-kompatibilitet avser däremot om en programvara kan kommunicera med den elektroniska patientjournalen via FHIR och HL7. Physitrack ingen DiGA-status och finns inte med i BfArM-förteckningen, men positionerar sig som ett FHIR- och HL7-kompatibelt interoperabilitetslager för befintliga system.

Måste jag köpa ett nytt program eller räcker det med en uppdatering?

Det beror på om er nuvarande mottagningsprogramvara har ett dokumenterat FHIR- och HL7-gränssnitt samt en EU-datalagring som uppfyller GDPR-kraven. Om dessa bevis saknas räcker det oftast inte med en uppdatering. Begär skriftligen information från er nuvarande leverantör om ISO 27001-certifikat, datacentrets placering och ett uppdragbehandlingsavtal innan ni beslutar er för att byta leverantör.

Vilka certifikat bör min ePA-programvara kunna uppvisa?

ISO 27001 för informationssäkerhet betraktas i tyska upphandlingsförfaranden för sjukhus som ett strikt uteslutningskriterium, inte som en merit. ISO 13485 och CE-märkning tillkommer om programvaran klassificeras som medicinteknisk produkt. Physitrack sig i sin jämförelse som den enda plattformen med fullständigt dokumenterade certifieringar, vilket dock inte ersätter ett skriftligt framläggande av certifikaten.

Kevin Kaminyar
Global tillväxtchef