Die RISE ePA ist seit 2021 – der Stunde Null der ePA im deutschen Gesundheitssystem – bei über 80 gesetzlichen Krankenkassen etabliert. Die Allianz trat 2022 als erste deutsche private Krankenversicherung mit der RISE ePA in den Markt ein. Gegenwärtig sind vier private Krankenversicherer mit der RISE ePA live, zahlreiche weitere Krankenversicherungen stehen vor ihrem Markteintritt.

Wir bieten sowohl marktetablierte Lösungen für GKVen als auch für PKVen.

Formale und fachliche Unterschiede erfordern spezifische Lösungen. Wir von der RISE statten seit 2021 – der Stunde Null der ePA – GKVen und seit 2022 PKVen mit zugelassenen TI-Produkten aus. Die elektronische Patientenakte (kurz: ePA) – die Kernanwendung im deutschen Gesundheitssystem, ist konfigurierbar ausgeführt – wahlweise optimiert für GKVen oder für PKVen.

Das für die branchenspezifische Produktentwicklung notwendige Versicherungsdomänenwissen ziehen wir aus unserer täglichen Arbeit im Austausch mit unseren Kunden, deren Fachverbänden und der intensiven Gremienarbeit in zahlreichen Arbeitsgruppen mit den Regulatoren.

Sowohl als auch.

Es ist gelebte Routine, unterschiedliche App-Strategien mit und für unsere Kunden zu realisieren. Das Spektrum der Integrationsmöglichkeiten reicht von der solitären White Label TI-App bis hin zu vernetzten Anwendungs-Portfolios. Selbst hochambitionierte Versicherungen, welche die TI-Anwendungen in ihre Anwendungen (Host-Apps) integrieren möchten, stehen standardisierte Integrationsmöglichkeiten zur Auswahl.

Die Grundlage hierfür bildet ein Baukastensystem – das konsequent modularisierte RISE App-Framework. Damit können TI-Anwendungen wie die ePA in unterschiedliche Host-Apps, z. B. in versicherungseigene Apps, integriert werden.

Ja, die ePA-White-Label-App kann durchgängig und umfassend gebrandet werden. Hierfür steht Ihnen ein Branding-Tool zur Verfügung.

Mit dem Branding-Tool machen Sie die ePA-White-Label-App zu Ihrer ePA im Corporate Design Ihres Unternehmens. Farbschema, Bilderwelt, ausgesuchte Textressourcen, Vernetzung mit Ihrem Service-Portfolio und funktionale Konfiguration können Sie im Branding-Tool komfortabel über eine Benutzeroberfläche umsetzen. Coding ist hierfür nicht notwendig.

Mit der Live-Vorschau bekommen Sie einen lebhaften Eindruck vom Branding. So können Sie Stil-Varianten ohne aufwändiges Prototyping direkt im Branding-Tool ausprobieren und finalisieren. Zeitaufwändige Abstimmungen und manueller Datenaustausch entfallen.

Das Branding-Tool ist eine Webapplikation und kann direkt über Webbrowser genutzt werden.

Sie können aus einem Spektrum von stark standardisierten Lösungen bis hin zu stark kundenspezifischen Ausführungsformen wählen. Dazwischen liegen eine Reihe standardisierter Wahlmöglichkeiten für Ausführungsvarianten der Themenkomplexe Frontend, Backend, Anbindungsarchitektur, Schnittstellen, Entwicklung und ITSM/Support (Versicherungs-Helpdesk). Die Anpassungsmöglichkeiten reichen vom durchgängigen App-Branding bis zu funktionalen Erweiterungen im großen Stil.

Ja, Sie können aus einem Bündel standardisierter Zusatzanwendungen, so genannten ePA+Anwendungen, wählen. Die Palette reicht von medizinischen Schwerpunkttagebüchern über Impfpass-Erweiterungen und Online Check-in bis hin zum Thema Vorsorge. ePA+ Zusatzanwendungen werden als Module in der TI-App aktiviert und sind zusammen mit der ePA in einer App für Ihre Versicherten verfügbar.

Darüber hinaus lassen sich auch versicherungsspezifische Anwendungen in die TI- bzw. ePA-App integrieren.

So können Sie sich Ihr Service-Portfolio zusammenstellen und Ihre Strategie realisieren.

Ja.

Das E-Rezept ist wahlweise als vollintegriertes Modul in der RISE-TI-App zusammen mit anderen aktivierten Modulen, beispielsweise der ePA, verfügbar.

User Experience und Usability haben einen großen Stellenwert.

Der Produktentwicklungsprozess erfüllt sämtliche regulatorische Konformitätsanforderungen für die Telematikinfrastruktur. Das umfasst Maßnahmen zur Umsetzung und Prüfung der Barrierefreiheit und Accessibility gemäß BIT-V 2.0 (Barrierefreie-Informationstechnik-Verordnung), EN 301549, EN 301 549 / WCAG 2.1. und Regularien zur Ergonomie der Mensch-Maschinen-Interaktion (Nutzerfreundlichkeit) gem. DIN EN ISO 9241-171. Der User-Centered-Design-Prozess wurde auditiert und mit dem UIG-Siegel als Nachweis nutzerzentrierter Produktentwicklung ausgezeichnet.

Ja, auf Ihren Wunsch integrieren wir Drittanwendungen in die ePA- bzw. TI-App regularienkonform.

Mit einem Vorprojekt.

Wir haben sehr gute Erfahrungen bei zahlreichen Vorprojekten mit privaten und gesetzlichen Krankenversicherern. In etwa sechs bis acht Wochen Durchlaufzeit schaffen wir ein gemeinsames Verständnis für Ihr Vorhaben, wägen Varianten ab, fixieren eine Anbindungsarchitektur und Sie treffen Richtungsentscheidungen – faktenbasiert und auf der Grundlage unserer langjährigen Erfahrung in der Telematikinfrastruktur. So gehen Sie sehenden Auges in Richtung Integrationsvorhaben.

Die Bandbreite ist groß – die Größenordnungen der Vorhaben variieren stark. So wickeln wir beispielsweise stark standardisierte TI-Projekte in nur wenigen Monaten ab. Man kann also mit einem durchdachten Start groß durchstarten. Das ist realistisch, aber kein zwingender Plan.

Der Aufwand des Vorhabens hängt primär von der Ambition des Auftraggebers ab. Als Auftraggeber haben Sie die Wahl zwischen stark standardisierten und hoch individualisierten Varianten – und das auf vielen Ebenen: in der Anbindungsarchitektur, der Front-End-Integrationsvariante, der Wahl der Schnittstellen, der Betriebs-Konstellation, dem ITSM- bzw. dem Service-Design und vor allem in der Wahl zwischen der Verwendung standardisierter RISE-Produkte und der eigeninitiativen Implementierung diverser TI-assoziierter Funktionalitäten. Als Interessent können Sie so an zahlreichen "Stellschrauben" drehen, und damit die Größenordnung des Vorhabens bestimmen.

Mit diesen Gestaltungsmöglichkeiten lassen sich in der Praxis auch mehrphasige Vorhaben mit facettenreichen Ausbauszenarien realisieren.

Der Regulator unterscheidet grundsätzlich zwischen zwei Zulassungsverfahren – der Produktzulassung und der Anbieterzulassung.

TI-Produkte der RISE, einschließlich der ePA, sind geprüft und zugelassen gemäß dem Produktzulassungsverfahren. Diese Zulassungen unterliegen einer strengen Regulierung durch die gematik, BSI u.a.m. Die kontinuierliche Weiterentwicklung erfordert regelmäßiges routiniertes Durchlaufen dieser Prüf- und Zulassungsverfahren. Durch die richtungsweisende Mitwirkung an der Architektur der Telematikinfrastruktur und dem übergreifenden Sicherheitskonzept seit der Geburtsstunde der gematik, konnten wir von der RISE von Anbeginn optimale organisatorische und technische Voraussetzungen für ein effektives Prüf- und Zulassungsökosystem und eine auf die Telematikinfrastruktur ausgerichtete Architektur schaffen. Unsere Kunden profitieren von einem eingespielten robusten Zulassungsökosystem.

Krankenversicherer müssen als ePA-Anbieter sinngemäß die Anbieterzulassung durchlaufen. Je nach gewählter Implementierungsvariante kann für Krankenversicherer auch die Produktzulassung relevant werden. Diese Variante wird aber gegenwärtig seltener von Versicherungen gewählt.

RISE deckt alle drei von der gematik spezifizierten Betriebs- und Support-Konstellationen (Versicherten-Helpdesk) ab.

Unser Unternehmen verfolgt aktiv gesetzliche und regulatorische Entwicklungen, um die ePA-Lösung stets auf dem aktuellen Stand zu halten. Dafür setzen wir auf:

• Kontinuierliches Monitoring der Anforderungen der gematik, sowie referenzierte Gesetzesänderungen, Richtlinien und Verordnungen.
• Zusammenarbeit mit Experten, um Neuerungen zeitnah zu bewerten und zu implementieren.
• Regelmäßige Updates, um sowohl Konformität mit Anforderungen als auch technische Sicherheit sicherzustellen.
• Transparente Kommunikation: Nutzer und Partner werden über relevante Änderungen und deren Auswirkungen informiert.
• Beobachtung des Marktes: Anforderungen des Marktes sowie Rückmeldungen der Nutzer werden laufend im Rahmen eines aktiven Produktmanagements geprüft, bewertet und zusätzlich zu den gesetzlichen und regulatorischen Anforderungen in der Produktentwicklung berücksichtigt.

Unsere ePA-Lösung wurde so konzipiert, dass sie sich nahtlos in bestehende IT-Systeme im Gesundheitswesen integrieren lässt. Dies geschieht über:

• Bereitstellung der Komponenten als Software as a Service: RISE stellt alle notwendigen Komponenten als SaaS-Lösung bereit, konfiguriert diese mandantenspezifisch und stellt gemeinsam mit dem Kostenträger die Anbindung an die Bestandssysteme sicher.

• Standardisierte Schnittstellen: Wir setzen auf etablierte Standards wie REST-APIs (Representational State Transfer) und OIDC (OpenID Connect), um einen sicheren und interoperablen Datenaustausch mit den Systemen der Kostenträger und weiteren Beteiligten zu ermöglichen. Dazu hat RISE Standard-Integrationsvarianten entwickelt, unter denen der Kostenträger im entsprechenden Kontext wählen kann. So wird eine Anbindung effizient und dennoch flexibel handhabbar.

• Medizinische Informationsobjekte (MIO) und strukturierte Datenformate: Die ePA unterstützt die standardisierten MIOs der gematik bzw. der KBV, die eine einheitliche und strukturierte Datendarstellung und -nutzung ermöglichen.

• Kompatibilität mit TI 2.0: Die ePA ist gemäß Anforderungen der gematik vollständig in die Telematikinfrastruktur (TI) integriert und ermöglicht die Kommunikation mit allen relevanten Akteuren im Gesundheitswesen.

Für die Integration der ePA im Leistungserbringerkontext sind folgende Komponenten und Schnittstellen erforderlich:

• Anbindung an PVS: Die im ePA-Kontext definierten Schnittstellen erlauben die Integration in Praxisverwaltungssysteme (PVS), Krankenhausinformationssysteme (KIS) und Apothekensoftware (AVS) gemäß gematik-Implementierungsleitfaden.

• gematik-Implementierungsleitfaden: Der Zugriff auf das ePA-Aktensystem erfolgt gemäß den Spezifikationen der gematik, die alle relevanten Schnittstellen und Protokolle festlegt.

• TI-Anbindungen: Konnektor, Highspeed-Konnektor und TI-Gateway ermöglichen die sichere Verbindung zur Telematikinfrastruktur (TI) und authentifizieren den Leistungserbringer.

• Authentifizierung des Leistungserbringers: Für den Zugriff ist die Authentifizierung über den elektronischen Heilberufsausweis (eHBA) oder die SMC-B-Karte erforderlich.

• FHIR-basierte Schnittstellen: Die ePA nutzt FHIR (Fast Healthcare Interoperability Resources) als Standard für den Datenaustausch, um die Interoperabilität sicherzustellen.

Unsere ePA-Lösung wird gemäß aktuellsten Datenschutz- und Sicherheitsstandards entwickelt und betrieben. Wir orientieren uns strikt an der Datenschutz-Grundverordnung (DSGVO) sowie den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der gematik. Dies umfasst unter anderem:

• Umsetzung gemäß einem "sicheren Entwicklungsprozess" beginnend mit dem Anforderungsmanagement, der Analyse über das Design und Architektur, hin zur Umsetzung und Betriebsführung zur Sicherstellung der durchgängigen Betrachtung der Vorgaben.

• Regelmäßige Sicherheits- und Penetrationstests zur Identifizierung und Behebung potenzieller Schwachstellen.

• Verschlüsselung der Daten sowohl im Ruhezustand als auch während der Übertragung.

• Zertifizierte Rechenzentren mit Sitz in Deutschland, die aktuellste Sicherheitsanforderungen erfüllen.

• Audits und externe Prüfungen im Zulassungsprozess, um die Einhaltung aller gesetzlichen Vorgaben sicherzustellen.

Um die DSGVO-Compliance sicherzustellen, setzen wir für die ePA anforderungsgemäß umfangreiche Datenschutzmaßnahmen um:

• Privacy by Design und Privacy by Default: Datenschutz ist von Beginn an in die Entwicklung integriert, und Voreinstellungen sind datenschutzfreundlich gestaltet.

• Zugriffsbeschränkungen: Nur autorisierte Personen haben Zugriff auf die Daten der ePA, basierend auf einem rollenbasierten Berechtigungssystem.

• Minimierung und Pseudonymisierung: Wo möglich, werden personenbezogene Daten minimiert oder pseudonymisiert.

• Transparente Datenverarbeitung: Patienten können jederzeit Einblick in die Zugriffe und die Nutzung ihrer Daten nehmen.

• Recht auf Löschung und Berichtigung: Nutzer können ihre Daten gemäß den DSGVO-Richtlinien verwalten.

Wir setzen technische und organisatorische Maßnahmen (TOM) um, die eine DSGVO-konforme Verarbeitung sicherstellen. Ein besonderes Augenmerk liegt dabei auf:

• Datenverschlüsselung: Alle personenbezogenen Gesundheitsdaten werden nach dem Stand der Technik behandelt, so sind alle Datenwege transportverschlüsselt bzw. werden moderne Verschlüsselungsverfahren geschützt.

• Zugriffsprotokollierung: Jede Nutzung und jeder Zugriff auf die ePA wird protokolliert und ist für die betroffenen Personen einsehbar.

• Umsetzung eines komponentenbezogenen Löschkonzepts: Krankenversicherungen können die Datennutzung gemäß Löschkonzept über die ePA-Komponenten hinweg ausschließlich zum Verwendungszweck sicherstellen.

• Regelmäßige Sicherheits- und Penetrationstests im Rahmen der notwendigen Zulassungen.

Der Zugriff auf die ePA erfolgt über ein mehrstufiges Sicherheitskonzept:

• GesundheitsID und eID-Integration: Nutzung der elektronischen Identität (z. B. eID-Funktion des Personalausweises bzw. die elektronische Gesundheitskarte) für eine sichere Identifikation und Authentifizierung (GesundheitsID).

• Zwei-Faktor-Authentifizierung (2FA): Für den Zugriff sind zwei unabhängige Identifikationsmerkmale erforderlich.

• Feingranulare Zugriffsrechte: Patienten können selbst festlegen, welche Leistungserbringer (z. B. Ärzte oder Apotheken) auf welche Daten zugreifen dürfen.

• Zugriff im Leistungserbringerumfeld über Konnektor und Heilberufsausweis: nur in der TI angemeldet und autorisierte Personen bzw. Organisationen können gemäß Zugriffskonzept auf die Daten in der ePA zugreifen, der sichere Zugriff aus dem Leistungserbringerkontext wird über Konnektor/Highspeed-Konnektor/TI-Gateway und Heilsberufsausweis abgesichert.

Partnerschaft auf Augenhöhe: Faire Preismodelle für flexible und langfristige Kooperationen.

Kundennähe & Mitgestaltung: Konsortiale Entwicklung und regelmäßiger Austausch in Produkt- und Arbeitsgruppen.

Skalierbare Lösungen: Passgenaue Angebote für Unternehmen jeder Größe – von Großkonzernen bis hin zu KMU.

Aus einer Hand: Software, Betrieb (eigene Rechenzentren) und Wartung mit langfristig gesicherter, regionaler IT in Österreich und Deutschland.