– APP-Plattformen: Apple App Store (IOS-Betriebssystem, iOS 18 oder höher); Google Play Store (Android-Betriebssystem, Android 12 oder höher)
– Patienten benötigen ein Smartphone oder ein Tablet-PC mit Internetzugang.
– Getestete Systeme: Apple: iPhone SE (2. Gen.), 11 Pro Max, 13, 13 Pro, 14 Pro; iOS 18: Android: Samsung Flip 1, Samsung A53 5G, Samsung A51, OnePlus Nord, Google Pixel 3, Google Pixel 6a, Nokia 9 – Betriebssysteme Android 12-14
– DiGA-Design: Das Standard-Design erlaubt eine voll funktionsfähige DiGA. Herstellerlogos u.ä. sind integierbar. Herstellerindividuelle Designs sind ebenfalls möglich, aber aufpreispflichtig.
Ihre DiGA ist serverbasiert. Das Frontend (auf Mobilphone oder Tablet) dient ausschließlich als Benutzeroberfläche für die Interaktion mit Patienten. Alle Inhalte und Logik liegen sicher im serverbasierten Backend.
Medien wie Videos werden geschützt gespeichert, werden zum Handy oder Tablet gestreamt und sind nicht vom Nutzer kopierbar (Diebstahlschutz). Die zentrale Datenhaltung ermöglicht weiterhin hohe Skalierbarkeit, Updates ohne Patientenbeteiligung und zuverlässige Datensicherheit durch professionelle Server-Backups und Wartung.
Frontend/Backend-Interaktion: Das Benutzer-Frontend sendet Anfragen (z.B. Datenübermittlung oder Abruf von Informationen) an das Backend und empfängt Ergebnisse, die zur Darstellung auf der Benutzeroberfläche verwendet werden.
Frontend (clientseitige Anwendung) -Benutzerschnittstelle (UI/UX): Die Benutzeroberfläche besteht aus grafischen Komponenten wie Buttons, Formularen und Menüs. Sie ermöglicht dem Nutzer, mit der App zu interagieren, z.B. durch Eingabe von Gesundheitsdaten.
Backend (serverseitige Anwendung) -Technologien (Elixir, Strapi, Keycloak, nginxSchnittstellen (API)):
– Sicherheit Das Backend wird durch ISO 27001 zertifizierte Organisationen verwaltet. Im Backend sind notwendige Technische und Organisatorische Maßnahmen umgesetzt, um die Datensicherheit zu gewährleisten (u.a. 256-elliptic curve Verschlüsseling, Brute-Force Detection, Session limits etc.). Ein White-Box-Penetrationstest mit manuellen Code-Reviews wurde gemäß BSI-Richtlinien durchgeführt, einschließlich Prüfung der OWASP-Top-10-Kriterien und bescheinigt ein hohes Sicherheitsniveau. – Für die Datenspeicherung werden sichere MySQL Datenbanken verwendet. Dabei sind App-Inhalte von gesundheits- und personenbezogenen Daten physisch getrennt und sind nicht öffentlich zugänglich.
– Datenbank: Für die Datenspeicherung werden sichere MySQL Datenbanken verwendet. Dabei sind App-Inhalte von gesundheits- und personenbezogenen Daten physisch getrennt und sind nicht öffentlich zugänglich.
– APIs: Das Backend stellt APIs zur Verfügung, die -bei Einverständnis des Patienten (Funktion vorhanden)- eine Interoperabilität mit der elektronischen Patientenakte ermöglichen. Dazu werden der FHIR-Standard sowie das MIO DiGA Toolkit der Kassenärztlichen Bundesvereinigung verwendet.
– Titelseite/Slider-Begrüßungsseiten/Marketing-Infos
– Testzugangsbereich für kostenlosen Blick in Ihre DiGA (für Ärzte und Interessenten)
– Registrierung/Anmeldung einschl. Wiederherstellung bei verlorenem Passwort
– Authentifizierung und Autorisierung gem. BSI TR-03161/BSI ORP.4.M22: Der Zugriff auf die App erfolgt über eine Kombination von Benutzername und sicherem Passwort (Passwortrichtlinie gemäß BSI ORP.4.M22)
– Die eingebaute 2-Faktor-Authentifizierung wurde gemäß BSI TR-03161 erstellt und wurde 2026 vom BSI-vorzertifiziert
– Weiterhin bietet Ihre DiGA eine Schnittstelle zur Gesundheits-ID-Authentifizierung, um eine sichere Anmeldung mittels der Gesundheits-ID der Gematik zu ermöglichen. Die GesundheitsID ist die sicherste Authentifizierungsmethode und nutzt Multi-Faktor-Authentifizierung (MFA), um die Identität der Nutzer durch mehrere Faktoren zu bestätigen.
– Basisdatenerfassung
– Einholen der aller regulatorisch vorgegenen Einverständniserklärungen einschl. jeweiliger Aufklärungstexte
– Einstellen der Erinnerungsfunktion
– Erste Individualisierung (zB über Anklicken von Diagnosen/Beschwerden mit anschließendem beschwerdespezifischem (Therapie-) Programmpfad)
– Ausfüllfunktion evidenzbasierter Frageninventare
Ihre DiGA kann mit verschiedenen Systemen interagieren bzw. Daten für deren Export vorbereiten
– Interoperabilität zur Abrechnung mit der GKV
– Interoperabilität mit der ePA: Gesundheitsbezogene Daten, wie Therapieverlauf und Therapieberichte können mittels FHIR-Format exportiert werden, um diese in die elektronische Patientenakte zu überführen.
– Automatische, anonyme Datenübernahme zur Erstellung des PMCS-Berichtes im Rahmen der PMS (mit widerrufbarem Einverständnis des Patienten)
– Schnittstelle zur Gesundheits-ID-Authentifizierung, um eine sichere Anmeldung mittels der Gesundheits-ID der Gematik zu ermöglichen
– Integrierte FHIR Standards (https://hl7.org/fhir/): Internationaler Standard für den einfachen, schnellen und interoperablen Austausch strukturierter Gesundheitsdaten zwischen verschiedenen IT-Systemen. Innerhalb des FHIR-Standards nutzen wir folgende Ressourcen:
—- Toolkit der KBV nach § 355 SGB V als Teil der elektronischen Patientenakte und zur vertragsärztlichen Datensichtung als auch zur Datenverwendung im Primärsystem des Vertragsarztes
—- FHIR Patient (https://www.hl7.org/fhir/patient.html) für die Darstellung der Nutzerdaten incl. Geschlecht, Geburtsdatum und die E-Mail-Adresse als „Telecom“ bzw. „FHIR Contact Point“
—- FHIR Condition (https://www.hl7.org/fhir/condition.html#condition) für die Diagnose und als Note die Informationen über Frequenz/Häufigkeit
—- FHIR QuestionnaireResponse (https://www.hl7.org/FHIR/questionnaireresponse.html) für die Antworten der Fragebögen
Automatische, anonyme Datenübernahme zur Erstellung Ihres PMCS-Berichtes im Rahmen der PMS (mit widerrufbarem Einverständnis des Patienten)
Das Standard-Design erlaubt die Umsetzung einer weitgehenden Barrierefreiheit der DiGA für Patienten mit Hörverlust, Bewegungsstörungen der Hand und/oder teilweisem Sehverlust.
– Intra-APP-Auswertung von Gesundheitsdaten und Berichtserstellung
– Eingaben der Nutzer im Rahmen des regelmäßigen Therapieberichts werden von der App automatisch anhand validierter Fragebögen berechnet und graphisch dargestellt.
– Automatische, anonyme Datenübernahme zur Erstellung des PMCS-Berichtes im Rahmen der PMS (mit widerrufbarem Einverständnis des Patienten)
– Im Rahmen der kontinuierlichen Datensicherheitsüberwachung werden Zugriffe auf die App gemonitored und geloggt
Heute-Bereich
– Short-Cut zur jeweils nächsten Therapiesitzung, nur diese ist zugänglich
– Die jeweils nächste Therapiesitzung ist erst nach vollständigem Abschluss einer laufenden Therapiesitzung und zugleich nach vollständigem Ablauf des Tages nach Mitternacht zugänglich.
– Graphische Anzeige des Sitzungsverlaufs
– Zugang zu allen bereits durchgeführten Therapiesitzungen
Berichte-Bereich
– Eingabe in evidenzbasierte Frageninventare durch Patienten;
– CGI-I und CGI-S (Clinical Global Impressions scale – Improvement, Severity) bereits vorinstalliert
– Intra-App-Auswertung
– Berichtserstellung, Druckoption und Interoperabilität mit der ePA
I & L-Bereich (Individualisierung und Learning)
– Zur Individualisierung des (Therapie-) Programms durch den Patienten
– Für Patienten-Learnings
– Wissensdatenbank zur Gesundheitsedukation
– Einfache Quizfunktion möglich
Menü-Bereich
Für Regulatorik und zur Freischaltungen von Funktionen
Konto
– Passwort
– Medizinischer Datenexport
– Persönlicher Datenexport
– Therapie beenden und Daten löschen
– Datenlöschung
Zustimmungen
– Erinnerungsfunktion
– Annahme Nutzungsbedingungen
– Einwilligung Datenverarbeitung, Erklärungstext
– Einwillung Gesundheitsdatenverarbeitung, Erklärungstext
Rechtliches
– Datenschutzrichtlinie
– AGB
– Impressum
– Fachinformation
– Nebenwirkungsmeldung
– Über uns
Produktinformationen
– Produktübersicht
– Indikationen
– Nebenwirkungen
– Gebrauchsinformation
– Gebrauchsanweisung
Medizinprodukt
– Name, Version, Hersteller, UDI
– Zweckbestimmung
Support
Ausloggen
Einstellung der Uhrzeit, zu der der Patient an die Nutzung der DiGA erinnert werden möchte
Zur Überwachung der Sicherheit und Funktionsfähigkeit der App sind Monitoring und Loggingkonzepte entwickelt und implementiert worden:
– Das Loggingsystem unterstützt die Echtzeitüberwachung und erfasst sicherheitsrelevante Ereignisse wie unbefugte Zugriffsversuche, ungewöhnliche Verbindungsmuster oder Systemanomalien unmittelbar.
– Auch das Backend kann dauerhaft überwacht werden (die Überwachung selbst ist kostenpflichtig), um Änderungen am Produkt zu überwachen.
– Audit-Trails gewährleisten Nachvollziehbarkeit, und TLS-Verschlüsselung sichert die Log-Übertragung vor Manipulationen.
– Das System kann Nutzer davor warnen, wenn die Sicherheit ihres Endgerätes die Sicherheit der App-Daten gefährden könnte (veraltete Betriebssysteme, Jailbreak, etc.)
