Digitale
Gesundheits-
anwendungen
DIGA ENTWICKLUNG
Wir unterstützen bei Planung, Umsetzung, Zulassung und Betrieb Ihrer DiGA
DiGAs können Patienten eine bestmögliche Behandlung sowie eine Vereinfachung des Alltags ermöglichen. Die Anwendungen können als Digitale Gesundheitsanwendungen von der gesetzlichen Krankenversicherung erstattet werden. Hierzu wurde das Digitale-Versorgung-Gesetz (DVG) verabschiedet und am 19.12.2019 in Kraft gesetzt. Ziel ist die Verbesserung der Versorgung der Versicherten durch eine noch stärker datengetriebene Gesundheitsversorgung. Es wird hier auch oft von “App auf Rezept” gesprochen – einem von mehreren Bausteinen auf dem Weg zu einem System, das von Patienten, als auch Ärzten und Wissenschaftlern genutzt werden kann. So soll mithilfe der erhobenen Daten eine bestmögliche Versorgung und Erforschung von Erkrankungen und sonstigen Einschränkungen ermöglicht werden.
Wir entwickeln für Sie medizinische Apps und Backends, die optional auch mit körpernaher Sensorik oder Diagnostik interagieren können.
Wir erfüllen dabei die strengen Anforderungen an Medizinprodukte und die regulatorischen Anforderungen vom Fast-Track-Verfahren für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V.
Planung
Wir besprechen Ihre aktuelle Situation und ihre kurz, mittel- und langfristigen Ziele.
Wir bringen die Erfahrung mehrerer DiGA-Umsetzungen in die Planung mit ein. So adressieren wir notwendige Themen betreffend Zulassung, der DSGVO-Konformität, App Store Reviews, Sicherheit und Interoperabilität bereits frühzeitig.
So vermeiden wir Risiken, senken Kosten und beschleunigen die Entwicklung.
Entwicklung
Haben Sie bereits ein Entwicklungsteam, welches wir auf dem Weg zur DiGA unterstützen und beraten sollen. Oder suchen Sie ein eingespieltes Expertenteam, welches Ihre Idee einer DiGA zum Leben erwecken soll?
Wir bieten die Expertise eines eingespielten Teams aus Softwareentwicklern, die bereits mehrere DiGAs umgesetzt haben.
Für viele DiGA-Herausforderugen besitzen wir bewährte Lösungsansätze. Für Themen wie DiGA-Abrechnung und Penetration Tests besitzen wir fertige Lösungskomponenten.
Zulassung
Der Weg bis zur Zulassung beinhaltet eine Vielzahl von Anforderungen, welche nach Einreichung sorgfältig vom BfArM geprüft werden. Da wir diesen Prozess bereits mehrfach gemeinsam mit unseren Kunden durchlaufen haben, wissen wir, worauf es hierbei ankommt.
Über relevante Änderungen der Rechtslage informieren wir uns regelmäßig und bringen das Wissen in die Entwicklung mit ein.
Die Themen Softwarequalität, Datenschutz, Interoperabilität und Sicherheit des Fast-Track Verfahrens können wir für Sie abdecken.
Betrieb
Nachdem der Aufnahme in das DiGA-Verzeichnis, findet ihren Anwendung den Weg zu den Ärzten, Patienten und Wissenschaftlern.
Wir entwickeln so, dass Sie falls gewünscht den Betrieb und Wartung selbstständig übernehmen können und keine ungewünschten Abhängigkeiten entstehen.
All Komponenten sowie unsere Entwicklungsprozesse setzen auf etablierte Standards und können so auch ohne unsere Unterstützung von Ihnen betrieben werden.
Darüber hinaus bieten wir natürlich auch an, Betrieb und Wartung für Sie vollständig zu übernehmen.
Unser Team ist eingespielt und hat bereits verschiedene DiGAs von Planung bis Zulassung entwickelt.
ERSTBERATUNG
Lernen Sie uns und unsere Prinzipien in einem kurzen Gespräch kennen!
REFERENZEN
Von uns entwickelte Digitale Gesundheitsanwendungen (DiGAs)
Apps
iOS, Android und Web Apps
Das Frontend ist der Teil des Systems, der für die Patienten, Ärzte, Wissenschaftler und sonstige Nutzer sichtbar ist und Interaktion ermöglicht.
Wir nutzen als Technologie regelmäßig Flutter, um native Apps zu erzeugen. Dies hat den Vorteils, dass Code nur einmal geschrieben und gewartet werden muss – mit entsprechenden Kosten- und Zeitvorteilen. Auch tiefe Hardwareintegration, die Verwendung nativen Codes oder die Nutzung von Bluetooth Low Energy zur Kommunikation stellt kein Problem dar.
Accessibility
Die DiGAV fordert, dass Apps für Menschen mit verschiedenen körperlichen Beeinträchtigungen nutzbar ist.
Wir berücksichtigen von der ersten Minute das Umschalten auf Darstellung mit hohem Kontrast, dynamischer Skalierbarkeit von Text und Benutzeroberflächen und Screen Reader Funktionalität.
Mehrsprachigkeit
Wir bereiten Apps von der ersten Stunde auf den mehrsprachigen Einsatz vor. Dies verursacht keine Zusatzaufwände.
Wir bieten Ihnen eine benutzerfreundliche Website für das Erstellen von Übersetzungen und die Anpassung von Texten, so dass diese auch während des Entwicklungsprozesses unkompliziert von Ihnen oder professionellen Übersetzern angepasst werden können.
Studien
Für die Einreichung als DiGA muss ein positiver Versorgungseffekt evidenzbasierten nachgewiesen werden.
Regelmäßig implementieren wir Studienmodi, so dass die App nicht nur als DiGA, sondern auch zur Gewinnung von Studiendaten genutzt werden kann.
Wir integrieren konfigurierbare Fragebögen und senden diese regelmäßig mit erhobenen Nutzungs- und Messdaten in ein Cloud-System zur Auswertung.
Eine Integration in Studien-Managementsysteme ist per API möglich.
User Experience
Die DiGAV fordert, dass die App-Store Richtlinien von Apple und Google eingehalten werden. Wird von den Design-Richtlinien abgewichen, muss die Benutzbarkeit über Nutzerstudien nachgewiesen werden.
In unserem eingespielten Expertenteam befinden sich UX-Designer, die bereits verschiedene DiGAs und andere Gesundheitsanwendungen konzipiert haben.
Hardware
Anbindung körpernaher Sensorik oder von Medizintechnik zur Diagnostik
Bluetooth Low Energy
Wir setzen gerne auf Bluetooth Low Energy für die Anbindung von Hardware
Schnittstellen
Uns ist es möglich, bestehende (auch proprietäre) Schnittstellen (auch proprietäre) anzubinden, oder aber eine neue Schnittstelle zu realisieren.
Custom oder White Label
Wir sind in der Lage, eingekaufte, fertige Hardware anzubinden. Auch in der Anbindung an eigens entwickelte Hardware sind wir versiert.
Interoperabilität
Die DiGAV schreibt die Interoperabilität bei Hardware vor. Wir erklären, wie sie diese Anforderung optimal und kosteneffizient erfüllen können.
Verschlüsselung
Die DiGAV fordert, dass Sensorik und Diagnostik nur über verschlüsselte Kanäle mit Begleitapps kommuniziert. Dies haben wir bereits mehrfach erfolgreich umgesetzt.
Authentisierung
Die DiGAV fordert, dass Apps und Sensorik sich wechselseitig authentisieren. Wir haben bewährte Strategien, sowohl für eigens entwickelte Hardware, als auch eingekaufte fertige Hardware.
Security
Penetrations-Tests, Mitigation und dauerhafte Absicherung
Pentest
Die DiGAV schreibt vor, die Sicherheit der Lösung durch einen Penetrations-Test zu überprüfen, die Ergebnisse zu dokumentieren und Schwachstellen zu beseitigen.
Wir folgen den Best Practices des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Open Web Application Security Projects® (OWASP).
Mitigation
Wir werten die gewonnenen Daten des Pentests aus, schlagen Optionen zur Mitigierung vor und stehen selbstverständlich auch zur Implementierung der benötigten Härtungen bereit.
Unser Wissen erstreckt sich dabei auf viele Ebenen der Softwaresysteme, von Applikations-Konfiguration über Cluster-Setup bis hin zur Einführung neuer Netzwerkkomponenten.
Automatisierung
Nachdem akute Schwachstellen beseitigt wurden ist es wichtig, diesen Zustand auch in Zukunft beizubehalten. Daher setzen wir vorwiegend auf reproduzierbare und automatisierbare Prozeße, die wiederkehrend ausgeführt werden und zeitnah auf mögliche Schwachstellen aufmerksam machen.
Dauer-Analyse
Neben der manuellen Analyse setzen wir eine ganze Bandbreite an automatisierten Schwachstellenscannern ein. Diese reichen von der statischen Codeanalyse im SAST-Bereich über Black-Box Vulnerability Scans (DAST) bis hin zur automatischen Analyse aller verwendeten Drittpartei-Bibliotheken. Dabei werden die verwendeten Software-Libraries mit internationalen Schwachstellendatenbanken (z.B. NIST NVD) abgeglichen.
Cloud
Backends für Datenspeicherung, Benutzermanagement, Abrechnung und Studien
Kubernetes
Wir setzen auf Kubernetes zur Orchestrierung Docker-basierter Backends. Die Cluster erzeugen und betreiben wir selbst auf in Europa gehosteter Infrastruktur.
Standort Deutschland
Das BfarM fordert den Einsatz DSGVO konformer Infrastruktur. Aufgrund aktueller Urteile des EuGH zum EU Privacy Shield ist ein Einsatz amerikanischer Dienstleister nicht gestattet. Wir nutzen daher Rechenzentren deutscher Anbieter.
Zertifikatsmanagement
Die für Transportverschlüsslung notwendigen Zertifikate erzeugen und verlängern wir automatisch mit bewährten Standardkomponenten.
Auditierbarkeit
Die DiGAV fordert, dass die Änderung von personenbezogenen Daten nachvollziehbar ist. Wir nutzen Standardkomponenten, um Datensätze in Datenbanken zu versionieren.
Trennung Abrechnung / Datenhaltung
Die DiGAV schreibt vor, dass Gesundheitsdaten getrennt von personenbezogenen Daten aufzubewahren sind. Die Verarbeitung muss organisatorisch getrennt sein. Hierfür bieten wir etablierte Lösungsansätze.
Löschkonzept
Daten müssen auf Wunsch des Nutzers gelöscht oder anonymisiert werden. Nach Ende von Aufbewahrungsfristen müssen Daten zuverlässig gelöscht werden. Auch hier bringen wir die Erfahrung aus verschiedenen DiGAs ein.
Identity Management
Das BfarM fordert die Verwendung standardisierter Authentifizierungskomponenten.
Wir bieten eine bewährte Architektur auf Basis eines standardisierten OAuth2 & OpenIdConnect Authentifizierungsservers.
Access Management
Das Berechtigungsmanagement kann feingranular auf Basis von Rollen, Ressourcen (z.B. Studien), Benutzergruppen und Zugangsvektoren (App/Web/API) erfolgen.
Einzelnen Nutzern, Gruppen oder auch APIs kann spezifisch der Zugriff gewährt oder entzogen werden.
Wir empfehlen ein bewährte Modell, das den sinnvollen Ausgleich zwischen Mächtigkeit und Komplexität schafft.
Benutzerverwaltung
Die von uns empfohlenen Authentifizierungskomponenten beinhalten ein web-basiertes Benutzermanagement, welches auch durch den Customer Support genutzt werden kann.
Email Verifikation, Password-Resets, Pflege persönlicher Daten und Lizenzverwaltung werden durch standardisierte und kryptografisch gesicherte Abläufe abgedeckt.
Abrechnung
Validierung, Einreichung und Abrechnung von DiGA-Codes as a service
Nachdem der behandelnde Arzt eine digitale Gesundheitsanwendung verschreibt, erhält der Patient einen DiGA-Freischaltcode von seiner Krankenkasse.
Die App validiert diesen Code und gestattet danach den Zugriff auf die Funktionen der Gesundheitsanwendung.
Zur Validierung und Abrechnung bietet jede gesetzliche Krankenkasse eine API. Somit müssen über 200 APIs mit teils unterschiedlichen, vom Standard abweichenden Implementierungen, angesprochen werden.
Zur unkomplizierten Anbindung an die Abrechnungssysteme betreiben wir einen Dienst, der die Anbindung an die Abrechnungssysteme konsolidiert und somit deutlich Zeit und Kosten einspart.
Interoperabilität
Die DiGAV fordert, dass Patienten über ihre in der DiGA gespeicherten Informationen in einem interoperablen Format verfügen können.
Interoperabel
Im Kontext von medizinischen Anwendungen bedeutet Interoperabilität, dass der Konsument eines Datensatzes nicht nur syntaktisch, sondern auch semantisch vollständig interpretieren kann. Dazu benötigt es auch medizinische Terminologie, welche die Daten eindeutig zuordnet. Dazu zählen z.B. SNOMED-CT oder LOINC.
Auch verwendete Einheiten müssen eindeutig beschrieben werden, beispielsweise mit UCUM.
HL7 FHIR
Ein selbst entwickeltes Datenaustauschformat mit Hilfe von CSV, JSON oder XML ist regelmässig für die Anforderungen einer DiGA nicht ausreichend.
HL7 FHIR hat sich als bewährtes Format des interoperablen Datenaustauschs bewährt und wird bei der großen Mehrheit der gelisteten DiGAs als Exportformat verwendet.
Wir verwenden branchenübliche Werkzeuge, um dieses Format zu erzeugen und übernehmen selbstverständlich auf Wunsch auch die Integration in Ihre App.
Registries
Um einen reibungslosen Austausch von Daten zu ermöglichen wird eine Veröffentlichung der definierten Austauschformate benötigt.
Dies übernehmen im Universum von HL7 FHIR sogenannte Registries, die zentral eine sehr große Vielfalt an Austauschformaten vorhalten.
Wir erledigen die Listung in die gängigen Registries wie z.B. Simplifier und sorgen für die Eintragung in das vesta-Interoperabilitätsverzeichnis der Gematik. Die vesta-Listung ist eine zwingende Notwendigkeit zur Zulassung als DiGA.
Automatisierung
Langfristige Effizienz und Wartbarkeit durch hohe Automatisierung
Tests
Wir setzen auf automatisierte Softwaretests, um so die Qualität von Apps und Backends stets zu gewährleisten. Wissen und Anforderungen werden so codifiziert.
Auch in Zukunft können wir so Änderungen einfach und effizient vornehmen, ohne Regressionen befürchten zu müssen.
Infrastructure as Code
Wir definieren Infrastruktur (z.B. Server, Load Balancer, Datenbanken) ähnlich wie Programmcode und erzeugen und ändern Infrastruktur stets über automatische Skripte.
Dies sorgt dafür, dass Änderungen transparent und reversibel sind. Aufgebautes Know-How wird in Programmcode integriert und dokumentiert.
Peer Reviews
Jede Änderung an der Software durchläuft die Test-Suite und wird durch das Continuous Integration System geprüft.
Eine Integration in den Hauptentwicklungszweig ist erst möglich, wenn alle Qualitätskriterien erfüllt sind.
Vor der Integration setzen wir auf Peer Reviews von anderen Entwicklern, um einerseits die Prozessqualität zu gewährleisten. Darüber hinaus wird so Wissen im Team auf mehrere Schultern verteilt.
Updates
Das BfArM fordert eine regelmäßige Marktbeobachtung für eingesetzte Softwarekomponenten.
Wir überwachen die entwickelte Software automatisch täglich auf gemeldete Sicherheitslücken und verfügbare Updates.
Updates werden selbstständig eingespielt und der neue Softwarestand einer benannten Person zur Prüfung vorgelegt.
Automatisierte Tests sorgen dabei dafür, die Funktionsfähigkeit zu gewährleisten.
