Zurück

KIM in Elefant

Sicher, verschlüsselt und KBV-zertifiziert. Tauschen Sie Befunde und Abrechnungen direkt über Ihre Praxissoftware aus.

Laptop zeigt eine Folie mit dem Titel KIM 1.5 und dem Text Das sind die Vorteile, begleitet von einer Illustration eines Mannes, der aus einem großen Briefumschlag kommt.
Alles rund um KIM

Was ist KIM und wofür brauche ich es?

Mit KIM ("Kommunikation im Medizinwesen") können sichere und geschützte E-Mails innerhalb der Telematikinfrastruktur versendet und empfangen werden.  Dies ermöglicht einen datenschutzkonformen Austausch zwischen den Akteur:innen des deutschen Gesundheitswesens. Arztbriefe, Befunde und andere medizinische Dokumente können dadurch schneller und ohne Medienbrüche übermittelt werden, im Vergleich zu traditionellen Methoden wie Post oder Fax. Insgesamt verbessert KIM die Kommunikation und Zusammenarbeit im Gesundheitswesen, was letztendlich zu einer besseren Patientenversorgung führt.

Elefant nutzt den sicheren Übertragungsweg über KIM für folgende Fachanwendungen:

eArztbrief
Eine Anleitung zum Erstellen eines eArztbriefes in Elefant® finden Sie in der HAWIDA oder unter diesem Link.

eAU
Eine Anleitung finden Sie hier.

eNachricht
Im Verlauf des aktuellen Jahres wird Ihre Elefant® Praxissoftware die eNachricht-Funktion erhalten. Mit Hilfe eines integrierten E-Mail-Clients können Sie direkt aus Elefant® eNachrichten verschicken und nach Empfängern im Adressbuch suchen.

Kontoverwaltung
Zudem können Sie Ihr KIM-Konto über das Adminmodul verwalten. Eine Anleitung, wie Sie dieses aufrufen und welche Funktionen zur Verfügung stehen, finden Sie hier.

Einbindung in Thunderbird
Sie möchten Ihr KIM-Konto in einen externen E-Mail-Client einbinden, um eNachrichten zu versenden? Dann haben wir diese Anleitung für Mozilla Thunderbird für Sie bereitgestellt.

FAQ zu KIM

Hier finden Sie die wichtigsten Informationen zu KIM

Wie schützt HASOMED meine Patient:innendaten?

Wir schützen Patient:innendaten durch technische und organisatorische Maßnahmen: Verschlüsselung, rollenbasierte Zugriffskontrollen, klare Verantwortlichkeiten und regelmäßige Audits. Unsere Cloud-Komponenten sind nach dem C5-Anforderungskatalog des BSI geprüft. Unsere Prozesse sind nach ISO/IEC 27001 zertifiziert. Mehr Informationen finden Sie in unserem Security Whitepaper.

Wo werden meine Daten gespeichert?

Elefant verarbeitet Daten in lokal installierten Praxiskomponenten und in zentral betriebenen Cloud-Komponenten. Sensible Daten in der Cloud werden ausschließlich in der AWS-Region Frankfurt, Deutschland, verarbeitet und gespeichert. Kund:innen informieren wir transparent über die eingesetzten Komponenten und die jeweils genutzten Standorte.

Ist Elefant DSGVO-konform?

Ja. Elefant ist so aufgebaut, dass die Verarbeitung sensibler Gesundheitsdaten durch Rollen- und Rechtekonzepte, dokumentierte Prozesse, Auftragsverarbeitungsverträge und nachprüfbare Sicherheitsmaßnahmen unterstützt wird. Nachweise stellen wir in Form von AV-Verträgen, Whitepaper und Zertifikaten bereit.

Wie sieht es mit Subunternehmern aus?

Externe Dienstleister werden nur vertraglich gebunden eingesetzt und regelmäßig geprüft. Eine aktuelle Übersicht der eingesetzten Unterauftragnehmer stellen wir Kund:innen zur Verfügung. Wir informieren Kund:innen, wenn sich die Art der Verarbeitung ändert oder neue Unterauftragnehmer eingebunden werden.

Was ist, wenn ich Elefant lokal installiert habe?

Bei lokaler Installation verbleiben bestimmte Verantwortlichkeiten in der Praxis, etwa für lokale Infrastruktur, Endgeräte und organisatorische Maßnahmen. Gleichzeitig gelten auch dort die Sicherheitsmechanismen von Elefant. Unterschiede zwischen lokaler Verantwortung und Cloud-Sicherheit dokumentieren wir klar.

Gibt es ein Sicherheitskonzept, das ich weitergeben kann?

Ja. Sie können den Link zu dieser Trust & Security Seite, unser Security Whitepaper, den AV-Vertrag sowie auf Wunsch weitere Prüf- und Compliance-Statements an Ihre Berater:innen weitergeben. Diese Unterlagen fassen technische Maßnahmen, Verantwortlichkeiten und Prüfungen zusammen.

Was passiert, wenn es zu einem Sicherheitsvorfall kommt?

Sicherheitsvorfälle werden nach definierten Prozessen behandelt, dokumentiert und vertraglich sowie rechtlich erforderlich kommuniziert. Meldepflichtige Vorfälle werden an die zuständigen Stellen gemeldet. Betroffene Kund:innen werden entsprechend informiert.

Behalte ich die Kontrolle über meine Daten?

Ja. Die Praxis bleibt datenschutzrechtlich verantwortlich für die Verarbeitung im Behandlungskontext. HASOMED verarbeitet Daten nur im vereinbarten Rahmen und auf Grundlage dokumentierter Rollen, Verträge und Prozesse.

Muss ich aufgrund der Cloud-Verarbeitung in Elefant meine Prozesse gegenüber Patient:innen ändern?

Kurz: Nein.

Für die Verarbeitung von Behandlungsdaten ist in der Regel keine gesonderte Einwilligung der Patient:innen erforderlich. Die Praxis muss Patient:innen jedoch transparent informieren. Konkret heißt das: in den Datenschutzhinweisen angeben, dass Elefant genutzt wird und welche Kategorien von Empfängern beteiligt sind. Die erforderlichen Auftragsverarbeitungsverträge sind vorzuhalten. Solange dies erfolgt, sind meist keine weiteren Prozessänderungen gegenüber Patient:innen notwendig.

Kann AWS meine Daten einsehen?

Technisch ist ein lesbarer Zugriff durch AWS ausgeschlossen. HASOMED betreibt ein Kryptographiekonzept und Schlüsselmanagement, bei dem kryptographische Schlüssel außerhalb der AWS-Infrastruktur verwaltet werden. Im Rahmen der Verschlüsselungs- und Entschlüsselungsvorgänge,  sowie der  Schlüsselverwaltung, arbeiten wir mit T-Systems, sodass AWS selbst keine Möglichkeit hat, gespeicherte Daten in lesbarer Form zu entschlüsseln. Diese Architektur verhindert, dass der Cloudanbieter Klartext-Zugriff erhält.

Was ist mit einem möglichen Zugriff durch US-Behörden?

Unverschlüsselter Zugriff durch Dritte, einschließlich Behörden, wird durch unser Architektur- und Schlüsselmanagement technisch verhindert. Da die Schlüssel außerhalb von AWS und unter deutscher Kontrolle gehalten werden, sind die Daten im Cloud-Speicher nicht in lesbarer Form verfügbar. Zusätzlich speichern wir Daten ausschließlich in der AWS-Region Frankfurt, es erfolgt keine automatische Übertragung in Drittstaaten. Diese Maßnahmen reduzieren das Risiko eines behördlichen Zugriffs auf lesbare Daten erheblich.

Erfüllt Elefant die Anforderungen aus dem Digitalgesetz (§ 393 SGB) und der KBV-Richtlinie?

Ja. Das Digitalgesetz erlaubt die Verarbeitung von Gesundheits- und Sozialdaten unter Einbezug von Cloud-Dienstleistern, wenn hohe Sicherheitsstandards wie das C5-Testat eingehalten werden. Unsere Cloud-Architektur ist am BSI C5-Kriterienkatalog ausgerichtet. Elefant ist zudem konzipiert, um die Vorgaben der KBV IT-Sicherheitsrichtlinie zu erfüllen.

Was bedeutet das C5-Testat konkret für mich als Praxis?

Ein C5-Testat dokumentiert, dass die eingesetzte Cloud-Umgebung definierte Sicherheitsanforderungen erfüllt. Eine erfolgreiche C5-Prüfung unserer Cloud-Komponenten erleichtert Praxen die Nachweisführung, dass eingesetzte Dienste in einem regulierten Gesundheitskontext angemessen abgesichert sind.