Presented at the Bureau of Policy and Strategy (สำนักนโยบายและยุทธศาสตร์), Ministry of Public Health on April 21, 2016.

1. มาตรฐานการป้องกัน
ความลับของข้อมูลผู้ป่วย
นพ.นวนรรน ธีระอัมพรพันธุ์
คณะแพทยศาสตร์ รพ.รามาธิบดี
21 เม.ย. 2559
http://www.SlideShare.net/Nawanan

2. Malware
Threats to Information Security

3. Privacy Threats & Health Care
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

4. Privacy Threats & Health Care

5. Sources of the Threats
 Hackers
 Viruses & Malware
 Poorly-designed systems
 Insiders (Employees)
 People’s ignorance & lack of knowledge
 Disasters & other incidents affecting
information systems

6.  Information risks
 Unauthorized access & disclosure of confidential information
 Unauthorized addition, deletion, or modification of information
 Operational risks
 System not functional (Denial of Service - DoS)
 System wrongly operated
 Personal risks
 Identity thefts
 Financial losses
 Disclosure of information that may affect employment or other
personal aspects (e.g. health information)
 Physical/psychological harms
 Organizational risks
 Financial losses
 Damage to reputation & trust
 Etc.
Consequences of Security Attacks

7. Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House
Security & Privacy

8. Information Security
 Confidentiality
 Integrity
 Availability

9. Protecting Information
Privacy & Security

10. Alice
Simplified Attack Scenarios
Server Bob
Eve/Mallory

11. Alice
Simplified Attack Scenarios
Server Bob
- Physical access to client computer
- Electronic access (password)
- Tricking user into doing something
(malware, phishing & social
engineering)
Eve/Mallory

12. Alice
Simplified Attack Scenarios
Server Bob
- Intercepting (eavesdropping or
“sniffing”) data in transit
- Modifying data (“Man-in-the-
middle” attacks)
- “Replay” attacks
Eve/Mallory

13. Alice
Simplified Attack Scenarios
Server Bob
- Unauthorized access to servers through
- Physical means
- User accounts & privileges
- Attacks through software vulnerabilities
- Attacks using protocol weaknesses
- DoS / DDoS attacks Eve/Mallory

14. Alice
Simplified Attack Scenarios
Server Bob
Other & newer forms of
attacks possible
Eve/Mallory

15. Alice
Safeguarding Against Attacks
Server Bob
Administrative Security
- Security & privacy policy
- Governance of security risk management & response
- Uniform enforcement of policy & monitoring
- Disaster recovery planning (DRP) & Business continuity
planning/management (BCP/BCM)
- Legal obligations, requirements & disclaimers

16. Alice
Safeguarding Against Attacks
Server Bob
Physical Security
- Protecting physical access of clients & servers
- Locks & chains, locked rooms, security cameras
- Mobile device security
- Secure storage & secure disposition of storage devices

17. Alice
Safeguarding Against Attacks
Server Bob
User Security
- User account management
- Strong p/w policy (length, complexity, expiry, no meaning)
- Principle of Least Privilege
- “Clear desk, clear screen policy”
- Audit trails
- Education, awareness building & policy enforcement
- Alerts & education about phishing & social engineering

18. Alice
Safeguarding Against Attacks
Server Bob
System Security
- Antivirus, antispyware, personal firewall, intrusion
detection/prevention system (IDS/IPS), log files, monitoring
- Updates, patches, fixes of operating system vulnerabilities &
application vulnerabilities
- Redundancy (avoid “Single Point of Failure”)
- Honeypots

19. Alice
Safeguarding Against Attacks
Server Bob
Software Security
- Software (clients & servers) that is secure by design
- Software testing against failures, bugs, invalid inputs,
performance issues & attacks
- Updates to patch vulnerabilities

20. Alice
Safeguarding Against Attacks
Server Bob
Network Security
- Access control (physical & electronic) to network devices
- Use of secure network protocols if possible
- Data encryption during transit if possible
- Bandwidth monitoring & control

21. Alice
Safeguarding Against Attacks
Server Bob
Database Security
- Access control to databases & storage devices
- Encryption of data stored in databases if necessary
- Secure destruction of data after use
- Access control to queries/reports
- Security features of database management systems (DBMS)

22. Privacy Safeguards
Image: http://www.nurseweek.com/news/images/privacy.jpg
 Security safeguards
 Informed consent
 Privacy culture
 User awareness building & education
 Organizational policy & regulations
 Enforcement
 Ongoing privacy & security assessments, monitoring,
and protection

23. User Security

24. Need for Strong Password Policy
So, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)

25.  Access control
 Selective restriction of access to the system
 Role-based access control
 Access control based on the person’s role
(rather than identity)
 Audit trails
 Logs/records that provide evidence of
sequence of activities
User Security

26.  Identification
 Identifying who you are
 Usually done by user IDs or some other unique codes
 Authentication
 Confirming that you truly are who you identify
 Usually done by keys, PIN, passwords or biometrics
 Authorization
 Specifying/verifying how much you have access
 Determined based on system owner’s policy & system
configurations
 “Principle of Least Privilege”
User Security

27. Recommended Password Policy
 Length
 8 characters or more (to slow down brute-force attacks)
 Complexity (to slow down brute-force attacks)
 Consists of 3 of 4 categories of characters
 Uppercase letters
 Lowercase letters
 Numbers
 Symbols (except symbols that have special uses by the
system or that can be used to hack system, e.g. SQL Injection)
 No meaning (“Dictionary Attacks”)
 Not simple patterns (12345678, 11111111) (to slow down brute-
force attacks & prevent dictionary attacks)
 Not easy to guess (birthday, family names, etc.) (to prevent
unknown & known persons from guessing)
Personal opinion. No legal responsibility assumed.

28. Recommended Password Policy
 Expiration (to make brute-force attacks not possible)
 6-8 months
 Decreasing over time because of increasing computer’s
speed
 But be careful! Too short duration will force users to write
passwords down
 Secure password storage in database or system
(encrypted or store only password hashes)
 Secure password confirmation
 Secure “forget password” policy
 Different password for each account. Create variations
to help remember. If not possible, have different sets of
accounts for differing security needs (e.g., bank
accounts vs. social media sites) Personal opinion. No legal responsibility assumed.

29. Clear Desk, Clear Screen Policy
http://pixabay.com/en/post-it-sticky-note-note-corner-148282/

30. Techniques to Remember Passwords
 http://www.wikihow.com/Create-a-Password-You-Can-
Remember
 Note that some of the techniques are less secure!
 One easy & secure way: password mnemonic
 Think of a full sentence that you can remember
 Ideally the sentence should have 8 or more words, with
numbers and symbols
 Use first character of each word as password
 Sentence: I love reading all 7 Harry Potter books!
 Password: Ilra7HPb!
 Voila!
Personal opinion. No legal responsibility assumed.

31.  พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
 กาหนดการกระทาที่ถือเป็นความผิด และหน้าที่ของผู้ให้บริการ
 พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
 พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551
 รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์
 รับรองวิธีการส่งและรับข้อมูลอิเล็กทรอนิกส์ การใช้ลายมือชื่อ
อิเล็กทรอนิกส์ (electronic signature) และการรับฟังพยานหลักฐาน
ที่เป็นข้อมูลอิเล็กทรอนิกส์ เพื่อส่งเสริมการทา e-transactions ให้
น่าเชื่อถือ
 กาหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และอานาจ
หน้าที่
กฎหมายด้านเทคโนโลยีสารสนเทศของไทย

32.  ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ
ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล
อิเล็กทรอนิกส์ (มาตรา 7)
 ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้วิธีการ
ที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้ (มาตรา 9)
 ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทาตามวิธีการแบบปลอดภัยที่
กาหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25)
 คาขอ การอนุญาต การจดทะเบียน คาสั่งทางปกครอง การชาระเงิน
การประกาศ หรือการดาเนินการใดๆ ตามกฎหมายกับหน่วยงานของ
รัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทาในรูปของข้อมูล
อิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กาหนดโดย พรฎ.
 ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35)
ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

33.  พรฎ.กาหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิ
หนากฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ.
2549
 ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ (บางฉบับที่
เกี่ยวของ)
 เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555
 กาหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูล
อิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผล
ใช้แทนต้นฉบับได้
 เรื่อง หลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและ
ข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553
 กาหนดหลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความที่
ได้มีการจัดทาหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

34.  พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549
 ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความ
มั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553
 กาหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มีการทา
ธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ
 ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูล
ส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553
 กาหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการทา
ธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

35.  พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. 2553
 ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์
และหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรม
ทางอิเล็กทรอนิกส์ตามวิธีการแบบปลอดภัย พ.ศ. 2555
 หลักเกณฑ์การประเมินเพื่อกาหนดระดับวิธีการแบบปลอดภัย
ขั้นต่า
 ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัย
ของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555
 กาหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่
ละระดับ
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

36.  มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
 “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทาตามวิธีการแบบ
ปลอดภัยที่กาหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็น
วิธีการที่เชื่อถือได้
 พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. 2553
 วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด)
 จาแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มี
ผลกระทบต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ
หรือต่อสาธารณชน) หรือจาแนกตามหน่วยงาน (ธุรกรรมของ
หน่วยงานหรือองค์กรที่ถือเป็นโครงสร้างพื้นฐานสาคัญของ
ประเทศ หรือ Critical Infrastructure)
“วิธีการแบบปลอดภัย”

37. ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้
 ด้านการชาระเงินทางอิเล็กทรอนิกส์
 ด้านการเงินของธนาคารพาณิชย์
 ด้านประกันภัย
 ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์
 ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือ
ทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูล
สาธารณะ
 ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่
ต้องดาเนินการอย่างต่อเนื่องตลอดเวลา
วิธีการแบบปลอดภัยในระดับเคร่งครัด

38.  ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการ
ประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้
ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)
 ผลกระทบด้านมูลค่าความเสียหายทางการเงิน
 ต่า: ≤ 1 ล้านบาท
 ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท
 สูง: > 100 ล้านบาท
ระดับผลกระทบกับวิธีการแบบปลอดภัย

39. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการ
ประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้
ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)
 ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับ
อันตรายต่อชีวิต ร่างกาย หรืออนามัย
 ต่า: ไม่มี
 ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน
 สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่
1 คน
ระดับผลกระทบกับวิธีการแบบปลอดภัย

40. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ
ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก
Worst Case Scenario ใน 1 วัน)
 ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความ
เสียหายอื่นใด
 ต่า: ≤ 10,000 คน
 ปานกลาง: 10,000 < จานวนผู้ได้รับผลกระทบ ≤ 100,000 คน
 สูง: > 100,000 คน
 ผลกระทบด้านความมั่นคงของรัฐ
 ต่า: ไม่มีผลกระทบต่อความมั่นคงของรัฐ
 สูง: มีผลกระทบต่อความมั่นคงของรัฐ
ระดับผลกระทบกับวิธีการแบบปลอดภัย

41.  พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์
 พิจารณาตามระดับผลกระทบ
 ถ้ามีผลประเมินที่เป็นผลกระทบในระดับสูง 1 ด้าน ให้ใช้
วิธีการแบบปลอดภัยระดับเคร่งครัด
 ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัย
ระดับกลาง
 นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน
สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย

42.  อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology -
Security techniques - Information security management
systems - Requirements
 มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19
ธ.ค. 2555) คือ 14 ธ.ค. 2556
 ไม่มีบทกาหนดโทษ เป็นเพียงมาตรฐานสาหรับ “วิธีการที่เชื่อถือได้” ใน
การพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทาง
อิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้าหนักการนาข้อมูล
อิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการ
ดาเนินการทางกฎหมาย
 คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่
รายชื่อหน่วยงานที่มีการจัดทานโยบายและแนวปฏิบัติโดยสอดคล้องกับ
วิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้
ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย

43.  แบ่งเป็น 11 หมวด (Domains)
 Security policy
 Organization of information security
 Asset management
 Human resources security
 Physical and environmental security
 Communications and operations management
 Access control
 Information systems acquisition, development and
maintenance
 Information security incident management
 Business continuity management
 Regulatory compliance
มาตรฐาน Security ตามวิธีการแบบปลอดภัย

44. มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ
หมวด (Domain) ระดับพื้นฐาน ระดับกลาง
(เพิ่มเติมจากระดับพื้นฐาน)
ระดับสูง
(เพิ่มเติมจากระดับกลาง)
Security policy 1 ข้อ 1 ข้อ -
Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ
Asset management 1 ข้อ 4 ข้อ -
Human resources security 6 ข้อ 1 ข้อ 2 ข้อ
Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ
Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ
Access control 9 ข้อ 8 ข้อ 8 ข้อ
Information systems acquisition,
development and maintenance
2 ข้อ 6 ข้อ 8 ข้อ
Information security incident management 1 ข้อ - 3 ข้อ
Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ
Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ
รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)

46.  แนวทางปฏิบัติทั่วไปสาหรับโรงพยาบาล
 แนวทางปฏิบัติทั่วไปสาหรับเจ้าหน้าที่ทุกคนที่มีโอกาส
เข้าถึงข้อมูลผู้ป่วยของโรงพยาบาล
 แนวทางปฏิบัติทั่วไปสาหรับเจ้าหน้าที่เวชระเบียนและ
เจ้าหน้าที่ฝ่าย IT ของโรงพยาบาล
แนวทางปฏิบัติสาหรับโรงพยาบาล

47.  หมายถึง การป้องกันดูแลมิให้เกิดความเสี่ยงต่อความมั่นคง
ปลอดภัยและความลับผู้ป่วย ที่ทุกโรงพยาบาลจะต้อง
ปฏิบัติให้ได้อย่างน้อยตามแนวทางปฏิบัตินี้ รวม 7 เรื่อง
 Physical Security: กาหนดและแบ่งแยกพื้นที่จัดเก็บเวช
ระเบียนและเครื่อง server ให้ชัดเจน กาหนดเป็นเขตหวง
ห้ามเฉพาะ ปิดหรือใส่กุญแจประตูหน้าต่างหรือห้องเสมอ
เมื่อไม่มีเจ้าหน้าที่ประจาอยู่
 Physical Access Logs: จัดให้มีสมุดทะเบียนบันทึกการ
เข้าออกห้อง server และสมุดทะเบียนบันทึกการนาเวช
ระเบียนออกมาใช้และการส่งเวชระเบียนกลับคืน
แนวทางปฏิบัติทั่วไปสาหรับโรงพยาบาล

48.  Medical Records Tracking: จัดให้มีระบบตรวจสอบการ
ส่งเวชระเบียนกลับคืนทุกวันว่าครบจานวนที่นาออกไป
ก่อนเวลา 16.00 น. ติดตามกลับคืนให้ได้ก่อนเวลา 16.30
น.
 Business Continuity: จัดให้มีระบบฉุกเฉินเมื่อไฟฟ้าดับ
หรือระบบใช้งานไม่ได้ และซ้อมเป็นระยะๆ เช่น ทุกปี และ
ปรับปรุงกระบวนการทางานเมื่อระบบขัดข้องให้เหมาะสม
อยู่เสมอ
แนวทางปฏิบัติทั่วไปสาหรับโรงพยาบาล

49.  Medical Records Confidential Handling: กาหนดชั้น
ความลับของข้อมูลผู้ป่วยเป็นระดับ “ลับ” และดาเนินการแบบ
เดียวกับการรับส่งเอกสารลับ
 การทาสาเนา บันทึกจานวนชุด ชื่อ ตาแหน่งผู้ดาเนินการ วัน
เวลา ฯลฯ ไว้ที่ต้นฉบับและสาเนา
 การส่งออกเวชระเบียนนอก รพ. ต้องบรรจุซองทึบแสง 2 ชั้น จ่า
หน้าและแสดงชั้นความลับตามระเบียบ
 การจัดเก็บและทาลายเวชระเบียน (ตายผิดธรรมชาติ เก็บไว้ไม่
ต่ากว่า 20 ปี กรณีอื่นๆ 10 ปี)
 Health Information Disclosure Review: มีกระบวนการ
กลั่นกรองและพิจารณาการนาข้อมูลผู้ป่วยที่ระบุตัวบุคคลได้ ไป
ใช้ประโยชน์อย่างอื่น หรือเปิดเผยต่อภายนอก
 Informed Consent: จัดให้มีระบบยินยอมให้ใช้ข้อมูลผู้ป่วย
(ดูตัวอย่างในมาตรฐาน)
แนวทางปฏิบัติทั่วไปสาหรับโรงพยาบาล

50.  หมายถึง แนวทางการรักษาความมั่นคงปลอดภัยและ
ความลับผู้ป่วยที่เจ้าหน้าที่ทุกคนที่มีโอกาสเข้าถึงข้อมูล
ผู้ป่วย ต้องปฏฺบัติให้ได้อย่างน้อยตามแนวทางปฏิบัตินี้ รวม
9 เรื่อง
 Responsibility: จนท. ทุกคนมีหน้าที่ป้องกัน ดูแล รักษา
ไว้ซึ่ง Confidentiality, Integrity และ Availability ของ
ข้อมูล ตลอดจนเอกสารเวชระเบียนของผู้ป่วย
 Confidentiality & Integrity: ห้ามเผยแพร่ ทาสาเนา
ถ่ายภาพ เปลี่ยนแปลง ลบทิ้ง หรือทาลายข้อมูลผู้ป่วย ใน
เวชระเบียนและในระบบคอมพิวเตอร์ทุกกรณี นอกจาก
ได้รับมอบหมายให้ดาเนินการจาก ผอ.
แนวทางปฏิบัติทั่วไปสาหรับเจ้าหน้าที่ทุกคนที่มีโอกาส
เข้าถึงข้อมูลผู้ป่วยของ รพ.

51.  Content Modification: การแก้ไขข้อมูลผู้ป่วย ให้
ดาเนินการตามระเบียบปฏิบัติว่าด้วยการแก้ไขข้อมูล เช่น
ขีดฆ่าพร้อมลงนามกากับและวันเวลาที่แก้ไข ห้ามใช้น้ายา
ลบคาผิด ในระบบคอมพิวเตอร์ ห้ามลบข้อมูลเดิมทิ้ง แต่ให้
แก้ไขแล้วเชื่อมโยงข้อมูลให้รู้ว่าข้อความใหม่ใช้แทน
ข้อความเดิมว่าอย่างไร
 Secure Data Handling: การส่งข้อมูลผู้ป่วยภายใน
สถานพยาบาล ให้ดาเนินการตามระเบียบการส่งข้อมูลลับ
เช่น ไม่ให้ผู้ป่วยเป็นผู้ถือเวชระเบียนจากจุดบริการหนึ่งไป
ยังจุดอื่นๆ
แนวทางปฏิบัติทั่วไปสาหรับเจ้าหน้าที่ทุกคนที่มีโอกาส
เข้าถึงข้อมูลผู้ป่วยของ รพ.

52.  No Confidential Data in Social Media: ห้ามส่งข้อมูล
โดยใช้ช่องทางที่ไม่เหมาะสม เช่น ส่งทาง Line หรือ
Social Media
 Secure Password Policy: ตั้งรหัสผ่านที่เดาได้ยาก
ปกปิดเป็นความลับ ไม่ให้ผู้อื่นนาไปใช้ และเปลี่ยนรหัสผ่าน
ตามกาหนดเวลาที่บังคับ
 External Files: ห้ามเปิดไฟล์จากภายนอกทุกกรณี
สาหรับการเปิดไฟล์งานจากหน่วยงานภายใน ให้ scan
virus ก่อนเปิดไฟล์ทุกครั้ง
แนวทางปฏิบัติทั่วไปสาหรับเจ้าหน้าที่ทุกคนที่มีโอกาส
เข้าถึงข้อมูลผู้ป่วยของ รพ.

53.  No Rogue Devices: ห้ามนาเครื่องคอมพิวเตอร์ อุปกรณ์
อื่นๆ รวมถึงอุปกรณ์จัดเก็บข้อมูล และอุปกรณ์เครือข่าย
มาเชื่อมต่อกับเครื่องและระบบเครือข่ายของ รพ. ที่ใช้
ฐานข้อมูลผู้ป่วย ยกเว้นได้รับอนุญาตจาก ผอ.
 Network Segmentation: ห้ามใช้คอมพิวเตอร์ที่เชื่อมต่อ
กับระบบฐานข้อมูลผู้ป่วย ในการติดต่อกับอินเทอร์เน็ตทุก
กรณี ยกเว้นเครื่องที่มีภารกิจเฉพาะที่ได้รับอนุญาตจาก
ผอ.
แนวทางปฏิบัติทั่วไปสาหรับเจ้าหน้าที่ทุกคนที่มีโอกาส
เข้าถึงข้อมูลผู้ป่วยของ รพ.

54.  Audit of Access Logs: กากับดูแลการลงบันทึกสมุด
ทะเบียนบันทึกการเข้าออกห้อง server และสมุดทะเบียน
บันทึกการนาเวชระเบียนออกมาใช้และการส่งเวชระเบียน
กลับคืน
 Information Asset Management: จัดทาทะเบียน
information assets ทั้งเครื่องคอมพิวเตอร์ อุปกรณ์
ระบบเครือข่าย ข้อมูลสารสนเทศที่สาคัญของ รพ. และมี
การดูแลควบคุมการใช้งานให้เหมาะสมและรับผิดชอบ
ทรัพย์สินดังกล่าว
แนวทางปฏิบัติทั่วไปสาหรับเจ้าหน้าที่เวชระเบียนและ
เจ้าหน้าที่ฝ่าย IT ของ รพ.

55.  Network Segmentation: กาหนดให้มีการแบ่งแยก
เครือข่าย ดังนี้
 แบ่งแยกเครือข่ายเป็น network ย่อยๆ ตามอาคารต่างๆ
เพื่อควบคุมการเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาต
 แบ่งเครือข่ายภายในและภายนอก เพื่อความปลอดภัยใน
การใช้งานระบบสารสนเทศภายใน
 Security Awareness Training: จัดอบรมให้ความรู้
หลักการ แนวทางปฏิบัติต่างๆ ให้ จนท. ใหม่ทุกคนที่มา
ปฏิบัติงาน และตรวจสอบว่าได้ปฏิบัติตามข้อกาหนดอย่าง
เคร่งครัด
แนวทางปฏิบัติทั่วไปสาหรับเจ้าหน้าที่เวชระเบียนและ
เจ้าหน้าที่ฝ่าย IT ของ รพ.

56.  User Account Management: ดูแลรักษาบัญชีผู้ใช้ระบบ ทา
ให้ account ใช้การไม่ได้ทันทีที่มีบุคลากรลาออกหรือย้าย
ออกไป เพิ่ม account รายใหม่เมื่อมี จนท. ใหม่เข้ามาทางาน
ดูแลการเปลี่ยนรหัสผ่านของ user ทุกคนตามระยะเวลา
 Authentication: ให้ user ทุกคนมี account เป็นของตนเอง
และให้ระบบมีเทคนิคการตรวจสอบตัวตนที่เพียงพอ
 Authorization: มีการจากัดการเข้าถึงข้อมูลที่เป็นความลับ
และการใช้งานระบบที่สาคัญ ให้เข้าถึงเฉพาะที่ได้รับอนุญาต
ตามความเหมาะสมและจาเป็น และทบทวนสิทธิเป็นระยะๆ
แนวทางปฏิบัติทั่วไปสาหรับเจ้าหน้าที่เวชระเบียนและ
เจ้าหน้าที่ฝ่าย IT ของ รพ.

57.  Strong Password Policy: มีการกาหนดนโยบายการ
เลือกใช้รหัสผ่านอย่างปลอดภัยตามที่หน่วยงานกาหนด
 Clear Desk, Clear Screen Policy: มีนโยบายและการ
กากับดูแลไม่ให้มีการเก็บข้อมูลที่เป็นความลับ รวมทั้ง
รหัสผ่าน ให้เข้าถึงได้ง่ายทางกายภาพที่โต๊ะทางานหรือบน
หน้าจอ
 Log-out: กาหนดให้ระบบมีการตัดและหมดเวลาการใช้
งาน รวมทั้งปิดการใช้งาน หลังไม่มีกิจกรรมเป็นเวลา 15
นาที
 Antivirus: ในการรับส่งข้อมูลคอมพิวเตอร์ผ่านอินเทอร์เน็ต
จะต้องตรวจสอบไวรัสด้วย antivirus ก่อนทุกครั้ง
แนวทางปฏิบัติทั่วไปสาหรับเจ้าหน้าที่เวชระเบียนและ
เจ้าหน้าที่ฝ่าย IT ของ รพ.

58.  Backup: ดาเนินการสารองข้อมูลในระบบอย่างน้อยวันละ 1
ครั้ง สารองข้อมูลในเวชระเบียนอย่างน้อยสัปดาห์ละ 1 ครั้ง
ตามแนวทางที่กาหนด เช่น ใช้ระบบ scan หรือใช้ระบบ
backup จากฐานข้อมูล รพ.
 Access Log Monitoring: จัดทารายงานการแก้ไขข้อมูลผู้ป่วย
ในระบบเป็นระยะๆ อย่างน้อยสัปดาห์ละ 1 ครั้ง โดยแสดง
รายละเอียด ส่งรายงานให้ ผอ. พิจารณา
 Logs: จัดเก็บ log ข้อมูลจราจรทางคอมพิวเตอร์ ตามกฎหมาย
และมีระบบป้องกันการเข้าถึงหรือแก้ไข log
 Update patches: ปรับปรุงข้อมูลสาหรับตรวจสอบ และ
ปรับปรุง OS และ software ต่างๆ ให้ใหม่เสมอ
 Preventive Maintenance: มีการดูแลบารุงรักษาอุปกรณ์
สารสนเทศต่างๆ อย่างเหมาะสม เพื่อให้อยู่ในสภาพพร้อมใช้
งานอยู่เสมอและลดความเสี่ยงที่จะเกิดเหตุขัดข้อง
แนวทางปฏิบัติทั่วไปสาหรับเจ้าหน้าที่เวชระเบียนและ
เจ้าหน้าที่ฝ่าย IT ของ รพ.

59.  Remote Access: กาหนดมาตรการควบคุมการใช้งาน network &
server จากผู้ใช้งานภายนอกหน่วยงาน ตามแนวทางดังนี้
 Written Access Request: บุคคลภายนอกที่ต้องการสิทธิ์ในการเข้า
ใช้งานระบบ จะต้องทาเรื่องขออนุญาตเป็นลายลักษณ์อักษร
 Securing Network Ports: มีการควบคุม port ที่ใช้เข้าสู่ระบบอย่าง
รัดกุม
 Authorized Access Methods: วิธีการใดๆ ที่สามารถเข้าสู่ข้อมูล
หรือระบบได้จากระยะไกล ต้องได้รับการอนุญาตจากหัวหน้า
หน่วยงาน
 Justification for Remote Access: การเข้าสู่ระบบจากระยะไกล
user ต้องแสดงหลักฐาน ระบุเหตุผลหรือความจาเป็นในการ
ดาเนินงานกับหน่วยงานอย่างเพียงพอ
 Remote Access Authentication: ต้องมีการ log-in โดยแสดง
ตัวตนด้วยชื่อผู้ใช้งาน และมีการพิสูจน์ยืนยันตัวตนด้วยการใช้รหัสผ่าน
ก่อนทุกครั้ง
แนวทางปฏิบัติทั่วไปสาหรับเจ้าหน้าที่เวชระเบียนและ
เจ้าหน้าที่ฝ่าย IT ของ รพ.

60. Line เสี่ยงต่อการละเมิด Privacy ผู้ป่วยได้อย่างไร?
 ข้อมูลใน Line group มีคนเห็นหลายคน
 ข้อมูลถูก capture หรือ forward ไป share ต่อได้
 ส่ง/แชร์ ผิดคน
 ข้อมูล cache ที่เก็บใน mobile device อาจถูกอ่านได้
(เช่น ทาอุปกรณ์หาย หรือเผลอวางเอาไว้)
 ข้อมูลที่ส่งผ่าน network ไม่ได้เข้ารหัส
 ข้อมูลที่เก็บใน server ของ Line ทางบริษัทเข้าถึงได้ และ
อาจถูก hack ได้
 Password Discovery

61. ทางออกสาหรับการ Consult Case ผู้ป่วย
 ใช้ช่องทางอื่นที่ไม่มีการเก็บ record ข้อมูล ถ้าเหมาะสม
 หลีกเลี่ยงการระบุหรือ include ชื่อ, HN, เลขที่เตียง หรือ
ข้อมูลที่ระบุตัวตนผู้ป่วยได้ (รวมทั้งในภาพ image)
 ใช้ app ที่ปลอดภัยกว่า
 Limit คนที่เข้าถึง
(เช่น ไม่คุยผ่าน Line group)
 ใช้อย่างปลอดภัย (Password, ดูแลอุปกรณ์ไว้กับตัว,
เช็ค malware ฯลฯ)

62. Q & A