2. 2
2003 M.D. (First-Class Honors)
2011 Ph.D. (Health Informatics), Univ. of Minnesota
Lecturer, Department of Community Medicine
Faculty of Medicine Ramathibodi Hospital
Interests: Health IT, Social Media, Security & Privacy
nawanan.the@mahidol.ac.th
SlideShare.net/Nawanan
Nawanan Theera-Ampornpunt
Line ID: NawananT
Introduction
3. 3
Outline
• Why Care about Security & Privacy?
• Security/Privacy of Patient’s Information
• Security Measures
• Privacy Measures
12. 12
Impact
• Disclosure of confidential information
• Impacts on personal lives, health, mental
state, financial status, reputation &
employment
• Service disruption
• Organization’s public image
13. 13
Sources of Attacks
• Hackers
• Viruses & Malware
• Buggy Systems
• Insiders
• Behaviors of Unaware and Ignorant Users
• Disasters
19. 19
Hippocratic Oath
...
What I may see or hear in the course of
treatment or even outside of the treatment
in regard to the life of men, which on no
account one must spread abroad, I will keep
myself holding such things shameful to be
spoken about.
...
http://en.wikipedia.org/wiki/Hippocratic_Oath
20. 20
Thai Laws on Health Information Privacy
• National Health Act, B.E. 2550
• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วน
บุคคล ผู้ใดจะนาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้น
เสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์
ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้อง
เปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือสิทธิ
ตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมาย
อื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่
ของตนไม่ได้
21. 21
Thai Laws on Health Information Privacy
• The Penal Code
• มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็นเจ้า
พนักงานผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คน
จาหน่ายยา นางผดุงครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วยในการ
ประกอบอาชีพนั้น แล้วเปิดเผยความลับนั้นในประการที่น่าจะเกิดความ
เสียหายแก่ผู้หนึ่งผู้ใด ต้องระวางโทษจาคุกไม่เกินหกเดือน หรือปรับไม่เกิน
หนึ่งพันบาท หรือทั้งจาทั้งปรับ
• ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผยความลับของ
ผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิด
ความเสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษเช่นเดียวกัน
22. 22
Patients’ Bill of Rights
7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่
ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่
ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรง
ของผู้ป่วยหรือตามกฎหมาย
23. 23
ข้อความจริง บน
• "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ
... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อ
ที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย
คนไข้ฝากขอบคุณอาจารย์อีกครั้ง -- อีกอย่าง
คนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม.
บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์
ครับ"
Real Post on Social Media
25. 25
How Line Chats Can Violate Patient’s Privacy?
• Multiple viewers in a Line group
• Ability to capture screens or forward
• Posts in the wrong groups
• Cached data
• Unencrypted transmission (latest news:
encrypted)
• Admin access to data in Line’s server
• Password Discovery
31. 31
User Account Security
So, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)
32. 32
What’s the Password?
Unknown Internet sources, via
http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737,
via Facebook page “สอนแฮกเว็บแบบแมวๆ”
36. 36
How to Remember Passwords Then?
Think of an English sentence
The sentence should have at least 8
words, with numbers and symbols.
Use each word’s first letter as password
37. 37
Example of Creating Passwords
http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/
38. 38
Example of Creating Passwords
Sentence:
I love reading all 7 Harry Potter books!
Password:
Ilra7HPb!