More Related Content Similar to Patient Data Privacy in Hospitals (July 12, 2018) (20) More from Nawanan Theera-Ampornpunt (20) Patient Data Privacy in Hospitals (July 12, 2018)2. Outline
• Why Data Privacy Protection
• Existing Laws
• Problems
• Draft Data Protection Act
• How Hospitals Should Prepare
6. The Day We All WannaCry’ed
http://www.mirror.co.uk/news/uk-news/ransomware-nhs-cyber-attack-live-10409420
11. User Security & Privacy
So, two informaticians walk
into a bar...
The bouncer says, "What's
the password."
One says, "Password?"
The bouncer lets them in.
Credits: @RossMartin & AMIA (2012)
15. Hippocratic Oath
“...What I may see or hear in the course of
treatment or even outside of the treatment in
regard to the life of men, which on no account one
must spread abroad, I will keep myself holding
such things shameful to be spoken about...”
16. Relevant Ethical Principles
Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย)
“First, Do No Harm.”
17. ประมวลกฎหมายอาญา
มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็นเจ้าพนักงาน
ผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจาหน่ายยา นางผดุง
ครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วยในการประกอบอาชีพนั้น แล้ว
เปิดเผยความลับนั้นในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้อง
ระวางโทษจาคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ
ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผยความลับของผู้อื่น
อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความ
เสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษเช่นเดียวกัน
20. พรบ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540
“เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น”
มาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้
หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคาสั่งมิให้เปิดเผยก็ได้ โดยคานึงถึง
การปฏิบัติหน้าที่ตามกฎหมาย...ประกอบกัน...
(5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการ
รุกล้าสิทธิส่วนบุคคลโดยไม่สมควร
(6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย...
22. พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะ
นาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การ
เปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมาย
เฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือ
สิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอ
เอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้
42. ตัวอย่าง Scenario ที่อาจมีปัญหา
Research
• การขอข้อมูลที่ระบุตัวตนได้โดยหน่วยงานส่วนกลาง เช่น สปสช., กรมสุขภาพจิต เพื่อการ
ศึกษาวิจัยหรือวิเคราะห์วางแผน ที่ไม่มีบทบัญญัติให้อานาจในการขอข้อมูลไว้อย่างชัดเจน
• การวิจัยจากข้อมูลที่ระบุตัวตนได้ แต่ไม่ feasible ที่จะขอความยินยอมจากผู้ป่วยโดยตรง
(เช่น Big Data หรือเป็น Retrospective Study)
• Tissue Biobank และข้อมูลที่เป็นประโยชน์ต่อการวิจัยแต่ไม่ได้ขอความยินยอมไว้ก่อน
• การจัดทา Disease Registry
46. ตัวอย่าง Scenario ที่อาจมีปัญหา
Public Administration
• กรณีสถานการณ์ทางการเมือง มีผู้บาดเจ็บมารักษาที่สถานพยาบาล
(รัฐ/เอกชน) และพนักงานเจ้าหน้าที่ขอรายชื่อผู้บาดเจ็บเพื่อ
ดาเนินการสืบสวนสอบสวน/จับกุมหรือบริหารจัดการสถานการณ์
47. ปัญหาของกฎหมาย Health Information Privacy ในปัจจุบัน
• เป็น sectoral privacy law จึงอาจมีมาตรฐานแตกต่างจาก sector อื่น
• สถานพยาบาลของรัฐ ถูกกากับโดย พรบ.ข้อมูลข่าวสารของราชการ ด้วย
แต่ไม่รวมสถานพยาบาลของเอกชน ทาให้มีมาตรฐานแตกต่างกัน รวมทั้ง
สถานพยาบาลของรัฐเกิดความสับสนเกี่ยวกับกฎหมายหลายฉบับ ที่มี
หลักการและบทบัญญัติแตกต่างกัน
• ไม่มีบทบัญญัติบังคับให้สถานพยาบาลมีการจัดการเชิงระบบเพื่อคุ้มครอง
Privacy อย่างชัดเจน (ยกเว้นตาม พรบ.ข้อมูลข่าวสารของราชการ ซึ่งไม่
จาเพาะต่อ Healthcare)
48. ปัญหาของกฎหมาย Health Information Privacy ในปัจจุบัน
• กฎหมายเกี่ยวกับกองทุนและระบบประกันสุขภาพ เขียนอานาจ
หน้าที่ในการต้องเปิดเผยข้อมูลสุขภาพของผู้ป่วยไม่ชัดเจน
• ในสถานการณ์จริงบางกรณีไม่มีบทบัญญัติทางกฎหมายรองรับ
• การขัดกันของกฎหมายบางฉบับในบางสถานการณ์ (เช่น
สถานการณ์ฉุกเฉินที่มีกฎหมายให้อานาจรัฐไว้ค่อนข้างกว้างขวาง)
ไม่ชัดเจน
49. ปัญหาของกฎหมาย Health Information Privacy ในปัจจุบัน
• ปัญหาของ พรบ.สุขภาพแห่งชาติ มาตรา 7
• ไม่มีนิยามของ “ข้อมูลด้านสุขภาพของบุคคล” (เช่น Genetics information,
ข้อมูล Dietary Requirements)
• ไม่ชัดเจนว่า “ผู้ใด” ในกรณีหน่วยงาน/สถานพยาบาล (โดยเฉพาะที่อยู่ในสังกัด
กรม/นิติบุคคลเดียวกัน เช่น รพ. ในสังกัดกรมการแพทย์) จะตีความอย่างไร
• “ในประการที่น่าจะทาให้บุคคลนั้นเสียหาย” เป็น Subjective Value
Judgment และขัดกับแนวคิด Privacy ทั่วไปที่มุ่งคุ้มครอง Privacy ของข้อมูล
สุขภาพ โดยไม่สนใจความเสียหาย
• การอ้างถึงกฎหมายว่าด้วยข้อมูลข่าวสารของราชการ สร้างความสับสน
• เงื่อนไขข้อยกเว้นไม่ครอบคลุม (ต่างจาก HIPAA ที่ระบุไว้ชัดมาก)
• ไม่ให้อานาจในการออกข้อยกเว้น
• ไม่สอดคล้องกับบริบทของ Healthcare เช่น กรณีฉุกเฉิน หรือเพื่อประโยชน์ใน
การรักษาผู้ป่วย
50. ปัญหาของกฎหมาย Health Information Privacy ในปัจจุบัน
• ปัญหาของ พรบ.สุขภาพแห่งชาติ มาตรา 7
– ไม่รวมข้อมูลของผู้เสียชีวิต
– การให้ความยินยอมแทนโดยญาติ ไม่ชัดเจน และมีปัญหาในทางปฏิบัติ
– ไม่ให้อานาจในการออกหลักเกณฑ์ วิธีการ และเงื่อนไขในทางปฏิบัติ (เช่น การขอความ
ยินยอมของผู้ป่วย)
– มุ่งเน้นเรื่องการเปิดเผยข้อมูล แต่ไม่รวมเรื่องการเก็บรวบรวมและการใช้ข้อมูล
– ไม่ได้กาหนดหลักการของ Sensitive Information
– มุ่งเน้นเพียงด้าน Privacy แต่ไม่ได้กาหนดหลักเกณฑ์ วิธีการ และเงื่อนไขด้าน Security
– ไม่ได้ Balance กับความเสี่ยงอีกด้าน คือ ให้ข้อมูลผู้ป่วยไม่ครบ เกิดความเสี่ยงในการวินิจฉัย
รักษาโรค
– ขาดเรื่อง Breach Notification
52. Timeline ของการร่างกฎหมายโดยสังเขป
• 6 ม.ค. 2558 ครม. อนุมัติหลักการร่างกฎหมายเพื่อรองรับการพัฒนาเศรษฐกิจ
ดิจิทัลของประเทศ จานวน 8 ฉบับ
• ก.ค. 2558 สานักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาร่างเสร็จแล้ว
(เรื่องเสร็จที่ 1135/2558)
• 16 พ.ย. 2559 กระทรวง DE รับฟังความคิดเห็นเป็นการทั่วไป
• 15-17 ส.ค. 2560 กระทรวง DE รับฟังความคิดเห็นโดยการจัดประชุม Focus Group
• 24-30 ม.ค. 2561 กระทรวง DE รับฟังความคิดเห็นจากตัวแทนผู้มีส่วนได้เสีย
• 22 ม.ค. - 6 ก.พ. 2561 กระทรวง DE รับฟังความคิดเห็นผ่านเว็บไซต์และ e-mail
• 22 พ.ค. 2561 ครม. อนุมัติหลักการร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
53. Draft Versions ของร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล
• ฉบับ ครม.อนุมัติหลักการ (ม.ค. 2558)
– https://ictlawcenter.etda.or.th/de_laws/download_file/1_Cabinet_Draft-de_laws_data-privacy-act.pdf
• ฉบับที่สานักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาแล้ว
– https://ictlawcenter.etda.or.th/de_laws/download_file/2_Krisdika_Draft-de_laws_data-privacy-act.pdf
• หลักเกณฑ์ในการตรวจสอบความจาเป็นในการตรา พรบ. (Checklist)
– http://www.lawamendment.go.th/index.php/laws-independent-entity/item/download/637_a2f97378f31813a3e3c62af2af8c428c
• ฉบับรับฟังความคิดเห็น พ.ศ. 2561
– http://www.lawamendment.go.th/index.php/laws-independent-entity/item/download/638_ff2d1b57074e14b167dcd2e5c31fab38
• ฉบับแก้ไขหลังรับฟังความคิดเห็น พ.ศ. 2561
– http://www.lawamendment.go.th/index.php/laws-independent-entity/item/download/615_e5a934b4a2185cd8f7f329f6ec6508d4
• สรุปผลการรับฟังความคิดเห็น
– http://www.lawamendment.go.th/index.php/laws-independent-entity/item/download/614_f8c334bc3c75c6d1ee7db3ab0c7b3a82
54. Draft Versions ของร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล
• ฉบับ ครม.อนุมัติหลักการ เมื่อวันที่ 22 พ.ค. 2561
http://www.etcommission.go.th/files/news/Draft_DP_Law_220561.pdf
55. ข้อดีของร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล ฉบับ ครม. อนุมัติ
หลักการ เมื่อวันที่ 22 พ.ค. 2561
• เป็น General Privacy Law จึงแก้ปัญหาเรื่องช่องว่างในการบังคับใช้ และ
มาตรฐานที่แตกต่างกันของ Sectoral Privacy Law ได้
• ครอบคลุมทั้งการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล
• กรรมการผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีการระบุความ
เชี่ยวชาญด้านสุขภาพ (มาตรา 8)
• ข้อมูลสุขภาพ ถือเป็น Sensitive Data (มาตรา 23)
• มีบทบัญญัติที่ไม่ขัดกับกฎหมายเฉพาะ เช่น พรบ.สุขภาพแห่งชาติ (มาตรา 3)
• Cover ทั้งเรื่อง Privacy และ Security
• มีเรื่องการจัดการเชิงระบบขององค์กร
• มีเรื่อง Breach Notification
61. • อ่าน & ติดตามข่าว ร่าง พรบ. DP
• Assess Impact ต่อองค์กร, มองหา Scenarios ที่อาจมีปัญหา
• Voice & ถามประเด็นผ่านช่องทางต่างๆ
• สร้างการรับรู้ในหมู่ผู้บริหาร + ตั้งคณะทางานวิเคราะห์และ
เตรียมการภายในองค์กร
• ศึกษา + เตรียมปรับ Informed Consent และระบบสารสนเทศ
เพื่อรองรับ
• Security Awareness Training
• Cyber Drills & Exercises
How to Prepare