Presented at the Thai Medical Informatics Association Hospital CIO Forum on July 12, 2018

1. ความเป็นส่วนตัวของข้อมูลผู้ป่วย
(Patient Data Privacy in Hospitals)
นพ.นวนรรน ธีระอัมพรพันธุ์
12 ก.ค. 2561www.SlideShare.net/Nawanan

2. Outline
• Why Data Privacy Protection
• Existing Laws
• Problems
• Draft Data Protection Act
• How Hospitals Should Prepare

3. Why Data Protection

4. Why Data Protection
https://www.blognone.com/node/79473

5. Why Data Protection

6. The Day We All WannaCry’ed
http://www.mirror.co.uk/news/uk-news/ransomware-nhs-cyber-attack-live-10409420

7. Infected with WannaCry
https://cdn.securelist.com/files/2017/05/wannacry_05.png

8. Why Data Protection

9. Why Data Protection

10. Why Data Protection

11. User Security & Privacy
So, two informaticians walk
into a bar...
The bouncer says, "What's
the password."
One says, "Password?"
The bouncer lets them in.
Credits: @RossMartin & AMIA (2012)

12. User Security

13. Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House

14. Existing Laws

15. Hippocratic Oath
“...What I may see or hear in the course of
treatment or even outside of the treatment in
regard to the life of men, which on no account one
must spread abroad, I will keep myself holding
such things shameful to be spoken about...”

16. Relevant Ethical Principles
Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย)
“First, Do No Harm.”

17. ประมวลกฎหมายอาญา
มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็นเจ้าพนักงาน
ผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจาหน่ายยา นางผดุง
ครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วยในการประกอบอาชีพนั้น แล้ว
เปิดเผยความลับนั้นในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้อง
ระวางโทษจาคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ
ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผยความลับของผู้อื่น
อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความ
เสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษเช่นเดียวกัน

18. ข้อบังคับแพทยสภา ว่าด้วยการรักษาจริยธรรม
แห่งวิชาชีพเวชกรรม พ.ศ. 2549
วิชาชีพอื่นๆ ด้านสุขภาพ และคณะกรรมการประกอบโรคศิลปะ มีข้อบังคับใน
ทานองเดียวกัน

19. คาประกาศสิทธิและข้อพึงปฏิบัติของผู้ป่วย
7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่
ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่
ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรง
ของผู้ป่วยหรือตามกฎหมาย

20. พรบ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540
“เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น”
มาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้
หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคาสั่งมิให้เปิดเผยก็ได้ โดยคานึงถึง
การปฏิบัติหน้าที่ตามกฎหมาย...ประกอบกัน...
(5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการ
รุกล้าสิทธิส่วนบุคคลโดยไม่สมควร
(6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย...

21. พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
และที่แก้ไขเพิ่มเติม

22. พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะ
นาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การ
เปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมาย
เฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือ
สิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอ
เอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้

23. ประกาศคณะกรรมการสุขภาพแห่งชาติ เรื่อง แนวทางปฏิบัติในการ
ใช้งานสื่อสังคมออนไลน์ของผู้ปฏิบัติงานด้านสุขภาพ พ.ศ. 2559
http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

24. ประกาศคณะกรรมการสุขภาพแห่งชาติ เรื่อง แนวทางปฏิบัติในการ
ใช้งานสื่อสังคมออนไลน์ของผู้ปฏิบัติงานด้านสุขภาพ พ.ศ. 2559
http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

25. ประกาศคณะกรรมการสุขภาพแห่งชาติ เรื่อง แนวทางปฏิบัติในการ
ใช้งานสื่อสังคมออนไลน์ของผู้ปฏิบัติงานด้านสุขภาพ พ.ศ. 2559
http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

26. กฎหมายเฉพาะ
• พรบ.สถานพยาบาล พ.ศ. 2541 และที่แก้ไขเพิ่มเติม

27. กฎหมายเฉพาะ
• พรบ.โรคติดต่อ พ.ศ. 2558

28. กฎหมายเฉพาะ
• พรบ.สุขภาพจิต พ.ศ. 2551

29. กฎหมายเฉพาะ
• พรบ.สุขภาพจิต พ.ศ. 2551

30. กฎหมายเฉพาะ
• พรบ.หลักประกันสุขภาพแห่งชาติ พ.ศ. 2545

31. กฎหมายเฉพาะ
• พรบ.หลักประกันสุขภาพแห่งชาติ พ.ศ. 2545

32. กฎหมายเฉพาะ
• พรบ.ประกันสังคม พ.ศ. 2533

33. กฎหมายเฉพาะ
• พรฎ.เงินสวัสดิการเกี่ยวกับการรักษาพยาบาล พ.ศ. 2553

34. กฎหมายอื่น
• พรก.การบริหารราชการในสถานการณ์ฉุกเฉิน พ.ศ. 2548

35. กฎหมายอื่น
• พรบ.การรักษาความมั่นคงภายในราชอาณาจักร พ.ศ. 2551
• ไม่ปรากฏว่ามีบทบัญญัติให้อานาจในการเรียกบุคคลมารายงานตัวหรือมาให้
ถ้อยคาหรือส่งมอบเอกสารหรือหลักฐานใด หรือสั่งให้เปิดเผยข้อมูล ที่ชัดเจน

36. Problems

37. ตัวอย่าง Scenario ที่อาจมีปัญหา
Disaster & Public
Health
Emergencies
https://en.wikipedia.org/wiki/Hurricane_Katrina

38. ตัวอย่าง Scenario ที่อาจมีปัญหา
https://en.wikipedia.org/wiki/Hurricane_Katrina
Data Report to Central
Offices
• MOPH ICT
• Service Plans
• Disease Surveillance
• Disease Registries

39. ตัวอย่าง Scenario ที่อาจมีปัญหา
Claims, Reimbursements & Auditing

40. ตัวอย่าง Scenario ที่อาจมีปัญหา
Training & Competency Assurance
• การตรวจสอบของสภาวิชาชีพเพื่อควบคุมคุณภาพและมาตรฐานของการฝึกอบรม
• การเรียนการสอน เช่น นักศึกษาแพทย์

41. ตัวอย่าง Scenario ที่อาจมีปัญหา
Organizational Management
• การจัดการความเสี่ยง และการพัฒนา
คุณภาพภายในสถานพยาบาล
• การวางแผนธุรกิจและการบริหารจัดการ
ทั่วไปขององค์กร
• การเปิดเผยให้กับ Outsource หรือ
Business Associates

42. ตัวอย่าง Scenario ที่อาจมีปัญหา
Research
• การขอข้อมูลที่ระบุตัวตนได้โดยหน่วยงานส่วนกลาง เช่น สปสช., กรมสุขภาพจิต เพื่อการ
ศึกษาวิจัยหรือวิเคราะห์วางแผน ที่ไม่มีบทบัญญัติให้อานาจในการขอข้อมูลไว้อย่างชัดเจน
• การวิจัยจากข้อมูลที่ระบุตัวตนได้ แต่ไม่ feasible ที่จะขอความยินยอมจากผู้ป่วยโดยตรง
(เช่น Big Data หรือเป็น Retrospective Study)
• Tissue Biobank และข้อมูลที่เป็นประโยชน์ต่อการวิจัยแต่ไม่ได้ขอความยินยอมไว้ก่อน
• การจัดทา Disease Registry

43. ตัวอย่าง Scenario ที่อาจมีปัญหา

44. ตัวอย่าง Scenario ที่อาจมีปัญหา

45. ตัวอย่าง Scenario ที่อาจมีปัญหา

46. ตัวอย่าง Scenario ที่อาจมีปัญหา
Public Administration
• กรณีสถานการณ์ทางการเมือง มีผู้บาดเจ็บมารักษาที่สถานพยาบาล
(รัฐ/เอกชน) และพนักงานเจ้าหน้าที่ขอรายชื่อผู้บาดเจ็บเพื่อ
ดาเนินการสืบสวนสอบสวน/จับกุมหรือบริหารจัดการสถานการณ์

47. ปัญหาของกฎหมาย Health Information Privacy ในปัจจุบัน
• เป็น sectoral privacy law จึงอาจมีมาตรฐานแตกต่างจาก sector อื่น
• สถานพยาบาลของรัฐ ถูกกากับโดย พรบ.ข้อมูลข่าวสารของราชการ ด้วย
แต่ไม่รวมสถานพยาบาลของเอกชน ทาให้มีมาตรฐานแตกต่างกัน รวมทั้ง
สถานพยาบาลของรัฐเกิดความสับสนเกี่ยวกับกฎหมายหลายฉบับ ที่มี
หลักการและบทบัญญัติแตกต่างกัน
• ไม่มีบทบัญญัติบังคับให้สถานพยาบาลมีการจัดการเชิงระบบเพื่อคุ้มครอง
Privacy อย่างชัดเจน (ยกเว้นตาม พรบ.ข้อมูลข่าวสารของราชการ ซึ่งไม่
จาเพาะต่อ Healthcare)

48. ปัญหาของกฎหมาย Health Information Privacy ในปัจจุบัน
• กฎหมายเกี่ยวกับกองทุนและระบบประกันสุขภาพ เขียนอานาจ
หน้าที่ในการต้องเปิดเผยข้อมูลสุขภาพของผู้ป่วยไม่ชัดเจน
• ในสถานการณ์จริงบางกรณีไม่มีบทบัญญัติทางกฎหมายรองรับ
• การขัดกันของกฎหมายบางฉบับในบางสถานการณ์ (เช่น
สถานการณ์ฉุกเฉินที่มีกฎหมายให้อานาจรัฐไว้ค่อนข้างกว้างขวาง)
ไม่ชัดเจน

49. ปัญหาของกฎหมาย Health Information Privacy ในปัจจุบัน
• ปัญหาของ พรบ.สุขภาพแห่งชาติ มาตรา 7
• ไม่มีนิยามของ “ข้อมูลด้านสุขภาพของบุคคล” (เช่น Genetics information,
ข้อมูล Dietary Requirements)
• ไม่ชัดเจนว่า “ผู้ใด” ในกรณีหน่วยงาน/สถานพยาบาล (โดยเฉพาะที่อยู่ในสังกัด
กรม/นิติบุคคลเดียวกัน เช่น รพ. ในสังกัดกรมการแพทย์) จะตีความอย่างไร
• “ในประการที่น่าจะทาให้บุคคลนั้นเสียหาย” เป็น Subjective Value
Judgment และขัดกับแนวคิด Privacy ทั่วไปที่มุ่งคุ้มครอง Privacy ของข้อมูล
สุขภาพ โดยไม่สนใจความเสียหาย
• การอ้างถึงกฎหมายว่าด้วยข้อมูลข่าวสารของราชการ สร้างความสับสน
• เงื่อนไขข้อยกเว้นไม่ครอบคลุม (ต่างจาก HIPAA ที่ระบุไว้ชัดมาก)
• ไม่ให้อานาจในการออกข้อยกเว้น
• ไม่สอดคล้องกับบริบทของ Healthcare เช่น กรณีฉุกเฉิน หรือเพื่อประโยชน์ใน
การรักษาผู้ป่วย

50. ปัญหาของกฎหมาย Health Information Privacy ในปัจจุบัน
• ปัญหาของ พรบ.สุขภาพแห่งชาติ มาตรา 7
– ไม่รวมข้อมูลของผู้เสียชีวิต
– การให้ความยินยอมแทนโดยญาติ ไม่ชัดเจน และมีปัญหาในทางปฏิบัติ
– ไม่ให้อานาจในการออกหลักเกณฑ์ วิธีการ และเงื่อนไขในทางปฏิบัติ (เช่น การขอความ
ยินยอมของผู้ป่วย)
– มุ่งเน้นเรื่องการเปิดเผยข้อมูล แต่ไม่รวมเรื่องการเก็บรวบรวมและการใช้ข้อมูล
– ไม่ได้กาหนดหลักการของ Sensitive Information
– มุ่งเน้นเพียงด้าน Privacy แต่ไม่ได้กาหนดหลักเกณฑ์ วิธีการ และเงื่อนไขด้าน Security
– ไม่ได้ Balance กับความเสี่ยงอีกด้าน คือ ให้ข้อมูลผู้ป่วยไม่ครบ เกิดความเสี่ยงในการวินิจฉัย
รักษาโรค
– ขาดเรื่อง Breach Notification

51. Draft Data Protection Act

52. Timeline ของการร่างกฎหมายโดยสังเขป
• 6 ม.ค. 2558 ครม. อนุมัติหลักการร่างกฎหมายเพื่อรองรับการพัฒนาเศรษฐกิจ
ดิจิทัลของประเทศ จานวน 8 ฉบับ
• ก.ค. 2558 สานักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาร่างเสร็จแล้ว
(เรื่องเสร็จที่ 1135/2558)
• 16 พ.ย. 2559 กระทรวง DE รับฟังความคิดเห็นเป็นการทั่วไป
• 15-17 ส.ค. 2560 กระทรวง DE รับฟังความคิดเห็นโดยการจัดประชุม Focus Group
• 24-30 ม.ค. 2561 กระทรวง DE รับฟังความคิดเห็นจากตัวแทนผู้มีส่วนได้เสีย
• 22 ม.ค. - 6 ก.พ. 2561 กระทรวง DE รับฟังความคิดเห็นผ่านเว็บไซต์และ e-mail
• 22 พ.ค. 2561 ครม. อนุมัติหลักการร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....

53. Draft Versions ของร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล
• ฉบับ ครม.อนุมัติหลักการ (ม.ค. 2558)
– https://ictlawcenter.etda.or.th/de_laws/download_file/1_Cabinet_Draft-de_laws_data-privacy-act.pdf
• ฉบับที่สานักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาแล้ว
– https://ictlawcenter.etda.or.th/de_laws/download_file/2_Krisdika_Draft-de_laws_data-privacy-act.pdf
• หลักเกณฑ์ในการตรวจสอบความจาเป็นในการตรา พรบ. (Checklist)
– http://www.lawamendment.go.th/index.php/laws-independent-entity/item/download/637_a2f97378f31813a3e3c62af2af8c428c
• ฉบับรับฟังความคิดเห็น พ.ศ. 2561
– http://www.lawamendment.go.th/index.php/laws-independent-entity/item/download/638_ff2d1b57074e14b167dcd2e5c31fab38
• ฉบับแก้ไขหลังรับฟังความคิดเห็น พ.ศ. 2561
– http://www.lawamendment.go.th/index.php/laws-independent-entity/item/download/615_e5a934b4a2185cd8f7f329f6ec6508d4
• สรุปผลการรับฟังความคิดเห็น
– http://www.lawamendment.go.th/index.php/laws-independent-entity/item/download/614_f8c334bc3c75c6d1ee7db3ab0c7b3a82

54. Draft Versions ของร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล
• ฉบับ ครม.อนุมัติหลักการ เมื่อวันที่ 22 พ.ค. 2561
http://www.etcommission.go.th/files/news/Draft_DP_Law_220561.pdf

55. ข้อดีของร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล ฉบับ ครม. อนุมัติ
หลักการ เมื่อวันที่ 22 พ.ค. 2561
• เป็น General Privacy Law จึงแก้ปัญหาเรื่องช่องว่างในการบังคับใช้ และ
มาตรฐานที่แตกต่างกันของ Sectoral Privacy Law ได้
• ครอบคลุมทั้งการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล
• กรรมการผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีการระบุความ
เชี่ยวชาญด้านสุขภาพ (มาตรา 8)
• ข้อมูลสุขภาพ ถือเป็น Sensitive Data (มาตรา 23)
• มีบทบัญญัติที่ไม่ขัดกับกฎหมายเฉพาะ เช่น พรบ.สุขภาพแห่งชาติ (มาตรา 3)
• Cover ทั้งเรื่อง Privacy และ Security
• มีเรื่องการจัดการเชิงระบบขององค์กร
• มีเรื่อง Breach Notification

56. ประเด็นที่เกี่ยวข้องกับร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล
ฉบับ ครม. อนุมัติหลักการ เมื่อวันที่ 22 พ.ค. 2561

57. ประเด็นที่เกี่ยวข้องกับร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล
ฉบับ ครม. อนุมัติหลักการ เมื่อวันที่ 22 พ.ค. 2561

58. How Hospitals Should Prepare

59. How to Prepare

60. How to Prepare

61. • อ่าน & ติดตามข่าว ร่าง พรบ. DP
• Assess Impact ต่อองค์กร, มองหา Scenarios ที่อาจมีปัญหา
• Voice & ถามประเด็นผ่านช่องทางต่างๆ
• สร้างการรับรู้ในหมู่ผู้บริหาร + ตั้งคณะทางานวิเคราะห์และ
เตรียมการภายในองค์กร
• ศึกษา + เตรียมปรับ Informed Consent และระบบสารสนเทศ
เพื่อรองรับ
• Security Awareness Training
• Cyber Drills & Exercises
How to Prepare

62. กฎหมายนี้มีผลกระทบ
อย่างมาก เตรียมการดีๆ
อย่าชะล่าใจ!!!!
How to Prepare

63. Ramathibodi Computer
Emergency Readiness Team
(Rama CERT)
Rama IT Enthusiasts
(Open to all Ramathibodi Personnel)
Community & Awareness Building

64. Security Awareness Training

65. Health Sector Security Awareness

66. Situational Awareness: GDPR

67. Situational Awareness: ระเบียบ สธ.

68. Q&A
Download Slides:
www.SlideShare.net/Nawanan