1. ผลกระทบทางจริยธรรม และประเด็นทางสังคม
ที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
นพ.นวนรรน ธีระอัมพรพันธุ์
ฝ่ายเวชสารสนเทศ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
http://www.SlideShare.net/Nawanan nawanan.the@mahidol.ac.th
13 มีนาคม 2556

2. เมื่อพูดถึงคําว่า “จริยธรรม”
เรามักคิดถึง...?

3. เมื่อพูดถึงคําว่า “จริยธรรม” เรามักคิดถึง...?
• ความถูกต้อง
• คุณธรรม
• ศีลธรรม
• จรรยาบรรณ
• ความประพฤติที่ดีงาม เหมาะสม
• การกระทําที่ถกกฎหมาย
ู

4. กรอบมาตรฐานของสังคม
กรอบมาตรฐานของสังคม
? ทางเลือกที่ 1
ทางเลือกที่ 2

5. กฎหมาย ในฐานะกรอบมาตรฐานของสังคม
กฎหมาย (Law)
? ทางเลือกที่ 1
ทางเลือกที่ 2

6. จรรยาบรรณแห่งวิชาชีพ
จรรยาบรรณแห่งวิชาชีพ (Professional Code of Ethics)
? ทางเลือกที่ 1
ทางเลือกที่ 2

7. จริยธรรม: ความประพฤติที่สังคมเห็นว่าดีงาม
จริยธรรม (Ethics)
? ทางเลือกที่ 1
ทางเลือกที่ 2

8. ความเป็นจริง
กฎหมาย
จรรยาบรรณ
? ทางเลือกที่ 1 จริยธรรม
ทางเลือกที่ 2

9. หลักจริยธรรม (Ethical Principles) สําคัญด้านสุขภาพ
• Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
• Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
• Non-maleficence (หลักการไม่ทําอันตรายต่อผู้ป่วย)
• “First, Do No Harm.”
• Justice (หลักความยุติธรรม)
• หมายถึงการกระจายทรัพยากรที่มีอยู่จํากัดอย่างเหมาะสม เป็นธรรม
และเท่าเทียมกัน

10. ประเด็นทางจริยธรรม กฎหมาย และสังคม
• Ethical, Legal, and Social Issues (ELSI)
• Ethical - ในเชิงจริยธรรม
• Legal - ในทางกฎหมาย
• Social - ที่เกี่ยวกับสังคม

11. ประเด็นเกี่ยวกับ ELSI ด้านเทคโนโลยีสารสนเทศทางสุขภาพ (1)
• กรณีที่ 1: บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ ส่งผลกระทบต่อผู้อื่น
และสังคม

12. ประเด็นเกี่ยวกับ ELSI ด้านเทคโนโลยีสารสนเทศทางสุขภาพ (2)
• กรณีที่ 2: ผู้ให้บริการทางสุขภาพใช้เทคโนโลยีสารสนเทศ ส่งผลกระทบ
ต่อผู้ป่วยและสังคม

13. กรณีที่ 1: บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ
กฎหมาย

14. กรณีที่ 1: บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ
พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551
• รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์ การรับส่งข้อมูล
อิเล็กทรอนิกส์ การใช้ลายมือชื่ออิเล็กทรอนิกส์ (electronic signature) และกําหนด
หลักเกณฑ์ต่างๆ ที่เกี่ยวข้องกับการทําธุรกรรมทางอิเล็กทรอนิกส์ (electronic
transaction)
• พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• กําหนดมาตรการป้องกันและปราบปรามการกระทําความผิดทีเกียวข้องกับ
่ ่
คอมพิวเตอร์ ซึ่งก่อให้เกิดความเสียหาย กระทบกระเทือนต่อเศรษฐกิจ สังคม และ
ความมั่นคงของประเทศ รวมทั้งความสงบสุขและศีลธรรมอันดีของประชาชน

15. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
การกระทําความผิดเกี่ยวกับคอมพิวเตอร์ (Computer-Related Crimes)
ตัวอย่าง?
• อาชญากรรมทางคอมพิวเตอร์ (Computer Crimes)
• เช่น Hacking, การเปิดเผยข้อมูลทีเป็นความลับ, การดักฟังข้อมูล
่
• การกระทําความผิดทีมีคอมพิวเตอร์เป็นเครื่องมือ (Crimes Using Computers as Tools)
่
• เช่น การเผยแพร่ภาพลามก
• การโพสต์ข้อความทีเป็นภัยต่อความมั่นคง
่
• การตัดต่อภาพเพื่อให้ผู้อื่นเสียหาย

16. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
มาตรา 3 (บทนิยาม)
• “ระบบคอมพิวเตอร์” หมายความว่า อุปกรณ์หรือชุดอุปกรณ์ของคอมพิวเตอร์ที่
เชื่อมการทํางานเข้าด้วยกัน โดยได้มการกําหนดคําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด และ
ี
แนวทางปฏิบัติงานให้อุปกรณ์หรือชุดอุปกรณ์ทําหน้าที่ประมวลผลข้อมูลโดย
อัตโนมัติ
• “ข้อมูลคอมพิวเตอร์” หมายความว่า ข้อมูล ข้อความ คําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด
บรรดาที่อยู่ในระบบคอมพิวเตอร์ในสภาพที่ระบบคอมพิวเตอร์อาจประมวลผลได้
และให้หมายความรวมถึงข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทาง
อิเล็กทรอนิกส์ด้วย

17. คําถาม
สิ่งต่อไปนี้ ถือเป็น “ระบบคอมพิวเตอร์” ตาม พรบ.นี้หรือไม่?

18. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
มาตรา 3 (บทนิยาม)
• “ข้อมูลจราจรทางคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสาร
ของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกําเนิด ต้นทาง ปลายทาง เส้นทาง เวลา
วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการ
ติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น
• “ผู้ให้บริการ” หมายความว่า
(1) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสูอินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการ
่
อื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือ
ในนามหรือเพื่อประโยชน์ของบุคคลอื่น
(2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น

19. ผู้ให้บริการ หมายรวมถึง
1. ผู้ประกอบกิจการโทรคมนาคมและกิจการกระจายภาพและเสียง
(Telecommunication and Broadcast Carriers)
2. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider)
3. ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่างๆ
(Hosting Service Provider
4. ผู้ให้บริการร้านอินเทอร์เน็ต
5. ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่าน Application ต่างๆ เช่น ผู้ให้บริการ
เว็บบอร์ด, Blog, e-Commerce ฯลฯ

20. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์
• มาตรา 5 การเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึง
โดยเฉพาะและมาตรการนั้นมิได้มีไว้สําหรับตน (Unauthorized access)
• เช่น การเจาะระบบ (hacking), การ hack รหัสผ่านคนอื่น
• การเข้าถึงทางกายภาพ หรือทางเครือข่ายก็ได้
• มาตรา 6 การเปิดเผยโดยมิชอบซึ่งมาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่
ผู้อื่นจัดทําขึ้นเป็นการเฉพาะที่ได้ล่วงรู้มา ในประการที่น่าจะเกิดความเสียหายแก่
ผู้อื่น
• เช่น เปิดเผยรหัสผ่านของผูอื่นโดยไม่ได้รับอนุญาต
้

21. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 7 การเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึง
โดยเฉพาะและมาตรการนั้นมิได้มีไว้สําหรับตน (Unauthorized access)
• เช่น การนําข้อมูลคอมพิวเตอร์ของผู้อื่นไปพยายามถอดรหัสเพื่ออ่านเนือความ
้
• มาตรา 8 การกระทําโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ซ่ง ึ
ข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และ
ข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้
ประโยชน์ได้
• เช่น การดักฟังข้อมูลผ่านเครือข่าย
• มาตรา 9 การทําให้เสียหาย ทําลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมด
หรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ
• เช่น การลบหรือแก้ไขข้อมูลของผู้อื่น โดยมีเจตนาร้าย

22. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 10 การกระทําโดยมิชอบ เพื่อให้การทํางานของระบบคอมพิวเตอร์ของ
ผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทํางานตามปกติได้
• เช่น Denial of Service (DoS) Attack = การโจมตีให้เว็บล่ม
• มาตรา 11 การส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่นโดย
ปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการ
ใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข
• เช่น ส่ง spam e-mail
• มาตรา 13 การจําหน่ายหรือเผยแพร่ชุดคําสั่งเพื่อนําไปใช้เป็นเครื่องมือในการ
กระทําความผิดตาม พรบ. นี้
• เช่น การเผยแพร่ซอฟต์แวร์เจาะระบบ

23. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 14
(1) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอม หรือข้อมูลคอมพิวเตอร์อันเป็น
เท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผอื่นหรือประชาชน
ู้
(2) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิด
ความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน
(3) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ อันเป็นความผิดเกียวกับความ
่
มั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้าย
(4) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ ที่มีลักษณะอันลามกและ
ข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้
(5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ตาม (1)-(4)

24. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 15 ความรับผิดกรณีผู้ให้บริการจงใจสนับสนุนหรือยินยอมให้มีการกระทํา
ความผิดตามมาตรา 14 ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน
• มาตรา 16 ผู้ใดนําเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจเข้าถึงได้ซึ่ง
ข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการ
สร้างขึ้น ตัดต่อ เติม หรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด
ทั้งนี้ โดยประการที่น่าจะทําให้ผู้อ่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือ
ื
ได้รับความอับอาย

25. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
หมวด 2 พนักงานเจ้าหน้าที่
• มาตรา 18 อํานาจของพนักงานเจ้าหน้าที่
(1) มีหนังสือสอบถามหรือเรียกบุคคลมาให้ถ้อยคํา ส่งคําชี้แจง หรือส่งหลักฐาน
(2) เรียกข้อมูลจราจรทางคอมพิวเตอร์จากผู้ให้บริการ
(3) สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บ
(4) ทําสําเนาข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์
(5) สั่งให้บุคคลซึ่งครอบครองหรือควบคุมข้อมูลคอมพิวเตอร์ ส่งมอบข้อมูล
(6) ตรวจสอบหรือเข้าถึงระบบคอมพิวเตอร์ ข้อมูล หรืออุปกรณ์ที่เป็นหลักฐาน
(7) ถอดรหัสลับของข้อมูล หรือสั่งให้บุคคลทําการถอดรหัสลับ
(8) ยึดหรืออายัดระบบคอมพิวเตอร์เท่าที่จําเป็น

26. พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 19-21 การยื่นคําร้องต่อศาลของพนักงานเจ้าหน้าที่ เกี่ยวกับการปฏิบัติ
หน้าที่ตาม พรบ. นี้
• มาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า
90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์...
• ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จาเป็นเพื่อให้สามารถระบุ
ํ
ตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่า 90
วัน นับตั้งแต่การใช้บริการสิ้นสุดลง

27. กรณีที่ 1 (พิเศษ): บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ
• บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ แล้วเกิดปัญหาทางสุขภาพ
พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับ
คอมพิวเตอร์

28. ประเด็นปัญหาทางสุขภาพที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ
• การยศาสตร์ (Ergonomics)
• ปัญหาทางสายตา
• ปัญหาทางจิตเวช
• การติดเกม ติดอินเทอร์เน็ต ติด Social Media
• อันตรายจากพฤติกรรมเสี่ยงที่ไม่ปลอดภัย
• ฯลฯ

29. การยศาสตร์ (Ergonomics) กับการใช้คอมพิวเตอร์
http://www.safety.uwa.
edu.au/health-
wellbeing/physical/
ergonomics/workstation

30. บทบาทของพยาบาลต่อปัญหาทางสุขภาพที่เกี่ยวข้องกับ IT
• ให้ความรู้ + คําแนะนําเพื่อป้องกันปัญหาสุขภาพ
• ให้กับบุคคลทัวไป
่
• ในกลุ่มเสียง
่
• คัดกรอง ประเมินปัญหา ในผู้ปวยที่มารับบริการ
่
• ให้คําแนะนําเพื่อแก้ไขปัญหา
• เป็นส่วนหนึ่งของทีมในการให้การรักษา
• ให้ความรู้ + สร้างความตระหนัก ให้กับสังคม

31. กรณีที่ 2: ผู้ให้บริการทางสุขภาพใช้เทคโนโลยีสารสนเทศ
กรอบทางสังคม (กฎหมาย, จริยธรรม)

32. พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ปวยได้บ้าง?
่
• เสียเวลากับคอมพิวเตอร์มากเกินไป ไม่ได้ดูแลผู้ปวยเท่าที่ควร
่
• ไม่ระมัดระวัง ข้อมูลส่วนบุคคลของผู้ป่วยรั่วไหล
• ระบบล่ม ไม่ทราบประวัติ ให้การดูแลผู้ป่วยไม่ได้
• บันทึกข้อมูลผิดพลาด เช่น ผิดคน ผิดตัวยา ผิดด้าน ฯลฯ เกิดอันตรายต่อผู้ป่วย
• โปรแกรมคอมพิวเตอร์มีปัญหาโดยพยาบาลไม่ทราบ เช่น คํานวณ dose ยาผิด
• มีระบบให้ใช้ แต่ผู้ใช้งาน (user) ไม่ยอมใช้ ใช้ผิดวัตถุประสงค์ หรือใช้วิธีลัด
• ระบบมีคําแนะนําสําหรับแนวทางการรักษาที่ได้มาตรฐาน ให้กับแพทย์/พยาบาล
• แพทย์/พยาบาล ให้การรักษาตามคําแนะนําของระบบ แต่เกิดปัญหากับผู้ป่วย
• แพทย์/พยาบาล ปฏิเสธคําแนะนําของระบบ แล้วเกิดปัญหากับผูป่วย
้
• แพทย์/พยาบาล ไม่ให้ความสนใจกับคําเตือนของระบบ

33. พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ปวยได้บ้าง?
่
• เสียเวลากับคอมพิวเตอร์มากเกินไป ไม่ได้ดูแลผู้ปวยเท่าที่ควร
่
• สาเหตุ
• ระบบออกแบบมาไม่ดี
• ระบบทํางานช้าเกินไป
• ข้อมูลที่ต้องบันทึก เยอะเกินไป
• ให้ความสําคัญกับการบันทึกมากกว่าการดูแลผูป่วย
้
• ติดคอมพ์? เล่นเน็ต?
• วิธีป้องกัน
• มีส่วนร่วมในการออกแบบระบบแต่แรก สื่อสารปัญหาให้ฝ่าย IT ทราบ
• ให้ความสําคัญกับการดูแลผูป่วย มากกว่าการบันทึกข้อมูลผู้ป่วย
้

34. พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ปวยได้บ้าง?
่
• ไม่ระมัดระวัง ข้อมูลส่วนบุคคลของผู้ปวยรั่วไหล
่
• สาเหตุ
• ผู้ใช้งานไม่ให้ความสําคัญกับความเป็นส่วนตัวของข้อมูลผู้ป่วย
• ขาดความรู้เกี่ยวกับวิธีการใช้งานระบบอย่างปลอดภัย
• จุดอ่อนของระบบสารสนเทศเอง
• วิธีป้องกัน
• ฝ่าย IT พัฒนาระบบให้ปลอดภัย, มีกระบวนการบริหารจัดการด้านความปลอดภัย
สารสนเทศทังระบบ
้
• มีการให้ความรู้เกี่ยวกับการรักษาความปลอดภัยสารสนเทศ และการคุ้มครอง
ความเป็นส่วนตัวของข้อมูลผู้ป่วย

35. Privacy & Security ของข้อมูลผู้ปวย
่
• ความเป็นส่วนตัว (Privacy) คือ ความสามารถของบุคคลในการคุ้มครองและ
ปกปิดตนเองและข้อมูลเกี่ยวกับตนเอง และเลือกที่จะเปิดเผยเท่าที่ตนประสงค์จะ
เปิดเผย
• ความปลอดภัยสารสนเทศ (Information Security) คือ การคุ้มครองข้อมูล
สารสนเทศ (information) และระบบสารสนเทศ (information systems) ด้วย
มาตรการต่างๆ เพื่อป้องกันการรั่วไหล การสูญหาย เปลี่ยนแปลง หรือความ
เสียหายอื่นๆ

36. ความปลอดภัยสารสนเทศ (Information Security)
• Confidentiality ความลับของข้อมูล
• Integrity ความถูกต้องของข้อมูล ไม่ถกแก้ไข ลบ หรือสูญหายโดยมิชอบ
ู
• Availability ความสามารถใช้งานได้ (เช่น ระบบไม่ล่ม)

37. มาตรการเพื่อความปลอดภัยของข้อมูลผู้ป่วย
• Physical Security ความปลอดภัยทางกายภาพ
• ล็อคห้องที่มีระบบสารสนเทศ ให้เข้าถึงยาก
• System Security ความปลอดภัยของ Server
• อุดช่องโหว่ -> Update patches ของ Windows หรือโปรแกรมต่างๆ บ่อยๆ
• Antivirus, Firewall, Intrusion Detection/Prevention System, Log files
• Software Security ความปลอดภัยของตัวซอฟต์แวร์เอง
• Network Security ความปลอดภัยของระบบเครือข่าย
• Database Security ความปลอดภัยในการเข้าถึงระบบฐานข้อมูล
• User Security รหัสผ่าน, การกําหนดสิทธิในระบบ, การตรวจสอบตัวตน,
ระวัง Phishing/Social Engineering “หลอกเอาข้อมูล”
• Encryption การเข้ารหัสข้อมูลที่สาคัญ
ํ

38. แนวทางการคุ้มครอง Privacy ของข้อมูลผู้ป่วย
• นอกเหนือจากมาตรการด้าน Security
• Informed Consent เกี่ยวกับแนวทางการเก็บบันทึกและเปิดเผยข้อมูลผูป่วย
้
• สร้างวัฒนธรรมที่ให้ความสําคัญกับความเป็นส่วนตัวของข้อมูลผู้ป่วย
• มีกระบวนการสร้างความตระหนัก + สอนผู้ใช้งาน
• มีการกําหนดกฎระเบียบและนโยบายด้านความปลอดภัยสารสนเทศขององค์กร
และบังคับใช้ (enforce) นโยบายดังกล่าว
• มีกระบวนการบริหารจัดการด้าน Privacy และ Security ที่ตอเนื่อง สม่ําเสมอ
่
Image: http://www.nurseweek.com/news/images/privacy.jpg

39. Social Media กับความเสี่ยงใหม่ๆ
ข้อความจริง บน
• "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา
ฉายรังสีต่อที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย คนไข้ฝากขอบคุณ
อาจารย์อีกครั้ง -- อีกอย่างคนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม. บอกว่าถ้า
พร้อมจะไป Follow-up กับอาจารย์ครับ"

40. กฎหมายที่เกี่ยวข้องกับข้อมูลสุขภาพ
• พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใด
จะนําไปเปิดเผยในประการที่น่าจะทําให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่
การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมี
กฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะ
อาศัยอํานาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือ
กฎหมายอื่นเพื่อขอเอกสารเกียวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่
่
ของตนไม่ได้
• อนาคตอาจมี พรบ.คุ้มครองข้อมูลส่วนบุคคล
(ปัจจุบันยังไม่ผ่านสภาฯ)

41. คําประกาศสิทธิผู้ป่วย
• เพื่อให้ความสัมพันธ์ระหว่างผู้ประกอบวิชาชีพด้านสุขภาพกับผู้ป่วย ตั้งอยู่บนพื้นฐานของความเข้าใจอันดีและเป็นที่ไว้วางใจซึ่งกันและกัน แพทย
สภา สภาการพยาบาล สภาเภสัชกรรม ทันตแพทยสภา คณะกรรมการควบคุมการประกอบโรคศิลปะ จึงได้ร่วมกันออกประกาศรับรองสิทธิของ
ผู้ป่วยไว ้ดังต่อไปนี้
1. ผู้ป่วยทุกคนมีสิทธิพื้นฐานที่จะได้รับบริการด้านสุขภาพ ตามที่บัญญัติไว้ในรัฐธรรมนูญ
2. ผู้ป่วยมีสิทธิที่จะได้รับบริการจากผู้ประกอบวิชาชีพด้านสุขภาพโดยไม่มีการเลือกปฏิบัติ เนื่องจากความแตกต่างด้านฐานะ เชื้อชาติ สัญชาติ
ศาสนา สังคม ลัทธิการเมือง เพศ อายุ และ ลักษณะของความเจ็บป่วย
3. ผู้ป่วยที่ขอรับบริการด้านสุขภาพมีสิทธิที่จะได้รับทราบข้อมูลอย่างเพียงพอ และเข้าใจชัดเจน จากผู้ประกอบวิชาชีพด้านสุขภาพเพื่อให้ผู้ป่วย
สามารถเลือกตัดสินใจในการยินยอมหรือไม่ยินยอมให้ผู้ประกอบวิชาชีพด้านสุขภาพปฏิบัติต่อตน เว้นแต่เป็นการช่วยเหลือรีบด่วนหรือ จําเป็น
4. ผู้ป่วยที่อยู่ในภาวะเสี่ยงอันตรายถึงชีวิต มีสิทธิที่จะได้รับการช่วยเหลือรีบด่วนจากผู้ประกอบวิชาชีพด้านสุขภาพโดยทันทีตามความจําเป็นแก่
กรณี โดยไม่คํานึงว่าผู้ป่วยจะร้อง ขอความช่วยเหลือหรือไม่
5. ผู้ป่วยมีสทธิท่จะได้รับทราบชื่อ สกุล และประเภทของผู้ประกอบวิชาชีพด้านสุขภาพที่เป็น ผู้ให้บริการแก่ตน
ิ ี
6. ผู้ป่วยมีสทธิที่จะขอความเห็นจากผู้ประกอบวิชาชีพด้านสุขภาพอื่น ที่มิได้เป็นผู้ให้บริ การแก่ตน และมีสิทธิในการขอเปลี่ยนผู้ให้บริการ และ
ิ
สถานบริการได้
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่จะได้รบความยินยอมจากผู้ป่วย
ั
หรือการปฏิบัตหน้าที่ตามกฎหมาย
ิ
8. ผู้ป่วยมีสิทธิท่จะได้รับทราบข้อมูลอย่างครบถ้วน ในการตัดสินใจเข้าร่วมหรือถอนตัวจากการเป็นผู้ถกทดลองในการทําวิจัยของผู้ประกอบวิชาชีพ
ี ู
ด้านสุขภาพ
9. ผู้ป่วยมีสทธิที่จะได้รับทราบข้อมูลเกี่ยวกับการรักษาพยาบาลเฉพาะของตนที่ปรากฏใน เวชระเบียนเมื่อร้องขอ ทั้งนี้ ข้อมูลดังกล่าวต้องไม่เป็น
ิ
การละเมิดสิทธิสวนตัวของบุคคลอื่น
่
10.บิดา มารดา หรือผู้แทนโดยชอบธรรม อาจใช้สิทธิแทนผู้ป่วยที่เป็นเด็กอายุยังไม่เกิน สิบแปดปีบริบูรณ์ ผู้บกพร่องทางกายหรือจิต ซึ่งไม่สามารถ
ใช้สทธิด้วยตนเองได้
ิ

42. คําประกาศสิทธิผู้ป่วย
• เพื่อให้ความสัมพันธ์ระหว่างผู้ประกอบวิชาชีพด้านสุขภาพกับผู้ป่วย ตั้งอยู่บนพื้นฐานของความเข้าใจอันดีและเป็นที่ไว้วางใจซึ่งกันและกัน แพทย
สภา สภาการพยาบาล สภาเภสัชกรรม ทันตแพทยสภา คณะกรรมการควบคุมการประกอบโรคศิลปะ จึงได้ร่วมกันออกประกาศรับรองสิทธิของ
ผู้ป่วยไว ้ดังต่อไปนี้
1. ผู้ป่วยทุกคนมีสิทธิพื้นฐานที่จะได้รับบริการด้านสุขภาพ ตามที่บัญญัติไว้ในรัฐธรรมนูญ
2. ผู้ป่วยมีสิทธิที่จะได้รับบริการจากผู้ประกอบวิชาชีพด้านสุขภาพโดยไม่มีการเลือกปฏิบัติ เนื่องจากความแตกต่างด้านฐานะ เชื้อชาติ สัญชาติ
7. ผู้ป่วยมีสิทธิท่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง
ี
ศาสนา สังคม ลัทธิการเมือง เพศ อายุ และ ลักษณะของความเจ็บป่วย
3. ผู้ป่วยที่ขอรับบริการด้านสุขภาพมีสิทธิที่จะได้รับทราบข้อมูลอย่างเพียงพอ และเข้าใจชัดเจน จากผู้ประกอบวิชาชีพด้านสุขภาพเพื่อให้ผู้ป่วย
จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่
สามารถเลือกตัดสินใจในการยินยอมหรือไม่ยินยอมให้ผู้ประกอบวิชาชีพด้านสุขภาพปฏิบัติต่อตน เว้นแต่เป็นการช่วยเหลือรีบด่วนหรือ จําเป็น
4. ผู้ป่วยที่อยู่ในภาวะเสี่ยงอันตรายถึงชีวิต มีสิทธิที่จะได้รับการช่วยเหลือรีบด่วนจากผู้ประกอบวิชาชีพด้านสุขภาพโดยทันทีตามความจําเป็นแก่
กรณี โดยไม่คํานึงว่าผู้ป่วยจะร้อง ขอความช่วยเหลือหรือไม่
จะได้รับความยินยอมจากผู้ป่วยหรือการปฏิบัติหน้าที่
5. ผู้ป่วยมีสทธิท่จะได้รับทราบชื่อ สกุล และประเภทของผู้ประกอบวิชาชีพด้านสุขภาพที่เป็น ผู้ให้บริการแก่ตน
ิ ี
6. ผู้ป่วยมีสทธิที่จะขอความเห็นจากผู้ประกอบวิชาชีพด้านสุขภาพอื่น ที่มิได้เป็นผู้ให้บริ การแก่ตน และมีสิทธิในการขอเปลี่ยนผู้ให้บริการ และ
ิ
ตามกฎหมาย
สถานบริการได้
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่จะได้รบความยินยอมจากผู้ป่วย
ั
หรือการปฏิบัตหน้าที่ตามกฎหมาย
ิ
8. ผู้ป่วยมีสิทธิท่จะได้รับทราบข้อมูลอย่างครบถ้วน ในการตัดสินใจเข้าร่วมหรือถอนตัวจากการเป็นผู้ถกทดลองในการทําวิจัยของผู้ประกอบวิชาชีพ
ี ู
ด้านสุขภาพ
9. ผู้ป่วยมีสทธิที่จะได้รับทราบข้อมูลเกี่ยวกับการรักษาพยาบาลเฉพาะของตนที่ปรากฏใน เวชระเบียนเมื่อร้องขอ ทั้งนี้ ข้อมูลดังกล่าวต้องไม่เป็น
ิ
การละเมิดสิทธิสวนตัวของบุคคลอื่น
่
10.บิดา มารดา หรือผู้แทนโดยชอบธรรม อาจใช้สิทธิแทนผู้ป่วยที่เป็นเด็กอายุยังไม่เกิน สิบแปดปีบริบูรณ์ ผู้บกพร่องทางกายหรือจิต ซึ่งไม่สามารถ
ใช้สทธิด้วยตนเองได้
ิ

43. คําถาม
• การคุ้มครองความเป็นส่วนตัว (Privacy) และความปลอดภัย (Security)
ของข้อมูลผู้ปวย เข้าได้กับหลักจริยธรรมใด
่
• Autonomy?
• Beneficence?
• Non-Maleficence?
• Justice?

44. MU Social Network Policy
http://intranet.mahidol/op/orla/law/index.php/announce
ment/146-2556/770-social-network

45. MU Social Network Policy

46. MU Social Network Policy

47. MU Social Network Policy

48. MU Social Network Policy

49. MU Social Network Policy

50. MU Social Network Policy

51. Social Network Case Studies
Source: Drama-addict.com
Disclaimer (นพ.นวนรรน):
นําเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาลบหลู่ ดูหมิ่น หรือทําให้ผู้ใด
เสียหาย โปรดใช้วิจารณญาณในการ
อ่านเนื้อหา

52. Social Network Case Studies Disclaimer (นพ.นวนรรน):
นําเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาดูหมิ่น หรือทําให้ผู้ใดเสียหาย
และไม่มีเจตนาสร้างประเด็นทาง
การเมือง
ชื่อ สัญลักษณ์ หรือเครื่องหมายของ
บุคคลหรือองค์กรใด เป็นเพียงการให้
ข้อมูลแวดล้อมเพื่อการทําความเข้าใจ
กรณีศึกษาเท่านั้น ไม่ใช่การใส่ความว่า
ผู้นั้นกระทําการใด อันจะทําให้ผู้นั้น
เสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียด
ชัง โปรดใช้วิจารณญาณในการอ่าน
เนื้อหา

53. บทเรียนจากกรณีศึกษา (Lessons Learned)
• องค์กรไม่มีทางห้ามพนักงานไม่ให้โพสต์ข้อมูลได้
• ช่องทางการโพสต์มีมากมาย ไม่มีทางห้ามได้ 100%
• นโยบายที่เหมาะสม คือการกําหนดกรอบไว้ให้พนักงานโพสต์ได้ตามความเหมาะสม
ภายในกรอบที่กาหนด
ํ
• พนักงานย่อมสวมหมวกขององค์กรอยู่เสมอ (แม้จะโพสต์เป็นการส่วนตัว แต่องค์กร
ก็เสียหายได้)
• คิดก่อนโพสต์, สร้างวัฒนธรรมภายในองค์กร
• การรักษาความลับขององค์กรและข้อมูลส่วนบุคคลของลูกค้า
• มีนโยบายให้ระบุตัวตนและตําแหน่งให้ชัดเจน
• องค์กรควรยอมรับปัญหาอย่างตรงไปตรงมาและทันท่วงที
http://www.siamintelligence.com/social-media-policy-cathay-pacific-case/

54. Facebook Privacy Settings

55. Facebook Privacy Settings

56. พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ปวยได้บ้าง?
่
• เสียเวลากับคอมพิวเตอร์มากเกินไป ไม่ได้ดูแลผู้ปวยเท่าที่ควร
่
• ไม่ระมัดระวัง ข้อมูลส่วนบุคคลของผู้ป่วยรั่วไหล
• ระบบล่ม ไม่ทราบประวัติ ให้การดูแลผู้ป่วยไม่ได้
• บันทึกข้อมูลผิดพลาด เช่น ผิดคน ผิดตัวยา ผิดด้าน ฯลฯ เกิดอันตรายต่อผู้ป่วย
• โปรแกรมคอมพิวเตอร์มีปัญหาโดยพยาบาลไม่ทราบ เช่น คํานวณ dose ยาผิด
• มีระบบให้ใช้ แต่ผู้ใช้งาน (user) ไม่ยอมใช้ ใช้ผิดวัตถุประสงค์ หรือใช้วิธีลัด
• ระบบมีคําแนะนําสําหรับแนวทางการรักษาที่ได้มาตรฐาน ให้กับแพทย์/พยาบาล
• แพทย์/พยาบาล ให้การรักษาตามคําแนะนําของระบบ แต่เกิดปัญหากับผู้ป่วย
• แพทย์/พยาบาล ปฏิเสธคําแนะนําของระบบ แล้วเกิดปัญหากับผูป่วย
้
• แพทย์/พยาบาล ไม่ให้ความสนใจกับคําเตือนของระบบ

57. การใช้วธีลัด (workaround) ที่ไม่ได้ตรงตามที่ออกแบบระบบมา
ิ

58. ผลของการไม่ให้ความสนใจกับคําเตือนของระบบ

59. ความรับผิดทางกฎหมาย กรณีใช้ระบบแล้วเกิดผลเสียต่อผู้ป่วย
ความรับผิดทางกฎหมาย ของบุคลากรทางการแพทย์ มี 3 ส่วนหลัก
• ความรับผิดทางอาญา (เจตนา หรือประมาทเลินเล่อ)
• ความรับผิดทางแพ่ง (ละเมิด)
• การพิจารณาเป็นคดีจริยธรรมในสภาวิชาชีพ
คําถาม ใครต้องรับผิดทางกฎหมาย ระหว่าง ผู้ใช้งาน
(แพทย์/พยาบาล) ผู้พัฒนาระบบสารสนเทศ หรือผู้บริหาร?

60. ใครต้องรับผิดทางกฎหมาย
ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด
ผู้พัฒนาระบบ รับผิด
ระบบมีข้อผิดพลาดในการพัฒนา เช่น
ใช้สูตรคํานวณ dose ยาผิด
ทําให้เกิดอันตรายต่อผู้ป่วย

61. ใครต้องรับผิดทางกฎหมาย
ถ้าเป็นเหตุสุดวิสัย ไม่ได้ประมาท
ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด
ไม่ต้องรับผิดทางอาญา
อุทกภัย -> ระบบล่ม
ทําให้การดูแลผูป่วยมีปัญหา
้

62. ใครต้องรับผิดทางกฎหมาย
โรงพยาบาล/ผู้บริหาร อาจต้อง
ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด
รับผิดเพราะควรป้องกันปัญหาได้
ระบบล่มบ่อย ขาดการ
บริหารจัดการที่ดี
ทําให้การดูแลผูป่วยมีปัญหา
้

63. ใครต้องรับผิดทางกฎหมาย
ผู้ใช้งานอาจต้องรับผิด
ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด
ผู้ใช้งานใช้ระบบผิด
วัตถุประสงค์
ทําให้การดูแลผูป่วยมีปัญหา
้

64. ใครต้องรับผิดทางกฎหมาย
ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด ผู้ใช้งานอาจต้องรับผิดเนื่องจาก
ประมาทเลินเล่อ
ระบบมีข้อความเตือนว่าการสั่งการรักษาบางอย่าง
อาจมีอนตรายต่อผู้ป่วย ผู้ใช้งานไม่สนใจคําเตือนนั้น
ั
เพียงกดปุ่มข้ามไปให้ผ่านๆ โดยไม่ได้ไตร่ตรองดู

65. สรุป
• จริยธรรม จรรยาบรรณแห่งวิชาชีพ กฎหมาย คือกรอบของสังคม
ที่กําหนดว่าสิ่งใดควรทํา หรือไม่ควรทํา
• การใช้เทคโนโลยีสารสนเทศ ไม่ว่าโดยบุคคลทั่วไปหรือบุคลากร
ทางการแพทย์ ย่อมมีประเด็นด้านจริยธรรม กฎหมาย และ
ผลกระทบต่อสังคม เสมอ
• กฎหมายสําคัญที่เป็นกรอบในการกําหนดแนวทางการใช้
เทคโนโลยีสารสนเทศของบุคคลทั่วไป คือ พรบ.ว่าด้วยการกระทํา
ความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

66. สรุป
• การใช้เทคโนโลยีสารสนเทศโดยพยาบาลหรือบุคลากรทาง
การแพทย์ อาจส่งผลกระทบต่อผู้ป่วยได้ และต้องอยู่บนพื้นฐาน
ของหลักจริยธรรมและกฎหมาย รวมทั้งต้องหาทางป้องกันปัญหา
ที่อาจเกิดต่อผู้ปวยจากการใช้งานระบบสารสนเทศ
่
• Privacy และ Security เป็นสอง concepts ที่มีความสําคัญ
สําหรับบุคลากรทางการแพทย์ที่ดแลผู้ป่วย และจําเป็นจะต้องให้
ู
ความสําคัญในการคุ้มครองข้อมูลผู้ป่วยอย่างเต็มที่
• ความรับผิดทางกฎหมายจากการใช้งานระบบสารสนเทศอาจ
แตกต่างกันไปขึ้นอยู่กับสาเหตุของปัญหา

67. สรุป
• ใช้ระบบสารสนเทศทางการพยาบาลอย่างมีจริยธรรม คํานึงถึง
กฎหมายที่เกี่ยวข้อง และมุ่งประโยชน์สูงสุดต่อผู้ป่วย และการ
ไม่ทําอันตรายต่อผู้ป่วย