Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)

1
ใช้ไอทีอย่างปลอดภัย
พวกเราสบายใจ
คนไข้ได้รับความคุ้มครอง
นพ.นวนรรน ธีระอัมพรพันธุ์
ปีงบประมาณ พ.ศ. 2566
http://www.slideshare.net/nawanan

2
2546 แพทยศาสตรบัณฑิต (รามาธิบดีรุ่นที่ 33)
2554 Ph.D. (Health Informatics), Univ. of Minnesota
รองคณบดีฝ่ายปฏิบัติการ
อาจารย์ ภาควิชาระบาดวิทยาคลินิกและชีวสถิติ
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี
ความสนใจ: Health IT, Social Media, Security & Privacy
SlideShare.net/Nawanan
แนะนาตัว นพ.นวนรรน ธีระอัมพรพันธุ์

3
Disclaimer: เป็นความเห็นทางวิชาการส่วนบุคคล
ไม่ผูกพันการทาหน้าที่ในบทบาทใดในปัจจุบัน
หรืออนาคต

4
Outline
• ทาไมเราต้องแคร์เรื่อง Security & Privacy?
• Security/Privacy กับข้อมูลผู้ป่วย
• แนวปฏิบัติด้าน Security ของระบบ
• แนวปฏิบัติด้าน Privacy ของข้อมูลส่วนบุคคล
• รามาธิบดี กับ Security/Privacy

5
ทาไมเราต้องแคร์
เรื่อง Security & Privacy?

6
ตัวอย่างภัยคุกคามด้าน Security & Privacy
https://breached.vc/ (Now Taken Down)

7
ภัย Privacy กับโรงพยาบาล
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

8
“Green” Organization & Privacy

9
เรื่องเล่าจากรามาธิบดี #1: Public Figure’s Privacy

10
เรื่องเล่าจากรามาธิบดี #1: Public Figure’s Privacy
การเข้าถึงข้อมูลของบุคคลสาธารณะ
ที่มารับการรักษาที่รามาธิบดี
ด้วยความอยากรู้อยากเห็น
โดยไม่มีเหตุผลอันสมควร

11
National Healthcare’s Worst Nightmare
https://www.straitstimes.com/singapore/personal-info-of-15m-singhealth-patients-including-pm-lee-
stolen-in-singapores-most

12
https://www.facebook.com/SaraburiHospital/photos/a.255929423747
8100/4366815263392646/
Ransomware Attack in Thai Hospitals

13
เรื่องเล่าจากรามาธิบดี #2: Malware

14
ภัย Security กับเมืองไทย
(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/
(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-
to-hollywood

15

16

17
Why Personal Data Protection

18
S: Social Media and Communication
S 1 Security and Privacy of Information
S 2 Social Media and Communication
Professionalism
2P Safety Personnel Safety Goals:
S in SIMPLE

19
▪ Confidentiality (ข้อมูลความลับ)
▪ Integrity (การแก้ไข/ลบ/เพิ่มข้อมูลโดยมิชอบ)
▪ Availability (ระบบล่ม ใช้การไม่ได้)
สิ่งที่เป็นเป้าหมายการโจมตี: CIA Triad

20
ผลกระทบ/ความเสียหาย
• ความลับถูกเปิดเผย
• ความเสี่ยงต่อชีวิต สุขภาพ จิตใจ การเงิน และ
การงานของบุคคล
• ระบบล่ม การให้บริการมีปัญหา
• ภาพลักษณ์ขององค์กรเสียหาย

21
แหล่งที่มาของการโจมตี
• Hackers
• Viruses & Malware
• ระบบที่มีปัญหาข้อผิดพลาด/ช่องโหว่
• Insiders (บุคลากรที่มีเจตนาร้าย)
• การขาดความตระหนักของบุคลากร
• ภัยพิบัติ

22
Security/Privacy
กับข้อมูลผู้ป่วย

23
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House

24
▪ Privacy: “The ability of an individual or group
to seclude themselves or information about
themselves and thereby reveal themselves
selectively.” (Wikipedia)
▪ Information Security: “Protecting information
and information systems from unauthorized
access, use, disclosure, disruption, modification,
perusal, inspection, recording or destruction”
(Wikipedia)
Security & Privacy

25
เรื่องเล่าจากรามาธิบดี #3: Enforcement
Uniform Enforcement:
เรื่องเล่าเกี่ยวกับ
ผู้บริหารที่ปฏิบัติตามนโยบาย Security

26
Line เสี่ยงต่อการละเมิด Privacy ผู้ป่วยได้อย่างไร?
• ข้อความใน Line group มีคนเห็นหลายคน
• ถูก capture หรือ forward ไป share ต่อได้
• ข้อมูล cache ที่เก็บใน mobile device อาจถูกอ่านได้
(เช่น ทาอุปกรณ์หาย หรือเผลอวางเอาไว้)
• ข้อมูลที่ส่งผ่าน network อาจไม่ได้เข้ารหัส
• บริษัท Line เข้าถึงได้ และอาจถูก hack ได้
• มีคนเดา Password ได้
• ส่งผิดกลุ่ม

27
ทางออกสาหรับการ Consult Case ผู้ป่วย
• ใช้ช่องทางอื่นที่ไม่มีการเก็บ record ข้อมูล หากทาได้ ยกเว้นจาเป็น
• ปกปิดชื่อ, HN, เลขที่เตียง หรือข้อมูลที่ระบุตัวตนผู้ป่วยได้ (รวมทั้ง
ในภาพ image) หากไม่มีความจาเป็น (เช่น เพื่อการแลกเปลี่ยน
เรียนรู้)
• แต่กรณีที่จาเป็น เช่น การสื่อสาร consult case ผู้ป่วย การสั่งการ
รักษา ให้ระบุตัวตนของผู้ป่วยเพื่อป้องกันข้อผิดพลาด
• Limit คนที่เข้าถึง (เช่น ไม่คุยเรื่อง case ผู้ป่วยผ่าน Line group
แต่คุยส่วนตัวเท่านั้น)
• ใช้อย่างปลอดภัย (ไม่แชร์ต่อแก่ผู้ไม่เกี่ยวข้อง, Password,
ดูแลอุปกรณ์ไว้กับตัว, ตรวจสอบ malware ฯลฯ)

28
เรื่องเล่าจากรามาธิบดี #4:
Fake News / Misinformation
ข้อมูลไม่จริง ที่สร้างความเสียหาย
กลายเป็น viral
(“เช็กก่อนแชร์”)

29
เรื่องเล่าจากรามาธิบดี #4: Fake News / Misinformation
http://new.khaosod.co.th.khaosod.online/dek3/win.html (อันตราย! ไม่ควรเข้าเว็บนี้)
ข่าวนี้ไม่เป็นความจริง

30
เรื่องเล่าจากรามาธิบดี #4: Fake News / Misinformation

31
Crisis Communication Strategies
More Strategies: Silence, Combinations
หากพบประเด็น Drama หรือการวิพากษ์วิจารณ์ หรือสงสัย Fake News
เกี่ยวกับรามาธิบดี ระวังอย่าสวมหมวกบุคลากรผู้รัก
รามาธิบดี ไปเถียง/ขู่ฟ้อง/ขอให้เขาลบโพสต์
แต่ให้แจ้งทีมสื่อสารองค์กร/ผู้บริหารที่เกี่ยวข้องแทน

32
เรื่องเล่าจากรามาธิบดี #5: Passwords
Keylogger Attack:
เรื่องเล่าจากกิจกรรมชมรม
สมัยเป็นนักศึกษาแพทย์

33
แนวปฏิบัติด้าน Security
ของระบบ

34
User Account Security
So, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)

35
What’s the Password?
Unknown Internet sources, via
http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737,
via Facebook page “สอนแฮกเว็บแบบแมวๆ”

37
User Account Security
https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png

38
▪ ความยาว 8 ตัวอักษรขึ้นไป (หรือยาวหลายคาเป็น Passphrase แทน)
▪ ความซับซ้อน: 3 ใน 4 กลุ่มตัวอักษร
▪ Uppercase letters
▪ Lowercase letters
▪ Numbers
▪ Symbols
▪ ไม่มีความหมาย (ป้องกัน “Dictionary Attacks”)
▪ ไม่ใช่ simple patterns (12345678, 11111111)
▪ ไม่เกี่ยวกับข้อมูลส่วนตัวที่คนสนิทอาจรู้ (เช่น วันเกิด
ชื่อคนในครอบครัว ชื่อสัตว์เลี้ยง)
Passwords

39
เรื่องเล่าจากรามาธิบดี #6: Password ท่องง่าย (แต่ก็ Hack ง่าย)
Dictionary Attack:
เรื่องเล่าจากการเรียน
การ Hack ระบบ ที่ USA

40
Clear Desk, Clear Screen Policy
http://pixabay.com/en/post-it-sticky-note-note-corner-148282/

41
แล้วจะจา Password ได้ยังไง?
▪คิดประโยคภาษาอังกฤษสัก 1 ประโยค
▪ประโยคนี้ควรมีคา 8 คาขึ้นไป และควรมีตัวเลข
หรือสัญลักษณ์พิเศษด้วย
▪ใช้ตัวอักษรตัวแรกของแต่ละคา เป็น Password

42
ตัวอย่างการตั้ง Password
http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/

43
ตัวอย่างการตั้ง Password
▪ประโยค:
I love reading all 7 Harry Potter books!
▪Password:
Ilra7HPb!

44
Password Sharing
อย่าแชร์ Password
กับคนอื่น

45
Password Expiration
เปลี่ยน Password
เป็นระยะ เช่น
ทุก 6-12 เดือน

46
▪ พิจารณาใช้แอปพลิเคชันสาหรับเก็บ Password ของ Account ต่าง ๆ
อย่างปลอดภัย (Password Manager) แทนการจดหรือตั้ง Password
อย่างง่ายหรือใช้ซ้ากัน
▪ เปิดใช้การเชื่อมต่อแบบปลอดภัย (Secure Connection) เช่น https://
หากทาได้ เพื่อป้องกันการดักฟังรหัสผ่านระหว่างทาง
▪ เปิดใช้บริการ 2-Factor Authentication (2FA) หรือ Multi-Factor
Authentication (MFA) หากทาได้
▪ หากเป็นไปได้ ควรใช้ Mobile Application ที่ช่วยการยืนยันตัวตน 2 ขั้นตอน
(Authenticator App) เช่น Duo Mobile, Google Authenticator
▪ เปิดใช้บริการ Passwordless Authentication หากทาได้
▪ ตั้งค่าแจ้งเตือนหากมีผู้ log-in หรือพยายามเปลี่ยนรหัสผ่าน
คาแนะนาเพิ่มเติมเกี่ยวกับ Password และการยืนยันตัวตน

47
Logout After Use
อย่าลืม Logout หลังใช้งานเสมอ
โดยเฉพาะเครื่องสาธารณะ
(หากไม่อยู่ที่หน้าจอ แม้เพียงชั่วครู่
ให้ Lock Screen เสมอ)

48
Mobile Security
▪ตั้ง PIN สาหรับ Lock Screen เอาไว้
▪ไม่เก็บข้อมูลสาคัญเอาไว้
▪ระวังไม่ให้สูญหาย หากสูญหายรีบแจ้งระงับ
▪หากมีข้อมูลผู้ป่วย/ข้อมูลส่วนบุคคลของผู้อื่น แล้ว
อุปกรณ์สูญหาย หรือ Account ถูก Hack ให้แจ้ง
มาที่ฝ่ายสารสนเทศ

49
E-mail Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

50
E-mail Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

51
เรื่องเล่าจากรามาธิบดี #7: E-mail/เว็บไซต์/โทรศัพท์หลอกลวง
Phishing &
Social Engineering
แก๊งก์ Call Center

52
https://www.cyfence.com/it-360/how-to-prevent-call-center-scammers/

53
คาแนะนาในการป้องกันภัยจากแก๊งก์ Call Center โดยกองบัญชาการ
ตารวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.)
1. ไม่มีนโยบายของเจ้าหน้าที่ของรัฐ ที่จะต้องโทรศัพท์ไปยังประชาชน เพื่อ
แสดงเอกสาร กล่าวอ้างว่าท่านกระทาความผิด หรือมีส่วนในการกระทา
ความผิด หากพบการกระทาดังกล่าว สันนิษฐานได้ว่าเป็นมิจฉาชีพแน่นอน
2. ไม่ตกใจ ไม่เชื่อเรื่องราวต่างๆ วางสายการสนทนาดังกล่าว ตรวจสอบก่อน
โดยการโทรศัพท์ไปสอบถามหน่วยงานนั้นๆ โดยตรง
3. ไม่โอนเงิน หากมีคาพูดว่าให้โอนเงินมาตรวจสอบเพื่อแสดงความบริสุทธิ์
หรือเพื่อสิ่งใดก็ตาม นั่นคือมิจฉาชีพแน่นอน
4. ไม่กดลิงก์ ติดตั้งแอปพลิเคชันใดๆ ที่ไม่ทราบแหล่งที่มาที่ชัดเจน เพราะ
อาจจะเป็นการหลอกลวงให้ติดตั้งโปรแกรมควบคุมเครื่องระยะไกล หรือ
โปรแกรมที่ฝังมัลแวร์ดักรับข้อมูลของมิจฉาชีพ
https://www.thaipost.net/criminality-news/333365/

54
5. ไม่ให้ข้อมูลส่วนตัว และข้อมูลการเงินกับผู้ใดทั้งนั้น เช่น
เลขบัตรประชาชน รหัสหลังบัตร รหัส OTP เป็นต้น
6. ท่านสามารถบล็อกสายเรียกเข้าที่มาจากต่างประเทศได้ ด้วยการ
กด *138*1# แล้วโทรออก
7. ติดตั้งแอปพลิเคชัน Whos Call เพื่อแจ้งเตือนระบุตัวตนสายเรียก
เข้าที่ไม่รู้จัก ป้องกันภัยจากมิจฉาชีพที่อาจโทรศัพท์มาหลอกลวง
8. ดูแล แจ้งเตือน ผู้สูงอายุ บุคคลใกล้ตัว เพื่อลดโอกาสในการ
ตกเป็นเหยื่อของมิจฉาชีพ
https://www.thaipost.net/criminality-news/333365/
คาแนะนาในการป้องกันภัยจากแก๊งก์ Call Center โดยกองบัญชาการ
ตารวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.)

55
คาแนะนาเพิ่มเติมเพื่อป้องกันภัยจากมิจฉาชีพ
• กาหนดเงื่อนไขการยืนยันตัวตนที่รัดกุมสาหรับการทาธุรกรรม
ทางการเงินที่มีจานวนเงินสูง หากทาได้
• ตั้งค่าแจ้งเตือนผ่าน SMS หรืออีเมลเมื่อมีการทาธุรกรรมทางการ
เงิน หากทาได้
• หลีกเลี่ยงการใช้แอปพลิเคชันกู้ยืมหนี้นอกระบบ โดยเฉพาะที่ต้อง
ติดตั้งแอปพลิเคชัน หรือต้องกดยินยอมให้ส่งข้อมูล Contact หรือ
ข้อมูลอื่น ๆ ในเครื่องออกไป เพราะจะทาให้ทราบข้อมูลเบอร์
โทรศัพท์คนอื่น รวมถึงอาจดักฟัง SMS หรือดักฟัง/ขโมยรหัสผ่าน
บัญชีธนาคารหรือ Account สาคัญ

59
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

60
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

61
Secure Log-in สาหรับเว็บที่สาคัญ
Microsoft Edge

62
Google Chrome

63
Mozilla Firefox
Google Chrome
1

64
Mozilla Firefox
Google Chrome
2
1

65
Mozilla Firefox
Google Chrome
2
1
3

66
1
Mozilla Firefox
Google Chrome
2
3
4

67
1
Mozilla Firefox
Google Chrome
2
3
4

68
ลักษณะสาคัญที่ควรสงสัย Phishing
▪Grammar ห่วยแตก
▪ตัวสะกดผิดเยอะ
▪พยายามอย่างยิ่งให้เปิดไฟล์แนบ หรือกด link
หรือตอบเมล/ให้ข้อมูลส่วนตัว แต่ไม่ค่อยให้
รายละเอียดมากนัก
▪E-mail ที่มาจากคนรู้จัก ไม่ได้ปลอดภัยเสมอไป

69
Phishing E-mail
https://www.thaicert.or.th/downloads/files/Phishing_Awareness_2.jpg

70
Facebook Malware
https://www.thaicert.or.th/downloads/files/Facebook_Malware_Awareness.jpg

71
Facebook Malware
https://www.thaicert.or.th/downloads/files/Facebook_Malware_Awareness.jpg

72
สรุปวิธีป้องกันภัยจาก Phishing, Social Engineering
และแก๊งก์ Call Center
ปลุก “ต่อมเอ๊ะ” ในตัวคุณ
ก่อนคลิก/ก่อนโอน

73
มัลแวร์เรียกค่าไถ่
(Ransomware)

74
ประกาศเตือนภัย Ransomware ในรามาธิบดี
ขอบคุณภาพ Screen Saver จากฝ่ายสารสนเทศ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี

75
Ransomware ระบาดใน Healthcare
http://www.healthcareitnews.com/news/more-half-hospitals-hit-ransomware-last-12-months

76
The Day We All WannaCry’ed
http://www.mirror.co.uk/news/uk-news/ransomware-nhs-cyber-attack-live-10409420

77
Ransomware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Ransomware.jpg

78
เครือข่ายด้าน IT ในองค์กร
Rama IT Enthusiasts
(Open to all Ramathibodi Personnel)

79
https://www.thaicert.or.th/downloads/files/Tips_to_Secure_Personal_Computer.jpg
PC Security, Virus & Malware

80
เรื่องเล่าจากรามาธิบดี #8: Virus & Patch Updates
Virus/Malware Attack &
Windows Update:
เรื่องเล่าจากบทบาท
IT Admin Supervisor
รามาธิบดี (ที่ต้องดูแลระบบล่ม)

81
เรื่องเล่าจากรามาธิบดี #9: Apple
False Sense of Security
เรื่องเล่าจาก Apple Fanboy

82
เรื่องเล่าจากรามาธิบดี #10:
Back-up Your Data:
เรื่องเล่าจากคนงานเยอะ

83
World Backup Day:
March 31 ของทุกปี

84
U.S. National Institute of Standards and Technology (NIST)
Cybersecurity Framework

85
แนวปฏิบัติด้าน Privacy
ของข้อมูลส่วนบุคคล

86
เรื่องเล่าจากชาวพันทิป: Privacy
http://pantip.com/topic/35330409/

87
หลักจริยธรรมทางการแพทย์ที่เกี่ยวกับ Privacy
• Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
• Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
• Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย)
“First, Do No Harm.”

88
Hippocratic Oath
...
What I may see or hear in the course of
treatment or even outside of the treatment
in regard to the life of men, which on no
account one must spread abroad, I will keep
myself holding such things shameful to be
spoken about.
...
http://en.wikipedia.org/wiki/Hippocratic_Oath

89
แนวทางการคุ้มครอง Privacy
• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations
▪ Enforcement
▪ Ongoing privacy & security assessments,
monitoring, and protection

90
เหตุผลในการประกาศใช้
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

91
• หมวด 1 คณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคล
• หมวด 2 การคุ้มครองข้อมูลส่วน
บุคคล
– ส่วนที่ 1 บททั่วไป
– ส่วนที่ 2 การเก็บรวบรวมข้อมูล
ส่วนบุคคล
– ส่วนที่ 3 การใช้หรือเปิดเผยข้อมูล
ส่วนบุคคล
• หมวด 3 สิทธิของเจ้าของข้อมูลส่วน
บุคคล
• หมวด 4 สานักงานคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคล
• หมวด 5 การร้องเรียน
• หมวด 6 ความรับผิดทางแพ่ง
• หมวด 7 บทกาหนดโทษ
– ส่วนที่ 1 โทษอาญา
– ส่วนที่ 2 โทษทางปกครอง
• บทเฉพาะกาล

92
เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA
1. PDPA ไม่ได้มา “ยกเลิก” กฎหมายอื่นที่
เกี่ยวข้องกับข้อมูลส่วนบุคคล เพียงแต่กาหนด
หลักการเพิ่มเติม เงื่อนไขและหน้าที่ที่ต้อง
ปฏิบัติ และสิทธิที่เจ้าของข้อมูลส่วนบุคคลมี

93
ประมวลกฎหมายอาญา
มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็นเจ้าพนักงาน
ผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจาหน่ายยา นางผดุง
ครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วยในการประกอบอาชีพนั้น แล้ว
เปิดเผยความลับนั้นในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้อง
ระวางโทษจาคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ
ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผยความลับของผู้อื่น
อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความ
เสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษเช่นเดียวกัน

94
ข้อบังคับแพทยสภา ว่าด้วยการรักษาจริยธรรม
แห่งวิชาชีพเวชกรรม พ.ศ. 2565
วิชาชีพอื่นๆ ด้านสุขภาพ และคณะกรรมการประกอบโรคศิลปะ มีข้อบังคับใน
ทานองเดียวกัน

95
คาประกาศสิทธิและข้อพึงปฏิบัติของผู้ป่วย
7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่
ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่
ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรง
ของผู้ป่วยหรือตามกฎหมาย

96
พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะ
นาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การ
เปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมาย
เฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจ
หรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่น
เพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้

97
พรบ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540
“เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น”
มาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้
หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคาสั่งมิให้เปิดเผยก็ได้ โดยคานึงถึง
การปฏิบัติหน้าที่ตามกฎหมาย...ประกอบกัน...
(5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการ
รุกล้าสิทธิส่วนบุคคลโดยไม่สมควร
(6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย...

98
กฎหมายเฉพาะ
• พรบ.โรคติดต่อ พ.ศ. 2558

99
• พรบ.สุขภาพจิต พ.ศ. 2551

100
• พรบ.สุขภาพจิต พ.ศ. 2551

101
2. PDPA วางหลักการทั่วไปของการเก็บรวบรวม ใช้
และเปิดเผยข้อมูลส่วนบุคคล
เก็บรวบรวม
(Collection)
ใช้ (Use)
เปิดเผย
(Disclosure)
กระบวนการเกี่ยวกับข้อมูลส่วนบุคคล
ประมวลผล (Processing) = เก็บรวบรวม + ใช้ + เปิดเผย (+ จัดเก็บ/เก็บรักษา +
วิเคราะห์ + แสดงผล + ทารายงาน + แก้ไข + ลบ/ทาลาย ฯลฯ)

102
3. ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลเกี่ยวกับบุคคล
ซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ แบ่งเป็น 2
ประเภท
• ข้อมูลส่วนบุคคลทั่วไป (General/Non-Sensitive
Personal Data)
• ข้อมูลส่วนบุคคลอ่อนไหว/ละเอียดอ่อน (Sensitive
Personal Data)

103
Sensitive
Personal Data
Reference: PDPA ม.26
“ข้อมูลชีวภาพ” ตาม PDPA คือ
Biometric Data (ที่ถูก คือ ข้อมูล
ชีวมาตร/ชีวมิติ) ใน พ.ร.บ. ใช้คาผิด
แต่คาอธิบายใน พ.ร.บ. หมายถึง
Biometric Data

104
4. ใครเป็นใคร ใน PDPA
• Data Subject (เจ้าของข้อมูลฯ)
• Controller (เก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อ
วัตถุประสงค์ในกิจการของตน)
• Processor (ทาตามสั่ง/ในนาม
ของ Controller)

105
5. PDPA กาหนดว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะต้อง
ทา “เท่าที่จาเป็น” (ตามหลักการ Data Minimization)
• การเก็บรวบรวม ใช้ หรือเปิดเผยเกินความจาเป็น เป็นความเสี่ยงของทั้ง
controller และ data subject
• แต่ไม่ได้แปลว่าถ้าจาเป็นแล้วจะเก็บรวบรวม ใช้ หรือเปิดเผยไม่ได้
• “จาเป็น” -> มี “ฐานทางกฎหมาย” (lawful basis) 1 ใน 7 ฐาน ซึ่งไม่ใช่
ว่าต้องขอความยินยอมก่อนเสมอไป ความยินยอมเป็นเพียง “ฐานทาง
กฎหมาย” (lawful basis) เดียวจากทั้งหมด 7 ฐานเท่านั้น โดยแต่ละฐาน
จะมีเงื่อนไขและสถานการณ์ที่ควรนามาใช้แตกต่างกัน

106
ฐานทางกฎหมายใน PDPA
(กรณีไม่ใช่ข้อมูลส่วนบุคคลที่ sensitive)
1. การจัดทาเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือการ
ศึกษาวิจัยหรือสถิติ (Archiving, Research or Statistics)
2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (Vital Interest)
3. เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลฯ เป็นคู่สัญญา หรือเพื่อใช้ใน
การดาเนินการตามคาขอก่อนเข้าทาสัญญา (Contractual Performance)
4. เป็นการจาเป็นเพื่อการปฏิบัติหน้าที่ในการดาเนินภารกิจเพื่อประโยชน์สาธารณะ หรือ
ในการใช้อานาจรัฐ (Public Task)
5. เป็นการจาเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย เว้นแต่ประโยชน์ดังกล่าวมี
ความสาคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลฯ
(Legitimate Interest)
6. เป็นการปฏิบัติตามกฎหมาย (Legal Obligation)
7. ได้รับความยินยอม (Consent)

107
ฐานการประมวลผลข้อมูล
Lawful Basis in PDPA
สาหรับข้อมูลส่วนบุคคลที่
ไม่ใช่ Sensitive Personal Data

108
สาหรับ Sensitive
Personal Data

109
สาหรับ Sensitive
Personal Data

110
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ
ยินยอมโดยชัดแจ้ง (มาตรา 26)
(1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่ง
เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม
(2) เป็นการดาเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม
ของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรที่มีวัตถุประสงค์เกี่ยวกับ
การเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานให้แก่สมาชิก ผู้ซึ่งเคยเป็นสมาชิก
หรือผู้ซึ่งมีการติดต่ออย่างสม่าเสมอกับมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหา
กาไรตามวัตถุประสงค์ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้นออกไป
ภายนอกมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรนั้น

111
(3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของ
เจ้าของข้อมูลส่วนบุคคล
(4) เป็นการจาเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติ
ตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิ
เรียกร้องตามกฎหมาย

112
(5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ
(ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทางาน
ของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม
การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้าน
สังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคลนั้น
อยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูลส่วน
บุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่างเจ้าของ
ข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์

113
(ข) ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจากโรคติดต่อ
อันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือการควบคุม
มาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้มีมาตรการที่
เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
โดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตามจริยธรรมแห่ง
วิชาชีพ

114
(ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการ
เกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจากรถ
หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจาเป็นในการ
ปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคล
โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของ
เจ้าของข้อมูลส่วนบุคคล

115
(ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะ
อื่น ทั้งนี้ ต้องกระทาเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จาเป็นเท่านั้น และได้
จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของ
ข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกาหนด
(จ) ประโยชน์สาธารณะที่สาคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิ
ขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

116
6. ใน PDPA เราไม่ใช้ “ความยินยอม” (consent) เป็น “เหตุผลแรก” (ฐานแรก) ใน
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่เราจะพิจารณาว่ามีฐานทาง
กฎหมายอื่นที่เข้าได้ก่อนหรือไม่ หากไม่มี จึงค่อยใช้ “ฐานความยินยอม” (Consent
should be the last resort.)
• เหตุผล ฐานความยินยอมตาม PDPA ใช้เมื่อเจ้าของข้อมูลฯ มีความเป็นอิสระในการ
ตัดสินใจ (ไม่ได้ถูกผูกมัดด้วยเงื่อนไขอื่น อยู่ก่อน) และ PDPA วางหลักการเรื่อง
consent ที่มีเงื่อนไขค่อนข้างเยอะ เพื่อรองรับหลักการความเป็นอิสระในการ
ตัดสินใจ
• หมายเหตุ การไม่ใช้ฐานความยินยอมใน PDPA หมายถึงเฉพาะเรื่องการเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่ไม่รวมกรณีที่โรงพยาบาล/แพทย์ ต้อง
ขอ consent ในการลงทะเบียนผู้ป่วย/เข้ารักษา/admit/ทาหัตถการ หรือการทา
วิจัย ซึ่งเป็นไปตามหลักเกณฑ์จริยธรรมในเรื่องนั้น ๆ และนโยบายขององค์กร

118
• ความยินยอม (มาตรา 19)
– ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หาก
เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่ง พ.ร.บ.นี้
หรือกฎหมายอื่นบัญญัติให้กระทาได้
– การขอความยินยอมต้องทาโดยชัดแจ้ง เป็นหนังสือหรือทาโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดย
สภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
– ในการขอความยินยอม... ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือ
ข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทาให้
เข้าใจผิดในวัตถุประสงค์ดังกล่าว...
– ในการขอความยินยอม...ผู้ควบคุมข้อมูลส่วนบุคคลต้องคานึงอย่างถึงที่สุดในความเป็นอิสระของ
เจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทาสัญญาซึ่งรวมถึงการให้บริการใด ๆ
ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความ
จาเป็นหรือเกี่ยวข้องสาหรับการเข้าทาสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ

119
• ความยินยอม (มาตรา 19)
– เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความ
ยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจากัดสิทธิในการถอนความ
ยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การ
ถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กาหนดไว้ใน
หมวดนี้
– ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด
ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจาก
การถอนความยินยอมนั้น
– การขอความยินยอมที่ไม่เป็นไปตามที่กาหนด ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคค
และไม่ทาให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทาการเก็บรวบรวม ใช้ หรือเปิดเผย

120
7. เมื่อมีเหตุผลความจาเป็น (ฐานทางกฎหมาย) ที่จะเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแล้ว controller ต้อง
• แจ้ง Privacy Notice แก่เจ้าของข้อมูลฯ ก่อนหรือในขณะ
เก็บรวบรวมข้อมูล
• ใช้ตามวัตถุประสงค์เท่าที่ได้แจ้งไป (ไม่พูดอย่าง ทาอย่าง)
• ถ้าจะเอาข้อมูลที่มีอยู่ไปใช้ในวัตถุประสงค์อื่น ต้องวนลูป
กลับไปวิเคราะห์ฐานทางกฎหมาย และแจ้ง Privacy Notice
ใหม่

121
การแจ้งวัตถุประสงค์และ
รายละเอียดให้เจ้าของข้อมูล
ส่วนบุคคลทราบ
(Privacy Notice)

122
8. ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล controller มีหน้าที่
• ดูแล Security ให้ดี
• มีมาตรการป้องกันไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลโดยมิชอบ
• ลบหรือทาลายข้อมูล เมื่อหมดความจาเป็นในการเก็บ (Data Retention Policy)
• แจ้งเหตุการละเมิดข้อมูล (Breach Notification) ให้ สคส. หรือ data subject ทราบ
• จัดทาบันทึกรายการ (Record of Processing Activities: ROPA) ไว้ให้ตรวจสอบ
• พิจารณาเงื่อนไขการส่งหรือโอนข้อมูลไปต่างประเทศให้สอดคล้องกับ PDPA
• พิจารณาเงื่อนไขการเก็บรวบรวมข้อมูลจากแหล่งอื่น (นอกจาก subject) ให้ถูกต้อง
• ทาสัญญา/ข้อตกลง เป็นคาสั่งที่กาหนดเงื่อนไขการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
ของ processor ที่ประมวลผลข้อมูลตามคาสั่งหรือในนามของ controller
• แต่งตั้ง DPO หากเข้าหลักเกณฑ์ (เช่น process sensitive data หรือมีข้อมูลจานวน

123
Data Controller
Responsibilities
1. Security
2. Preventing Unauthorized
Processing
3. Data Retention
4. Breach Notification
5. Record of Processing
Activities (ROPA)
6. International Data Transfer
7. Secondary Data Collection
8. Data Processing Agreement
(DPA)
9. Data Protection Officer
(DPO)

124
9. Controller ต้องจัดให้มีช่องทางให้เจ้าของข้อมูลฯ ขอใช้สิทธิต่าง ๆ ได้
สิทธิของเจ้าของข้อมูลส่วนบุคคล
• Right to be informed
(Privacy Notice)
• Right of Access
• Right to Data Portability
• Right to Object
• Right to be Forgotten
• Right to Restrict Processing
• Right of Rectification

125
10. ข้อมูลที่เก็บรวบรวมไว้แล้วก่อนกฎหมายบังคับใช้ สามารถ
ใช้ต่อไปได้ตามวัตถุประสงค์เดิม
• ถ้าใช้ฐานความยินยอม ต้องมีช่องทางให้ data subject
ถอนความยินยอมได้
• ข้อมูลที่เก็บรวบรวมหลังจากวันที่กฎหมายบังคับใช้แล้ว ต้อง
ดาเนินการตาม PDPA เต็มรูป
• ถ้านาข้อมูลที่เก็บรวบรวมไว้ก่อนแล้วไปใช้ในวัตถุประสงค์อื่น
(repurpose) ต้องดาเนินการตาม PDPA เต็มรูป

126
Scenario ที่พบบ่อยในทางการแพทย์
A. การรักษาผู้ป่วยฉุกเฉิน
Lawful Basis: Vital Interest
Notes: เมื่อผู้ป่วยรู้ตัวและไม่ได้อยู่ในภาวะฉุกเฉิน ควรพิจารณาแจ้ง Privacy Notice ให้
ทราบ
B. การรักษาผู้ป่วย non-emergency (รวมถึงการปฏิบัติหน้าที่ของ นศ. ในฐานะส่วน
หนึ่งของทีมดูแลรักษาผู้ป่วย)
Lawful Basis:
- Health Professional Service Contract ม.26 (5) (ก)
- Legal Obligation (Preventive or Occupational Medicine) กรณีตรวจสุขภาพตาม
กฎหมายแรงงานหรือการรักษาที่มีกฎหมายกาหนด เช่น พ.ร.บ.การแพทย์ฉุกเฉิน
พ.ร.บ.สุขภาพจิต พ.ร.บ.ระบบสุขภาพปฐมภูมิ
- การบันทึกข้อมูลในเวชระเบียน เป็น Legal Obligation ตาม พ.ร.บ.สถานพยาบาล

127
C. การรักษา/ถ่ายภาพ/เปิดเผยข้อมูลผู้ป่วยคดี
Lawful Basis: Legal Obligation (Substantial Public Interest) หรืออาจได้รับ
ยกเว้นการบังคับใช้ PDPA หากเป็นส่วนหนึ่งของกระบวนการพิจารณาคดีทางอาญา
D. การถ่ายภาพ/ขอเปิดเผยข้อมูลผู้ป่วยเพื่อการเรียนรู้/ประโยชน์ทางวิชาการ
(ไม่ใช่วิจัย)
Lawful Basis:
- ดาเนินการได้เลย หากไม่สามารถระบุตัวตนได้ (ไม่ใช่ข้อมูลส่วนบุคคล)
- กรณีที่ระบุตัวตนได้ ควรขอ Consent
- กรณีที่ระบุตัวตนได้ และใช้เพื่อประชาสัมพันธ์/marketing ต้องขอ Consent และ
ให้ระวังความผิดฐานโฆษณาสถานพยาบาลหรือโฆษณาผู้ประกอบวิชาชีพฯ ด้วย

128
E. การวิจัย
Lawful Basis: Archiving, Scientific or Historical Research
Notes: ควรปฏิบัติตามมาตรฐานของ Ethics Committee ขององค์กรด้วย
และรอติดตามประกาศตาม PDPA เกี่ยวกับมาตรการคุ้มครองเจ้าของข้อมูลฯ
ในการวิจัย
F. การส่งข้อมูลเพื่อเบิกจ่ายค่ารักษาพยาบาลกับกองทุนของรัฐ เช่น สปสช.
สปส. กรมบัญชีกลาง
Lawful Basis:
- Health or Social Care System ม.26 (5) (ค)

129
G. การส่งข้อมูลสุขภาพให้บริษัทประกันเอกชน
Lawful Basis: Explicit Consent
H. การแจ้งข้อมูลที่เป็นการปฏิบัติตามกฎหมาย เช่น โรคติดต่ออันตราย การ
แจ้งข้อมูล post-market surveillance ของยา เครื่องมือแพทย์ หรือ
ผลิตภัณฑ์สุขภาพ
Lawful Basis: Legal Obligation (Public Health)

130
Do’s and Don’ts ของ PDPA
สาหรับบุคลากรทางการแพทย์
Do’s
• คิดถึงความจาเป็นก่อนเก็บ ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลของ
ผู้ป่วย
• ในการเก็บ ใช้ หรือเปิดเผยข้อมูล
ของผู้ป่วย หากไม่ต้องระบุตัวตน
ด้วยชื่อ HN หรือสิ่งอื่นได้ ก็จะลด
ความเสี่ยงและไม่ต้องทาตาม
PDPA (แต่ระวังความเสี่ยงด้านอื่น
เช่น misidentification)
Don’ts
• เก็บ ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคลของผู้ป่วยโดยไม่คิดหน้าคิด
หลัง
• เข้าใจผิดว่า ข้อมูลที่ไม่มีชื่อ มี
เพียง HN หรือ ID บางอย่าง ไม่ใช่
ข้อมูลส่วนบุคคล และสามารถทา
อะไรกับมันก็ได้

131
Do’s
• เก็บรักษาข้อมูลที่อยู่ในความดูแล
ให้ปลอดภัย และลบทิ้งเมื่อหมด
ความจาเป็นต้องใช้
• หากผู้ป่วยขอสาเนา ขอแก้ไข ขอ
คัดค้านการเก็บ ใช้ หรือเปิดเผย
ข้อมูล หรือขอลบข้อมูล ให้ผู้ป่วย
ติดต่อที่หน่วยงานที่เกี่ยวข้อง เช่น
แผนกเวชระเบียน หรือสานักงาน
ฝ่ายบริหารของ รพ.
Don’ts
• เก็บข้อมูลใน USB drive หรือ
media ต่างๆ ไว้เรี่ยราด ไม่ใส่ใจ
เมื่ออุปกรณ์สูญหายหรือข้อมูลรั่วก็
ส่งผลกระทบ
• เมื่อผู้ป่วยขอใช้สิทธิตาม PDPA ก็
ปฏิเสธไปในทันที โดยไม่ได้
ตรวจสอบข้อกฎหมายให้รอบคอบ

132
Do’s
• ในกรณีที่จาเป็น เปิดเผยข้อมูลให้
หน่วยงานภายนอกตามปกติ เพียงแต่
ให้ตรวจสอบความจาเป็นและดูแลให้
รัดกุม
• ขอ Consent ในการเก็บ ใช้ หรือ
เปิดเผยข้อมูล เฉพาะกรณีที่พิจารณา
แล้วไม่เข้า ฐานทางกฎหมาย อื่น ๆ
• หากต้องขอ Consent ในการเก็บ ใช้
หรือเปิดเผยข้อมูล ปฏิบัติเรื่อง
Consent ให้ถูกต้องตามมาตรา 19
Don’ts
• อ้าง PDPA ในการไม่เปิดเผยข้อมูลที่
จาเป็นต้องเปิดเผย (เช่น ให้กองทุน
ประกันสุขภาพ หรือหน่วยงานที่มี
อานาจตามกฎหมาย)
• ขอ Consent ในการเก็บ ใช้ หรือ
เปิดเผยข้อมูลส่วนบุคคลของผู้ป่วย
ทุกสิ่งอย่าง ทาให้มีปัญหาเมื่อผู้ป่วย
ขอถอน Consent หรือขอลบข้อมูล
• บังคับ/mislead ผู้ป่วยให้ Consent

133
Do’s
• เมื่อทราบว่าข้อมูลรั่ว หรือมี
เหตุการละเมิดข้อมูลส่วนบุคคล
(data breach) ให้รีบแจ้ง
ผู้รับผิดชอบในองค์กร เพื่อการ
แก้ไขปัญหาได้ทันการณ์
(ไม่เช่นนั้นอาจมีโทษ)
Don’ts
• ข้อมูลรั่ว เราอยู่เงียบๆ ยิ่งคนอื่น
ไม่รู้ยิ่งดี องค์กรจะเกิดความ
เสียหายหรือมีโทษจากการไม่
แจ้ง เราไม่สน

134
Do’s
• จะสื่อสารข้อมูลผู้ป่วยผ่านแอป
พลิเคชันต่าง ๆ เช่น LINE ก็ทา
ได้ แค่ขอให้ดูแลให้รัดกุม
เปิดเผยให้รู้เท่าที่จาเป็น
(need-to-know) และปฏิบัติ
ตามนโยบายขององค์กร
Don’ts
• ส่งข้อมูลผู้ป่วยเข้าในกลุ่ม LINE
ที่มีคนอื่นที่ไม่จาเป็นต้องรู้ข้อมูล
ผู้ป่วยอยู่เป็นจานวนมาก โดยไม่
มีเหตุผลอันสมควร

135
Do’s
• เวลามี Celeb หรือ Public
Figure มารักษาที่ รพ. ก็ปฏิบัติ
เหมือนผู้ป่วยทุกคน รักษา
ความลับ เข้าถึงข้อมูลเฉพาะใน
การปฏิบัติหน้าที่ และไม่
เปิดเผยข้อมูลให้คนที่ไม่มีความ
จาเป็นต้องทราบ
Don’ts
• เมื่อทราบว่ามี Celeb มารักษา
ฉันขอ “เผือก” เข้าไปดูข้อมูล
ด้วย และฉันต้องเป็นคนแรก ๆ
ที่รายงานข่าวให้เพื่อน ๆ ของ
ฉันทราบ

136
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ประกาศคณะกรรมการฯ เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการ
ขนาดเล็ก พ.ศ. 2565
– ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์และวิธีการในการจัดทาและเก็บรักษาบันทึกรายการของ
กิจกรรมการประมวลผลข้อมูลส่วนบุคคลสาหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
– ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับเพื่อพ้นกาหนด 180 วันนับแต่วัน
ประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ.
2565
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์การพิจารณาออกคาสั่งลงโทษปรับทางปกครองของ
คณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565

137
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ระเบียบคณะกรรมการฯ ว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการ
พิจารณาคาร้องเรียน พ.ศ. 2565
– ประกาศในราชกิจจานุเบกษาเมื่อ 11 ก.ค. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง คุณสมบัติและลักษณะต้องห้าม วาระการดารงตาแหน่ง การพ้นจาก
ตาแหน่ง และการดาเนินงานอื่นของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565
– ประกาศในราชกิจจานุเบกษาเมื่อ 11 ก.ค. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์เกี่ยวกับคุณสมบัติของพนักงานเจ้าหน้าที่ พ.ศ. 2565
– ประกาศในราชกิจจานุเบกษาเมื่อ 12 ก.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง กาหนดแบบบัตรประจาตัวของพนักงานเจ้าหน้าที่ พ.ศ. 2565
– ประกาศในราชกิจจานุเบกษาเมื่อ 12 ก.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
พ.ศ. 2565
– ประกาศในราชกิจจานุเบกษาเมื่อ 15 ธ.ค. 2565 มีผลใช้บังคับตั้งแต่วันประกาศฯ

138
ประกาศคณะกรรมการฯ เรื่อง มาตรการรักษาความมั่นคง
ปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

139

140

141

142

143

144
รามาธิบดี กับ
Security/Privacy

145
• ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะ
แพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551 (อยู่ระหว่างปรับปรุง)
• ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รับอนุญาตให้เข้าถึง
ข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554
• ประกาศคณะฯ เรื่อง การขอคัดถ่ายสาเนาเวชระเบียนผู้ป่วย พ.ศ.
2556
• ประกาศคณะฯ เรื่อง ข้อกาหนดการใช้สื่อสังคมออนไลน์ ของคณะฯ
พ.ศ. 2556
• ประกาศคณะฯ เรื่อง แนวทางปฏิบัติ การขอบันทึกภาพและเสียงใน
โรงพยาบาลสังกัดของคณะฯ พ.ศ. 2557
• ประกาศมหาวิทยาลัยมหิดล เรื่อง นโยบายการคุ้มครองข้อมูล
ส่วนบุคคล พ.ศ. 2563
ระเบียบต่างๆ ของคณะฯ ด้าน Information Security & Privacy

146
สรุปสิ่งที่ขอเน้นย้าแก่บุคลากรเป็นพิเศษ
• ไม่เข้าถึงข้อมูลผู้ป่วย/บุคคลอื่น โดยไม่มีหน้าที่/ไม่มีเหตุอันควร
• ไม่ส่งต่อข้อมูลผู้ป่วย/บุคคลอื่น ที่มีชื่อ/HN/บาร์โค้ด/ใบหน้า หรือถ่ายรูปติดผู้ป่วย/
หน้าจอ/เอกสาร/X-ray ที่ปรากฏชื่อ/HN/บาร์โค้ด/ใบหน้า ให้ผู้อื่น โดยไม่มีเหตุจาเป็น
(ยกเว้นกรณีรักษาพยาบาลที่จาเป็น)
• ทาลายเอกสารผู้ป่วย/บุคคลอื่นที่ไม่ใช้แล้ว ไม่ Reuse/Recycle
• หลีกเลี่ยงการ upload ไฟล์ข้อมูลผู้ป่วย/นศ./บุคคลอื่น ที่ระบุตัวตนได้ ให้เข้าถึงได้
จากสาธารณะ โดยไม่มีเหตุจาเป็นหรือไม่ปรึกษาก่อน
• อัปเดต Windows, ระบบปฏิบัติการ และแอปพลิเคชันเป็นประจา
• ตั้งและใช้ Password อย่างปลอดภัย
• ต่อมเอ๊ะ ไม่หลงเชื่อ/คลิก Link หรือไฟล์แนบแปลก ๆ โดยง่าย
• เมื่อทราบว่าข้อมูลผู้ป่วย/บุคคลอื่นรั่ว/ถูกละเมิด รีบแจ้ง IT Call Center

149
Summary of Talk
• ทาไมเราต้องแคร์เรื่อง Security & Privacy?
• Security/Privacy กับข้อมูลผู้ป่วย
• แนวปฏิบัติด้าน Security ของระบบ
• แนวปฏิบัติด้าน Privacy ของข้อมูลส่วนบุคคล
• รามาธิบดี กับ Security/Privacy

150
ใช้ไอทีอย่างปลอดภัย
พวกเราสบายใจ
คนไข้ได้รับความคุ้มครอง
นพ.นวนรรน ธีระอัมพรพันธุ์
ปีงบประมาณ พ.ศ. 2566
http://www.slideshare.net/nawanan

Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)

Similaire à Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023) (20)

Plus de Nawanan Theera-Ampornpunt

Plus de Nawanan Theera-Ampornpunt (20)

Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)