ทุกวันนี้ผู้คนหันมาตระหนักถึงความเป็นส่วนตัวและความคุ้มครองข้อมูลส่วนบุคคลมากขึ้น รวมถึงมีการออกกฎหมายใหม่ ๆ เพื่อปกป้องการเข้าถึงหรือเผยแพร่ข้อมูลเหล่านี้แล้ว โดยมี 3 กฎหมายด้านข้อมูลที่ส่งผลโดยตรงแก่โรงพยาบาล
ไม่ว่าโรงพยาบาลของคุณจะยังทำงานแบบดั้งเดิมที่เก็บข้อมูลทุกอย่างในรูปแบบแฟ้มเอกสาร หรือโรงพยาบาลมีระบบการทำงานเป็นดิจิทัลอย่างเต็มรูปแบบด้วยการใช้ Digital Tools ต่าง ๆ แล้วก็ตาม
เพียงแค่องค์กรของคุณมีการเก็บข้อมูลส่วนตัว คุณก็เข้าเกณฑ์ต้องปฏิบัติตามกฎหมายเหล่านี้อย่างหลีกเลี่ยงไม่ได้ วันนี้ MEDcury จะมาสรุปให้ทุกคนฟังถึง 3 กฎหมายนี้กัน มาดูกันเลย!
1. Health Insurance Portability and Accountability Act (HIPAA)
ย้อนกลับไปเมื่อปีค.ศ. 1996 ทางรัฐบาลกลางของสหรัฐอเมริกาได้กำหนดให้มีการสร้างมาตรฐานระดับชาติเพื่อปกป้องข้อมูลด้านสุขภาพที่ละเอียดอ่อนของผู้ป่วย ไม่ให้ถูกเปิดเผยโดยไม่ได้รับความยินยอม นั่นก็คือกฏหมาย Health Insurance Portability and Accountability Act หรือ HIPAA นั่นเอง
การบังคับใช้กฎหมายนี้ ทำให้ข้อมูลด้านสุขภาพใด ๆ ก็ตามที่อาจเชื่อมโยงถึงการระบุตัวผู้ป่วย จะถูกปกป้อง และไม่สามารถนำมาเปิดเผยหรือเข้าถึงได้ หากไม่ได้รับความยินยอมจากผู้ป่วย ดังนั้นผู้ให้บริการด้านสุขภาพและบุคคลที่เกี่ยวข้องต้องปฏิบัติตามกฎหมายนี้อย่างเคร่งครัดเพื่อคุ้มครองข้อมูลของผู้ป่วยให้ปลอดภัยจากการเผยแพร่หรือเข้าถึงโดยไม่ได้รับอนุญาต
ข้อมูลที่อยู่ภายใต้ความคุ้มครองของ HIPAA มีดังนี้
ข้อมูลใด ๆ ก็ตามที่แพทย์ หรือพยาบาล หรือผู้ให้บริการด้านสุขภาพต่าง ๆ ได้บันทึกไว้ในเวชระเบียนของผู้ป่วย
บทสนทนาเกี่ยวกับการรักษาระหว่างผู้ป่วยกับแพทย์ หรือพยาบาล หรือผู้ให้บริการด้านสุขภาพ
ข้อมูลเกี่ยวกับประกันสุขภาพของผู้ป่วย
ข้อมูลค่ารักษาพยาบาลของผู้ป่วย
ข้อมูลด้านสุขภาพอื่น ๆ ของผู้ป่วยที่ถูกเก็บรวบรวมโดยผู้ที่ต้องปฏิบัติตามกฎหมายนี้
2. General Data Protection Regulation (GDPR)
General Data Protection Regulation หรือ GDPR คือกฎระเบียบของสหภาพยุโรป (EU) ว่าด้วยการคุ้มครองข้อมูลส่วนตัวและความเป็นส่วนตัวของพลเมืองในประเทศใน EU ซึ่งมีการปกป้องข้อมูลส่วนบุคคลที่ละเอียดอ่อนต่าง ๆ มากมาย เพื่อปกป้องพลเมือง EU จากการโดนละเมิดความเป็นส่วนตัว
ข้อมูลที่อยู่ภายใต้ความคุ้มครองของ GDPR ได้แก่
ข้อมูลทั่วไป เช่น ชื่อ-นามสกุล, เลขประจำตัวประชาชน, เบอร์โทรศัพท์, วันเกิด, อีเมล เป็นต้น
รูปลักษณ์ ลักษณะ และพฤติกรรม
ข้อมูลด้านการศึกษา
ข้อมูลด้านการทำงาน รายได้ และการเสียภาษี
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น การนับถือศาสนา, ความคิดเห็นทางการเมือง เป็นต้น
ข้อมูลด้านสุขภาพ เช่น ประวัติการรักษาพยาบาล, ลักษณะทางพันธุกรรม เป็นต้น
กฎหมาย GDPR ประกาศใช้ใน EU แล้วเกี่ยวอะไรกับโรงพยาบาลในประเทศไทย?
หลาย ๆ คนคงสงสัยในประเด็นนี้กันอย่างแน่นอน MEDcury ขอพูดสรุปง่าย ๆ เลยว่าถึงแม้กฎหมาย GDPR จะประกาศใช้ใน EU แต่มีผลบังคับใช้กับทุกหน่วยงานที่มีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลของพลเมืองที่อาศัยอยู่ใน EU ไม่ว่าหน่วยงานนั้นจะตั้งอยู่ที่ไหนก็ตาม
ดังนั้นโรงพยาบาลที่ต้องข้องเกี่ยวกับชาวต่างชาติจากประเทศในกลุ่ม EU ก็เลยต้องปฏิบัติตามกฎนี้อย่างหลีกเลี่ยงไม่ได้เช่นกันนั่นเอง
3. Thailand’s Personal Data Protection Act (PDPA)
Thailand’s Personal Data Protection Act หรือ PDPA คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งพึ่งประกาศบังคับใช้อย่างเต็มรูปแบบไปเมื่อเดือนมิถุนายน 2565 ที่ผ่านมา จริง ๆ แล้วกฎหมายนี้ถูกถอดแบบมาจากกฎระเบียบ GDPR ที่พึ่งกล่าวไปข้างต้น
ดังนั้นวัตถุประสงค์ของกฎหมายนี้จึงไม่ต่างกัน นั่นก็เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล รวมถึงป้องกันการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบและไม่ได้รับความยินยอม
ตัวอย่างของข้อมูลที่อยู่ภายใต้ความคุ้มครองของ PDPA เช่น
ข้อมูลทั่วไป เช่น ชื่อ-นามสกุล, เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, ที่อยู่, อีเมล, เบอร์โทรศัพท์, วันเกิด, สถานที่เกิด, เชื้อชาติ, สัญชาติ, น้ำหนัก, ส่วนสูง เป็นต้น
ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, Cookie ID เป็นต้น
ข้อมูลทางชีวมิติ (Biometric) เช่น รูปถ่ายใบหน้า, ลายนิ้วมือ, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง
ข้อมูลทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน เป็นต้น
ข้อมูลทางการเงิน
ข้อมูลการศึกษาหรือการจ้างงาน
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลด้านสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต, ข้อมูลพันธุกรรม เป็นต้น
เก็บข้อมูลแบบดั้งเดิม ทำไมยังต้องปฏิบัติตาม?
ต้องบอกว่ากฎหมายทั้งสามนี้ก็มีผลบังคับใช้กับทุกองค์กรอย่างไม่เลือกปฏิบัติ และไม่ขึ้นอยู่กับวิธีการเก็บข้อมูล ดังนั้นองค์กรต่าง ๆ ที่มีการเก็บข้อมูลส่วนตัวจึงต้องปรับตัวให้สอดรับกับการเปลี่ยนแปลงนี้ โดยเฉพาะโรงพยาบาลที่เป็นหนึ่งในองค์กรที่มีการเก็บรวบรวมข้อมูลส่วนตัวที่ละเอียดอ่อน (Sensitive Personal Data) เป็นจำนวนมาก
หรืออธิบายอีกวิธีหนึ่งได้ว่าไม่ว่าโรงพยาบาลของคุณจะยังทำงานแบบดั้งเดิมที่เก็บข้อมูลทุกอย่างเป็นแฟ้มเอกสารหรืออยู่เฉพาะบน Server ของโรงพยาบาล หรือโรงพยาบาลได้เปลี่ยนระบบการทำงานเป็นดิจิทัลอย่างเต็มรูปแบบด้วยการใช้ Digital Tools ต่าง ๆ เช่น EMR, HIS On Cloud, HIE, NHIS เป็นต้น แล้วก็ตาม ในเมื่อคุณมีการเก็บข้อมูล คุณก็ต้องปฏิบัติตามกฎหมายเหล่านี้นั่นเอง
ใช้ Digital Tools ในโรงพยาบาล จะเป็นไปตามที่กฎหมายกำหนดหรือเปล่า?
บางโรงพยาบาลที่ใช้ Digital Tools จากภายนอกองค์กรอาจเกิดคำถามและมีความกังวลใจว่า “การใช้ Digital Tools ต่าง ๆ นั้นเป็นไปตามกฎหมายเหล่านี้หรือไม่” ต้องขอบอกเลยว่านักพัฒนาระบบและผู้ให้บริการเหล่านี้นั้นมีความเชี่ยวชาญและปฏิบัติตามกฏหมายเหล่านี้อย่างเคร่งครัดมากยิ่งขึ้น ดังนั้นคุณจึงสามารถไว้ใจใน Digital Tools ได้อย่างแน่นอน
ส่วนโรงพยาบาลที่ยังทำงานแบบดั้งเดิมอยู่นั้น แม้คุณจะไม่เกี่ยวข้องกับ Digital Tools แต่อย่างที่เราได้กล่าวไว้ข้างต้น กฎหมายทั้งสามนี้ไม่เลือกปฏิบัติ มันเกี่ยวข้องกับคุณโดยตรงอย่างแน่นอน ดังนั้นการมีความรู้และความเข้าใจในกฎหมายเหล่านี้ย่อมดีกว่า เพื่อที่คุณจะได้สามารถปฏิบัติตนได้อย่างเหมาะสมและเป็นไปตามกฎหมาย
เป็นอย่างไรกันบ้าง ทุกคนคงพอจะเข้าใจมากขึ้นใช่ไหมว่าโรงพยาบาลมีการเก็บรวบรวมข้อมูลต่าง ๆ มากมายที่อยู่ภายใต้ความคุ้มครองของ 3 กฎหมายนี้ ดังนั้นโรงพยาบาลจึงต้องมีมาตรการจัดเก็บและปกป้องข้อมูลที่เข้มงวดมากยิ่งขึ้น
เพราะหากเกิดความเสียหายจากการเก็บรวบรวม การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลที่ไม่เป็นไปตามกฎหมายทั้ง 3 นี้แล้ว อาจเกิดปัญหาด้านกฏหมายครั้งใหญ่ตามมาได้ นอกจากนี้การปฏิบัติตามกฎหมายเหล่านี้อย่างเคร่งครัดยังช่วยสร้างความเชื่อมั่นต่อโรงพยาบาลให้กับผู้ป่วยได้เป็นอย่างดีอีกด้วย
เพิ่มประสิทธิภาพด้านความปลอดภัยของข้อมูลให้กับโรงพยาบาลของคุณ ?
สำหรับใครที่อยากพูดคุย แลกเปลี่ยนความคิดเห็น หรือแบ่งปันข้อมูลเกี่ยวกับอุตสาหกรรมด้านการดูแลสุขภาพ สามารถพูดคุยกับพวกเรา MEDcury ได้ที่
โทรศัพท์ : 02-853-9131 (ในเวลาทำการ 10:00 - 18:00 น. วันจันทร์ - วันศุกร์)
อีเมล : sales@medcury.health หรือกรอกแบบฟอร์มคลิกที่นี่
ติดตามข่าวสารเพิ่มเติมเกี่ยวกับ MEDcury จากช่องทางอื่น
Facebook : facebook.com/medcury.health/
LinkedIn : linkedin.com/company/medcury
YouTube : https://www.youtube.com/@MEDcury
อ้างอิงข้อมูลจาก