ทุกวันนี้ผู้คนหันมาตระหนักถึงความเป็นส่วนตัวและความคุ้มครองข้อมูลส่วนบุคคลมากขึ้น รวมถึงมีการออกกฎหมายใหม่ ๆ เพื่อปกป้องการเข้าถึงหรือเผยแพร่ข้อมูลเหล่านี้แล้ว โดยมี 3 กฎหมายด้านข้อมูลที่ส่งผลโดยตรงแก่โรงพยาบาล ไม่ว่าโรงพยาบาลของคุณจะยังทำงานแบบดั้งเดิมที่เก็บข้อมูลทุกอย่างในรูปแบบแฟ้มเอกสาร หรือโรงพยาบาลมีระบบการทำงานเป็นดิจิทัลอย่างเต็มรูปแบบด้วยการใช้ Digital Tools ต่าง ๆ แล้วก็ตาม เพียงแค่องค์กรของคุณมีการเก็บข้อมูลส่วนตัว คุณก็เข้าเกณฑ์ต้องปฏิบัติตามกฎหมายเหล่านี้อย่างหลีกเลี่ยงไม่ได้ วันนี้ MEDcury จะมาสรุปให้ทุกคนฟังถึง 3 กฎหมายนี้กัน มาดูกันเลย!
3 กฎหมายด้านข้อมูลที่โรงพยาบาลต้องปฏิบัติตาม
1. Health Insurance Portability and Accountability Act (HIPAA)
ย้อนกลับไปเมื่อปีค.ศ. 1996 ทางรัฐบาลกลางของสหรัฐอเมริกาได้กำหนดให้มีการสร้างมาตรฐานระดับชาติเพื่อปกป้องข้อมูลด้านสุขภาพที่ละเอียดอ่อนของผู้ป่วย ไม่ให้ถูกเปิดเผยโดยไม่ได้รับความยินยอม นั่นก็คือกฏหมาย Health Insurance Portability and Accountability Act หรือ HIPAA นั่นเอง การบังคับใช้กฎหมายนี้ ทำให้ข้อมูลด้านสุขภาพใด ๆ ก็ตามที่อาจเชื่อมโยงถึงการระบุตัวผู้ป่วย จะถูกปกป้อง และไม่สามารถนำมาเปิดเผยหรือเข้าถึงได้ หากไม่ได้รับความยินยอมจากผู้ป่วย ดังนั้นผู้ให้บริการด้านสุขภาพและบุคคลที่เกี่ยวข้องต้องปฏิบัติตามกฎหมายนี้อย่างเคร่งครัดเพื่อคุ้มครองข้อมูลของผู้ป่วยให้ปลอดภัยจากการเผยแพร่หรือเข้าถึงโดยไม่ได้รับอนุญาต
ข้อมูลที่อยู่ภายใต้ความคุ้มครองของ HIPAA มีดังนี้
🗂 ข้อมูลใด ๆ ก็ตามที่แพทย์ หรือพยาบาล หรือผู้ให้บริการด้านสุขภาพต่าง ๆ ได้บันทึกไว้ในเวชระเบียนของผู้ป่วย
🗂 บทสนทนาเกี่ยวกับการรักษาระหว่างผู้ป่วยกับแพทย์ หรือพยาบาล หรือผู้ให้บริการด้านสุขภาพ
🗂 ข้อมูลเกี่ยวกับประกันสุขภาพของผู้ป่วย
🗂 ข้อมูลค่ารักษาพยาบาลของผู้ป่วย
🗂 ข้อมูลด้านสุขภาพอื่น ๆ ของผู้ป่วยที่ถูกเก็บรวบรวมโดยผู้ที่ต้องปฏิบัติตามกฎหมายนี้
2. General Data Protection Regulation (GDPR)
General Data Protection Regulation หรือ GDPR คือกฎระเบียบของสหภาพยุโรป (EU) ว่าด้วยการคุ้มครองข้อมูลส่วนตัวและความเป็นส่วนตัวของพลเมืองในประเทศใน EU ซึ่งมีการปกป้องข้อมูลส่วนบุคคลที่ละเอียดอ่อนต่าง ๆ มากมาย เพื่อปกป้องพลเมือง EU จากการโดนละเมิดความเป็นส่วนตัว
ข้อมูลที่อยู่ภายใต้ความคุ้มครองของ GDPR ได้แก่
🗂 ข้อมูลทั่วไป เช่น ชื่อ-นามสกุล, เลขประจำตัวประชาชน, เบอร์โทรศัพท์, วันเกิด, อีเมล เป็นต้น
🗂 รูปลักษณ์ ลักษณะ และพฤติกรรม
🗂 ข้อมูลด้านการศึกษา
🗂 ข้อมูลด้านการทำงาน รายได้ และการเสียภาษี
🗂 ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น การนับถือศาสนา, ความคิดเห็นทางการเมือง เป็นต้น
🗂 ข้อมูลด้านสุขภาพ เช่น ประวัติการรักษาพยาบาล, ลักษณะทางพันธุกรรม เป็นต้น
กฎหมาย GDPR ประกาศใช้ใน EU แล้วเกี่ยวอะไรกับโรงพยาบาลในประเทศไทย?
หลาย ๆ คนคงสงสัยในประเด็นนี้กันอย่างแน่นอน MEDcury ขอพูดสรุปง่าย ๆ เลยว่าถึงแม้กฎหมาย GDPR จะประกาศใช้ใน EU แต่มีผลบังคับใช้กับทุกหน่วยงานที่มีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลของพลเมืองที่อาศัยอยู่ใน EU ไม่ว่าหน่วยงานนั้นจะตั้งอยู่ที่ไหนก็ตาม ดังนั้นโรงพยาบาลที่ต้องข้องเกี่ยวกับชาวต่างชาติจากประเทศในกลุ่ม EU ก็เลยต้องปฏิบัติตามกฎนี้อย่างหลีกเลี่ยงไม่ได้เช่นกันนั่นเอง
3. Thailand’s Personal Data Protection Act (PDPA)
Thailand’s Personal Data Protection Act หรือ PDPA คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งพึ่งประกาศบังคับใช้อย่างเต็มรูปแบบไปเมื่อเดือนมิถุนายน 2565 ที่ผ่านมา จริง ๆ แล้วกฎหมายนี้ถูกถอดแบบมาจากกฎระเบียบ GDPR ที่พึ่งกล่าวไปข้างต้น ดังนั้นวัตถุประสงค์ของกฎหมายนี้จึงไม่ต่างกัน นั่นก็เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล รวมถึงป้องกันการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบและไม่ได้รับความยินยอม
ตัวอย่างของข้อมูลที่อยู่ภายใต้ความคุ้มครองของ PDPA เช่น
🗂 ข้อมูลทั่วไป เช่น ชื่อ-นามสกุล, เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, ที่อยู่, อีเมล, เบอร์โทรศัพท์, วันเกิด, สถานที่เกิด, เชื้อชาติ, สัญชาติ, น้ำหนัก, ส่วนสูง เป็นต้น
🗂 ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, Cookie ID เป็นต้น
🗂 ข้อมูลทางชีวมิติ (Biometric) เช่น รูปถ่ายใบหน้า, ลายนิ้วมือ, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง
🗂 ข้อมูลทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน เป็นต้น
🗂 ข้อมูลทางการเงิน
🗂 ข้อมูลการศึกษาหรือการจ้างงาน
🗂 ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลด้านสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต, ข้อมูลพันธุกรรม เป็นต้น
เก็บข้อมูลแบบดั้งเดิม ทำไมยังต้องปฏิบัติตาม?
ต้องบอกว่ากฎหมายทั้งสามนี้ก็มีผลบังคับใช้กับทุกองค์กรอย่างไม่เลือกปฏิบัติ และไม่ขึ้นอยู่กับวิธีการเก็บข้อมูล ดังนั้นองค์กรต่าง ๆ ที่มีการเก็บข้อมูลส่วนตัวจึงต้องปรับตัวให้สอดรับกับการเปลี่ยนแปลงนี้ โดยเฉพาะโรงพยาบาลที่เป็นหนึ่งในองค์กรที่มีการเก็บรวบรวมข้อมูลส่วนตัวที่ละเอียดอ่อน (Sensitive Personal Data) เป็นจำนวนมาก
หรืออธิบายอีกวิธีหนึ่งได้ว่าไม่ว่าโรงพยาบาลของคุณจะยังทำงานแบบดั้งเดิมที่เก็บข้อมูลทุกอย่างเป็นแฟ้มเอกสารหรืออยู่เฉพาะบน Server ของโรงพยาบาล หรือโรงพยาบาลได้เปลี่ยนระบบการทำงานเป็นดิจิทัลอย่างเต็มรูปแบบด้วยการใช้ Digital Tools ต่าง ๆ เช่น EMR, HIS On Cloud, HIE, NHIS เป็นต้น แล้วก็ตาม ในเมื่อคุณมีการเก็บข้อมูล คุณก็ต้องปฏิบัติตามกฎหมายเหล่านี้นั่นเอง
ใช้ Digital Tools ในโรงพยาบาล จะเป็นไปตามที่กฎหมายกำหนดหรือเปล่า?
บางโรงพยาบาลที่ใช้ Digital Tools จากภายนอกองค์กรอาจเกิดคำถามและมีความกังวลใจว่า “การใช้ Digital Tools ต่าง ๆ นั้นเป็นไปตามกฎหมายเหล่านี้หรือไม่” ต้องขอบอกเลยว่านักพัฒนาระบบและผู้ให้บริการเหล่านี้นั้นมีความเชี่ยวชาญและปฏิบัติตามกฏหมายเหล่านี้อย่างเคร่งครัดมากยิ่งขึ้น ดังนั้นคุณจึงสามารถไว้ใจใน Digital Tools ได้อย่างแน่นอน
ส่วนโรงพยาบาลที่ยังทำงานแบบดั้งเดิมอยู่นั้น แม้คุณจะไม่เกี่ยวข้องกับ Digital Tools แต่อย่างที่เราได้กล่าวไว้ข้างต้น กฎหมายทั้งสามนี้ไม่เลือกปฏิบัติ มันเกี่ยวข้องกับคุณโดยตรงอย่างแน่นอน ดังนั้นการมีความรู้และความเข้าใจในกฎหมายเหล่านี้ย่อมดีกว่า เพื่อที่คุณจะได้สามารถปฏิบัติตนได้อย่างเหมาะสมและเป็นไปตามกฎหมาย
เป็นอย่างไรกันบ้าง ทุกคนคงพอจะเข้าใจมากขึ้นใช่ไหมว่าโรงพยาบาลมีการเก็บรวบรวมข้อมูลต่าง ๆ มากมายที่อยู่ภายใต้ความคุ้มครองของ 3 กฎหมายนี้ ดังนั้นโรงพยาบาลจึงต้องมีมาตรการจัดเก็บและปกป้องข้อมูลที่เข้มงวดมากยิ่งขึ้น เพราะหากเกิดความเสียหายจากการเก็บรวบรวม หรือการใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลที่ไม่เป็นไปตามกฎหมายทั้ง 3 นี้แล้ว อาจเกิดปัญหาด้านกฏหมายครั้งใหญ่ตามมาได้ นอกจากนี้การปฏิบัติตามกฎหมายเหล่านี้อย่างเคร่งครัดยังช่วยสร้างความเชื่อมั่นต่อโรงพยาบาลให้กับผู้ป่วยได้เป็นอย่างดีอีกด้วย
สำหรับใครที่อยากพูดคุย แลกเปลี่ยนความคิดเห็น หรือแบ่งปันข้อมูลเกี่ยวกับอุตสาหกรรมด้านการดูแลสุขภาพ สามารถพูดคุยกับพวกเรา MEDcury ได้ที่ 02-853-9131 หรือ support@medcury.health หรือกรอกแบบฟอร์มที่นี่ แล้วเราจะรีบติดต่อกลับหาคุณโดยเร็วที่สุด
สามารถติดตามข่าวสารเพิ่มเติมเกี่ยวกับพวกเรา MEDcury ได้ที่
Facebook – facebook.com/medcury.health/
Linkedin – linkedin.com/company/medcury
อ้างอิงข้อมูลจาก