top of page

ควรรู้ไว้! กับ 3 กฎหมายด้านข้อมูลที่โรงพยาบาลต้องปฏิบัติตาม

ควรรู้ไว้! กับ 3 กฎหมายด้านข้อมูลที่โรงพยาบาลต้องปฏิบัติตาม

ทุกวันนี้ผู้คนหันมาตระหนักถึงความเป็นส่วนตัวและความคุ้มครองข้อมูลส่วนบุคคลมากขึ้น รวมถึงมีการออกกฎหมายใหม่ ๆ เพื่อปกป้องการเข้าถึงหรือเผยแพร่ข้อมูลเหล่านี้แล้ว โดยมี 3 กฎหมายด้านข้อมูลที่ส่งผลโดยตรงแก่โรงพยาบาล


ไม่ว่าโรงพยาบาลของคุณจะยังทำงานแบบดั้งเดิมที่เก็บข้อมูลทุกอย่างในรูปแบบแฟ้มเอกสาร หรือโรงพยาบาลมีระบบการทำงานเป็นดิจิทัลอย่างเต็มรูปแบบด้วยการใช้ Digital Tools ต่าง ๆ แล้วก็ตาม


เพียงแค่องค์กรของคุณมีการเก็บข้อมูลส่วนตัว คุณก็เข้าเกณฑ์ต้องปฏิบัติตามกฎหมายเหล่านี้อย่างหลีกเลี่ยงไม่ได้ วันนี้ MEDcury จะมาสรุปให้ทุกคนฟังถึง 3 กฎหมายนี้กัน มาดูกันเลย!


1. Health Insurance Portability and Accountability Act (HIPAA)

Health Insurance Portability and Accountability Act (HIPAA)

ย้อนกลับไปเมื่อปีค.ศ. 1996 ทางรัฐบาลกลางของสหรัฐอเมริกาได้กำหนดให้มีการสร้างมาตรฐานระดับชาติเพื่อปกป้องข้อมูลด้านสุขภาพที่ละเอียดอ่อนของผู้ป่วย ไม่ให้ถูกเปิดเผยโดยไม่ได้รับความยินยอม นั่นก็คือกฏหมาย Health Insurance Portability and Accountability Act หรือ HIPAA นั่นเอง


การบังคับใช้กฎหมายนี้ ทำให้ข้อมูลด้านสุขภาพใด ๆ ก็ตามที่อาจเชื่อมโยงถึงการระบุตัวผู้ป่วย จะถูกปกป้อง และไม่สามารถนำมาเปิดเผยหรือเข้าถึงได้ หากไม่ได้รับความยินยอมจากผู้ป่วย ดังนั้นผู้ให้บริการด้านสุขภาพและบุคคลที่เกี่ยวข้องต้องปฏิบัติตามกฎหมายนี้อย่างเคร่งครัดเพื่อคุ้มครองข้อมูลของผู้ป่วยให้ปลอดภัยจากการเผยแพร่หรือเข้าถึงโดยไม่ได้รับอนุญาต


ข้อมูลที่อยู่ภายใต้ความคุ้มครองของ HIPAA มีดังนี้

  • ข้อมูลใด ๆ ก็ตามที่แพทย์ หรือพยาบาล หรือผู้ให้บริการด้านสุขภาพต่าง ๆ ได้บันทึกไว้ในเวชระเบียนของผู้ป่วย

  • บทสนทนาเกี่ยวกับการรักษาระหว่างผู้ป่วยกับแพทย์ หรือพยาบาล หรือผู้ให้บริการด้านสุขภาพ

  • ข้อมูลเกี่ยวกับประกันสุขภาพของผู้ป่วย

  • ข้อมูลค่ารักษาพยาบาลของผู้ป่วย

  • ข้อมูลด้านสุขภาพอื่น ๆ ของผู้ป่วยที่ถูกเก็บรวบรวมโดยผู้ที่ต้องปฏิบัติตามกฎหมายนี้


2. General Data Protection Regulation (GDPR)

General Data Protection Regulation (GDPR)

General Data Protection Regulation หรือ GDPR คือกฎระเบียบของสหภาพยุโรป (EU) ว่าด้วยการคุ้มครองข้อมูลส่วนตัวและความเป็นส่วนตัวของพลเมืองในประเทศใน EU ซึ่งมีการปกป้องข้อมูลส่วนบุคคลที่ละเอียดอ่อนต่าง ๆ มากมาย เพื่อปกป้องพลเมือง EU จากการโดนละเมิดความเป็นส่วนตัว


ข้อมูลที่อยู่ภายใต้ความคุ้มครองของ GDPR ได้แก่

  • ข้อมูลทั่วไป เช่น ชื่อ-นามสกุล, เลขประจำตัวประชาชน, เบอร์โทรศัพท์, วันเกิด, อีเมล เป็นต้น

  • รูปลักษณ์ ลักษณะ และพฤติกรรม

  • ข้อมูลด้านการศึกษา

  • ข้อมูลด้านการทำงาน รายได้ และการเสียภาษี

  • ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น การนับถือศาสนา, ความคิดเห็นทางการเมือง เป็นต้น

  • ข้อมูลด้านสุขภาพ เช่น ประวัติการรักษาพยาบาล, ลักษณะทางพันธุกรรม เป็นต้น


กฎหมาย GDPR ประกาศใช้ใน EU แล้วเกี่ยวอะไรกับโรงพยาบาลในประเทศไทย?


หลาย ๆ คนคงสงสัยในประเด็นนี้กันอย่างแน่นอน MEDcury ขอพูดสรุปง่าย ๆ เลยว่าถึงแม้กฎหมาย GDPR จะประกาศใช้ใน EU แต่มีผลบังคับใช้กับทุกหน่วยงานที่มีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลของพลเมืองที่อาศัยอยู่ใน EU ไม่ว่าหน่วยงานนั้นจะตั้งอยู่ที่ไหนก็ตาม


ดังนั้นโรงพยาบาลที่ต้องข้องเกี่ยวกับชาวต่างชาติจากประเทศในกลุ่ม EU ก็เลยต้องปฏิบัติตามกฎนี้อย่างหลีกเลี่ยงไม่ได้เช่นกันนั่นเอง


3. Thailand’s Personal Data Protection Act (PDPA)

Thailand’s Personal Data Protection Act (PDPA)

Thailand’s Personal Data Protection Act หรือ PDPA คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งพึ่งประกาศบังคับใช้อย่างเต็มรูปแบบไปเมื่อเดือนมิถุนายน 2565 ที่ผ่านมา จริง ๆ แล้วกฎหมายนี้ถูกถอดแบบมาจากกฎระเบียบ GDPR ที่พึ่งกล่าวไปข้างต้น


ดังนั้นวัตถุประสงค์ของกฎหมายนี้จึงไม่ต่างกัน นั่นก็เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล รวมถึงป้องกันการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบและไม่ได้รับความยินยอม


ตัวอย่างของข้อมูลที่อยู่ภายใต้ความคุ้มครองของ PDPA เช่น

  • ข้อมูลทั่วไป เช่น ชื่อ-นามสกุล, เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, ที่อยู่, อีเมล, เบอร์โทรศัพท์, วันเกิด, สถานที่เกิด, เชื้อชาติ, สัญชาติ, น้ำหนัก, ส่วนสูง เป็นต้น

  • ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, Cookie ID เป็นต้น

  • ข้อมูลทางชีวมิติ (Biometric) เช่น รูปถ่ายใบหน้า, ลายนิ้วมือ, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง

  • ข้อมูลทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน เป็นต้น

  • ข้อมูลทางการเงิน

  • ข้อมูลการศึกษาหรือการจ้างงาน

  • ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลด้านสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต, ข้อมูลพันธุกรรม เป็นต้น


เก็บข้อมูลแบบดั้งเดิม ทำไมยังต้องปฏิบัติตาม?

ต้องบอกว่ากฎหมายทั้งสามนี้ก็มีผลบังคับใช้กับทุกองค์กรอย่างไม่เลือกปฏิบัติ และไม่ขึ้นอยู่กับวิธีการเก็บข้อมูล ดังนั้นองค์กรต่าง ๆ ที่มีการเก็บข้อมูลส่วนตัวจึงต้องปรับตัวให้สอดรับกับการเปลี่ยนแปลงนี้ โดยเฉพาะโรงพยาบาลที่เป็นหนึ่งในองค์กรที่มีการเก็บรวบรวมข้อมูลส่วนตัวที่ละเอียดอ่อน (Sensitive Personal Data) เป็นจำนวนมาก

หรืออธิบายอีกวิธีหนึ่งได้ว่าไม่ว่าโรงพยาบาลของคุณจะยังทำงานแบบดั้งเดิมที่เก็บข้อมูลทุกอย่างเป็นแฟ้มเอกสารหรืออยู่เฉพาะบน Server ของโรงพยาบาล หรือโรงพยาบาลได้เปลี่ยนระบบการทำงานเป็นดิจิทัลอย่างเต็มรูปแบบด้วยการใช้ Digital Tools ต่าง ๆ เช่น EMR, HIS On Cloud, HIE, NHIS เป็นต้น แล้วก็ตาม ในเมื่อคุณมีการเก็บข้อมูล คุณก็ต้องปฏิบัติตามกฎหมายเหล่านี้นั่นเอง


ใช้ Digital Tools ในโรงพยาบาล จะเป็นไปตามที่กฎหมายกำหนดหรือเปล่า?

บางโรงพยาบาลที่ใช้ Digital Tools จากภายนอกองค์กรอาจเกิดคำถามและมีความกังวลใจว่า “การใช้ Digital Tools ต่าง ๆ นั้นเป็นไปตามกฎหมายเหล่านี้หรือไม่” ต้องขอบอกเลยว่านักพัฒนาระบบและผู้ให้บริการเหล่านี้นั้นมีความเชี่ยวชาญและปฏิบัติตามกฏหมายเหล่านี้อย่างเคร่งครัดมากยิ่งขึ้น ดังนั้นคุณจึงสามารถไว้ใจใน Digital Tools ได้อย่างแน่นอน


ส่วนโรงพยาบาลที่ยังทำงานแบบดั้งเดิมอยู่นั้น แม้คุณจะไม่เกี่ยวข้องกับ Digital Tools แต่อย่างที่เราได้กล่าวไว้ข้างต้น กฎหมายทั้งสามนี้ไม่เลือกปฏิบัติ มันเกี่ยวข้องกับคุณโดยตรงอย่างแน่นอน ดังนั้นการมีความรู้และความเข้าใจในกฎหมายเหล่านี้ย่อมดีกว่า เพื่อที่คุณจะได้สามารถปฏิบัติตนได้อย่างเหมาะสมและเป็นไปตามกฎหมาย


เป็นอย่างไรกันบ้าง ทุกคนคงพอจะเข้าใจมากขึ้นใช่ไหมว่าโรงพยาบาลมีการเก็บรวบรวมข้อมูลต่าง ๆ มากมายที่อยู่ภายใต้ความคุ้มครองของ 3 กฎหมายนี้ ดังนั้นโรงพยาบาลจึงต้องมีมาตรการจัดเก็บและปกป้องข้อมูลที่เข้มงวดมากยิ่งขึ้น


เพราะหากเกิดความเสียหายจากการเก็บรวบรวม การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลที่ไม่เป็นไปตามกฎหมายทั้ง 3 นี้แล้ว อาจเกิดปัญหาด้านกฏหมายครั้งใหญ่ตามมาได้ นอกจากนี้การปฏิบัติตามกฎหมายเหล่านี้อย่างเคร่งครัดยังช่วยสร้างความเชื่อมั่นต่อโรงพยาบาลให้กับผู้ป่วยได้เป็นอย่างดีอีกด้วย


เพิ่มประสิทธิภาพด้านความปลอดภัยของข้อมูลให้กับโรงพยาบาลของคุณ ?


สำหรับใครที่อยากพูดคุย แลกเปลี่ยนความคิดเห็น หรือแบ่งปันข้อมูลเกี่ยวกับอุตสาหกรรมด้านการดูแลสุขภาพ สามารถพูดคุยกับพวกเรา MEDcury ได้ที่


  • โทรศัพท์ : 02-853-9131 (ในเวลาทำการ 10:00 - 18:00 น. วันจันทร์ - วันศุกร์)

  • อีเมล : sales@medcury.health หรือกรอกแบบฟอร์มคลิกที่นี่


ติดตามข่าวสารเพิ่มเติมเกี่ยวกับ MEDcury จากช่องทางอื่น



อ้างอิงข้อมูลจาก

bottom of page