กลุ่มงานสุขภาพดิจิทัล
โรงพยาบาลเบตง
นโยบาย/ระเบียบ/แนวปฏิบัติ
เอกสารที่เกี่ยวข้อง
5 พื้นฐานโรงพยาบาลต้องทำให้สอดคล้อง PDPA
โรงพยาบาลต้องดำเนินการอย่างไร? เพื่อให้สอดคล้องกับกฎหมาย PDPA สามารถสรุปคร่าว ๆ ได้ดังนี้
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO (DATA Protection Officer).
- จัดทำประกาศนโยบาย Privacy Notice & Privacy Policy.
- จัดทำ Consent Management.
- จัดทำข้อตกลงการประมวลผลในกรณีที่มีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล.
- จัดทำ RoPA (Record of Processing Activities).
PDPA โรงพยาบาล เป็นสิ่งที่ถูกพูดถึงไม่น้อยในแวดวงสุขภาพและสาธารณสุข นับตั้งแต่กฏหมาย PDPA ได้มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 เป็นต้นมา หลาย ๆ องค์กรทั้งภาคเอกชนและรัฐวิสาหกิจเริ่มตื่นตัวกับการบังคับใช้ของกฏหมาย ด้วยการศึกษา ค้นคว้าข้อมูลเกี่ยวกับกฎหมายนี้ และเริ่มปรับใช้แล้วในบางองค์กร
พ.ร.บ คุ้มครองข้อมูลส่วนบุคคลนี้ นอกจากจะคุ้มครองข้อมูลในระบบดิจิทัล เครือข่ายออนไลน์ ภาคธุรกิจและภาคอุตสาหกรรมแล้ว ยังครอบคลุมถึงข้อมูลเกี่ยวกับสุขภาพและสาธารณะสุขอีกด้วย ครั้งนี้เราจึงอยากชวนทุกคนมาทำความเข้าใจเกี่ยวกับ กฏหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ในโรงพยาบาลและระบบประกันสุขภาพกัน
โรงพยาบาล เป็นองค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของคน ตั้งแต่เกิด แก่ เจ็บ หรือแม้แต่ตอนตาย อาทิ การแจ้งเกิดของทารก โดยพ่อแม่หรือผู้ปกครองจะต้องดำเนินการแจ้งเกิดกับที่ว่าการอำเภอโดยใช้ข้อมูลจากทางโรงพยาบาล หรือในกรณีที่มีบุคคลเสียชีวิต จะต้องนำข้อมูลจากโรงพยาบาลเพื่อใช้จัดทำใบมรณบัตร โรงพยาบาลถือเป็นศูนย์กลางของข้อมูลขนาดใหญ่ที่เก็บข้อมูลส่วนบุคคลของคนไข้ที่เข้ารับบริการ และยังจัดเก็บข้อมูลอ่อนไหว (Sensitive Personal Data) ไว้จำนวนมาก อาทิ การทำประวัติคนไข้หรือเวชระเบียน การใช้ประวัติการรักษาพยาบาลย้อนหลังของคนไข้ในการวินิจฉัยอาการหรือโรค การเก็บข้อมูลกรุ๊ปเลือด ประวัติการใช้ยา ประวัติการผ่าตัด ข้อมูลเกี่ยวกับประกันสุขภาพ ข้อมูลเกี่ยวกับประกันสังคม ฯลฯ ข้อมูลเหล่านี้เป็นข้อมูลสำคัญที่ระบุตัวตนของบุคคลได้ทั้งทางตรงและทางอ้อม ซึ่งจำเป็นต้องมีการนำข้อมูลมาประมวลผลอยู่บ่อยครั้ง เพื่อประกอบการเข้ารับการรักษา ดังนั้นกิจกรรมการใช้ข้อมูลในโรงพยาบาลเกิดขึ้นทุกวันอย่างหลีกเลี่ยงไม่ได้ และเสี่ยงที่จะเกิดการรั่วไหลหรือถูกโจรกรรมอย่างเลี่ยงไม่ได้เช่นกัน
การมีอยู่และการบังคับใช้กฎหมาย PDPA เปรียบเสมือนการสร้างกำแพงป้องกันกำแพงที่ 2 เพื่อคุ้มครองข้อมูลของคนไข้ให้มีความปลอดภัยและอำนวยความสะดวกในขั้นตอนต่าง ๆ ที่เกี่ยวข้องกับการถ่ายโอนข้อมูลที่จำเป็นต่อการรักษาพยาบาลอีกด้วย แนวปฏิบัติเกี่ยวกับข้อมูลอ่อนไหวที่ถูกกำหนดเพิ่มในกฎหมาย PDPA มีส่วนที่ช่วยขยายการคุ้มครองเพิ่มเติมจาก พ.ร.บ.สุขภาพแห่งชาติ พ.ศ 2550 อาทิ ข้อกำหนดในการประมวลผลข้อมูลอ่อนไหวเพื่อการดูแลรักษาสุขภาพและสังคม (Health or Social Care) ครอบคลุมการจัดการข้อมูลสุขภาพของสถานพยาบาลมีส่วนที่ช่วยขยายการคุ้มครองเพิ่มเติมจาก พ.ร.บ.สุขภาพแห่งชาติ พ.ศ 2550 อาทิ ข้อกำหนดในการประมวลผลข้อมูลอ่อนไหวเพื่อการดูแลรักษาสุขภาพและสังคม (Health or Social Care) ครอบคลุมการจัดการข้อมูลสุขภาพของสถานพยาบาล
ประสบการณ์ที่ต้องเจอเมื่อคุณไปใช้บริการโรงพยาบาล ก้าวแรกของหลาย ๆ คนมักเริ่มที่แผนกข้อมูลที่ชื่อว่า แผนกเวชระเบียน โดยจะเก็บข้อมูลส่วนตัวสำคัญของผู้เข้ารับการรักษา คลอบคลุมทั้งชื่อ ที่อยู่ เลขประจำตัวประชาชน ข้อมูลเพศ กรุ๊ปเลือด วันเดือนปีเกิด อายุ และข้อมูลอื่นๆ ที่จำเป็นต่อการรับการรักษา เวชระเบียนจึงเป็นหัวใจของโรงพยาบาลในฐานะคลังข้อมูลที่เชื่อมต่อกับอีกหลายแผนกในโรงพยาบาล นอกจากข้อมูลของคนไข้ในโรงพยาบาลแล้ว ข้อมูลของบุคลกรภายใน อาทิแพทย์ พยาบาล เจ้าหน้าที่ประจำแผนกต่าง ๆ ลูกจ้าง ฯ ถือเป็นข้อมูลส่วนบุคคลที่หมุนเวียนอยู่ในระบบข้อมูลของโรงพยาบาลเช่นกัน ด้วยเหตุนี้โรงพยาบาลจำเป็นต้องดำเนินการจัดเก็บข้อมูลส่วนบุคคลให้สอดคล้องกับข้อบังคับใช้ของกฎหมาย PDPA ตามขั้นตอนเบื้องต้นที่ปรากฎในหัวข้อถัดไป