In Bangkok
รพ.สังกัดกทม.เข้มความปลอดภัยข้อมูล ส่วนบุคคลผู้ป่วย-ป้องกันข้อมูลรั่วไหล
กรุงเทพฯ-นางเลิศลักษณ์ ลีลาเรืองแสง ผู้อำนวยการสำนักการแพทย์ (สนพ.) กทม. กล่าวถึงมาตรการดูแลความปลอดภัยข้อมูลส่วนบุคคลของผู้ป่วยและมาตรการจัดการเวชระเบียนของสถานพยาบาลในสังกัด เพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ป่วยและป้องกันการนำข้อมูลไปใช้ในทางที่ผิดว่า สนพ. ได้เน้นย้ำทุกโรงพยาบาลในสังกัดให้เข้มงวดมาตรการดูแลคุ้มครองความปลอดภัยข้อมูลส่วนบุคคลของผู้ป่วยในสื่อสาธารณะและมาตรการจัดการเวชระเบียน เพื่อป้องกันการเผยแพร่ข้อมูลส่วนบุคคลของผู้ป่วย ทั้งการจัดเก็บและการเข้าถึง โดยควบคุมการเข้าถึงเวชระเบียนอย่างเข้มงวด จำกัดเฉพาะผู้ที่มีสิทธิ์และจำเป็นเท่านั้น กำหนดพื้นที่จัดเก็บเวชระเบียนและเครื่องแม่ข่ายคอมพิวเตอร์ให้เป็นเขตหวงห้าม บันทึกการเข้า-ออก และการนำเวชระเบียนออกไปใช้งาน ส่วนการรักษาความลับ ได้กำหนดชั้นความลับของข้อมูลผู้ป่วยและปฏิบัติตามมาตรการการรักษาความลับของเอกสารลับ และการจัดการเมื่อเกิดเหตุฉุกเฉิน มีระบบสำรองสำหรับไฟฟ้าดับ หรือระบบคอมพิวเตอร์ขัดข้อง เพื่อให้การค้นหา บันทึก และจัดเก็บข้อมูลผู้ป่วยเป็นไปอย่างต่อเนื่องและถูกต้อง สำหรับการตรวจสอบและติดตาม ได้จัดให้มีระบบตรวจสอบการส่งเวชระเบียนกลับคืนและติดตามเวชระเบียนที่ยังไม่ส่งกลับคืนให้ครบถ้วน ส่วนการทำลายเวชระเบียนจะมีขั้นตอนและระเบียบการทำลายเอกสารที่ชัดเจน ปฏิบัติตามแนวทางการเก็บรักษาและทำลายข้อมูลส่วนบุคคล (Data Retention and Disposal Policy)
ขณะเดียวกัน หากมีการว่าจ้างบุคคลภายนอกในการทำลายเอกสาร ต้องมีข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA) และสัญญาการรักษาความลับ (Non- Disclosure Agreement: NDA) อีกทั้งมีการสร้างความตระหนักให้แก่เจ้าหน้าที่ในหน่วยงานเกี่ยวกับการจัดการเวชระเบียนและการป้องกันการเปิดเผยข้อมูลส่วนบุคคล รวมถึงการปฏิบัติตามพระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ร.บ. สุขภาพแห่งชาติ พ.ศ. 2550 และข้อบังคับแพทยสภาว่าด้วยจริยธรรมวิชาชีพเวชกรรม ขณะที่การขอความยินยอม ก่อนการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลต้องแจ้งรายละเอียดให้เจ้าของข้อมูลทราบและขอความยินยอมก่อนเสมอ ส่วนการจัดการข้อมูลส่วนบุคคล ได้จัดทำประกาศนโยบายความเป็นส่วนตัว (Privacy Notice) และนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) รวมทั้งประชาสัมพันธ์กรณีตัวอย่างการเผยแพร่ข่าวสารเกี่ยวกับเอกสารหลุด เพื่อสร้างความตระหนักให้แก่เจ้าหน้าที่ ทั้งนี้ มาตรการดังกล่าวมีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ป่วยและป้องกันการนำข้อมูลไปใช้ในทางที่ผิดกฎหมาย หรือละเมิดสิทธิของผู้ป่วย
นอกจากนี้ ยังได้วางแนวทางวิธีการทำลายสื่อบันทึกข้อมูลแต่ละประเภท โดยหากเป็นข้อมูลในรูปแบบกระดาษ หรือสิ่งพิมพ์ อาจใช้เครื่องทำลายเอกสารในองค์กร หรือใช้บริการทำลายเอกสารโดยองค์กรภายนอกก็ได้ ส่วนข้อมูลที่บันทึกในแบบดิจิทัล เมื่อต้องดำเนินการลบ ควรตระหนักว่าข้อมูลดังกล่าวอาจมีสำเนาอยู่ในระบบ ข้อมูลจึงอาจไม่ได้ถูกลบอย่างแท้จริงแม้ว่าจะได้ดำเนินการลบแล้ว กรณีที่ต้องการลบข้อมูลอย่างถาวร ข้อมูลนั้นต้องไม่สามารถใช้ได้อีกต่อไปและไม่มีใครสามารถเข้าถึง หรือใช้ข้อมูลได้อีกเมื่อลบแล้ว การที่ข้อมูลถูกลบและไปอยู่ในขยะ (Recycle Bin) ตามปกติระบบจะยังคงเก็บข้อมูลไว้อีกช่วงระยะเวลาหนึ่ง หากต้องการลบข้อมูลประเภทนี้ อาจดำเนินการโดยใช้ซอฟต์แวร์ที่ช่วยลบข้อมูลอย่างปลอดภัย (Secure Delete Software) ซึ่งซอฟต์แวร์เหล่านี้จะช่วยลบข้อมูลอย่างปลอดภัย โดยมีเจ้าหน้าที่ด้านเทคโนโลยีสารสนเทศที่มีความเชี่ยวชาญดำเนินการ