S 1: Security and Privacy of Information
Definition
ความมั่นคงปลอดภัยสารสนเทศ (Information Security) หมายถึง การคุ้มครองป้องกัน
ข้อมูลและระบบสารสนเทศของบุคคลหรือองค์กร จากการถูกเข้าถึง ใช้ เปิดเผย แก้ไขทำลาย
หรือระงับการใช้งานโดยไม่ได้รับอนุญาต
ความเป็นส่วนตัว (Privacy) ของข้อมูลสารสนเทศ หมายถึง การคุ้มครองข้อมูลส่วนบุคคล
เพื่อให้การเข้าถึง ใช้ และเปิดเผยข้อมูลสารสนเทศดังกล่าว เป็นไปตามความประสงค์และความ
ยินยอมของผู้นั้น ยกเว้นกรณีปฏิบัติตามกฎหมาย
ข้อมูลส่วนบุคคล (Personal Information) หมายถึง ข้อมูลของบุคคลหรือเกี่ยวกับบุคคล ที่
สามารถระบุตัวบุคคลนั้นได้ หรือเข้าใจได้ว่าหมายถึงข้อมูลของบุคคลใด ทั้งที่อยู่ในรูปแบบ
เอกสารและอิเล็กทรอนิกส์
Goal
เพื่อให้ความมั่นคงปลอดภัยและความเป็นส่วนตัวของข้อมูลสารสนเทศของผู้ให้บริการและ
ผู้รับบริการได้รับความคุ้มครอง
Why
เนื่องจากระบบสารสนเทศของสถานพยาบาล จำเป็นจะต้องมีมาตรการคุ้มครองป้องกันด้าน
ความมั่นคงปลอดภัย (Security) และความเป็นส่วนตัว (Privacy) ของข้อมูล เพื่อลดความเสี่ยง
ที่จะเกิดความเสียหายต่อสถานพยาบาลและผู้ให้บริการเอง ไม่ว่าจะเป็นผลกระทบในด้านการ
ให้บริการหรือผลกระทบต่อตัวบุคคล นอกจากนี้ ข้อมูลส่วนบุคคลของผู้รับบริการ ถือเป็น
ความลับของผู้รับบริการที่ผู้ให้บริการมีหน้าที่ทางจริยธรรมในการคุ้มครองป้องกัน
Process
1. สถานพยาบาลมีนโยบายและระเบียบปฏิบัติที่เหมาะสมด้านความมั่นคงปลอดภัยสารสนเทศ
และความเป็นส่วนตัว ที่มีการสื่อสารท าความเข้าใจภายในองค์กรอย่างทั่วถึง
2. สถานพยาบาลมีการประเมิน จัดการ และติดตามความเสี่ยงด้านความมั่นคงปลอดภัย
สารสนเทศและความเป็นส่วนตัวอย่างเหมาะสม
3. สถานพยาบาลมีมาตรการคุ้มครองป้องกันด้านความมั่นคงปลอดภัยสารสนเทศ ของระบบ
สารสนเทศที่มีข้อมูลส่วนบุคคลเกี่ยวกับบุคลากรหรือผู้ป่วย ในด้านต่างๆ ที่สำคัญ ซึ่งรวมถึง
ความมั่นคงปลอดภัยทางกายภาพ (Physical Security) เช่น การเข้าถึงเอกสาร
อุปกรณ์คอมพิวเตอร์ และสถานที่เก็บเอกสาร/ข้อมูลสารสนเทศ ทางกายภาพ
ความมั่นคงปลอดภัยทางบริหารจัดการ (Administrative Security) เช่น นโยบายและ
ระเบียบปฏิบัติ กระบวนการสร้างการยอมรับ การบริหารความเสี่ยง การประเมินผลการ
ปฏิบัติตามนโยบายและระเบียบปฏิบัติ และการบังคับใช้นโยบายและระเบียบปฏิบัติ
ความมั่นคงปลอดภัยของผู้ใช้งาน (User Security) เช่น
-การระบุและยืนยันตัวบุคคล(รวมทั้งนโยบายเกี่ยวกับรหัสผ่านที่เหมาะสม)
-การกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคล
โดยเฉพาะสำหรับข้อมูลด้านทรัพยากรบุคคล (HR) ของบุคลากร และ ข้อมูล
สุขภาพของผู้ป่วย
-การ Log-out หลังการใช้งานระบบสารสนเทศ
-การสร้างความตระหนักของผู้ใช้งานต่อความเสี่ยงต่างๆ ที่สำคัญ (Security Awareness Training)
ซึ่งรวมถึงภัยคุกคามจากเว็บไซต์หรืออีเมลหลอกลวง (Phishing) และ Malware ด้วย
ความมั่นคงปลอดภัยของระบบเครือข่าย (Network Security) เช่น มาตรการทาง
เทคนิคในการจำกัดการเข้าถึงระบบเครือข่าย การใช้อุปกรณ์ Firewall เพื่อป้องกันภัย
คุกคามในระบบเครือข่าย การเข้ารหัสข้อมูล (Data Encryption) ส าหรับข้อมูลส าคัญที่
รับส่งในระบบเครือข่าย
ความมั่นคงปลอดภัยของระบบสารสนเทศ (System Security) เช่น การอัปเดตระบบ
ปฏิบัติการและซอฟต์แวร์ให้ปลอดภัย การใช้โปรแกรม Antivirus การมีระบบสำรอง
สำหรับระบบที่สำคัญ เช่น การให้บริการผู้ป่วย เพื่อให้การดำเนินงานมีความต่อเนื่อง
ความมั่นคงปลอดภัยของข้อมูล (Data Security) เช่น การสำรองข้อมูล (Data
Backup) การควบคุมการเข้าถึงฐานข้อมูลส่วนบุคคลที่สำคัญเป็นพิเศษ (เช่น ฐานข้อมูล
เงินเดือนของบุคลากร ข้อมูลสุขภาพของผู้ป่วย) การทำลายเอกสารที่มีข้อมูลส่วนบุคคล
ที่สำคัญอย่างปลอดภัย
4. สถานพยาบาลมีมาตรการคุ้มครองความเป็นส่วนตัว (Privacy) ของข้อมูลสารสนเทศ ทั้งที่
เป็นข้อมูลส่วนบุคคลเกี่ยวกับบุคลากร และข้อมูลสุขภาพของผู้ป่วย ซึ่งรวมถึง
กระบวนการขอความยินยอมโดยได้รับการบอกกล่าว (Informed Consent) ในการ
เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของบุคลากรและของผู้ป่วย ยกเว้นกรณี
ฉุกเฉิน หรือกรณีที่มีกฎหมายหรือระเบียบปฏิบัติก าหนดไว้เป็นอย่างอื่น
การควบคุมการเข้าถึงข้อมูลส่วนบุคคลที่สำคัญเพียง เท่าที่จำเป็น (Need-To-Know
Basis) เพื่อให้สามารถทำงานได้
การระมัดระวังการระบุและเปิดเผยตัวตนของบุคลากรหรือผู้ป่วยในเอกสารต่างๆ
เพียงเท่าที่จำเป็น และระมัดระวังการเข้าถึงเอกสารเหล่านี้และการทำลายเอกสารเหล่านี้
อย่างปลอดภัย
มาตรการในการคุ้มครองความเป็นส่วนตัวของข้อมูล ในการนำข้อมูลส่วนบุคคลของ
บุคลากรหรือผู้ป่วยไปใช้งานอย่างอื่น (Secondary Use of Data) เช่น การวิจัย การ
พัฒนาคุณภาพงาน และการบริหารองค์กร
Training
การอบรมเกี่ยวกับการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management)
แนวคิดพื้นฐานและมาตรการคุ้มครองป้องกันด้านความมั่นคงปลอดภัยสารสนเทศและความเป็น
ส่วนตัวของข้อมูลสารสนเทศ และการจัดทำนโยบายและระเบียบปฏิบัติ
Monitoring
มีนโยบายและระเบียบปฏิบัติที่เหมาะสม
มีการประเมินแผน และผลการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศและ
ความเป็นส่วนตัวของข้อมูลสารสนเทศ
สัดส่วนของบุคลากรที่ได้รับการอบรมสร้างความตระหนัก (Security Awareness Training)
จ านวนอุบัติการณ์ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศและความเป็นส่วนตัวของ
ข้อมูลสารสนเทศที่เกิดขึ้นในสถานพยาบาล
Pitfall
การเน้นเรื่องการจัดหาเทคโนโลยี แต่ไม่ให้ความสำคัญกับกระบวนการหรือบุคลากร
แผนการจัดการความเสี่ยงไม่สอดคล้องกับความเสี่ยงที่ถูกประเมิน หรือการจัดการความ
เสี่ยงไม่เป็นไปตามแผนหรือไม่มีประสิทธิภาพ
ให้ความส าคัญเฉพาะข้อมูลอิเล็กทรอนิกส์ในระบบสารสนเทศ แต่ไม่ให้ความส าคัญกับ
ข้อมูลส่วนบุคคลในเอกสาร
มาตรฐาน HA
การปฎิบัติตามแนวทางข้างต้น คือการปฏิบัติตามมาตรฐาน โรงพยาบาลและบริการสุขภาพ
ฉบับที่ 4 ตอนที่ I หมวดที่ 4 ข้อ 4.2 การจัดการความรู้และสารสนเทศ ข. การจัดการระบบ
สารสนเทศ (1) และ (2)