ผลกระทบทางจริยธรรม และประเด็นทางสังคม

ที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ

นพ.นวนรรน ธีระอัมพรพันธุ์ฝ่ายเวชสารสนเทศ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล

http://www.SlideShare.net/Nawanan nawanan.the@mahidol.ac.th

13 มีนาคม 2556

เมื่อพูดถึงคําว่า “จริยธรรม”

เรามักคิดถึง...?

เมื่อพูดถึงคําว่า “จริยธรรม” เรามักคิดถึง...?

• ความถูกต้อง

• คุณธรรม

• ศีลธรรม

• จรรยาบรรณ

• ความประพฤติที่ดีงาม เหมาะสม

• การกระทําที่ถูกกฎหมาย

กรอบมาตรฐานของสังคม

? ทางเลือกที่ 1

ทางเลือกที่ 2

กรอบมาตรฐานของสังคม

กฎหมาย ในฐานะกรอบมาตรฐานของสังคม

? ทางเลือกที่ 1

ทางเลือกที่ 2

กฎหมาย (Law)

จรรยาบรรณแห่งวิชาชีพ

? ทางเลือกที่ 1

ทางเลือกที่ 2

จรรยาบรรณแห่งวิชาชีพ (Professional Code of Ethics)

จริยธรรม: ความประพฤติที่สังคมเห็นว่าดีงาม

? ทางเลือกที่ 1

ทางเลือกที่ 2

จริยธรรม (Ethics)

ความเป็นจริง

? ทางเลือกที่ 1

ทางเลือกที่ 2

กฎหมาย

จริยธรรม

จรรยาบรรณ

หลักจริยธรรม (Ethical Principles) สําคัญด้านสุขภาพ

• Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)

• Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)

• Non-maleficence (หลักการไม่ทําอันตรายต่อผู้ป่วย)

• “First, Do No Harm.”

• Justice (หลักความยุติธรรม)

• หมายถึงการกระจายทรัพยากรที่มีอยู่จํากัดอย่างเหมาะสม เป็นธรรม

และเท่าเทียมกัน

ประเด็นทางจริยธรรม กฎหมาย และสังคม

• Ethical, Legal, and Social Issues (ELSI)

• Ethical - ในเชิงจริยธรรม

• Legal - ในทางกฎหมาย

• Social - ที่เกี่ยวกับสังคม

ประเด็นเกี่ยวกับ ELSI ด้านเทคโนโลยีสารสนเทศทางสุขภาพ (1)

• กรณีที่ 1: บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ ส่งผลกระทบต่อผู้อื่น

และสังคม

ประเด็นเกี่ยวกับ ELSI ด้านเทคโนโลยีสารสนเทศทางสุขภาพ (2)

• กรณีที่ 2: ผู้ให้บริการทางสุขภาพใช้เทคโนโลยีสารสนเทศ ส่งผลกระทบ

ต่อผู้ป่วยและสังคม

กรณีที่ 1: บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ

กฎหมาย

กรณีที่ 1: บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ

• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ

พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551

• รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส ์การรับส่งข้อมูล

อิเล็กทรอนิกส ์การใช้ลายมือชื่ออิเลก็ทรอนิกส ์(electronic signature) และกําหนด

หลักเกณฑ์ต่างๆ ที่เกี่ยวข้องกับการทาํธุรกรรมทางอิเลก็ทรอนิกส ์(electronic

transaction)

• พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

• กําหนดมาตรการป้องกันและปราบปรามการกระทาํความผิดทีเ่กี่ยวข้องกับ

คอมพิวเตอร์ ซึ่งก่อให้เกิดความเสียหาย กระทบกระเทอืนต่อเศรษฐกิจ สังคม และ

ความมั่นคงของประเทศ รวมทั้งความสงบสุขและศลีธรรมอันดีของประชาชน

พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

การกระทําความผิดเกี่ยวกับคอมพิวเตอร์ (Computer-Related Crimes)

ตัวอย่าง?

• อาชญากรรมทางคอมพิวเตอร์ (Computer Crimes)

• เช่น Hacking, การเปิดเผยข้อมูลทีเ่ป็นความลับ, การดักฟังข้อมูล

• การกระทําความผิดทีม่ีคอมพิวเตอร์เป็นเครื่องมือ (Crimes Using Computers as Tools)

• เช่น การเผยแพร่ภาพลามก

• การโพสต์ข้อความทีเ่ป็นภัยต่อความมั่นคง

• การตัดต่อภาพเพื่อให้ผู้อื่นเสยีหาย

พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

มาตรา 3 (บทนิยาม)

• “ระบบคอมพิวเตอร์” หมายความว่า อุปกรณ์หรือชุดอุปกรณ์ของคอมพิวเตอร์ที่

เชื่อมการทํางานเข้าด้วยกัน โดยได้มีการกําหนดคําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด และ

แนวทางปฏิบัติงานให้อุปกรณ์หรือชุดอุปกรณ์ทําหน้าที่ประมวลผลข้อมูลโดย

อัตโนมัติ

• “ข้อมูลคอมพิวเตอร์” หมายความว่า ข้อมูล ข้อความ คําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด

บรรดาที่อยู่ในระบบคอมพิวเตอร์ในสภาพที่ระบบคอมพิวเตอร์อาจประมวลผลได้

และให้หมายความรวมถึงข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทาง

อิเล็กทรอนิกส์ด้วย

คําถาม

สิ่งต่อไปนี้ ถือเป็น “ระบบคอมพิวเตอร์” ตาม พรบ.นี้หรือไม่?

พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

มาตรา 3 (บทนิยาม)

• “ข้อมูลจราจรทางคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสาร

ของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกําเนิด ต้นทาง ปลายทาง เส้นทาง เวลา

วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการ

ติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น

• “ผู้ให้บริการ” หมายความว่า

(1) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสูอ่ินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการ

อื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือ

ในนามหรือเพื่อประโยชน์ของบุคคลอื่น

(2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น

ผู้ให้บริการ หมายรวมถึง

1. ผู้ประกอบกิจการโทรคมนาคมและกิจการกระจายภาพและเสียง

(Telecommunication and Broadcast Carriers)

2. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider)

3. ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่างๆ

(Hosting Service Provider

4. ผู้ให้บริการร้านอินเทอร์เน็ต

5. ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่าน Application ต่างๆ เช่น ผู้ให้บริการ

เว็บบอร์ด, Blog, e-Commerce ฯลฯ

พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์

• มาตรา 5 การเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึง

โดยเฉพาะและมาตรการนั้นมิได้มีไว้สําหรับตน (Unauthorized access)

• เช่น การเจาะระบบ (hacking), การ hack รหัสผ่านคนอื่น

• การเข้าถึงทางกายภาพ หรือทางเครือข่ายก็ได้

• มาตรา 6 การเปิดเผยโดยมิชอบซึ่งมาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่

ผู้อื่นจัดทําขึ้นเป็นการเฉพาะที่ได้ล่วงรู้มา ในประการที่น่าจะเกิดความเสียหายแก่

ผู้อื่น

• เช่น เปิดเผยรหัสผา่นของผูอ้ื่นโดยไม่ได้รับอนุญาต

พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

• มาตรา 7 การเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึง

โดยเฉพาะและมาตรการนั้นมิได้มีไว้สําหรับตน (Unauthorized access)

• เช่น การนําข้อมูลคอมพิวเตอร์ของผู้อื่นไปพยายามถอดรหัสเพื่ออ่านเนือ้ความ

• มาตรา 8 การกระทําโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ซึ่ง

ข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และ

ข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้

ประโยชน์ได้

• เช่น การดักฟังข้อมูลผ่านเครือข่าย

• มาตรา 9 การทําให้เสียหาย ทําลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมด

หรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ

• เช่น การลบหรือแก้ไขข้อมูลของผู้อื่น โดยมีเจตนาร้าย

พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

• มาตรา 10 การกระทําโดยมิชอบ เพื่อให้การทํางานของระบบคอมพิวเตอร์ของ

ผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทํางานตามปกติได้

• เช่น Denial of Service (DoS) Attack = การโจมตีให้เว็บล่ม

• มาตรา 11 การส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่นโดย

ปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการ

ใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข

• เช่น ส่ง spam e-mail

• มาตรา 13 การจําหน่ายหรือเผยแพร่ชุดคําสั่งเพื่อนําไปใช้เป็นเครื่องมือในการ

กระทําความผิดตาม พรบ. นี้

• เช่น การเผยแพร่ซอฟต์แวร์เจาะระบบ

พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

• มาตรา 14

(1) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอม หรือข้อมูลคอมพิวเตอร์อันเป็น

เท็จ โดยประการที่น่าจะเกิดความเสยีหายแก่ผูอ้ื่นหรือประชาชน

(2) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเทจ็ โดยประการที่น่าจะเกิด

ความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน

(3) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ อันเป็นความผิดเกี่ยวกับความ

มั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้าย

(4) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ ที่มีลักษณะอันลามกและ

ข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้

(5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ตาม (1)-(4)

พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

• มาตรา 15 ความรับผิดกรณีผู้ให้บริการจงใจสนับสนุนหรือยินยอมให้มีการกระทํา

ความผิดตามมาตรา 14 ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน

• มาตรา 16 ผู้ใดนําเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจเข้าถึงได้ซึ่ง

ข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการ

สร้างขึ้น ตัดต่อ เติม หรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด

ทั้งนี้ โดยประการที่น่าจะทําให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือ

ได้รับความอับอาย

พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

หมวด 2 พนักงานเจ้าหน้าที่

• มาตรา 18 อํานาจของพนักงานเจ้าหน้าที่

(1) มีหนังสือสอบถามหรือเรียกบุคคลมาให้ถ้อยคํา ส่งคําชี้แจง หรือส่งหลักฐาน

(2) เรียกข้อมูลจราจรทางคอมพิวเตอร์จากผู้ให้บริการ

(3) สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บ

(4) ทําสําเนาข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์

(5) สั่งให้บุคคลซึ่งครอบครองหรือควบคุมข้อมูลคอมพิวเตอร์ ส่งมอบข้อมูล

(6) ตรวจสอบหรอืเข้าถึงระบบคอมพิวเตอร์ ข้อมูล หรืออุปกรณ์ที่เป็นหลักฐาน

(7) ถอดรหัสลับของข้อมูล หรือสั่งให้บุคคลทําการถอดรหัสลับ

(8) ยึดหรืออายัดระบบคอมพิวเตอร์เท่าที่จําเป็น

พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

• มาตรา 19-21 การยื่นคําร้องต่อศาลของพนักงานเจ้าหน้าที่ เกี่ยวกับการปฏิบัติ

หน้าที่ตาม พรบ. นี้

• มาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า

90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์...

• ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จําเป็นเพื่อให้สามารถระบุ

ตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้องเกบ็รักษาไว้เป็นเวลาไม่น้อยกว่า 90

วัน นับตั้งแต่การใช้บริการสิ้นสุดลง

กรณีที่ 1 (พิเศษ): บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ

• บุคคลทั่วไปใชเ้ทคโนโลยีสารสนเทศ แล้วเกิดปัญหาทางสุขภาพ

พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับ

คอมพิวเตอร์

ประเด็นปัญหาทางสุขภาพที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ

• การยศาสตร์ (Ergonomics)

• ปัญหาทางสายตา

• ปัญหาทางจิตเวช

• การติดเกม ติดอินเทอร์เน็ต ติด Social Media

• อันตรายจากพฤติกรรมเสี่ยงที่ไม่ปลอดภัย

• ฯลฯ

การยศาสตร์ (Ergonomics) กับการใช้คอมพิวเตอร์

http://www.safety.uwa.

edu.au/health-

wellbeing/physical/

ergonomics/workstation

บทบาทของพยาบาลต่อปัญหาทางสุขภาพที่เกี่ยวข้องกับ IT

• ให้ความรู้ + คําแนะนําเพื่อป้องกันปัญหาสุขภาพ

• ให้กับบุคคลทัว่ไป

• ในกลุ่มเสีย่ง

• คัดกรอง ประเมินปัญหา ในผู้ป่วยที่มารับบริการ

• ให้คําแนะนําเพื่อแก้ไขปัญหา

• เป็นส่วนหนึ่งของทีมในการให้การรักษา

• ให้ความรู้ + สร้างความตระหนัก ให้กับสังคม

กรณีที่ 2: ผู้ให้บริการทางสุขภาพใช้เทคโนโลยีสารสนเทศ

กรอบทางสังคม (กฎหมาย, จริยธรรม)

พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ป่วยได้บ้าง?

• เสียเวลากับคอมพิวเตอร์มากเกินไป ไม่ได้ดูแลผู้ป่วยเท่าที่ควร

• ไม่ระมัดระวัง ข้อมูลส่วนบุคคลของผู้ป่วยรั่วไหล

• ระบบล่ม ไม่ทราบประวัติ ให้การดูแลผู้ป่วยไม่ได้

• บันทึกข้อมูลผิดพลาด เช่น ผิดคน ผิดตัวยา ผิดด้าน ฯลฯ เกิดอันตรายต่อผู้ป่วย

• โปรแกรมคอมพิวเตอร์มีปัญหาโดยพยาบาลไม่ทราบ เช่น คํานวณ dose ยาผิด

• มีระบบให้ใช้ แต่ผู้ใช้งาน (user) ไม่ยอมใช้ ใช้ผิดวัตถุประสงค์ หรือใช้วิธีลัด

• ระบบมีคําแนะนําสําหรับแนวทางการรักษาที่ได้มาตรฐาน ให้กับแพทย์/พยาบาล

• แพทย์/พยาบาล ให้การรักษาตามคําแนะนําของระบบ แต่เกิดปัญหากับผู้ป่วย

• แพทย์/พยาบาล ปฏิเสธคําแนะนําของระบบ แล้วเกิดปัญหากับผูป้่วย

• แพทย์/พยาบาล ไม่ให้ความสนใจกับคําเตือนของระบบ

พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ป่วยได้บ้าง?

• เสียเวลากับคอมพิวเตอร์มากเกินไป ไม่ได้ดูแลผู้ป่วยเท่าที่ควร

• สาเหตุ

• ระบบออกแบบมาไม่ดี

• ระบบทํางานช้าเกินไป

• ข้อมูลที่ต้องบันทึก เยอะเกินไป

• ให้ความสําคัญกับการบันทกึมากกว่าการดูแลผูป้่วย

• ติดคอมพ์? เล่นเน็ต?

• วิธีป้องกัน

• มีส่วนร่วมในการออกแบบระบบแต่แรก สื่อสารปัญหาให้ฝ่าย IT ทราบ

• ให้ความสําคัญกับการดูแลผูป้่วย มากกว่าการบันทกึข้อมูลผู้ป่วย

พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ป่วยได้บ้าง?

• ไม่ระมัดระวัง ข้อมูลส่วนบุคคลของผู้ป่วยรั่วไหล

• สาเหตุ

• ผู้ใช้งานไม่ให้ความสําคัญกับความเป็นสว่นตัวของข้อมูลผู้ป่วย

• ขาดความรู้เกี่ยวกับวิธีการใช้งานระบบอย่างปลอดภัย

• จุดอ่อนของระบบสารสนเทศเอง

• วิธีป้องกัน

• ฝ่าย IT พัฒนาระบบให้ปลอดภัย, มีกระบวนการบริหารจัดการด้านความปลอดภัย

สารสนเทศทัง้ระบบ

• มีการให้ความรู้เกี่ยวกับการรักษาความปลอดภัยสารสนเทศ และการคุ้มครอง

ความเป็นส่วนตัวของข้อมูลผู้ป่วย

Privacy & Security ของข้อมูลผู้ป่วย

• ความเป็นส่วนตัว (Privacy) คือ ความสามารถของบุคคลในการคุ้มครองและ

ปกปิดตนเองและข้อมูลเกี่ยวกับตนเอง และเลือกที่จะเปิดเผยเท่าที่ตนประสงค์จะ

เปิดเผย

• ความปลอดภัยสารสนเทศ (Information Security) คือ การคุ้มครองข้อมูล

สารสนเทศ (information) และระบบสารสนเทศ (information systems) ด้วย

มาตรการต่างๆ เพื่อป้องกันการรั่วไหล การสูญหาย เปลี่ยนแปลง หรือความ

เสียหายอื่นๆ

ความปลอดภัยสารสนเทศ (Information Security)

• Confidentiality ความลับของข้อมูล

• Integrity ความถูกต้องของข้อมูล ไม่ถูกแก้ไข ลบ หรือสูญหายโดยมิชอบ

• Availability ความสามารถใช้งานได้ (เช่น ระบบไม่ล่ม)

มาตรการเพื่อความปลอดภัยของข้อมูลผู้ป่วย

• Physical Security ความปลอดภัยทางกายภาพ

• ล็อคห้องที่มีระบบสารสนเทศ ให้เข้าถึงยาก

• System Security ความปลอดภัยของ Server

• อุดช่องโหว่ -> Update patches ของ Windows หรือโปรแกรมต่างๆ บ่อยๆ

• Antivirus, Firewall, Intrusion Detection/Prevention System, Log files

• Software Security ความปลอดภัยของตัวซอฟต์แวร์เอง

• Network Security ความปลอดภัยของระบบเครือข่าย

• Database Security ความปลอดภัยในการเข้าถึงระบบฐานข้อมูล

• User Security รหัสผ่าน, การกําหนดสิทธิในระบบ, การตรวจสอบตัวตน,

ระวัง Phishing/Social Engineering “หลอกเอาข้อมูล”

• Encryption การเข้ารหัสข้อมูลที่สาํคญั

แนวทางการคุ้มครอง Privacy ของข้อมูลผู้ป่วย

• นอกเหนือจากมาตรการด้าน Security

• Informed Consent เกี่ยวกับแนวทางการเกบ็บันทกึและเปิดเผยข้อมูลผูป้่วย

• สร้างวัฒนธรรมที่ให้ความสําคัญกับความเป็นสว่นตัวของข้อมูลผู้ป่วย

• มีกระบวนการสร้างความตระหนัก + สอนผู้ใช้งาน

• มีการกําหนดกฎระเบียบและนโยบายด้านความปลอดภัยสารสนเทศขององค์กร

และบังคับใช้ (enforce) นโยบายดังกล่าว

• มีกระบวนการบริหารจัดการด้าน Privacy และ Security ที่ต่อเนื่อง สม่ําเสมอ

Image: http://www.nurseweek.com/news/images/privacy.jpg

Social Media กับความเสี่ยงใหม่ๆ

ข้อความจริง บน

• "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา

ฉายรังสีต่อที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย คนไข้ฝากขอบคุณ

อาจารย์อีกครั้ง -- อีกอย่างคนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม. บอกว่าถ้า

พร้อมจะไป Follow-up กับอาจารย์ครับ"

กฎหมายที่เกี่ยวข้องกับข้อมูลสุขภาพ

• พรบ.สุขภาพแห่งชาติ พ.ศ. 2550

• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใด

จะนําไปเปิดเผยในประการที่น่าจะทําให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่

การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมี

กฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะ

อาศัยอํานาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือ

กฎหมายอื่นเพื่อขอเอกสารเกีย่วกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่

ของตนไม่ได้

• อนาคตอาจมี พรบ.คุ้มครองข้อมูลส่วนบุคคล

(ปัจจุบันยังไม่ผ่านสภาฯ)

คําประกาศสิทธิผู้ป่วย• เพื่อให้ความสัมพันธ์ระหวา่งผู้ประกอบวิชาชีพด้านสุขภาพกับผู้ป่วย ตั้งอยู่บนพื้นฐานของความเข้าใจอันดีและเป็นที่ไว้วางใจซึ่งกันและกัน แพทย

สภา สภาการพยาบาล สภาเภสัชกรรม ทันตแพทยสภา คณะกรรมการควบคุมการประกอบโรคศิลปะ จึงได้ร่วมกันออกประกาศรับรองสิทธิของ

ผู้ป่วยไว ้ดังต่อไปนี้

1. ผู้ป่วยทุกคนมีสิทธิพื้นฐานที่จะได้รับบริการด้านสุขภาพ ตามที่บัญญัติไว้ในรัฐธรรมนูญ

2. ผู้ป่วยมีสิทธิที่จะได้รับบริการจากผู้ประกอบวชิาชีพด้านสุขภาพโดยไม่มีการเลือกปฏิบัติ เนื่องจากความแตกต่างด้านฐานะ เชื้อชาติ สัญชาติ

ศาสนา สังคม ลัทธิการเมือง เพศ อายุ และ ลักษณะของความเจ็บป่วย

3. ผู้ป่วยที่ขอรับบริการด้านสุขภาพมีสิทธิที่จะได้รับทราบข้อมูลอย่างเพียงพอ และเข้าใจชัดเจน จากผู้ประกอบวิชาชีพด้านสุขภาพเพื่อให้ผู้ป่วย

สามารถเลือกตัดสินใจในการยินยอมหรือไม่ยินยอมให้ผู้ประกอบวิชาชีพด้านสุขภาพปฏิบัติต่อตน เว้นแต่เป็นการช่วยเหลือรีบด่วนหรอื จําเป็น

4. ผู้ป่วยที่อยู่ในภาวะเสี่ยงอันตรายถึงชีวิต มีสิทธิที่จะได้รับการช่วยเหลือรีบด่วนจากผู้ประกอบวิชาชีพด้านสุขภาพโดยทันทีตามความจําเป็นแก่

กรณี โดยไม่คํานึงว่าผู้ป่วยจะร้อง ขอความช่วยเหลือหรือไม่

5. ผู้ป่วยมีสิทธิที่จะได้รับทราบชื่อ สกุล และประเภทของผู้ประกอบวิชาชีพด้านสุขภาพที่เป็น ผู้ให้บริการแก่ตน

6. ผู้ป่วยมีสิทธิที่จะขอความเห็นจากผู้ประกอบวิชาชีพด้านสุขภาพอื่น ที่มิได้เป็นผู้ให้บริ การแก่ตน และมีสิทธิในการขอเปลี่ยนผู้ให้บริการ และ

สถานบริการได้

7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่จะได้รบัความยินยอมจากผู้ป่วย

หรือการปฏิบัติหน้าที่ตามกฎหมาย

8. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลอย่างครบถ้วน ในการตัดสินใจเข้าร่วมหรอืถอนตัวจากการเป็นผู้ถูกทดลองในการทําวิจัยของผู้ประกอบวิชาชีพ

ด้านสุขภาพ

9. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลเกี่ยวกับการรักษาพยาบาลเฉพาะของตนที่ปรากฏใน เวชระเบียนเมื่อร้องขอ ทั้งนี้ ข้อมูลดังกล่าวต้องไม่เป็น

การละเมิดสิทธิส่วนตัวของบุคคลอื่น

10.บิดา มารดา หรือผู้แทนโดยชอบธรรม อาจใช้สิทธิแทนผู้ป่วยที่เป็นเด็กอายุยังไม่เกิน สิบแปดปีบริบูรณ์ ผู้บกพร่องทางกายหรือจิต ซึ่งไม่สามารถ

ใช้สิทธิด้วยตนเองได้

คําประกาศสิทธิผู้ป่วย• เพื่อให้ความสัมพันธ์ระหวา่งผู้ประกอบวิชาชีพด้านสุขภาพกับผู้ป่วย ตั้งอยู่บนพื้นฐานของความเข้าใจอันดีและเป็นที่ไว้วางใจซึ่งกันและกัน แพทย

สภา สภาการพยาบาล สภาเภสัชกรรม ทันตแพทยสภา คณะกรรมการควบคุมการประกอบโรคศิลปะ จึงได้ร่วมกันออกประกาศรับรองสิทธิของ

ผู้ป่วยไว ้ดังต่อไปนี้

1. ผู้ป่วยทุกคนมีสิทธิพื้นฐานที่จะได้รับบริการด้านสุขภาพ ตามที่บัญญัติไว้ในรัฐธรรมนูญ

2. ผู้ป่วยมีสิทธิที่จะได้รับบริการจากผู้ประกอบวชิาชีพด้านสุขภาพโดยไม่มีการเลือกปฏิบัติ เนื่องจากความแตกต่างด้านฐานะ เชื้อชาติ สัญชาติ

ศาสนา สังคม ลัทธิการเมือง เพศ อายุ และ ลักษณะของความเจ็บป่วย

3. ผู้ป่วยที่ขอรับบริการด้านสุขภาพมีสิทธิที่จะได้รับทราบข้อมูลอย่างเพียงพอ และเข้าใจชัดเจน จากผู้ประกอบวิชาชีพด้านสุขภาพเพื่อให้ผู้ป่วย

สามารถเลือกตัดสินใจในการยินยอมหรือไม่ยินยอมให้ผู้ประกอบวิชาชีพด้านสุขภาพปฏิบัติต่อตน เว้นแต่เป็นการช่วยเหลือรีบด่วนหรอื จําเป็น

4. ผู้ป่วยที่อยู่ในภาวะเสี่ยงอันตรายถึงชีวิต มีสิทธิที่จะได้รับการช่วยเหลือรีบด่วนจากผู้ประกอบวิชาชีพด้านสุขภาพโดยทันทีตามความจําเป็นแก่

กรณี โดยไม่คํานึงว่าผู้ป่วยจะร้อง ขอความช่วยเหลือหรือไม่

5. ผู้ป่วยมีสิทธิที่จะได้รับทราบชื่อ สกุล และประเภทของผู้ประกอบวิชาชีพด้านสุขภาพที่เป็น ผู้ให้บริการแก่ตน

6. ผู้ป่วยมีสิทธิที่จะขอความเห็นจากผู้ประกอบวิชาชีพด้านสุขภาพอื่น ที่มิได้เป็นผู้ให้บริ การแก่ตน และมีสิทธิในการขอเปลี่ยนผู้ให้บริการ และ

สถานบริการได้

7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่จะได้รบัความยินยอมจากผู้ป่วย

หรือการปฏิบัติหน้าที่ตามกฎหมาย

8. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลอย่างครบถ้วน ในการตัดสินใจเข้าร่วมหรอืถอนตัวจากการเป็นผู้ถูกทดลองในการทําวิจัยของผู้ประกอบวิชาชีพ

ด้านสุขภาพ

9. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลเกี่ยวกับการรักษาพยาบาลเฉพาะของตนที่ปรากฏใน เวชระเบียนเมื่อร้องขอ ทั้งนี้ ข้อมูลดังกล่าวต้องไม่เป็น

การละเมิดสิทธิส่วนตัวของบุคคลอื่น

10.บิดา มารดา หรือผู้แทนโดยชอบธรรม อาจใช้สิทธิแทนผู้ป่วยที่เป็นเด็กอายุยังไม่เกิน สิบแปดปีบริบูรณ์ ผู้บกพร่องทางกายหรือจิต ซึ่งไม่สามารถ

ใช้สิทธิด้วยตนเองได้

7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง

จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่

จะได้รับความยินยอมจากผู้ป่วยหรือการปฏิบัติหน้าที่

ตามกฎหมาย

คําถาม

• การคุ้มครองความเปน็ส่วนตัว (Privacy) และความปลอดภัย (Security)

ของข้อมูลผู้ป่วย เข้าได้กับหลักจริยธรรมใด

• Autonomy?

• Beneficence?

• Non-Maleficence?

• Justice?

MU Social Network Policy

http://intranet.mahidol/op/orla/law/index.php/announce

ment/146-2556/770-social-network

MU Social Network Policy

MU Social Network Policy

MU Social Network Policy

MU Social Network Policy

MU Social Network Policy

MU Social Network Policy

Social Network Case Studies

Source: Drama-addict.com

Disclaimer (นพ.นวนรรน):

นําเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้

เรื่อง Social Media เท่านั้น ไม่มี

เจตนาลบหลู่ ดูหมิ่น หรือทําให้ผู้ใด

เสียหาย โปรดใช้วิจารณญาณในการ

อ่านเนื้อหา

Social Network Case Studies Disclaimer (นพ.นวนรรน):

นําเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้

เรื่อง Social Media เท่านั้น ไม่มี

เจตนาดูหมิ่น หรือทําให้ผู้ใดเสียหาย

และไม่มีเจตนาสร้างประเด็นทาง

การเมือง

ชื่อ สัญลักษณ์ หรือเครื่องหมายของ

บุคคลหรือองค์กรใด เป็นเพียงการให้

ข้อมูลแวดล้อมเพื่อการทําความเข้าใจ

กรณีศึกษาเท่านั้น ไม่ใช่การใส่ความว่า

ผู้นั้นกระทําการใด อันจะทําให้ผู้นั้น

เสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียด

ชัง โปรดใช้วิจารณญาณในการอ่าน

เนื้อหา

บทเรียนจากกรณีศึกษา (Lessons Learned)

• องค์กรไม่มีทางห้ามพนักงานไม่ให้โพสต์ข้อมูลได้

• ช่องทางการโพสต์มีมากมาย ไม่มีทางห้ามได้ 100%

• นโยบายที่เหมาะสม คือการกําหนดกรอบไว้ให้พนักงานโพสต์ได้ตามความเหมาะสม

ภายในกรอบที่กําหนด

• พนักงานย่อมสวมหมวกขององค์กรอยู่เสมอ (แม้จะโพสต์เป็นการส่วนตัว แต่องค์กร

ก็เสียหายได้)

• คิดก่อนโพสต์, สร้างวัฒนธรรมภายในองค์กร

• การรักษาความลับขององค์กรและข้อมูลส่วนบุคคลของลูกค้า

• มีนโยบายให้ระบุตัวตนและตําแหน่งให้ชัดเจน

• องค์กรควรยอมรับปัญหาอย่างตรงไปตรงมาและทันท่วงทีhttp://www.siamintelligence.com/social-media-policy-cathay-pacific-case/

Facebook Privacy Settings

Facebook Privacy Settings

พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ป่วยได้บ้าง?

• เสียเวลากับคอมพิวเตอร์มากเกินไป ไม่ได้ดูแลผู้ป่วยเท่าที่ควร

• ไม่ระมัดระวัง ข้อมูลส่วนบุคคลของผู้ป่วยรั่วไหล

• ระบบล่ม ไม่ทราบประวัติ ให้การดูแลผู้ป่วยไม่ได้

• บันทึกข้อมูลผิดพลาด เช่น ผิดคน ผิดตัวยา ผิดด้าน ฯลฯ เกิดอันตรายต่อผู้ป่วย

• โปรแกรมคอมพิวเตอร์มีปัญหาโดยพยาบาลไม่ทราบ เช่น คํานวณ dose ยาผิด

• มีระบบให้ใช้ แต่ผู้ใช้งาน (user) ไม่ยอมใช้ ใช้ผิดวัตถุประสงค์ หรือใช้วิธีลัด

• ระบบมีคําแนะนําสําหรับแนวทางการรักษาที่ได้มาตรฐาน ให้กับแพทย์/พยาบาล

• แพทย์/พยาบาล ให้การรักษาตามคําแนะนําของระบบ แต่เกิดปัญหากับผู้ป่วย

• แพทย์/พยาบาล ปฏิเสธคําแนะนําของระบบ แล้วเกิดปัญหากับผูป้่วย

• แพทย์/พยาบาล ไม่ให้ความสนใจกับคําเตือนของระบบ

การใช้วิธีลัด (workaround) ที่ไม่ได้ตรงตามที่ออกแบบระบบมา

ผลของการไม่ให้ความสนใจกับคําเตือนของระบบ

ความรับผิดทางกฎหมาย กรณีใช้ระบบแล้วเกิดผลเสียต่อผู้ป่วย

ความรับผิดทางกฎหมาย ของบุคลากรทางการแพทย์ มี 3 ส่วนหลัก

• ความรับผิดทางอาญา (เจตนา หรือประมาทเลินเล่อ)

• ความรับผิดทางแพ่ง (ละเมิด)

• การพิจารณาเป็นคดีจริยธรรมในสภาวิชาชีพ

คําถาม ใครต้องรับผิดทางกฎหมาย ระหว่าง ผู้ใช้งาน

(แพทย์/พยาบาล) ผู้พัฒนาระบบสารสนเทศ หรือผู้บริหาร?

ใครต้องรับผิดทางกฎหมาย

ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด

ระบบมีข้อผิดพลาดในการพฒันา เช่น

ใช้สูตรคํานวณ dose ยาผิด

ทําให้เกิดอันตรายต่อผู้ป่วย

ผู้พัฒนาระบบ รับผิด

ใครต้องรับผิดทางกฎหมาย

ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด

อุทกภัย -> ระบบล่ม

ทําให้การดูแลผูป้่วยมีปัญหา

ถ้าเป็นเหตุสุดวิสัย ไม่ได้ประมาท

ไม่ต้องรับผิดทางอาญา

ใครต้องรับผิดทางกฎหมาย

ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด

ระบบล่มบ่อย ขาดการ

บริหารจัดการที่ดี

ทําให้การดูแลผูป้่วยมีปัญหา

โรงพยาบาล/ผู้บริหาร อาจต้อง

รับผิดเพราะควรป้องกันปัญหาได้

ใครต้องรับผิดทางกฎหมาย

ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด

ผู้ใช้งานใช้ระบบผิด

วัตถุประสงค์

ทําให้การดูแลผูป้่วยมีปัญหา

ผู้ใช้งานอาจต้องรับผิด

ใครต้องรับผิดทางกฎหมาย

ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด

ระบบมีข้อความเตือนว่าการสั่งการรักษาบางอย่าง

อาจมีอันตรายต่อผู้ป่วย ผู้ใช้งานไม่สนใจคําเตือนนั้น

เพียงกดปุ่มข้ามไปให้ผ่านๆ โดยไม่ได้ไตร่ตรองดู

ผู้ใช้งานอาจต้องรับผิดเนื่องจาก

ประมาทเลินเล่อ

สรุป

• จริยธรรม จรรยาบรรณแห่งวิชาชีพ กฎหมาย คือกรอบของสังคม

ที่กําหนดว่าสิ่งใดควรทํา หรือไม่ควรทํา

• การใช้เทคโนโลยีสารสนเทศ ไม่ว่าโดยบุคคลทั่วไปหรือบุคลากร

ทางการแพทย์ ย่อมมีประเด็นด้านจริยธรรม กฎหมาย และ

ผลกระทบต่อสังคม เสมอ

• กฎหมายสําคัญที่เป็นกรอบในการกําหนดแนวทางการใช้

เทคโนโลยีสารสนเทศของบุคคลทั่วไป คือ พรบ.ว่าด้วยการกระทํา

ความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

สรุป

• การใช้เทคโนโลยีสารสนเทศโดยพยาบาลหรือบุคลากรทาง

การแพทย์ อาจส่งผลกระทบต่อผู้ป่วยได้ และต้องอยู่บนพื้นฐาน

ของหลักจริยธรรมและกฎหมาย รวมทั้งต้องหาทางป้องกันปัญหา

ที่อาจเกิดต่อผู้ป่วยจากการใช้งานระบบสารสนเทศ

• Privacy และ Security เป็นสอง concepts ที่มีความสําคัญ

สําหรับบุคลากรทางการแพทย์ที่ดูแลผู้ป่วย และจําเป็นจะต้องให้

ความสําคัญในการคุ้มครองข้อมูลผู้ป่วยอย่างเต็มที่

• ความรับผิดทางกฎหมายจากการใช้งานระบบสารสนเทศอาจ

แตกต่างกันไปขึ้นอยู่กับสาเหตุของปัญหา

สรุป

• ใช้ระบบสารสนเทศทางการพยาบาลอย่างมีจริยธรรม คํานึงถึง

กฎหมายที่เกี่ยวข้อง และมุ่งประโยชน์สูงสุดต่อผู้ป่วย และการ

ไม่ทําอันตรายตอ่ผู้ป่วย