ผลกระทบทางจริยธรรม...
DESCRIPTION
TRANSCRIPT
ผลกระทบทางจริยธรรม และประเด็นทางสังคม
ที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
นพ.นวนรรน ธีระอัมพรพันธุ์ฝ่ายเวชสารสนเทศ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
http://www.SlideShare.net/Nawanan [email protected]
13 มีนาคม 2556
เมื่อพูดถึงคําว่า “จริยธรรม”
เรามักคิดถึง...?
เมื่อพูดถึงคําว่า “จริยธรรม” เรามักคิดถึง...?
• ความถูกต้อง
• คุณธรรม
• ศีลธรรม
• จรรยาบรรณ
• ความประพฤติที่ดีงาม เหมาะสม
• การกระทําที่ถูกกฎหมาย
กรอบมาตรฐานของสังคม
? ทางเลือกที่ 1
ทางเลือกที่ 2
กรอบมาตรฐานของสังคม
กฎหมาย ในฐานะกรอบมาตรฐานของสังคม
? ทางเลือกที่ 1
ทางเลือกที่ 2
กฎหมาย (Law)
จรรยาบรรณแห่งวิชาชีพ
? ทางเลือกที่ 1
ทางเลือกที่ 2
จรรยาบรรณแห่งวิชาชีพ (Professional Code of Ethics)
จริยธรรม: ความประพฤติที่สังคมเห็นว่าดีงาม
? ทางเลือกที่ 1
ทางเลือกที่ 2
จริยธรรม (Ethics)
ความเป็นจริง
? ทางเลือกที่ 1
ทางเลือกที่ 2
กฎหมาย
จริยธรรม
จรรยาบรรณ
หลักจริยธรรม (Ethical Principles) สําคัญด้านสุขภาพ
• Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
• Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
• Non-maleficence (หลักการไม่ทําอันตรายต่อผู้ป่วย)
• “First, Do No Harm.”
• Justice (หลักความยุติธรรม)
• หมายถึงการกระจายทรัพยากรที่มีอยู่จํากัดอย่างเหมาะสม เป็นธรรม
และเท่าเทียมกัน
ประเด็นทางจริยธรรม กฎหมาย และสังคม
• Ethical, Legal, and Social Issues (ELSI)
• Ethical - ในเชิงจริยธรรม
• Legal - ในทางกฎหมาย
• Social - ที่เกี่ยวกับสังคม
ประเด็นเกี่ยวกับ ELSI ด้านเทคโนโลยีสารสนเทศทางสุขภาพ (1)
• กรณีที่ 1: บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ ส่งผลกระทบต่อผู้อื่น
และสังคม
ประเด็นเกี่ยวกับ ELSI ด้านเทคโนโลยีสารสนเทศทางสุขภาพ (2)
• กรณีที่ 2: ผู้ให้บริการทางสุขภาพใช้เทคโนโลยีสารสนเทศ ส่งผลกระทบ
ต่อผู้ป่วยและสังคม
กรณีที่ 1: บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ
กฎหมาย
กรณีที่ 1: บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ
พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551
• รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส ์การรับส่งข้อมูล
อิเล็กทรอนิกส ์การใช้ลายมือชื่ออิเลก็ทรอนิกส ์(electronic signature) และกําหนด
หลักเกณฑ์ต่างๆ ที่เกี่ยวข้องกับการทาํธุรกรรมทางอิเลก็ทรอนิกส ์(electronic
transaction)
• พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• กําหนดมาตรการป้องกันและปราบปรามการกระทาํความผิดทีเ่กี่ยวข้องกับ
คอมพิวเตอร์ ซึ่งก่อให้เกิดความเสียหาย กระทบกระเทอืนต่อเศรษฐกิจ สังคม และ
ความมั่นคงของประเทศ รวมทั้งความสงบสุขและศลีธรรมอันดีของประชาชน
พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
การกระทําความผิดเกี่ยวกับคอมพิวเตอร์ (Computer-Related Crimes)
ตัวอย่าง?
• อาชญากรรมทางคอมพิวเตอร์ (Computer Crimes)
• เช่น Hacking, การเปิดเผยข้อมูลทีเ่ป็นความลับ, การดักฟังข้อมูล
• การกระทําความผิดทีม่ีคอมพิวเตอร์เป็นเครื่องมือ (Crimes Using Computers as Tools)
• เช่น การเผยแพร่ภาพลามก
• การโพสต์ข้อความทีเ่ป็นภัยต่อความมั่นคง
• การตัดต่อภาพเพื่อให้ผู้อื่นเสยีหาย
พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
มาตรา 3 (บทนิยาม)
• “ระบบคอมพิวเตอร์” หมายความว่า อุปกรณ์หรือชุดอุปกรณ์ของคอมพิวเตอร์ที่
เชื่อมการทํางานเข้าด้วยกัน โดยได้มีการกําหนดคําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด และ
แนวทางปฏิบัติงานให้อุปกรณ์หรือชุดอุปกรณ์ทําหน้าที่ประมวลผลข้อมูลโดย
อัตโนมัติ
• “ข้อมูลคอมพิวเตอร์” หมายความว่า ข้อมูล ข้อความ คําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด
บรรดาที่อยู่ในระบบคอมพิวเตอร์ในสภาพที่ระบบคอมพิวเตอร์อาจประมวลผลได้
และให้หมายความรวมถึงข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทาง
อิเล็กทรอนิกส์ด้วย
คําถาม
สิ่งต่อไปนี้ ถือเป็น “ระบบคอมพิวเตอร์” ตาม พรบ.นี้หรือไม่?
พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
มาตรา 3 (บทนิยาม)
• “ข้อมูลจราจรทางคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสาร
ของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกําเนิด ต้นทาง ปลายทาง เส้นทาง เวลา
วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการ
ติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น
• “ผู้ให้บริการ” หมายความว่า
(1) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสูอ่ินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการ
อื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือ
ในนามหรือเพื่อประโยชน์ของบุคคลอื่น
(2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น
ผู้ให้บริการ หมายรวมถึง
1. ผู้ประกอบกิจการโทรคมนาคมและกิจการกระจายภาพและเสียง
(Telecommunication and Broadcast Carriers)
2. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider)
3. ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่างๆ
(Hosting Service Provider
4. ผู้ให้บริการร้านอินเทอร์เน็ต
5. ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่าน Application ต่างๆ เช่น ผู้ให้บริการ
เว็บบอร์ด, Blog, e-Commerce ฯลฯ
พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์
• มาตรา 5 การเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึง
โดยเฉพาะและมาตรการนั้นมิได้มีไว้สําหรับตน (Unauthorized access)
• เช่น การเจาะระบบ (hacking), การ hack รหัสผ่านคนอื่น
• การเข้าถึงทางกายภาพ หรือทางเครือข่ายก็ได้
• มาตรา 6 การเปิดเผยโดยมิชอบซึ่งมาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่
ผู้อื่นจัดทําขึ้นเป็นการเฉพาะที่ได้ล่วงรู้มา ในประการที่น่าจะเกิดความเสียหายแก่
ผู้อื่น
• เช่น เปิดเผยรหัสผา่นของผูอ้ื่นโดยไม่ได้รับอนุญาต
พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 7 การเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึง
โดยเฉพาะและมาตรการนั้นมิได้มีไว้สําหรับตน (Unauthorized access)
• เช่น การนําข้อมูลคอมพิวเตอร์ของผู้อื่นไปพยายามถอดรหัสเพื่ออ่านเนือ้ความ
• มาตรา 8 การกระทําโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ซึ่ง
ข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และ
ข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้
ประโยชน์ได้
• เช่น การดักฟังข้อมูลผ่านเครือข่าย
• มาตรา 9 การทําให้เสียหาย ทําลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมด
หรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ
• เช่น การลบหรือแก้ไขข้อมูลของผู้อื่น โดยมีเจตนาร้าย
พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 10 การกระทําโดยมิชอบ เพื่อให้การทํางานของระบบคอมพิวเตอร์ของ
ผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทํางานตามปกติได้
• เช่น Denial of Service (DoS) Attack = การโจมตีให้เว็บล่ม
• มาตรา 11 การส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่นโดย
ปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการ
ใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข
• เช่น ส่ง spam e-mail
• มาตรา 13 การจําหน่ายหรือเผยแพร่ชุดคําสั่งเพื่อนําไปใช้เป็นเครื่องมือในการ
กระทําความผิดตาม พรบ. นี้
• เช่น การเผยแพร่ซอฟต์แวร์เจาะระบบ
พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 14
(1) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอม หรือข้อมูลคอมพิวเตอร์อันเป็น
เท็จ โดยประการที่น่าจะเกิดความเสยีหายแก่ผูอ้ื่นหรือประชาชน
(2) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเทจ็ โดยประการที่น่าจะเกิด
ความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน
(3) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ อันเป็นความผิดเกี่ยวกับความ
มั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้าย
(4) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ ที่มีลักษณะอันลามกและ
ข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้
(5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ตาม (1)-(4)
พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 15 ความรับผิดกรณีผู้ให้บริการจงใจสนับสนุนหรือยินยอมให้มีการกระทํา
ความผิดตามมาตรา 14 ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน
• มาตรา 16 ผู้ใดนําเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจเข้าถึงได้ซึ่ง
ข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการ
สร้างขึ้น ตัดต่อ เติม หรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด
ทั้งนี้ โดยประการที่น่าจะทําให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือ
ได้รับความอับอาย
พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
หมวด 2 พนักงานเจ้าหน้าที่
• มาตรา 18 อํานาจของพนักงานเจ้าหน้าที่
(1) มีหนังสือสอบถามหรือเรียกบุคคลมาให้ถ้อยคํา ส่งคําชี้แจง หรือส่งหลักฐาน
(2) เรียกข้อมูลจราจรทางคอมพิวเตอร์จากผู้ให้บริการ
(3) สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บ
(4) ทําสําเนาข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์
(5) สั่งให้บุคคลซึ่งครอบครองหรือควบคุมข้อมูลคอมพิวเตอร์ ส่งมอบข้อมูล
(6) ตรวจสอบหรอืเข้าถึงระบบคอมพิวเตอร์ ข้อมูล หรืออุปกรณ์ที่เป็นหลักฐาน
(7) ถอดรหัสลับของข้อมูล หรือสั่งให้บุคคลทําการถอดรหัสลับ
(8) ยึดหรืออายัดระบบคอมพิวเตอร์เท่าที่จําเป็น
พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 19-21 การยื่นคําร้องต่อศาลของพนักงานเจ้าหน้าที่ เกี่ยวกับการปฏิบัติ
หน้าที่ตาม พรบ. นี้
• มาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า
90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์...
• ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จําเป็นเพื่อให้สามารถระบุ
ตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้องเกบ็รักษาไว้เป็นเวลาไม่น้อยกว่า 90
วัน นับตั้งแต่การใช้บริการสิ้นสุดลง
กรณีที่ 1 (พิเศษ): บุคคลทั่วไปใช้เทคโนโลยีสารสนเทศ
• บุคคลทั่วไปใชเ้ทคโนโลยีสารสนเทศ แล้วเกิดปัญหาทางสุขภาพ
พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับ
คอมพิวเตอร์
ประเด็นปัญหาทางสุขภาพที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ
• การยศาสตร์ (Ergonomics)
• ปัญหาทางสายตา
• ปัญหาทางจิตเวช
• การติดเกม ติดอินเทอร์เน็ต ติด Social Media
• อันตรายจากพฤติกรรมเสี่ยงที่ไม่ปลอดภัย
• ฯลฯ
การยศาสตร์ (Ergonomics) กับการใช้คอมพิวเตอร์
http://www.safety.uwa.
edu.au/health-
wellbeing/physical/
ergonomics/workstation
บทบาทของพยาบาลต่อปัญหาทางสุขภาพที่เกี่ยวข้องกับ IT
• ให้ความรู้ + คําแนะนําเพื่อป้องกันปัญหาสุขภาพ
• ให้กับบุคคลทัว่ไป
• ในกลุ่มเสีย่ง
• คัดกรอง ประเมินปัญหา ในผู้ป่วยที่มารับบริการ
• ให้คําแนะนําเพื่อแก้ไขปัญหา
• เป็นส่วนหนึ่งของทีมในการให้การรักษา
• ให้ความรู้ + สร้างความตระหนัก ให้กับสังคม
กรณีที่ 2: ผู้ให้บริการทางสุขภาพใช้เทคโนโลยีสารสนเทศ
กรอบทางสังคม (กฎหมาย, จริยธรรม)
พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ป่วยได้บ้าง?
• เสียเวลากับคอมพิวเตอร์มากเกินไป ไม่ได้ดูแลผู้ป่วยเท่าที่ควร
• ไม่ระมัดระวัง ข้อมูลส่วนบุคคลของผู้ป่วยรั่วไหล
• ระบบล่ม ไม่ทราบประวัติ ให้การดูแลผู้ป่วยไม่ได้
• บันทึกข้อมูลผิดพลาด เช่น ผิดคน ผิดตัวยา ผิดด้าน ฯลฯ เกิดอันตรายต่อผู้ป่วย
• โปรแกรมคอมพิวเตอร์มีปัญหาโดยพยาบาลไม่ทราบ เช่น คํานวณ dose ยาผิด
• มีระบบให้ใช้ แต่ผู้ใช้งาน (user) ไม่ยอมใช้ ใช้ผิดวัตถุประสงค์ หรือใช้วิธีลัด
• ระบบมีคําแนะนําสําหรับแนวทางการรักษาที่ได้มาตรฐาน ให้กับแพทย์/พยาบาล
• แพทย์/พยาบาล ให้การรักษาตามคําแนะนําของระบบ แต่เกิดปัญหากับผู้ป่วย
• แพทย์/พยาบาล ปฏิเสธคําแนะนําของระบบ แล้วเกิดปัญหากับผูป้่วย
• แพทย์/พยาบาล ไม่ให้ความสนใจกับคําเตือนของระบบ
พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ป่วยได้บ้าง?
• เสียเวลากับคอมพิวเตอร์มากเกินไป ไม่ได้ดูแลผู้ป่วยเท่าที่ควร
• สาเหตุ
• ระบบออกแบบมาไม่ดี
• ระบบทํางานช้าเกินไป
• ข้อมูลที่ต้องบันทึก เยอะเกินไป
• ให้ความสําคัญกับการบันทกึมากกว่าการดูแลผูป้่วย
• ติดคอมพ์? เล่นเน็ต?
• วิธีป้องกัน
• มีส่วนร่วมในการออกแบบระบบแต่แรก สื่อสารปัญหาให้ฝ่าย IT ทราบ
• ให้ความสําคัญกับการดูแลผูป้่วย มากกว่าการบันทกึข้อมูลผู้ป่วย
พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ป่วยได้บ้าง?
• ไม่ระมัดระวัง ข้อมูลส่วนบุคคลของผู้ป่วยรั่วไหล
• สาเหตุ
• ผู้ใช้งานไม่ให้ความสําคัญกับความเป็นสว่นตัวของข้อมูลผู้ป่วย
• ขาดความรู้เกี่ยวกับวิธีการใช้งานระบบอย่างปลอดภัย
• จุดอ่อนของระบบสารสนเทศเอง
• วิธีป้องกัน
• ฝ่าย IT พัฒนาระบบให้ปลอดภัย, มีกระบวนการบริหารจัดการด้านความปลอดภัย
สารสนเทศทัง้ระบบ
• มีการให้ความรู้เกี่ยวกับการรักษาความปลอดภัยสารสนเทศ และการคุ้มครอง
ความเป็นส่วนตัวของข้อมูลผู้ป่วย
Privacy & Security ของข้อมูลผู้ป่วย
• ความเป็นส่วนตัว (Privacy) คือ ความสามารถของบุคคลในการคุ้มครองและ
ปกปิดตนเองและข้อมูลเกี่ยวกับตนเอง และเลือกที่จะเปิดเผยเท่าที่ตนประสงค์จะ
เปิดเผย
• ความปลอดภัยสารสนเทศ (Information Security) คือ การคุ้มครองข้อมูล
สารสนเทศ (information) และระบบสารสนเทศ (information systems) ด้วย
มาตรการต่างๆ เพื่อป้องกันการรั่วไหล การสูญหาย เปลี่ยนแปลง หรือความ
เสียหายอื่นๆ
ความปลอดภัยสารสนเทศ (Information Security)
• Confidentiality ความลับของข้อมูล
• Integrity ความถูกต้องของข้อมูล ไม่ถูกแก้ไข ลบ หรือสูญหายโดยมิชอบ
• Availability ความสามารถใช้งานได้ (เช่น ระบบไม่ล่ม)
มาตรการเพื่อความปลอดภัยของข้อมูลผู้ป่วย
• Physical Security ความปลอดภัยทางกายภาพ
• ล็อคห้องที่มีระบบสารสนเทศ ให้เข้าถึงยาก
• System Security ความปลอดภัยของ Server
• อุดช่องโหว่ -> Update patches ของ Windows หรือโปรแกรมต่างๆ บ่อยๆ
• Antivirus, Firewall, Intrusion Detection/Prevention System, Log files
• Software Security ความปลอดภัยของตัวซอฟต์แวร์เอง
• Network Security ความปลอดภัยของระบบเครือข่าย
• Database Security ความปลอดภัยในการเข้าถึงระบบฐานข้อมูล
• User Security รหัสผ่าน, การกําหนดสิทธิในระบบ, การตรวจสอบตัวตน,
ระวัง Phishing/Social Engineering “หลอกเอาข้อมูล”
• Encryption การเข้ารหัสข้อมูลที่สาํคญั
แนวทางการคุ้มครอง Privacy ของข้อมูลผู้ป่วย
• นอกเหนือจากมาตรการด้าน Security
• Informed Consent เกี่ยวกับแนวทางการเกบ็บันทกึและเปิดเผยข้อมูลผูป้่วย
• สร้างวัฒนธรรมที่ให้ความสําคัญกับความเป็นสว่นตัวของข้อมูลผู้ป่วย
• มีกระบวนการสร้างความตระหนัก + สอนผู้ใช้งาน
• มีการกําหนดกฎระเบียบและนโยบายด้านความปลอดภัยสารสนเทศขององค์กร
และบังคับใช้ (enforce) นโยบายดังกล่าว
• มีกระบวนการบริหารจัดการด้าน Privacy และ Security ที่ต่อเนื่อง สม่ําเสมอ
Image: http://www.nurseweek.com/news/images/privacy.jpg
Social Media กับความเสี่ยงใหม่ๆ
ข้อความจริง บน
• "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา
ฉายรังสีต่อที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย คนไข้ฝากขอบคุณ
อาจารย์อีกครั้ง -- อีกอย่างคนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม. บอกว่าถ้า
พร้อมจะไป Follow-up กับอาจารย์ครับ"
กฎหมายที่เกี่ยวข้องกับข้อมูลสุขภาพ
• พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใด
จะนําไปเปิดเผยในประการที่น่าจะทําให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่
การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมี
กฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะ
อาศัยอํานาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือ
กฎหมายอื่นเพื่อขอเอกสารเกีย่วกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่
ของตนไม่ได้
• อนาคตอาจมี พรบ.คุ้มครองข้อมูลส่วนบุคคล
(ปัจจุบันยังไม่ผ่านสภาฯ)
คําประกาศสิทธิผู้ป่วย• เพื่อให้ความสัมพันธ์ระหวา่งผู้ประกอบวิชาชีพด้านสุขภาพกับผู้ป่วย ตั้งอยู่บนพื้นฐานของความเข้าใจอันดีและเป็นที่ไว้วางใจซึ่งกันและกัน แพทย
สภา สภาการพยาบาล สภาเภสัชกรรม ทันตแพทยสภา คณะกรรมการควบคุมการประกอบโรคศิลปะ จึงได้ร่วมกันออกประกาศรับรองสิทธิของ
ผู้ป่วยไว ้ดังต่อไปนี้
1. ผู้ป่วยทุกคนมีสิทธิพื้นฐานที่จะได้รับบริการด้านสุขภาพ ตามที่บัญญัติไว้ในรัฐธรรมนูญ
2. ผู้ป่วยมีสิทธิที่จะได้รับบริการจากผู้ประกอบวชิาชีพด้านสุขภาพโดยไม่มีการเลือกปฏิบัติ เนื่องจากความแตกต่างด้านฐานะ เชื้อชาติ สัญชาติ
ศาสนา สังคม ลัทธิการเมือง เพศ อายุ และ ลักษณะของความเจ็บป่วย
3. ผู้ป่วยที่ขอรับบริการด้านสุขภาพมีสิทธิที่จะได้รับทราบข้อมูลอย่างเพียงพอ และเข้าใจชัดเจน จากผู้ประกอบวิชาชีพด้านสุขภาพเพื่อให้ผู้ป่วย
สามารถเลือกตัดสินใจในการยินยอมหรือไม่ยินยอมให้ผู้ประกอบวิชาชีพด้านสุขภาพปฏิบัติต่อตน เว้นแต่เป็นการช่วยเหลือรีบด่วนหรอื จําเป็น
4. ผู้ป่วยที่อยู่ในภาวะเสี่ยงอันตรายถึงชีวิต มีสิทธิที่จะได้รับการช่วยเหลือรีบด่วนจากผู้ประกอบวิชาชีพด้านสุขภาพโดยทันทีตามความจําเป็นแก่
กรณี โดยไม่คํานึงว่าผู้ป่วยจะร้อง ขอความช่วยเหลือหรือไม่
5. ผู้ป่วยมีสิทธิที่จะได้รับทราบชื่อ สกุล และประเภทของผู้ประกอบวิชาชีพด้านสุขภาพที่เป็น ผู้ให้บริการแก่ตน
6. ผู้ป่วยมีสิทธิที่จะขอความเห็นจากผู้ประกอบวิชาชีพด้านสุขภาพอื่น ที่มิได้เป็นผู้ให้บริ การแก่ตน และมีสิทธิในการขอเปลี่ยนผู้ให้บริการ และ
สถานบริการได้
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่จะได้รบัความยินยอมจากผู้ป่วย
หรือการปฏิบัติหน้าที่ตามกฎหมาย
8. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลอย่างครบถ้วน ในการตัดสินใจเข้าร่วมหรอืถอนตัวจากการเป็นผู้ถูกทดลองในการทําวิจัยของผู้ประกอบวิชาชีพ
ด้านสุขภาพ
9. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลเกี่ยวกับการรักษาพยาบาลเฉพาะของตนที่ปรากฏใน เวชระเบียนเมื่อร้องขอ ทั้งนี้ ข้อมูลดังกล่าวต้องไม่เป็น
การละเมิดสิทธิส่วนตัวของบุคคลอื่น
10.บิดา มารดา หรือผู้แทนโดยชอบธรรม อาจใช้สิทธิแทนผู้ป่วยที่เป็นเด็กอายุยังไม่เกิน สิบแปดปีบริบูรณ์ ผู้บกพร่องทางกายหรือจิต ซึ่งไม่สามารถ
ใช้สิทธิด้วยตนเองได้
คําประกาศสิทธิผู้ป่วย• เพื่อให้ความสัมพันธ์ระหวา่งผู้ประกอบวิชาชีพด้านสุขภาพกับผู้ป่วย ตั้งอยู่บนพื้นฐานของความเข้าใจอันดีและเป็นที่ไว้วางใจซึ่งกันและกัน แพทย
สภา สภาการพยาบาล สภาเภสัชกรรม ทันตแพทยสภา คณะกรรมการควบคุมการประกอบโรคศิลปะ จึงได้ร่วมกันออกประกาศรับรองสิทธิของ
ผู้ป่วยไว ้ดังต่อไปนี้
1. ผู้ป่วยทุกคนมีสิทธิพื้นฐานที่จะได้รับบริการด้านสุขภาพ ตามที่บัญญัติไว้ในรัฐธรรมนูญ
2. ผู้ป่วยมีสิทธิที่จะได้รับบริการจากผู้ประกอบวชิาชีพด้านสุขภาพโดยไม่มีการเลือกปฏิบัติ เนื่องจากความแตกต่างด้านฐานะ เชื้อชาติ สัญชาติ
ศาสนา สังคม ลัทธิการเมือง เพศ อายุ และ ลักษณะของความเจ็บป่วย
3. ผู้ป่วยที่ขอรับบริการด้านสุขภาพมีสิทธิที่จะได้รับทราบข้อมูลอย่างเพียงพอ และเข้าใจชัดเจน จากผู้ประกอบวิชาชีพด้านสุขภาพเพื่อให้ผู้ป่วย
สามารถเลือกตัดสินใจในการยินยอมหรือไม่ยินยอมให้ผู้ประกอบวิชาชีพด้านสุขภาพปฏิบัติต่อตน เว้นแต่เป็นการช่วยเหลือรีบด่วนหรอื จําเป็น
4. ผู้ป่วยที่อยู่ในภาวะเสี่ยงอันตรายถึงชีวิต มีสิทธิที่จะได้รับการช่วยเหลือรีบด่วนจากผู้ประกอบวิชาชีพด้านสุขภาพโดยทันทีตามความจําเป็นแก่
กรณี โดยไม่คํานึงว่าผู้ป่วยจะร้อง ขอความช่วยเหลือหรือไม่
5. ผู้ป่วยมีสิทธิที่จะได้รับทราบชื่อ สกุล และประเภทของผู้ประกอบวิชาชีพด้านสุขภาพที่เป็น ผู้ให้บริการแก่ตน
6. ผู้ป่วยมีสิทธิที่จะขอความเห็นจากผู้ประกอบวิชาชีพด้านสุขภาพอื่น ที่มิได้เป็นผู้ให้บริ การแก่ตน และมีสิทธิในการขอเปลี่ยนผู้ให้บริการ และ
สถานบริการได้
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่จะได้รบัความยินยอมจากผู้ป่วย
หรือการปฏิบัติหน้าที่ตามกฎหมาย
8. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลอย่างครบถ้วน ในการตัดสินใจเข้าร่วมหรอืถอนตัวจากการเป็นผู้ถูกทดลองในการทําวิจัยของผู้ประกอบวิชาชีพ
ด้านสุขภาพ
9. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลเกี่ยวกับการรักษาพยาบาลเฉพาะของตนที่ปรากฏใน เวชระเบียนเมื่อร้องขอ ทั้งนี้ ข้อมูลดังกล่าวต้องไม่เป็น
การละเมิดสิทธิส่วนตัวของบุคคลอื่น
10.บิดา มารดา หรือผู้แทนโดยชอบธรรม อาจใช้สิทธิแทนผู้ป่วยที่เป็นเด็กอายุยังไม่เกิน สิบแปดปีบริบูรณ์ ผู้บกพร่องทางกายหรือจิต ซึ่งไม่สามารถ
ใช้สิทธิด้วยตนเองได้
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง
จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่
จะได้รับความยินยอมจากผู้ป่วยหรือการปฏิบัติหน้าที่
ตามกฎหมาย
คําถาม
• การคุ้มครองความเปน็ส่วนตัว (Privacy) และความปลอดภัย (Security)
ของข้อมูลผู้ป่วย เข้าได้กับหลักจริยธรรมใด
• Autonomy?
• Beneficence?
• Non-Maleficence?
• Justice?
MU Social Network Policy
http://intranet.mahidol/op/orla/law/index.php/announce
ment/146-2556/770-social-network
MU Social Network Policy
MU Social Network Policy
MU Social Network Policy
MU Social Network Policy
MU Social Network Policy
MU Social Network Policy
Social Network Case Studies
Source: Drama-addict.com
Disclaimer (นพ.นวนรรน):
นําเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาลบหลู่ ดูหมิ่น หรือทําให้ผู้ใด
เสียหาย โปรดใช้วิจารณญาณในการ
อ่านเนื้อหา
Social Network Case Studies Disclaimer (นพ.นวนรรน):
นําเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาดูหมิ่น หรือทําให้ผู้ใดเสียหาย
และไม่มีเจตนาสร้างประเด็นทาง
การเมือง
ชื่อ สัญลักษณ์ หรือเครื่องหมายของ
บุคคลหรือองค์กรใด เป็นเพียงการให้
ข้อมูลแวดล้อมเพื่อการทําความเข้าใจ
กรณีศึกษาเท่านั้น ไม่ใช่การใส่ความว่า
ผู้นั้นกระทําการใด อันจะทําให้ผู้นั้น
เสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียด
ชัง โปรดใช้วิจารณญาณในการอ่าน
เนื้อหา
บทเรียนจากกรณีศึกษา (Lessons Learned)
• องค์กรไม่มีทางห้ามพนักงานไม่ให้โพสต์ข้อมูลได้
• ช่องทางการโพสต์มีมากมาย ไม่มีทางห้ามได้ 100%
• นโยบายที่เหมาะสม คือการกําหนดกรอบไว้ให้พนักงานโพสต์ได้ตามความเหมาะสม
ภายในกรอบที่กําหนด
• พนักงานย่อมสวมหมวกขององค์กรอยู่เสมอ (แม้จะโพสต์เป็นการส่วนตัว แต่องค์กร
ก็เสียหายได้)
• คิดก่อนโพสต์, สร้างวัฒนธรรมภายในองค์กร
• การรักษาความลับขององค์กรและข้อมูลส่วนบุคคลของลูกค้า
• มีนโยบายให้ระบุตัวตนและตําแหน่งให้ชัดเจน
• องค์กรควรยอมรับปัญหาอย่างตรงไปตรงมาและทันท่วงทีhttp://www.siamintelligence.com/social-media-policy-cathay-pacific-case/
Facebook Privacy Settings
Facebook Privacy Settings
พยาบาลใช้ระบบสารสนเทศ เกิดผลกระทบอะไรต่อผู้ป่วยได้บ้าง?
• เสียเวลากับคอมพิวเตอร์มากเกินไป ไม่ได้ดูแลผู้ป่วยเท่าที่ควร
• ไม่ระมัดระวัง ข้อมูลส่วนบุคคลของผู้ป่วยรั่วไหล
• ระบบล่ม ไม่ทราบประวัติ ให้การดูแลผู้ป่วยไม่ได้
• บันทึกข้อมูลผิดพลาด เช่น ผิดคน ผิดตัวยา ผิดด้าน ฯลฯ เกิดอันตรายต่อผู้ป่วย
• โปรแกรมคอมพิวเตอร์มีปัญหาโดยพยาบาลไม่ทราบ เช่น คํานวณ dose ยาผิด
• มีระบบให้ใช้ แต่ผู้ใช้งาน (user) ไม่ยอมใช้ ใช้ผิดวัตถุประสงค์ หรือใช้วิธีลัด
• ระบบมีคําแนะนําสําหรับแนวทางการรักษาที่ได้มาตรฐาน ให้กับแพทย์/พยาบาล
• แพทย์/พยาบาล ให้การรักษาตามคําแนะนําของระบบ แต่เกิดปัญหากับผู้ป่วย
• แพทย์/พยาบาล ปฏิเสธคําแนะนําของระบบ แล้วเกิดปัญหากับผูป้่วย
• แพทย์/พยาบาล ไม่ให้ความสนใจกับคําเตือนของระบบ
การใช้วิธีลัด (workaround) ที่ไม่ได้ตรงตามที่ออกแบบระบบมา
ผลของการไม่ให้ความสนใจกับคําเตือนของระบบ
ความรับผิดทางกฎหมาย กรณีใช้ระบบแล้วเกิดผลเสียต่อผู้ป่วย
ความรับผิดทางกฎหมาย ของบุคลากรทางการแพทย์ มี 3 ส่วนหลัก
• ความรับผิดทางอาญา (เจตนา หรือประมาทเลินเล่อ)
• ความรับผิดทางแพ่ง (ละเมิด)
• การพิจารณาเป็นคดีจริยธรรมในสภาวิชาชีพ
คําถาม ใครต้องรับผิดทางกฎหมาย ระหว่าง ผู้ใช้งาน
(แพทย์/พยาบาล) ผู้พัฒนาระบบสารสนเทศ หรือผู้บริหาร?
ใครต้องรับผิดทางกฎหมาย
ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด
ระบบมีข้อผิดพลาดในการพฒันา เช่น
ใช้สูตรคํานวณ dose ยาผิด
ทําให้เกิดอันตรายต่อผู้ป่วย
ผู้พัฒนาระบบ รับผิด
ใครต้องรับผิดทางกฎหมาย
ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด
อุทกภัย -> ระบบล่ม
ทําให้การดูแลผูป้่วยมีปัญหา
ถ้าเป็นเหตุสุดวิสัย ไม่ได้ประมาท
ไม่ต้องรับผิดทางอาญา
ใครต้องรับผิดทางกฎหมาย
ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด
ระบบล่มบ่อย ขาดการ
บริหารจัดการที่ดี
ทําให้การดูแลผูป้่วยมีปัญหา
โรงพยาบาล/ผู้บริหาร อาจต้อง
รับผิดเพราะควรป้องกันปัญหาได้
ใครต้องรับผิดทางกฎหมาย
ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด
ผู้ใช้งานใช้ระบบผิด
วัตถุประสงค์
ทําให้การดูแลผูป้่วยมีปัญหา
ผู้ใช้งานอาจต้องรับผิด
ใครต้องรับผิดทางกฎหมาย
ขึ้นอยู่กับว่าสาเหตุอยู่ที่ใด
ระบบมีข้อความเตือนว่าการสั่งการรักษาบางอย่าง
อาจมีอันตรายต่อผู้ป่วย ผู้ใช้งานไม่สนใจคําเตือนนั้น
เพียงกดปุ่มข้ามไปให้ผ่านๆ โดยไม่ได้ไตร่ตรองดู
ผู้ใช้งานอาจต้องรับผิดเนื่องจาก
ประมาทเลินเล่อ
สรุป
• จริยธรรม จรรยาบรรณแห่งวิชาชีพ กฎหมาย คือกรอบของสังคม
ที่กําหนดว่าสิ่งใดควรทํา หรือไม่ควรทํา
• การใช้เทคโนโลยีสารสนเทศ ไม่ว่าโดยบุคคลทั่วไปหรือบุคลากร
ทางการแพทย์ ย่อมมีประเด็นด้านจริยธรรม กฎหมาย และ
ผลกระทบต่อสังคม เสมอ
• กฎหมายสําคัญที่เป็นกรอบในการกําหนดแนวทางการใช้
เทคโนโลยีสารสนเทศของบุคคลทั่วไป คือ พรบ.ว่าด้วยการกระทํา
ความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
สรุป
• การใช้เทคโนโลยีสารสนเทศโดยพยาบาลหรือบุคลากรทาง
การแพทย์ อาจส่งผลกระทบต่อผู้ป่วยได้ และต้องอยู่บนพื้นฐาน
ของหลักจริยธรรมและกฎหมาย รวมทั้งต้องหาทางป้องกันปัญหา
ที่อาจเกิดต่อผู้ป่วยจากการใช้งานระบบสารสนเทศ
• Privacy และ Security เป็นสอง concepts ที่มีความสําคัญ
สําหรับบุคลากรทางการแพทย์ที่ดูแลผู้ป่วย และจําเป็นจะต้องให้
ความสําคัญในการคุ้มครองข้อมูลผู้ป่วยอย่างเต็มที่
• ความรับผิดทางกฎหมายจากการใช้งานระบบสารสนเทศอาจ
แตกต่างกันไปขึ้นอยู่กับสาเหตุของปัญหา
สรุป
• ใช้ระบบสารสนเทศทางการพยาบาลอย่างมีจริยธรรม คํานึงถึง
กฎหมายที่เกี่ยวข้อง และมุ่งประโยชน์สูงสุดต่อผู้ป่วย และการ
ไม่ทําอันตรายตอ่ผู้ป่วย