กฎหมาย it สำหรับพยาบาล (august 26, 2016)

1

กฎหมาย IT ส าหรบพยาบาล

นพ.นวนรรน ธระอมพรพนธคณะแพทยศาสตรโรงพยาบาลรามาธบด

26 สงหาคม 2559 www.SlideShare.net/Nawanan

2

2546 แพทยศาสตรบณฑต (รามาธบดรนท 33)

2554 Ph.D. (Health Informatics), Univ. of Minnesota

อาจารย ภาควชาเวชศาสตรชมชนคณะแพทยศาสตรโรงพยาบาลรามาธบด

ความสนใจ: Health IT, Social Media, Security & Privacy

nawanan.the@mahidol.ac.th

SlideShare.net/Nawanan

Nawanan Theera-Ampornpunt

Line ID: NawananT

แนะน ำตว

3

Outlines

ภาพรวมกฎหมาย IT ดานสขภาพ

Case Studies

4

ภำพรวมกฎหมำย IT ดำนสขภำพ

5

กฎหมำยทเกยวของกบ IT ดำนสขภำพ

กฎหมาย ICT

กฎหมายทรพยสนทางปญญา

กฎหมายเกยวกบขอมลขาวสาร

กฎหมายสขภาพ/กฎหมายการแพทย

6

Computer Crimes

Electronic Transactions & Electronic Signatures

E-commerce, Cyber Law

Privacy/Data Protection Law (Generic)

กฎหมำย ICT

7

พรบ.การกระท าความผดเกยวกบคอมพวเตอร

ก าหนดการกระท าทถอเปนความผด และหนาทของผใหบรการ (เชน การบนทกขอมลจราจรทางคอมพวเตอร)

กฎหมำย ICT

8

พรบ.วาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 และพรบ.วาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 2) พ.ศ. 2551

รองรบสถานะทางกฎหมายของขอมลทางอเลกทรอนกส การรบสงขอมลอเลกทรอนกส การใชลายมอชออเลกทรอนกส (electronic signature) และก าหนดหลกเกณฑตางๆ ทเกยวของกบการท าธรกรรมทางอเลกทรอนกส (electronic transaction)

กฎหมำย ICT

9

กฎหมายลขสทธ

กฎหมายสทธบตร

กฎหมายเครองหมายการคา

กฎหมายความลบทางการคา

etc.

กฎหมำยทรพยสนทำงปญญำ

10

Examples

Freedom of Information Act (U.S.)

พรบ.ขอมลขาวสารของราชการ พ.ศ. 2540 (Thailand)

กฎหมำยเกยวกบขอมลขำวสำร

11

กฎหมายเกยวกบสถานพยาบาล

กฎหมายเกยวกบผประกอบวชาชพดานสขภาพ

กฎหมายอนๆ ทเกยวของกบสขภาพ

กฎหมายเกยวกบอาหาร ยา และเครองมอแพทย

กฎหมายเกยวกบระบบสขภาพ และหลกประกนสขภาพ

กฎหมายเกยวกบการแพทยฉกเฉน

กฎหมำยสขภำพ/กฎหมำยกำรแพทย

12

พรบ.สถานพยาบาล พ.ศ. 2541 และ (ฉบบท 2) พ.ศ. 2547 พรบ.วชาชพเวชกรรม พ.ศ. 2525 พรบ.วชาชพการพยาบาลและการผดงครรภ พ.ศ. 2528 และฉบบท 2)

พ.ศ. 2540 พรบ.ของวชาชพอนๆ ดานสขภาพ พรบ.หลกประกนสขภาพแหงชาต พ.ศ. 2545 พรบ.สขภาพแหงชาต พ.ศ. 2550 และ (ฉบบท 2) พ.ศ. 2553 พรบ.การแพทยฉกเฉน พ.ศ. 2551 พรบ.เครองมอแพทย พ.ศ. 2551

กฎหมำยสขภำพ/กฎหมำยกำรแพทยของไทย

13

Case Studies

14

Malware

Case #1: ภยคกคำมดำน Security

15

Confidentiality (ขอมลความลบ) Integrity (การแกไข/ลบ/เพมขอมลโดยมชอบ) Availability (ระบบลม ใชการไมได)

สงทเปนเปำหมำยกำรโจมต: CIA Triad

16

ผลกระทบ/ควำมเสยหำย

• ความลบถกเปดเผย

• ความเสยงตอชวต สขภาพ จตใจ การเงน และการงานของบคคล

• ระบบลม การใหบรการมปญหา

• ภาพลกษณขององคกรเสยหาย

17

แหลงทมำของกำรโจมต

• Hackers

• Viruses & Malware

• ระบบทมปญหาขอผดพลาด/ชองโหว

• Insiders (บคลากรทมเจตนาราย)

• การขาดความตระหนกของบคลากร

• ภยพบต

18

กฎหมำย IT Security

19

พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550การกระท าความผดเกยวกบคอมพวเตอร (Computer-Related Crimes)

ตวอยาง?

–อาชญากรรมทางคอมพวเตอร (Computer Crimes)

• เชน Hacking, การเปดเผยขอมลทเปนความลบ, การดกฟงขอมล

–การกระท าความผดทมคอมพวเตอรเปนเครองมอ (Crimes Using Computers as Tools)

• เชน การเผยแพรภาพลามก

• การโพสตขอความทเปนภยตอความมนคง

• การตดตอภาพเพอใหผอนเสยหาย

20

พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550

มาตรา 3 (บทนยาม)

• “ระบบคอมพวเตอร” หมายความวา อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการท างานเขาดวยกน โดยไดมการก าหนดค าสง ชดค าสง หรอสงอนใด และแนวทางปฏบตงานใหอปกรณหรอชดอปกรณท าหนาทประมวลผลขอมลโดยอตโนมต

• “ขอมลคอมพวเตอร” หมายความวา ขอมล ขอความ ค าสง ชดค าสง หรอสงอนใดบรรดาทอยในระบบคอมพวเตอรในสภาพทระบบคอมพวเตอรอาจประมวลผลได และใหหมายความรวมถงขอมลอเลกทรอนกสตามกฎหมายวาดวยธรกรรมทางอเลกทรอนกสดวย

21

ค ำถำม

สงตอไปน ถอเปน “ระบบคอมพวเตอร” ตาม พรบ.นหรอไม?

22

พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550มาตรา 3 (บทนยาม)

• “ขอมลจราจรทางคอมพวเตอร” หมายความวา ขอมลเกยวกบการตดตอสอสารของระบบคอมพวเตอร ซงแสดงถงแหลงก าเนด ตนทาง ปลายทาง เสนทาง เวลา วนท ปรมาณ ระยะเวลา ชนดของบรการ หรออน ๆ ทเกยวของกบการตดตอสอสารของระบบคอมพวเตอรนน

• “ผใหบรการ” หมายความวา(1) ผใหบรการแกบคคลอนในการเขาสอนเทอรเนต หรอใหสามารถตดตอ

ถงกนโดยประการอน โดยผานทางระบบคอมพวเตอร ทงน ไมวาจะเปนการใหบรการในนามของตนเอง หรอในนามหรอเพอประโยชนของบคคลอน

(2) ผใหบรการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคลอน

23

ผใหบรกำร หมำยรวมถง

1. ผประกอบกจการโทรคมนาคมและกจการกระจายภาพและเสยง (Telecommunication and Broadcast Carriers)

2. ผใหบรการการเขาถงระบบเครอขายคอมพวเตอร (Access Service Provider)

3. ผใหบรการเชาระบบคอมพวเตอรเพอใหบรการโปรแกรมประยกตตางๆ (Hosting Service Provider

4. ผใหบรการรานอนเทอรเนต

5. ผใหบรการขอมลคอมพวเตอรผาน Application ตางๆ เชน ผใหบรการเวบบอรด, Blog, e-Commerce ฯลฯ

24

พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550

หมวด 1 ความผดเกยวกบคอมพวเตอร

• มาตรา 5 การเขาถงโดยมชอบซงระบบคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวส าหรบตน (Unauthorized access)– เชน การเจาะระบบ (hacking), การ hack รหสผานคนอน

– การเขาถงทางกายภาพ หรอทางเครอขายกได

• มาตรา 6 การเปดเผยโดยมชอบซงมาตรการปองกนการเขาถงระบบคอมพวเตอรทผอนจดท าขนเปนการเฉพาะทไดลวงรมา ในประการทนาจะเกดความเสยหายแกผอน– เชน เปดเผยรหสผานของผอนโดยไมไดรบอนญาต

25

พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550• มาตรา 7 การเขาถงโดยมชอบซงขอมลคอมพวเตอรทมมาตรการปองกน

การเขาถงโดยเฉพาะและมาตรการนนมไดมไวส าหรบตน (Unauthorized access)– เชน การน าขอมลคอมพวเตอรของผอนไปพยายามถอดรหสเพออานเนอความ

• มาตรา 8 การกระท าโดยมชอบดวยวธการทางอเลกทรอนกสเพอดกรบไวซงขอมลคอมพวเตอรของผอนทอยระหวางการสงในระบบคอมพวเตอร และขอมลคอมพวเตอรนนมไดมไวเพอประโยชนสาธารณะหรอเพอใหบคคลทวไปใชประโยชนได– เชน การดกฟงขอมลผานเครอขาย

• มาตรา 9 การท าใหเสยหาย ท าลาย แกไข เปลยนแปลง หรอเพมเตมไมวาทงหมดหรอบางสวน ซงขอมลคอมพวเตอรของผอนโดยมชอบ– เชน การลบหรอแกไขขอมลของผอน โดยมเจตนาราย

26

พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550• มาตรา 10 การกระท าโดยมชอบ เพอใหการท างานของระบบ

คอมพวเตอรของผอนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถท างานตามปกตได– เชน Denial of Service (DoS) Attack = การโจมตใหเวบลม

• มาตรา 11 การสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนโดยปกปดหรอปลอมแปลงแหลงทมาของการสงขอมลดงกลาว อนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข– เชน สง spam e-mail

• มาตรา 13 การจ าหนายหรอเผยแพรชดค าสงเพอน าไปใชเปนเครองมอในการกระท าความผดตาม พรบ. น– เชน การเผยแพรซอฟตแวรเจาะระบบ

27

พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550• มาตรา 14

(1) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรปลอม หรอขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายแกผอนหรอประชาชน

(2) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายตอความมนคงของประเทศหรอกอใหเกดความตนตระหนกแกประชาชน

(3) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใดๆ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกรหรอความผดเกยวกบการกอการราย

(4) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใดๆ ทมลกษณะอนลามกและขอมลคอมพวเตอรนนประชาชนทวไปอาจเขาถงได

(5) เผยแพรหรอสงตอซงขอมลคอมพวเตอรตาม (1)-(4)

28

พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550

• มาตรา 15 ความรบผดกรณผใหบรการจงใจสนบสนนหรอยนยอมใหมการกระท าความผดตามมาตรา 14 ในระบบคอมพวเตอรทอยในความควบคมของตน

• มาตรา 16 ผใดน าเขาสระบบคอมพวเตอรทประชาชนทวไปอาจเขาถงไดซงขอมลคอมพวเตอรทปรากฏเปนภาพของผอน และภาพนนเปนภาพทเกดจากการสรางขน ตดตอ เตม หรอดดแปลงดวยวธการทางอเลกทรอนกสหรอวธการอนใด ทงน โดยประการทนาจะท าใหผอนนนเสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย

29

พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550

หมวด 2 พนกงานเจาหนาท

• มาตรา 18 อ านาจของพนกงานเจาหนาท

(1) มหนงสอสอบถามหรอเรยกบคคลมาใหถอยค า สงค าชแจง หรอสงหลกฐาน

(2) เรยกขอมลจราจรทางคอมพวเตอรจากผใหบรการ

(3) สงใหผใหบรการสงมอบขอมลเกยวกบผใชบรการทตองเกบ

(4) ท าส าเนาขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอร

(5) สงใหบคคลซงครอบครองหรอควบคมขอมลคอมพวเตอร สงมอบขอมล

(6) ตรวจสอบหรอเขาถงระบบคอมพวเตอร ขอมล หรออปกรณทเปนหลกฐาน

(7) ถอดรหสลบของขอมล หรอสงใหบคคลท าการถอดรหสลบ

(8) ยดหรออายดระบบคอมพวเตอรเทาทจ าเปน

30

พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550

• มาตรา 19-21 การยนค ารองตอศาลของพนกงานเจาหนาท เกยวกบการปฏบตหนาทตาม พรบ. น

• มาตรา 26 ผใหบรการตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวา 90 วน นบแตวนทขอมลนนเขาสระบบคอมพวเตอร...

• ผใหบรการจะตองเกบรกษาขอมลของผใชบรการเทาทจ าเปนเพอใหสามารถระบตวผใชบรการนบตงแตเรมใชบรการและตองเกบรกษาไวเปนเวลาไมนอยกวา 90 วน นบตงแตการใชบรการสนสดลง

31

กฎหมำยวำดวยธรกรรมทำงอเลกทรอนกส

32

• หามมใหปฏเสธความมผลผกพนและการบงคบใชทางกฎหมายของขอความใด เพยงเพราะเหตทขอความนนอยในรปของขอมลอเลกทรอนกส (มาตรา 7)

• ใหถอวาขอมลอเลกทรอนกส มการลงลายมอชอแลว ถา (1) ใชวธการทระบตวเจาของลายมอชอ และ (2) เปนวธการทเชอถอได (มาตรา 9)

• ธรกรรมทางอเลกทรอนกสทไดกระท าตามวธการแบบปลอดภยทก าหนดใน พรฎ. ใหสนนษฐานวาเปนวธการทเชอถอได (มาตรา 25)

• ค าขอ การอนญาต การจดทะเบยน ค าสงทางปกครอง การช าระเงน การประกาศ หรอการด าเนนการใดๆ ตามกฎหมายกบหนวยงานของรฐหรอโดยหนวยงานของรฐ ถาไดกระท าในรปของขอมลอเลกทรอนกสตามหลกเกณฑและวธการทก าหนดโดย พรฎ.

• ใหถอวามผลโดยชอบดวยกฎหมาย (มาตรา 35)

ผลทางกฎหมายของ พรบ.ธรกรรมทางอเลกทรอนกส

33

• พรฎ.ก าหนดประเภทธรกรรมในทางแพงและพาณชยทยกเวนมหน ากฎหมายวาดวยธรกรรมทางอเลกทรอนกสมาใชบงคบ พ.ศ. 2549

• ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส– เรอง การรบรองสงพมพออก พ.ศ. 2555

• ก าหนดหลกเกณฑและวธการรบรองสงพมพออก (Print-Out) ของขอมลอเลกทรอนกส เพอใหสามารถใชอางองแทนขอมลอเลกทรอนกส และมผลใชแทนตนฉบบได

– เรอง หลกเกณฑและวธการในการจดท าหรอแปลงเอกสารและขอความใหอยในรปของขอมลอเลกทรอนกส พ.ศ. 2553

• ก าหนดหลกเกณฑและวธการในการจดท าหรอแปลงเอกสารและขอความทไดมการจดท าหรอแปลงใหอยในรปของขอมลอเลกทรอนกสในภายหลง

– เรอง แนวทางการจดท าแนวนโยบาย (Certificate Policy) และแนวปฏบต (Certification Practice Statement) ของผใหบรการออกใบรบรองอเลกทรอนกส (Certificate Authority) พ.ศ. 2552

• วาดวยการใหบรการออกใบรบรองอเลกทรอนกส (Certificate)

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

34

• พรฎ.ก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549– ประกาศ เรอง แนวนโยบายและแนวปฏบตในการรกษา

ความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553• ก าหนดมาตรฐาน Security Policy ของหนวยงานของรฐทม

การท าธรกรรมทางอเลกทรอนกสภาครฐ– ประกาศ เรอง แนวนโยบายและแนวปฏบตในการ

คมครองขอมลสวนบคคลของหนวยงานของรฐ พ.ศ. 2553• ก าหนดมาตรฐาน Privacy Policy ของหนวยงานของรฐทม

การท าธรกรรมทางอเลกทรอนกสภาครฐ

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

35

• พรฎ.วาดวยการควบคมดแลธรกจบรการการช าระเงนทางอเลกทรอนกส พ.ศ. 2551

• ประกาศ เรอง หลกเกณฑการพจารณาลงโทษปรบทางปกครองส าหรบผประกอบธรกจใหบรการการช าระเงนทางอเลกทรอนกส พ.ศ. 2554

• ประกาศ เรอง หลกเกณฑ วธการ และเงอนไขในการประกอบธรกจบรการการช าระเงนทางอเลกทรอนกส พ.ศ. 2552

• ประกาศ ธปท. ทเกยวของ

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

36

• พรฎ.วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553– ประกาศ เรอง ประเภทของธรกรรมทางอเลกทรอนกส

และหลกเกณฑการประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการแบบปลอดภย พ.ศ. 2555• หลกเกณฑการประเมนเพอก าหนดระดบวธการแบบ

ปลอดภยขนต า– ประกาศ เรอง มาตรฐานการรกษาความมนคงปลอดภย

ของระบบสารสนเทศตามวธการแบบปลอดภย พ.ศ. 2555• ก าหนดมาตรฐานความปลอดภยตามวธการแบบปลอดภยแต

ละระดบ

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

37

• คณะกรรมการธรกรรมทางอเลกทรอนกส• ส านกงานคณะกรรมการธรกรรมทางอเลกทรอนกส

ส านกงานปลดกระทรวง กระทรวงเทคโนโลยสารสนเทศและการสอสาร

• ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ สพธอ.– Electronic Transactions Development Agency

(Public Organization) - ETDA

หนวยงานทเกยวของกบ พรบ.ธรกรรมทางอเลกทรอนกส

38

• มาตรา 25 ของ พรบ.วาดวยธรกรรมทางอเลกทรอนกส– “ธรกรรมทางอเลกทรอนกสใดทไดกระท าตามวธการแบบ

ปลอดภยทก าหนดในพระราชกฤษฎกา ใหสนนษฐานวาเปนวธการทเชอถอได

• พรฎ.วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553– วธการแบบปลอดภย ม 3 ระดบ (พนฐาน, กลาง, เครงครด)– จ าแนกตามประเภทของธรกรรมทางอเลกทรอนกส (ธรกรรมทม

ผลกระทบตอความมนคงหรอความสงบเรยบรอยของประเทศ หรอตอสาธารณชน) หรอจ าแนกตามหนวยงาน (ธรกรรมของหนวยงานหรอองคกรทถอเปนโครงสรางพนฐานส าคญของประเทศ หรอ Critical Infrastructure)

“วธการแบบปลอดภย”

39

ธรกรรมทางอเลกทรอนกส ประเภทตอไปน• ดานการช าระเงนทางอเลกทรอนกส• ดานการเงนของธนาคารพาณชย• ดานประกนภย• ดานหลกทรพยของผประกอบธรกจหลกทรพย• ธรกรรมทจดเกบ รวบรวม และใหบรการขอมลของ

บคคลหรอทรพยสนหรอทะเบยนตางๆ ทเปนเอกสารมหาชนหรอทเปนขอมลสาธารณะ

• ธรกรรมในการใหบรการดานสาธารณปโภคและบรการสาธารณะทตองด าเนนการอยางตอเนองตลอดเวลา

วธการแบบปลอดภยในระดบเครงครด

40

ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)• ผลกระทบดานมลคาความเสยหายทางการเงน

– ต า: ≤ 1 ลานบาท– ปานกลาง: 1 ลานบาท < มลคา ≤ 100 ลานบาท– สง: > 100 ลานบาท

ระดบผลกระทบกบวธการแบบปลอดภย

41

ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)• ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจ

ไดรบอนตรายตอชวต รางกาย หรออนามย– ต า: ไมม– ปานกลาง: ผลกระทบตอรางกายหรออนามย 1-1,000 คน– สง: ผลกระทบตอรางกายหรออนามย > 1,000 คน หรอตอ

ชวตตงแต 1 คน

ระดบผลกระทบกบวธการแบบปลอดภย

42

ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)• ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบ

ความเสยหายอนใด– ต า: ≤ 10,000 คน– ปานกลาง: 10,000 < จ านวนผไดรบผลกระทบ ≤ 100,000 คน– สง: > 100,000 คน

• ผลกระทบดานความมนคงของรฐ– ต า: ไมมผลกระทบตอความมนคงของรฐ– สง: มผลกระทบตอความมนคงของรฐ

ระดบผลกระทบกบวธการแบบปลอดภย

43

• พจารณาตามประเภทของธรกรรมทางอเลกทรอนกส• พจารณาตามระดบผลกระทบ

– ถามผลประเมนทเปนผลกระทบในระดบสง 1 ดาน ใหใชวธการแบบปลอดภยระดบเครงครด

– ระดบกลางอยางนอย 2 ดาน ใหใชวธการแบบปลอดภยระดบกลาง

– นอกจากน ใหใชวธการแบบปลอดภยในระดบพนฐาน

สรปวธการประเมนระดบวธการแบบปลอดภย

44

• อางองมาตรฐาน ISO/IEC 27001:2005 - Information technology -Security techniques - Information security management systems - Requirements

• มผลใชบงคบเมอพน 360 วน นบแตวนประกาศในราชกจจานเบกษา (19 ธ.ค. 2555) คอ 14 ธ.ค. 2556

• ไมมบทก าหนดโทษ เปนเพยงมาตรฐานส าหรบ “วธการทเชอถอได” ในการพจารณาความนาเชอถอในทางกฎหมายของธรกรรมทางอเลกทรอนกส แตมผลในเชงภาพลกษณและน าหนกการน าขอมลอเลกทรอนกสไปเปนพยานหลกฐานในการตอสคดในศาลหรอการด าเนนการทางกฎหมาย

• คณะกรรมการธรกรรมทางอเลกทรอนกสอาจพจารณาประกาศเผยแพรรายชอหนวยงานทมการจดท านโยบายและแนวปฏบตโดยสอดคลองกบวธการแบบปลอดภย เพอใหสาธารณชนทราบเปนการทวไปกได

ประกาศ เรอง มาตรฐาน Security ตามวธการแบบปลอดภย

45

• แบงเปน 11 หมวด (Domains)– Security policy– Organization of information security– Asset management– Human resources security– Physical and environmental security– Communications and operations management– Access control– Information systems acquisition, development and

maintenance– Information security incident management– Business continuity management– Regulatory compliance

มาตรฐาน Security ตามวธการแบบปลอดภย

46

มาตรฐาน Security ตามวธการแบบปลอดภย แตละระดบหมวด (Domain) ระดบพนฐาน ระดบกลาง

(เพมเตมจากระดบพนฐาน)ระดบสง

(เพมเตมจากระดบกลาง)

Security policy 1 ขอ 1 ขอ -

Organization of information security 5 ขอ 3 ขอ 3 ขอ

Asset management 1 ขอ 4 ขอ -

Human resources security 6 ขอ 1 ขอ 2 ขอ

Physical and environmental security 5 ขอ 2 ขอ 6 ขอ

Communications & operations management 18 ขอ 5 ขอ 9 ขอ

Access control 9 ขอ 8 ขอ 8 ขอ

Information systems acquisition, development and maintenance

2 ขอ 6 ขอ 8 ขอ

Information security incident management 1 ขอ - 3 ขอ

Business continuity management 1 ขอ 3 ขอ 1 ขอ

Regulatory compliance 3 ขอ 5 ขอ 2 ขอ

รวม 52 ขอ 38 ขอ (รวม 90 ขอ) 42 ขอ (รวม 132 ขอ)

47

Case #2: Privacy

48

Privacy

http://news.sanook.com/1262964/

49

ภย Privacy กบโรงพยำบำล

http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

50

Privacy

http://pantip.com/topic/35330409/

51

ขอความจรง บน• "อาจารยครบ เมอวาน ผมออก OPD เจอ คณ

... คนไข... ทอาจารยผาไปแลว มา ฉายรงสตอท... ตอนน Happy ด ไมคอยปวด เดนไดสบาย คนไขฝากขอบคณอาจารยอกครง -- อกอยางคนไขชวงนไมคอยสะดวกเลยไมไดไป กทม. บอกวาถาพรอมจะไป Follow-up กบอาจารยครบ"

ขอมลผปวย บน Social Media

52

Security/Privacy กบขอมลผปวย

53

Security & Privacy

http://en.wikipedia.org/wiki/A._S._Bradford_House

54http://www.aclu.org/ordering-pizza

Privacy ของขอมลสวนบคคล

55

หลกจรยธรรมทเกยวกบ Privacy

• Autonomy (หลกเอกสทธ/ความเปนอสระของผปวย)

• Beneficence (หลกการรกษาประโยชนสงสดของผปวย)

• Non-maleficence (หลกการไมท าอนตรายตอผปวย)“First, Do No Harm.”

56

Hippocratic Oath...

What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....

http://en.wikipedia.org/wiki/Hippocratic_Oath

57

กฎหมำยทเกยวของกบ Privacy

• พรบ.สขภาพแหงชาต พ.ศ. 2550

• มาตรา 7 ขอมลดานสขภาพของบคคล เปนความลบสวนบคคล ผใดจะน าไปเปดเผยในประการทนาจะท าใหบคคลนนเสยหายไมได เวนแตการเปดเผยนนเปนไปตามความประสงคของบคคลนนโดยตรง หรอมกฎหมายเฉพาะบญญตใหตองเปดเผย แตไมวาในกรณใด ๆ ผใดจะอาศยอ านาจหรอสทธตามกฎหมายวาดวยขอมลขาวสารของราชการหรอกฎหมายอนเพอขอเอกสารเกยวกบขอมลดานสขภาพของบคคลทไมใชของตนไมได

58

ประมวลกฎหมำยอำญำ• มาตรา 323 ผใดลวงรหรอไดมาซงความลบของผอนโดยเหตทเปน

เจาพนกงานผมหนาท โดยเหตทประกอบอาชพเปนแพทย เภสชกร คนจ าหนายยา นางผดงครรภ ผพยาบาล...หรอโดยเหตทเปนผชวยในการประกอบอาชพนน แลวเปดเผยความลบนนในประการทนาจะเกดความเสยหายแกผหนงผใด ตองระวางโทษจ าคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบาท หรอทงจ าทงปรบ

• ผรบการศกษาอบรมในอาชพดงกลาวในวรรคแรก เปดเผยความลบของผอน อนตนไดลวงรหรอไดมาในการศกษาอบรมนน ในประการทนาจะเกดความเสยหายแกผหนงผใดตองระวางโทษเชนเดยวกน

59

ค าประกาศสทธและขอพงปฏบตของผปวย

7. ผปวยมสทธไดรบการปกปดขอมลของตนเอง เวนแตผปวยจะใหความยนยอมหรอเปนการปฏบตตามหนาทของผประกอบวชาชพดานสขภาพเพอประโยชนโดยตรงของผปวยหรอตามกฎหมาย

60

แนวทำงกำรคมครอง Privacy• Informed consent

• Privacy culture

• User awareness building & education

• Organizational policy & regulations Enforcement Ongoing privacy & security assessments,

monitoring, and protection

61

Uniform Enforcement:เรองเลำเกยวกบ

ควำมนำรก นำศรทธำของผบรหำร(ทำน ศ. นพ.รชตะ รชตะนำวน)

62

Line เสยงตอการละเมด Privacy ผปวยไดอยางไร?

• ขอมลใน Line group มคนเหนหลายคน• ขอมลถก capture หรอ forward ไป share ตอได• ขอมล cache ทเกบใน mobile device อาจถกอานได

(เชน ท าอปกรณหาย หรอเผลอวางเอาไว)• ขอมลทเกบใน server ของ Line ทางบรษทเขาถงได และ

อาจถก hack ได• มคนเดา Password ได

63

ทางออกส าหรบการ Consult Case ผปวย

• ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม• หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ

ขอมลทระบตวตนผปวยได (รวมทงในภาพ image)• ใช app ทปลอดภยกวา• Limit คนทเขาถง

(เชน ไมคยผาน Line group)• ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,

เชค malware ฯลฯ)

64

รำงกฎหมำยทควรจบตำด: ราง พรบ.คมครองขอมลสวนบคคล

65

Case #3: Hoax

PR Nightmareเหตกำรณไมจรง ทสรำงควำม

เสยหำย กลำยเปน viral

66

Case #3: Hoax

http://new.khaosod.co.th.khaosod.online/dek3/win.html (อนตราย! ไมควรเขาเวบน)

ขำวนไมเปนควำมจรง

67

Case #3: Hoax

68

รำมำธบด กบ Security/Privacy

69

http://intranet.mahidol/op/orla/law/index.php/announcement/146-2556/770-social-network

นโยบายดาน Social Media ของมหาวทยาลยมหดล

70

• ขอความบน Social Network สามารถเขาถงไดโดยสาธารณะ ผเผยแพรตองรบผดชอบ ทงทางสงคมและกฎหมาย และอาจสงผลกระทบตอชอเสยง การท างาน และวชาชพของตน

MU Social Media Policy

71

• บคลากรทางการแพทยหรอผใหบรการสขภาพ– ระวงการใช Social Network ในการปฏสมพนธกบผปวย

– ปฏบตตามจรยธรรมของวชาชพ

– ระวงเรองความเปนสวนตว (Privacy) และความลบของขอมลผปวย

– การเผยแพรขอมล/ภาพผปวย เพอการศกษา ตองขออนญาตผปวยกอนเสมอ และลบขอมลทเปน identifiers ทงหมด (เชน ชอ, HN, ภาพใบหนา หรอ ID อนๆ) ยกเวนผปวยอนญาต (รวมถงกรณการโพสตใน closed groups ดวย)

• ตงคา Privacy Settings ใหเหมาะสม

MU Social Media Policy

72

• ประกาศคณะฯ เรอง นโยบายความปลอดภยสารสนเทศ คณะแพทยศาสตรโรงพยาบาลรามาธบด พ.ศ. 2551

• ประกาศคณะฯ เรอง หลกเกณฑการปฏบตของผไดรบอนญาตใหเขาถงขอมลทางอเลกทรอนกส พ.ศ. 2554

• ประกาศคณะฯ เรอง การขอคดถายส าเนาเวชระเบยนผปวย พ.ศ. 2556

• ประกาศคณะฯ เรอง ขอก าหนดการใชสอสงคมออนไลน ของคณะฯ พ.ศ. 2556

• ประกาศคณะฯ เรอง แนวทางปฏบต การขอบนทกภาพและเสยงในโรงพยาบาลสงกดของคณะฯ พ.ศ. 2557

ระเบยบตางๆ ของคณะฯ ดาน Information Security

73

Social Media Case Studies

74

Social Media Case Study #1: พฤตกรรมไมเหมาะสม

Disclaimer (นพ.นวนรรน):น าเสนอเปนกรณศกษาเพอการเรยนร

เรอง Social Media เทานน ไมมเจตนาลบหล ดหมน หรอท าใหผใดองคกรใด หรอวชาชพใดเสยหาย

โปรดใชวจารณญาณในการอานเนอหา

75

Disclaimer (นพ.นวนรรน):น าเสนอเปนกรณศกษาเพอการเรยนร

เรอง Social Media เทานน ไมมเจตนาลบหล ดหมน หรอท าใหผใดองคกรใด หรอวชาชพใดเสยหาย

โปรดใชวจารณญาณในการอานเนอหา

Social Media Case Study #1: พฤตกรรมไมเหมาะสม

76http://news.mthai.com/hot-news/world-news/453842.html

Social Media Case Study #2: Selfie มประเดน

77

http://pantip.com/topic/33678081

https://www.facebook.com/photo.php?fbid=971229119583658&set=a.37957656541558

6.90794.100000897364762&type=1&theater

Social Media Case Study #3: Selfie มประเดน

78http://www.matichon.co.th/news_detail.php?newsid=1429341430

Social Media Case Study #4: ดหมนผปวย

79

Social Media Case Study #5: ละเมดผรบบรการ

Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media

เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย และไมมเจตนาสรางประเดนทาง

การเมองชอ สญลกษณ หรอเครองหมายของบคคล

หรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง

โปรดใชวจารณญาณในการอานเนอหา

80

http://manager.co.th/Entertainment/Vie

wNews.aspx?NewsID=9580000076405

Social Media Case Study #6: ละเมดผรบบรการ

81

Social Media Case Study #7: ไมแยก Account

82

Facebook Profile vs. Page vs. Group• ใช Profile ส าหรบ user แตละคน (แยกคนกน)• ใช Page ส าหรบการ PR องคกร/หนวยงาน/ทม/

กลม (สามารถตง user คนละคน เปน admin ได โดยแยก account กน)

• ใช Group ส าหรบการสอสารกนภายในกลม (ตงระดบ privacy ทเหมาะสมได)

83

Social Media Case Study #8: ไมตรวจสอบขอมล

Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media

เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย

ชอ สญลกษณ หรอเครองหมายของบคคลหรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง

โปรดใชวจารณญาณในการอานเนอหา

84

Social Media Case Study #9: ไมตรวจสอบขอมล

Source: Facebook Page โหดสส V2 อางองภาพจากหนา 7 นสพ.ไทยรฐ วนท 6 พ.ค. 2557 และ http://www.reuters.com/article/2013/10/16/us-philippines-quake-idUSBRE99E01R20131016

85

Social Media Best Practices

https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg

86

Social Media Best Practices

https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg

87

กฎหมาย IT ส าหรบพยาบาล

นพ.นวนรรน ธระอมพรพนธคณะแพทยศาสตรโรงพยาบาลรามาธบด

26 สงหาคม 2559 www.SlideShare.net/Nawanan