1

Security & Privacy of Patient Informationเรองเลาจากรามาธบด

นพ.นวนรรน ธระอมพรพนธ

20 เมษายน 2560

http://www.slideshare.net/nawanan

2

2546 แพทยศาสตรบณฑต (รามาธบดรนท 33)

2554 Ph.D. (Health Informatics), Univ. of Minnesota

ผชวยคณบดฝายนโยบายและสารสนเทศอาจารย ภาควชาเวชศาสตรชมชนคณะแพทยศาสตรโรงพยาบาลรามาธบด

ความสนใจ: Health IT, Social Media, Security & Privacy

nawanan.the@mahidol.ac.th

SlideShare.net/Nawanan

Nawanan Theera-Ampornpunt

Line ID: NawananT

แนะน าตว

3

Outline

• ท าไมเราตองแครเรอง Security & Privacy?

• Security/Privacy กบขอมลผปวย

• แนวปฏบตดาน Security ของระบบ

• แนวปฏบตดาน Privacy ของขอมล

• แนวปฏบตดานการใช Social Media ทเหมาะสม

4

ท าไมเราตองแครเรอง Security & Privacy?

5

เรองเลาจากรามาธบด #1: Privacy & Hoax

http://news.sanook.com/1262964/

6

ภย Privacy กบโรงพยาบาล

http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

7

Malware

ตวอยางภยคกคามดาน Security

8

เรองเลาจากรามาธบด #2: Malware

9

ภย Security กบเมองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

10

ภย Security กบเมองไทย

(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/

(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-

to-hollywood

11

ภย Security กบเมองไทย

https://www.it24hrs.com/2016/anonymous-hack-id-cards-ministry-of-foreign-affairs-tica/

12

ภย Security กบเมองไทย

13

ภย Security กบเมองไทย

14

Confidentiality (ขอมลความลบ) Integrity (การแกไข/ลบ/เพมขอมลโดยมชอบ) Availability (ระบบลม ใชการไมได)

สงทเปนเปาหมายการโจมต: CIA Triad

15

ผลกระทบ/ความเสยหาย

• ความลบถกเปดเผย

• ความเสยงตอชวต สขภาพ จตใจ การเงน และการงานของบคคล

• ระบบลม การใหบรการมปญหา

• ภาพลกษณขององคกรเสยหาย

16

แหลงทมาของการโจมต

• Hackers

• Viruses & Malware

• ระบบทมปญหาขอผดพลาด/ชองโหว

• Insiders (บคลากรทมเจตนาราย)

• การขาดความตระหนกของบคลากร

• ภยพบต

17

เรองเลาจากรามาธบด #3: Privacy

18

Security/Privacy กบขอมลผปวย

19

Security & Privacy

http://en.wikipedia.org/wiki/A._S._Bradford_House

20

แนวปฏบตดาน Privacy ของขอมล

21

เรองเลาจากรามาธบด #4: Privacy

http://pantip.com/topic/35330409/

22

หลกจรยธรรมทเกยวกบ Privacy

• Autonomy (หลกเอกสทธ/ความเปนอสระของผปวย)

• Beneficence (หลกการรกษาประโยชนสงสดของผปวย)

• Non-maleficence (หลกการไมท าอนตรายตอผปวย)“First, Do No Harm.”

23

Hippocratic Oath...

What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....

http://en.wikipedia.org/wiki/Hippocratic_Oath

24

กฎหมายทเกยวของกบ Privacy

• พรบ.สขภาพแหงชาต พ.ศ. 2550

• มาตรา 7 ขอมลดานสขภาพของบคคล เปนความลบสวนบคคล ผใดจะน าไปเปดเผยในประการทนาจะท าใหบคคลนนเสยหายไมได เวนแตการเปดเผยนนเปนไปตามความประสงคของบคคลนนโดยตรง หรอมกฎหมายเฉพาะบญญตใหตองเปดเผย แตไมวาในกรณใด ๆ ผใดจะอาศยอ านาจหรอสทธตามกฎหมายวาดวยขอมลขาวสารของราชการหรอกฎหมายอนเพอขอเอกสารเกยวกบขอมลดานสขภาพของบคคลทไมใชของตนไมได

25

ประมวลกฎหมายอาญา• มาตรา 323 ผใดลวงรหรอไดมาซงความลบของผอนโดยเหตทเปน

เจาพนกงานผมหนาท โดยเหตทประกอบอาชพเปนแพทย เภสชกร คนจ าหนายยา นางผดงครรภ ผพยาบาล...หรอโดยเหตทเปนผชวยในการประกอบอาชพนน แลวเปดเผยความลบนนในประการทนาจะเกดความเสยหายแกผหนงผใด ตองระวางโทษจ าคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบาท หรอทงจ าทงปรบ

• ผรบการศกษาอบรมในอาชพดงกลาวในวรรคแรก เปดเผยความลบของผอน อนตนไดลวงรหรอไดมาในการศกษาอบรมนน ในประการทนาจะเกดความเสยหายแกผหนงผใดตองระวางโทษเชนเดยวกน

26

ค ำประกำศสทธและขอพงปฏบตของผปวย

7. ผปวยมสทธไดรบกำรปกปดขอมลของตนเอง เวนแตผปวยจะใหควำมยนยอมหรอเปนกำรปฏบตตำมหนำทของผประกอบวชำชพดำนสขภำพเพอประโยชนโดยตรงของผปวยหรอตำมกฎหมำย

27

ขอควำมจรง บน• "อาจารยครบ เมอวาน ผมออก OPD เจอ คณ

... คนไข... ทอาจารยผาไปแลว มา ฉายรงสตอท... ตอนน Happy ด ไมคอยปวด เดนไดสบาย คนไขฝากขอบคณอาจารยอกครง -- อกอยางคนไขชวงนไมคอยสะดวกเลยไมไดไป กทม. บอกวาถาพรอมจะไป Follow-up กบอาจารยครบ"

ขอมลผปวย บน Social Media

28

แนวทางการคมครอง Privacy• Informed consent

• Privacy culture

• User awareness building & education

• Organizational policy & regulations Enforcement Ongoing privacy & security assessments,

monitoring, and protection

29

เรองเลาจากรามาธบด #5: Enforcement

Uniform Enforcement:เรองเลาเกยวกบ

ความนาศรทธาของผบรหาร

30

Line เสยงตอกำรละเมด Privacy ผปวยไดอยำงไร?

• ขอความใน Line group มคนเหนหลายคน• ถก capture หรอ forward ไป share ตอได• ขอมล cache ทเกบใน mobile device อาจถกอานได

(เชน ท าอปกรณหาย หรอเผลอวางเอาไว)• ขอมลทสงผาน network อาจไมไดเขารหส• บรษท Line เขาถงได และอาจถก hack ได• มคนเดา Password ได• สงผดกลม

31https://www.thaicert.or.th/downloads/files/Security_Tips_For_Using_Line.jpg

32

ทำงออกส ำหรบกำร Consult Case ผปวย

• ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม• หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ

ขอมลทระบตวตนผปวยได (รวมทงในภาพ image)• ใช app ทปลอดภยกวา• Limit คนทเขาถง

(เชน ไมคยผาน Line group)• ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,

เชค malware ฯลฯ)

33

เรองเลาจากรามาธบด #6:

PR Nightmareเหตการณไมจรง ทสรางความ

เสยหาย กลายเปน viral(“เชคกอนแชร”)

34

เรองเลาจากรามาธบด #6: PR Nightmare & Response

http://new.khaosod.co.th.khaosod.online/dek3/win.html (อนตราย! ไมควรเขาเวบน)

ขาวนไมเปนความจรง

35

เรองเลาจากรามาธบด #6: PR Nightmare & Response

36

เรองเลาจากรามาธบด #7: Passwords

Keylogger Attack: เรองเลาจากกจกรรมชมรมสมยเปนนกศกษาแพทย

37

แนวปฏบตดาน Security ของระบบ

38

User Account SecuritySo, two informaticians

walk into a bar...

The bouncer says,

"What's the password."

One says, "Password?"

The bouncer lets them

in.

Credits: @RossMartin & AMIA (2012)

39

What’s the Password?

Unknown Internet sources, via

http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737,

via Facebook page “สอนแฮกเวบแบบแมวๆ”

40

Written Password

41

User Account Security

https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png

42

ความยาว 8 ตวอกษรขนไป

ความซบซอน: 3 ใน 4 กลมตวอกษร Uppercase letters

Lowercase letters

Numbers

Symbols

ไมมความหมาย (ปองกน “Dictionary Attacks”)

ไมใช simple patterns (12345678, 11111111)

ไมเกยวกบขอมลสวนตวทคนสนทอาจร (เชน วนเกด ชอคนในครอบครว ชอสตวเลยง)

Passwords

43

เรองเลาจากรามาธบด #8: Password ทองงาย (แตก Hack งาย)

Dictionary Attack: เรองเลาจากการเรยน

การ Hack ระบบ ท USA

44

Clear Desk, Clear Screen Policy

http://pixabay.com/en/post-it-sticky-note-note-corner-148282/

45

แลวจะจ า Password ไดยงไง?คดประโยคภาษาองกฤษสก 1 ประโยคประโยคนควรมค า 8 ค าขนไป และควรมตวเลข

หรอสญลกษณพเศษดวย ใชตวอกษรตวแรกของแตละค า เปน Password

46

ตวอยางการตง Password

http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/

47

ตวอยางการตง Passwordประโยค:

I love reading all 7 Harry Potter books!

Password:Ilra7HPb!

48

Password Sharing

อยาแชร Passwordกบคนอน

49

Password Expiration

เปลยน Password ทกๆ 6 เดอน

50

เรองเลาจากรามาธบด #9: Wi-Fi

Wi-Fi Router เถอน: พวกชอบสรางปญหาให

admin และอาจเปนจอมขโมย Password

51

Logout After Use

อยาลม Logout หลงใชงานเสมอ โดยเฉพาะเครองสาธารณะ

(หากไมอยทหนาจอ แมเพยงชวคร ให Lock Screen เสมอ)

52

Mobile Security

https://www.thaicert.or.th/downloads/files/BROCHURE_mobile_malware.png

53

Mobile Securityตง PIN ส าหรบ Lock Screen เอาไว ไมเกบขอมลส าคญเอาไว ระวงไมใหสญหาย หากสญหายรบแจงระงบ

54

E-mail Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

55

E-mail Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

56

เรองเลาจากรามาธบด #10: E-mail หลอกลวง

Phishing

57

Phishing E-mail

58

Phishing E-mail

59

Phishing E-mail

60

E-mail & Online Security (Phishing)

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

61

E-mail & Online Security (Phishing)

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

62

Secure Log-in ส าหรบเวบทส าคญMicrosoft Internet Explorer

63

Secure Log-in ส าหรบเวบทส าคญMozilla Firefox

Google Chrome

64

ลกษณะส าคญทควรสงสย PhishingGrammar หวยแตกตวสะกดผดเยอะพยายามอยางยงใหเปดไฟลแนบ หรอกด link

หรอตอบเมล แตไมคอยใหรายละเอยดE-mail ทมาจากคนรจก ไมไดปลอดภยเสมอไป

65

Phishing E-mail

https://www.thaicert.or.th/downloads/files/Phishing_Awareness_2.jpg

66

เรองเลาจากรามาธบด #11: ถก E-mail หลอก

Phishing Attack: เรองเลาจากชวต

ประธานนกเรยนไทยใน Minnesota

67

Facebook Malware

https://www.thaicert.or.th/downloads/files/Facebook_Malware_Awareness.jpg

68

Facebook Malware

https://www.thaicert.or.th/downloads/files/Facebook_Malware_Awareness.jpg

69

เรองเลาจากรามาธบด #12: เรยกคาไถ

Ransomware

70

ประกาศเตอนภย Ransomware ในรามาธบด

ขอบคณภาพ Screen Saver จากฝายสารสนเทศ คณะแพทยศาสตรโรงพยาบาลรามาธบด

71

Ransomware ระบาดใน Healthcare

http://www.healthcareitnews.com/news/more-half-hospitals-hit-ransomware-last-12-months

72

Ransomware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Ransomware.jpg

73

เครอขายดาน IT ในองคกร

Ramathibodi Computer Emergency Readiness Team

(RamaCERT)

Rama IT Enthusiasts(Open to all Ramathibodi Personnel)

74https://www.thaicert.or.th/downloads/files/Tips_to_Secure_Personal_Computer.jpg

PC Security, Virus & Malware

75

เรองเลาจากรามาธบด #13: แชรไฟล

File Sharing: เรองเลาจากชวต

นกศกษาแพทยรามาธบด(ทอยากรอยากเหน)

76

เรองเลาจากรามาธบด #14: Virus & Patch Updates

Virus/Malware Attack & Windows Update: เรองเลาจากบทบาท

Chief IT Admin รามาธบด(ทตองดแลระบบลม)

77

เรองเลาจากรามาธบด #15: Apple

False Sense of Securityเรองเลาจาก Apple Fanboy

78

เรองเลาจากรามาธบด #16:

Back-up Your Data: เรองเลาจากคนงานเยอะ

79

World Backup Day:March 31 ของทกป

80

รามาธบด กบ Security/Privacy

81

http://intranet.mahidol/op/orla/law/index.php/announcement/146-2556/770-social-network

นโยบำยดำน Social Media ของมหำวทยำลยมหดล

82

• ขอความบน Social Network สามารถเขาถงไดโดยสาธารณะ ผเผยแพรตองรบผดชอบ ทงทางสงคมและกฎหมาย และอาจสงผลกระทบตอชอเสยง การท างาน และวชาชพของตน

MU Social Media Policy

83

• บคลากรทางการแพทยหรอผใหบรการสขภาพ– ระวงการใช Social Network ในการปฏสมพนธกบผปวย

– ปฏบตตามจรยธรรมของวชาชพ

– ระวงเรองความเปนสวนตว (Privacy) และความลบของขอมลผปวย

– การเผยแพรขอมล/ภาพผปวย เพอการศกษา ตองขออนญาตผปวยกอนเสมอ และลบขอมลทเปน identifiers ทงหมด (เชน ชอ, HN, ภาพใบหนา หรอ ID อนๆ) ยกเวนผปวยอนญาต (รวมถงกรณการโพสตใน closed groups ดวย)

• ตงคา Privacy Settings ใหเหมาะสม

MU Social Media Policy

84

• ประกาศคณะฯ เรอง นโยบายความปลอดภยสารสนเทศ คณะแพทยศาสตรโรงพยาบาลรามาธบด พ.ศ. 2551

• ประกาศคณะฯ เรอง หลกเกณฑการปฏบตของผไดรบอนญาตใหเขาถงขอมลทางอเลกทรอนกส พ.ศ. 2554

• ประกาศคณะฯ เรอง การขอคดถายส าเนาเวชระเบยนผปวย พ.ศ. 2556

• ประกาศคณะฯ เรอง ขอก าหนดการใชสอสงคมออนไลน ของคณะฯ พ.ศ. 2556

• ประกาศคณะฯ เรอง แนวทางปฏบต การขอบนทกภาพและเสยงในโรงพยาบาลสงกดของคณะฯ พ.ศ. 2557

ระเบยบตำงๆ ของคณะฯ ดำน Information Security

85

Social Media Case Studies

86

Social Media Case Study #1: พฤตกรรมไมเหมำะสม

Disclaimer (นพ.นวนรรน):น าเสนอเปนกรณศกษาเพอการเรยนร

เรอง Social Media เทานน ไมมเจตนาลบหล ดหมน หรอท าใหผใดองคกรใด หรอวชาชพใดเสยหาย

โปรดใชวจารณญาณในการอานเนอหา

87

Disclaimer (นพ.นวนรรน):น าเสนอเปนกรณศกษาเพอการเรยนร

เรอง Social Media เทานน ไมมเจตนาลบหล ดหมน หรอท าใหผใดองคกรใด หรอวชาชพใดเสยหาย

โปรดใชวจารณญาณในการอานเนอหา

Social Media Case Study #1: พฤตกรรมไมเหมำะสม

88http://news.mthai.com/hot-news/world-news/453842.html

Social Media Case Study #2: Selfie มประเดน

89

http://pantip.com/topic/33678081

https://www.facebook.com/photo.php?fbid=971229119583658&set=a.37957656541558

6.90794.100000897364762&type=1&theater

Social Media Case Study #3: Selfie มประเดน

90http://www.matichon.co.th/news_detail.php?newsid=1429341430

Social Media Case Study #4: ดหมนผปวย

91

Social Media Case Study #5: ละเมดผรบบรกำร

Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media

เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย และไมมเจตนาสรางประเดนทาง

การเมองชอ สญลกษณ หรอเครองหมายของบคคล

หรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง

โปรดใชวจารณญาณในการอานเนอหา

92

http://manager.co.th/Entertainment/Vie

wNews.aspx?NewsID=9580000076405

Social Media Case Study #6: ละเมดผรบบรกำร

93

Social Media Case Study #7: ไมแยก Account

94

Facebook Profile vs. Page vs. Group• ใช Profile ส าหรบ user แตละคน (แยกคนกน)• ใช Page ส าหรบการ PR องคกร/หนวยงาน/ทม/

กลม (สามารถตง user คนละคน เปน admin ได โดยแยก account กน)

• ใช Group ส าหรบการสอสารกนภายในกลม (ตงระดบ privacy ทเหมาะสมได)

95

Social Media Case Study #8: ไมตรวจสอบขอมล

Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media

เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย

ชอ สญลกษณ หรอเครองหมายของบคคลหรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง

โปรดใชวจารณญาณในการอานเนอหา

96

Social Media Case Study #9: ไมตรวจสอบขอมล

Source: Facebook Page โหดสส V2 อางองภาพจากหนา 7 นสพ.ไทยรฐ วนท 6 พ.ค. 2557 และ http://www.reuters.com/article/2013/10/16/us-philippines-quake-idUSBRE99E01R20131016

97

Social Media Case Study #10: ไมตรวจสอบขอมล

98

Social Media Best Practices

https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg

99

Social Media Best Practices

https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg

100

Social Media Best Practices

รางโดย นพ.นวนรรน ธระอมพรพนธ

http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

101

• หลกการเคารพกฎหมาย

• หลกการเคารพในจรยธรรมแหงวชาชพ

• หลกการเคารพในกฎระเบยบและนโยบายขององคกร

• หลกการเคารพศกดศรความเปนมนษยและการหลกเลยงการท าใหผอนเสยหาย

• หลกการรายงานพฤตกรรมทไมเหมาะสม

• หลกเสรภาพทางวชาการ

Social Media Guidelines: หลกทวไป

102

• หลกการปองกนอนตรายตอผอน (Protection from Harms)

• หลกการมงประโยชนของผปวยเปนส าคญ (Beneficence)

Social Media Guidelines: หลกจรยธรรมทวไปของผประกอบวชาชพดานสขภาพ

103

• หลกการรกษา Professionalism ตลอดเวลา

• หลก “คดกอนโพสต”

• หลกการมพฤตกรรมออนไลนอยางเหมาะสม

• หลกการตงคา Privacy อยางเหมาะสมและแยกเรองสวนตวกบวชาชพ

• หลกการตรวจสอบเนอหาออนไลนของตนอยเสมอ

Social Media Guidelines: ความเปนวชาชพ (Professionalism)

104

• หลกการก าหนดขอบเขตความเปนวชาชพกบผปวย (Professional Boundaries with Patients)

• หลกการก าหนดขอบเขตความเปนวชาชพกบผอน

Social Media Guidelines: ความเปนวชาชพ (Professionalism)

105

• หลกการรกษา Security และ Privacy ของขอมลผปวย

• หลก Informed Consent (ส าหรบการเกบรวบรวม ใช และเปดเผยขอมลสวนบคคลของผปวย)

Social Media Guidelines: การคมครอง Patient Privacy

106

• หลกการไมโฆษณา

• หลกการเปดเผยขอมลอยางครบถวน (Full Disclosure)

• หลกการระบวชาชพและความรความช านาญของตน (Self-Identification)

• หลกการหลกเลยงการส าคญผดวาเปนผแทนองคกร (Avoiding Misrepresentation)

• หลก “เชคกอนแชร”

Social Media Guidelines: Integrity(การยดมนในความถกตองชอบธรรมและจรยธรรม)

107

• หลกการปฏบตดวยความระมดระวงในการใหค าปรกษาออนไลน

• หลกการบนทกการสอสารทเกยวของกบการปฏบตหนาทในวชาชพ

Social Media Guidelines: การใหค าปรกษาออนไลน (Online Consultation)

108

www.facebook.com/InformaticsRound

ตดตามอปเดตความรดาน Health IT

109

Summary of Talk: เรยนรจากเรองเลา

• ท าไมเราตองแครเรอง Security & Privacy?

• Security/Privacy กบขอมลผปวย

• แนวปฏบตดาน Security ของระบบ

• แนวปฏบตดาน Privacy ของขอมล

• แนวปฏบตดานการใช Social Media ทเหมาะสม

110

Security & Privacy of Patient Informationเรองเลาจากรามาธบด

นพ.นวนรรน ธระอมพรพนธ

20 เมษายน 2560

http://www.slideshare.net/nawanan