ATM in Healthcare: Legal & Ethical Issues in Health ......4 •Safe •Timely •Effective...

ATM in Healthcare: Legal & Ethical Issues in Health Information Exchangeการประชมวชาการของโรงเรยนพยาบาลรามาธบด เรอง Legal & Ethical Issues in Nursing:

Update Situations in Digital Era?

www.SlideShare.net/Nawanan

นพ.นวนรรน ธระอมพรพนธ

18 กรกฎาคม 2561

2

What Is Health IT & Health Information Exchange (HIE)

3

Health

Information

Technology

Goal

Value-Add

Tools

Health IT: What’s in a Word?

4

• Safe

• Timely

• Effective

• Patient-Centered

• Efficient

• Equitable

Institute of Medicine, Committee on Quality of Health Care in America. Crossing the quality

chasm: a new health system for the 21st century. Washington, DC: National Academy

Press; 2001. 337 p.

High Quality Care

5

TEDxMahidolU Talk by Nawanan: “ATM in Healthcare”

6

Connecting People to a Healthy Future With Personalized Care – Kaiser Permanente

https://www.youtube.com/watch?v=gxz9ZVvduGc

7

ความฝนอนสงสด...

My Life-Long Dream...

8

Hospital A Hospital B

Clinic D

Policymakers

Patient

at Home

Hospital C

HIE Broker

Health Information Exchange (HIE)

9

Health Information Exchange

The National Alliance for Health Information Technology(Report to ONC in 2008)

• HIE: “The electronic movement of health-related information among organizations according to nationally recognized standards”

Hersh (2009)

• HIE: “The exchange of health information for patient care across traditional business boundaries in health care”

Emphasis in the definitions added by the presenter.

10

Electronic Health Records (EHRs) &

Electronic Medical Records (EMRs)

Hersh (2009)

• EMRs: “Computerized health records of an individual”

• EHRs: “Longitudinal collection of computerized health information about a patient”

Emphasis in the definitions added by the presenter.

11

Electronic Health Records (EHRs) &

Electronic Medical Records (EMRs)

The National Alliance for Health Information Technology (Report to ONC in 2008)

• EMR: “An electronic record of health-related information on an individual that can be created, gathered, managed, and consulted by authorized clinicians and staff within one health care organization”

Emphasis in the definitions added by the presenter.

12

Electronic Health Records (EHRs) &

Electronic Medical Records (EMRs)

The National Alliance for Health Information Technology (Report to ONC in 2008)• EHR: “An electronic record of health-related

information on an individual that conforms to nationally recognized interoperability standards and that can be created, gathered, managed, and consulted by authorized clinicians and staff across more than one health care organization”

Emphasis in the definitions added by the presenter.

13

Personal Health Records (PHRs)

The National Alliance for Health Information Technology (Report to ONC in 2008)

• PHR: “An electronic record of health-related information on an individual that conforms to nationally recognized interoperability standards and that can be drawn from multiple sources while being managed, shared, and controlled by the individual”

Emphasis in the definitions added by the presenter.

14

Personal Health Records (PHRs)

Hersh (2009)• PHR: “Patient-controlled aspect of the health record, which

may or may not be tethered to one or more EHRs from health care delivery organizations”

Markle Foundation’s Connecting for Health (2003)• PHR: “An electronic application through which individuals

can access, manage and share their health information, and that of others for whom they are authorized, in a private, secure, and confidential environment”

Emphasis in the definitions added by the presenter.

15

Personal Health Records (PHRs)

Tang et al. (2006)

• PHR: “A PHR includes health information managed by the individual”

• “...Contrasted with the clinician’s record of patient encounter-related information (a paperchart or EHR...), which is managed by the clinician and/or health care institution”

Emphasis in the definitions added by the presenter.

16

Personal Health Records (PHRs)

Kaelber et al. (2008)

17

ความหมายของค าตางๆ (โดย นพ.นวนรรน)

Electronic Health Records (EHRs) (ระเบยนสขภาพอเลกทรอนกส)Electronic Medical Records (EMRs) (เวชระเบยนอเลกทรอนกส)

เวชระเบยนทมขอมลประวตสขภาพของผปวยในรปแบบอเลกทรอนกส ทสถานพยาบาลเกบบนทกและใชในการดแลผปวย

Personal Health Records (PHRs) (ระเบยนสขภาพสวนบคคล) ขอมลสขภาพของผปวยในรปแบบอเลกทรอนกส ทผปวยเขาถงได และผปวย

สามารถควบคมดแล จดการ และแลกเปลยนขอมลกบผอนได ไมวาจะมแหลงทมาจากขอมลในระบบสารสนเทศ (EHRs) ของสถานพยาบาล

โดยตรง ขอมลจากการบนทกของผปวยเอง หรอจากแหลงอนกตาม ทงน รวมถงกรณทผแทนโดยชอบธรรมเปนผใชงานแทนผปวยดวย

เสนอความหมายโดย นพ.นวนรรน ธระอมพรพนธ เพอประโยชนในการขบเคลอนงานดาน eHealth ของกระทรวงสาธารณสขในระยะแรกเทานน

18

ขอเสนอความหมายของค าตางๆ ส าหรบการขบเคลอนงานดาน eHealth ในขณะน

Health Information Exchange (HIE) (การแลกเปลยนขอมลสขภาพระหวางหนวยงาน)

การแลกเปลยนขอมลสขภาพของผปวยระหวางหนวยงานในระบบสขภาพ เพอการดแลผปวยและการจดการระบบสขภาพ

เสนอความหมายโดย นพ.นวนรรน ธระอมพรพนธ เพอประโยชนในการขบเคลอนงานดาน eHealth ของกระทรวงสาธารณสขในระยะแรกเทานน

19WHO & ITU

Achieving Digital Health/Smart Health

20

Ethical Issues in HIE

21

Relevant Ethical Principles

Autonomy (หลกเอกสทธ/ความเปนอสระของผปวย)

Beneficence (หลกการรกษาประโยชนสงสดของผปวย)

Non-maleficence (หลกการไมท าอนตรายตอผปวย)“First, Do No Harm.”

Justice (หลกการกระจายทรพยากรอยางเปนธรรม)

22

“Harms” in Health Information Exchange

• Patient Confidentiality & Privacy

• Inaccurate/Not-Up-To-Date/Incomplete Information

• “Too Much Information”

• Information Available but Not Accessed or Used

23

Security & Privacy

http://en.wikipedia.org/wiki/A._S._Bradford_House

24

• ความเปนสวนตว (Privacy) คอ ความสามารถของบคคลในการคมครองและปกปดตนเองและขอมลเกยวกบตนเอง และเลอกทจะเปดเผยเทาทตนประสงคจะเปดเผย

• ความปลอดภยสารสนเทศ (Information Security) คอ การคมครองขอมลสารสนเทศ (information) และระบบสารสนเทศ (information systems) ดวยมาตรการตางๆ เพอปองกนการรวไหล การสญหาย เปลยนแปลง หรอความเสยหายอนๆ

Privacy & Security ของขอมลผปวย

25

User Security & Privacy

So, two informaticians walk into a bar...

The bouncer says, "What's the password."

One says, "Password?"

The bouncer lets them in. Credits: @RossMartin & AMIA (2012)

26

User Security

27

Legal Issues in HIE & Health Information

28

Hippocratic Oath

“...What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about...”

29

ประมวลกฎหมายอาญา

มาตรา 323 ผใดลวงรหรอไดมาซงความลบของผอนโดยเหตทเปนเจาพนกงานผมหนาท โดยเหตทประกอบอาชพเปนแพทย เภสชกร คนจ าหนายยา นางผดงครรภ ผพยาบาล...หรอโดยเหตทเปนผชวยในการประกอบอาชพนน แลวเปดเผยความลบนนในประการทนาจะเกดความเสยหายแกผหนงผใด ตองระวางโทษจ าคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบาท หรอทงจ าทงปรบ

ผรบการศกษาอบรมในอาชพดงกลาวในวรรคแรก เปดเผยความลบของผอน อนตนไดลวงรหรอไดมาในการศกษาอบรมนน ในประการทนาจะเกดความเสยหายแกผหนงผใดตองระวางโทษเชนเดยวกน

30

ขอบงคบแพทยสภา วาดวยการรกษาจรยธรรมแหงวชาชพเวชกรรม พ.ศ. 2549

วชาชพอนๆ ดานสขภาพ และคณะกรรมการประกอบโรคศลปะ มขอบงคบในท านองเดยวกน

31

ค าประกาศสทธและขอพงปฏบตของผปวย

7. ผปวยมสทธไดรบการปกปดขอมลของตนเอง เวนแตผปวยจะใหความยนยอมหรอเปนการปฏบตตามหนาทของผประกอบวชาชพดานสขภาพเพอประโยชนโดยตรงของผปวยหรอตามกฎหมาย

32

พรบ.ขอมลขาวสารของราชการ พ.ศ. 2540

“เปดเผยเปนหลก ปกปดเปนขอยกเวน”

มาตรา 15 ขอมลขาวสารของราชการทมลกษณะอยางหนงอยางใดดงตอไปน หนวยงานของรฐหรอเจาหนาทของรฐอาจมค าสงมใหเปดเผยกได โดยค านงถงการปฏบตหนาทตามกฎหมาย...ประกอบกน...

(5) รายงานการแพทยหรอขอมลขาวสารสวนบคคลซงการเปดเผยจะเปนการรกล าสทธสวนบคคลโดยไมสมควร

(6) ขอมลขาวสารของราชการทมกฎหมายคมครองมใหเปดเผย...

33

พรบ.ธรกรรมทางอเลกทรอนกส พ.ศ. 2544 และทแกไขเพมเตม

34

พรบ.สขภาพแหงชาต พ.ศ. 2550

มาตรา 7 ขอมลดานสขภาพของบคคล เปนความลบสวนบคคล ผใดจะน าไปเปดเผยในประการทนาจะท าใหบคคลนนเสยหายไมได เวนแตการเปดเผยนนเปนไปตามความประสงคของบคคลนนโดยตรง หรอมกฎหมายเฉพาะบญญตใหตองเปดเผย แตไมวาในกรณใด ๆ ผใดจะอาศยอ านาจหรอสทธตามกฎหมายวาดวยขอมลขาวสารของราชการหรอกฎหมายอนเพอขอเอกสารเกยวกบขอมลดานสขภาพของบคคลทไมใชของตนไมได

35

ประกาศคณะกรรมการสขภาพแหงชาต เรอง แนวทางปฏบตในการใชงานสอสงคมออนไลนของผปฏบตงานดานสขภาพ พ.ศ. 2559

http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

36http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

ประกาศคณะกรรมการสขภาพแหงชาต เรอง แนวทางปฏบตในการใชงานสอสงคมออนไลนของผปฏบตงานดานสขภาพ พ.ศ. 2559

37http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

ประกาศคณะกรรมการสขภาพแหงชาต เรอง แนวทางปฏบตในการใชงานสอสงคมออนไลนของผปฏบตงานดานสขภาพ พ.ศ. 2559

38

กฎหมายเฉพาะทเกยวกบขอมลสขภาพ

• พรบ.สถานพยาบาล พ.ศ. 2541 และทแกไขเพมเตม

39

กฎหมายเฉพาะทเกยวกบขอมลสขภาพ

• พรบ.โรคตดตอ พ.ศ. 2558

40

กฎหมายเฉพาะทเกยวกบขอมลสขภาพ

• พรบ.สขภาพจต พ.ศ. 2551

41

กฎหมายเฉพาะทเกยวกบขอมลสขภาพ

• พรบ.สขภาพจต พ.ศ. 2551

42

กฎหมายเฉพาะทเกยวกบขอมลสขภาพ

• พรบ.หลกประกนสขภาพแหงชาต พ.ศ. 2545

43

กฎหมายเฉพาะทเกยวกบขอมลสขภาพ

• พรบ.หลกประกนสขภาพแหงชาต พ.ศ. 2545

44

กฎหมายเฉพาะทเกยวกบขอมลสขภาพ• พรบ.ประกนสงคม พ.ศ. 2533

45

กฎหมายเฉพาะทเกยวกบขอมลสขภาพ

• พรฎ.เงนสวสดการเกยวกบการรกษาพยาบาล พ.ศ. 2553

46

กฎหมายอนทเกยวกบขอมลสขภาพ

• พรก.การบรหารราชการในสถานการณฉกเฉน พ.ศ. 2548

47

กฎหมายอนทเกยวกบขอมลสขภาพ

• พรบ.การรกษาความมนคงภายในราชอาณาจกร พ.ศ. 2551

• ไมปรากฏวามบทบญญตใหอ านาจในการเรยกบคคลมารายงานตวหรอมาใหถอยค าหรอสงมอบเอกสารหรอหลกฐานใด หรอสงใหเปดเผยขอมล ทชดเจน

48

ปญหาของกฎหมายทเกยวกบ Health Information ในปจจบน

49

ตวอยาง Scenario ทอาจมปญหา

Disaster & Public

Health

Emergencies

https://en.wikipedia.org/wiki/Hurricane_Katrina

50

ตวอยาง Scenario ทอาจมปญหา

https://en.wikipedia.org/wiki/Hurricane_Katrina

Data Report to Central

Offices

• MOPH ICT

• Service Plans

• Disease Surveillance

• Disease Registries

51

ตวอยาง Scenario ทอาจมปญหา

Claims, Reimbursements & Auditing

52

ตวอยาง Scenario ทอาจมปญหา

Training & Competency Assurance

• การตรวจสอบของสภาวชาชพเพอควบคมคณภาพและมาตรฐานของการฝกอบรม

• การเรยนการสอน เชน นกศกษาแพทย

53

ตวอยาง Scenario ทอาจมปญหา

Organizational Management

• การจดการความเสยง และการพฒนาคณภาพภายในสถานพยาบาล

• การวางแผนธรกจและการบรหารจดการทวไปขององคกร

• การเปดเผยใหกบ Outsource หรอ Business Associates

54

ตวอยาง Scenario ทอาจมปญหา

Research

• การขอขอมลทระบตวตนไดโดยหนวยงานสวนกลาง เชน สปสช., กรมสขภาพจต เพอการศกษาวจยหรอวเคราะหวางแผน ทไมมบทบญญตใหอ านาจในการขอขอมลไวอยางชดเจน

• การวจยจากขอมลทระบตวตนได แตไม feasible ทจะขอความยนยอมจากผปวยโดยตรง (เชน Big Data หรอเปน Retrospective Study)

• Tissue Biobank และขอมลทเปนประโยชนตอการวจยแตไมไดขอความยนยอมไวกอน

• การจดท า Disease Registry

55

ตวอยาง Scenario ทอาจมปญหา

56

ตวอยาง Scenario ทอาจมปญหา

57

ตวอยาง Scenario ทอาจมปญหา

58

ตวอยาง Scenario ทอาจมปญหา

Public Administration

• กรณสถานการณทางการเมอง มผบาดเจบมารกษาทสถานพยาบาล (รฐ/เอกชน) และพนกงานเจาหนาทขอรายชอผบาดเจบเพอด าเนนการสบสวนสอบสวน/จบกมหรอบรหารจดการสถานการณ

59

ปญหาของกฎหมาย Health Information Privacy ในปจจบน

• เปน sectoral privacy law จงอาจมมาตรฐานแตกตางจาก sector อน

• สถานพยาบาลของรฐ ถกก ากบโดย พรบ.ขอมลขาวสารของราชการ ดวย แตไมรวมสถานพยาบาลของเอกชน ท าใหมมาตรฐานแตกตางกน รวมทงสถานพยาบาลของรฐเกดความสบสนเกยวกบกฎหมายหลายฉบบ ทมหลกการและบทบญญตแตกตางกน

• ไมมบทบญญตบงคบใหสถานพยาบาลมการจดการเชงระบบเพอคมครอง Privacy อยางชดเจน (ยกเวนตาม พรบ.ขอมลขาวสารของราชการ ซงไมจ าเพาะตอ Healthcare)

60

ปญหาของกฎหมาย Health Information Privacy ในปจจบน

• กฎหมายเกยวกบกองทนและระบบประกนสขภาพ เขยนอ านาจหนาทในการตองเปดเผยขอมลสขภาพของผปวยไมชดเจน

• ในสถานการณจรงบางกรณไมมบทบญญตทางกฎหมายรองรบ

• การขดกนของกฎหมายบางฉบบในบางสถานการณ (เชน สถานการณฉกเฉนทมกฎหมายใหอ านาจรฐไวคอนขางกวางขวาง) ไมชดเจน

61

ปญหาของกฎหมาย Health Information Privacy ในปจจบน

• ปญหาของ พรบ.สขภาพแหงชาต มาตรา 7• ไมมนยามของ “ขอมลดานสขภาพของบคคล” (เชน Genetics information,

ขอมล Dietary Requirements)• ไมชดเจนวา “ผใด” ในกรณหนวยงาน/สถานพยาบาล (โดยเฉพาะทอยในสงกด

กรม/นตบคคลเดยวกน เชน รพ. ในสงกดกรมการแพทย) จะตความอยางไร• “ในประการทนาจะท าใหบคคลนนเสยหาย” เปน Subjective Value

Judgment และขดกบแนวคด Privacy ทวไปทมงคมครอง Privacy ของขอมลสขภาพ โดยไมสนใจความเสยหาย

• การอางถงกฎหมายวาดวยขอมลขาวสารของราชการ สรางความสบสน• เงอนไขขอยกเวนไมครอบคลม (ตางจาก HIPAA ทระบไวชดมาก)• ไมใหอ านาจในการออกขอยกเวน• ไมสอดคลองกบบรบทของ Healthcare เชน กรณฉกเฉน หรอเพอประโยชนใน

การรกษาผปวย

62

ปญหาของกฎหมาย Health Information Privacy ในปจจบน

• ปญหาของ พรบ.สขภาพแหงชาต มาตรา 7– ไมรวมขอมลของผเสยชวต

– การใหความยนยอมแทนโดยญาต ไมชดเจน และมปญหาในทางปฏบต

– ไมใหอ านาจในการออกหลกเกณฑ วธการ และเงอนไขในทางปฏบต (เชน การขอความยนยอมของผปวย)

– มงเนนเรองการเปดเผยขอมล แตไมรวมเรองการเกบรวบรวมและการใชขอมล

– ไมไดก าหนดหลกการของ Sensitive Information

– มงเนนเพยงดาน Privacy แตไมไดก าหนดหลกเกณฑ วธการ และเงอนไขดาน Security

– ไมได Balance กบความเสยงอกดาน คอ ใหขอมลผปวยไมครบ เกดความเสยงในการวนจฉยรกษาโรค

– ขาดเรอง Breach Notification

63

Breach Notification ส าคญไฉน?

64

ราง พรบ.คมครองขอมลสวนบคคล พ.ศ. ....

65

Timeline ของการรางกฎหมายโดยสงเขป

• 6 ม.ค. 2558 ครม. อนมตหลกการรางกฎหมายเพอรองรบการพฒนาเศรษฐกจดจทลของประเทศ จ านวน 8 ฉบบ

• ก.ค. 2558 ส านกงานคณะกรรมการกฤษฎกาตรวจพจารณารางเสรจแลว (เรองเสรจท 1135/2558)

• 16 พ.ย. 2559 กระทรวง DE รบฟงความคดเหนเปนการทวไป

• 15-17 ส.ค. 2560 กระทรวง DE รบฟงความคดเหนโดยการจดประชม Focus Group

• 24-30 ม.ค. 2561 กระทรวง DE รบฟงความคดเหนจากตวแทนผมสวนไดเสย

• 22 ม.ค. - 6 ก.พ. 2561 กระทรวง DE รบฟงความคดเหนผานเวบไซตและ e-mail

• 22 พ.ค. 2561 ครม. อนมตหลกการราง พรบ.คมครองขอมลสวนบคคล พ.ศ. ....

66

Draft Versions ของราง พรบ.คมครองขอมลสวนบคคล

• ฉบบ ครม.อนมตหลกการ เมอวนท 22 พ.ค. 2561http://www.etcommission.go.th/files/news/Draft_DP_Law_220561.pdf

67

ขอดของราง พรบ.คมครองขอมลสวนบคคล ฉบบ ครม. อนมตหลกการ เมอวนท 22 พ.ค. 2561

• เปน General Privacy Law จงแกปญหาเรองชองวางในการบงคบใช และมาตรฐานทแตกตางกนของ Sectoral Privacy Law ได

• ครอบคลมทงการเกบรวบรวม การใช และการเปดเผยขอมลสวนบคคล

• กรรมการผทรงคณวฒในคณะกรรมการคมครองขอมลสวนบคคล มการระบความเชยวชาญดานสขภาพ (มาตรา 8)

• ขอมลสขภาพ ถอเปน Sensitive Data (มาตรา 23)

• มบทบญญตทไมขดกบกฎหมายเฉพาะ เชน พรบ.สขภาพแหงชาต (มาตรา 3)

• Cover ทงเรอง Privacy และ Security

• มเรองการจดการเชงระบบขององคกร

• มเรอง Breach Notification

68

Situational Awareness: GDPR

69

โรงพยาบาลและบคลากรทางการแพทยควรเตรยมตวอยางไรตอราง พรบ. DP?

70

How to Prepare

71

How to Prepare

72

• อาน & ตดตามขาว ราง พรบ. DP• Assess Impact ตอองคกร, มองหา Scenarios ทอาจมปญหา• Voice & ถามประเดนผานชองทางตางๆ• สรางการรบรในหมผบรหาร + ตงคณะท างานวเคราะหและ

เตรยมการภายในองคกร• ศกษา + เตรยมปรบ Informed Consent และระบบสารสนเทศ

เพอรองรบ• Security Awareness Training• Cyber Drills & Exercises

How to Prepare

73

กฎหมายนมผลกระทบอยางมาก เตรยมการดๆ

อยาชะลาใจ!!!!

How to Prepare

74

Ramathibodi Computer Emergency Readiness Team

(Rama CERT)

Rama IT Enthusiasts(Open to all Ramathibodi Personnel)

Community & Awareness Building

75

Security Awareness Training

76

Health Sector Security Awareness

77

Situational Awareness: ระเบยบ สธ.

78

References

• Connecting for Health. The personal health working group final report [Internet]. New York: The Markle Foundation; 2003 Jul 1 [cited 2016 Mar 6]. 58 p. Available from: http://www.markle.org/sites/default/files/final_phwg_report1.pdf

• Hersh W. A stimulus to define informatics and health information technology. BMC Med Inform Decis Mak. 2009 May 15;9:24.

• Kaelber DC, Jha AK, Johnston D, Middleton B, Bates DW. A research agenda for personal health records (PHRs). J Am Med Inform Assoc. 2008 Nov-Dec;15(6):729-36.

• Tang PC, Ash JS, Bates DW, Overhage JM, Sands DZ. Personal health records: definitions, benefits, and strategies for overcoming barriers to adoption. J Am Med Inform Assoc. 2006 Mar-Apr;13(2):121-6.

• The National Alliance for Health Information Technology report to the Office of the National Coordinator for Health Information Technology on defining key health information technology terms [Internet]. Bethesda (MD): The National Alliance for Health Information Technology; 2008 Apr 28 [cited 2016 Mar 6]. 40 p. Available from: https://www.nachc.com/client/Key%20HIT%20Terms%20Definitions%20Final_April_2008.pdf

79

Q&A

SlideShare.net/Nawanan