1

Personal Healthcare and Patient Privacy

นพ.นวนรรน ธระอมพรพนธ

25 พ.ย. 2559

http://www.slideshare.net/nawanan

2

2546 แพทยศาสตรบณฑต2554 Ph.D. (Health Informatics), Univ. of Minnesota

อาจารย ภาควชาเวชศาสตรชมชนคณะแพทยศาสตรโรงพยาบาลรามาธบด

ความสนใจ: Health IT, Social Media, Security & Privacy

nawanan.the@mahidol.ac.th

SlideShare.net/Nawanan

Nawanan Theera-Ampornpunt

แนะน ำตว

www.facebook.com/InformaticsRound

3

Outline

• Personal Healthcare

• กฎหมายและ Case Studies Security/Privacy กบขอมลผปวย

4

Personal Healthcare

5

• Richard Davies deBronkart Jr.

• Cancer survivor & blogger

• Found proper cancer treatment through online social network after diagnosis

• Activist for participatory medicine & patient engagement through information technology

Meet E-Patient Dave

http://www.epatientdave.com/

6

• Not “Electronic” Patient

• Engaged

• Equipped

• Empowered

• Educated

• Enlightened

• Etc.

Dave’s E-Patient Definition

From Dr. Danny Sands’ tutorial presentation at AMIA2013

7

Personal Health Records (PHRs)

• “An electronic application through which individuals can access, manage and share their health information, and that of others for whom they are authorized, in a private, secure, and confidential environment.” (Markle Foundation, 2003)

• “A PHR includes health information managed by the individual... This can be contrasted with the clinician’s record of patient encounter–related information [a paperchart or EHR], which is managed by the clinician and/or health care institution.” (Tang et al., 2006)

8

Types of PHRs

• Patient portal from a provider’s EHRs (“tethered” PHRs)

• Online PHRs– Stand-alone

– Can be integrated with EHRs from multiple providers (unidirectional/bidirectional data sharing)

• Stand-alone PHRs– PC-based applications

– USB Drive

– CD-ROM or other data storage devices

– Paper

9

Ideal PHRs

The “Hub and Spoke” Model

(Kaelber et al., 2008)

10

PHR’s “Break the Glass” Emergency Access

11

ความฝนอนสงสด...

My Life-Long Dream...

12

Hospital A Hospital B

Clinic C

Government

Lab Patient at Home

“ATM in Healthcare”Health Information Exchange (HIE)

13

เรองจรงทนาผดหวง...

14

ปจจยหนงในการขบเคลอน Health Information Exchange และ PHRs &

Personal Healthcare ใหส าเรจ:

Trust in the System by Patients and Providers --> Privacy

15

กฎหมำยและ Case Studies ดำน Patient Privacy

16

Case Study #1: Privacy & Hoax

http://news.sanook.com/1262964/

17

Case Study #2: ภย Privacy กบโรงพยำบำล

http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

18

Case Study #3: Privacy

19

Security/Privacy กบขอมลผปวย

20

Security & Privacy

http://en.wikipedia.org/wiki/A._S._Bradford_House

21

Case Study #4: Privacy

http://pantip.com/topic/35330409/

22

หลกจรยธรรมทเกยวกบ Privacy

• Autonomy (หลกเอกสทธ/ความเปนอสระของผปวย)

• Beneficence (หลกการรกษาประโยชนสงสดของผปวย)

• Non-maleficence (หลกการไมท าอนตรายตอผปวย)“First, Do No Harm.”

23

Hippocratic Oath...

What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....

http://en.wikipedia.org/wiki/Hippocratic_Oath

24

กฎหมำยทเกยวของกบ Privacy

• พรบ.สขภาพแหงชาต พ.ศ. 2550

• มาตรา 7 ขอมลดานสขภาพของบคคล เปนความลบสวนบคคล ผใดจะน าไปเปดเผยในประการทนาจะท าใหบคคลนนเสยหายไมได เวนแตการเปดเผยนนเปนไปตามความประสงคของบคคลนนโดยตรง หรอมกฎหมายเฉพาะบญญตใหตองเปดเผย แตไมวาในกรณใด ๆ ผใดจะอาศยอ านาจหรอสทธตามกฎหมายวาดวยขอมลขาวสารของราชการหรอกฎหมายอนเพอขอเอกสารเกยวกบขอมลดานสขภาพของบคคลทไมใชของตนไมได

25

ประมวลกฎหมำยอำญำ• มาตรา 323 ผใดลวงรหรอไดมาซงความลบของผอนโดยเหตทเปน

เจาพนกงานผมหนาท โดยเหตทประกอบอาชพเปนแพทย เภสชกร คนจ าหนายยา นางผดงครรภ ผพยาบาล...หรอโดยเหตทเปนผชวยในการประกอบอาชพนน แลวเปดเผยความลบนนในประการทนาจะเกดความเสยหายแกผหนงผใด ตองระวางโทษจ าคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบาท หรอทงจ าทงปรบ

• ผรบการศกษาอบรมในอาชพดงกลาวในวรรคแรก เปดเผยความลบของผอน อนตนไดลวงรหรอไดมาในการศกษาอบรมนน ในประการทนาจะเกดความเสยหายแกผหนงผใดตองระวางโทษเชนเดยวกน

26

ค ำประกำศสทธและขอพงปฏบตของผปวย

7. ผปวยมสทธไดรบกำรปกปดขอมลของตนเอง เวนแตผปวยจะใหควำมยนยอมหรอเปนกำรปฏบตตำมหนำทของผประกอบวชำชพดำนสขภำพเพอประโยชนโดยตรงของผปวยหรอตำมกฎหมำย

27

ขอควำมจรง บน• "อาจารยครบ เมอวาน ผมออก OPD เจอ คณ

... คนไข... ทอาจารยผาไปแลว มา ฉายรงสตอท... ตอนน Happy ด ไมคอยปวด เดนไดสบาย คนไขฝากขอบคณอาจารยอกครง -- อกอยางคนไขชวงนไมคอยสะดวกเลยไมไดไป กทม. บอกวาถาพรอมจะไป Follow-up กบอาจารยครบ"

Case Study #5: ขอมลผปวย บน Social Media

28

แนวทำงกำรคมครอง Privacy• Informed consent

• Privacy culture

• User awareness building & education

• Organizational policy & regulations Enforcement Ongoing privacy & security assessments,

monitoring, and protection

29

Case Study #6: Enforcement

Uniform Enforcement:เรองเลำเกยวกบ

ควำมนำรก นำศรทธำของผบรหำร(ทำน ศ. นพ.รชตะ รชตะนำวน)

30

Line เสยงตอกำรละเมด Privacy ผปวยไดอยำงไร?

• ขอมลใน Line group มคนเหนหลายคน• ขอมลถก capture หรอ forward ไป share ตอได• ขอมล cache ทเกบใน mobile device อาจถกอานได

(เชน ท าอปกรณหาย หรอเผลอวางเอาไว)• ขอมลทสงผาน network ไมไดเขารหส• ขอมลทเกบใน server ของ Line ทางบรษทเขาถงได และ

อาจถก hack ได• มคนเดา Password ได

31

ทำงออกส ำหรบกำร Consult Case ผปวย

• ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม• หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ

ขอมลทระบตวตนผปวยได (รวมทงในภาพ image)• ใช app ทปลอดภยกวา• Limit คนทเขาถง

(เชน ไมคยผาน Line group)• ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,

เชค malware ฯลฯ)

32

Case Study #7: Passwords

Keylogger Attack: เรองเลำจำกกจกรรมชมรมสมยเปนนกศกษำแพทย

33

User Account SecuritySo, two informaticians

walk into a bar...

The bouncer says,

"What's the password."

One says, "Password?"

The bouncer lets them

in.

Credits: @RossMartin & AMIA (2012)

34

What’s the Password?

Unknown Internet sources, via

http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737,

via Facebook page “สอนแฮกเวบแบบแมวๆ”

35

Case Study #8: Password ทองงำย (แตก Hack งำย)

Dictionary Attack: เรองเลำจำกกำรเรยน

กำร Hack ระบบ ท USA

36

Case Study #9: เรยกคำไถ

Ransomware

37

เครอขำยดำน IT ในองคกร

Ramathibodi Computer Emergency Readiness Team

(RamaCERT)

38

Case Study #10: แชรไฟล

File Sharing: เรองเลำจำกชวต

นกศกษำแพทยรำมำธบด(ทอยำกรอยำกเหน)

39

http://pantip.com/topic/33678081

https://www.facebook.com/photo.php?fbid=971229119583658&set=a.37957656541558

6.90794.100000897364762&type=1&theater

Case Study #11: Selfie มประเดน

40http://www.matichon.co.th/news_detail.php?newsid=1429341430

Case Study #12: ดหมนผปวย

41

Case Study #13: ละเมดผรบบรกำร

Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media

เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย และไมมเจตนาสรางประเดนทาง

การเมองชอ สญลกษณ หรอเครองหมายของบคคล

หรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง

โปรดใชวจารณญาณในการอานเนอหา

42

http://manager.co.th/Entertainment/Vie

wNews.aspx?NewsID=9580000076405

Case Study #14: ละเมดผรบบรกำร

43

Case Study #15: มวนม เรองกฎหมำย

44

กฎหมำยทเกยวของกบ Privacy

• พรบ.สขภาพแหงชาต พ.ศ. 2550

• มาตรา 7 ขอมลดานสขภาพของบคคล เปนความลบสวนบคคล ผใดจะน าไปเปดเผยในประการทนาจะท าใหบคคลนนเสยหายไมได เวนแตการเปดเผยนนเปนไปตามความประสงคของบคคลนนโดยตรง หรอมกฎหมายเฉพาะบญญตใหตองเปดเผย แตไมวาในกรณใด ๆ ผใดจะอาศยอ านาจหรอสทธตามกฎหมายวาดวยขอมลขาวสารของราชการหรอกฎหมายอนเพอขอเอกสารเกยวกบขอมลดานสขภาพของบคคลทไมใชของตนไมได