B1-206
19th HA National Forum
  ดร.นพ.นวนรรน ธีระอัมพรพันธุ์
S1: Security and Privacy of Information
ครอบคลุมข้อมูลที่เป็นความลับส่วนบุคคลของผู้ป่วยหรือบุคลากรท้ังท่ีเป็นเอกสารและข้อมูลอิเล็กทรอนิกส์ โดย Security เน้นความ ปลอดภัย ได้แก่ Confidentiality, Integrity, Availability (CIA) หมายถึง การคุ้มครองป้องกันข้อมูลและระบบสารสนเทศของบุคคลหรือองค์กร จากการถูกเข้าใช้ แก้ไข หรือเปิดเผย ส่วน Privacy of Information คือเจ้าของข้อมูลมีสิทธิในการเปิดเผยข้อมูลตนเองตามความจาเป็นตามความ เหมาะสม ยกเว้นกรณีท่ีต้องเปิดเผยตามกฎหมาย (ระบบของ Security ควรคุ้มครองทั้งผู้ป่วยและบุคลากร)
Security and Privacy ตามแนวทางของ SIMPLE Goals ท่ีควรมี คือ
1. มีนโยบายและระเบียบปฏิบัติด้าน Security
2. มี Risk Management พบว่าในบางองค์กร การจัดการด้าน IT ไม่ไม่ถูกจัดอยู่ใน Risk Management ขององค์กร (แยกส่วนกับงาน
พัฒนาคุณภาพ) งาน IT ควรเป็นส่วนหนึ่งของการบริหารจัดการความเส่ียงด้านข้อมูลสารสนเทศ
Security ควรครอบคลุมถึง Physical Security, Administrative Security, User Security, Network Security, System Security
และ Data Security
Privacyเนน้ การคมุ้ ครองความเปน็ สว่ นตวั และเปน็ Non-Technicalเชน่ InformedConsentเกยี่ วกบั การเกบ็ ขอ้ มลู ผปู้ ว่ ยการคมุ้ ครอง
ข้อมูลผู้ป่วยในการทาวิจัย
ตัวช้ีวัดของระบบ Security and Privacy ประกอบด้วย
- มีนโยบายและระเบียบปฏิบัติด้าน Security ท่ีเหมาะสม
- มีการประเมินแผนและผลการจัดการความเส่ียงด้านความมั่นคงปลอดภัยทางสารสนเทศและความเป็นส่วนตัวของข้อมูลสารสนเทศ
- สัดส่วนของบุคลากรที่ได้รับการอบรมและสร้างความตระหนัก
- จานวนอุบัติการณ์ความเส่ียงด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูลสารสนเทศท่ีเกิดขึ้นในสถานพยาบาล
Pitfalls ของระบบ Security and Privacy พบว่า
1 .มีการจัดหาเทคโนโลยีแต่ไม่ได้ให้ความสาคัญกับกระบวนการหรือบุคลากร ซ่ึง IT Management ต้อง balance ระหว่าง People
กับ Process
2. แผนการจัดการความเส่ียงไม่สอดคล้องกับความเสี่ยงที่ถูกประเมินหรือมีการจัดการความเสี่ยงท่ีไม่มีประสิทธิภาพ 3. ให้ความสาคัญเฉพาะข้อมูลอิเล็กทรอนิกส์ในระบบสารสนเทศแต่ไม่ให้ความสาคัญกับข้อมูลส่วนบุคคลในเอกสาร
S2: Social Media and Communication Professionalism
ปัญหาที่เกิดมักส่งผลกระทบต่อ Personnel Safety โดยตรง สาเหตุจากผู้ป่วยหรือเจ้าหน้าที่ ดังนั้นควรมีการจัดการเก่ียวกับ
1. มีแนวทางปฏิบัติหรือ Work Instructions เกี่ยวกับขอบเขตการโพสต์ใน Social Media ทาความเข้าใจกับผู้ปฏิบัติและควรระมัดระวัง ในบุคลากรทางการแพทย์เน่ืองจากกระทบต่อภาพลักษณ์และความไว้วางใจและการโฆษณาท่ีผิดกฎหมายและจริยธรรม
2. สถานพยาบาลควรมี Crisis Communication Management ซึ่งกลยุทธ์สาคัญหลายอย่าง เช่น การขอโทษ หรือรอให้เรื่องเงียบหาย ไปเอง (Silence) สาคัญคือโรงพยาบาลต้องมีระบบการ response ท่ีดี
Social Media Indicators ได้แก่ มีแนวทางปฏิบัติเก่ียวกับการใช้งาน Social Media จานวนอุบัติการณ์ความเสี่ยงด้านการใช้งานสื่อ สังคมออนไลน์ท่ีส่งผลกระทบต่อบุคลากรหรือองค์กรที่สามารถป้องกันได้
Social Media Pitfalls
1. แนวทางปฏิบัติไม่สอดคล้องกับบริบทขององค์กรหรือมีความยุ่งยากซับซ้อนเกินไป
2. องค์กรขาดความเข้าใจเกี่ยวกับธรรมชาติของสังคมออนไลน์ ทาให้เกิดปัญหาด้านความสัมพันธ์กับผู้ป่วย
3. องค์กรให้ความสาคัญกับปัญหาจากการถ่ายภาพ การอัดเสียง หรือการโพสต์ข้อความในโรงพยาบาลมากเกินไปจนเป็นการละเมิดสิทธิ
ผู้ป่วย การแก้ปัญหาท่ีดีคือต้องมีระบบที่เป็นทางสายกลาง
ตัวอย่าง Best Practices คือ ประกาศคณะกรรมการสุขภาพแห่งชาติ เร่ือง แนวทางปฏิบัติในการใช้งานส่ือสังคมออนไลน์ของผู้ปฏิบัติ
งานด้านสุขภาพ พ.ศ. 2559 ซึ่ง ดร.นพ.นวนรรน ธีระอัมพรพันธุ์ เป็นผู้ร่างและนาเสนอคณะกรรมการสุขภาพแห่งชาติพิจารณาเห็นชอบ ซึ่งได้ลง ประกาศในราชกิจจานุเบกษาแล้ว
สถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน)   305