1

Ethical Issues in Health Information PrivacyNawanan Theera-Ampornpunt

September 28, 2016

http://www.slideshare.net/nawanan

2

2003 M.D. (First-Class Honors)

2011 Ph.D. (Health Informatics), Univ. of Minnesota

Lecturer, Department of Community Medicine

Faculty of Medicine Ramathibodi Hospital

Interests: Health IT, Social Media, Security & Privacy

nawanan.the@mahidol.ac.th

SlideShare.net/Nawanan

Nawanan Theera-Ampornpunt

Line ID: NawananT

Introduction

3

Outline

• Why Care about Security & Privacy?

• Security/Privacy of Patient’s Information

• Security Measures

• Privacy Measures

4

Case Study #1: Privacy & Hoax

http://news.sanook.com/1262964/

5

Privacy & Healthcare

http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

6

Malware

Examples of Security Threats

7

Case Study #2: Malware

8

Security Threats in Thailand

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

9

Security Threats in Thailand

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

10

Security Threats & Thailand

(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/

(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-

to-hollywood

11

Confidentiality Integrity Availability

Objectives of Attacks: CIA Triad

12

Impact

• Disclosure of confidential information

• Impacts on personal lives, health, mental state, financial status, reputation & employment

• Service disruption

• Organization’s public image

13

Sources of Attacks

• Hackers

• Viruses & Malware

• Buggy Systems

• Insiders

• Behaviors of Unaware and Ignorant Users

• Disasters

14

Case Study #3: Privacy

15

Security/Privacy of Patient Information

16

Security & Privacy

http://en.wikipedia.org/wiki/A._S._Bradford_House

17

Case Study #4: Privacy

http://pantip.com/topic/35330409/

18

Ethical Principles Related to Privacy

• Autonomy

• Beneficence

• Non-maleficence (“First, Do No Harm”)

19

Hippocratic Oath...

What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....

http://en.wikipedia.org/wiki/Hippocratic_Oath

20

Thai Laws on Health Information Privacy

• National Health Act, B.E. 2550

• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะน าไปเปิดเผยในประการที่น่าจะท าให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอ านาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้

21

Thai Laws on Health Information Privacy• The Penal Code

• มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็นเจ้าพนักงานผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจ าหน่ายยา นางผดุงครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วยในการประกอบอาชีพนั้น แล้วเปิดเผยความลับนั้นในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้องระวางโทษจ าคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจ าทั้งปรับ

• ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผยความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษเช่นเดียวกัน

22

Patients’ Bill of Rights

7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรงของผู้ป่วยหรือตามกฎหมาย

23

ข้อความจริง บน• "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ

... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อที่... ตอนน้ี Happy ดี ไม่ค่อยปวด เดินได้สบาย คนไข้ฝากขอบคุณอาจารย์อกีครั้ง -- อีกอย่างคนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม. บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์ครับ"

Real Post on Social Media

24

Privacy Measures

• Informed consent

• Privacy culture

• User awareness building & education

• Organizational policy & regulations

25

How Line Chats Can Violate Patient’s Privacy?

• Multiple viewers in a Line group• Ability to capture screens or forward• Posts in the wrong groups• Cached data• Unencrypted transmission (latest news:

encrypted)• Admin access to data in Line’s server• Password Discovery

26

Case Study #5:

PR NightmareOnline Hoaxes

27

Case Study #5: PR Nightmare & Response

http://new.khaosod.co.th.khaosod.online/dek3/win.html (อันตราย! ไม่ควรเข้าเว็บนี้)

ข่าวนี้ไม่เป็นความจริง

28

Case Study #5: PR Nightmare & Response

29

Case Study #6: Passwords

Keylogger Attack: A story of a

medical student

30

http://c2.likes-media.com/img/c88376b3e79ac46a289879d2178e9b41.600x.jpg

Why We Need to Train Users on Security

31

User Account SecuritySo, two informaticians

walk into a bar...

The bouncer says,

"What's the password."

One says, "Password?"

The bouncer lets them

in.

Credits: @RossMartin & AMIA (2012)

32

What’s the Password?

Unknown Internet sources, via

http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737,

via Facebook page “สอนแฮกเวบ็แบบแมวๆ”

33

User Account Security

https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png

34

Case Study #6: Easy-to-Remember Passwords

Dictionary Attack: A story from taking

a Computer Security course

35

Clear Desk, Clear Screen Policy

http://pixabay.com/en/post-it-sticky-note-note-corner-148282/

36

How to Remember Passwords Then?

Think of an English sentenceThe sentence should have at least 8

words, with numbers and symbols.Use each word’s first letter as password

37

Example of Creating Passwords

http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/

38

Example of Creating PasswordsSentence:

I love reading all 7 Harry Potter books!

Password:Ilra7HPb!

39

Password Sharing

Don’t share passwords with anyone

40

Password Expiration

Change passwords every 3-6 months

41

Case Study #7: Wi-Fi

Rogue Wi-Fi Router:

42

Logout After Use

Logout after use, especially when using public

computers

43

Case Study #8: E-mail หลอกลวง

Phishing

44

Phishing E-mail

45

Phishing E-mail

46

Phishing E-mail

47

How To Detect Phishing E-mails?Bad grammarWrong spellingsEncouraging or pressuring you to open

attachments or click on links

48

Case Study #9: Scam E-mailsPhishing Attack:

A story of a former president of the Thai Student Association

of Minnesota

49

Case Study #10: Ransomware

Ransomware

50

Ransomware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Ransomware.jpg

51

Ransomware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Ransomware.jpg

52

Case Study #11: File Sharing

File Sharing: A story of a curious

medical student

53

Case Study #12: Virus & Patch Updates

Virus/Malware Attack & Windows Update:

A story of a Chief IT Admin at Ramathibodi Hospital

54

Case Study #13:

Back-up Your Data: A story from a busy guy

55

World Backup Day:March 31 of every year