กฎหมาย IT สำหรับพยาบาล (August 26, 2016)
-
Upload
nawanan-theera-ampornpunt -
Category
Law
-
view
515 -
download
0
Transcript of กฎหมาย IT สำหรับพยาบาล (August 26, 2016)
1
กฎหมาย IT ส าหรบพยาบาล
นพ.นวนรรน ธระอมพรพนธคณะแพทยศาสตรโรงพยาบาลรามาธบด
26 สงหาคม 2559 www.SlideShare.net/Nawanan
2
2546 แพทยศาสตรบณฑต (รามาธบดรนท 33)
2554 Ph.D. (Health Informatics), Univ. of Minnesota
อาจารย ภาควชาเวชศาสตรชมชนคณะแพทยศาสตรโรงพยาบาลรามาธบด
ความสนใจ: Health IT, Social Media, Security & Privacy
SlideShare.net/Nawanan
Nawanan Theera-Ampornpunt
Line ID: NawananT
แนะน ำตว
3
Outlines
ภาพรวมกฎหมาย IT ดานสขภาพ
Case Studies
4
ภำพรวมกฎหมำย IT ดำนสขภำพ
5
กฎหมำยทเกยวของกบ IT ดำนสขภำพ
กฎหมาย ICT
กฎหมายทรพยสนทางปญญา
กฎหมายเกยวกบขอมลขาวสาร
กฎหมายสขภาพ/กฎหมายการแพทย
6
Computer Crimes
Electronic Transactions & Electronic Signatures
E-commerce, Cyber Law
Privacy/Data Protection Law (Generic)
กฎหมำย ICT
7
พรบ.การกระท าความผดเกยวกบคอมพวเตอร
ก าหนดการกระท าทถอเปนความผด และหนาทของผใหบรการ (เชน การบนทกขอมลจราจรทางคอมพวเตอร)
กฎหมำย ICT
8
พรบ.วาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 และพรบ.วาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 2) พ.ศ. 2551
รองรบสถานะทางกฎหมายของขอมลทางอเลกทรอนกส การรบสงขอมลอเลกทรอนกส การใชลายมอชออเลกทรอนกส (electronic signature) และก าหนดหลกเกณฑตางๆ ทเกยวของกบการท าธรกรรมทางอเลกทรอนกส (electronic transaction)
กฎหมำย ICT
9
กฎหมายลขสทธ
กฎหมายสทธบตร
กฎหมายเครองหมายการคา
กฎหมายความลบทางการคา
etc.
กฎหมำยทรพยสนทำงปญญำ
10
Examples
Freedom of Information Act (U.S.)
พรบ.ขอมลขาวสารของราชการ พ.ศ. 2540 (Thailand)
กฎหมำยเกยวกบขอมลขำวสำร
11
กฎหมายเกยวกบสถานพยาบาล
กฎหมายเกยวกบผประกอบวชาชพดานสขภาพ
กฎหมายอนๆ ทเกยวของกบสขภาพ
กฎหมายเกยวกบอาหาร ยา และเครองมอแพทย
กฎหมายเกยวกบระบบสขภาพ และหลกประกนสขภาพ
กฎหมายเกยวกบการแพทยฉกเฉน
กฎหมำยสขภำพ/กฎหมำยกำรแพทย
12
พรบ.สถานพยาบาล พ.ศ. 2541 และ (ฉบบท 2) พ.ศ. 2547 พรบ.วชาชพเวชกรรม พ.ศ. 2525 พรบ.วชาชพการพยาบาลและการผดงครรภ พ.ศ. 2528 และฉบบท 2)
พ.ศ. 2540 พรบ.ของวชาชพอนๆ ดานสขภาพ พรบ.หลกประกนสขภาพแหงชาต พ.ศ. 2545 พรบ.สขภาพแหงชาต พ.ศ. 2550 และ (ฉบบท 2) พ.ศ. 2553 พรบ.การแพทยฉกเฉน พ.ศ. 2551 พรบ.เครองมอแพทย พ.ศ. 2551
กฎหมำยสขภำพ/กฎหมำยกำรแพทยของไทย
13
Case Studies
14
Malware
Case #1: ภยคกคำมดำน Security
15
Confidentiality (ขอมลความลบ) Integrity (การแกไข/ลบ/เพมขอมลโดยมชอบ) Availability (ระบบลม ใชการไมได)
สงทเปนเปำหมำยกำรโจมต: CIA Triad
16
ผลกระทบ/ควำมเสยหำย
• ความลบถกเปดเผย
• ความเสยงตอชวต สขภาพ จตใจ การเงน และการงานของบคคล
• ระบบลม การใหบรการมปญหา
• ภาพลกษณขององคกรเสยหาย
17
แหลงทมำของกำรโจมต
• Hackers
• Viruses & Malware
• ระบบทมปญหาขอผดพลาด/ชองโหว
• Insiders (บคลากรทมเจตนาราย)
• การขาดความตระหนกของบคลากร
• ภยพบต
18
กฎหมำย IT Security
19
พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550การกระท าความผดเกยวกบคอมพวเตอร (Computer-Related Crimes)
ตวอยาง?
–อาชญากรรมทางคอมพวเตอร (Computer Crimes)
• เชน Hacking, การเปดเผยขอมลทเปนความลบ, การดกฟงขอมล
–การกระท าความผดทมคอมพวเตอรเปนเครองมอ (Crimes Using Computers as Tools)
• เชน การเผยแพรภาพลามก
• การโพสตขอความทเปนภยตอความมนคง
• การตดตอภาพเพอใหผอนเสยหาย
20
พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550
มาตรา 3 (บทนยาม)
• “ระบบคอมพวเตอร” หมายความวา อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการท างานเขาดวยกน โดยไดมการก าหนดค าสง ชดค าสง หรอสงอนใด และแนวทางปฏบตงานใหอปกรณหรอชดอปกรณท าหนาทประมวลผลขอมลโดยอตโนมต
• “ขอมลคอมพวเตอร” หมายความวา ขอมล ขอความ ค าสง ชดค าสง หรอสงอนใดบรรดาทอยในระบบคอมพวเตอรในสภาพทระบบคอมพวเตอรอาจประมวลผลได และใหหมายความรวมถงขอมลอเลกทรอนกสตามกฎหมายวาดวยธรกรรมทางอเลกทรอนกสดวย
21
ค ำถำม
สงตอไปน ถอเปน “ระบบคอมพวเตอร” ตาม พรบ.นหรอไม?
22
พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550มาตรา 3 (บทนยาม)
• “ขอมลจราจรทางคอมพวเตอร” หมายความวา ขอมลเกยวกบการตดตอสอสารของระบบคอมพวเตอร ซงแสดงถงแหลงก าเนด ตนทาง ปลายทาง เสนทาง เวลา วนท ปรมาณ ระยะเวลา ชนดของบรการ หรออน ๆ ทเกยวของกบการตดตอสอสารของระบบคอมพวเตอรนน
• “ผใหบรการ” หมายความวา(1) ผใหบรการแกบคคลอนในการเขาสอนเทอรเนต หรอใหสามารถตดตอ
ถงกนโดยประการอน โดยผานทางระบบคอมพวเตอร ทงน ไมวาจะเปนการใหบรการในนามของตนเอง หรอในนามหรอเพอประโยชนของบคคลอน
(2) ผใหบรการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคลอน
23
ผใหบรกำร หมำยรวมถง
1. ผประกอบกจการโทรคมนาคมและกจการกระจายภาพและเสยง (Telecommunication and Broadcast Carriers)
2. ผใหบรการการเขาถงระบบเครอขายคอมพวเตอร (Access Service Provider)
3. ผใหบรการเชาระบบคอมพวเตอรเพอใหบรการโปรแกรมประยกตตางๆ (Hosting Service Provider
4. ผใหบรการรานอนเทอรเนต
5. ผใหบรการขอมลคอมพวเตอรผาน Application ตางๆ เชน ผใหบรการเวบบอรด, Blog, e-Commerce ฯลฯ
24
พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550
หมวด 1 ความผดเกยวกบคอมพวเตอร
• มาตรา 5 การเขาถงโดยมชอบซงระบบคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวส าหรบตน (Unauthorized access)– เชน การเจาะระบบ (hacking), การ hack รหสผานคนอน
– การเขาถงทางกายภาพ หรอทางเครอขายกได
• มาตรา 6 การเปดเผยโดยมชอบซงมาตรการปองกนการเขาถงระบบคอมพวเตอรทผอนจดท าขนเปนการเฉพาะทไดลวงรมา ในประการทนาจะเกดความเสยหายแกผอน– เชน เปดเผยรหสผานของผอนโดยไมไดรบอนญาต
25
พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550• มาตรา 7 การเขาถงโดยมชอบซงขอมลคอมพวเตอรทมมาตรการปองกน
การเขาถงโดยเฉพาะและมาตรการนนมไดมไวส าหรบตน (Unauthorized access)– เชน การน าขอมลคอมพวเตอรของผอนไปพยายามถอดรหสเพออานเนอความ
• มาตรา 8 การกระท าโดยมชอบดวยวธการทางอเลกทรอนกสเพอดกรบไวซงขอมลคอมพวเตอรของผอนทอยระหวางการสงในระบบคอมพวเตอร และขอมลคอมพวเตอรนนมไดมไวเพอประโยชนสาธารณะหรอเพอใหบคคลทวไปใชประโยชนได– เชน การดกฟงขอมลผานเครอขาย
• มาตรา 9 การท าใหเสยหาย ท าลาย แกไข เปลยนแปลง หรอเพมเตมไมวาทงหมดหรอบางสวน ซงขอมลคอมพวเตอรของผอนโดยมชอบ– เชน การลบหรอแกไขขอมลของผอน โดยมเจตนาราย
26
พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550• มาตรา 10 การกระท าโดยมชอบ เพอใหการท างานของระบบ
คอมพวเตอรของผอนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถท างานตามปกตได– เชน Denial of Service (DoS) Attack = การโจมตใหเวบลม
• มาตรา 11 การสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนโดยปกปดหรอปลอมแปลงแหลงทมาของการสงขอมลดงกลาว อนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข– เชน สง spam e-mail
• มาตรา 13 การจ าหนายหรอเผยแพรชดค าสงเพอน าไปใชเปนเครองมอในการกระท าความผดตาม พรบ. น– เชน การเผยแพรซอฟตแวรเจาะระบบ
27
พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550• มาตรา 14
(1) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรปลอม หรอขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายแกผอนหรอประชาชน
(2) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายตอความมนคงของประเทศหรอกอใหเกดความตนตระหนกแกประชาชน
(3) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใดๆ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกรหรอความผดเกยวกบการกอการราย
(4) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใดๆ ทมลกษณะอนลามกและขอมลคอมพวเตอรนนประชาชนทวไปอาจเขาถงได
(5) เผยแพรหรอสงตอซงขอมลคอมพวเตอรตาม (1)-(4)
28
พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550
• มาตรา 15 ความรบผดกรณผใหบรการจงใจสนบสนนหรอยนยอมใหมการกระท าความผดตามมาตรา 14 ในระบบคอมพวเตอรทอยในความควบคมของตน
• มาตรา 16 ผใดน าเขาสระบบคอมพวเตอรทประชาชนทวไปอาจเขาถงไดซงขอมลคอมพวเตอรทปรากฏเปนภาพของผอน และภาพนนเปนภาพทเกดจากการสรางขน ตดตอ เตม หรอดดแปลงดวยวธการทางอเลกทรอนกสหรอวธการอนใด ทงน โดยประการทนาจะท าใหผอนนนเสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย
29
พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550
หมวด 2 พนกงานเจาหนาท
• มาตรา 18 อ านาจของพนกงานเจาหนาท
(1) มหนงสอสอบถามหรอเรยกบคคลมาใหถอยค า สงค าชแจง หรอสงหลกฐาน
(2) เรยกขอมลจราจรทางคอมพวเตอรจากผใหบรการ
(3) สงใหผใหบรการสงมอบขอมลเกยวกบผใชบรการทตองเกบ
(4) ท าส าเนาขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอร
(5) สงใหบคคลซงครอบครองหรอควบคมขอมลคอมพวเตอร สงมอบขอมล
(6) ตรวจสอบหรอเขาถงระบบคอมพวเตอร ขอมล หรออปกรณทเปนหลกฐาน
(7) ถอดรหสลบของขอมล หรอสงใหบคคลท าการถอดรหสลบ
(8) ยดหรออายดระบบคอมพวเตอรเทาทจ าเปน
30
พรบ.วำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550
• มาตรา 19-21 การยนค ารองตอศาลของพนกงานเจาหนาท เกยวกบการปฏบตหนาทตาม พรบ. น
• มาตรา 26 ผใหบรการตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวา 90 วน นบแตวนทขอมลนนเขาสระบบคอมพวเตอร...
• ผใหบรการจะตองเกบรกษาขอมลของผใชบรการเทาทจ าเปนเพอใหสามารถระบตวผใชบรการนบตงแตเรมใชบรการและตองเกบรกษาไวเปนเวลาไมนอยกวา 90 วน นบตงแตการใชบรการสนสดลง
31
กฎหมำยวำดวยธรกรรมทำงอเลกทรอนกส
32
• หามมใหปฏเสธความมผลผกพนและการบงคบใชทางกฎหมายของขอความใด เพยงเพราะเหตทขอความนนอยในรปของขอมลอเลกทรอนกส (มาตรา 7)
• ใหถอวาขอมลอเลกทรอนกส มการลงลายมอชอแลว ถา (1) ใชวธการทระบตวเจาของลายมอชอ และ (2) เปนวธการทเชอถอได (มาตรา 9)
• ธรกรรมทางอเลกทรอนกสทไดกระท าตามวธการแบบปลอดภยทก าหนดใน พรฎ. ใหสนนษฐานวาเปนวธการทเชอถอได (มาตรา 25)
• ค าขอ การอนญาต การจดทะเบยน ค าสงทางปกครอง การช าระเงน การประกาศ หรอการด าเนนการใดๆ ตามกฎหมายกบหนวยงานของรฐหรอโดยหนวยงานของรฐ ถาไดกระท าในรปของขอมลอเลกทรอนกสตามหลกเกณฑและวธการทก าหนดโดย พรฎ.
• ใหถอวามผลโดยชอบดวยกฎหมาย (มาตรา 35)
ผลทางกฎหมายของ พรบ.ธรกรรมทางอเลกทรอนกส
33
• พรฎ.ก าหนดประเภทธรกรรมในทางแพงและพาณชยทยกเวนมหน ากฎหมายวาดวยธรกรรมทางอเลกทรอนกสมาใชบงคบ พ.ศ. 2549
• ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส– เรอง การรบรองสงพมพออก พ.ศ. 2555
• ก าหนดหลกเกณฑและวธการรบรองสงพมพออก (Print-Out) ของขอมลอเลกทรอนกส เพอใหสามารถใชอางองแทนขอมลอเลกทรอนกส และมผลใชแทนตนฉบบได
– เรอง หลกเกณฑและวธการในการจดท าหรอแปลงเอกสารและขอความใหอยในรปของขอมลอเลกทรอนกส พ.ศ. 2553
• ก าหนดหลกเกณฑและวธการในการจดท าหรอแปลงเอกสารและขอความทไดมการจดท าหรอแปลงใหอยในรปของขอมลอเลกทรอนกสในภายหลง
– เรอง แนวทางการจดท าแนวนโยบาย (Certificate Policy) และแนวปฏบต (Certification Practice Statement) ของผใหบรการออกใบรบรองอเลกทรอนกส (Certificate Authority) พ.ศ. 2552
• วาดวยการใหบรการออกใบรบรองอเลกทรอนกส (Certificate)
กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส
34
• พรฎ.ก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549– ประกาศ เรอง แนวนโยบายและแนวปฏบตในการรกษา
ความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553• ก าหนดมาตรฐาน Security Policy ของหนวยงานของรฐทม
การท าธรกรรมทางอเลกทรอนกสภาครฐ– ประกาศ เรอง แนวนโยบายและแนวปฏบตในการ
คมครองขอมลสวนบคคลของหนวยงานของรฐ พ.ศ. 2553• ก าหนดมาตรฐาน Privacy Policy ของหนวยงานของรฐทม
การท าธรกรรมทางอเลกทรอนกสภาครฐ
กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส
35
• พรฎ.วาดวยการควบคมดแลธรกจบรการการช าระเงนทางอเลกทรอนกส พ.ศ. 2551
• ประกาศ เรอง หลกเกณฑการพจารณาลงโทษปรบทางปกครองส าหรบผประกอบธรกจใหบรการการช าระเงนทางอเลกทรอนกส พ.ศ. 2554
• ประกาศ เรอง หลกเกณฑ วธการ และเงอนไขในการประกอบธรกจบรการการช าระเงนทางอเลกทรอนกส พ.ศ. 2552
• ประกาศ ธปท. ทเกยวของ
กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส
36
• พรฎ.วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553– ประกาศ เรอง ประเภทของธรกรรมทางอเลกทรอนกส
และหลกเกณฑการประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการแบบปลอดภย พ.ศ. 2555• หลกเกณฑการประเมนเพอก าหนดระดบวธการแบบ
ปลอดภยขนต า– ประกาศ เรอง มาตรฐานการรกษาความมนคงปลอดภย
ของระบบสารสนเทศตามวธการแบบปลอดภย พ.ศ. 2555• ก าหนดมาตรฐานความปลอดภยตามวธการแบบปลอดภยแต
ละระดบ
กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส
37
• คณะกรรมการธรกรรมทางอเลกทรอนกส• ส านกงานคณะกรรมการธรกรรมทางอเลกทรอนกส
ส านกงานปลดกระทรวง กระทรวงเทคโนโลยสารสนเทศและการสอสาร
• ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ สพธอ.– Electronic Transactions Development Agency
(Public Organization) - ETDA
หนวยงานทเกยวของกบ พรบ.ธรกรรมทางอเลกทรอนกส
38
• มาตรา 25 ของ พรบ.วาดวยธรกรรมทางอเลกทรอนกส– “ธรกรรมทางอเลกทรอนกสใดทไดกระท าตามวธการแบบ
ปลอดภยทก าหนดในพระราชกฤษฎกา ใหสนนษฐานวาเปนวธการทเชอถอได
• พรฎ.วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553– วธการแบบปลอดภย ม 3 ระดบ (พนฐาน, กลาง, เครงครด)– จ าแนกตามประเภทของธรกรรมทางอเลกทรอนกส (ธรกรรมทม
ผลกระทบตอความมนคงหรอความสงบเรยบรอยของประเทศ หรอตอสาธารณชน) หรอจ าแนกตามหนวยงาน (ธรกรรมของหนวยงานหรอองคกรทถอเปนโครงสรางพนฐานส าคญของประเทศ หรอ Critical Infrastructure)
“วธการแบบปลอดภย”
39
ธรกรรมทางอเลกทรอนกส ประเภทตอไปน• ดานการช าระเงนทางอเลกทรอนกส• ดานการเงนของธนาคารพาณชย• ดานประกนภย• ดานหลกทรพยของผประกอบธรกจหลกทรพย• ธรกรรมทจดเกบ รวบรวม และใหบรการขอมลของ
บคคลหรอทรพยสนหรอทะเบยนตางๆ ทเปนเอกสารมหาชนหรอทเปนขอมลสาธารณะ
• ธรกรรมในการใหบรการดานสาธารณปโภคและบรการสาธารณะทตองด าเนนการอยางตอเนองตลอดเวลา
วธการแบบปลอดภยในระดบเครงครด
40
ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)• ผลกระทบดานมลคาความเสยหายทางการเงน
– ต า: ≤ 1 ลานบาท– ปานกลาง: 1 ลานบาท < มลคา ≤ 100 ลานบาท– สง: > 100 ลานบาท
ระดบผลกระทบกบวธการแบบปลอดภย
41
ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)• ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจ
ไดรบอนตรายตอชวต รางกาย หรออนามย– ต า: ไมม– ปานกลาง: ผลกระทบตอรางกายหรออนามย 1-1,000 คน– สง: ผลกระทบตอรางกายหรออนามย > 1,000 คน หรอตอ
ชวตตงแต 1 คน
ระดบผลกระทบกบวธการแบบปลอดภย
42
ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)• ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบ
ความเสยหายอนใด– ต า: ≤ 10,000 คน– ปานกลาง: 10,000 < จ านวนผไดรบผลกระทบ ≤ 100,000 คน– สง: > 100,000 คน
• ผลกระทบดานความมนคงของรฐ– ต า: ไมมผลกระทบตอความมนคงของรฐ– สง: มผลกระทบตอความมนคงของรฐ
ระดบผลกระทบกบวธการแบบปลอดภย
43
• พจารณาตามประเภทของธรกรรมทางอเลกทรอนกส• พจารณาตามระดบผลกระทบ
– ถามผลประเมนทเปนผลกระทบในระดบสง 1 ดาน ใหใชวธการแบบปลอดภยระดบเครงครด
– ระดบกลางอยางนอย 2 ดาน ใหใชวธการแบบปลอดภยระดบกลาง
– นอกจากน ใหใชวธการแบบปลอดภยในระดบพนฐาน
สรปวธการประเมนระดบวธการแบบปลอดภย
44
• อางองมาตรฐาน ISO/IEC 27001:2005 - Information technology -Security techniques - Information security management systems - Requirements
• มผลใชบงคบเมอพน 360 วน นบแตวนประกาศในราชกจจานเบกษา (19 ธ.ค. 2555) คอ 14 ธ.ค. 2556
• ไมมบทก าหนดโทษ เปนเพยงมาตรฐานส าหรบ “วธการทเชอถอได” ในการพจารณาความนาเชอถอในทางกฎหมายของธรกรรมทางอเลกทรอนกส แตมผลในเชงภาพลกษณและน าหนกการน าขอมลอเลกทรอนกสไปเปนพยานหลกฐานในการตอสคดในศาลหรอการด าเนนการทางกฎหมาย
• คณะกรรมการธรกรรมทางอเลกทรอนกสอาจพจารณาประกาศเผยแพรรายชอหนวยงานทมการจดท านโยบายและแนวปฏบตโดยสอดคลองกบวธการแบบปลอดภย เพอใหสาธารณชนทราบเปนการทวไปกได
ประกาศ เรอง มาตรฐาน Security ตามวธการแบบปลอดภย
45
• แบงเปน 11 หมวด (Domains)– Security policy– Organization of information security– Asset management– Human resources security– Physical and environmental security– Communications and operations management– Access control– Information systems acquisition, development and
maintenance– Information security incident management– Business continuity management– Regulatory compliance
มาตรฐาน Security ตามวธการแบบปลอดภย
46
มาตรฐาน Security ตามวธการแบบปลอดภย แตละระดบหมวด (Domain) ระดบพนฐาน ระดบกลาง
(เพมเตมจากระดบพนฐาน)ระดบสง
(เพมเตมจากระดบกลาง)
Security policy 1 ขอ 1 ขอ -
Organization of information security 5 ขอ 3 ขอ 3 ขอ
Asset management 1 ขอ 4 ขอ -
Human resources security 6 ขอ 1 ขอ 2 ขอ
Physical and environmental security 5 ขอ 2 ขอ 6 ขอ
Communications & operations management 18 ขอ 5 ขอ 9 ขอ
Access control 9 ขอ 8 ขอ 8 ขอ
Information systems acquisition, development and maintenance
2 ขอ 6 ขอ 8 ขอ
Information security incident management 1 ขอ - 3 ขอ
Business continuity management 1 ขอ 3 ขอ 1 ขอ
Regulatory compliance 3 ขอ 5 ขอ 2 ขอ
รวม 52 ขอ 38 ขอ (รวม 90 ขอ) 42 ขอ (รวม 132 ขอ)
47
Case #2: Privacy
48
Privacy
http://news.sanook.com/1262964/
49
ภย Privacy กบโรงพยำบำล
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
50
Privacy
http://pantip.com/topic/35330409/
51
ขอความจรง บน• "อาจารยครบ เมอวาน ผมออก OPD เจอ คณ
... คนไข... ทอาจารยผาไปแลว มา ฉายรงสตอท... ตอนน Happy ด ไมคอยปวด เดนไดสบาย คนไขฝากขอบคณอาจารยอกครง -- อกอยางคนไขชวงนไมคอยสะดวกเลยไมไดไป กทม. บอกวาถาพรอมจะไป Follow-up กบอาจารยครบ"
ขอมลผปวย บน Social Media
52
Security/Privacy กบขอมลผปวย
53
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House
54http://www.aclu.org/ordering-pizza
Privacy ของขอมลสวนบคคล
55
หลกจรยธรรมทเกยวกบ Privacy
• Autonomy (หลกเอกสทธ/ความเปนอสระของผปวย)
• Beneficence (หลกการรกษาประโยชนสงสดของผปวย)
• Non-maleficence (หลกการไมท าอนตรายตอผปวย)“First, Do No Harm.”
56
Hippocratic Oath...
What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....
http://en.wikipedia.org/wiki/Hippocratic_Oath
57
กฎหมำยทเกยวของกบ Privacy
• พรบ.สขภาพแหงชาต พ.ศ. 2550
• มาตรา 7 ขอมลดานสขภาพของบคคล เปนความลบสวนบคคล ผใดจะน าไปเปดเผยในประการทนาจะท าใหบคคลนนเสยหายไมได เวนแตการเปดเผยนนเปนไปตามความประสงคของบคคลนนโดยตรง หรอมกฎหมายเฉพาะบญญตใหตองเปดเผย แตไมวาในกรณใด ๆ ผใดจะอาศยอ านาจหรอสทธตามกฎหมายวาดวยขอมลขาวสารของราชการหรอกฎหมายอนเพอขอเอกสารเกยวกบขอมลดานสขภาพของบคคลทไมใชของตนไมได
58
ประมวลกฎหมำยอำญำ• มาตรา 323 ผใดลวงรหรอไดมาซงความลบของผอนโดยเหตทเปน
เจาพนกงานผมหนาท โดยเหตทประกอบอาชพเปนแพทย เภสชกร คนจ าหนายยา นางผดงครรภ ผพยาบาล...หรอโดยเหตทเปนผชวยในการประกอบอาชพนน แลวเปดเผยความลบนนในประการทนาจะเกดความเสยหายแกผหนงผใด ตองระวางโทษจ าคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบาท หรอทงจ าทงปรบ
• ผรบการศกษาอบรมในอาชพดงกลาวในวรรคแรก เปดเผยความลบของผอน อนตนไดลวงรหรอไดมาในการศกษาอบรมนน ในประการทนาจะเกดความเสยหายแกผหนงผใดตองระวางโทษเชนเดยวกน
59
ค าประกาศสทธและขอพงปฏบตของผปวย
7. ผปวยมสทธไดรบการปกปดขอมลของตนเอง เวนแตผปวยจะใหความยนยอมหรอเปนการปฏบตตามหนาทของผประกอบวชาชพดานสขภาพเพอประโยชนโดยตรงของผปวยหรอตามกฎหมาย
60
แนวทำงกำรคมครอง Privacy• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations Enforcement Ongoing privacy & security assessments,
monitoring, and protection
61
Uniform Enforcement:เรองเลำเกยวกบ
ควำมนำรก นำศรทธำของผบรหำร(ทำน ศ. นพ.รชตะ รชตะนำวน)
62
Line เสยงตอการละเมด Privacy ผปวยไดอยางไร?
• ขอมลใน Line group มคนเหนหลายคน• ขอมลถก capture หรอ forward ไป share ตอได• ขอมล cache ทเกบใน mobile device อาจถกอานได
(เชน ท าอปกรณหาย หรอเผลอวางเอาไว)• ขอมลทเกบใน server ของ Line ทางบรษทเขาถงได และ
อาจถก hack ได• มคนเดา Password ได
63
ทางออกส าหรบการ Consult Case ผปวย
• ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม• หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ
ขอมลทระบตวตนผปวยได (รวมทงในภาพ image)• ใช app ทปลอดภยกวา• Limit คนทเขาถง
(เชน ไมคยผาน Line group)• ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,
เชค malware ฯลฯ)
64
รำงกฎหมำยทควรจบตำด: ราง พรบ.คมครองขอมลสวนบคคล
65
Case #3: Hoax
PR Nightmareเหตกำรณไมจรง ทสรำงควำม
เสยหำย กลำยเปน viral
66
Case #3: Hoax
http://new.khaosod.co.th.khaosod.online/dek3/win.html (อนตราย! ไมควรเขาเวบน)
ขำวนไมเปนควำมจรง
67
Case #3: Hoax
68
รำมำธบด กบ Security/Privacy
69
http://intranet.mahidol/op/orla/law/index.php/announcement/146-2556/770-social-network
นโยบายดาน Social Media ของมหาวทยาลยมหดล
70
• ขอความบน Social Network สามารถเขาถงไดโดยสาธารณะ ผเผยแพรตองรบผดชอบ ทงทางสงคมและกฎหมาย และอาจสงผลกระทบตอชอเสยง การท างาน และวชาชพของตน
MU Social Media Policy
71
• บคลากรทางการแพทยหรอผใหบรการสขภาพ– ระวงการใช Social Network ในการปฏสมพนธกบผปวย
– ปฏบตตามจรยธรรมของวชาชพ
– ระวงเรองความเปนสวนตว (Privacy) และความลบของขอมลผปวย
– การเผยแพรขอมล/ภาพผปวย เพอการศกษา ตองขออนญาตผปวยกอนเสมอ และลบขอมลทเปน identifiers ทงหมด (เชน ชอ, HN, ภาพใบหนา หรอ ID อนๆ) ยกเวนผปวยอนญาต (รวมถงกรณการโพสตใน closed groups ดวย)
• ตงคา Privacy Settings ใหเหมาะสม
MU Social Media Policy
72
• ประกาศคณะฯ เรอง นโยบายความปลอดภยสารสนเทศ คณะแพทยศาสตรโรงพยาบาลรามาธบด พ.ศ. 2551
• ประกาศคณะฯ เรอง หลกเกณฑการปฏบตของผไดรบอนญาตใหเขาถงขอมลทางอเลกทรอนกส พ.ศ. 2554
• ประกาศคณะฯ เรอง การขอคดถายส าเนาเวชระเบยนผปวย พ.ศ. 2556
• ประกาศคณะฯ เรอง ขอก าหนดการใชสอสงคมออนไลน ของคณะฯ พ.ศ. 2556
• ประกาศคณะฯ เรอง แนวทางปฏบต การขอบนทกภาพและเสยงในโรงพยาบาลสงกดของคณะฯ พ.ศ. 2557
ระเบยบตางๆ ของคณะฯ ดาน Information Security
73
Social Media Case Studies
74
Social Media Case Study #1: พฤตกรรมไมเหมาะสม
Disclaimer (นพ.นวนรรน):น าเสนอเปนกรณศกษาเพอการเรยนร
เรอง Social Media เทานน ไมมเจตนาลบหล ดหมน หรอท าใหผใดองคกรใด หรอวชาชพใดเสยหาย
โปรดใชวจารณญาณในการอานเนอหา
75
Disclaimer (นพ.นวนรรน):น าเสนอเปนกรณศกษาเพอการเรยนร
เรอง Social Media เทานน ไมมเจตนาลบหล ดหมน หรอท าใหผใดองคกรใด หรอวชาชพใดเสยหาย
โปรดใชวจารณญาณในการอานเนอหา
Social Media Case Study #1: พฤตกรรมไมเหมาะสม
76http://news.mthai.com/hot-news/world-news/453842.html
Social Media Case Study #2: Selfie มประเดน
77
http://pantip.com/topic/33678081
https://www.facebook.com/photo.php?fbid=971229119583658&set=a.37957656541558
6.90794.100000897364762&type=1&theater
Social Media Case Study #3: Selfie มประเดน
78http://www.matichon.co.th/news_detail.php?newsid=1429341430
Social Media Case Study #4: ดหมนผปวย
79
Social Media Case Study #5: ละเมดผรบบรการ
Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media
เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย และไมมเจตนาสรางประเดนทาง
การเมองชอ สญลกษณ หรอเครองหมายของบคคล
หรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง
โปรดใชวจารณญาณในการอานเนอหา
80
http://manager.co.th/Entertainment/Vie
wNews.aspx?NewsID=9580000076405
Social Media Case Study #6: ละเมดผรบบรการ
81
Social Media Case Study #7: ไมแยก Account
82
Facebook Profile vs. Page vs. Group• ใช Profile ส าหรบ user แตละคน (แยกคนกน)• ใช Page ส าหรบการ PR องคกร/หนวยงาน/ทม/
กลม (สามารถตง user คนละคน เปน admin ได โดยแยก account กน)
• ใช Group ส าหรบการสอสารกนภายในกลม (ตงระดบ privacy ทเหมาะสมได)
83
Social Media Case Study #8: ไมตรวจสอบขอมล
Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media
เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย
ชอ สญลกษณ หรอเครองหมายของบคคลหรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง
โปรดใชวจารณญาณในการอานเนอหา
84
Social Media Case Study #9: ไมตรวจสอบขอมล
Source: Facebook Page โหดสส V2 อางองภาพจากหนา 7 นสพ.ไทยรฐ วนท 6 พ.ค. 2557 และ http://www.reuters.com/article/2013/10/16/us-philippines-quake-idUSBRE99E01R20131016
85
Social Media Best Practices
https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg
86
Social Media Best Practices
https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg
87
กฎหมาย IT ส าหรบพยาบาล
นพ.นวนรรน ธระอมพรพนธคณะแพทยศาสตรโรงพยาบาลรามาธบด
26 สงหาคม 2559 www.SlideShare.net/Nawanan