CEO Blog

เมื่อข้อมูลสุขภาพถูกคุกคาม

By นักรบ เนียมนามธรรม21 ก.ย. 2020 เวลา 7:00 น.
เมื่อข้อมูลสุขภาพถูกคุกคาม

ประวัติสุขภาพที่โรงพยาบาลข้อมูลของเรา อาจจะไม่ปลอดภัยเสมอไป

เมื่อสัปดาห์ที่ผ่านมาเชื่อว่าทุกท่านคงได้ข่าว รพ.สระบุรีถูก แรนซัมแวร์ เรียกค่าไถ่ข้อมูล ในกรณีนี้ข้อมูลของผู้ที่มาใช้บริการที่โรงพยาบาลถูกเข้ารหัสล็อคไว้ โดยยังไม่ทราบว่าข้อมูลที่ล็อคถูกนำออกไปหรือเปล่า แต่สำหรับเหตุการณ์ที่ผมจะพูดถึงต่อไปนี้ ข้อมูลสุขภาพเหล่านั้นถูกนำออกไปและเผยแพร่เรียบร้อยแล้วครับ

ผมเชื่อว่าทุกคนคงจะยังคุ้นหูกับชื่อ “George Floyd” ผู้ที่เสียชีวิตจากเหตุการณ์การเข้าจับกุมอันรุนแรงของตำรวจ โดยตำรวจผู้นั้นได้ใช้เข่ากดทับบริเวณลำคอของเขาจนนำไปสู่การเสียชีวิต แม้ว่าเรื่องนี้จะหายไปจากสื่อสักพักแล้ว แต่ในสัปดาห์ที่ผ่านมาก็กลับขึ้นมาบนสื่ออีกครั้งเมื่อครอบครัวของ George Floyd ได้รับการแจ้งเตือนจากหน่วยงานด้านสุขภาพว่ามีการเข้าถึงข้อมูลหลายครั้งจากศูนย์การแพทย์แห่งหนึ่ง จนทำให้ในวันถัดมามีพนักงาน 13 คนได้ถูกไล่ออก หลังถูกจับได้ว่าทำการเข้าถึงข้อมูลของ George Floyd โดยไม่ได้รับอนุญาต ในจำนวนนี้มีนางพยาบาล, พนักงานทางด้านเทคนิคการแพทย์, นักสังคมสงเคราะห์ และนักศึกษาแพทย์รวมอยู่ด้วย

สาเหตุที่ครอบครัวของ George Floyd ได้รับการแจ้งเตือนเมื่อข้อมูลของคนในครอบครัวรั่วไหลก็เป็นเพราะศูนย์การแพทย์แห่งนี้ได้อยู่ภายใต้ข้อกำหนดทางด้านข้อมูลส่วนบุคคลที่รัฐบาลได้ออกกฎ ซึ่งกำหนดให้มีการแจ้งเตือนไปยังคนไข้เมื่อเกิดเหตุการณ์ข้อมูลรั่วไหล รวมถึงต้องมีการเก็บข้อมูลการเข้าถึงต่างๆในระบบของพนักงานผ่าน Log ต่างๆ ปัญหาในเรื่องของการละเมิดสิทธิในการเข้าถึงข้อมูลถือว่าเป็นปัญหาที่เจอได้เป็นประจำ เพราะว่าระบบที่รองรับการทำงานทางด้านสุขภาพนั้นไม่ได้มีการจำกัดสิทธิ์การเข้าถึงข้อมูลว่าใครสามารถเข้าถึงข้อมูลอะไรได้บ้าง เข้าถึงได้ในระดับไหน เพราะไม่สามารถที่จะคาดเดาได้ว่าจะมีพนักงานกี่คนที่ต้องการเข้าถึงข้อมูลคนไข้อย่างเร่งด่วนเมื่อเกิดเหตุฉุกเฉิน

สิ่งที่น่ากังวลในเคสนี้ก็คือ เมื่อมีการเข้าถึงข้อมูลก็ย่อมมีโอกาสที่ข้อมูลจะถูกนำออกไปได้ นั่นหมายความว่าการที่เรามีประวัติสุขภาพที่โรงพยาบาลข้อมูลของเราอาจจะไม่ปลอดภัยเสมอไป กรณีนี้ผู้นำประเทศ, นักการเมือง, ผู้บริหารระดับสูง, เหล่าผู้มีชื่อเสียงต่างๆ ถือเป็นกลุ่มที่ต้องระมัดระวังมากที่สุด เพราะการที่มีบุคคลอื่นรู้ข้อมูลสุขภาพของพวกเขาโดยละเอียด เปรียบเสมือนเป็นการเปิดจุดอ่อนให้ผู้อื่นดู หากมีปัญหาทางด้านสุขภาพใดๆก็เสี่ยงที่จะถูกคุกคามได้โดยง่าย

นี่จึงเป็นโจทย์ที่องค์กรด้านสุขภาพต้องหาความลงตัวระหว่างความปลอดภัยของข้อมูลส่วนบุคคลของผู้ที่มาใช้บริการ กับความเหมาะสมในการเปิดให้เข้าถึงข้อมูลของคนไข้เมื่อเกิดเหตุฉุกเฉิน โดยขั้นแรกผมแนะนำว่าทางโรงพยาบาลควรจัดอบรมให้พนักงานทุกคนเคารพในความเป็นส่วนตัวของผู้อื่น ทั้งนี้ในส่วนของการป้องกันข้อมูลก็ควรใช้บริการที่ปรึกษาทางด้านความปลอดภัยไซเบอร์ให้เข้ามาช่วยในการออกแบบโซลูชัน โดยเลือกใช้โซลูชันที่จำเป็นและครอบคลุมกับทุกส่วนของระบบที่โรงพยาบาลใช้ทำงานครับ