สรุปการบรรยายว่าด้วย GDPR กับผลกระทบต่ออุตสาหกรรมการแพทย์และสุขภาพ

หลังจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรปที่รู้จักกันในนาม GDPR (General Data Protection Regulation) ประกาศใช้เมื่อวันที่ 25 พฤษภาคม ที่ผ่านมา หลายบริษัทยังคงประเมินอยู่ว่าจำเป็นที่จะต้องทำหรือไม่ (อ่านข้อมูลสรุปและทำความเข้าใจได้ที่นี่) โดยเฉพาะอย่างยิ่งกับอุตสาหกรรมการแพทย์และสุขภาพ ที่ครอบคลุมไปถึงสถานพยาบาลต่างๆ ด้วย

วันนี้ที่งานประชุมวิชาการประจำปี บริษัท กรุงเทพดุสิตเวชการ จำกัด (มหาชน) ประจำปี พ.ศ.2561 (BDMS Academic Annual Meetings 2018) มีการบรรยายในประเด็นของ GDPR ที่เกี่ยวข้องกับสถานพยาบาลในอุตสาหกรรม โดยคุณวรรณวิทย์ อาขุบุตร อดีตรองผู้อำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ และปัจจุบันเป็นที่ปรึกษาปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม รวมถึงผู้ก่อตั้งบริษัท Privy Consulting ผมจึงขอนำเสนอสรุปการบรรยายดังกล่าวให้ทุกท่านครับ

No Description
คุณวรรณวิทย์ อาขุบุตร

GDPR และความยุ่งเหยิงในการใช้งาน

คุณวรรณวิทย์อธิบายว่า GDPR จริงๆ เกิดขึ้นมาด้วยเหตุผลหลักเพียง 2 ประการ คือ

  1. ทำให้เกิดระบบของข้อมูลและการคุ้มครองความเป็นส่วนตัวที่สอดรับกับระบบตลาดเดียวของสหภาพยุโรป (EU Single Market)
  2. เป็นหนึ่งในความพยายามป้องกันความลำเอียงทางอัลกอริทึม (algorithmic bias) ผ่านการจัดการข้อมูล

หลักการของกฎหมายนี้มีความแตกต่างจากกฎหมายตัวอื่นตรงที่เน้นการห้ามทำทุกอย่าง ยกเว้นจะกระทำในสิ่งที่อนุญาตในกฎหมาย ซึ่งคุณวรรณวิทย์ตั้งข้อสังเกตว่า ปกติแล้วในยุโรปจะไม่มีการออกกฎหมายลักษณะนี้ผิดกับในประเทศแถบเอเชียที่เน้นออกกฎหมายลักษณะนี้

นอกจากนั้นแล้ว กฎหมาย GDPR ยังเป็นกฎหมายที่มีลักษณะเสียผลประโยชนทุกฝ่าย (mutually disadvantage) คือไม่มีใครในระบบที่ได้ประโยชน์จากกฎหมายนี้ ทุกอย่างสร้างภาระและความซับซ้อน ไม่ว่าจะเป็นผู้ประมวลผลข้อมูล ผู้ควบคุมข้อมูล เจ้าของข้อมูล หน่วยงานคุ้มครองข้อมูลส่วนบุคคล หรือแม้กระทั่งหน่วยงานทางกฎหมายของรัฐ

ในทางธุรกิจ GDPR นำมาสู่ความเสี่ยงในเรื่องชื่อเสียง (reputational risk) ซึ่งส่งผลไปถึงความเสี่ยงในเชิงกลยุทธ์ด้วย หลายบริษัทในต่างประเทศเริ่มเขียนงบการเงินตั้งแต่เมื่อปีที่แล้วเพื่อประเมินความเสี่ยงจากการถูกดำเนินคดีตามกฎหมายของ GDPR และมีบางกรณีที่เริ่มถูกปรับไปบ้างแล้ว ตามกฎหมายแล้วยอดสูงสุดคือ 20 ล้านยูโร หรือ 4% ของรายได้ทั้งปี (แล้วแต่ว่าอันไหนสูงกว่า)

ไม่ใช่แต่เพียงความเสี่ยงอย่างเดียว แต่กฎหมายฉบับดังกล่าวมีลักษณะเหนือเขตแดน (extra-territorial) หรือถ้ากล่าวให้ชัดคือมีลักษณะเป็น “สิทธิสภาพนอกอาณาเขต” ที่บังคับใช้กับคนที่อยู่ในยุโรป (a person in EU) นั่นก็แปลว่าหากตีความอย่างเคร่งครัด คนที่ถือสัญชาติไทย แต่ไปเรียนหรือใช้ชีวิตในยุโรป ก็ถือว่าครอบคลุมและอยู่ในบังคับใช้ของกฎหมายนี้ด้วย

No Description

สำหรับโรงพยาบาล สถานประกอบการในอุตสาหกรรมการแพทย์และสุขภาพ แม้กฎหมายฉบับนี้จะดูไกลตัว แต่อันที่จริงแล้วก็มีเรื่องที่คาบเกี่ยวกับกฎหมายฉบับนี้ ในเชิงสถานที่ตั้งของบริษัท ก็มีผลกับการถูกบังคับใช้ของกฎหมายหากมีการประมวลผลข้อมูล มีการเก็บชุดข้อมูล (dataset) มากกว่า 5 พันรายการ และเก็บข้อมูลนานกว่า 12 เดือน ล้วนแล้วแต่เข้าเกณฑ์นี้หมด

นอกจากนั้นแล้ว การประมวลผลข้อมูลบัตรเครดิตและประกันสุขภาพต่างๆ ก็ถือว่าเป็นส่วนหนึ่งในกิจกรรมและธุรกรรมที่ GDPR มีส่วนและบทบาทอยู่ในนั้นด้วย ดังนั้นแล้วสถานพยาบาลต่างๆ เหล่านี้ จึงไม่สามารถหลีกหนีไปจากกฎหมายดังกล่าวของสหภาพยุโรปได้อย่างแน่นอน

No Description

สาเหตุที่กล่าวเช่นนี้ เพราะข้อมูลส่วนบุคคลจำนวนมาก มักจะต้องมีความเกี่ยวข้องกับข้อมูลคนไข้ผู้ป่วย ถึงแม้ว่าในเชิงการรักษาผู้ป่วยจำเป็นจะต้องยินยอมให้แพทย์และพยาบาล เข้าถึงข้อมูลเหล่านี้เพื่อการรักษา แต่การจัดเก็บและวิธีการจัดการข้อมูลเหล่านี้ คือสิ่งที่กฎหมายฉบับนี้จะเข้ามามีส่วนเกี่ยวข้อง เพราะขอบเขตของข้อมูลตามกฎหมายนี้ ไม่ใช่แค่เลขรหัสประจำตัวประชาชน บัตรเครดิต หรือเลขเวชระเบียนแต่เพียงอย่างเดียว ยังครอบคลุมไปถึงข้อมูลในแบบอื่นๆ ด้วย

No Description

GDPR ยังกำหนดเรื่องของการส่งข้อมูลออกไปนอกสหภาพยุโรปและเขตเศรษฐกิจยุโรปด้วย โดยห้ามส่งออก (ตามมาตรา 44 ของกฎหมาย) ยกเว้นประเทศปลายทางจะพิสูจน์ได้ว่ามีมาตรการป้องกันข้อมูลที่เพียงพอ โดยในปัจจุบันมีประเทศและเขตการปกครองที่อยู่ในรายชื่อนี้ (whitelisted jurisdiction) จำนวนหนึ่ง คือ Canada, Andorra, Jersey, Guernsey, Faeroe Islands, the Isle of Man, Andorra, Switzerland, Uruguay, Argentina, Israel และ New Zealand โดยในปีหน้าจะมีการประกาศให้ เกาหลีใต้ และ ญี่ปุ่น เป็นหนึ่งในประเทศและเขตการปกครองเหล่านี้ด้วย

การกำหนดเหล่านี้สร้างความปวดหัวและวุ่นวายกับหลายบริษัท ที่ยังไม่เข้าใจกับ GDPR อย่างถ่องแท้ และทำให้มีปัญหาในการปรับตัวกับกฎหมาย นำมาสู่ความสามารถในการแข่งขันที่ลดลงโดยทางอ้อมนั่นเอง

กฎหมาย GDPR ที่เกี่ยวข้องโดยตรงกับสถานพยาบาล

คุณวรรณวิทย์ ชี้ให้เห็นว่า GDPR (หรือ Regulation (EU) 2016/679) มีส่วนที่เกี่ยวข้องกับกฎหมายหลายประการของสหภาพยุโรป โดยทั่วไปสิ่งที่เราจะเห็นคือในส่วนบทนำ (Recital) ที่ 35 ซึ่งกำหนดกฎหมายโดยตรงเกี่ยวกับข้อมูลสุขภาพ, 53 ที่กำหนดเรื่องของการประมวลผลข้อมูลละเอียดอ่อน (sensitive data) ในอุตสาหกรรมการแพทย์และสุขภาพ, 54 กำหนดเรื่องของการประมวลผลข้อมูลละเอียดอ่อนในด้านสาธารณสุข และ 96 เกี่ยวกับเรื่องกฎหมายคุ้มครองข้อมูลในด้านสุขภาพ

No Description

นอกจากกฎหมายด้านบนเหล่านั้นแล้ว ยังมีกฎหมายอื่นๆ ที่อยู่ลึกลงไปอีกและเกี่ยวพันกับ GDPR ไม่ว่าจะเป็นกรอบของการตีความ (Framework of interpretation) หรือข้อกำหนดและบ่งชี้ (Directive) อื่นๆ ของสหภาพยุโรป ล้วนแล้วแต่มีส่วนเกี่ยวพันกับกฎหมายฉบับนี้ทั้งสิ้น ความซับซ้อนของกฎหมายฉบับนี้ทำให้การทำงานทั้งในเชิงนโยบายและระดับปฏิบัติมีปัญหาทั้งสิ้น

No Description
กฎหมายและข้อกำหนด รวมถึงคำสั่งที่เกี่ยวข้องโดยตรงกับ GDPR

แนวทางในการปรับตัวขององค์กร

เมื่อกฎหมาย GDPR มีผลกระทบเช่นนี้ ในฝั่งขององค์กรจะปรับตัวอย่างไรได้บ้าง? คุณวรรณวิทย์เสนอว่าในฝั่งองค์กรเอง จะต้องมีตัวเล่นที่เกี่ยวข้องอยู่ 3 ฝ่าย คือ

  1. ฝ่ายกำหนดนโยบาย ยุทธศาสตร์ และแนะนำด้านความเป็นส่วนตัว (privacy)
  2. ฝ่ายกฎหมาย
  3. ฝ่ายไอทีและที่ปรึกษาด้านข้อมูล

No Description

สามฝ่ายนี้จะนำมาสู่แนวทางในการแก้ไขปัญหาที่แตกต่างกันออกไปตามความชำนาญของแต่ละฝ่าย นำมาสู่ปัญหาภายในองค์กรเวลาต้องการกำหนดแนวทางและนโยบาย (การมานั่งเปิดแต่กฎหมายแล้วนั่งเช็ค compliance list คงไม่ดีแน่นอน) ซึ่งหนทางหนึ่งคือการตั้งคณะกรรมการทำงานร่วม (working group) ภายในองค์กรเพื่อจัดการกับปัญหาดังกล่าวนี้

ในกระบวนการแก้ไขปัญหาดังกล่าว ขั้นตอนเริ่มต้นจะต้องเป็นการปรับเปลี่ยนในเชิงองค์กร (organization measures) สูงถึง 80% ส่วนเรื่องทางเทคนิคจะมีเพียง 20% แต่พอเข้าถึงช่วงเริ่มใช้งานจริง สัดส่วนนี้จะกลับด้านกัน และจะกลับสู่สภาพสมดุลที่ฝั่งละ 50% เมื่อทุกอย่างเข้าที่แล้ว

มองอนาคตถึง GDPR และผลกระทบ

ท้ายที่สุด คุณวรรณวิทย์ทิ้งท้ายว่า สำหรับประเทศไทยเอง ความพยายามในการทำให้กฎหมายและระเบียบสอดคล้องกับ GDPR เป็นสิ่งสำคัญ แต่ยังคงมีงานอื่นๆ ที่ท้ายทายเป็นจำนวนมาก ไม่ว่าจะในฝั่งภาครัฐเองที่ต้องออกกฎหมายเพื่อให้สอดคล้องกับต่างประเทศ หรือภาคเอกชนที่จะต้องเข้าใจถึงการเปลี่ยนแปลงนี้

ในธุรกิจการแพทย์และสุภาพ ทุกวันนี้หลายคนยังมุ่งเน้นการทำตามมาตรฐาน HIPAA (Health Insurance Portability and Accountability Act) ซึ่งเป็นเรื่องของการแลกเปลี่ยนข้อมูลด้านสุขภาพแต่เพียงอย่างเดียว โดยไม่ได้พิจารณาถึงเรื่องของการให้ความสำคัญกับความเป็นส่วนตัวและข้อมูลต่างๆ ที่เกี่ยวข้องกัน

หากอนาคตทุกธุรกรรมหรือการดำเนินการต่างๆ ที่เกี่ยวข้องกับข้อมูลผู้ป่วย จะต้องไปดำเนินการที่ต่างประเทศ แทนที่จะเป็นในประเทศไทย ย่อมเสียบเปรียบของโอกาสในเชิงธุรกิจแน่นอน ยังไม่นับถึงความเสี่ยงจำนวนมากที่จะตามมา การปรับองค์กรให้สอดคล้องกับกฎหมาย GDPR จึงสำคัญ และนั่นย่อมแปลว่าองค์กรที่ใช้ข้อมูลส่วนบุคคลจำนวนมากพอสมควรอย่างอุตสาหกรรมแพทย์และสุขภาพ จำเป็นที่จะต้องปรับตัวให้เข้ากับกฎหมายฉบับนี้ไปในเวลาเดียวกัน

ขอขอบคุณคณะทำงานการประชุมวิชาการ บริษัท กรุงเทพดุสิตเวชการ จำกัด (มหาชน) และโรงพยาบาลสมิติเวช ที่ได้อำนวยความสะดวกให้เข้าฟังการบรรยายในครั้งนี้

Topics: 

from:https://www.blognone.com/node/104598

Advertisements