นายแพทย์ สุธี ทุวิรัตน์  CISA

สวัสดีครับผู้บริหารทุกท่าน  ผมได้รวบรวมสรุปความคิดเห็นของผู้บริหารที่เข้าร่วมงานสัมมนา Healthcare Information Security Governance and Public Safety เมื่อวันที่ 25 พฤษภาคม 2552 ณ.โรงแรมโอเรียลเต็ล  ที่มีต่อ Healthcare Information Security เพื่อรวบรวมนำเสนอให้กับผู้ที่มีส่วนเกี่ยวข้อง พิจารณาหาทางแก้ไข

นายแพทย์ปานกิตติ์ ศิริพูล  (ผู้บริหารเครือโรงพยาบาลกรุงเทพ)

1. ควรให้ผู้บริหารโรงพยาบาลระดับต่างๆ (CEO, MD, ผอ.รพ.) รวมถึงองค์กรทางการแพทย์ สถาบันทางการแพทย์ต่างๆ เข้าใจถึงความสำคัญและอันตรายต่างๆที่เกี่ยวกับการรักษาความปลอดภัยในระบบสารสนเทศ

2. เห็นด้วยในการให้ความรู้แก่ User ถึงการรักษาความปลอดภัยระบบสารสนเทศ อยากให้ TMI มี tool ต่างๆในการช่วยอบรมเช่น script, Power point etc.

3. การออกกฎหมายเพิ่มเติมเกี่ยวกับมาตรฐานความปลอดภัยระบบสารสนเทศมีความสำคัญแต่ต้องให้เวลาองค์กรในการปรับระบบก่อนมีผลบังคับใช้
4.ควรมีการอบรมให้ระดับปฏิบัติทาง IT ของโรงพยาบาลการมีความรู้ในการรักษาความปลอดภัยระบบสารสนเทศ

5.ในแต่ละโรงพยาบาลต้องมีการประสานงานระหว่างผู้ดูแล จัดหา อุปกรณ์ทางการแพทย์ที่ต้องเชื่อมต่อกับระบบสารสนเทศโรงพยาบาลในการระวัง รักษาความปลอดภัยในระบบสารสนเทศ

 

นายแพทย์ ป่วน สุทธิพินิจธรรม  คณะบดีคณะแพทยศาสตร์ มหาวิทยาลัยอุบลราชธานี

Healthcare Information Security  มีความสำคัญมาก  เพราะปัจจุบันข้อมูลถูกเก็บในรูปดิจิตอลเป็นส่วนใหญ่แล้ว  ทำให้มีปัญหาในเรื่องความเป็นส่วนตัวและความลับของผู้ป่วย  โดยเฉพาะอย่างยิ่งโรงพยาบาลขนาดใหญ่ที่มีบุคคลที่มีชื่อเสียงมารับบริการก็จะมีความเสี่ยงมาก  และมีผลกระทบได้สูง  ปัญหาบุคคลากรทางการแพทย์ทุกระดับขาดความรู้และความเข้าใจที่ถูกต้อง  แนวทางการแก้ไขก็คือการให้ความรู้และความเข้าใจที่ถูกต้อง  และทุกฝ่ายต้องร่วมมือกัน

 

นายแพทย์ สินชัย  ต่อวัฒนกิจกุล  ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กระทรวงสาธารณสุข

การให้ความสำคัญความปลอดภัยของข้อมูลด้านสุขภาพหรือของผู้ป่วยควรมีมานานแล้วไม่ใช่เพียงข้อมูลที่อยู่ในรูปแบบอิเลคทรอนิกส์  เพราะข้อมูลที่อยู่ในกระดาษก็มีส่วนที่เป็นข้อมูลส่วนบุคคล เพียงแต่ในยุคดิจิตอลใช้เทคโนโลยีที่ทันสมัยมาใช้ในการจัดเก็บ รวบรวม และบริหารจัดการข้อมูลทั้งบุคคลและองค์กร

ปัญหาของความปลอดภัยของข้อมูลด้านสุขภาพอาจเกิดขึ้นจากการมีความต้องการในการแสวงหาข้อมูล การต้องการเข้าถึงข้อมูล และการแลกเปลี่ยนข้อมูลมีสูงมากขึ้นเรื่อยๆ ซึ่งบางคนใช้วิธีการที่ไม่ถูกต้องในการเข้าถึงหรือได้มาซึ่งข้อมูลผู้อื่นที่ไม่ต้องการเผยแพร่ออกสู่สาธารณะ และนำไปใช้ในทางที่ไม่ดี

การแก้ไขปัญหาอาจต้องคำนึงถึงหลายปัจจัย ไม่ใช่เพียงแก้ปัญหาเฉพาะบางประเด็น อาจต้องคำนึงถึงภาพรวมด้วย โดยในภาพรวมอาจต้องกำหนดความชัดเจนในเรื่องขอบเขตข้อมูลส่วนบุคคล กับข้อมูลสาธารณะ ระบบการจัดเก็บข้อมูลสาธารณะ ระบบการเข้าถึงข้อมูลที่ถูกต้องตามสิทธิและหน้าที่ ซึ่งอาจต้องพิจารณาออกกฎหมายหรือกฏระเบียบมาใช้บังคับ ควบคุมกำกับ

ส่วนประเด็นเรื่องเทคโนโลยี การพัฒนาโครงสร้างพื้นฐานด้าน ITที่มีประสิทธิภาพแลความปลอดภัย ทั้งในภาพรวมประเทศและองค์กร มีการกำหนดมาตรฐานต่างๆซึ่งมีอยู่ในระดับสากลอยู่แล้ว แต่อาจต้องมาประยุกต์ใช้ให้เหมาะสมกับสภาพการณ์ของไทยและอยู่ในหลักปรัชญาเศรษฐกิจพอเพียงเพราะเกี่ยวข้องกับการลงทุน โดยเฉพาะภาครัฐที่มีความสามารถในการลงทุนได้ไม่มาก ไม่ทั่วถึง แผนการลงทุนไม่ชัดเจน และนโยบายด้าน ICT ไม่นิ่ง รวมทั้งต้องให้

 อีกประเด็นหนึ่งที่มีความสำคัญมากคือเรื่องการพัฒนาคน ทั้งผู้ดูแลระบบ ผู้พัฒนาระบบ และผู้ใช้ โดยผู้ดูแลระบบต้องมีจำนวนให้เพียงพอ มีความเชี่ยวชาญ และได้รับการพัฒนาความรู้และเทคโนโลยีด้านความปลอดภัยให้ทันสมัยอย่างต่อเนื่อง ซึ่งในภาครัฐเป็นปัญหามากทั้งจำนวนและศักยภาพในการดูแลระบบ ในส่วนผู้พัฒนาระบบต้องให้ความสำคัญกับระบบความปลอดภัยของระบบงานที่พัฒนาขึ้นด้วย ส่วนกลุ่มผู้ใช้ต้องได้รับข้อมูลข่าวสารที่จะเป็นความรู้ที่ถูกต้อง รวดเร็วและให้เกิดความตระหนักถึงการใช้เทคโนโลยีต่างๆเพื่อป้องกันภัยคุกคามต่างๆที่จะเกิดขึ้นในเบื้องต้นด้วยตนเอง

 

นายแพทย์ ธวัชชัย ตันสถิตย์  ผู้บริหารโรงพยาบาล เชียงใหม่ราม

ก่อนอื่นต้องขอชมเชยคณะผู้จัดการประชุม ว่ามีความพยายามที่จะช่วยให้เกิดความเข้าใจในเรื่อง Health Informatics & security กันกว้างขวางขึ้น และคงจะมีส่วนในการเน้นในเรื่อง Regulation, Law enforcement, Timing for proper implementation ผมเองยังมีประเดินที่ต้องการทราบทิศทางที่เกี่ยวข้องกับการปฏิบัติจริงบางประการเช่น

1.      ส่วนราชการบังคับให้ใช้การส่ง  mail ผ่าน homepage ของส่วนราชการเอง แปลว่า security ของทุกส่วนราชการเชื่อถือได้ 100หรือมากกว่าขององค์กรเอกชน  ใช่หรือไม่?

2.      เอกสารที่ print จาก web เครือข่ายของส่วนราชการ เช่น แบบฟอร์ม ภงด. 90 หรือ 91 ที่ print จากคอมพิวเตอร์ นำมากรอกแล้วใช้ดำเนินการยื่นชำระภาษีได้ แต่ถ้าเพื่อนขอถ่ายต้นฉบับที่ print มา ไม่สามารถนำมากรอกเพื่อประโยชน์อันเดียวกันได้

3.      เอกสารที่ print document from computer ใช้เป็นหลักฐานในการธุรกรรมทางศาลได้   แปลว่าการถ่ายสำเนาและเซ็นรับรองเป็นเรื่องไม่ถูกต้องเช่นนั้นหรือ

4.      เอกสารที่ print จากระบบของส่วนราชการถือว่ามีน้ำหนักความถูกต้องมากกว่าเอกสารลักษณะเดียวกันที่ได้จากองกรณ์เอกชนหรือไม่ ? ถ้าเป็นเอกชนด้วยกัน องกรณ์ขนาดเล็กกับขนาดใหญ่มีน้ำหนักต่างกันอย่างไร ถ้ายังไม่ได้การรับรองทาง IT อย่างถูกต้อง

5.      การส่งข้อมูลผู้ป่วยรวมทั้ง Images ด้วยผ่านทาง e-mail ไปต่างประเทศโดยองค์กรเองถือว่ามี security & privacy หรือไม่

 คำถามต่างๆข้างต้นคงเป็นประเด็นและน่าจะเกิดประโยชน์แก่พวกเราผู้ให้บริการทางการแพทย์

 

นพ.สุเชษฐ์ ชินไพโรจน์  รองคณบดีฝ่ายเทคโนโลยีสารสนเทศ  คณะแพทยศาสตร์ ม.สงขลานรินทร์
1. ผู้รับผิดชอบระดับประเทศและ key person ต่างๆเช่น รมต., ปลัดสาธารณสุข ควรจะวาง
นโยบายและกำหนด time frame ที่ชัดเจน

2. CEO ต้อง เข้าใจและตระหนักถึงความสำคัญของ  Healthcare Information Security -
จัดอบรมระยะสั้นเฉพาะ CEO เท่านั้นและการใช้ชื่อเรื่องการประชุมควรหลีกเลี่ยงคำที่จะทำ
ให้สื่อความหมายผิดว่าเป็นเรื่องของ IT และควรต้องครอบคลุม CEO สำหรับองค์กรทางการ
แพทย์ที่สำคัญไม่ต่ำกว่า 80 % ทั่วประเทศ

3. ให้ความรู้ ความเข้าใจตลอดจนให้เห็นความสำคัญในเชิงลึกสำหรับผู้เกี่ยวข้องโดยตรง
กับระบบ Healthcare Information

4. แก้ไขปัญหาการขาดแคลนบุคลากรในสายงานด้านนี้ในระยะยาว สำหรับในระยะสั้นอาจ
ใช้ทรัพยากรบุคคลที่มีอยู่แล้ว สร้างวิธีการหรือแผนปฏิบัติการในการให้คำปรึกษาหรือช่วย
เหลือแก่หน่วยงานที่สนใจโดยรัฐอาจให้การสนับสนุนเรื่องค่าใช้จ่ายบางส่วน

คุณอรุณี ฉัตรไพบูลย์  ผู้บริหารโรงพยาบาลเอกอุดร

           healthcare information security มีความสำคัญมากที่สุดทั้งต่อธุรกิจผู้ให้บริการและผู้รับบริการ หากเกิดความผิดพลาดในระบบแล้วจะก่อให้เกิดผลเสียหายร้ายแรงในหลายแนวทาง   ปัญหาคือผู้เกี่ยวข้องส่วนใหญ่ยังไม่ค่อยตระหนักในความสำคัญและละเลยในส่วนความปลอดภัยของข้อมูล จึงควรช่วยกันวางแนวทางการแก้ไขและป้องกันปัญหาที่จะติดตามมาอย่างเป็นระบบและทุกระดับ  เพื่อให้เกิดการพัฒนาอย่างต่อเนื่องรวดเร็วและทันเวลา                  

พญ.ฐิติพร วงศ์ชัยสุริยะ

ผู้อำนวยการสำนักประสานการแพทย์ โรงพยาบาลเกษมราษฎร์ประชาชื่น

 

1.      ปัญหา – ความไม่รู้ว่ามีปัญหาเกี่ยวกับ Healthcare Information Security   หรือความไม่ตระหนักถึง ของบุคลากร และผู้บริหาร

o สมาคมจัดอบรมให้ผู้บริหารแล้ว ควรจัดทำเอกสาร เช่น จุลสาร ที่มีบทความสั้นๆ ใช้ภาษาง่ายๆให้สามารถสื่อสารกับทั้งผู้บริหารระดับสูง และเจ้าหน้าที่อื่นๆ เพื่อใช้อ้างอิง และช่วยให้เห็นความสำคัญของ Healthcare Information Security

2.      ปัญหา – ผู้บริหารระดับกลางด้าน IT มีปัญหาทั้งด้านความไม่ชัดเจนของแผนงานเนื่องจากงานด้านนี้มีความเปลี่ยนแปลงอย่างรวดเร็ว รวมทั้งมีข้อจำกัดในการสร้างความเข้าใจกับผู้อื่นเนื่องจากมีภาษาพิเศษเฉพาะด้านจำนวนมาก (ขาดทักษะในการสื่อสาร )  

o จัดอบรมให้บุคลากรด้าน IT โดยตรง(ระดับหัวหน้างาน) ให้เห็นภาพรวมของปัญหา และได้แนวทางแก้ไข  ควรเป็นการจัดที่สม่ำเสมอ เป็นการเปิดโอกาสให้บุคลากรกลุ่มพิเศษเหล่านี้  มีโอกาสพบปะ และ update ความรู้สม่ำเสมอ

o  จัดอบรมให้บุคลากรด้าน IT โดยตรง (ระดับหัวหน้างาน) ในลักษณะ workshop ร่วมกับผู้บริหาร ด้านการมีส่วนร่วมในการวางแผนเชิงกลยุทธ

o จัดอบรมให้บุคลากรด้าน IT โดยตรง (ระดับหัวหน้างาน) ในเรื่องการวางแผนงาน operation ทั้งด้านคน (ปริมาณ และคุณภาพ ) เครื่อง (จำนวนที่เหมาะสม การลงทุนที่เหมาะสม การทำ preventive maintenance )software โดยด้าน software ควรเชิญ สปส. และ สปสช. เข้าร่วมเพราะเป็น software ที่ต้องรู้ของบุคลากรด้าน IT การจัดการให้ทันต่อการเปลี่ยนแปลง ความตระหนักถึงความเสี่ยงด้าน IT ที่มีผลต่องานบริการโรงพยาบาล และการบริหารจัดการความเสี่ยงดังกล่าว

o สมาคมเชิญบุคลากรในกลุ่มนี้เป็นสมาชิก หรือเป็นแกนในการช่วยจัดตั้งชมรมโดยสมาคมเป็นที่ปรึกษา

3.      ปัญหา -ผู้บริหารมีความรู้ความเข้าใจด้าน ITน้อย บางครั้ง ignore เพราะสื่อสารกับเจ้าหน้าที่ด้านนี้ไม่รู้เรื่อง ปัจจุบันพบว่าผู้บริหารที่กำลังเติบโตจำนวนไม่น้อยที่มอง IT เป็นเรื่องที่ยากต่อความเข้าใจ ทำให้หลีกเลี่ยงที่จะใช้ หรือพูดถึง จัดการปัญหาที่เกิดไม่ได้ รวมทั้งมี conflict กับบุคลากรด้าน IT เกิดอุปสรรคต่อการพัฒนางาน และการจัดการความเสี่ยงด้าน IT

o การจัดอบรมการบริหารความเสี่ยงด้าน IT สำหรับผู้บริหารที่ไม่ได้จบด้าน IT ทั้งระดับสูงและระดับกลาง เพื่อให้เกิดความเข้าใจที่ตรงกัน โดยเน้นให้มีการปรับความเข้าใจพื้นฐานด้านนี้ในลักษณะง่ายๆ

 

พลอากาศตรีศรีชัย  ชัยพฤกษ์ อดีตผู้อำนวยการโรงพยาบาลภูมิพลอดุลยเดช

ปัจจุบัน ผู้อำนวยการโรงพยาบาลบี.แคร์ เมดิคอลเซ็นเตอร์

- ความรู้ความเข้าใจ ของ Information Security เป็นสิ่งสำคัญ สิ่งที่ TMI ทำอยู่ต้องขอชมเชย ที่เน้นในระดับผู้บริหารก่อน (การอบรมที่ผ่านมาดีมาก 80% แต่ถ้าการเตรียมการของผู้บรรยายแต่ละคน Plan ให้ดี จะได้ประโยชน์เต็มที่กว่านี้)

- การกระจายความรู้ ต่อไปยังบุคลากรที่ทำงานทางด้าน IT เป็นสิ่งที่น่าดำเนินการต่อไป ซึ่งถ้าเตรียมการดี   เนื้อหาเป็นระบบและจัดเอกสารดี จะดีมาก

- ความรู้ระดับ USER เป็นหน้าที่ของแต่ละหน่วยงานที่จะดำเนินงานต่อ  แต่ถ้ามีสื่อจาก TMI จะช่วยได้มาก

- ควรมีช่องทางที่แต่ละระดับไม่ว่าผู้บริหาร, บุคลากรทางด้าน IT จะได้มีโอกาสสื่อสารระหว่างกัน  เพื่อเรียนรู้ปัญหาของแต่ละที่ และนำมาใช้เป็นประโยชน์ของแต่ละหน่วยมากขึ้น

- การประชาสัมพันธ์ และสื่อที่ให้ความรู้ทางด้านนี้ ในระดับกว้าง ยังต้องใช้ความสามารถความอดทนอีกระยะหนึ่ง

- การวางรากฐาน และมาตรการที่เข้มข้น  เช่น ระบบ  คนและเครื่องมือ คงต้องทำอย่างเต็มที่ เพื่อลดปัญหาที่จะเกิดขึ้น

 

Last Updated ( Monday, 29 June 2009 22:15 )