Privacy Project Implementation

@ Siriraj
Presented at The Medical Council of Thailand on 25 February 2021
Natthawut Adulyanukosol
Deputy Director of Siriraj Informatics and Data Innovation Center (SiData+)
Data Protection (EU) / Information Privacy (US)
Landscape
This presentation
University &
Levels National Faculty & Hospital Individual Staff
Board of Directors
Items for Interpretation & Privacy Project Privacy–Security
Law & Regulations
Consideration Guidelines (aka Privacy Program) Measures & Tools
Regulators Legal Experts & Privacy Team & All Employee (not limited
Responsible Parties to Doctors) & 3rd Parties
(สคส. PDPC) Executives Privacy Project Manager
Example Thai PDPA & TDPG (Thailand Data Privacy Frameworks,
TDPG, IAPP, etc.
Resources comparable law e.g. GDPR Protection Guideline), etc. etc.

25/02/2021 CC BY-NC-SA 4.0 2

Siriraj Privacy Project
โครงการพัฒนาการคุŒมครองขŒอมูลส‹วนบุคคล คณะแพทยศาสตรศิริราชพยาบาล
Advisors
Data Governance, Legal, IT Professors
& Experienced Implementers
Risk Management Unit
Regulation & Law Unit
Mahidol University DPO
Faculty of Medicine Siriraj Hospital
Executives
Siriraj DPO-like
Asst. Prof. Prapat Suriyaphol,
PhD Committee
Director, Assistant Dean of IT
Data Governance (Privacy) Team Head of Departments &
Data Governance & Legal Specialists Units
Natthawut Adulyanukosol,
MSc (cand.scient.), BA Hons (Cantab)
Deputy Director,
Privacy Project Manager 25/02/2021 CC BY-NC-SA 4.0 3
Disclaimer
NOT Legal Advice Experience from a single organization
in the process of implementation

⚖ 🛠
25/02/2021 CC BY-NC-SA 4.0 4
Contents

How does Siriraj Privacy Team What does Siriraj Privacy Team
See Data Protection? Do to Protect Data?

NB This slide deck along with notes will be available publicly.

25/02/2021 CC BY-NC-SA 4.0 5
Contents

How does Siriraj Privacy Team What does Siriraj Privacy Team
See Data Protection? Do to Protect Data?
Ans: Communication & Alignment →
Operational Compliance → Trustworthiness

NB This slide deck along with notes will be available publicly.

25/02/2021 CC BY-NC-SA 4.0 6
Data Protection Principles
A-P-S-I-D-A-L
Data Protection Principles
Trust-
worthiness
Accountability
Purpose Limitation
Storage Limitation Further resources:
Integrity & Confidentiality GDPR article 5, Caldicott Principles,
“There is no privacy Aj Parinya’s lecture @ The Medical
Data Minimization
Accuracy
without security.” Council of Thailand on 24 Dec 2020
Lawfulness

Security Principles
Confidentiality, Integrity, Availability

Personal Data Non-Personal Data 25/02/2021 CC BY-NC-SA 4.0 8

Data Subject

25/02/2021 CC BY-NC-SA 4.0 9

Unit of Analysis & Lawful Basis

Further Resources: TDPG, Aj Peerapat & Aj Auradee’s lecture @ The Medical Council of Thailand on 21 Jan 2021
25/02/2021 CC BY-NC-SA 4.0 10
Operational Activities
C-U-D-S & G-A-P-S-R

Further Resources: IAPP Privacy Program Management Book

25/02/2021 CC BY-NC-SA 4.0 11
Organizational Communication
& Alignment

25/02/2021 CC BY-NC-SA 4.0 12

Operational Compliance
C-R-I-M & DC DP DPO

25/02/2021 CC BY-NC-SA 4.0 13

 สคส. PDPC
Stakeholders & Data Protection Authority
Responsibilities
DPO ม.มหิดล
Data Protection Officer
ผูŒรับบริการ Report
ผูŒเขŒาร‹วมการวิจัย บุคลากรที่นำขŒอมูล
คณะแพทยศาสตรศิริราชพยาบาล
นักศึกษา Data ไปประมวลผล
Data Controller
บุคลากร Data Controller
ภายใตŒกำกับม.มหิดล
ผูŒมาติดต‹อ ภายใตŒกำกับศิริราชฯ และม.มหิดล
Data Processing Agreement
Data Subjects
External Collaborators & 3rd Parties
Data Processors
25/02/2021 CC BY-NC-SA 4.0 14
Executive Summary

25/02/2021 CC BY-NC-SA 4.0 16

Contents

How does Siriraj Privacy Team What does Siriraj Privacy Team
See Data Protection? Do to Protect Data?
Ans: Communication & Alignment → Ans: Governance, Assess, Protect,
Operational Compliance → Trustworthiness Sustain, Response (G-A-P-S-R)

NB This slide deck along with notes will be available publicly.

25/02/2021 CC BY-NC-SA 4.0 17
 Mahidol University
Dean Office Faculty of Medicine Siriraj Hospital 3 Hospitals
Finance Dept. Academic
Dept. 🏥1. 🏥2. 🏥3.
1. รพ.ศิริราช
Education Dept. 2. รพ.ศิริราชปย
HR Dept. มหาราชการุณย
(SiPH)
Policy & Planning Dept.
3. ศูนยการแพทย
Engineering Dept. กาญจนาภิเษก
(GJ)
IT Dept.
Supplies & Property Dept.
3 Core Missions:
Research Dept.
1. Education
2. Research
Risk Management
3. Services
Legal
SiData+ est. 2020 25/02/2021 CC BY-NC-SA 4.0 18
Data Governance, Data Management, Data Innovation
Privacy Project @ Siriraj
โครงการพัฒนาการคุŒมครองขŒอมูลส‹วนบุคคล คณะแพทยศาสตรศิริราชพยาบาล

25/02/2021 CC BY-NC-SA 4.0 19

Privacy Project @ Siriraj
Phase 0 Planning
0.1 Understand Scope 0.2 Executive Buy-In 0.3 In-house v.
Outsourcing
🇹🇭 External: Law & Regulations
Further Resources: Aj Nawanan’s lecture @
The Medical Council of Thailand on 21 Jan 2021

🏥 Internal: Stakeholder
Identification & Org Structure

0.4 Mandate
25/02/2021 CC BY-NC-SA 4.0 20
Privacy Project @ Siriraj
Phase 1 Assess & Build Foundations

25/02/2021 CC BY-NC-SA 4.0 21

Phase 1: Record of Processing Activities
(RoPA) มาตรา 39

Simple RoPA

(legal basis)

Full RoPA
25/02/2021 CC BY-NC-SA 4.0 22
 Phase 1: Record of Processing Activities
ตัวอย‹าง Simple RoPA หน‹วยงานละ 1 file Excel รวมทั้งหมด มีหลายรŒอยกระบวนงาน
ชุดขŒอมูล
กระบวนงาน
ผูŒเกี่ยวขŒอง
/
กับขŒอมูล General Sensitive General Sensitive General Sensitive General Sensitive General Sensitive
วัตถุประสงค
Clinical Clinical Research Research Student Student HR HR Other Other

เจŒาหนŒาที่ ชื่อ contact

จัดทำประวัติ ชื่อ contact อาการ
เวชระเบียน details
ผูŒป†วยใหม‹ details เบื้องตŒน
OPD ผูŒที่ติดต‹อไดŒ

เจŒาหนŒาที่บันทึก ชื่อแพทย
จัดทำ registry / / / /
นักวิจัย แพทย จนท.
ขŒอมูล
รับสมัครงาน เจŒาหนŒาที่ HR
ผูŒสมัครงาน
Further Resources: NHS Digital GDPR Register, UK ICO Template 25/02/2021 CC BY-NC-SA 4.0 23
 Phase 1: Record of Processing Activities
Full RoPA
1. กระบวนงาน / วัตถุประสงค
2. ชุดขŒอมูล
3. โครงสรŒางขŒอมูล (fields)
4. คุณลักษณะของขŒอมูล ปริมาณขŒอมูล แหล‹งที่มาของขŒอมูล
5. ฝ†ายงาน / ผูŒปฏิบัติ / ผูŒรับผิดชอบ
6. รายชื่อผูŒมีสิทธิในการเขŒาถึง
7. สถานที่เก็บขŒอมูล / ที่จัดเก็บในส‹วนงาน
8. ลักษณะงาน (Workflow)
9. มีการส‹งขŒอมูลใหŒบุคคลภายใน / ภายนอก / องคกรอื่นหรือไม‹
Further Resources: NHS Digital GDPR Register, UK ICO Template
10. ถŒามี ส‹งใหŒ ใคร ส‹งอะไรบŒาง ใครเปšนผูŒส‹ง กระบวนการ ความถี่
รูปแบบใด (ถŒามี)
11. เจŒาของขŒอมูลส‹วนบุคคล (Data Subject) สามารถขอดู
ขอรับ ขอแกŒ ไข ขอลบ ขอใหŒส‹งต‹อขŒอมูล ไดŒหรือไม‹ อย‹างไร
(ถŒามี)
12. ระยะเวลาการเก็บรักษาขŒอมูลส‹วนบุคคล และวิธีการทำลาย
13. ประเด็น / ป˜ญหาที่เกี่ยวขŒองกับพ.ร.บ.คุŒมครองขŒอมูลส‹วน
บุคคล
14. มาตรการการป‡องกันหรือแกŒ ไข
15. Point of Contact ในหน‹วยงาน
16. (โดย Privacy Team) Legal Basis ของกระบวนงานนั้น ๆ
25/02/2021 CC BY-NC-SA 4.0 24
Phase 1: Record of Processing Activities
ตัวอย‹าง Full RoPA (1/2)
1 กระบวนงาน / วัตถุประสงค จัดทำประวัติผูŒป†วยใหม‹
2 ชุดขŒอมูล ขŒอมูลผูŒป†วยที่มาลงทะเบียน
1. ชื่อ ไทย อังกฤษ คำนำหนŒาชื่อ, บัตรประชาชน, เชื้อชาติ สัญชาติ ศาสนา เพศ ที่อยู‹
หมู‹เลือด ยาที่แพŒ
3 โครงสรŒางขŒอมูล (fields)
2. มารดา บิดา ผูŒที่สามารถติดต‹อไดŒกรณีฉุกเฉิน เบอรโทร ที่อยู‹
3. อาการเบื้องตŒน
4 คุณลักษณะของขŒอมูล ปริมาณขŒอมูล แหล‹งที่มาของขŒอมูล แบบฟอรมกระดาษ (scanned) ออนไลน website
5 ฝ†ายงาน / ผูŒปฏิบัติ / ผูŒรับผิดชอบ หน‹วยเวชระเบียนผูŒป†วยนอก งานเวชระเบียน
6 รายชื่อผูŒมีสิทธิในการเขŒาถึง เจŒาหนŒาที่เวชระเบียน
7 สถานที่เก็บขŒอมูล / ที่จัดเก็บในส‹วนงาน หŒองเก็บเอกสาร, ระบบของฝ†ายสารสนเทศ
8 ลักษณะงาน (Workflow) ผูŒป†วยกรอกขŒอมูล -> พยาบาลคัดกรอง -> จนท.บันทึกลงระบบ
9 มีการส‹งขŒอมูลใหŒบุคคลภายใน / ภายนอก / องคกรอื่นหรือไม‹ มี ทั้งภายใน และภายนอก
ถŒามี ส‹งใหŒใคร ส‹งอะไรบŒาง ใครเปšนผูŒส‹ง กระบวนการ ความถี่ ส‹งขŒอมูลใหŒฝ†าย IT จัดการ, ส‹งสถิติใหŒผูŒบริหาร, ส‹งกองทุนฯ เพื่อตรวจสอบการเบิก
10
รูปแบบใด (ถŒามี) จ‹าย 25
25/02/2021 CC BY-NC-SA 4.0
Phase 1: Record of Processing Activities
ตัวอย‹าง Full RoPA (2/2)
เจŒาของขŒอมูลส‹วนบุคคล (Data Subject) สามารถขอดู
11 ขอรับ ขอแกŒ ไข ขอลบ ขอใหŒส‹งต‹อขŒอมูล ไดŒหรือไม‹ อย‹างไร ผูŒป†วยสามารถแกŒ ไขขŒอมูลไดŒผ‹าน Application, website, แบบฟอรม
(ถŒามี)
ผูŒป†วยทั่วไป กระดาษ 3 ป‚ และแสกน ยังไม‹มีกำหนดทำลาย
12 ระยะเวลาการเก็บรักษาขŒอมูลส‹วนบุคคล และวิธีการทำลาย
ผูŒป†วยวิจัย กระดาษ 15 ป‚ และแสกน ยังไม‹มีกำหนดทำลาย
ประเด็น / ป˜ญหาที่เกี่ยวขŒองกับพ.ร.บ.คุŒมครองขŒอมูลส‹วน 1. หากผูŒป†วยมาขอลบขŒอมูลทำไดŒ หรือไม‹ อย‹างไร?
13
บุคคล 2. การรักษาความปลอดภัย
อŒางอิง ระเบียบระเบียบปฏิบัติเรื่อง การลงทะเบียนผูŒป†วยใหม‹,
14 มาตรการการป‡องกันหรือแกŒ ไข
วิธิปฏิบัติงานเรื่อง การเก็บเวชระเบียนผูŒป†วยนอก
15 Point of Contact ในหน‹วยงาน คุณ……
16 (โดย Privacy Team) Legal Basis ของกระบวนงานนั้น ๆ มาตรา 26 (5) (ก) การใหŒบริการดŒานสุขภาพหรือดŒานสังคม การรักษาทางการแพทย

25/02/2021 CC BY-NC-SA 4.0 26

Phase 1: Gap & Risk Assessment

25/02/2021 CC BY-NC-SA 4.0 27

Phase 1: Policy v. Notice

Data Protection Policy = Data protection policies outline the basic contours of the measures an organization takes in the
processing and handling of personal data. Key matters the policy should address include: Scope, which explains both to
whom the internal policy applies and the type of processing activities it covers; Policy statement; Employee responsibilities;
Management responsibilities; Reporting incidents; Policy compliance.
(นโยบายการคุŒมครองขŒอมูลส‹วนบุคคล สำหรับแจŒงบุคลากรภายในองคกร)
Privacy Notice = A statement made to a data subject that describes how an organization collects, uses, retains and discloses
personal information. A privacy notice may be referred to as a privacy statement, a fair processing statement or, sometimes, a
privacy policy. Numerous global privacy and data protection laws require privacy notices.
(เอกสารแจŒงขŒอมูลการประมวลผลขŒอมูล ตามมาตรา 23 สำหรับแจŒงเจŒาของขŒอมูลส‹วนบุคคล)

Further Resources: International Association of Privacy Professionals (IAPP) https://iapp.org/resources/glossary

25/02/2021 CC BY-NC-SA 4.0 28
Phase 1: Policy & Documents

นโยบาย มหาวิทยาลัย
(Policy) คณะฯ
ระเบียบปฏิบัติ ระหว‹างหน‹วยงานภายในคณะฯ
(System Procedure)
วิธีปฏิบัติ ภายในหน‹วยงานภายในคณะฯ
(Work Instruction)

เอกสารสนับสนุน (Support Document) คู‹มือ, แบบฟอรม

25/02/2021 CC BY-NC-SA 4.0 29
Phase 1: Personal Data Protection Policy
Mahidol University

การนิยามข้อมูลส่วนบุคคล

กระบวนการจัดเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

กระบวนการขอความยินยอม
กระบวนการเปิดเผย ส่งหรือโอนข้อมูลส่วนบุคคล แก่บุคคลธรรมดาหรือ
นิติบุคคล และไปยังต่างประเทศ
กระบวนการทางสิทธิของเจ้าของข้อมูลส่วนบุคคล

กระบวนการรักษาความปลอดภัยของข้อมูลส่วนบุคคล
กระบวนการบทบาทหน้าที่

https://muit.mahidol.ac.th/announcement/MU-Data-Privacy_13112020.pdf 25/02/2021 CC BY-NC-SA 4.0 30

Phase 1: Personal Data Protection Policy
Faculty of Medicine Siriraj Hospital (Draft)

1. วัตถุประสงค
2. คำจำกัดความ
3. ขอบข‹าย
4. รายละเอียด
4.1. กระบวนการตามนโยบายของมหาวิทยาลัยมหิดล
4.2. กำหนดใหŒมีระเบียบปฏิบัติ
(System Procedures – next slide)
5. ความรับผิดชอบ
25/02/2021 CC BY-NC-SA 4.0 31
Phase 1: System Procedures
mapped to A-S-P-R

1. Assess: Record of Processing Activities, Gap & Risk Assessment,

Data Protection Impact Assessment (DPIA), Vendor Assessment
2. Protect: Governance System Procedure, Privacy Notice, Consent for Personal Data Processing,
Data Processing Agreement, Cross-Border Data Transfer, De-identification & Anonymization, Privacy by Design
3. Sustain: Monitor & Audit, Training & Awareness with Assessment
4. Respond: Data Subject Request, Request of Personal Data, Complaint,
Data Protection Incident Management and Breach Notification

Further Resources: TDPG, IAPP Privacy Program Management Book, Nymity Privacy Management Accountability Framework,
Aj Nawanan & Aj Thanakrit’s lecture @ The Medical Council of Thailand on 21 Jan 2021
25/02/2021 CC BY-NC-SA 4.0 32
Data Protection Governance Structure
to be finalized in part
University Executives
University DPO
Faculty Executives
Faculty DPO-like
Committee
Data Steering Committee
(Data Governance Council)

คกก.พิจารณาร‹างฯ Working Committees

คกก.ร‹างนโยบาย และระเบียบปฏิบัติฯ
25/02/2021 CC BY-NC-SA 4.0 33
Phase 1: Policy, Notice, Documents, Forms

Disclaimer:
Siriraj does not affiliate to nor
endorse these organizations,
except Mahidol University. Their
materials are available publicly.
Some links are listed at the end of
this presentation.

25/02/2021 CC BY-NC-SA 4.0 34

Privacy Project @ Siriraj
Phase 2 Implement

นำนโยบาย และระเบียบปฏิบัติ ใน Phase 1 มาปรับใชŒ พัฒนากระบวนการเก็บขŒอมูลเท‹าที่จำเปšน, การใชŒ เก็บ ทำลาย, การเปดเผย ส‹งต‹อ, การขอ
consent, การใชŒสิทธิ์ของ Data Subject, การรักษาความปลอดภัย, การชี้แจง ทำใหŒโปร‹งใส, การกำกับธรรมาภิบาลขŒอมูล, การควบคุมคุณภาพ
ขŒอมูล ในหน‹วยงานต‹าง ๆ

25/02/2021 CC BY-NC-SA 4.0 35

Privacy Project @ Siriraj
Phase 3 Protect & Respond

ปฏิบัติงานคุŒมครองและรับมือ
ดำเนินงานเพื่อคุŒมครองปกป‡องขŒอมูลส‹วนบุคคล และรับมือกับกิจกรรม เหตุการณต‹าง ๆ โดย Privacy Team และคณะทำงาน
25/02/2021 CC BY-NC-SA 4.0 36
Privacy Project @ Siriraj
Phase 4 Sustain: Monitor & Audit

รักษามาตรฐาน ติดตาม ประเมิน

ติดตาม ตรวจสอบ ประเมิน การดำเนินการของหน‹วยงานต‹าง ๆ ในคณะฯ ใหŒเปšนไปตาม PDPA และกฎหมายที่เกี่ยวขŒอง และปรับปรุงแกŒ ไข
การดำเนินงานใหŒสมบูรณ อย‹างต‹อเนื่อง
25/02/2021 CC BY-NC-SA 4.0 37
 Privacy Project @ Siriraj
Training & Awareness
Clinical Research Education HR General

Executives, Chairs, Heads of Dept.

Staff

Students

Data Subjects (only awareness)

Formats (presentation, article, infographics, poster, how-to, checklist, form, etc.)

25/02/2021 CC BY-NC-SA 4.0 38
Channels (meeting, website, internal communication platform, poster board, event, road tour, etc.)
Responsibility
to be Operationally Compliant

NOT only by One Unit

NOT only by One Staff with Some Staff
(e.g. Executive / DPO / Privacy Expert) (e.g. Privacy Team)

One Enterprise by All Staff in All Units

Communication & Alignment → Operational Compliance → Trustworthiness
…and 3rd Parties

25/02/2021 CC BY-NC-SA 4.0 39

Privacy Project @ Siriraj
Overview

25/02/2021 CC BY-NC-SA 4.0 40

Lessons Learned
1. Communication & 2. Operational 3. Ambiguity of
Alignment Compliance PDPA

1. Governance Structure: What? Who? How?

2. Terminology Definition (e.g., Data Protection, Personal Data, Data Subject, DPO,
Consent, etc. – see https://www.si.mahidol.ac.th/data/pdpa/privacy-program/definitions)
3. Project Management (e.g., Kanban Board – see next slide)

25/02/2021 CC BY-NC-SA 4.0 41

Lessons Learned
1. Communication & 2. Operational 3. Ambiguity of
Alignment Compliance PDPA
Kanban Board
Backlog Next Week This Week Pending Done ⭐
Steering Commitee
Working Commitee
Manager
Staff A
Staff B

25/02/2021 CC BY-NC-SA 4.0 42

Lessons Learned
1. Communication & 2. Operational 3. Ambiguity of
Alignment Compliance PDPA
Demand v. Supply of Resources

Privacy Team eased by Simple RoPA, Siriraj Units

Pilot & Focus Group
Demand Supply
(e.g., RoPA) (e.g., Details in RoPA)
Supply Demand
(e.g., Training (e.g., Operational
eased by reusable
& Awareness) materials, websites, recording etc. Compliance)
25/02/2021 CC BY-NC-SA 4.0 43
Lessons Learned
1. Communication & 2. Operational 3. Ambiguity of
Alignment Compliance PDPA

รอคณะกรรมการคุŒมครองขŒอมูลส‹วนบุคคล ประกาศกฎหมายลำดับรอง และกำหนดบัญญัติเพิ่มเติม เพื่อความชัดเจน

25/02/2021 CC BY-NC-SA 4.0 44

 Recommended Resources
from Table in Slide #2
Items for Interpretation & Privacy Project Privacy–Security
Law & Regulations
Consideration Guidelines (aka Privacy Program) Measures & Tools
Examples • Thai PDPA (https:// • TDPG (Thailand Data • Privacy Frameworks (IAPP • TDPG
sites.google.com/view/ Protection Guideline) Privacy Program • 99 Privacy Breaches to
Resources pdpa-2019/pdpa-home, • Guidelines form from the Management (Book 2019), Beware of (Book 2019)
https://pdpa.sidata.plus) UK & other countries (UK IAPP member contents, • IAPP An Introduction to
• comparable law e.g. GDPR, ICO, NHS Digital, UK IGA, NIST Privacy Framework, Privacy for Technology
HIPAA, HITECH US HHS) ISO27701) Professionals (Book 2020)
• Violation Lists (Privacy • Caldicott Principles • Website & Documents from • IAPP Privacy Tech Vendor
Affairs, Enforcement institutions, esp. in the UK Report
Tracker, HITECH Breach, (University of Cambridge, • HCISPP, etc.
Cambridge University Hospital,
etc.) University of Edinburgh, etc.)
• https://si.mahidol.ac.th/
data/pdpa

Webinar recordings: Thai Medical Council, ACIOA (TG, EXIM) 25/02/2021 CC BY-NC-SA 4.0 46
Acknowledgement

• ศูนยสารสนเทศและนวัตกรรมขŒอมูลศิริราช SiData+
(Data Governance Team)
• คณะที่ปรึกษา
• คณะกรรมการขŒอมูล คณะแพทยศาสตรศิริราชพยาบาล
• คณะทำงานร‹างนโยบายธรรมาภิบาล และนโยบายคุŒมครองขŒอมูลส‹วน
บุคคล คณะแพทยศาสตรศิริราชพยาบาล
• งานบริหารจัดการความเสี่ยง คณะแพทยศาสตรศิริราชพยาบาล
• หน‹วยวินัยและนิติการ คณะแพทยศาสตรศิริราชพยาบาล
• หน‹วยงานต‹าง ๆ ในคณะแพทยศาสตรศิริราชพยาบาล
25/02/2021 CC BY-NC-SA 4.0 47
 Privacy Project Implementation
Communication & Alignment → Operational Compliance → Trustworthiness
Governance, Assess, Protect, Sustain, Response (G-A-P-S-R)
More information on https://si.mahidol.ac.th/data/pdpa
Contact Siriraj Informatics and Data Innovation Center (SiData+) at 02 414 1368 or sidata@mahidol.ac.th
Appendix
Caldicott Principles
UK NHS Confidentiality Code of Practice
1 Justify the purpose(s) for using confidential information
2 Use confidential information only when it is necessary
3 Use the minimum necessary confidential information
4 Access to confidential information should be on a strict need-to-know
basis
5 Everyone with access to confidential information should be aware of
their responsibilities
6 Comply with the law
7 The duty to share information for individual care is as important as the
duty to protect patient confidentiality
8 Inform patients and service users about how their confidential
information is used
ใหŒเหตุผล วัตถุประสงคการใชŒขŒอมูลที่เปšนความลับ
ใชŒขŒอมูลที่เปšนความลับเมื่อจำเปšนเท‹านั้น
ใชŒขŒอมูลที่เปšนความลับเท‹าที่จำเปšน ใหŒนŒอยที่สุด
การเขŒาถึงขŒอมูลที่เปšนความลับ ตั้งอยู‹บนพื้นฐานว‹า
มีความจำเปšนตŒองรูŒ (need-to-know) อย‹างเขŒมงวด
ผูŒที่เขŒาถึงขŒอมูลที่เปšนความลับทุกคนมีความตระหนัก
ถึงความรับผิดชอบของตนเอง
ทำใหŒถูกตŒองตามกฎหมาย
หนŒาที่ในการเปดเผยขŒอมูลสำหรับการรักษาบุคคลนั้น
มีความจำเปšนเท‹ากับหนŒาที่ในการรักษาความลับของผูŒป†วย
แจŒงผูŒป†วยและผูŒรับบริการใหŒทราบว‹า มีการใชŒขŒอมูลของพวกเขาอย‹างไร
25/02/2021 CC BY-NC-SA 4.0 50
https://si.mahidol.ac.th/data/pdpa

25/02/2021 CC BY-NC-SA 4.0 51

https://pdpa.sidata.plus

25/02/2021 CC BY-NC-SA 4.0 52