Professional Documents
Culture Documents
Privacy Project Implementation at Siriraj
Privacy Project Implementation at Siriraj
Privacy Project Implementation at Siriraj
@ Siriraj
Presented at The Medical Council of Thailand on 25 February 2021
Natthawut Adulyanukosol
Deputy Director of Siriraj Informatics and Data Innovation Center (SiData+)
Data Protection (EU) / Information Privacy (US)
Landscape
This presentation
University &
Levels National Faculty & Hospital Individual Staff
Board of Directors
Items for Interpretation & Privacy Project Privacy–Security
Law & Regulations
Consideration Guidelines (aka Privacy Program) Measures & Tools
Regulators Legal Experts & Privacy Team & All Employee (not limited
Responsible Parties to Doctors) & 3rd Parties
(สคส. PDPC) Executives Privacy Project Manager
Example Thai PDPA & TDPG (Thailand Data Privacy Frameworks,
TDPG, IAPP, etc.
Resources comparable law e.g. GDPR Protection Guideline), etc. etc.
Risk Management Unit Data Governance (Privacy) Team Head of Departments &
Regulation & Law Unit Data Governance & Legal Specialists Units
Natthawut Adulyanukosol,
MSc (cand.scient.), BA Hons (Cantab)
Deputy Director,
Privacy Project Manager 25/02/2021 CC BY-NC-SA 4.0 3
Disclaimer
NOT Legal Advice Experience from a single organization
in the process of implementation
⚖ 🛠
25/02/2021 CC BY-NC-SA 4.0 4
Contents
How does Siriraj Privacy Team What does Siriraj Privacy Team
See Data Protection? Do to Protect Data?
How does Siriraj Privacy Team What does Siriraj Privacy Team
See Data Protection? Do to Protect Data?
Ans: Communication & Alignment →
Operational Compliance → Trustworthiness
Security Principles
Confidentiality, Integrity, Availability
Further Resources: TDPG, Aj Peerapat & Aj Auradee’s lecture @ The Medical Council of Thailand on 21 Jan 2021
25/02/2021 CC BY-NC-SA 4.0 10
Operational Activities
C-U-D-S & G-A-P-S-R
How does Siriraj Privacy Team What does Siriraj Privacy Team
See Data Protection? Do to Protect Data?
Ans: Communication & Alignment → Ans: Governance, Assess, Protect,
Operational Compliance → Trustworthiness Sustain, Response (G-A-P-S-R)
🏥 Internal: Stakeholder
Identification & Org Structure
0.4 Mandate
25/02/2021 CC BY-NC-SA 4.0 20
Privacy Project @ Siriraj
Phase 1 Assess & Build Foundations
Simple RoPA
(legal basis)
Full RoPA
25/02/2021 CC BY-NC-SA 4.0 22
Phase 1: Record of Processing Activities
ตัวอยาง Simple RoPA หนวยงานละ 1 file Excel รวมทั้งหมด มีหลายรอยกระบวนงาน
ชุดขอมูล
กระบวนงาน
ผูเกี่ยวของ
/
กับขอมูล General Sensitive General Sensitive General Sensitive General Sensitive General Sensitive
วัตถุประสงค
Clinical Clinical Research Research Student Student HR HR Other Other
เจาหนาที่บันทึก ชื่อแพทย
จัดทำ registry / / / /
นักวิจัย แพทย จนท.
ขอมูล
รับสมัครงาน เจาหนาที่ HR
ผูสมัครงาน
Further Resources: NHS Digital GDPR Register, UK ICO Template 25/02/2021 CC BY-NC-SA 4.0 23
Phase 1: Record of Processing Activities
Full RoPA
1. กระบวนงาน / วัตถุประสงค 10. ถามี สงให ใคร สงอะไรบาง ใครเปนผูสง กระบวนการ ความถี่
2. ชุดขอมูล รูปแบบใด (ถามี)
3. โครงสรางขอมูล (fields) 11. เจาของขอมูลสวนบุคคล (Data Subject) สามารถขอดู
ขอรับ ขอแก ไข ขอลบ ขอใหสงตอขอมูล ไดหรือไม อยางไร
4. คุณลักษณะของขอมูล ปริมาณขอมูล แหลงที่มาของขอมูล
(ถามี)
5. ฝายงาน / ผูปฏิบัติ / ผูรับผิดชอบ
12. ระยะเวลาการเก็บรักษาขอมูลสวนบุคคล และวิธีการทำลาย
6. รายชื่อผูมีสิทธิในการเขาถึง
13. ประเด็น / ปญหาที่เกี่ยวของกับพ.ร.บ.คุมครองขอมูลสวน
7. สถานที่เก็บขอมูล / ที่จัดเก็บในสวนงาน บุคคล
8. ลักษณะงาน (Workflow) 14. มาตรการการปองกันหรือแก ไข
9. มีการสงขอมูลใหบุคคลภายใน / ภายนอก / องคกรอื่นหรือไม 15. Point of Contact ในหนวยงาน
16. (โดย Privacy Team) Legal Basis ของกระบวนงานนั้น ๆ
Further Resources: NHS Digital GDPR Register, UK ICO Template 25/02/2021 CC BY-NC-SA 4.0 24
Phase 1: Record of Processing Activities
ตัวอยาง Full RoPA (1/2)
1 กระบวนงาน / วัตถุประสงค จัดทำประวัติผูปวยใหม
2 ชุดขอมูล ขอมูลผูปวยที่มาลงทะเบียน
1. ชื่อ ไทย อังกฤษ คำนำหนาชื่อ, บัตรประชาชน, เชื้อชาติ สัญชาติ ศาสนา เพศ ที่อยู
หมูเลือด ยาที่แพ
3 โครงสรางขอมูล (fields)
2. มารดา บิดา ผูที่สามารถติดตอไดกรณีฉุกเฉิน เบอรโทร ที่อยู
3. อาการเบื้องตน
4 คุณลักษณะของขอมูล ปริมาณขอมูล แหลงที่มาของขอมูล แบบฟอรมกระดาษ (scanned) ออนไลน website
5 ฝายงาน / ผูปฏิบัติ / ผูรับผิดชอบ หนวยเวชระเบียนผูปวยนอก งานเวชระเบียน
6 รายชื่อผูมีสิทธิในการเขาถึง เจาหนาที่เวชระเบียน
7 สถานที่เก็บขอมูล / ที่จัดเก็บในสวนงาน หองเก็บเอกสาร, ระบบของฝายสารสนเทศ
8 ลักษณะงาน (Workflow) ผูปวยกรอกขอมูล -> พยาบาลคัดกรอง -> จนท.บันทึกลงระบบ
9 มีการสงขอมูลใหบุคคลภายใน / ภายนอก / องคกรอื่นหรือไม มี ทั้งภายใน และภายนอก
ถามี สงใหใคร สงอะไรบาง ใครเปนผูสง กระบวนการ ความถี่ สงขอมูลใหฝาย IT จัดการ, สงสถิติใหผูบริหาร, สงกองทุนฯ เพื่อตรวจสอบการเบิก
10
รูปแบบใด (ถามี) จาย 25
25/02/2021 CC BY-NC-SA 4.0
Phase 1: Record of Processing Activities
ตัวอยาง Full RoPA (2/2)
เจาของขอมูลสวนบุคคล (Data Subject) สามารถขอดู
11 ขอรับ ขอแก ไข ขอลบ ขอใหสงตอขอมูล ไดหรือไม อยางไร ผูปวยสามารถแก ไขขอมูลไดผาน Application, website, แบบฟอรม
(ถามี)
ผูปวยทั่วไป กระดาษ 3 ป และแสกน ยังไมมีกำหนดทำลาย
12 ระยะเวลาการเก็บรักษาขอมูลสวนบุคคล และวิธีการทำลาย
ผูปวยวิจัย กระดาษ 15 ป และแสกน ยังไมมีกำหนดทำลาย
ประเด็น / ปญหาที่เกี่ยวของกับพ.ร.บ.คุมครองขอมูลสวน 1. หากผูปวยมาขอลบขอมูลทำได หรือไม อยางไร?
13
บุคคล 2. การรักษาความปลอดภัย
อางอิง ระเบียบระเบียบปฏิบัติเรื่อง การลงทะเบียนผูปวยใหม,
14 มาตรการการปองกันหรือแก ไข
วิธิปฏิบัติงานเรื่อง การเก็บเวชระเบียนผูปวยนอก
15 Point of Contact ในหนวยงาน คุณ……
16 (โดย Privacy Team) Legal Basis ของกระบวนงานนั้น ๆ มาตรา 26 (5) (ก) การใหบริการดานสุขภาพหรือดานสังคม การรักษาทางการแพทย
Data Protection Policy = Data protection policies outline the basic contours of the measures an organization takes in the
processing and handling of personal data. Key matters the policy should address include: Scope, which explains both to
whom the internal policy applies and the type of processing activities it covers; Policy statement; Employee responsibilities;
Management responsibilities; Reporting incidents; Policy compliance.
(นโยบายการคุมครองขอมูลสวนบุคคล สำหรับแจงบุคลากรภายในองคกร)
Privacy Notice = A statement made to a data subject that describes how an organization collects, uses, retains and discloses
personal information. A privacy notice may be referred to as a privacy statement, a fair processing statement or, sometimes, a
privacy policy. Numerous global privacy and data protection laws require privacy notices.
(เอกสารแจงขอมูลการประมวลผลขอมูล ตามมาตรา 23 สำหรับแจงเจาของขอมูลสวนบุคคล)
นโยบาย มหาวิทยาลัย
(Policy) คณะฯ
ระเบียบปฏิบัติ ระหวางหนวยงานภายในคณะฯ
(System Procedure)
วิธีปฏิบัติ ภายในหนวยงานภายในคณะฯ
(Work Instruction)
การนิยามข้อมูลส่วนบุคคล
กระบวนการรักษาความปลอดภัยของข้อมูลส่วนบุคคล
กระบวนการบทบาทหน้าที่
1. วัตถุประสงค
2. คำจำกัดความ
3. ขอบขาย
4. รายละเอียด
4.1. กระบวนการตามนโยบายของมหาวิทยาลัยมหิดล
4.2. กำหนดใหมีระเบียบปฏิบัติ
(System Procedures – next slide)
5. ความรับผิดชอบ
25/02/2021 CC BY-NC-SA 4.0 31
Phase 1: System Procedures
mapped to A-S-P-R
Further Resources: TDPG, IAPP Privacy Program Management Book, Nymity Privacy Management Accountability Framework,
Aj Nawanan & Aj Thanakrit’s lecture @ The Medical Council of Thailand on 21 Jan 2021
25/02/2021 CC BY-NC-SA 4.0 32
Data Protection Governance Structure
to be finalized in part
University Executives
University DPO
Faculty Executives
Faculty DPO-like
Committee
Data Steering Committee
(Data Governance Council)
คกก.รางนโยบาย และระเบียบปฏิบัติฯ
25/02/2021 CC BY-NC-SA 4.0 33
Phase 1: Policy, Notice, Documents, Forms
Disclaimer:
Siriraj does not affiliate to nor
endorse these organizations,
except Mahidol University. Their
materials are available publicly.
Some links are listed at the end of
this presentation.
นำนโยบาย และระเบียบปฏิบัติ ใน Phase 1 มาปรับใช พัฒนากระบวนการเก็บขอมูลเทาที่จำเปน, การใช เก็บ ทำลาย, การเปดเผย สงตอ, การขอ
consent, การใชสิทธิ์ของ Data Subject, การรักษาความปลอดภัย, การชี้แจง ทำใหโปรงใส, การกำกับธรรมาภิบาลขอมูล, การควบคุมคุณภาพ
ขอมูล ในหนวยงานตาง ๆ
ปฏิบัติงานคุมครองและรับมือ
ดำเนินงานเพื่อคุมครองปกปองขอมูลสวนบุคคล และรับมือกับกิจกรรม เหตุการณตาง ๆ โดย Privacy Team และคณะทำงาน
25/02/2021 CC BY-NC-SA 4.0 36
Privacy Project @ Siriraj
Phase 4 Sustain: Monitor & Audit
Staff
Students
Webinar recordings: Thai Medical Council, ACIOA (TG, EXIM) 25/02/2021 CC BY-NC-SA 4.0 46
Acknowledgement
• ศูนยสารสนเทศและนวัตกรรมขอมูลศิริราช SiData+
(Data Governance Team)
• คณะที่ปรึกษา
• คณะกรรมการขอมูล คณะแพทยศาสตรศิริราชพยาบาล
• คณะทำงานรางนโยบายธรรมาภิบาล และนโยบายคุมครองขอมูลสวน
บุคคล คณะแพทยศาสตรศิริราชพยาบาล
• งานบริหารจัดการความเสี่ยง คณะแพทยศาสตรศิริราชพยาบาล
• หนวยวินัยและนิติการ คณะแพทยศาสตรศิริราชพยาบาล
• หนวยงานตาง ๆ ในคณะแพทยศาสตรศิริราชพยาบาล
25/02/2021 CC BY-NC-SA 4.0 47
Privacy Project Implementation
Communication & Alignment → Operational Compliance → Trustworthiness
Governance, Assess, Protect, Sustain, Response (G-A-P-S-R)
More information on https://si.mahidol.ac.th/data/pdpa
Contact Siriraj Informatics and Data Innovation Center (SiData+) at 02 414 1368 or sidata@mahidol.ac.th
Appendix
Caldicott Principles
UK NHS Confidentiality Code of Practice
1 Justify the purpose(s) for using confidential information ใหเหตุผล วัตถุประสงคการใชขอมูลที่เปนความลับ
2 Use confidential information only when it is necessary ใชขอมูลที่เปนความลับเมื่อจำเปนเทานั้น
3 Use the minimum necessary confidential information ใชขอมูลที่เปนความลับเทาที่จำเปน ใหนอยที่สุด
4 Access to confidential information should be on a strict need-to-know การเขาถึงขอมูลที่เปนความลับ ตั้งอยูบนพื้นฐานวา
basis มีความจำเปนตองรู (need-to-know) อยางเขมงวด
5 Everyone with access to confidential information should be aware of ผูที่เขาถึงขอมูลที่เปนความลับทุกคนมีความตระหนัก
their responsibilities ถึงความรับผิดชอบของตนเอง
6 Comply with the law ทำใหถูกตองตามกฎหมาย
7 The duty to share information for individual care is as important as the หนาที่ในการเปดเผยขอมูลสำหรับการรักษาบุคคลนั้น
duty to protect patient confidentiality มีความจำเปนเทากับหนาที่ในการรักษาความลับของผูปวย
8 Inform patients and service users about how their confidential แจงผูปวยและผูรับบริการใหทราบวา มีการใชขอมูลของพวกเขาอยางไร
information is used
25/02/2021 CC BY-NC-SA 4.0 50
https://si.mahidol.ac.th/data/pdpa