แชร์

OLVG กรณีศึกษาเหตุข้อมูลรั่วไหลของโรงพยาบาล

อัพเดทล่าสุด: 18 ก.ย. 2024
822 ผู้เข้าชม

เมื่อวันที่ 20 พฤศจิกายน 2563 Dutch Data Protection Authority (Dutch DPA) ได้มีคำสั่งปรับทางปกครองโรงพยาบาล OLVG เป็นเงิน 440,000 ยูโร เนื่องจากการไม่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เกี่ยวกับข้อมูลการรักษาของคนไข้ และไม่มีมาตรการการตรวจสอบสิทธิการเข้าถึงอย่างอย่างเป็นระบบ

Dutch DPA เริ่มกระบวนการสอบสวนครั้งนี้จากการที่มีการรายงานข้อมูลผ่านสื่อต่าง ๆ เกี่ยวกับมาตรการด้านความปลอดภัยของโรงพยาบาลและการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลจำนวน 2 ครั้งโดยโรงพยาบาลเกี่ยวกับการที่นักเรียนแพทย์และกลุ่มบุคลากร ที่ไม่มีความจำเป็นต้องเข้าถึงข้อมูลการรักษาพยาบาลสามารถเข้าถึงข้อมูลการรักษาได้ ข้อเท็จจริงในคดีนี้จากการสืบสวนของ Dutch DPA พบว่า โรงพยาบาล กระทำผิด 2 กรณี ดังนี้


กรณีที่หนึ่ง การไม่มีการทบทวนตรวจสอบระบบ
โรงพยาบาลได้จัดให้มีระบบอัตโนมัติเพื่อบันทึกว่ามีใครบ้างที่เข้าถึงหรือเข้าใช้งานระบบข้อมูลคนไข้โดยจัดทำระบบบันทึกการเข้าถึง (logged record) แต่โรงพยาบาลไม่ได้มีการทบทวนตรวจสอบการเข้าถึงอย่างสม่ำเสมอ โดยระหว่างวันที่ 1 มกราคม 2561 ถึง 17 เมษายน 2562 ได้มีการสุ่มตรวจสอบการเข้าถึงเพียงสองครั้งเท่านั้น ซึ่งการมีระบบการตรวจสอบสิทธิการเข้าถึงอย่างสม่ำเสมอจะช่วยให้องค์กรสามารถตรวจพบเหตุผิดปกติหรือเหตุการละเมิดข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพมากขึ้น

กรณีที่สอง ระบบการป้องกันการเข้าถึงข้อมูลที่ไม่เหมาะสม
Dutch DPA ให้ความเห็นว่า เนื่องจากข้อมูลการรักษาพยาบาลของคนไข้เป็นข้อมูลอ่อนไหว (sensitive data) และในเอกสาร Information Security & Privacy Policy ของ OLVG ได้กล่าวว่าโรงพยาบาลได้ถือปฏิบัติตามมาตรฐาน NEN 7510, NEN 7512 และ NEN 7513 (มาตรฐานความปลอดภัยด้านเทคโนโลยีสารสนเทศของประเทศเนเธอร์แลนด์) ซึ่งมาตรฐานดังกล่าวกำหนดให้โรงพยาบาลต้องใช้ระบบยืนยันตัวตน 2 ชั้น(Two-Factor Authentication) หรือ 2FA แต่ข้อเท็จจริงปรากฏว่า OLVG นำระบบ 2FA มาใช้ในกับการเข้าถึงระบบเครือข่ายจากภายนอกโรงพยาบาลเท่านั้น แต่ไม่ได้นำมาตรฐานดังกล่าวมาใช้ในกรณีที่เป็นการเข้าถึงเครือข่ายสารสนเทศภายในโรงพยาบาล
ระบบยืนยันตัวตน 2 ชั้น หรือ 2FA เป็นการเข้ารหัสขั้นที่ 2 หลังจากล็อกอินด้วยรหัสผ่านตามปกติ โดยจะมีการยืนยันผ่าน OTP (One-Time Password) ผ่านข้อความ SMS หรือแอป Authentication หรือการใช้ Token เพื่อป้อนรหัสให้ตรงกันและยืนยันตัวตนเป็นครั้งที่สอง

ดังนั้น ข้อเท็จจริงในคดีนี้เมื่อพิจารณาจากความอ่อนไหวและความเสี่ยงของข้อมูลดังกล่าว โรงพยาบาลจึงควรต้องนำระบบ 2FA มาใช้ในทุก ๆ กรณี
โรงพยาบาลให้ความร่วมมือกับ Dutch DPA ในการปรับปรุงกระบวนการเข้าถึงและการนำระบบ 2FA มาใช้กับการเข้าถึงข้อมูลในระบบเครือข่ายทั้งภายนอกและภายในองค์กร และไม่ได้ใช้สิทธิอุทธรณ์หรือโต้แย้งคำสั่งปรับของ Dutch DPA  

จากคดี OLVG อาจสรุปได้ว่าสิ่งที่องค์กรควรต้องดำเนินการให้สอดคล้องกับกฎหมายในส่วนมาตรการรักษาความมั่นคงปลอดภัยมี 3 ประการกล่าวคือ
(1)การมีมาตรการเชิงองค์กรในการควบคุมการเข้าถึงข้อมูลส่วนบุคคลโดยพิจารณาจากหน้าที่และความจำเป็น (Role-based access control (RBAC)
(2) การมีระบบเทคโนโลยีในการบริหารจัดการการเข้าถึง โดยต้องคำถึงถึงลักษณะและประเภทของข้อมูลดังกล่าว ความอ่อนไหวของข้อมูลและความเสี่ยงที่เกี่ยวข้อง และมาตรฐานในอุตสาหกรรม 
(3) การมีระบบตรวจสอบและสอบทานว่าเครื่องมือ (Controls) ตามข้อ (1) และ (2)สามารถทำงานตามหน้าที่ที่กำหนดได้อย่างมีประสิทธิภาพ


ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(1)  กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม  

ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด และกำหนดโทษไว้ในมาตรา 83 ว่าผู้ควบคุมข้อมูลส่วนบุคคลที่ฝ่าฝืนหรือไม่ปฏิบัติตาม 37 อาจต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท 

ในขณะที่ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีการบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาต และต้องจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลด้วย

ดังนั้น หากข้อเท็จจริงในลักษณะเดียวกันกับ OLVG  เกิดขึ้นในประเทศไทย ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฯ น่าจะถือได้ว่ามีแนวปฏิบัติที่ชัดเจนระดับหนึ่งว่าองค์กรมีหน้าที่และความรับผิดต่อกรณีดังกล่าวอย่างไรบ้าง.

 

บทความโดย ศุภวัชร์ มาลานนท์
FIP, CIPM, CIPP, Certified DPO/GDPR
บัณฑิตวิทยาลัยการจัดการและนวัตกรรม 
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ระวีวรรณ ขันติวิริยะพานิช
EXIN Privacy and Data Protection, DPOaaS LTD

Tags :
databreach
pdpa
datasecurity
ข้อมูลรั่วไหล
โรงพยาบาลข้อมูลรั่ว
olvg
บทความที่เกี่ยวข้อง
กรณีศึกษา : การขอความยินยอมจากผู้เยาว์
กรณีศึกษา : การขอความยินยอมจากผู้เยาว์
ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 19 กำหนดว่า บุคคลย่อมพ้นจากภาวะผู้เยาว์และบรรลุนิติภาวะเมื่อมีอายุยี่สิบปีบริบูรณ์ และมาตรา 20 กำหนดว่า
13 ส.ค. 2024
การลบหรือทำลายข้อมูลส่วนบุคคลและการพัฒนา AI
การลบหรือทำลายข้อมูลส่วนบุคคลและการพัฒนา AI
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA มาตรา 37 (3) กำหนดให้องค์กรมีหน้าที่จัดให้มีระบบการตรวจสอบ เพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคล
13 ส.ค. 2024
EU AI Act กฎหมายเปลี่ยนโลก ควบคุมเอไอความเสี่ยงสูง
EU AI Act กฎหมายเปลี่ยนโลก ควบคุมเอไอความเสี่ยงสูง
รัฐสภายุโรปได้อนุมัติ EU AI Act โดยกฎหมายดังกล่าว ได้กำหนดหลักการที่สำคัญหลายประการ อาทิ มาตรการที่เหมาะสมสำหรับการใช้ปัญญาประดิษฐ์ทั่วไป
13 ส.ค. 2024
เว็บไซต์นี้มีการใช้งานคุกกี้ เพื่อเพิ่มประสิทธิภาพและประสบการณ์ที่ดีในการใช้งานเว็บไซต์ของท่าน ท่านสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ ประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) และ นโยบายคุกกี้
เปรียบเทียบสินค้า
0/4
ลบทั้งหมด
เปรียบเทียบ
Powered By MakeWebEasy Logo MakeWebEasy