สำหรับสถานพยาบาล ข้อมูลคนไข้ไม่ใช่แค่ข้อมูลทั่วไป แต่ส่วนใหญ่คือ "ข้อมูลอ่อนไหว (Sensitive Data)" (เช่น ประวัติการรักษา, ฟิล์ม X-ray, ข้อมูลพันธุกรรม, ความพิการ) ซึ่งกฎหมายให้ความคุ้มครองเข้มงวดเป็นพิเศษ หากหลุดรอดออกไป โทษจะหนักกว่าธุรกิจทั่วไป
นี่คือ 4 เรื่องหลักที่คลินิกต้องทำ:
1. แยกประเภทข้อมูลให้ถูก
- ข้อมูลทั่วไป: ชื่อ, เบอร์โทร, ที่อยู่, เลขบัตร ปชช.
- ข้อมูลอ่อนไหว (Sensitive Data): ประวัติสุขภาพ, ประวัติการแพ้ยา, ผลแล็บ, เชื้อชาติ/ศาสนา (บนบัตร ปชช.)
- สิ่งที่ต้องทำ: ต้องระมัดระวังข้อมูลกลุ่มหลังนี้สูงสุด
2. หลักการ "แจ้ง" และ "ขอ" (Notice vs Consent)
คลินิกมักเข้าใจผิดว่าต้อง "ขอความยินยอม (Consent)" ทุกเรื่อง จริงๆ แล้วมี 2 แบบ:
- แบบที่ 1: แจ้งให้ทราบ (Privacy Notice)
- ใช้เมื่อ: เก็บข้อมูลเพื่อรักษาตามมาตรฐานวิชาชีพ, ออกใบเสร็จ, ส่งข้อมูลให้ประกันสังคม/กรมบัญชีกลาง
- วิธีทำ: ติดประกาศ "นโยบายความเป็นส่วนตัว" ที่เคาน์เตอร์เวชระเบียน หรือแปะ QR Code ให้คนไข้รู้ว่าเราเก็บข้อมูลอะไร ไปทำอะไร และเก็บนานแค่ไหน (ไม่ต้องเซ็นยินยอม แค่แจ้งให้รู้)
- แบบที่ 2: ขอความยินยอม (Consent)
- ใช้เมื่อ: นำข้อมูลไปใช้นอกเหนือการรักษา เช่น "การตลาด", "รีวิว Before/After", ส่งข่าวสารโปรโมชั่น, หรือส่งข้อมูลให้พันธมิตรทางธุรกิจอื่น
- วิธีทำ: ต้องมีเอกสารหรือช่องติ๊กถูกให้คนไข้ "เซ็นยินยอม" แยกต่างหากจากการรักษา และต้องไม่บังคับ (ไม่เซ็นก็ต้องรักษาได้)
3. การรักษาความปลอดภัยของข้อมูล (Security)
ต้องมีมาตรการดูแลทั้งเอกสารและดิจิทัล:
- เวชระเบียนกระดาษ (OPD Card): ต้องเก็บในตู้ที่มีกุญแจล็อค ไม่วางกองไว้หน้าเคาน์เตอร์ที่คนเดินผ่านไปมาเห็นได้
- ไฟล์ดิจิทัล: คอมพิวเตอร์ต้องมีรหัสผ่าน (Password), จำกัดสิทธิ์การเข้าถึง (เช่น พนักงานการเงินไม่ควรเห็นประวัติการรักษาลึกๆ), และควรมีการสำรองข้อมูล (Backup)
- การส่งต่อข้อมูล: หากส่งผลแล็บหรือส่งเคสต่อทาง LINE/Email ต้องมั่นใจว่าเป็นช่องทางที่ปลอดภัย หรือมีการเข้ารหัสไฟล์
4. สิทธิของคนไข้ (Data Subject Rights)
คนไข้มีสิทธิ์ในข้อมูลของตัวเอง คลินิกต้องมีขั้นตอนรองรับเมื่อคนไข้ร้องขอ:
- ขอประวัติการรักษา: คนไข้มีสิทธิ์ขอสำเนาเวชระเบียนตนเอง (คลินิกปฏิเสธไม่ได้ เว้นแต่มีเหตุผลทางกฎหมาย)
- ขอให้ลบข้อมูล: คนไข้ขอให้ลบได้ แต่ คลินิกอาจปฏิเสธได้หากกฎหมายสถานพยาบาลบังคับให้เก็บไว้อย่างน้อย 5 ปี หรือเพื่อใช้ต่อสู้คดีความ
✅ Checklist สิ่งที่คลินิกควรเริ่มทำทันที
- [ ] ติดประกาศ Privacy Notice: ที่จุดลงทะเบียน และบนเว็บไซต์ (ถ้ามี)
- [ ] ทำแบบฟอร์มขอความยินยอม (Consent Form): แยกใบสำหรับการถ่ายรูปราราคา/รีวิว หรือทำการตลาด
- [ ] อบรมพนักงานหน้าเคาน์เตอร์: ห้ามถ่ายรูปจอคอมฯ, ห้ามตะโกนชื่อ-อาการคนไข้ดังๆ, ห้ามทิ้งเอกสารที่มีชื่อคนไข้ลงถังขยะโดยไม่ทำลายก่อน
- [ ] ตรวจสอบคู่สัญญา: หากจ้างแล็บนอก, บริษัทบัญชี, หรือบริษัททำความสะอาด ต้องมีสัญญาว่าเขาจะรักษาความลับข้อมูลของเรา (Data Processing Agreement)
⚠️ ข้อควรระวังพิเศษ (Do's & Don'ts)
- ห้าม: โพสต์รูปคนไข้ (รีวิว) ลง Social Media โดย "ไม่เบลอหน้า" หรือ "ไม่ได้ขอความยินยอมเป็นลายลักษณ์อักษร" เด็ดขาด
- ห้าม: ถ่ายสำเนาบัตรประชาชนคนไข้โดยไม่ขีดฆ่าข้อมูล "ศาสนา" (เพราะศาสนาถือเป็นข้อมูลอ่อนไหว ถ้าไม่จำเป็นต้องใช้ ต้องขีดฆ่าออกหรือให้คนไข้ขีดเอง)
- ทำได้: เก็บข้อมูลเพื่อการรักษาตามมาตรฐานวิชาชีพได้โดยไม่ต้องขอ Consent (ใช้ฐานกฎหมาย Contract หรือ Legitimate Interest) แต่ต้องแจ้ง Privacy Notice เสมอ
