รองปลัดสธ. เผย มีข้อสั่งการถึงนายแพทย์สาธารณสุขจังหวัด สำนักงานเขตสุขภาพ และผู้อำนวยการโรงพยาบาลทุกแห่ง ให้เข้มงวด 6 มาตรการจัดการเวชระเบียนเพื่อป้องกันการเผยแพร่ข้อมูลส่วนบุคคลของผู้ป่วย ย้ำทำตามแนวทางเก็บรักษาและการลบทำลายข้อมูล กรณีใช้ผู้รับจ้างทำลายเอกสารต้องมีมาตรการควบคุมกำกับ มีข้อตกลงประมวลผลข้อมูลส่วนบุคคลและรักษาความลับ หลังเกิดเหตุ รพ.เอกชนทำเวชระเบียนผู้ป่วยหลุดกว่า 1,000 ฉบับ ในขั้นตอนส่งทำลายเอกสาร

วันที่ 5 ส.ค. 68 นพ.วีรวุฒิ อิ่มสำราญ รองปลัดกระทรวงสาธารณสุข(สธ.) กล่าวถึงกรณีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ดำเนินการทางกฎหมายกับโรงพยาบาลเอกชนแห่งหนึ่ง ซึ่งปรากฏภาพถุงขนมทำจากเอกสารเวชระเบียนของผู้ป่วยเผยแพร่ผ่านโซเชียลมีเดีย และจากการตรวจสอบพบมีเอกสารเวชระเบียนของผู้ป่วยหลุดไปกว่า 1,000 ฉบับในขั้นตอนการส่งทำลายเอกสาร โดยลงโทษปรับเป็นเงิน 1.2 ล้านบาท ว่า กระทรวงสาธารณสุขได้ย้ำหน่วยงานและเจ้าหน้าที่ในสังกัดให้ความสำคัญเรื่องความปลอดภัยข้อมูลส่วนบุคคลของผู้ป่วย และการปฏิบัติตามมาตรการการจัดการเวชระเบียนเพื่อป้องกันการเปิดเผยข้อมูลส่วนบุคคล ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างเคร่งครัด

6 ข้อสั่งการเข้มมาตรการเวชระเบียน
ล่าสุด ได้มีข้อสั่งการเน้นย้ำมาตรการการจัดการเวชระเบียนเพื่อป้องกันการเปิดเผยข้อมูลส่วนบุคคล ส่งถึงนายแพทย์สาธารณสุขจังหวัดทุกจังหวัด ผู้อำนวยการสำนักงานเขตสุขภาพที่ 1-12 ผู้อำนวยการโรงพยาบาลศูนย์ ผู้อำนวยการโรงพยาบาลทั่วไป และผู้อำนวยการโรงพยาบาลชุมชนทุกแห่ง ให้ดำเนินการดังนี้

1.กำชับหน่วยงานและเจ้าหน้าที่ในสังกัดดำเนินการจัดการเวชระเบียนเพื่อป้องกันการเปิดเผยข้อมูลส่วนบุคคลอย่างเคร่งครัด ตามมาตรา 26, 27 และ 37 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 9 แห่ง พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 และ ข้อ 17 ตามข้อบังคับแพทยสภา ว่าด้วยการรักษาจริยธรรมแห่งวิชาชีพเวชกรรม พ.ศ.2565

2.สร้างความตระหนักให้กับเจ้าหน้าที่ในหน่วยงานในการตรวจสอบเอกสารก่อนการนำไปใช้ซ้ำทุกครั้ง

3.มีกระบวนการและระเบียบขั้นตอนในการทำลายเอกสารอย่างเหมาะสม โดยศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานปลัดกระทรวงสาธารณสุขได้จัดทำแนวทางการเก็บรักษาและการลบทำลายข้อมูลส่วนบุคคล (Data Retention and Disposal Policy) ซึ่งหน่วยงานสามารถประยุกต์ใช้ในการดำเนินการได้

4.ในกรณีที่ใช้ผู้รับจ้างทำลายเอกสาร ต้องมีมาตรการควบคุมกำกับ และมีข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) ระหว่างหน่วยงานกับผู้รับจ้าง ซึ่งศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร ได้มีหนังสือแจ้งเกี่ยวกับข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA) และสัญญาการรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement : NDA) ส่งถึงหน่วยงานต่างๆ ในสังกัดเพื่อใช้เป็นแนวทางในการว่าจ้างทำลายเอกสารไปแล้ว

5.มอบหมายผู้รับผิดชอบในการตรวจสอบการทำลายเอกสารเวชระเบียน ซึ่งอาจดำเนินการในรูปคณะกรรมการหรือตัวบุคคล ตามความเหมาะสมของบริบทหน่วยงาน

6.ประชาสัมพันธ์ข่าวกรณีตัวอย่าง เพื่อสร้างความตระหนักให้กับเจ้าหน้าที่ในหน่วยงาน