เมื่อวันที่ 20 พฤศจิกายน 2563 Dutch Data Protection Authority (Dutch DPA) ได้มีคำสั่งปรับทางปกครองโรงพยาบาล OLVG เป็นเงิน 440,000 ยูโร เนื่องจากการไม่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เกี่ยวกับข้อมูลการรักษาของคนไข้ และไม่มีมาตรการการตรวจสอบสิทธิการเข้าถึงอย่างอย่างเป็นระบบ
Dutch DPA เริ่มกระบวนการสอบสวนครั้งนี้จากการที่มีการรายงานข้อมูลผ่านสื่อต่าง ๆ เกี่ยวกับมาตรการด้านความปลอดภัยของโรงพยาบาลและการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลจำนวน 2 ครั้งโดยโรงพยาบาลเกี่ยวกับการที่นักเรียนแพทย์และกลุ่มบุคลากร ที่ไม่มีความจำเป็นต้องเข้าถึงข้อมูลการรักษาพยาบาลสามารถเข้าถึงข้อมูลการรักษาได้ ข้อเท็จจริงในคดีนี้จากการสืบสวนของ Dutch DPA พบว่า โรงพยาบาล กระทำผิด 2 กรณี ดังนี้
กรณีที่หนึ่ง การไม่มีการทบทวนตรวจสอบระบบ
โรงพยาบาลได้จัดให้มีระบบอัตโนมัติเพื่อบันทึกว่ามีใครบ้างที่เข้าถึงหรือเข้าใช้งานระบบข้อมูลคนไข้โดยจัดทำระบบบันทึกการเข้าถึง (logged record) แต่โรงพยาบาลไม่ได้มีการทบทวนตรวจสอบการเข้าถึงอย่างสม่ำเสมอ โดยระหว่างวันที่ 1 มกราคม 2561 ถึง 17 เมษายน 2562 ได้มีการสุ่มตรวจสอบการเข้าถึงเพียงสองครั้งเท่านั้น ซึ่งการมีระบบการตรวจสอบสิทธิการเข้าถึงอย่างสม่ำเสมอจะช่วยให้องค์กรสามารถตรวจพบเหตุผิดปกติหรือเหตุการละเมิดข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพมากขึ้น
กรณีที่สอง ระบบการป้องกันการเข้าถึงข้อมูลที่ไม่เหมาะสม
Dutch DPA ให้ความเห็นว่า เนื่องจากข้อมูลการรักษาพยาบาลของคนไข้เป็นข้อมูลอ่อนไหว (sensitive data) และในเอกสาร Information Security & Privacy Policy ของ OLVG ได้กล่าวว่าโรงพยาบาลได้ถือปฏิบัติตามมาตรฐาน NEN 7510, NEN 7512 และ NEN 7513 (มาตรฐานความปลอดภัยด้านเทคโนโลยีสารสนเทศของประเทศเนเธอร์แลนด์) ซึ่งมาตรฐานดังกล่าวกำหนดให้โรงพยาบาลต้องใช้ระบบยืนยันตัวตน 2 ชั้น(Two-Factor Authentication) หรือ 2FA แต่ข้อเท็จจริงปรากฏว่า OLVG นำระบบ 2FA มาใช้ในกับการเข้าถึงระบบเครือข่ายจากภายนอกโรงพยาบาลเท่านั้น แต่ไม่ได้นำมาตรฐานดังกล่าวมาใช้ในกรณีที่เป็นการเข้าถึงเครือข่ายสารสนเทศภายในโรงพยาบาล
ระบบยืนยันตัวตน 2 ชั้น หรือ 2FA เป็นการเข้ารหัสขั้นที่ 2 หลังจากล็อกอินด้วยรหัสผ่านตามปกติ โดยจะมีการยืนยันผ่าน OTP (One-Time Password) ผ่านข้อความ SMS หรือแอป Authentication หรือการใช้ Token เพื่อป้อนรหัสให้ตรงกันและยืนยันตัวตนเป็นครั้งที่สอง
ดังนั้น ข้อเท็จจริงในคดีนี้เมื่อพิจารณาจากความอ่อนไหวและความเสี่ยงของข้อมูลดังกล่าว โรงพยาบาลจึงควรต้องนำระบบ 2FA มาใช้ในทุก ๆ กรณี
โรงพยาบาลให้ความร่วมมือกับ Dutch DPA ในการปรับปรุงกระบวนการเข้าถึงและการนำระบบ 2FA มาใช้กับการเข้าถึงข้อมูลในระบบเครือข่ายทั้งภายนอกและภายในองค์กร และไม่ได้ใช้สิทธิอุทธรณ์หรือโต้แย้งคำสั่งปรับของ Dutch DPA
จากคดี OLVG อาจสรุปได้ว่าสิ่งที่องค์กรควรต้องดำเนินการให้สอดคล้องกับกฎหมายในส่วนมาตรการรักษาความมั่นคงปลอดภัยมี 3 ประการกล่าวคือ
(1)การมีมาตรการเชิงองค์กรในการควบคุมการเข้าถึงข้อมูลส่วนบุคคลโดยพิจารณาจากหน้าที่และความจำเป็น (Role-based access control (RBAC)
(2) การมีระบบเทคโนโลยีในการบริหารจัดการการเข้าถึง โดยต้องคำถึงถึงลักษณะและประเภทของข้อมูลดังกล่าว ความอ่อนไหวของข้อมูลและความเสี่ยงที่เกี่ยวข้อง และมาตรฐานในอุตสาหกรรม
(3) การมีระบบตรวจสอบและสอบทานว่าเครื่องมือ (Controls) ตามข้อ (1) และ (2)สามารถทำงานตามหน้าที่ที่กำหนดได้อย่างมีประสิทธิภาพ
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(1) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด และกำหนดโทษไว้ในมาตรา 83 ว่าผู้ควบคุมข้อมูลส่วนบุคคลที่ฝ่าฝืนหรือไม่ปฏิบัติตาม 37 อาจต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท
ในขณะที่ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีการบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาต และต้องจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลด้วย
ดังนั้น หากข้อเท็จจริงในลักษณะเดียวกันกับ OLVG เกิดขึ้นในประเทศไทย ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฯ น่าจะถือได้ว่ามีแนวปฏิบัติที่ชัดเจนระดับหนึ่งว่าองค์กรมีหน้าที่และความรับผิดต่อกรณีดังกล่าวอย่างไรบ้าง.
บทความโดย ศุภวัชร์ มาลานนท์
FIP, CIPM, CIPP, Certified DPO/GDPR
บัณฑิตวิทยาลัยการจัดการและนวัตกรรม
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ระวีวรรณ ขันติวิริยะพานิช
EXIN Privacy and Data Protection, DPOaaS LTD