The document discusses several key ethical and legal issues related to health information technology (IT) implementation in Thailand. It outlines principles of ethics like beneficence, non-maleficence, justice, and respect for autonomy. It also discusses privacy and security safeguards needed like access controls, encryption, and user awareness training. Legal issues covered include Thailand's Computer Crime Act and Electronic Transactions Acts, as well as privacy provisions in the National Health Act. The document advocates that health IT systems should be evaluated for efficacy and used to augment rather than replace clinical judgment.
2. Leads to patient outcomes, including deaths
Provider‐patient relationship threatened by IT?
“Rationing” of health care through CDSS
Information risks
Research ethics
Informatics practitioners as “professionals”
with specific skills, training, & competencies?
Most common question “Who owns the data?”
Why Important in Informatics?
Goodman & Miller. Chapter 10: Ethics and Health Informatics: Users, Standards, and Outcomes. In Shortliffe (3rd Edition).
3. Non‐maleficence
“Do no harm”
Beneficence
Provide benefits to patients
Justice
Fair distribution of benefits, risks & costs
Respect for Autonomy
Respect decisions made and rights to make
decisions by individual persons
Relevant Ethical Principles
16. Authentication & Authorization
Role‐based access control
Two‐factor authentication
Audit trails
HIPAA
Personal Health Information (PHI)
Any individually identifiable health information about a
patient that is created, received, processed, or stored by a
health plan, clearinghouse, or provider
Deidentified
Other Security Concepts & Techniques
17. Health Insurance Portability and Accountability Act of 1996
More stringent state privacy laws apply
HIPAA Privacy Rule
Regulates use & disclosure of protected health information held by
covered entities
Covered Entities: Health plans, providers, clearing houses, and their
business associates
Protected Health Information (PHI): Any individually identifiable
health information about a patient
HIPAA Security Rule
Lays out security safeguards required for compliance
Administrative safeguards, Physical safeguards, Technical safeguards
New in HITECH Act of 2009
Breach notification
HIPAA (U.S.)
18. Name
Address
Phone number
Fax number
E‐mail address
SSN
Birthdate
Medical Record No.
Health Plan ID
Treatment date
Account No.
Certificate/License No.
Device ID No.
Vehicle ID No.
Drivers license No.
URL
IP Address
Biometric identifier
including fingerprints
Full face photo
Protected Health Information –
Personal Identifiers in PHI
From a slide by David S. Pieczkiewicz for a Health Informatics II class (2006) at the University of Minnesota
21. Canada ‐ The Privacy Act (1983), Personal
Information Protection and Electronic Data
Act of 2000
EU Countries ‐ EU Data Protection Directive
UK ‐ Data Protection Act 1998
Austria ‐ Data Protection Act 2000
Australia ‐ Privacy Act of 1988
Germany ‐ Federal Data Protection Act of
2001
Health Information Privacy Law:
Other Western Countries
23. Copyright Act, B.E. 2537
พรบ.ลิขสิทธิ์พ.ศ. 2537
And other IP laws (e.g. Patent Act)
Important for intellectual property
considerations (e.g. who owns the
software source code of an in‐house
or outsourced system?)
Thai ICT Laws
Not considered professional legal opinion
25. Electronic Transactions Acts, B.E. 2544 & 2551
พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ พรบ.ว่าด้วยธุรกรรม
ทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551
Legal binding of electronic transactions and
electronic signatures
Security & privacy requirements for
Determining legal validity & integrity of
electronic transactions and documents, print‐
outs, & paper‐to‐electronic conversions
Governmental & public organizations
Critical infrastructures
Financial sectors
Electronic certificate authorities
Thai ICT Laws
Not considered professional legal opinion
26. No universal personal data privacy law
(Draft law has been proposed)
National Health Act, B.E. 2550
พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
“มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล
ผู้ใดจะนําไปเปิดเผยในประการที่น่าจะทําให้บุคคลนั้นเสียหายไม่ได้
เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้น
โดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าใน
กรณีใด ๆ ผู้ใดจะอาศัยอํานาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูล
ข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูล
ด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้”
Thai Privacy Laws
Not considered professional legal opinion
27. The Sanatorium Acts, B.E. 2541 &
2547
พรบ.สถานพยาบาล พ.ศ. 2541 และ พรบ.สถานพยาบาล
(ฉบับที่ 2) พ.ศ. 2547
ประกาศกระทรวงสาธารณสุข ฉบับที่ 3 (พ.ศ. 2542) เรื่อง
ชนิดหรือประเภทของการรักษาพยาบาล การบริการอื่นของ
สถานพยาบาลและสิทธิของผู้ป่วยซึ่งผู้รับอนุญาตจะต้องแสดง
ตามมาตรา 32 (3)
Thai Privacy Laws
Not considered professional legal opinion
31. No general data privacy law in place
Unclear implications from ICT laws (e.g.
Electronic Transactions Act)
Governance: No governmental authority
responsible for oversight, enforcement &
regulation of health information privacy
protections
Policy: No systematic national policy to
promote privacy protections
Health Information Privacy Law:
Thailand’s Challenges
Not considered professional legal opinion