View
94
Download
0
Category
Preview:
Citation preview
1
Ethical Issues in Health Information PrivacyNawanan Theera-Ampornpunt
September 28, 2016
http://www.slideshare.net/nawanan
2
2003 M.D. (First-Class Honors)
2011 Ph.D. (Health Informatics), Univ. of Minnesota
Lecturer, Department of Community Medicine
Faculty of Medicine Ramathibodi Hospital
Interests: Health IT, Social Media, Security & Privacy
nawanan.the@mahidol.ac.th
SlideShare.net/Nawanan
Nawanan Theera-Ampornpunt
Line ID: NawananT
Introduction
3
Outline
• Why Care about Security & Privacy?
• Security/Privacy of Patient’s Information
• Security Measures
• Privacy Measures
4
Case Study #1: Privacy & Hoax
http://news.sanook.com/1262964/
5
Privacy & Healthcare
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
6
Malware
Examples of Security Threats
7
Case Study #2: Malware
8
Security Threats in Thailand
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
9
Security Threats in Thailand
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
10
Security Threats & Thailand
(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/
(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-
to-hollywood
11
Confidentiality Integrity Availability
Objectives of Attacks: CIA Triad
12
Impact
• Disclosure of confidential information
• Impacts on personal lives, health, mental state, financial status, reputation & employment
• Service disruption
• Organization’s public image
13
Sources of Attacks
• Hackers
• Viruses & Malware
• Buggy Systems
• Insiders
• Behaviors of Unaware and Ignorant Users
• Disasters
14
Case Study #3: Privacy
15
Security/Privacy of Patient Information
16
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House
17
Case Study #4: Privacy
http://pantip.com/topic/35330409/
18
Ethical Principles Related to Privacy
• Autonomy
• Beneficence
• Non-maleficence (“First, Do No Harm”)
19
Hippocratic Oath...
What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....
http://en.wikipedia.org/wiki/Hippocratic_Oath
20
Thai Laws on Health Information Privacy
• National Health Act, B.E. 2550
• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะน าไปเปิดเผยในประการที่น่าจะท าให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอ านาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้
21
Thai Laws on Health Information Privacy• The Penal Code
• มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็นเจ้าพนักงานผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจ าหน่ายยา นางผดุงครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วยในการประกอบอาชีพนั้น แล้วเปิดเผยความลับนั้นในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้องระวางโทษจ าคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจ าทั้งปรับ
• ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผยความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษเช่นเดียวกัน
22
Patients’ Bill of Rights
7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรงของผู้ป่วยหรือตามกฎหมาย
23
ข้อความจริง บน• "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ
... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อที่... ตอนน้ี Happy ดี ไม่ค่อยปวด เดินได้สบาย คนไข้ฝากขอบคุณอาจารย์อกีครั้ง -- อีกอย่างคนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม. บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์ครับ"
Real Post on Social Media
24
Privacy Measures
• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations
25
How Line Chats Can Violate Patient’s Privacy?
• Multiple viewers in a Line group• Ability to capture screens or forward• Posts in the wrong groups• Cached data• Unencrypted transmission (latest news:
encrypted)• Admin access to data in Line’s server• Password Discovery
26
Case Study #5:
PR NightmareOnline Hoaxes
27
Case Study #5: PR Nightmare & Response
http://new.khaosod.co.th.khaosod.online/dek3/win.html (อันตราย! ไม่ควรเข้าเว็บนี้)
ข่าวนี้ไม่เป็นความจริง
28
Case Study #5: PR Nightmare & Response
29
Case Study #6: Passwords
Keylogger Attack: A story of a
medical student
30
http://c2.likes-media.com/img/c88376b3e79ac46a289879d2178e9b41.600x.jpg
Why We Need to Train Users on Security
31
User Account SecuritySo, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)
32
What’s the Password?
Unknown Internet sources, via
http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737,
via Facebook page “สอนแฮกเวบ็แบบแมวๆ”
33
User Account Security
https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png
34
Case Study #6: Easy-to-Remember Passwords
Dictionary Attack: A story from taking
a Computer Security course
35
Clear Desk, Clear Screen Policy
http://pixabay.com/en/post-it-sticky-note-note-corner-148282/
36
How to Remember Passwords Then?
Think of an English sentenceThe sentence should have at least 8
words, with numbers and symbols.Use each word’s first letter as password
37
Example of Creating Passwords
http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/
38
Example of Creating PasswordsSentence:
I love reading all 7 Harry Potter books!
Password:Ilra7HPb!
39
Password Sharing
Don’t share passwords with anyone
40
Password Expiration
Change passwords every 3-6 months
41
Case Study #7: Wi-Fi
Rogue Wi-Fi Router:
42
Logout After Use
Logout after use, especially when using public
computers
43
Case Study #8: E-mail หลอกลวง
Phishing
44
Phishing E-mail
45
Phishing E-mail
46
Phishing E-mail
47
How To Detect Phishing E-mails?Bad grammarWrong spellingsEncouraging or pressuring you to open
attachments or click on links
48
Case Study #9: Scam E-mailsPhishing Attack:
A story of a former president of the Thai Student Association
of Minnesota
49
Case Study #10: Ransomware
Ransomware
50
Ransomware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Ransomware.jpg
51
Ransomware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Ransomware.jpg
52
Case Study #11: File Sharing
File Sharing: A story of a curious
medical student
53
Case Study #12: Virus & Patch Updates
Virus/Malware Attack & Windows Update:
A story of a Chief IT Admin at Ramathibodi Hospital
54
Case Study #13:
Back-up Your Data: A story from a busy guy
55
World Backup Day:March 31 of every year
Recommended