Sustainability

EN | TH

ความปลอดภัยทางไซเบอร์และการปกป้องข้อมูล

 

BDMS กำหนดโครงสร้างการกำกับดูแลความมั่นคงปลอดภัยด้านสารสนเทศ รวมทั้งกำหนดนโยบาย แนวปฏิบัติ และมาตรฐานการทำงานสำหรับบริษัทในเครือ เพื่อการใช้งานสารสนเทศและระบบสารสนเทศอย่างเหมาะสมและช่วยป้องกันความเสี่ยงที่อาจเกิดขึ้น 

ความปลอดภัยของผู้ป่วยและมาตรฐานการให้บริการคือ สิ่งที่ BDMS ยึดถือและดำเนินการมาโดยตลอด ซึ่งการจะบรรลุวัตถุประสงค์ดังกล่าว มีปัจจัยและองค์ประกอบที่เกี่ยวข้องมากมาย โดยหนึ่งในองค์ประกอบสำคัญคือ ระบบความมั่นคงปลอดภัยของสารสนเทศที่ BDMS และบริษัทในเครือหลายแห่งได้รับการรับรองมาตรฐาน ISO 27001 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และ ISO 27799 ระบบบริหารจัดการความมั่นคงปลอดภัยของข้อมูลสุขภาพ ตั้งแต่ปี 2563 โดยมีหลักการสำคัญ 3 ประการ ได้แก่ 

การกำกับดูแล 

คณะกรรมการบริษัท BDMS มุ่งเพิ่มประสิทธิภาพของระบบและเครือข่ายสารสนเทศ พร้อมทั้งสนับสนุนการคุ้มครองสินทรัพย์ดิจิทัลและความน่าเชื่อถือของข้อมูลตามนโยบายการบริหารจัดการความปลอดภัยด้านสารสนเทศ นอกจากนี้ คณะกรรมการบริษัท BDMS ยังมีบทบาทในการดูแลระบบสารสนเทศ รักษาความปลอดภัยของข้อมูลและเครือข่ายการสื่อสาร เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างปลอดภัยและสอดคล้องกับมาตรฐานสากลและกฎหมายในประเทศไทยและต่างประเทศ โดย BDMS ได้รับการรับรองมาตรฐาน ISO/IEC 27001 และ ISO 27799 จากสถาบันมาตรฐานอังกฤษ (The British Standards Institution) ด้านการบริหารจัดการความปลอดภัยด้านสารสนเทศ คณะกรรมการบริษัทยังได้อนุมัติและประกาศใช้นโยบายการบริหารจัดการความปลอดภัยด้านสารสนเทศ เพื่อให้ผู้ปฎิบัติงานสามารถใช้งานระบบสารสนเทศและเครือข่ายคอมพิวเตอร์ได้อย่างมีประสิทธิภาพสูงสุด และป้องกันปัญหาที่อาจเกิดขึ้นจากการใช้งานที่มีความเสี่ยงและอาจก่อให้เกิดความเสียหายได้

คณะกรรมการบริษัทยังมอบหมายให้คณะกรรมการบริหารความเสี่ยงระบุและติดตามความเสี่ยงในระดับสูงและระดับสูงมากขององค์กร ที่อาจส่งผลต่อแผนและกลยุทธ์ทางธุรกิจ รวมถึงความเสี่ยงด้านเทคโนโลยีสารสนเทศและความเสี่ยงอื่น ๆ ที่เกี่ยวข้องกับระบบสารสนเทศ เพื่อให้การจัดการความปลอดภัยด้านข้อมูลเกิดประสิทธิภาพสูงสุด ทั้งนี้ บริษัทได้จัดตั้งคณะกรรมการ และคณะทำงาน ดังนี้ 

คณะกรรมการจัดการความปลอดภัยด้านข้อมูล (Information Security Management Committee: ISMC) นำโดยนายแพทย์ชัยรัตน์ ปัณฑุรอัมพรในฐานะประธาน ได้รับอำนาจเทียบเท่าประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ (Chief Operations Officer: COO) ในการดูแลและติดตามการทำงานของคณะกรรมการ ISMC ซึ่งมีบทบาทและหน้าที่ดังนี้ 

  • กำหนดและอนุมัติเกณฑ์ระดับความเสี่ยงและความเสี่ยงที่ยอมรับได้
  • พิจารณาผลการประเมินความเสี่ยงและมาตรการแก้ไขความเสี่ยงที่สำคัญขององค์กร
  • พิจารณาบทลงโทษที่เหมาะสมสำหรับบุคคลที่ละเมิดนโยบายการบริหารจัดการความปลอดภัยด้านสารสนเทศ
  • สนับสนุนทรัพยากรที่จำเป็นในการดำเนินงาน 

 

BDMS Computer Emergency Response Team (BDMS CERT) มีบทบาทและหน้าที่หลัก ดังนี้ 

  • ตอบสนองและจัดการกับเหตุการณ์ความมั่นคงปลอดภัยด้านสารสนเทศ (Incident Response) 
  • ให้คำแนะนำและแก้ไขภัยคุกคามที่เกี่ยวข้องกับความมั่นคงปลอดภัยด้านสารสนเทศ (Cyber Security Advisor) 
  • ติดตาม และเผยแพร่ข่าวสารเหตุการณ์เกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศแก่บุคคลที่เกี่ยวข้องในองค์กร
  • ศึกษา และปรับปรุงเครื่องมือและแนวทางการปฏิบัติให้ทันสมัยเพื่อเพิ่มความมั่นคงปลอดภัยด้านสารสนเทศขององค์กร

 

นโยบายคุ้มครองข้อมูลส่วนบุคคลของ BDMS

BDMS ประกาศใช้นโยบายในการดำเนินงานให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (Policy on Personal Data Protection Act B.E. 2562 Compliance) เพื่อเป็นหลักการและวิธีปฏิบัติในการจัดการข้อมูลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย พ.ศ.2562 ครอบคลุมคณะกรรมการบริษัท ผู้บริหารสูงสุด พนักงาน ผู้รับจ้าง และผู้ที่ดำเนินธุรกิจกับ BDMS ซึ่งเป็นการแสดงความรับผิดชอบในการดูแลข้อมูลและระบบสารสนเทศและปกป้ององค์กรจากความเสี่ยงของการละเมิดข้อมูลส่วนบุคคล โดยกำหนดให้หน่วยงานธุรกิจทั้งหมดรับผิดชอบในการจัดการข้อมูลและดำเนินการตามนโยบายที่ได้รับการทบทวนหากมีกฎหมายใหม่หรือมีการเปลี่ยนแปลงข้อกำหนด โดยคณะกรรมการ ISMC (Information Security Management Committee) แต่งตั้งจากคณะกรรมการบริษัท BDMS ซึ่งคณะกรรมการ ISMC มีความรับผิดชอบโดยตรงในการกำกับดูแลตามนโยบายนี้ และมอบหมายความรับผิดชอบแก่ทุกหน่วยงานธุรกิจในเครือ BDMS เพื่อการปฏิบัติตาม 

 

คณะทำงานด้านข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยสารสนเทศ

BDMS ได้ตั้งคณะทำงานด้านข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยสารสนเทศซึ่งมีหน้าที่ ดังนี้ 

1. กำหนดแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยด้านสารสนเทศเพื่อเสนอคณะกรรมการ ISMC (Information Security Management Committee) อนุมัติ 

2. ให้ความเห็นเพื่อพัฒนาและปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยด้านสารสนเทศของ BDMS และเครือข่าย BDMS ให้ได้มาตรฐานสากล 

3. ติดตามการดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยด้านสารสนเทศของแต่ละบริษัทให้เป็นไปตามนโยบายของ BDMS และกฎหมายที่เกี่ยวข้อง 

4. เป็นตัวแทนในการสื่อสารเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยด้านสารสนเทศของ BDMS ให้ผู้บริหารระดับสูงของแต่ละบริษัทรับทราบ 

5. ให้คำแนะนำเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลและเหตุการณ์ด้านความปลอดภัยทางสารสนเทศ 

6. ประเมินผลกระทบและรายงานเหตุการณ์ข้อมูลส่วนบุคคลและการละเมิดความปลอดภัยด้านสารสนเทศของแต่ละบริษัทให้คณะกรรมการ ISMC รับทราบทันที 

7. ดำเนินการตามมติของคณะทำงานตามความเหมาะสมเพื่อระงับเหตุหรือสนับสนุนให้การดำเนินงานเป็นไปโดยราบรื่นและเกิดประโยชน์สูงสุดต่อบริษัท พร้อมทั้งรายงานเรื่องให้คณะกรรมการ ISMC รับทราบ 

 

นโยบายความเป็นส่วนตัวของผู้รับบริการตรวจและรักษาโรค (Patient Privacy Notice) 

BDMS จะประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยอาศัยหลักความจำเป็นเท่าที่ชอบด้วยกฎหมาย (Lawful Basis of Processing) หรือเมื่อได้รับความยินยอมจากผู้ใช้บริการทุกคน ในการเปิดเผยข้อมูลส่วนบุคคลด้านสุขภาพแก่คณะแพทย์ พยาบาล และ/หรือ บุคลากรอื่น ๆ ในสถานพยาบาลโดยมีระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลตามข้อกำหนดที่เกี่ยวข้องไม่เกิน 10 ปีนับจากวันที่รับการรักษาพยาบาลครั้งสุดท้าย ก่อนทำลายข้อมูลทั้งหมดทั้งในรูปแบบกระดาษและรูปแบบอิเล็กทรอนิกส์ทิ้ง ยกเว้นกรณีข้อพิพาทที่จำเป็นต้องเก็บข้อมูลไว้หรือเป็นไปตามคำสั่งของหน่วยงานภาครัฐ 

 

สิทธิเจ้าของข้อมูลส่วนบุคคลตาม PDPA (BDMS Data Subject Rights According to PDPA)

เจ้าของข้อมูลส่วนบุคคลสามารถยื่นคำร้องขอดำเนินการข้อมูลส่วนบุคคลตามสิทธิของเจ้าของข้อมูลส่วนบุคคลที่กำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ผ่านช่องทางที่เป็นลายลักษณ์อักษร โทรศัพท์ หรืออีเมล ซึ่งต้องดำเนินการแล้วเสร็จภายใน 30 วัน ตามรายละเอียดดังนี้ 

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer - DPO) 

ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีการระบุบทบาทและหน้าที่ของผู้ที่มีส่วนเกี่ยวข้องต่อข้อมูลส่วนบุคคลอยู่หลายตำแหน่ง หนึ่งในนั้นคือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) หรือที่มักเรียกย่อว่า DPO โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล คือ บุคคลผู้ได้รับมอบหมายเพื่อทำหน้าที่ดูแล ให้คำแนะนำ หรือตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลในองค์กร ให้เป็นไปตามกฎหมายที่ได้กำหนดไว้ 

โดย BDMS เองได้มีการแต่งตั้งเจ้าหน้าที่ DPO ให้เป็นไปตามมาตรา 42 ที่กฎหมายกำหนดไว้ ตลอดจนเจ้าหน้าที่ DPO สามารถเข้าถึงผู้บริหารได้โดยตรงเพื่อรายงานให้ทราบเมื่อเกิดปัญหาข้อมูลส่วนบุคคลรั่วไหล หรือเห็นช่องโหว่ของการดูแลรักษาข้อมูลส่วนบุคคลที่สุ่มเสี่ยงหรือผิดไปจากข้อกำหนดของกฎหมายก็สามารถรายงานต่อผู้บริหารที่มีอำนาจโดยตรงได้ เพื่อให้ผลักดันนำไปสู่การเพิ่มเติมนโยบายการดูแลคุ้มครองข้อมูลส่วนบุคคลภายในองค์กรที่รัดกุมต่อไป 

มาตรา 42 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้ 

(1) ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้ง ลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติ ตามพระราชบัญญัตินี้  

(2) ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามพระราชบัญญัตินี้  

(3) ประสานงานและให้ความร่วมมือกับสำนักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติ ตามพระราชบัญญัตินี้  

(4) รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ ตามพระราชบัญญัตินี้ 

 

นโยบายการเปิดเผยข้อมูลและสารสนเทศของบริษัท  

นโยบายการเปิดเผยข้อมูลนี้เป็นส่วนหนึ่งของนโยบายการกำกับดูแลกิจการที่ดีของ บริษัท กรุงเทพดุสิตเวชการ จำกัด (มหาชน) บริษัทมุ่งมั่นในการให้ข้อมูลอย่างเท่าเทียมกันแก่ผู้ถือหุ้น สถาบันการเงิน นักลงทุน รวมไปถึงผู้ที่ต้องการใช้ข้อมูลทางการเงิน และสาธารณชนทั่วไป โดยให้ความสำคัญอย่างที่สุดในการสื่อสารอย่างเปิดเผยครบถ้วน ถูกต้อง ตรงเวลาและสม่ำเสมอ เกี่ยวกับข้อมูลในอดีตและการสร้างมูลค่าในอนาคต ไม่เลือกปฏิบัติต่อข้อมูลทั้งในด้านบวกหรือด้านลบ แต่บริษัทยังคงตระหนักถึงความจำเป็นในการเก็บความลับทางธุรกิจเกี่ยวกับข้อมูลทางธุรกิจที่สำคัญและ     กลยุทธ์ในการดำเนินงาน

ทั้งนี้นโยบายนี้จะสอดคล้องกับหลักเกณฑ์และข้อกำหนดการเปิดเผยข้อมูลของตลาดหลักทรัพย์แห่งประเทศไทย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ และกฎระเบียบต่างๆ ที่เกี่ยวข้อง บริษัทฯ ได้ประกาศนโยบายการเปิดเผยข้อมูลและสารสนเทศของบริษัท ไว้ดังต่อไปนี้

 

การฝึกอบรมการรับรู้ของพนักงาน

BDMS ได้ให้ความสำคัญเกี่ยวกับการสร้างทักษะและพัฒนาความรู้ของบุคลากร เพื่อมุ่งสร้างศักยภาพของพนักงานให้มีความสามารถในการทำงาน โดยพนักงานสามารถเข้าไปอบรมหรือศึกษาความรู้ต่างๆผ่านทางระบบการเรียนรู้ของบริษัทได้ โดยในปี 2566 นี้ได้มีการจัดอบรมให้ความรู้เรื่อง PDPA ในหัวข้อเรื่อง “PDPA for Healthcare Business” และ “การบริหารข้อมูลส่วนบุคคลใต้กฎหมาย PDPA”  

การควบคุมผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) เพื่อให้ข้อมูลมีความปลอดภัย 

เนื่องด้วย BDMS มีการว่าจ้างบริษัทคู่ค้าต่างๆ เพื่อวัตถุประสงค์ทางธุรกิจของบริษัท ดังนั้น BDMS ในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จึงมีความตระหนักในการที่จะควบคุมข้อมูลส่วนบุคคลกับบริษัทคู่ค้าซึ่งอยู่ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) เพื่อให้เกิดความปลอดภัยทางด้านข้อมูลสูงสุด ซึ่งต้องไม่ขัดหรือแย้งกับที่กฎหมายกำหนด 

BDMS กำหนดให้มีข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) โดยข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) จะต้องกำหนดหน้าที่ให้ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ดำเนินการอย่างน้อยดังนี้