ในทางธุรกิจ GDPR นำมาสู่ความเสี่ยงในเรื่องชื่อเสียง (reputational risk) ซึ่งส่งผลไปถึงความเสี่ยงในเชิงกลยุทธ์ด้วย หลายบริษัทในต่างประเทศเริ่มเขียนงบการเงินตั้งแต่เมื่อปีที่แล้วเพื่อประเมินความเสี่ยงจากการถูกดำเนินคดีตามกฎหมายของ GDPR และมีบางกรณีที่เริ่มถูกปรับไปบ้างแล้ว ตามกฎหมายแล้วยอดสูงสุดคือ 20 ล้านยูโร หรือ 4% ของรายได้ทั้งปี (แล้วแต่ว่าอันไหนสูงกว่า)

ไม่ใช่แต่เพียงความเสี่ยงอย่างเดียว แต่กฎหมายฉบับดังกล่าวมีลักษณะเหนือเขตแดน (extra-territorial) หรือถ้ากล่าวให้ชัดคือมีลักษณะเป็น "สิทธิสภาพนอกอาณาเขต" ที่บังคับใช้กับคนที่อยู่ในยุโรป (a person in EU) นั่นก็แปลว่าหากตีความอย่างเคร่งครัด คนที่ถือสัญชาติไทย แต่ไปเรียนหรือใช้ชีวิตในยุโรป ก็ถือว่าครอบคลุมและอยู่ในบังคับใช้ของกฎหมายนี้ด้วย

สำหรับโรงพยาบาล สถานประกอบการในอุตสาหกรรมการแพทย์และสุขภาพ แม้กฎหมายฉบับนี้จะดูไกลตัว แต่อันที่จริงแล้วก็มีเรื่องที่คาบเกี่ยวกับกฎหมายฉบับนี้ ในเชิงสถานที่ตั้งของบริษัท ก็มีผลกับการถูกบังคับใช้ของกฎหมายหากมีการประมวลผลข้อมูล มีการเก็บชุดข้อมูล (dataset) มากกว่า 5 พันรายการ และเก็บข้อมูลนานกว่า 12 เดือน ล้วนแล้วแต่เข้าเกณฑ์นี้หมด

นอกจากนั้นแล้ว การประมวลผลข้อมูลบัตรเครดิตและประกันสุขภาพต่างๆ ก็ถือว่าเป็นส่วนหนึ่งในกิจกรรมและธุรกรรมที่ GDPR มีส่วนและบทบาทอยู่ในนั้นด้วย ดังนั้นแล้วสถานพยาบาลต่างๆ เหล่านี้ จึงไม่สามารถหลีกหนีไปจากกฎหมายดังกล่าวของสหภาพยุโรปได้อย่างแน่นอน

สาเหตุที่กล่าวเช่นนี้ เพราะข้อมูลส่วนบุคคลจำนวนมาก มักจะต้องมีความเกี่ยวข้องกับข้อมูลคนไข้ผู้ป่วย ถึงแม้ว่าในเชิงการรักษาผู้ป่วยจำเป็นจะต้องยินยอมให้แพทย์และพยาบาล เข้าถึงข้อมูลเหล่านี้เพื่อการรักษา แต่การจัดเก็บและวิธีการจัดการข้อมูลเหล่านี้ คือสิ่งที่กฎหมายฉบับนี้จะเข้ามามีส่วนเกี่ยวข้อง เพราะขอบเขตของข้อมูลตามกฎหมายนี้ ไม่ใช่แค่เลขรหัสประจำตัวประชาชน บัตรเครดิต หรือเลขเวชระเบียนแต่เพียงอย่างเดียว ยังครอบคลุมไปถึงข้อมูลในแบบอื่นๆ ด้วย

GDPR ยังกำหนดเรื่องของการส่งข้อมูลออกไปนอกสหภาพยุโรปและเขตเศรษฐกิจยุโรปด้วย โดยห้ามส่งออก (ตามมาตรา 44 ของกฎหมาย) ยกเว้นประเทศปลายทางจะพิสูจน์ได้ว่ามีมาตรการป้องกันข้อมูลที่เพียงพอ โดยในปัจจุบันมีประเทศและเขตการปกครองที่อยู่ในรายชื่อนี้ (whitelisted jurisdiction) จำนวนหนึ่ง คือ Canada, Andorra, Jersey, Guernsey, Faeroe Islands, the Isle of Man, Andorra, Switzerland, Uruguay, Argentina, Israel และ New Zealand โดยในปีหน้าจะมีการประกาศให้ เกาหลีใต้ และ ญี่ปุ่น เป็นหนึ่งในประเทศและเขตการปกครองเหล่านี้ด้วย

การกำหนดเหล่านี้สร้างความปวดหัวและวุ่นวายกับหลายบริษัท ที่ยังไม่เข้าใจกับ GDPR อย่างถ่องแท้ และทำให้มีปัญหาในการปรับตัวกับกฎหมาย นำมาสู่ความสามารถในการแข่งขันที่ลดลงโดยทางอ้อมนั่นเอง

##กฎหมาย GDPR ที่เกี่ยวข้องโดยตรงกับสถานพยาบาล##

คุณวรรณวิทย์ ชี้ให้เห็นว่า GDPR (หรือ Regulation (EU) 2016/679) มีส่วนที่เกี่ยวข้องกับกฎหมายหลายประการของสหภาพยุโรป โดยทั่วไปสิ่งที่เราจะเห็นคือในส่วนบทนำ (Recital) ที่ 35 ซึ่งกำหนดกฎหมายโดยตรงเกี่ยวกับข้อมูลสุขภาพ, 53 ที่กำหนดเรื่องของการประมวลผลข้อมูลละเอียดอ่อน (sensitive data) ในอุตสาหกรรมการแพทย์และสุขภาพ, 54 กำหนดเรื่องของการประมวลผลข้อมูลละเอียดอ่อนในด้านสาธารณสุข และ 96 เกี่ยวกับเรื่องกฎหมายคุ้มครองข้อมูลในด้านสุขภาพ

นอกจากกฎหมายด้านบนเหล่านั้นแล้ว ยังมีกฎหมายอื่นๆ ที่อยู่ลึกลงไปอีกและเกี่ยวพันกับ GDPR ไม่ว่าจะเป็นกรอบของการตีความ (Framework of interpretation) หรือข้อกำหนดและบ่งชี้ (Directive) อื่นๆ ของสหภาพยุโรป ล้วนแล้วแต่มีส่วนเกี่ยวพันกับกฎหมายฉบับนี้ทั้งสิ้น ความซับซ้อนของกฎหมายฉบับนี้ทำให้การทำงานทั้งในเชิงนโยบายและระดับปฏิบัติมีปัญหาทั้งสิ้น

กฎหมายและข้อกำหนด รวมถึงคำสั่งที่เกี่ยวข้องโดยตรงกับ GDPR

##แนวทางในการปรับตัวขององค์กร##

เมื่อกฎหมาย GDPR มีผลกระทบเช่นนี้ ในฝั่งขององค์กรจะปรับตัวอย่างไรได้บ้าง? คุณวรรณวิทย์เสนอว่าในฝั่งองค์กรเอง จะต้องมีตัวเล่นที่เกี่ยวข้องอยู่ 3 ฝ่าย คือ

1. ฝ่ายกำหนดนโยบาย ยุทธศาสตร์ และแนะนำด้านความเป็นส่วนตัว (privacy)
2. ฝ่ายกฎหมาย
3. ฝ่ายไอทีและที่ปรึกษาด้านข้อมูล

สามฝ่ายนี้จะนำมาสู่แนวทางในการแก้ไขปัญหาที่แตกต่างกันออกไปตามความชำนาญของแต่ละฝ่าย นำมาสู่ปัญหาภายในองค์กรเวลาต้องการกำหนดแนวทางและนโยบาย (การมานั่งเปิดแต่กฎหมายแล้วนั่งเช็ค compliance list คงไม่ดีแน่นอน) ซึ่งหนทางหนึ่งคือการตั้งคณะกรรมการทำงานร่วม (working group) ภายในองค์กรเพื่อจัดการกับปัญหาดังกล่าวนี้

ในกระบวนการแก้ไขปัญหาดังกล่าว ขั้นตอนเริ่มต้นจะต้องเป็นการปรับเปลี่ยนในเชิงองค์กร (organization measures) สูงถึง 80% ส่วนเรื่องทางเทคนิคจะมีเพียง 20% แต่พอเข้าถึงช่วงเริ่มใช้งานจริง สัดส่วนนี้จะกลับด้านกัน และจะกลับสู่สภาพสมดุลที่ฝั่งละ 50% เมื่อทุกอย่างเข้าที่แล้ว

##มองอนาคตถึง GDPR และผลกระทบ##

ท้ายที่สุด คุณวรรณวิทย์ทิ้งท้ายว่า สำหรับประเทศไทยเอง ความพยายามในการทำให้กฎหมายและระเบียบสอดคล้องกับ GDPR เป็นสิ่งสำคัญ แต่ยังคงมีงานอื่นๆ ที่ท้ายทายเป็นจำนวนมาก ไม่ว่าจะในฝั่งภาครัฐเองที่ต้องออกกฎหมายเพื่อให้สอดคล้องกับต่างประเทศ หรือภาคเอกชนที่จะต้องเข้าใจถึงการเปลี่ยนแปลงนี้

ในธุรกิจการแพทย์และสุภาพ ทุกวันนี้หลายคนยังมุ่งเน้นการทำตามมาตรฐาน HIPAA (Health Insurance Portability and Accountability Act) ซึ่งเป็นเรื่องของการแลกเปลี่ยนข้อมูลด้านสุขภาพแต่เพียงอย่างเดียว โดยไม่ได้พิจารณาถึงเรื่องของการให้ความสำคัญกับความเป็นส่วนตัวและข้อมูลต่างๆ ที่เกี่ยวข้องกัน

หากอนาคตทุกธุรกรรมหรือการดำเนินการต่างๆ ที่เกี่ยวข้องกับข้อมูลผู้ป่วย จะต้องไปดำเนินการที่ต่างประเทศ แทนที่จะเป็นในประเทศไทย ย่อมเสียบเปรียบของโอกาสในเชิงธุรกิจแน่นอน ยังไม่นับถึงความเสี่ยงจำนวนมากที่จะตามมา การปรับองค์กรให้สอดคล้องกับกฎหมาย GDPR จึงสำคัญ และนั่นย่อมแปลว่าองค์กรที่ใช้ข้อมูลส่วนบุคคลจำนวนมากพอสมควรอย่างอุตสาหกรรมแพทย์และสุขภาพ จำเป็นที่จะต้องปรับตัวให้เข้ากับกฎหมายฉบับนี้ไปในเวลาเดียวกัน

ขอขอบคุณคณะทำงานการประชุมวิชาการ บริษัท กรุงเทพดุสิตเวชการ จำกัด (มหาชน) และโรงพยาบาลสมิติเวช ที่ได้อำนวยความสะดวกให้เข้าฟังการบรรยายในครั้งนี้