‘ดร.นพ.นวนรรน’ ชี้ PDPA ไม่ได้ห้าม รพ.ส่งข้อมูลเบิกเงินจาก สปสช. โดยตรง

ผู้เชี่ยวชาญระบบสารสนเทศสุขภาพชี้ กฎหมาย PDPA ไม่ได้ห้ามโรงพยาบาลส่งข้อมูลเบิกจ่ายเงินค่ารักษาโดยตรงกับ สปสช. หากกระทรวงสาธารณสุขต้องการรวบรวมข้อมูลเข้าส่วนกลางก่อนส่งเบิก ถือเป็นการบริหารความเสี่ยงภายในองค์กร แต่ไม่เกี่ยวกับ PDPA

สืบเนื่องจากกรณีที่มีการเผยแพร่ข้อมูลทาง Social Media ระบุว่า การส่งข้อมูลเบิกจ่ายของหน่วยบริการผ่าน FDH ถ้าไม่ดำเนินการ ส่งตรง สปสช.อาจสุ่มเสี่ยงผิดกฎหมาย PDPA นั้น ดร.นพ.นวนรรน ธีระอัมพรพันธุ์ ผู้เชี่ยวชาญด้านระบบสารสนเทศสุขภาพ ให้ความเห็นถึงแนวคิดการจัดระบบข้อมูลการเบิกจ่ายค่ารักษาพยาบาลในโครงการ 30 บาทรักษาทุกที่ด้วยบัตรประชาชนใบเดียว ซึ่งกระทรวงสาธารณสุขมีแนวคิดในการทำ Financial Data Hub หรือ FDH เพื่อรวบรวมข้อมูลจากโรงพยาบาลในสังกัดก่อนส่งข้อมูลไปเบิกกับสำนักงานหลักประกันสุขภาพแห่งชาติ (สปสช.) แทนการให้โรงพยาบาลเป็นผู้ส่งข้อมูลการเบิกจ่ายโดยตรง 

ดร.นพ.นวนรรน กล่าวว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA ไม่ได้กำหนดรายละเอียดวิธีการว่าเงื่อนไขการส่งข้อมูลเป็นอย่างไร เพียงกำหนดไว้ว่าผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งในที่นี้อาจหมายถึงสำนักงานปลัดกระทรวงสาธารณสุข หรือ กรมที่เป็นต้นสังกัดของโรงพยาบาลต่างๆ มีหน้าที่ดูแลเรื่องของการใช้ข้อมูลส่วนบุคคล การเปิดเผยข้อมูลส่วนบุคคลให้มีความเหมาะสม เพราะฉะนั้น กรณีการเบิกจ่ายค่ารักษาพยาบาลของโครงการ 30 บาท โรงพยาบาลต่างๆ ซึ่งเป็นองคาพยพส่วนหนึ่งภายใต้ผู้ควบคุมข้อมูลส่วนบุคคล เมื่อส่งข้อมูลให้ สปสช. ก็เสมือนว่าสำนักงานปลัดกระทรวงสาธารณสุข หรือ กรมที่เป็นต้นสังกัดของโรงพยาบาล เป็นผู้ส่งข้อมูลนั้น

ขณะเดียวกัน ในส่วนของ สปสช. มี พ.ร.บ.หลักประกันสุขภาพแห่งชาติ พ.ศ.2545 รองรับ และอำนาจในการกำหนดวิธีการส่งข้อมูลเบิกจ่ายก็เป็นอำนาจของ สปสช.เพราะฉะนั้น ถ้าในหลักเกณฑ์ของ สปสช. มีรายละเอียดให้สถานพยาบาลส่งข้อมูลอย่างไร สถานพยาบาลก็ต้องส่งตามนั้น นอกจากนี้ กฎหมาย PDPA มีมาตรา 26 (5)(ค.) กำหนดเงื่อนไขของการเก็บข้อมูล ใช้ หรือเปิดเผยข้อมูล ซึ่งข้อมูลการเบิกจ่ายค่ารักษาก็เป็นข้อยกเว้นของกฎหมาย PDPA ตามมาตรา 25 อยู่แล้ว

ดร.นพ.นวนรรน กล่าวสรุปว่า เมื่อพิจารณาข้อกฎหมายแล้ว กฎหมาย PDPA ไม่ได้ห้ามในการส่งข้อมูลการเบิกจ่ายโดยตรงจากโรงพยาบาลไปยัง สปสช. ถ้า สปสช. มีเงื่อนไขให้ส่งอย่างไร โดยหลักการของกฎหมาย PDPA ก็ให้เป็นไปตามนั้น

อย่างไรก็ตาม ในฐานะของกระทรวงสาธารณสุขก็มีอำนาจในการดำเนินการภายในองค์กรเช่นกัน เช่น ถ้ามองว่าหากให้โรงพยาบาลส่งข้อมูลเองแล้วเกิดมีปัญหา หน่วยงานต้นสังกัดมีความเสี่ยงรับผิดด้วย จึงเห็นสมควรให้โรงพยาบาลส่งข้อมูลผ่านกลไกของส่วนกลางก่อนแล้วค่อยส่งไปเบิกกับ สปสช. อีกทีหนึ่ง จะได้ควบคุมความเสี่ยงได้ ก็มีสิทธิที่จะบังคับบัญชาเป็นการภายในได้ เพียงแต่ถ้าจะอ้างว่า PDPA ให้ทำเช่นนั้น คิดว่าเป็นความเข้าใจที่ไม่ถูกต้อง ข้อร้องว่าอย่าเอา PDPA มาอ้าง เพราะเป็นเรื่องของการบริหารจัดการความเสี่ยงของข้อมูลภายในองค์กร ไม่เกี่ยวกับกฎหมาย PDPA 

"ดังนั้นโดยหลักการก็สามารถให้โรงพยาบาลส่งข้อมูลเบิกจ่ายไปยัง สปสช. ได้ ไม่ว่าจะเป็นการส่งข้อมูลโดยตรงหรือผ่านส่วนกลางก็ตาม ซึ่งหาก สปสช. อยากให้โรงพยาบาลส่งข้อมูลโดยตรงเพื่อจะได้ข้อมูลแบบเรียลไทม์ แต่กระทรวงสาธารณสุขอยากให้รวมข้อมูลมาที่ส่วนกลางก่อนเพื่อบริหารความเสี่ยงหรือใช้ประโยชน์จากข้อมูล อันนี้ผมคงไม่มีความเห็น ต้องให้ผู้บริหารของทั้ง 2 หน่วยงานไปหารือกันเอง" ดร.นพ.นวนรรน กล่าว