ธรรมาภิบาลข้อมูล (Data Governance) เป็นพื้นฐานสำคัญสำหรับกระบวนการจัดการข้อมูลและการนำข้อมูลไปใช้อย่างถูกต้อง ทั้งด้านความสอดคล้องกับกฎหมาย/ระเบียบ/จริยธรรม มีคุณภาพ และพร้อมใช้ง่าย
Data is the New Soil ข้อมูลสารสนเทศมีคุณลักษณะที่สำคัญหลายประการ ทั้งเป็นสินทรัพย์ที่ไม่มีตัวตน ไม่หมดไป ไม่มีการแข่งขันในการใช้งาน มีปริมาณเกือบไม่จำกัด ต้นทุนการจัดเก็บและถ่ายโอนค่อนข้างต่ำมีความหลากหลาย ถูกสร้างได้ร่วมกัน ไม่สามารถกีดกันการเข้าถึงหรือทำให้หายไปจากระบบได้ อีกทั้งยังมีผลกระทบทางเศรษฐกิจและแสดงผลตอบแทนเพิ่มขึ้นตามขนาด ปัจจุบันข้อมูลสารสนเทศแบ่งออกเป็น 2 กลุ่มใหญ่ คือ Structured Data และ Unstructured Data หรือหากพิจารณาตามกลุ่มข้อมูลผู้มารับบริการสุขภาพ
สามารถแบ่งได้เป็นกลุ่มข้อมูลทางคลินิก ข้อมูลรายบุคคล ข้อมูลด้านบริหารจัดการ และข้อมูลสรุปรวม
จะเห็นได้ว่าข้อมูลนั้นเป็นรากฐานที่สำคัญในการนำไปใช้ต่ออย่างมาก ทั้งการนำไปวิเคราะห์เพื่อค้นหาปัจจัยนำสู่การค้นหาโอกาสพัฒนา/วางแผนการดำเนินการ กำหนดกลยุทธ์ การบริหารจัดการด้านปฏิบัติการ หรือใช้ประโยชน์ด้านอื่นๆ เพื่อให้มีการดำเนินการอย่างถูกต้องเหมาะสม องค์กรจำเป็นต้องมีระบบการบริหารจัดการข้อมูลให้มีคุณภาพโดยเรียกการดำเนินการนี้ว่า “ธรรมาภิบาลข้อมูล (Data Governance)” เพื่อให้เกิดการบริหารจัดการข้อมูลที่มีประสิทธิภาพ มีผู้รับผิดชอบ มีความโปร่งใส ตอบสนองต่อการดำเนินการ คำนึงถึงผู้รับบริการ สร้างการมีส่วนร่วม สอดคล้องกับกฎหมาย/กฎระเบียบ ตลอดวงจรชีวิตของข้อมูล (Data Life Cycle)
ข้อมูลด้านสุขภาพเป็นข้อมูลพิเศษ เพราะในมุมมองผู้รับบริการมองว่าเป็นเรื่องส่วนตัวที่เปิดเผยไม่ได้ ในขณะเดียวกันก็อาจจำเป็นต้องมีการเผยแพร่หรือแบ่งปันข้อมูลด้วย ดังนั้นการนำข้อมูลไปใช้จะต้องพิจารณาตามหลักการ 3 ประเด็น คือ Protect People การสร้างความมั่นคงละปลอดภัยของข้อมูล, Promote Health Value การใช้เพื่อการศึกษา วิจัย เพื่อยกระดับคุณภาพการดูแลรักษาในภาพรวม, Priorities Equity การสร้างความเท่าเทียมในระบบบริการสุขภาพภายใต้กรอบแนวคิด/โมเดลที่สำคัญ เช่น HIMSS AMAM (Analytic Maturity Model) Data Governance, FAIR Data Principles (Findable, Accessible, Interoperable, Reusable)
โรงพยาบาลศิริราชกับการดำเนินการ Data Governance คณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล ได้ดำเนินการพัฒนา Data Governance โดยจัดทำเป็นโครงการธรรมาภิบาลข้อมูล (Datagovernance) มีศูนย์นวัตกรรมข้อมูลศิริราช (SiData+) เป็นผู้รับผิดชอบหลักในการกำกับดูแลและขับเคลื่อนงานการพัฒนาคุณภาพข้อมูลทั้งในด้านบุคลากร กระบวนการ และเทคโนโลยีตั้งแต่การวางแผน/กำหนดเป้าหมาย การดำเนินการ การกำกับติดตามและประเมินผล เพื่อตอบสนองต่อทั้งปัจจัยภายใน (ตอบสนองวิสัยทัศน์-พันธกิจของคณะฯ การปกป้องสิทธิ์เจ้าของข้อมูล) และปัจจัยภายนอก (กฎหมาย กฎระเบียบ) รวมถึงการกำหนดกรอบดำเนินการด้าน Data Governance ที่ประกอบด้วย Data Security, Data Privacy, Data Quality
การวางแผนดำเนินการ เริ่มจากการวิเคราะห์สภาพแวดล้อมและปัญหาในปัจจุบัน โดยผลวิเคราะห์ได้แสดงให้เห็นถึงปัญหาการใช้ข้อมูล แนวทางการแก้ปัญหา และเป้าหมายของ Data Governance โดยสรุปจากนั้นจึงกำหนดกรอบการดำเนินการของ Data Governance และผู้รับผิดชอบการดำเนินการตามกรอบที่กำหนดไว้
| ปัญหาที่พบ | แนวทางการตอบสนอง | เป้าหมาย |
| – ข้อมูลไม่เป็นปัจจุบัน
– ข้อมูลไม่มีคุณภาพ – ข้อมูลกระจัดกระจาย/สูญหาย – ข้อมูลนำมาใช้ต่อได้ยาก เนื่องจากไม่มี Data Dictionary หรือการแสดงความสำคัญระหว่างชุดข้อมูล/ตารางในฐานข้อมูล (Data Table) – ขาดผู้ประสานงานด้านข้อมูล – ผู้ใช้ข้อมูลไม่สามารถดำเนินการเองได้ ต้องรอ SiData+ |
ด้านบุคลากร
– กำหนดผู้ให้บริการข้อมูล (Data Steward) ด้านกระบวนการ – กำหนดนโยบาย/ขั้นตอนการปฏิบัติ ด้านโปรแกรม/เครื่องมือ – Data Catalog – Meta Data |
– ข้อมูลมีการจัดการที่ดีตามหลักธรรมาภิบาลข้อมูล
– ข้อมูลมีคุณภาพ ถูกต้อง และเป็นปัจจุบัน – มีช่องทางการประสานงานกับ SiData+ กรณีพบปัญหาเกี่ยวกับข้อมูล – |
การกำหนดเป้าหมายและระดับความสำเร็จของการดำเนินโครงการ 3 ประเด็น คือ มีข้อมูลที่ดีขึ้น (Better Data) การสร้างความรู้ความเข้าใจ (Understanding), มีคุณภาพ (Quality), และมีความพร้อมในการนำไปใช้ต่อ (Availability as Foundation for other data work) โดยการประเมินตามมาตรฐาน AMAM Data Governance 7 Stage
โครงการ Data Governance มีการดำเนินการที่เป็นไปตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) Data Governance Framework (Data Quality) และมาตรฐาน ISO/IEC 27001:2013 ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System; ISMS) โดยศึกษากรอบนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคลจากแหล่งต่างๆ ทั้งของมหาวิทยาลัยมหิดล และสถาบันในต่างประเทศ เช่น Cambridge University Hospital, Oxford University Hospital, University of London, Harvard University นำมาเทียบเคียงกับนโยบายเดิมที่มีการประกาศในคณะฯ เพื่อพัฒนานโยบาย (Policy) ด้านการคุ้มครองข้อมูลส่วนบุคคล รวมถึงระเบียบปฏิบัติ (System Procedure) ระหว่างหน่วยงานในคณะฯ วิธีปฏิบัติ (Work Instruction) ภายในหน่วยงานในคณะฯ และเอกสารสนับสนุน (Support Document) เช่น คู่มือ, แบบฟอร์ม รวมถึงการกำหนดโครงสร้างการคุ้มครองข้อมูลส่วนบุคคลที่ประกอบด้วยอธิการบดีมหาวิทยาลัยมหิดล คณบดีคณะแพทยศาสตร์ศิริราชพยาบาลฯ คณะกรรมการที่มีผู้บริหารเป็นประธาน เครือข่ายผู้ประสานงานของส่วนงานต่างๆ และ SiData+
โครงการ Data Governance มีการออกแบบและจัดทำกระบวนการ 3 กระบวนการหลัก ได้แก่ กระบวนการด้านการคุ้มครองข้อมูลส่วนบุคคล กระบวนการด้านระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และกระบวนการด้านคุณภาพข้อมูล กระบวนการด้านการคุ้มครองข้อมูลส่วนบุคคล มีการออกแบบที่สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ทั้งนโยบาย ระเบียบปฏิบัติตลอดทั้ง Data Life Cycle
ออกแบบกระบวนการย่อยได้แก่ กระบวนการประเมินสถานะ (Access) กระบวนการปฏิบัติงานคุ้มครอง (Protect) กระบวนการจัดการและตอบสนอง (Respond) กระบวนการสร้างความต่อเนื่อง (Sustain)
กระบวนการด้านระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ดำเนินการตามมาตรฐาน ISO/IEC 27001:2013 การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System; ISMS) ใช้กระบวนการ Audit เพื่อตรวจสอบการดำเนินการในประเด็นมุ่งเน้น 5 ประเด็น ได้แก่
- ตรวจสอบกระบวนการจัดการข้อมูล (Data Management)
- ตรวจสอบสิทธิและการเข้าถึงในแต่ละระบบ (Access Management)
- ตรวจสอบความถูกต้องของข้อมูล (Integrity)
- ตรวจสอบการสร้าง Awareness และ Monitor (Security & Monitoring)
- ตรวจสอบกระบวนการแก้ไขและปรับปรุงตามมาตรฐาน ISO 27001:2013 (Remediation)
กระบวนการด้านคุณภาพข้อมูล มีการกำหนดมาตรฐานด้าน Metadata สำหรับระบบฐานข้อมูล
โดยผู้เกี่ยวข้องประกอบด้วยทีม Data Science, Data Engineer, Data Governance, Data Analyst
ร่วมกับกำหนดมาตรฐาน Metadata (Mandatory Metadata 14 ข้อ, Optional Metadata 7 ข้อ)
โดยใช้โปรแกรม Tableau เป็นเครื่องมือในการบริหารจัดการข้อมูล (Business Intelligent; BI)
การประเมินความสำเร็จของการดำเนินโครงการ Data Governance มีการประเมินตามมาตรฐาน HIMSS AMAM Data Governance แบ่งออกเป็น 7 Stage ได้แก่
Stage 1: Analytics strategy with executive support, regular meetings
Stage 2: Patient registry evolution, Master Data Management, data literacy
Stage 3: Standard terminologies, external data release policy & process
Stage 4: Widely accessible analytics driven dashboard track KPI’s
Stage 5: Supporting org. wide quality-based performance measurements
Stage 6: Accountable for managing the economics of care (cost & quality)
Stage 7: Tightly aligned with org. strategic, financial, and clinical leadership
นอกจากการประเมินตามมาตรฐาน HIMSS AMAM แล้ว ยังมีการประเมินความสอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) และมาตรฐาน ISO/IEC 27001:2013 Information Security Management System (ISMS) อย่างน้อยปีละ 1 ครั้ง
จากการประเมินผลการดำเนินโครงการ จึงนำผลการประเมินนำสู่การทบทวนเพื่อปรับปรุง อย่างต่อเนื่องรวมถึงการรวบรวมข้อมูลการแจ้งความประสงค์ แบบสอบถาม หรือการร้องเรียน ที่มาจากผู้บริหาร บุคลากรในหน่วยงาน งานบริหารความเสี่ยง และผู้รับบริการเพื่อปรับปรุงและพัฒนากระบวนการด้านธรรมาภิบาลข้อมูล การคุ้มครองข้อมูลส่วนบุคคล และกระบวนการด้านความปลอดภัยของข้อมูล
จากการแลกเปลี่ยนเรียนรู้ประสบการณ์การดำเนินการโครงการ Data Governance ของศูนย์นวัตกรรมข้อมูลศิริราช (SiData+) ผู้อ่านจะสามารถนำความรู้และประสบการณ์ที่ถ่ายทอดไปประยุกต์ใช้เพื่อให้เกิดกระบวนการจัดการข้อมูลที่ดี มีคุณภาพ และสามารถใช้ข้อมูลได้อย่างมีประสิทธิภาพ เป็นรากฐานการจัดการข้อมูลที่มั่นคง
นำสู่การพัฒนานวัตกรรม และสนับสนุนการเติบโตขององค์กรในอนาคต
ผู้ถอดบทเรียน นายสุทธิพงศ์ คงชุม
นักวิชาการคอมพิวเตอร์ งานพัฒนาคุณภาพการบริการ โรงพยาบาลธรรมศาสตร์เฉลิมพระเกียรติ
