ความเป็นส่วนตัวและความปลอดภัยของข้อมูลถือเป็นสิ่งสำคัญสำหรับลูกค้าที่ต้องการใช้การประมวลผลคลาวด์ในการจัดการข้อมูลด้านสุขภาพ ซึ่งไมโครซอฟท์เองก็ตระหนักถึงความสำคัญในข้อนี้ จึงได้มุ่งเน้นไปที่คุณลักษณะด้านความเป็นส่วนตัวและการรักษาความปลอดภัยให้มีอยู่ในการบริการระบบคลาวด์ระดับองค์กร (เช่น Office 365, Azure และ Dynamics CRM) เพื่อช่วยลูกค้าจัดการกับข้อมูลที่เกี่ยวกับสุขภาพและสอดคล้องกับการทำงานภายใต้กฎระเบียบข้อบังคับด้านล่างนี้กฎระเบียบ/ข้อกฎหมายในประเทศไทยที่สถาบันดูแลสุขภาพควรพิจารณาก่อนย้ายไปยังระบบคลาวด์
สถาบันดูแลสุขภาพในประเทศไทยสามารถร้องขอการบริการระบบคลาวด์ของไมโครซอฟท์ (Microsoft Cloud Services) ได้โดยไม่จำเป็นต้องได้รับอนุมัติจากผู้ใดก่อน โดยกระทรวงสาธารณสุขที่กำกับดูแลการให้บริการด้านสาธารณะสุขทั้งภาครัฐและเอกชนไม่ได้มีข้อกำหนดทางกฎหมายสำหรับการใช้บริการระบบคลาวด์ของไมโครซอฟท์ จะมีเฉพาะที่เกี่ยวข้องในพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 (“CAA”) เท่านั้น ที่ระบุให้ผู้ให้บริการ เช่น ไมโครซอฟท์จะต้องให้ความร่วมมือเมื่อเจ้าหน้าที่ร้องขอการเข้าถึงข้อมูล รวมถึงข้อบังคับความต้องการความเป็นส่วนตัว เช่น ข้อมูลสุขภาพส่วนบุคคลจะต้องเก็บเป็นความลับ และไม่มีการเปิดเผยในลักษณะที่จะทำให้เกิดความเสียหายกับข้อมูล สำหรับการรับรองเกี่ยวกับร่างกายอาจมีข้อกำหนดที่เฉพาะเจาะจงมากขึ้น นอกจากนี้ สถาบันที่ได้รับคำรับรองจาก JCI (Joint Commission International) ซึ่งควบคุมดูแลในส่วนของมาตรฐานความปลอดภัยของผู้ป่วยยังสามารถใช้บริการระบบคลาวด์จากไมโครซอฟท์ได้เป็นปกติโดยไม่ขัดกับข้อกำหนดของ JCI แต่อย่างใดด้วย
วิธีการที่ไมโครซอฟท์ใช้ปกป้องข้อมูลด้านสุขภาพ
ไมโครซอฟท์มีความโปร่งใสในการใช้ข้อมูลของลูกค้าและถือเป็นธรรมเนียมปฏิบัติที่จะไม่จับภาพ สแกน ทำดัชนี หรือใช้เพื่อวัตถุประสงค์ใดๆ โดยไม่ได้รับอนุญาต สำหรับความคุ้มครองอื่นๆ ที่มีให้อยู่แล้วจะประกอบด้วย การจำกัดการเข้าถึงข้อมูลลูกค้าอย่างเข้มงวดด้วยวิธีป้องกันและควบคุมด้านเทคนิค หรือด้านกายภาพเพื่ออำนวยความสะดวกและเพื่อการปฏิบัติงาน รายงานการฝ่าฝืนระเบียบการรักษาความปลอดภัย (ถ้ามี) การตรวจสอบระบบการป้องกันของไมโครซอฟท์ประจำปี ข้อตกลงเชิงพาณิชย์กับผู้รับเหมาช่วง การขยายความคุ้มครองในข้อตกลงที่จะ “ร่วมธุรกิจ” การให้บริการดูแลสุขภาพ “ครอบคลุมถึง/หมายรวมถึง” องค์กร, และข้อจำกัดที่เข้มงวดเกี่ยวกับการใช้ข้อมูล (ขณะนี้ยังคงปฏิบัติตามมาตรฐาน ISO/IEC 27018 ซึ่งเป็นมาตรฐานอุตสาหกรรมระหว่างประเทศที่เกี่ยวข้องกับข้อจำกัดของการใช้ข้อมูลส่วนบุคคล) โดยคุณลักษณะ กระบวนการ และข้อตกลงที่ชัดเจนเหล่านี้จะช่วยให้สถาบันดูแลสุขภาพสามารถตัดสินใจย้ายไปยังระบบคลาวด์ได้อย่างมั่นใจ
นโยบายเกี่ยวกับตำแหน่งที่ตั้งข้อมูลด้านสุขภาพ การถ่ายโอนข้อมูลไปทั่วโลกและการแจ้งเตือน การขอความยินยอมเพื่อเปิดเผยข้อมูลแก่ภาครัฐ
ลูกค้าบริการระบบคลาวด์ของไมโครซอฟท์ในภูมิภาคเอเชียแปซิฟิกจะใช้บริการศูนย์ข้อมูลของไมโครซอฟท์ที่ประเทศสิงคโปร์และฮ่องกง โดยจะไม่มีการถ่ายโอนข้อมูลของลูกค้าไปที่อื่น ยกเว้นในกรณีเกี่ยวกับการสนับสนุนทางเทคนิคและการแก้ไขปัญหา ซึ่งไมโครซอฟท์จะแจ้งให้ทราบล่วงหน้าก่อน ไมโครซอฟท์จะไม่เปิดเผยข้อมูลลูกค้าแก่บุคคลอื่น (รวมถึงการบังคับใช้กฎหมายจากหน่วยงานรัฐหรือผู้ฟ้องร้องทางแพ่ง) เว้นแต่กฎหมายจะกำหนด และรัฐบาลจะไม่สามารถเข้าถึงได้โดยตรง ต้องปฏิบัติตามกระบวนการทางกฎหมายเท่านั้น และจะเปิดเผยเฉพาะข้อมูลที่จำเป็นตามกฎหมายเท่านั้น
โดยสรุปแล้ว ไมโครซอฟท์พร้อมให้ความช่วยเหลือและสนับสนุนการดำเนินงานของสถาบันดูแลสุขภาพในประเทศไทยในการใช้บริการระบบคลาวด์ที่เป็นไปตามข้อกฎหมายและธรรมเนียมปฏิบัติ เพื่อให้ลูกค้ามั่นใจและวางใจเมื่อตัดสินใจย้ายไปยังระบบคลาวด์ของไมโครซอฟท์ สำหรับข้อมูลเพิ่มเติมต่างๆ ลูกค้าสามารถเข้าไปอ่านได้ที่ Microsoft Office 365 Trust Center, Windows Azure Trust Center และ Microsoft Dynamics CRM Trust Center