4 §

Pyyntö saada tieto viranomaisen asiakirjasta

HEL 2021-005699 T 07 01 02

Päätös

Hallintopäällikkö päätti hylätä toimittaja Eero Mäntymaan pyynnön saada tietoja Apotti-asiakas- ja potilastietojärjestelmään sisältyvän Rover-käyttöjärjestelmän tietoturvatestauksen tuloksista ja käyttöjärjestelmää koskevasta ohjeistuksesta ja ohjekirjasta.

Päätöksen perustelut

Tietopyyntö

Toimittaja Eero Mäntymaa (Yle MOT-toimitus) on ottanut yhteyttä Helsingin kaupungin sosiaali- ja terveystoimialan tietohallintopäällikkö Petri Otraseen puhelimitse sekä sähköpostilla 6.5.2021. Mäntymaa kertoo, että Apotti-järjestelmän käyttöönoton yhteydessä potilastietojärjestelmän tilaajat ovat ottaneet käyttöön mobiilipalveluja, jotka toimivat puhelimella ja/tai tabletilla. Yksi näistä mobiilipalveluista on nimeltään Rover. Oy Apotti Ab on itse toteuttanut ohjelman tietoturvatestausta, jonka tulokset on toimitettu tilaajien tietoturvapäälliköille. Mäntymaa pyytää, että tietoturvatestauksien tulokset annetaan hänelle nähtäväksi.

Lisäyksenä edellä mainittuun Mäntymaa toteaa 7.5.2021 sähköpostissaan, että Rover-käyttöjärjestelmästä on olemassa kaupungin työntekijöille tarkoitettu ohjeistus, tai ohjekirja. Mäntymaa pyytää asiakirjaa nähtäväkseen.

Pyydetyn aineiston voi toimittaa Mäntymaalle sähköpostin liitetiedostoina vastauksena hänen viesteihinsä. Mäntymaa pyytää toimittamaan aineiston viranomaisten toiminnan julkisuudesta annetun lain (jäljempänä julkisuuslaki) 14 §:n mukaisesti kahden (2) viikon määräajan kuluessa. Mikäli tietojen toimittamiseen tarvitaan pidempi eli kuukauden toimitusaika, Mäntymaa pyytää kirjallisia perusteluita. Jos tietoja ei luovuteta osittain tai kokonaan, Mäntymaa pyytää asiasta perustellun valituskelpoisen kirjallisen päätöksen valitusohjeineen.

Sovelletut lainsäännökset

Laki viranomaisten toiminnan julkisuudesta

10 §

Tiedonsaanti salassa pidettävästä asiakirjasta

Salassa pidettävästä viranomaisen asiakirjasta tai sen sisällöstä saa antaa tiedon vain, jos niin erikseen tässä laissa säädetään. Kun vain osa asiakirjasta on salassa pidettävä, tieto on annettava asiakirjan julkisesta osasta, jos se on mahdollista niin, ettei salassa pidettävä osa tule tietoon.

24 § 1 momentti

Salassa pidettäviä viranomaisen asiakirjoja ovat, jollei erikseen toisin säädetä:

----

7) henkilöiden, rakennusten, laitosten, rakennelmien sekä tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevat ja niiden toteuttamiseen vaikuttavat asiakirjat, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna turvajärjestelyjen tarkoituksen toteutumista;

----

20) asiakirjat, jotka sisältävät tietoja yksityisestä liikesalaisuudesta, samoin kuin sellaiset asiakirjat, jotka sisältävät tietoja muusta vastaavasta yksityisen elinkeinotoimintaa koskevasta seikasta, jos tiedon antaminen niistä aiheuttaisi elinkeinonharjoittajalle taloudellista vahinkoa, ja kysymys ei ole kuluttajien terveyden tai ympäristön terveellisyyden suojaamiseksi tai toiminnasta haittaa kärsivien oikeuksien valvomiseksi merkityksellisistä tiedoista tai elinkeinonharjoittajan velvollisuuksia ja niiden hoitamista koskevista tiedoista;

---.

Arviointi ja johtopäätökset

Tietoturvatestauksen tulokset

Sosiaali- ja terveystoimiala on selvittänyt Rover-käyttöjärjestelmän tietoturvatestauksen tulosten julkisuutta kysymällä Oy Apotti Ab:n näkemyksen asiaan. Selvityksen tuloksena on päädytty siihen, että tietoturvatestauksen tuloksia ei luovuteta, koska tietoturvallisuusauditointiraportti on julkisuuslain 24 §:n mukaan salassa pidettävä asiakirja. Kyseessä on asiakirja, joka sisältää tietojärjestelmän tietoturvallisuuteen liittyviä, julkisuuslain 24 §:n 1 momentin 7 kohdassa tarkoitettuja tieto- ja viestintäjärjestelmien turvajärjestelyjä ja niiden toteuttamiseen vaikuttavia tietoja.

Auditointiraportti sisältää sellaisia havaintoja ja huomioita, joiden julkaiseminen voisi auttaa rikollisia löytämään tunnistettuja heikkouksia taikka auditoinnin suorittamiseen liittyviä käytäntöjä, jotka rikolliset tahot voisivat hyödyntää etsiessään järjestelmästä heikkouksia. Tämän vuoksi ei ole ilmeistä, että auditointiraportin julkaiseminen ei vaaranna turvajärjestelyjen tarkoituksen toteutumista.

Tietoturvatestauksen tuloksia ei luovuteta, koska tietojen antaminen voi vaarantaa turvajärjestelyjen toteutumista.

Lisäksi tietoturvallisuusauditointiraportti sisältää tietoja yksityisestä liikesalaisuudesta, joka on julkisuuslain 24 §:n 1 momentin 20 kohdan mukaisesti salassa pidettävää tietoa.

Rover-käyttöjärjestelmää koskeva ohjekirja

Rover-käyttöjärjestelmään liittyviä ohjeita ja ohjekirjoja on satoja sivuja, jotka sisältävät paljon järjestelmän näyttökuvia. Kaikki Epic- näyttöjä sisältävät kuvat ovat salassa pidettäviä ja julkisuuslain 24 §:n 1 momentin 20 kohdassa tarkoitettuja ammatti- ja liikesalaisuuksia. Ohjekirjaan sisältyvät tekstit eivät sinänsä ole salassa pidettäviä, mutta tekstien luovuttaminen ohjekirjasta, jossa tekstien yhteydessä on salassa pidettäviä Epic- näyttökuvia saattaa johtaa siihen, että salassa pidettäviä osia tulee tietoon. Lisäksi tekstien luovuttaminen kuvien yhteydessä irrallaan kuvista johtaa siihen, ettei luovutettava tieto enää ole asiakokonaisuudessa ymmärrettävä.

Edellä todetun perusteella tietoja ohjeista tai ohjekirjasta ei luovuteta.

Toimivalta

Sosiaali- ja terveyslautakunta 8.5.2018 § 134

Sosiaali- ja terveystoimialan hallinnollisten asiakirjojen antamisesta päättää hallintopalvelujen hallintopäällikkö.

Lisätiedot

Harri J. Lehtonen, lakimies, puhelin: 310 42668

harri.j.lehtonen(a)hel.fi

Muutoksenhaku

Otteet

.