Helsingin kaupunki | Pöytäkirja |
| 1 (3) |
Sosiaali- ja terveystoimiala |
|
| |
Hallinto |
|
| |
Hallintopalvelut | 19.05.2021 |
| |
|
|
| |
Hallintopäällikkö |
|
|
4 §
Pyyntö saada tieto viranomaisen asiakirjasta
HEL 2021-005699 T 07 01 02
Päätös
Hallintopäällikkö päätti hylätä toimittaja Eero Mäntymaan pyynnön saada tietoja Apotti-asiakas- ja potilastietojärjestelmään sisältyvän Rover-käyttöjärjestelmän tietoturvatestauksen tuloksista ja käyttöjärjestelmää koskevasta ohjeistuksesta ja ohjekirjasta.
Päätöksen perustelut
Tietopyyntö
Toimittaja Eero Mäntymaa (Yle MOT-toimitus) on ottanut yhteyttä Helsingin kaupungin sosiaali- ja terveystoimialan tietohallintopäällikkö Petri Otraseen puhelimitse sekä sähköpostilla 6.5.2021. Mäntymaa kertoo, että Apotti-järjestelmän käyttöönoton yhteydessä potilastietojärjestelmän tilaajat ovat ottaneet käyttöön mobiilipalveluja, jotka toimivat puhelimella ja/tai tabletilla. Yksi näistä mobiilipalveluista on nimeltään Rover. Oy Apotti Ab on itse toteuttanut ohjelman tietoturvatestausta, jonka tulokset on toimitettu tilaajien tietoturvapäälliköille. Mäntymaa pyytää, että tietoturvatestauksien tulokset annetaan hänelle nähtäväksi.
Lisäyksenä edellä mainittuun Mäntymaa toteaa 7.5.2021 sähköpostissaan, että Rover-käyttöjärjestelmästä on olemassa kaupungin työntekijöille tarkoitettu ohjeistus, tai ohjekirja. Mäntymaa pyytää asiakirjaa nähtäväkseen.
Pyydetyn aineiston voi toimittaa Mäntymaalle sähköpostin liitetiedostoina vastauksena hänen viesteihinsä. Mäntymaa pyytää toimittamaan aineiston viranomaisten toiminnan julkisuudesta annetun lain (jäljempänä julkisuuslaki) 14 §:n mukaisesti kahden (2) viikon määräajan kuluessa. Mikäli tietojen toimittamiseen tarvitaan pidempi eli kuukauden toimitusaika, Mäntymaa pyytää kirjallisia perusteluita. Jos tietoja ei luovuteta osittain tai kokonaan, Mäntymaa pyytää asiasta perustellun valituskelpoisen kirjallisen päätöksen valitusohjeineen.
Sovelletut lainsäännökset
Laki viranomaisten toiminnan julkisuudesta
10 §
Tiedonsaanti salassa pidettävästä asiakirjasta
Salassa pidettävästä viranomaisen asiakirjasta tai sen sisällöstä saa antaa tiedon vain, jos niin erikseen tässä laissa säädetään. Kun vain osa asiakirjasta on salassa pidettävä, tieto on annettava asiakirjan julkisesta osasta, jos se on mahdollista niin, ettei salassa pidettävä osa tule tietoon.
24 § 1 momentti
Salassa pidettäviä viranomaisen asiakirjoja ovat, jollei erikseen toisin säädetä:
----
7) henkilöiden, rakennusten, laitosten, rakennelmien sekä tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevat ja niiden toteuttamiseen vaikuttavat asiakirjat, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna turvajärjestelyjen tarkoituksen toteutumista;
----
20) asiakirjat, jotka sisältävät tietoja yksityisestä liikesalaisuudesta, samoin kuin sellaiset asiakirjat, jotka sisältävät tietoja muusta vastaavasta yksityisen elinkeinotoimintaa koskevasta seikasta, jos tiedon antaminen niistä aiheuttaisi elinkeinonharjoittajalle taloudellista vahinkoa, ja kysymys ei ole kuluttajien terveyden tai ympäristön terveellisyyden suojaamiseksi tai toiminnasta haittaa kärsivien oikeuksien valvomiseksi merkityksellisistä tiedoista tai elinkeinonharjoittajan velvollisuuksia ja niiden hoitamista koskevista tiedoista;
---.
Arviointi ja johtopäätökset
Tietoturvatestauksen tulokset
Sosiaali- ja terveystoimiala on selvittänyt Rover-käyttöjärjestelmän tietoturvatestauksen tulosten julkisuutta kysymällä Oy Apotti Ab:n näkemyksen asiaan. Selvityksen tuloksena on päädytty siihen, että tietoturvatestauksen tuloksia ei luovuteta, koska tietoturvallisuusauditointiraportti on julkisuuslain 24 §:n mukaan salassa pidettävä asiakirja. Kyseessä on asiakirja, joka sisältää tietojärjestelmän tietoturvallisuuteen liittyviä, julkisuuslain 24 §:n 1 momentin 7 kohdassa tarkoitettuja tieto- ja viestintäjärjestelmien turvajärjestelyjä ja niiden toteuttamiseen vaikuttavia tietoja.
Auditointiraportti sisältää sellaisia havaintoja ja huomioita, joiden julkaiseminen voisi auttaa rikollisia löytämään tunnistettuja heikkouksia taikka auditoinnin suorittamiseen liittyviä käytäntöjä, jotka rikolliset tahot voisivat hyödyntää etsiessään järjestelmästä heikkouksia. Tämän vuoksi ei ole ilmeistä, että auditointiraportin julkaiseminen ei vaaranna turvajärjestelyjen tarkoituksen toteutumista.
Tietoturvatestauksen tuloksia ei luovuteta, koska tietojen antaminen voi vaarantaa turvajärjestelyjen toteutumista.
Lisäksi tietoturvallisuusauditointiraportti sisältää tietoja yksityisestä liikesalaisuudesta, joka on julkisuuslain 24 §:n 1 momentin 20 kohdan mukaisesti salassa pidettävää tietoa.
Rover-käyttöjärjestelmää koskeva ohjekirja
Rover-käyttöjärjestelmään liittyviä ohjeita ja ohjekirjoja on satoja sivuja, jotka sisältävät paljon järjestelmän näyttökuvia. Kaikki Epic- näyttöjä sisältävät kuvat ovat salassa pidettäviä ja julkisuuslain 24 §:n 1 momentin 20 kohdassa tarkoitettuja ammatti- ja liikesalaisuuksia. Ohjekirjaan sisältyvät tekstit eivät sinänsä ole salassa pidettäviä, mutta tekstien luovuttaminen ohjekirjasta, jossa tekstien yhteydessä on salassa pidettäviä Epic- näyttökuvia saattaa johtaa siihen, että salassa pidettäviä osia tulee tietoon. Lisäksi tekstien luovuttaminen kuvien yhteydessä irrallaan kuvista johtaa siihen, ettei luovutettava tieto enää ole asiakokonaisuudessa ymmärrettävä.
Edellä todetun perusteella tietoja ohjeista tai ohjekirjasta ei luovuteta.
Toimivalta
Sosiaali- ja terveyslautakunta 8.5.2018 § 134
Sosiaali- ja terveystoimialan hallinnollisten asiakirjojen antamisesta päättää hallintopalvelujen hallintopäällikkö.
Lisätiedot
Harri J. Lehtonen, lakimies, puhelin: 310 42668
harri.j.lehtonen(a)hel.fi
Muutoksenhaku
Hallintovalitus, julkisuuslaissa tarkoitetut asiat |
Otteet
Ote | Otteen liitteet |
Tietopyynnön tekijä | Hallintovalitus, julkisuuslaissa tarkoitetut asiat |
.
| ||||
Postiosoite | Käyntiosoite | Puhelin | Y-tunnus | Tilinro |
PL 6000 | Toinen linja 4 A | +358 9 310 5015 | 0201256-7 | FI1880001200052430 |
00099 HELSINGIN KAUPUNKI | Helsinki 53 | Faksi |
| Alv.nro |
sosiaalijaterveys@hel.fi | www.hel.fi/sote | +358 9 310 42504 |
| FI02012567 |
|
|