Download original attachment
(PDF file)
This is an HTML version of an attachment to the Official Information request 'Documents relating to the Waikato DHB ransomware attack response'.



 
 
 
3 February 2023 
 
  
 
Scott Miller  
[FYI request #21399 email] 
 
  
Tēnā koe Scott 
  
Your request for official information, reference: HNZ00008727 
 
Thank you for your email on 12 December 2022, to the Ministry of Health. Your request was 
transferred to Te Whatu Ora Health New Zealand for direct response. You requested the 
following information under the Official Information Act 1982 (the Act): 
 
…copies of the following documents referenced in the recently released InPhySec Waikato 
DHB incident response analysis report:  
 
•  ONE: The “McGrathNicol report on the incident completed for WDHB in February 2022” 
referenced on page 14.  
 
•  TWO: The Ernst & Young review delivered to Waikato DHB in December 2021 
referenced on page 14.  
 
•  THREE:  The  22  June  2021  internal  Waikato  DHB  report  titled  “Re-connecting  to  the 
Digital Health Ecosystem” referenced on page 39”  
I will respond to each part of your request in turn. 
•  ONE: The “McGrathNicol report on the incident completed for WDHB in February 2022” 
referenced on page 14.  
•  TWO: The Ernst & Young review delivered to Waikato DHB in December 2021 
referenced on page 14.  
The requested reports include information regarding Te Whatu Ora Health New Zealand’s cyber 
security posture and security weaknesses. This information was generated to strengthen Waikato 
DHB and Te Whatu Ora Health New Zealand’s information security framework. This measure is in 
place to ensure that patients of the DHB and Te Whatu Ora Health New Zealand are protected 
from any further breach of their confidentiality and/or misuse of their personal information that may 
cause material loss.  
Disclosure of this information would prejudice the Te Whatu Ora Health New Zealand’s ability to 
prevent and detect cyber security threats and may also result in exposure of the information to 
those who may use this information for criminal gain. Cybercriminals monitor for and act upon this 
type of information. Cybercriminals looking to target the Te Whatu Ora Health New Zealand would 
benefit from understanding the intricacies of our cyber security posture. This gain or advantage 
would devastatingly lead to further damage to the healthcare system, impact on the safe delivery of 
public health services, and further privacy breaches. 
 
 
 
 




 
Therefore, we are refusing these reports under the following sections of the Act: 
•  6(c) - to avoid prejudice to the maintence of the law 
•  9(2)(ba) - to protect information that is subject to an obligation of confidence where it is in 
the public interest that confidence over the information be maintained 
•  9(2)(c) - to avoid prejudice to measures protecting the health or safety of members of the 
public 
•  9(2)(e) - to avoid prejudice to measures that prevent or mitigate material loss to members 
of the public 
•  9(2)(h) - to maintain legal professional privilege 
•  9(2)(k) - to prevent the use of official information for improper gain or improper advantage 
 
•  THREE:  The  22  June  2021  internal  Waikato  DHB  report  titled  “Re-connecting  to  the 
Digital Health Ecosystem” referenced on page 39”  
Please see the requested information attached as Document 1. Some information is being withheld 
under the following sections of the Act: 
•  9(2)(c) - to avoid prejudice to measures protecting the health or safety of members of the 
public 
•  9(2)(e) - to avoid prejudice to measures that prevent or mitigate material loss to members 
of the public 
•  9(2)(k) - to prevent the use of official information for improper gain or improper advantage 
If you have any questions, you can contact us at [email address]. 
If you are not happy with this response, you have the right to make a complaint to the 
Ombudsman. Information about how to do this is available at www.ombudsman.parliament.nz or 
by phoning 0800 802 602.  
As this information may be of interest to other members of the public, Te Whatu Ora may 
proactively release a copy of this response on our website. All requester data, including your name 
and contact details, will be removed prior to release. The released response will be made available 
on our website. 
 
 
Nāku iti noa, nā  
 
 
 
 
 
Stuart Bloomfield 
Interim Chief Data and Digital 
 
 
  
  
 
 
 
 
 
TeWhatuOra.govt.nz 
Te Whatu Ora, PO Box 793, 
 Wellington 6140, New Zealand