This is an HTML version of an attachment to the Official Information request 'Commissioners' and Finance Risk and Audit Committee meeting minutes'.

24 January 2022 
Email: [FYI request #17423 email] 
Dear Scott, 
Official Information Act Request 
Thank you for your enquiry received on 7 December 2021 made under section 12 of 
the Official Information Act 1982.  Your request was as follows: 
1)  The minutes of the FRAC and Commissioner’s meetings scheduled to 
be held on 24 November. 
  We have used the same scope as your original request:  
a)  The Waikato DHB ransomware attack and its aftermath 
b)  Digital systems, digital investment and cybersecurity at Waikato 
DHB generally 
  We enclose the minutes for the 24 November 2021 FRAC meeting. 
Information contained in the minutes that we consider to be out of the scope 
of your request has not been provided to you and has been redacted – see 
redactions marked in red.   
Waikato DHB considers it is necessary to withhold some of the documents 
contained in the minutes pursuant to the following sections of the Official 
Information Act 1982: 
•  Sections 18(a) and 9(2)(a)which “enables information to be withheld if 
this is necessary to protect the privacy of natural persons and this is not 
outweighed by any public interest in its release  and this is not 
outweighed by any public interest in its release”. 
•  Sections 18(a) and 9(2)(ba)(i)  which  “enables information to protect 
information which is subject to an obligation of confidence or which any 
person has been or could be compelled to provider under the authority 
of an enactment where the making available of the information would 
be likely to prejudice the supply of similar information, or information 
from the same source, and it is in the public interest that such 
information should continue to be supplied and this is not outweighed 
by any public interest in its release”. 
•  Sections 18(a) and 9(2)(c) which “enables information to be withheld if 
this is necessary to avoid prejudice to measures protecting the health 
or safety of members of the public and this is not outweighed by any 
public interest in its release”. 
•  Sections 18(a) and 9(2)(e) which “enables information to be withheld if 
this is necessary to avoid prejudice to measures that prevent or mitigate 

materials loss to members of the public and this is not outweighed by 
any public interest in its release”. 
•  Sections 18(a) and 9(2)(h) which “enables information to be withheld if 
this is necessary to maintain legal professional privilege and this is not 
outweighed by any public interest in its release”. 
The information that has been withheld is redacted in Black.   
2)  The “Close Out” and “Lessons Learned” reports for the ransomware 
attack, mentioned on page 61 of your initial response: “…the close  
out  report  and  lessons  learned  report  would  be submitted to the 
November informal Commissioner meeting for consideration.” 
3)  The June Chief Executive’s Report (23 June Commissioner’s meeting 
Item 4) 
4)  The report titled “Governance Discussion and/or Decisions re 
Disaster Recovery and Cyber Security since 1 July 2018” (28 July 
FRAC meeting Item 10.1) 
5)  The report titled “Programme Review – Recovery from Cyber Attack” 
(28 July FRAC meeting Item 10.3) 
6)  The report titled “Cyber Security Update and Future Plans” (28 July 
FRAC meeting Item 10.4) 
7)  The report titled “Cyber Incident: Legal and Regulatory Update” (28 
July FRAC meeting Item 10.6) 
8)  The report titled “Cyber Security Update” (25 August FRAC meeting 
Item 10.1) 
9)  The report titled “Cyber  Security  Incident  –  Transition  to  Business  
as   Usual  and  Lessons Learned” (22 September Commissioner’s 
meeting Item 6.2) 
10) The report titled “Cyber Security Strategy” (27 October FRAC meeting 
Item 10.1) 
We have considered your request for copies of the reports mentioned in 
your request (Numbers 2-10).  The DHB’s decision is to decline pursuant 
to the following sections of the Official Information Act   
•  Sections 18(a) and 9(2)(a): which “enables information to be withheld if 
this is necessary to protect the privacy of natural persons and this is not 
outweighed by any public interest in its release and this is not outweighed 
by any public interest in its release”. 
•  Section 6 (c): Releasing this information would be likely to prejudice 
the maintenance of the law, including the prevention, investigation and 
detection of offences. 
•  Section 9 (2) (c):  the withholding of this information is necessary to 
avoid prejudice to measures protecting the health or safety of members 
of the public; and 

•  Section 9 (2) (e): the withholding of this information is necessary to 
avoid prejudice to measures that prevent or mitigate material loss to 
members of the public 
•  Section 9 (2) (k): the withholding of the information is necessary to 
prevent the use of information for improper gain or advantage.  
•  Sections 18(a) and 9(2)(h) the withholding of the information if this is 
necessary to maintain legal professional privilege and this is not 
outweighed by any public interest in its release”. 
11) The report titled “Lessons Learned Update” (27 October FRAC 
meeting Item 10.4) 
This meeting item was a verbal update as per attached document. 
The public interest in disclosing the information requested does not outweigh these 
needs to withhold the information.  
District Health Boards are commit ed to the prevention, detection and investigation of 
cyber threats. 
Our protections include limiting the information about cybersecurity activities that we 
make public, as this could increase the chance of attacks in the future.  
On behalf of the community, it is very important that we protect information about our 
cybersecurity strategies and methods as much as possible to ensure criminals do not 
use that information to hinder or bypass our security controls. 
There is information on the DHB’s website that might be of interest to you.   Here is a 
link to the page https:/
Waikato DHB supports the open disclosure of information to assist community 
understanding of how we are delivering publically funded healthcare.  This includes 
the proactive publication of anonymised Official Information Act responses on our 
website from 10 working days after they have been released. 
You have the right to request the Ombudsman investigate and review the decision to 
withhold the information. The Ombudsman’s postal address is:  
The Ombudsman  
Office of the Ombudsmen  
P O Box 10-152  
Yours sincerely 
Mike Foley 
Executive Director Digital Enablement 

Minutes of the Finance Risk and Audit Committee 
held on Wednesday 24 November 2021, commencing at 10.04am 
in the Board room, level 1, Hockin building  
and by Zoom (due to alert levels for COVID19 in NZ) 

Mrs D Chin (Chair) 
Dame K Poutasi 
Mr C Paraone 
Emeritus Professor M Wilson 
Ms TP Thompson-Evans 
Mr K Whelan  
In Attendance: 
Dr Kevin Snee (Chief Executive) 
Mr M Cawthorne (Executive Director, Finance, Procurement and Supply 
Ms C Lowry (Executive Director, Hospital and Community Services) 
Ms L Gestro (Executive Director, Strategy, Investment and 
Mr M Foley (Executive Director, Digital Enablement) 
Mr N Hablous (Company Secretary) 
Dr J Carr (Chief Medical Officer, Primary Care) 
Ms C Tahu ((Chief Advisor Al ied Health, Scientific and Technical) 
Ms K Coley (Executive Director, Organisational Support) 
Mr I Goulton (Internal Audit) 
Mr W Jansen Van Rensburg (Director, Audit NZ) 
Page 1 of 11 
Finance Risk and Audit Commit ee Minutes of 24 November 2021 

Page 2 of 11 
Finance Risk and Audit Commit ee Minutes of 24 November 2021 

Page 3 of 11 
Finance Risk and Audit Commit ee Minutes of 24 November 2021 

Page 4 of 11 
Finance Risk and Audit Commit ee Minutes of 24 November 2021 

Page 5 of 11 
Finance Risk and Audit Commit ee Minutes of 24 November 2021 

Page 6 of 11 
Finance Risk and Audit Commit ee Minutes of 24 November 2021 

Page 7 of 11 
Finance Risk and Audit Commit ee Minutes of 24 November 2021 

10.1  Cyber Security Incident – Close Out Report and Lessons Learned 
The report was taken as read. 
The Committee: 
a)  Noted the content of this report. 
b)  Noted the intention to hand over all activities under the programme to 
business as usual owners by 31 October 2021. 
c)  Noted  residual activity wil  be reported via usual reporting to the 
Commissioner Group: 
•  Digital Enabling, Organisational Support, Finance reporting to 
FRAC; and 
•  Hospital and Community Services reporting for planned care to 
d)  Noted  that as decided at the October FRAC meeting, the 
recommendations from the Lessons Learned report wil  be prioritised 
and an action plan submitted to FRAC in December along with advice 
Page 8 of 11 
Finance Risk and Audit Commit ee Minutes of 24 November 2021 

as to how future reporting is to occur both in regard to Lessons 
Learned and residual activity arising from the cyber security incident. 
Page 9 of 11 
Finance Risk and Audit Commit ee Minutes of 24 November 2021 

Page 10 of 11 
Finance Risk and Audit Commit ee Minutes of 24 November 2021 

Page 11 of 11 
Finance Risk and Audit Commit ee Minutes of 24 November 2021 

10.4 Lessons Learnt Update 
 (Verbal Update)

Document Outline