Download original attachment
(PDF file)
This is an HTML version of an attachment to the Official Information request 'ACC Accrediated Employers and their obligations to the Caiment of ACC and ACC NZ responsibility'.

GOV-039785
Accredited Employers Programme 
Operational Directive 
Privacy Breach Reporting
The Directive 
This Operational Directive (5 December 2024) requires all Accredited Employers (AEs) to 
report to ACC on privacy breaches, in relation to work-related personal injury claims. This 
replaces the Directive and associated Guidelines of November 2015. 
ACC will use this reporting data to get an understanding of work-related injury privacy 
breaches. This may include ACC using the data to help identify and assess privacy risks across 
AEs and Third Party Administrators (TPAs). All reporting data received and analysed by ACC 
will be de-identified. 
"Notifiable” breaches – report to ACC within 72 hours 
For breaches assessed as “notifiable” under the Privacy Act 2020, Accredited Employers are 
required to notify the Privacy Commissioner, as soon as practicable, and in any event, no 
later than 72 hours after the AE or TPA becomes aware of the notifiable privacy breach. 
Accredited Employers should also send an anonymised breach notification to ACC’s 
Accredited Employers team.  ACC will seek assurance that the AE or TPA (as the case may be) 
has notified the affected individual(s) and the Office of the Privacy Commissioner and that a 
sufficient privacy breach response plan is in place. 
Other privacy breaches – report to ACC by the 5th of the following month 
All other privacy breaches should be reported to ACC no later than the 5th day of the month 
following the month that the AE or the TPA (as the case may be) has become aware that a 
breach has occurred. 
In all cases the report should be sent to ACC’s Accredited Employers Team  
[email address]. The report should include high level, anonymised details of what 
level of personal information was involved in the breach, how the breach occurred, and 
what steps have been taken to resolve the privacy breach.  
What is a privacy breach? 
“Personal Information” is information that relates to an identifiable individual.  ACC considers 
any non-compliance – or ‘breach’ of the 13 Information Privacy Principles in the Privacy Act 
2020, or Rules contained in an applicable Code of Practice (such as the Health Information Privacy 
Code 2020) to be a ‘privacy breach’.  Privacy breaches could be due to any of the following:  
Page 1 of 4 

GOV-039785
 
•  unauthorised, accidental or otherwise non-compliant – 
-  collection of, access to, loss or destruction of, use or disclosure of personal 
information; or 
•  an action that prevents the agency from accessing the information on either a 
temporary or permanent basis; and 
•  where an agency does not respond to a request to access or correct personal 
information; either within the legislated time frame or in compliance with the Privacy 
Act 2020
Importantly, a privacy breach is broader than the unauthorised disclosure of information to a 
third party.  A breach may involve unauthorised disclosure within an agency, or failure to ensure 
sufficient safeguards exist to protect personal information. 
Common privacy breaches 
Common privacy breaches in relation to AEs and TPAs include: 
•  Personal information being sent to the wrong postal address, email address or 
mobile phone number.  
•  Employees accessing or sharing personal information without authorisation (also 
known as employee browsing).  
•  Employees within the business who are unauthorised to access ACC claims 
information, accessing or being provided with the information for purposes other 
than claim management or another legitimate purpose.  
•  Computers, removable storage devices, or documents containing personal 
information being lost or stolen. 
•  Hardware being thrown away, recycled, or returned to leasing companies without 
personal information being deleted first.  
•  Personal information being illegally accessed or hacked.  
•  Organisations losing the ability to access personal information on its systems. 
Notifiable breach, and reporting to the OPC 
Under the Privacy Act 2020, a notifiable privacy breach is one in which an agency has 
reasonably judged that a breach it has experienced either has caused or is likely to cause 
someone serious harm.  The term “serious harm” is defined in section 113 of the Privacy 
Act 2020.  
If the privacy breach meets this serious harm threshold, then organisations must inform 
the Office of the Privacy Commissioner and, unless an exception applies, the affected 
Page 2 of 4 
 

GOV-039785
 
individual or individuals. There is an expectation from the Office of the Privacy 
Commissioner that notification will occur within 72 hours of becoming aware of the 
breach.  
 
The Office of the Privacy Commissioner’s online tool NotifyUs can help your organisation 
assess whether your breach is notifiable and guides you through their reporting process: 
•  ‘NotifyUs’ tool  
https://www.privacy.org.nz/responsibilities/privacy-breaches/notify-us/ 
What happens next? 
It is for the AE or TPA (as the case may be) to resolve any issues associated with the breach.   
ACC may occasionally work with the AE or TPA to help resolve the privacy breach and/or 
support the implementation of measures to prevent a recurrence.  This is to ensure we are 
achieving the best outcomes for the Accredited Employers Programme.   
ACC’s Privacy Team will use the information received to help create a full picture of all work 
injury related privacy breaches, and to identify issues and trends. Where necessary ACC will 
work with Accredited Employers to determine the best approach their organisation can 
make to reduce privacy breaches and increase public trust.  
When assessing a privacy breach, it may be helpful to use the free and accessible privacy 
modules available on the Office of the Privacy Commissioner (OPC) website: 
•  Modules on the Health Information Privacy Code 2020 and Privacy Act 2020 found 
here: https://elearning.privacy.org.nz/ 
•  Guidance and definitions for ‘Sensitive’ and Health information found here: 
https://www.privacy.org.nz/publications/guidance-resources/working-with-
sensitive-information/ 
Completing the reporting template 
•  When completing the below reporting template you must not include any personal 
or identifiable information.  
•  Send the completed template to the AEP team at [email address].  
Employer 
TPA Name  
Incident 
Description of 
What investigation 
What has been 
Name 
(if no TPA 
date 
privacy incident  
was done into this 
done to 
involved in 
incident? 
resolve the 
breach write 
incident? 
N/A) 
 
 
 
 
 
 
Page 3 of 4 
 

GOV-039785
 
Under ‘Description of privacy incident’:  
•  What was the sequence of events that caused the incident?  
•  How did it happen?   Identify the point of failure. 
•  Exactly what personal information was involved?  
 
Under ‘What investigation was done into this incident?’  
•  Are processes unclear, or current processes and internal guidelines inadequate?  
•  Did technology or systems not work as expected?  
  
 Under ‘What has been done to resolve the incident’?  
•  If information has been sent to the wrong party, has it been returned or 
destroyed? 
•  Have the affected individuals been contacted/notified? 
•  If caused by a staff member not following correct processes, has that staff 
member been reminded of the correct processes? Is further training/education 
required? 
•  If there was a systems or technology failure, has the systems or technology 
failure been fixed? 
 
 
 
 
 
 
 
 
 
 
 
Important note 
This document should be read as a Directive in Terms of the Accredited Employers Programme Accreditation 
Agreement. It expands on employer’s obligations under the Agreement to ‘promptly’ advise ACC of a privacy 
breach. 
 
ACC7245 December 2024 
Page 4 of 4