Download original attachment
(PDF file)
This is an HTML version of an attachment to the Official Information request 'Current Official Information Act request processing manuals and approach'.


Released under the Official Information Act 1982
IN-CONFIDENCE 
Joint Policy Statement: JPS-028 
Responding to Information Requests 
Policy Owner 
Director Policy and Partnerships 
Policy Administrator  Ministerial Services and Accountability 
Manager 
Approval Authority 
Director-General, GCSB 
Director-General, NZSIS 
21 December 2022 
Approval Date 
2022-12-21 - Signed 
Approved via briefing note DG briefing note.pd
Review Date 
IN-CONFIDENCE 
Released under the Official Information Act 1982
IN-CONFIDENCE 
 
Contents 
Introduction ....................................................................................................................................................................... 3 
Purpose ...................................................................................................................................................................... 3 
Function ..................................................................................................................................................................... 3 
Definitions ................................................................................................................................................................. 3 
Responsibilities ....................................................................................................................................................... 4 
Further sources of policy and process guidance ...................................................................................... 4 
Guiding principles ........................................................................................................................................................... 5 
Policy ..................................................................................................................................................................................... 7 
Requests made under the Official Information and Privacy Acts....................................................... 7 
Responding to requests ...................................................................................................................................... 8 
Preparing a response ............................................................................................................................................ 9 
Publication of Official Information Act responses .................................................................................. 11 
Responding to requests from correspondents with unconventional perceptions ................... 11 
Requests to correct personal information ................................................................................................. 11 
Previous Policy Revoked ........................................................................................................................................... 11 
Summary of Minor Amendments ......................................................................................................................... 13 
Appendix 1: Consultation and sign-off process for information requests ........................................ 14 
 
 
 
 
 
Joint Policy Statement JPS 028  
Page: 2 of 7 
Version: 1.0 
Responding to Information Requests 
Date: 21 December 
2022 
IN-CONFIDENCE 
Released under the Official Information Act 1982
IN-CONFIDENCE 
Introduction 
Purpose 
1.  This policy outlines the process and considerations that must be met in responding to 
information requests under the provisions of the Official Information Act 1982 (OIA) and 
the Privacy Act 2020. 
Function 
2.  To provide individuals with appropriate access to personal information held by the GCSB 
and NZSIS relating to that individual in accordance with the requirements of the Privacy 
Act.  
3.  To provide requesters with appropriate access to official information in accordance with 
the requirements of the OIA. 
Definitions 
4.  Agencies: In this policy, the Agencies refers to GCSB and NZSIS. 
5.  Drafters: The Agencies have designated advisors, located in the Joint Directors-General 
office, who are responsible for drafting responses to OIA and Privacy Act requests and 
ensuring the correct consultation and sign-off process is fol owed. In this document, 
those responsible for preparing OIA and Privacy Act requests wil  be referred to as 
“Drafters.” 
6.  Official Information: For the purposes of the OIA, official information means any 
information held by a department, Minister of the Crown, or an organisation. It includes 
al  formal and informal documentation including emails, draft documents and oral 
conversations.1  
7.  Personal information: For the purposes of the Privacy Act, personal information means 
information about an identifiable individual.2 
 
 
                                                 
1 Section 2, Official Information Act 1982.  
2 Section 7, Privacy Act 2020. 
Joint Policy Statement JPS 028  
Page: 3 of 7 
Version: 1.0 
Responding to Information Requests 
Date: 21 December 
2022 
 
IN-CONFIDENCE 
Released under the Official Information Act 1982
IN-CONFIDENCE 
Responsibilities 
All GCSB and NZSIS staff 
8.  All staff are expected to provide assistance where necessary to ensure statutory 
deadlines and requirements are met.  
9.  All staff must refer any requests for information under the OIA or Privacy Act to the Joint 
Directors-General Office for logging and processing as soon as practicable. 
Drafter 
10.  The Drafter is expected to col ate information and prepare responses in accordance with 
the requirements set out in the OIA and Privacy Act.  
11.  The Drafter is responsible for ensuring that al  necessary parties have been consulted as 
required, and that relevant stakeholders are notified prior to information being released. 
Tier 2 Managers 
12.  Tier 2 managers are responsible for ensuring that drafters are given assistance in a timely 
manner by directorate staff. If there are difficulties getting the required information, or 
agreeing on a proposed approach to a response, the matter wil  be elevated to the Tier 2 
Manager for resolution.  
Authoriser(s) 
13.  The Authoriser(s) must review al  material prepared as part of the decision process and 
sign-off on the OIA or Privacy Act response.  
14.  The level of authoriser sign-off required wil  change depending on the nature of the 
information requested. To determine what level of sign-off is required for a request, refer 
to Appendix One. 
Joint Directors-General Office 
15.  The Joint Directors-General Office is responsible for maintaining a consistent approach 
across information requests.  
Further sources of information 
16.  The OIA and Privacy Act are on www.legislation.govt.nz.  
17.  Relevant policies include: JPS-009 - Privacy 
18.  Relevant SOPs 
19.  Guidance on NZSIS and GCSB responses to OIA and Privacy Act requests: use of “neither 
confirm nor deny” (NCND).   
20.  When determining how to deal with information requests, and drafting of policy 
amendments, the Agencies wil  consider guidance released by the Offices of the 
Joint Policy Statement JPS 028  
Page: 4 of 7 
Version: 1.0 
Responding to Information Requests 
Date: 21 December 
2022 
 
IN-CONFIDENCE 
Released under the Official Information Act 1982
IN-CONFIDENCE 
Ombudsman, Privacy Commissioner, Inspector-General of Intelligence and Security and 
the Public Services Commission. This information includes, but is not limited to, guidance 
notes, privacy notices, opinions, reports and case notes. 
Guiding principles 
Principle of availability 
21.  The principle of availability underpins the Official Information Act 1982. It is set out in 
section 5 of the OIA. The principle of availability means that requested information must 
be made available unless there is a good reason for withholding it, as al owed for in the 
legislation. This principle must be kept in mind when considering how best to respond to 
a request. 
Access to personal information 
22.  Principle 6 of the Privacy Act al ows for individuals to request confirmation of the 
existence of information held on them and access to that information.  
Openness and transparency 
23.  The Agencies are required to, and aim to be, as open and transparent as possible when 
answering information requests. 
Protection of interests 
24.  Despite the principle of availability and the right to access personal information, the 
Agencies may refuse to disclose or provide access to information provided there are 
grounds to rely on in either the OIA or the Privacy Act.  
25.  Some commonly used grounds include consideration of the security or defence of New 
Zealand or the international relations of the Government of New Zealand; privacy of 
individuals; legal professional privilege; maintenance of confidentiality and protection of 
commercial and economic information.  
Duty of assistance 
26.  Per section 13 of the OIA and section 42 of the Privacy Act, the Agencies have a duty to 
provide reasonable assistance to the person making an information request.  
27.  Reasonable assistance includes, as required, consulting the requester to clarify the scope 
of the request and keeping them informed of any delays or difficulties in providing a 
response.   
Consultation 
Joint Policy Statement JPS 028  
Page: 5 of 7 
Version: 1.0 
Responding to Information Requests 
Date: 21 December 
2022 
 
IN-CONFIDENCE 
Released under the Official Information Act 1982
IN-CONFIDENCE 
28.  Drafters must ensure that al  stakeholders (internal and external) and risk owners with a 
legitimate interest in the subject matter are consulted during the process of responding 
to information requests.  
29.  Stakeholders and risk owners should be given adequate time to review and consider 
requests, and drafters must give consideration to the feedback received during 
consultation.  
Timeliness 
30.  Information requests should be responded to as soon as reasonably practicable in 
accordance with the requirements of the OIA and the Privacy Act. If a decision is going to 
be extended or delayed, drafters should communicate this to the requester as soon as 
practicable. 
Accurate record keeping 
31.  Complete and accurate records must be kept about information requests received and 
responded to by the Agencies.  
32.  Drafters must ensure that information relevant to the decision-making process is saved 
and accessible for future reference.  
 
 
Joint Policy Statement JPS 028  
Page: 6 of 7 
Version: 1.0 
Responding to Information Requests 
Date: 21 December 
2022 
 
IN-CONFIDENCE 





Released under the Official Information Act 1982
IN-CONFIDENCE 
Policy 
Requests made under the Official Information and Privacy Acts 
33.  In general, any request from a member of the public for information held by the 
Agencies is an OIA or Privacy Act request. It is not necessary for a requester to explicitly 
state that their request is made under either Act, or for the request to be in a particular 
format.  
34.  Requests do not need to be made in writing, though if a request is made verbal y we are 
able to ask the requester to put the request in writing if needed to clarify the request. If a 
request is not made in writing, we should record our understanding of the request and 
provide a copy to the requester.  
35.  Drafters must ensure that requests are considered under the appropriate legislation.  
 
 
No 
Is the information 
Yes 
 
requested about the 
 
person making the 
 
request? 
 
 
No 
Official Information Act 
Yes
Is the information about 
 
 
applies 
a natural person (i.e. not 
 
a company)? 
 
 
 
Official Information Act 
Privacy Act applies 
 
applies 
 
36.  A request for information may have parts that must be considered under the OIA and 
other parts that must be considered under the Privacy Act.  
Who can make a request 
37.  Under the OIA, requests can be made by:  
a.  a New Zealand citizen  
b.  a permanent resident of New Zealand 
c.  a person who is in New Zealand 
d.  A body corporate which is incorporated in New Zealand, or 
Joint Policy Statement JPS 028  
Page: 7 of 7 
Version: 1.0 
Responding to Information Requests 
Date: 21 December 
2022 
 
IN-CONFIDENCE 
Released under the Official Information Act 1982
IN-CONFIDENCE 
e.  A body corporate which is incorporated outside New Zealand but which has a 
place of business in New Zealand. 
38.  Under the Privacy Act, any individual is entitled to request personal information held by 
the Agencies about them.  
39.  The Agencies are entitled to satisfy themselves as to the requester’s eligibility to make a 
request under the OIA or Privacy Act. This may include requesting a copy of photo ID for 
a Privacy Act request.  
Responding to requests 
Timing of the response 
40.  The Agencies must respond to both OIA and Privacy Act requests “as soon as reasonably 
practicable”, in accordance with section 44 of the Privacy Act and section 15 of the OIA.   
41.  At a maximum, requests must be decided upon and a response sent to the requester 
within 20 working days, except in cases where the deadline is extended (as explained 
below). “Working day” is defined in the same way in sections 2 of the OIA and section 7 
of the Privacy Act. 
Scope and due particularity 
42.  The scope of a request should be determined early, as this enables consultation with the 
requester if required to clarify or amend the request. 
43.  Section 12(2) of the OIA requires requesters to specify the information they are 
requesting “with due particularity”. This means that the Agencies must be able to 
understand what information the requester is seeking. While the Privacy Act does not 
have the same requirement, Privacy Act requests wil  also need to have some detail in 
order for the Agencies to respond properly. Where the request is unclear, the Agencies 
have a duty under section 13 of the OIA and section 42 of the Privacy Act to provide 
reasonable assistance to the requester to reformulate their request so that it can be 
answered. 
Extensions 
44.  If justified, the agency can extend the time for responding to a request, or transferring a 
request to another entity, beyond the 20 day limit. Extensions are permitted under 
section 15A of the OIA and section 48 of the Privacy Act.  
 
Transfer of requests 
Joint Policy Statement JPS 028  
Page: 8 of 7 
Version: 1.0 
Responding to Information Requests 
Date: 21 December 
2022 
 
IN-CONFIDENCE 
Released under the Official Information Act 1982
IN-CONFIDENCE 
45.  Section 14 of the OIA and section 43 of the Privacy Act al ow for the transfer of requests 
to other Agencies. Requests must be transferred if the agency that receives the request: 
a.  Does not hold the information to which the request relates, but believes that the 
information is held by another agency; or 
b.  Believes that the information to which the request relates is more closely 
connected with the functions or activities of another agency.  
46.  Any decisions to transfer should be made promptly and the transfer must take place 
within 10 working days of receiving the original request unless the timeframe for 
transferring has been extended.  
Charges 
47.  Section 15(1A) of the OIA al ows an agency to charge requesters for responses to OIA 
requests. Such charges must be reasonable and the requester must be advised of the 
proposed amount to be charged if charges are to be set, whether the information wil  be 
released and the requester’s right to seek a review by an Ombudsman.  
48.  The Ministry of Justice has issued guidelines representing what the Government regards 
as reasonable charges for the purposes of the OIA and these guidelines must be 
fol owed in al  cases unless good reasons exists for not doing so.  
49.  Sections 66 and 67 of the Privacy Act al ow a public sector agency to charge for making 
information available, subject to authorisation by the Privacy Commissioner. 
50.  Decisions on charging should be made by the Deputy Director-General, Strategy, 
Governance & Performance.  
Preparing a response 
51.  In preparing a response to a request the Drafter must: 
a.  Identify al  information that fal s within the scope of the request; 
b.  Determine, in consultation with the relevant business units, whether any of the 
information that fal s within the scope of the request needs to be withheld; 
c.  Prepare a cover sheet that clearly documents the decision-making on the 
request, including reasons for any decision to withhold or release information; 
and 
d.  Prepare a response to the requester for the authoriser to sign, fol owing 
consultation with relevant business units and sign-off roles within the agency. 
Information gathering 
Joint Policy Statement JPS 028  
Page: 9 of 7 
Version: 1.0 
Responding to Information Requests 
Date: 21 December 
2022 
 
IN-CONFIDENCE 
Released under the Official Information Act 1982
IN-CONFIDENCE 
52.  The Drafter must make every reasonable effort to identify al  information that is within 
scope of the request before responding.  
Withholding information 
53.  Once al  information within the scope of a request has been identified, a decision can be 
made about what information can be released to the requester. Information must be 
released to the requester unless there are grounds on which to refuse access to or 
release of information under the OIA or Privacy Act.  
54.  Decisions to withhold information must be specific, defensible, and recorded. They may 
be subject to review by the Ombudsman or Privacy Commissioner if a complaint is laid 
by the requester.  
55.  The fact that information is classified or is operational in nature is not a sufficient reason 
in itself for withholding information under the grounds of national security or 
international relations. Decisions must be made on a case-by-case basis. 
56.  In some instances, confirming information is held or not held would in itself prejudice 
interests protected by sections  6, 7 or 9 of the OIA or section 49(1)(a)(i) or (d), 51, 52 or 
53(c) of the Privacy Act. In these cases, the Agencies can decide to neither confirm nor 
deny the existence or non-existence of information under section 10 of the OIA and 
section 47 of the Privacy Act. Guidance on factors considered when applying these 
sections is found in Guidance on NZSIS and GCSB responses to OIA and Privacy Act 
requests: use of “neither confirm nor deny” (NCND).   
Cover sheet 
57.  All responses going for sign-off must be accompanied by a cover sheet that shows 
consideration has been given to the fol owing questions: 
a.  what is the scope of the request? 
b.  what repositories were searched for the required information or who was 
consulted?  
c.  what information was found? 
d.  can the information be released, or should it be withheld?  
e.  what are the reasons for withholding and under which section is information to 
be withheld? 
58.  The cover sheets should also provide information about who has been consulted on the 
response and any other information relevant to the decision-making on the request. 
Joint Policy Statement JPS 028  
Page: 10 of 7 
Version: 1.0 
Responding to Information Requests 
Date: 21 December 
2022 
 
IN-CONFIDENCE 
Released under the Official Information Act 1982
IN-CONFIDENCE 
59.  The cover sheet should be specific and link to any relevant information. It wil  likely be 
the primary source of information if a complaint is laid about a request.  
Publication of Official Information Act responses 
60.  Publication of Official Information Act responses ensures information is readily available 
to the public, and is aligned with the Agencies’ commitment to transparency and 
accountability.  
61.  In line with the Public Service Commission’s guidance, both Agencies should publish OIA 
responses to their website in a timely manner, in line with principles outlined in any 
relevant SOP.  
Requests to correct personal information 
62.  Information Privacy Principle 7 of the Privacy Act entitles individuals to request the 
correction of information that Agencies hold on them. It also requires Agencies to take 
any steps that are reasonable to ensure that, having regard to the purposes for which the 
information may lawful y be used, the information is accurate, up to date, complete and 
not misleading.  
63.  If a requester asks to correct personal information that we are known to have (i.e. vetting 
information, job application information), the Agencies’ must make their best efforts to 
correct it.  
64.  If the agency has previously responded to a request for personal information with a 
“neither confirm nor deny” response under section 47 of the Privacy Act, the agency wil  
not be reasonably able to confirm the correction of the information pertaining to that 
individual.  In the interests of the protection of the security and defence of New Zealand 
under section 51(a) of the Privacy Act 2020, the response to the individual who has 
requested the correction wil  necessarily be a “neither confirm nor deny” approach.  
65.  Internal y, information should be updated if the information provided by the requester is 
judged to be accurate. If the information provided by the requester is not judged to be 
accurate, a record should be kept of the request for correction, and clearly linked to in 
the information that was requested to be updated. 
Previous Policy Revoked 
66.  This policy revokes and replaces: 
•  DMS20-7-3832- NZSIS Information Requests Policy – dated 17/11/2020 
•  PP 1007 - GCSB Information Requests Policy – dated 14/7/2017 
 
Joint Policy Statement JPS 028  
Page: 11 of 7 
Version: 1.0 
Responding to Information Requests 
Date: 21 December 
2022 
 
IN-CONFIDENCE 
Released under the Official Information Act 1982
IN-CONFIDENCE 
 
 
 
Joint Policy Statement JPS 028  
Page: 12 of 7 
Version: 1.0 
Responding to Information Requests 
Date: 21 December 
2022 
 
IN-CONFIDENCE 
Released under the Official Information Act 1982
IN-CONFIDENCE 
 
Summary of Minor Amendments 
Date 
Summary of changes  
Approval 
Signature 
Authority 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Joint Policy Statement JPS 028  
Page: 13 of 7 
Version: 1.0 
Responding to Information Requests 
Date: 21 December 
2022 
IN-CONFIDENCE 
Released under the Official Information Act 1982
IN-CONFIDENCE 
 
Appendix 1: Consultation and sign-off process for information requests 
s6(a)
Joint Policy Statement JPS 028  
Page: 14 of 7 
Version: 1.0 
Responding to Information Requests 
Date: 21 December 
2022 
IN-CONFIDENCE