Download original attachment
(PDF file)
This is an HTML version of an attachment to the Official Information request 'Manage My Health Data Breach 31 December 2025'.

MINISTRY OF 
HEALTH 
MANATU  HAU0RA 
133 Molesworth Street 
PO Box5013 
Wellington 6140 
New Zealand 
T +64 4 496 2000 
27 February 2026
Tangata Whenua 
By email:  [FYI request #33436 email] 
Ref: 
H2026077306 
Tena koe 
Response to your request for official information 
Thank you for your request under the Official Information Act 1982 (the Act) to the Ministry of 
Health - Manato Hauora (the Ministry) on 6 January 2026 for information regarding 
ManageMyHealth(MMH). You requested: 
"(1)  What are the names of the people who run the ManageMyHealth platform? [I have 
contacted the ManageMyHealth website to seek clarity but the "WHO  WE ARE" section 
does not disclose who they are. 
(2) Who is the person that is liable for ManageMyHealth? Please provide the Name and
contact details for the person ultimately responsible for any data breach involving
unauthorised access.
MMH is a private company and is not subject to the Official Information Act. Publicly available 
information about companies can be viewed on the Companies Register:  companiesĀ­
register.companiesoffice.govt.nz/. 
(3) Does the Ministry of Health or the Minister Responsible for the Department of Health 
have any penalties,  or civil penalty rating for cyber security breaches involving 
unauthorised access.  If the answer is no, then why not and when will the ministry be 
implementing civil penalty rating? 
There is no civil penalty rating for cybersecurity breaches that applies to the Ministry of Health. 
Enforcement under the Privacy Act 2020 is determined by the Privacy Commissioner on a caseĀ­
by-case basis and, where applicable, the Human Rights Review Tribunal. 
The Minister of Health has commissioned the Ministry of Health to undertake an independent 
review of MMH cyber security breach. The review,  developed in consultation with the 
Government Chief Digital Officer and the National Cyber Security Centre, commenced on 29 
January 2026 and will examine the causes of the incident, assess the response, and provide 
recommendations to strengthen protections for health information going forward.