This is an HTML version of an attachment to the Freedom of Information request 'Blood Files Final Report'.

DHSC Finance and Group Operations 
File Retrieval Processes – Infected Blood 
Final Internal Audit Report 
Date of issue: 
6th November 2018 
Audit reference: 
This document has been prepared for, and is only for Department of Health and Social Care (DHSC) management and staff. DHSC must consult with GIAA 
(pursuant to part IV of the Secretary of State Code of Practice issued under section 45 of the FOI Act) before disclosing information within the reports to third 
parties. Any unauthorised disclosure, copying, distribution or other action taken in reliance of the information contained in this document is strictly prohibited. 
The report is not intended for any other audience or purpose and we do not accept or assume any direct or indirect liability or duty of care to any other person 
to whom this report is provided or shown, save where expressly agreed by our prior consent in writing. 

link to page 2 link to page 3 link to page 9 link to page 11 link to page 12 DHSC File Retrieval Processes – Infected Blood | November 2018 
Contents .............................................................................................................................................................................................. 2 
Executive Summary ............................................................................................................................................................................ 3 
Detailed findings 1 ............................................................................................................................................................................... 9 
Detailed findings 2 ............................................................................................................................................................................. 11 
Annex 1: Objectives, Scope and Limitations ..................................................................................................................................... 12 
Page 2 of 12 

DHSC File Retrieval Processes – Infected Blood | November 2018 
Executive Summary 
This is an advisory review intended to supplement and enhance the work of the DHSC Record Management 
team, and as such we have not given an assurance rating to this area. 
Context of the File Retrieval Processes 
This audit was requested by the Department for Health and Social Care (DHSC) Departmental Records Office (DRO). It provides 
advice and guidance over the procedures applied to identify files relating to the Infected Blood Inquiry and/or blood policy held by 
The Department has received requests under the Freedom of Information Act for information relating to infected blood  products 
given to patients by the NHS, and the Department’s handling of these cases. Additionally, in September 2018, the Infected Blood 
Inquiry into these cases and the circumstances surrounding them commenced, hence the Department has received requests for 
documents and information on behalf of the Inquiry. 
Considering the history of previous litigation and disputes relating both to Departmental policies over the supply of blood for the 
treatment of hemophilia, and relating to the Department’s management of the infected blood cases, the Infected Blood Policy team 
and the DHSC Records Management (RM) team has committed to providing full transparency to both the Inquiry and the public on 
the Infected Blood files, where possible in advance of receiving any requests. 
Due to the scale of the information involved and the number of files created by the Department since 1948 which are potentially 
relevant to the Inquiry, we have not given an opinion over the complete work undertaken by the RM team. Instead, our audit findings 
should contribute to the ongoing work of the team, and we will continue to advise the team as required on implementing the advisory 
suggestions raised in this report. 
In this report, we have identified areas where processes can be improved and have made suggestions on further steps to be taken 
by the DRO to support the Department’s work in progressing the public releases of relevant information, and hence towards meeting 
the Departmental aim of achieving full transparency. We have also noted our positive findings where the team has demonstrated 
Page 3 of 12 

DHSC File Retrieval Processes – Infected Blood | November 2018 
good practice and has made significant progress towards the stated aim of releasing all information relevant to the Infected Blood 
Background to the Infected Blood Files 
Departmental files are publicly available through the National Archives, and are also held in the Department’s archive, which is 
managed by the service provider, Iron Mountain. The records or metadata concerning Departmental files, though not the contents 
of  the  files  themselves,  can  be  viewed  through  an  online  database,  ‘IronMountainConnect’.  The  RM  team  has  developed  a 
methodology to identify the records of any relevant physical files created by the Department, with the intention of releasing this 
information to the public in the interests of full transparency. 
Most of the records on the topic of Infected Blood are held on paper files, having been created during the 1970s to the 1990s; 
electronic records were implemented from the year 2000 onwards and fully implemented across the Department by 2004. In some 
cases, there is a hybrid series of records for the latter years, where the file reference for the paper file matches that of the electronic 
The Department uses a federated records management system. ‘File offices’ are created on the system for different areas of the 
Department, and records that are being actively used are stored and managed  in each of these areas on the system. Each file 
office is allocated a number to identify it, as well as prefixes, which correspond to different subject matters. The DRO controls the 
allocation of file office numbers and file prefixes, and this provides the individual areas of the Department with a logical structure 
for managing their records. These references are retained and recorded upon submission of the files to the storage service or the 
National Archives, to allow for retrieval by Department staff. 
Methodology for Retrieval 
The RM team has developed a methodology for identifying all the relevant files in IronMountainConnect, with a view to releasing 
them  to  the  public  inquiry.  The  previous  inquiry  into  Contaminated  Blood  in  Scotland,  the  Penrose  Inquiry,  reviewed  all 
Departmental files with the Blood Policy team to identify which prefixes were relevant to the topic. The RM team used these prefixes 
to identify which teams within the Department had created files in these areas, and then identified which other prefixes those teams 
had created, and examined all files under these additional prefixes. The team also supplemented this file identification discovery 
method by using free text searches, using four key words (‘Blood’, ‘Haemophilia’, ‘HIV’ and, ‘AIDS’). Upon reviewing the results of 
these searches,  at the time of this audit the team had compiled an initial list of 10,575 files in total relating to Blood policy and 
associated topics to be released to the Inquiry. 
The RM team has not created a detailed report on their methodology for the searches carried out, although the results of those 
searches have been compiled into a single list for public release, and explanations of the methodology have been set out for internal 
Page 4 of 12 

DHSC File Retrieval Processes – Infected Blood | November 2018 
communications only. A witness statement on the history of document retention at the Department has also been submitted to the 
Audit Testing and Results 
To test the findings of the RM team, we reviewed the prefixes and ‘file offices’ used to confirm that there were no additional relevant 
prefixes which could be included in the searches. We then performed additional free text searches on IronMountainConnect, using 
the following search terms and Boolean search operators (in particular ‘+’, which extends the search to include any words beginning 
with the selected letters); ‘Hepatitis’, ‘HCV’, ‘HBV’, ‘Infect+’, ‘Transfusion+’, 'Haemo+’, Haema+’, ‘Viral’, ‘Virus+’, ‘Factor VIII’, and 
‘Penrose’. The aim of these searches of the metadata was to identify files with the relevant terms anywhere in the file records. 
The results of the audit testing and RM Team searches were combined, and duplicate entries were eliminated based on the ‘SKP 
Barcodes’,  which  are  the  unique  file  references  assigned  to  each  file.  Using  the  Excel  ‘remove  duplicates’  function,  we  then 
eliminated any files already identified by the RM team, based on the latest version of their master list of files to be released (version 
dated 20th September 2018). This produced a list of 3,524 files remaining, which we reviewed to identify  those relevant to blood 
policy and/or Infected Blood. 
In addition to those files already identified by the RM team, we found 139 files likely to be directly relevant to the Inquiry; 363 which 
were potentially relevant or tangentially related; and the remaining 3,022 files were identified as being unrelated or unlikely to be 
relevant. We have provided details of these files to the RM team. 
It is our understanding that the RM Team’s methodology should have identified these files; we did not identify any specific logical 
inconsistencies  in  the  methodology  adopted  by  the  RM  team,  and  therefore  it  is  likely  that  the  additional  files  identified  in  the 
searches we conducted were not filed with the correct prefixes, or were not initially identified due to pre-existing inconsistencies in 
the filing system. We have suggested that in any additional searches performed, the team accounts and compensates for these 
unidentified issues in  the filing system by making greater use of a range of free text  searches,  including Boolean operators, to 
extend the scope of any future searches and maximise the number of relevant files identified – see Key Finding 1
Ongoing Workstreams and Project Management 
In parallel, the RM team is also working on identifying files which are missing or are held in systems other than the Iron Mountain 
archive service. These include: 
•  Missing physical files; DHSC staff can check out paper files they need from the archives, and should return these once 
finished. The RM team has identified that there are c.450 files relating to Blood Policy which have been checked out and not 
returned, and the RM team is currently working to recover these. The team has put up posters around the DHSC offices, 
Page 5 of 12 

DHSC File Retrieval Processes – Infected Blood | November 2018 
asking staff to return any files that they have checked out, and through an item in the DHSC bulletin, the RM Team has 
reminded staff to return files to storage if they are no longer used. The RM team is planning a series of site visits to properties 
currently and previously held by DHSC, to identify any physical files located in these areas. We found that currently, there 
is no system or process in place to routinely follow up on files which have been checked out and not returned in a timely 
manner – see Key Finding 2
•  AID files; The RM team has identified a group of 500 files which were checked out from a specific series of files in the 
Departmental archives by officers from the Department for Education (DfE) in 2006, and have not been returned. The RM 
team is working with DfE to identify and return these, and DfE has been cooperative in engaging with this work. To date, 45 
files remain unaccounted for; 
•  Collect  system;  the RM  team  is  working  to  validate  search  results  based  on  data  provided  to  the  Department  by  Iron 
Mountain on records of files which were previously stored using an older archive system known as Collect, and which were 
destroyed following a review during migration to a later archive system. The RM team is making enquiries to confirm whether 
they have extracted all relevant information from the system; 
•  MEDS; The MEDS database (based on a Lotus notes system) was the first electronic document storage and archive system 
introduced by the Department, and was implemented between 1999 and 2004 and in use until 2013. It is still maintained, 
however due to the period in which it was used, material relevant to the Inquiry is not held on this; and, 
•  Information Work Space, and other electronic forms of document storage; the Department no longer archives material and 
information in physical format, and instead all information is retained in individual officers’ emails, personal drives, shared 
network drives on the DHSC system, and in Information Work Space, a data-sharing and storage tool based on SharePoint. 
Although the RM team has access to the majority of these electronic storage mediums, there is no single point of use which 
can search across all simultaneously,  and some areas have restricted access due to the nature of the information held. 
However, as with the MEDs database, due to the period in which it was used, material relevant to the Inquiry is not held on 
The objectives for the RM team going forwards are to conclude the work of identifying any relevant material for the purposes of the 
Inquiry, and fulfilling all requests made by the Inquiry and from members of the public via the FOI Act. We suggest that the ongoing 
work of the team should be planned and delivered using aspects of good practice methods of project management. These include: 
•  Formally identifying the electronic and physical areas remaining where further searches need to be conducted; 
•  Setting out the methodologies to be used, such as search terms and other electronic searches to be conducted, plans for 
physical searches of potential areas where files could be located, or further appeal for files to be returns; and, 
•  Setting out the timetable, and identifying the resources available, for completing the searches. 
Page 6 of 12 

DHSC File Retrieval Processes – Infected Blood | November 2018 
These aspects of project management are not currently in place and we suggest that these are applied to support the ongoing work 
of the RM team – see Key Finding 4
Additionally, we suggest that the RM team puts in place documentation setting out and accounting for the file retrieval processes, 
to fully and transparently detail how the RM team has identified the relevant documents found, eliminated areas that are irrelevant, 
or unfeasible or unproductive to search with the resources available, and to make the case to the Inquiry about those decisions – 
see Key Finding 3

Notable positive findings were: 
•  A clear rationale has been established for the release of the files and other relevant material to the public, as well as to  the 
Inquiry and FOI requestors; 
•  The RM team has developed a logical and comprehensive methodology for identifying, through the supplier database available, 
which material stored in the Iron Mountain archives is of relevance to the Inquiry, building on established precedents derived 
from the material used by the previous Penrose Inquiry; 
•  The RM team has clearly identified the scope of the systems and locations where electronic or physical documentation relevant 
to the Inquiry may be located. Throughout the process, they have set out the extent to which they are confident that they can 
identify this material, and through investigation and use of records and local knowledge among staff in the Department and at 
supplier organisations, have established the levels of uncertainty over the material that may remain to be found; and, 
•  Both letters received by DHSC from the Infected Blood Inquiry have been responded to by the RM team and the requests made 
to date have been fulfilled. The Department is responding to the requests made under the FoI Act on an ongoing basis. 
Areas  where  we  identified  that  further  steps  or  improvement  could  be  made  and  we  have  raised  suggestions,  are  as 
•  Free text searches conducted as part of this audit review identified additional files likely to be relevant to the Infected Blood 
Inquiry which were not identified during the RM team's searches. We have provided details of these files to the team, and will 
continue to assist with the searches as and when requested. We suggest that the team increases their use of free text searches, 
and that this aspect of the methodology should be emphasised going forward; 
•  The team has not yet created a detailed description or guidance setting out the methodology in detail for the searches carried 
out, although the results of those searches have been compiled into a single list for public release and review, and explanations 
of the methodology have been set out for internal comms only. Documenting the search methods used would help to ensure 
that  the  Department  can  maintain  the  confidence  of  the  Inquiry  and  of  citizens  making  FOI  requests,  and  would  help  the 
Department to demonstrate full compliance and transparency as per their intentions. 
Page 7 of 12 

DHSC File Retrieval Processes – Infected Blood | November 2018 
•  To  this end,  the  guidance  should  also  set  out  the  limitations  and restrictions  on  the  team’s  ability  to  comprehensively  and 
definitively identify all materials that the Inquiry may find relevant or request, due to the complex history of the Department’s 
systems, archives, locations, and suppliers; 
•  At present, there is no system in place to follow up on physical files which have been checked out from the archives by staff 
and which have not been returned in a timely manner. A periodic follow-up system should be established to identify and contact 
people who have checked out a file and have not returned it after a specified period, such as three months. We note that the 
team has already identified this as an area for development. The team is also considering plans to issue all checked out files 
as digital scans, which would negate the issue; and, 
•  Project management techniques and good practice methods have not been applied to the work ongoing around preparing for 
future information requests for the inquiry. These would help the RM team to manage the ongoing workstreams already identified 
as required to fulfil the requests of the Infected Blood Inquiry and those made through FOI, and to prepare for and anticipate 
future requests. 
Page 8 of 12 

DHSC File Retrieval Processes – Infected Blood | November 2018 
Detailed findings 1  
Identification of files and retrieval of missing 
Opinion on management of risk: Limited 
Risk categories: The Department’s systems, processes and 
search strategy fail to identify and locate files that are relevant 
to the review. 
1  Free text searches conducted as part of this audit review identified additional files likely to be relevant to the Infected Blood 
Inquiry  which  were  not  identified  during  the  RM  team's  searches.  We  have  provided  details  of  these  files  to  the  team. We 
suggest that the team increases their use of free text searches, and that this aspect of the methodology should be adopted 
going forward. 
2  At present, there is no system in place to follow up on physical files which have been checked out from the archives by staff 
and which have not been returned in a timely manner. A periodic follow-up system should be established to identify and contact 
people who have checked out a file and have not returned it after a specific period, such as three months. We noted that the 
RM team has already identified this as an area for improvement. The RM team is also considering plans to issue all checked 
out files as digital scans, which would negate the issue. 
3  The team has not yet created a detailed process description or report setting out the methodology in detail for the searches 
carried out, although the  results of  those searches have been compiled into a single  list for public release and review,  and 
explanations of the methodology have been set out for internal communications only. Documenting the search methods used 
would help to ensure that the Department can maintain the confidence of the Inquiry and of citizens making FOI requests, and 
would help the Department to demonstrate full compliance and transparency as per the intended objectives. To this end, the 
process report/methodology should also set out the limitations and restrictions on the team’s ability to comprehensively and 
definitively identify all materials that the Inquiry may find relevant or request, due to the complex history of the Department’s 
systems, archives, locations, and suppliers. 
Page 9 of 12 

DHSC File Retrieval Processes – Infected Blood | November 2018 
1.  In any future searches performed, greater emphasis should be placed on the use of a  wider range of free text searches, 
including Boolean operators. (High) 
2.  A process should be put in place to routinely follow up on files which have been checked out and not returned in a timely 
manner. (Low) 
3.  Documentation of the methodology and reasoning for the ongoing file retrieval processes should be created and maintained, 
including any limitations and restrictions. (Medium) 
Page 10 of 12 

DHSC File Retrieval Processes – Infected Blood | November 2018 
Detailed findings 2  
Project management over the ongoing work to 
Opinion on management of risk: Moderate 
provide the Inquiry with information requested 
Risk categories: The Department is subject to adverse ICO 
decisions, or to judicial challenge and review, leading to 
reputational damage. 
4  Proportionate project management techniques and good practice methods have so far not been applied to the work ongoing 
around  preparing  for  future  information  requests  for  the  inquiry.  These  would  help  the  RM  team  to  manage  the  ongoing 
workstreams  already  identified  as  required  to  fulfil  the  requests  of  the  Infected  Blood  Inquiry  and  those  made  through  FOI 
requests, and to prepare for and anticipate future requests. 
These include: 
•  Formally identifying the electronic and physical areas remaining where further searches need to be conducted; 
•  Setting out the methodologies to be used, such as search terms and other electronic searches to be conducted, plans for 
physical searches of potential areas where files could be located, or further appeal for files to be returns; and, 
•  Setting out the timetable and identifying the resources available for the completion of the remaining electronic and physical 
4.  The ongoing and future work of the team relating to the Infected Blood files  should be planned and delivered using good 
practice methods of project management. (Medium) 
Page 11 of 12 

DHSC File Retrieval Processes – Infected Blood | November 2018 
Annex 1: Objectives, Scope and Limitations 
The objective of this audit is to review the robustness of the processes used by the Department for their record searches to locate 
relevant records to ensure that all files relevant to the Infected Blood Inquiry have been identified and listed. The scope of this 
review included the following areas: 
•  An assessment of the robustness of the processes adopted to identify the population of the records and the selection criteria 
of specific records for a detailed review; 
•  To challenge the rationale and justification behind the search criteria developed by the Department; and, 
•  To review the DHSC processes for identifying and assessing the other storage areas and mediums where relevant data on 
Blood policy could be located, in addition to Iron Mountain / Filestore. 
The review did not assist in designing the processes used to locate and search files. The review does not provide assurance over 
the ability and accuracy of any search systems except those operated by the Department in identifying the relevant files. The review 
did not cover the contents of any files identified, or of the inventories of any storage locations, systems, except for Iron Mountain. 
Records Management Business Partner 
Head of Records / Departmental Records Officer 
Head of Information & Security 
Dominic Brankin, Director of Workplace and Transformation  
Clara Swinson, Director General, Global and Public Health 
Cameron Robson, Group Chief Internal Auditor, GIAA 
DHSC Deputy Head of Internal Audit, GIAA  &  Audit Manager, GIAA 
Page 12 of 12