This is an HTML version of an attachment to the Freedom of Information request 'Digital Information Sharing - Safeguards and Confidentiality'.



 
Tŷ Glan-yr-Afon 
Tŷ Glan-yr-Afon 
 
21 Heol Ddwyreiniol Y 
21 Cowbridge Road 
 
 
Bont-Faen, Caerdydd 
East, Cardiff 
 
CF11 9AD 
CF11 9AD 
 
 
Our ref: FOI/4907525 
Date: 07/12/2023 
 
 
 
Thank you for your request for information, which we have dealt with under the 
provisions of the Freedom of Information Act 2000 (the ‘Act’).  
 
You asked for information on Digital Health and Care Wales’ (DHCW) Information 
Governance arrangements, safeguards and processes. 
 
We hold this information. We have repeated your request below and provided our 
response to each question in turn in bold. 
 
Please note, the NHS in Wales is constituted by a number of organisations. This 
includes seven local Health Boards, three NHS Wales Trusts, two Special Health 
Authorities and range of other organisations such as GP practices, pharmacies and 
dentists who are separate organisations but provide NHS Wales services. Each 
organisation will have in place its own arrangements, safeguards and processes for 
ensuring that information is managed appropriately. 
 
DHCW is the national organisation that builds and designs digital services for health 
and care in Wales. The response provided below, is in relation to DHCW’s 
Information Governance arrangements, safeguards and processes only. This 
response does not reflect other organisations arrangements, safeguards and 
processes in ensuring that information is managed appropriately. We suggest if you 
would like this information from these organisations, you make a request directly to 
them. Details on how to contact other NHS Wales organisations can be found: 
https://www.nhs.wales/about-us/ and 
https://111.wales.nhs.uk/LocalServices/Default.aspx  
 
“Who is your appointed Caldicott Guardian and Senior Information Risk Owner?” 
DHCW’s Executive Medical Director, Rhidian Hurle has the responsibility as 
Caldicott Guardian for the organisation, and is the Chief Clinical Information 
Officer for Wales.  DHCW’s Executive Director of Operations, Sam Lloyd has 
responsibility as Senior Information Risk Owner for the organisation. 
 
“Do you have access to the National Integrated Audit System? If so, how many times 
do you utilise on a weekly basis over the past 12 months.” 

igdc.gig.cymru | dhcw.nhs.wales 



 
Tŷ Glan-yr-Afon 
Tŷ Glan-yr-Afon 
 
21 Heol Ddwyreiniol Y 
21 Cowbridge Road 
 
 
Bont-Faen, Caerdydd 
East, Cardiff 
 
CF11 9AD 
CF11 9AD 
 
DHCW is responsible for the management, maintenance and continued 
improvement of the National Intelligent Integrated Audit Solution (NIIAS). In 
addition to these responsibilities, DHCW also utilises NIIAS to review any 
potential instances by DHCW staff of inappropriate access to national systems 
integrated with NIIAS. NIIAS is reviewed on a daily basis. 
 
Each organisation will be responsible for monitoring NIIAS in relation to their 
own staff, and will be responsible for investigating whether the access was 
appropriate and ensuring there are processes in place should access have 
been identified as inappropriate. 
 
“In the past 2 years how many employees have been disciplined for inappropriate 
access to patient data (broken down by digital and paper records).” 
DHCW has not disciplined any DHCW employees in the last two years for 
inappropriately accessing patient records.  
 
Each organisation will be responsible for monitoring and, where appropriate, 
disciplining their staff where there has been inappropriate access to patient 
records. 
 
“What percentage of your total employed or contracted staff are compliant with any 
nationally available mandated Data Protection training?” 
DHCW staff undertake statutory and mandatory Information Governance 
elearning training every two years. 90% of DHCW employees have undertaken 
elearning training in the past two years as of 16th November 2023. 
 
Please note, this figure includes those staff members who may not have 
completed this elearning because they have been unable to, i.e. staff who may 
be on long term sickness or maternity leave when the two year period elapsed. 
The elearning provided, is one method of informing DHCW staff of their 
responsibility to Information Governance/ Data Protection and is 
supplemented by other methods by the Information Governance team, such as 
presentations to new staff as part of the induction process or tailored training 
provided to staff. 
 
“How many employees do you have that are directly responsible for providing advice 
on matters of Data Protection and Confidentiality.” 
As of 16th October 2023, DHCW has 21 staff with responsibility for providing 
advice and assistance on Information Governance / Data Protection. 
 

igdc.gig.cymru | dhcw.nhs.wales 



 
Tŷ Glan-yr-Afon 
Tŷ Glan-yr-Afon 
 
21 Heol Ddwyreiniol Y 
21 Cowbridge Road 
 
 
Bont-Faen, Caerdydd 
East, Cardiff 
 
CF11 9AD 
CF11 9AD 
 
This includes providing advice on national programmes, projects and systems 
DHCW is responsible for, a team with specific responsibilities for carrying out 
the Data Protection Officer role for subscribed GP practices, maintaining and 
improving a number of tools, services and frameworks which help improve 
and monitor organisations compliance to Information Governance / Data 
Protection and ensuring DHCW’s own compliance with Information 
Governance / Data Protection legislation. 
 
“How many Subject Access Requests have you received from patients over the past 
12months.” 
DHCW have received 17 requests, which have formally been recorded as 
Subject Access Requests from November 2022 to 16th November 2023. 
 
Please note, DHCW does not hold medical records. Medical records will be 
held by the organisation that provided the individual the healthcare or 
treatment they received. This could be their Local Health Board where they 
received treatment in a hospital, their GP surgery or services received by their 
local authority.  
 
This response has been provided in the spirit of the Freedom of Information Act. If 
you are not satisfied with my response or the process followed, you have a right to 
complain and request a review.  You should forward your complaint to: 
 
Darren Lloyd 
Data Protection Officer 
Digital Health and Care Wales 
Tŷ Glan-yr-Afon 
21 Cowbridge Road East 
Cardiff  
CF11 9AD 
 
Should you wish to take your complaint further, if you are still unhappy with the 
decision after review, you can contact the:- 
 
Information Commissioner's Office - Wales  
2nd Floor, 
Churchill House, 
Churchill Way, 
Cardiff, 
CF10 2HH 
igdc.gig.cymru | dhcw.nhs.wales 



 
Tŷ Glan-yr-Afon 
Tŷ Glan-yr-Afon 
 
21 Heol Ddwyreiniol Y 
21 Cowbridge Road 
 
 
Bont-Faen, Caerdydd 
East, Cardiff 
 
CF11 9AD 
CF11 9AD 
 
Telephone: 0330 414 6421 
Fax: 029 2067 8399 
Email: xxxxx@xxx.xxx.xxx.xx  
 
If you have any queries about this request do not hesitate to contact me. 
 
Yours Sincerely, 
 
Marcus Sandberg 
Senior Information Governance Officer 
Information Governance 
Digital Health and Care Wales 
 
 
 
 
igdc.gig.cymru | dhcw.nhs.wales