This is an HTML version of an attachment to the Freedom of Information request 'iProov contracts'.

29 September 2022 
7 and 8 Wellington Place 
Our ref: NIC-671586-K9D1T 
West Yorkshire 
LS1 4AP 
Dear Sir/Madam, 
Re: Information Request – Freedom of Information Act (FOIA) 2000 
Thank you for your email dated 16 August 2022 requesting the following information: 
“I wish to see full and unredacted copies of all contracts and subcontracts you hold 

Please accept our sincere apologies for the delay in responding to your request.  
NHS Digital holds the information that you have requested. Please find attached to this email 
a redacted copy of NHS Digital’s contract with iProov Limited. We do not hold copies of any 
We have redacted some of the information contained within the contract under the following 
•  Section 31(1)(a) – the prevention and detection of crime 
•  Section 40(2) – personal data 
•  Section 43(2) – commercially sensitive information 
Section 31(1)(a) 
Section 31(1)(a) sets out that information is exempt if its disclosure would or would be likely 
to prejudice the prevention and/or detection of crime. We are unable to provide a detailed 
description of the information which has been redacted, as to do so would itself reveal 
sensitive information. However, we can advise that we have redacted information which, if 
revealed, would provide would-be attackers with information which could be used to increase 
the likelihood of a successful cyber-attack against NHS Digital or its partners.  
Section 31 is a qualified exemption. This means that NHS Digital is required to consider 
whether the public interest in the disclosure of the information outweighs the public interest 
in maintaining the exemption. NHS Digital is committed to making information available on 
an open and transparent basis. However, we have an obligation to ensure that the patient 
data with which we have been entrusted is protected from criminal, malicious or otherwise 
inappropriate access and use. To reveal information which could increase the likelihood of a 
cyber-attack being carried out against NHS Digital and/or its partners jeopardises the patient 
information we are responsible for. This risk is disproportionate to the generic public interest 
in the information you have requested. 

As such, we conclude that the public interest is in favour of maintaining the exemption.  
Section 40(2) 
We have redacted personal information, including names, contact information and signatures 
under section 40(2) of the FOIA. Section 40(2) sets out that information is exempt if its 
disclosure would disclosure would contravene the data protection principles; would 
contravene an objection to processing, or; the data is exempt from the right of subject 
Data protection principle (a) sets out that “Personal data shall be processed lawfully, fairly 
and in a transparent manner in relation to the data subject…”, on the basis that processing of 
information in this way would be unfair.  
In the case of FOI requests, personal data is processed when it is disclosed in response to 
the request. Therefore, in order to disclose information to you, NHS Digital must demonstrate 
that doing so would be lawful, fair, and transparent. We must therefore consider each of 
these factors in turn.  
Would disclosure be lawful? 
The ICO set out that there are four elements to consider when examining whether disclosure 
of information would be lawful. We have looked at each of these in turn below.  
Is the information special category data? 
‘Special category data’ is personal data about an individual’s race, ethnic origin, politics, 
religion, trade union membership, genetics, biometrics (where used for ID purposes); health, 
sex life or sexual orientation. 
The requested information does not meet the definition of special category data, and 
therefore we must consider the next element: 
Is the information criminal offence data? 
Criminal offence data is information which relates to criminal convictions and offences or 
related security measures. The requested information is not criminal offence data, and 
therefore we must consider the next element: 
Is there any Article 6 lawful basis for processing the personal data?  
▪  Does lawful basis (a) – consent - apply?  
▪  Does lawful basis (f) - legitimate interests - apply? 
In all circumstances, an organisation must have an Article 6 lawful basis for processing 
personal data. For the purposes of responding to FOIA requests, only basis (a) – consent 
and (f) – legitimate interests are relevant. We must therefore consider whether either basis 
applies to the requested information. 

We do not have the consent of the relevant individuals to disclose their personal information 
in response to FOIA requests. As such, basis (a) – consent, does not apply.  
As we cannot rely on basis (a), NHS Digital must consider whether there are any legitimate 
interests in the disclosure of this information under the FOIA. This is a three-part test: 
Purpose: what is the legitimate interest in the disclosure of the information?  
Necessity: is disclosure necessary for that purpose?  
Balancing test: does the legitimate interest outweigh the interests and rights of 
the individual? 
We recognise that disclosing the names (or other personal information which would reveal 
the names) of those individuals whose personal information appears within the contract 
would demonstrate transparency and accountability. We are therefore satisfied that the first 
part of the legitimate interests assessment is met.  
However, revealing the redacted personal information would not help to advance an 
understanding of the nature of the contract. The names which have been removed (and the 
other contact information which would serve to indirectly reveal the names) are of individuals 
who serve as points of contact for the contract, not necessarily those who have ultimate 
responsibility for it. Furthermore, the detail of the contract which we are releasing provides a 
level of detail which itself demonstrates NHS Digital’s commitment to openness, 
transparency, and accountability.  
We therefore conclude that disclosure of the redacted personal information cannot be said to 
be necessary.  
As disclosure is not necessary for the purposes of the identified legitimate interests, we 
cannot rely on basis (f). We therefore conclude that disclosure would not be lawful.  
The information is therefore exempt from disclosure under section 40(2).  
Section 43(2) 
Section 43(2) sets out that information is exempt from disclosure if its release would or would 
be likely to prejudice the commercial interests of any party, including the organisation which 
holds the information.  
We have redacted some information on the grounds that revealing it would be detrimental to 
the commercial interests of iProov Limited, by providing their commercial competitors with 
valuable information which could be used to jeopardise iProov’s ability to participate in the 
commercial marketplace in which they operate. The information we have redacted relates to 
specific prices, volumes and service levels which would provide competitor organisations 
with an unfair insight into iProov’s income. Disclosure would therefore clearly prejudice the 
commercial interests of iProov.  
Section 43(2) is a qualified exemption. This means that even where we have demonstrated 
the prejudice which would be likely to occur as a result of disclosure, we are required to 

consider whether there is an overwhelming public interest in the release of the information. 
We recognise that there is a legitimate public interest in demonstrating that the contracts 
NHS Digital holds with third-party organisations represent good value for money. However, 
releasing information which organisations expect to be treated in a confidential manner 
would be likely to irreparably damage NHS Digital’s reputation, dissuading organisations 
from working with NHS Digital in future. We therefore consider that the public interest is in 
preserving NHS Digital’s working relationships with those organisations. Doing so allows us 
to continue to deliver valuable, cost-efficient services to patients. 
We are therefore satisfied that section 43(2) applies to the commercial information which has 
been redacted.  
I trust you are satisfied with our response to your request for information. However, if you are 
not satisfied, you may request a review from a suitably qualified member of staff not involved 
in the initial query, via the  email address or by post at the 
above postal address.  
If following an internal review, you remain unsatisfied with the way in which we have handled 
your request you are entitled to ask the Information Commissioner to assess whether we 
have complied with our obligations under FOIA by writing to them at the following address:  
Information Commissioner's Office 
Wycliffe House Water Lane 
Cheshire SK9 5AF  
NHS Digital values customer feedback and would appreciate a moment of your time to 
respond to our Freedom of Information (FOI) Survey to let us know about your experience.  
Yours faithfully,  
Information Governance Adviser