This is an HTML version of an attachment to the Freedom of Information request 'Does the NDIA’s proposed reliance on Salesforce guarantee PROTECTED data classification and ensure NDIS data remains exclusively restricted to Australia only?'.

Our reference: FOI 20/21-0873 
GPO Box 700 
Canberra   ACT   2601 
1800 800 110 
30 July 2021 
By email:  
Dear Shirley 
Freedom of Information request — Notification of Decision 
Thank you for your correspondence of 11 June 2021, in which you requested access under 
the Freedom of Information Act 1982 (FOI Act) to documents held by the National Disability 
Insurance Agency (NDIA). 
The purpose of this letter is to provide you with a decision on your request. 
Scope of your request  
You have requested access to documents about the National Disability Insurance Scheme 
(NDIS). Specifically, you requested access to: 
“Please provide the documented assurance or proof that Salesforce provides 
PROTECTED level data security for Australian citizens in accordance with Government 
cloud services guidelines. That is, specific evidence (by means of assessment or 
certification) that all information and data created, managed, stored and accessed by the 
NDIS through all Salesforce products and services are at least PROTECTED with no 
data leaving Australia or is accessible from overseas. 
This includes all data related to Independent Assessments (IA), past, present and 

On 28 June 2021, the FOI team sought a 30-day extension of time under section 15AA of 
the FOI Act.  
On 6 July 2021, you agreed to the 30-day extension of time through the Right to Know 
website, making the new due date 11 August 2021. 
Decision on access to documents 
I am authorised to make decisions under the FOI Act.  My decision on your request and the 
reasons for my decision are set out below.  
I have decided to refuse your request for access under section 24A of the FOI Act on the 
basis that all reasonable steps have been taken to locate the documents you have 
requested and I am satisfied that they do not exist. 
In reaching my decision, I took into account: 
  your correspondence outlining the particulars of your request; 
  the FOI Act; 
  the FOI Guidelines;  
  relevant case law and decisions concerning the operation of the FOI Act; and 
  consultation with relevant officers of the NDIA. 


Reasons for decisions 
Refuse a request for access (section 24A) 
Section 24A of the FOI Act provides that an agency may refuse a request for access to a 
document if all reasonable steps have been taken to find the document and the agency is 
satisfied that the document cannot be found or does not exist.  
We have conducted searches of the NDIA’s documents management systems and made 
enquiries with NDIA staff. These enquires have revealed that the NDIA is not in possession 
of documents matching the scope of your request. This is because the NDIA does not use 
Salesforce products to store, manage or create ‘protected’ level information or data.  
I am satisfied that all reasonable steps have been taken to locate the documents you have 
requested and that the documents do not exist. I have therefore decided to refuse access to 
your request in accordance with section 24A(1)(b)(ii) of the FOI Act. 
Rights of review 
Your rights to seek a review of my decision, or lodge a complaint, are set out at Attachment A
Should you have any enquiries concerning this matter, please do not hesitate to contact me 
by email at 
Yours sincerely  
Ausilia Woodhead  
Assistant Director  
Parliamentary, Ministerial & FOI Branch  
Government Division 

Attachment A 
Your review rights 
Internal Review  
The FOI Act gives you the right to apply for an internal review of this decision. The review will 
be conducted by a different person to the person who made the original decision. 
If you wish to seek an internal review of the decision, you must apply for the review, in writing, 
within 30 days of receipt of this letter. 
No particular form is required for an application for  internal review, but to assist the review 
process,  you  should  clearly  outline  your  grounds  for  review  (that  is,  the  reasons  why  you 
disagree  with  the  decision).  Applications  for  internal  review  can  be  lodged  by  email  to or sent by post to: 
Freedom of Information Section 
Parliamentary, Ministerial & FOI Branch 
Government & ILC Programs Division 
National Disability Insurance Agency 
GPO Box 700 
CANBERRA   ACT   2601 
Review by the Office of the Australian Information Commissioner 
The  FOI  Act  also  gives  you  the  right  to  apply  to  the  Office  of  the  Australian  Information 
Commissioner (OAIC) to seek a review of this decision. 
If you wish to have the decision reviewed by the OAIC, you may apply for the review, in writing, 
or by using the online merits review form available on the OAIC’s website at, 
within 60 days of receipt of this letter.  
Applications for review can be lodged with the OAIC in the following ways: 
GPO Box 5218, Sydney NSW 2001 
1300 363 992 (local call charge) 
Complaints to the Office of the Australian Information Commissioner or the 
Commonwealth Ombudsman 
You may complain to either the Commonwealth Ombudsman or the OAIC about actions taken 
by the NDIA in relation to your request. The Ombudsman will consult with the OAIC before 
investigating a complaint about the handling of an FOI request. 
Your complaint to the OAIC can be directed to the contact details identified above. Your 
complaint to the Ombudsman can be directed to: 
1300 362 072 (local call charge) 
Your complaint should be in writing and should set out the grounds on which it is considered 
that the actions taken in relation to the request should be investigated Division.