<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <p>Hi Listers,</p>

    <p>Have just finished the first read-through of this document, here

      are my initial thoughts/questions/concerns (in no particular

      order)<br>

    </p>

    <br>

    <b>Registration fee</b><br>

    I am concerned that the registration-fee might be prohibitive for

    many startup ICT businesses - especially since this is not just a

    cost that is meant to cover the actual cost of processing the

    application, but is intended to cover the entire cost of the office

    of the data protection regulator (as mentioned in section 12.2).<br>

    <br>

    This may lead to a situation where many/most startups either stay

    non-compliant with the law (in which case - then whats the point?),

    or they may be unable to launch new innovation due to

    compliance-costs.<br>

    <br>

    <br>

    <b>Reporting frequency</b> <br>

    As mentioned in section 11.4 the data protection officer needs to

    make regular compliance reports to "the office" but I could not find

    any mention of what "regular" means - is it once a year, once a

    month or ... It could be a rather significant administrative burden

    (especially for a SME) so that there are no quantification of

    "regular" worries me quite a bit.<br>

    <br>

    <br>

    <b>Compliance levels</b><br>

    The way I see it a very high percentage of ICT startups would be

    subject to this law, but I fear that very few will have the capacity

    to actually become (and remain) compliant on this matter. <br>

    If compliance levels remain low then few

    consumers/end-users/customers will be requesting compliant vendors

    or even aware of their rights according to this law a negative

    circle will be created where no-one expect compliance and hence

    no-one will offer it.<br>

    <br>

    <br>

    <b>No Breach notification incentive</b><br>

    8.2.6 and section 38.1 states that data controllers are obligated to

    notify on breaches - this is good and probably the most important

    element in my mind - accidents will happen but they key thing is

    that affected people gets notified (and of-course that measures are

    taken to prevent it happening again).<br>

    However section 70.1+2 tells us that a data-controller who "looses"

    data will be committing an offense and subject to a fine of (max)

    10million kes.<br>

    <br>

    This sounds to me like there are absolutely NO incentive to report a

    breach - in fact it kinda encourages data controllers to keep VERY

    quiet about breaches and hope that no-one notices.<br>

    Would it not be smart to make so that if the breach was reported to

    "the office" prior to "the office" receiving any complaints then any

    subsequent fine/penalty would be discounted i.e. 50% - but it would

    be 100% if no reporting had happened...<br>

    <br>

    I just fear that the main point of the exercise - to ensure that

    people actually are aware if their data is "lost" and give them the

    ability to react before someone exploits their data.<br>

    <br>

    <br>

    <b>Training / capacity</b><br>

    I wonder what kind of training program would be available for all

    the newly designated data protection officers.<br>

    How are we going to ensure that they get up to speed with this (new)

    legislation fast (?)<br>

    <br>

    <br>

    <b>Scope</b><br>

    Initially I thought that effectively every company in Kenya would

    have to register (and pay registration fee) - as everyone would have

    private data on their employees in some kind of "system" / HR-file.

    Although my gut kinda told me that it is not the intention.<br>

    <br>

    However section 56(a) sounds like it would exclude data obtained in

    relation to employment - Anyone else who have reached the same

    conclusion on this ?<br>

    <br>

    <br>

    <b>Our own house</b><br>

    Looking internally I am actually in doubt if our company would need

    to register or not. <br>

    Our company builds and runs HR/Payroll management systems - and the

    system does hold private data, because... that is kinda what the

    system does ;-) <br>

    The reason that I am in doubt is when I read section 49(1)(c) where

    it explicitly exempts data related to assessment of taxes - and this

    is exactly what our system(s) does, so depending on how I read that

    we could be exempt (?) - but somehow I get the feeling that 49(1)(c)

    is intended specifically for government-bodies (read KRA) not

    private entities.. So am a little confused.<br>

    <br>

    <br>

    <b>Security by design</b><br>

    Section 5.3.4 dictates that systems should incorporate "security by

    design", which is an absolutely great way to approach developing

    such systems.<br>

    However from what I have seen being developed while interacting with

    various SME's and startups "security by design" is not a principle

    that very many apply, or even have on their "radar". <br>

    To make things worse unless you do a very close evaluation of the

    actual systems and HOW they are developed it can be really hard to

    determine if they utilize "security by design"... <br>

    All in all this sounds kinda like wishful thinking - If it's meant

    as a way of creating awareness of "security by design" then great -

    but can't really see it as a condition.<br>

    <br>

    <br>

    Kind regards<br>

    Michael Pedersen<br>

    <br>

    <br>

    <br>

    <div class="moz-cite-prefix">On 10/08/2018 21:51, Grace Githaiga via

      kictanet wrote:<br>

    </div>

    <blockquote type="cite"

      cite="mid:7c4366f49824c705fa7395b3d1d9dfba@webmail.kictanet.or.ke">

      <meta http-equiv="content-type" content="text/html; charset=utf-8">

      <style type="text/css">

body,p,td,div,span{

        font-size:13px; font-family:Arial, Helvetica, sans-serif;

};

body p{

        margin:0px;

}

</style>Dear Listers<br>

      <br>

      Please find the <i><b>Policy and Regulatory Framework on Privacy

          and Data Protection </b></i>here:<br>

      <a target="_blank" moz-do-not-send="true">https://www.kictanet.or.ke/?wpdmpro=policy-and-regulatory-framework-on-privacy-and-data-protection</a><i><br>

      </i><br>

      <p>This is a consolidated document containing the draft policy and

        law, as drafted by the Task Force on Data Protection, which was

        constituted by the Cabinet Secretary, Ministry of ICT in May.</p>

      <br>

      <p>The Task Force is requesting for comments from the public,

        which should be submitted by September 12, 2018.</p>

      <br>

      <p>Please feel free to share the document with your networks.</p>

      <br>

      Best regards<br>

      <br>

      <br>

      Githaiga, Grace<br>

      <br>

      <br>

      <p>Co-Convenor<br>

        Kenya ICT Action Network (KICTANet)<br>

        <a class="moz-txt-link-freetext" href="Twitter:@ggithaiga">Twitter:@ggithaiga</a><br>

        Tel: 254722701495<br>

        Skype: gracegithaiga<br>

        Alternate email: <a moz-do-not-send="true">ggithaiga@hotmail.com</a><br>

        Linkedin: <a target="_blank" moz-do-not-send="true">https://www.linkedin.com/in/gracegithaiga</a><br>

        <a class="moz-txt-link-abbreviated" href="http://www.kictanet.or.ke">www.kictanet.or.ke</a><br>

        <br>

        "Change only happens when ordinary people get involved, get

        engaged and come together to demand it. I am asking you to

        believe. Not in my ability to bring about change – but in

        yours"---Barrack Obama.</p>

      <br>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

kictanet mailing list

<a class="moz-txt-link-abbreviated" href="mailto:kictanet@lists.kictanet.or.ke">kictanet@lists.kictanet.or.ke</a>

<a class="moz-txt-link-freetext" href="https://lists.kictanet.or.ke/mailman/listinfo/kictanet">https://lists.kictanet.or.ke/mailman/listinfo/kictanet</a>

Twitter: <a class="moz-txt-link-freetext" href="http://twitter.com/kictanet">http://twitter.com/kictanet</a>

Facebook: <a class="moz-txt-link-freetext" href="https://www.facebook.com/KICTANet/">https://www.facebook.com/KICTANet/</a>

Domain Registration sponsored by <a class="moz-txt-link-abbreviated" href="http://www.eacdirectory.co.ke">www.eacdirectory.co.ke</a>

Unsubscribe or change your options at <a class="moz-txt-link-freetext" href="https://lists.kictanet.or.ke/mailman/options/kictanet/michael%40pluspeople.dk">https://lists.kictanet.or.ke/mailman/options/kictanet/michael%40pluspeople.dk</a>

The Kenya ICT Action Network (KICTANet) is a multi-stakeholder platform for people and institutions interested and involved in ICT policy and regulation. The network aims to act as a catalyst for reform in the ICT sector in support of the national aim of ICT enabled growth and development.

KICTANetiquette : Adhere to the same standards of acceptable behaviors online that you follow in real life: respect people's times and bandwidth, share knowledge, don't flame or abuse or personalize, respect privacy, do not spam, do not market your wares or qualifications.

</pre>

    </blockquote>

    <br>

  </body>

</html>