<div dir="ltr">Misinformation galore.<div><br></div><div>To each his/her own though.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 13 Feb 2019 at 15:11, Alice Munyua via kictanet <<a href="mailto:kictanet@lists.kictanet.or.ke">kictanet@lists.kictanet.or.ke</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
<a href="https://blog.mozilla.org/netpolicy/2019/02/08/kenya-government-mandates-dna-linked-national-id-without-data-protection-law/" rel="noreferrer" target="_blank">https://blog.mozilla.org/netpolicy/2019/02/08/kenya-government-mandates-dna-linked-national-id-without-data-protection-law/</a><br>
<br>
<br>
Last month, the Kenya Parliament passed a seriously concerning amendment<br>
to the country’s national ID law, making Kenya home to the most<br>
privacy-invasive national ID system in the world. The rebranded, National<br>
Integrated Identity Management System (NIIMS) now requires all Kenyans,<br>
immigrants, and refugees to turn over their DNA, GPS coordinates of their<br>
residential address, retina scans, iris pattern, voice waves, and earlobe<br>
geometry before being issued critical identification documents. NIIMS will<br>
consolidate information contained in other government agency databases and<br>
generate a unique identification number known as Huduma Namba.<br>
<br>
It is hard to see how this system comports with the right to privacy<br>
articulated in Article 31 of the Kenyan Constitution. It is deeply<br>
troubling that these amendments passed without public debate, and were<br>
approved even as a data protection bill which would designate DNA and<br>
biometrics as sensitive data is pending.<br>
<br>
Before these amendments, in order to issue the National ID Card (ID), the<br>
government only required name, date and place of birth, place of<br>
residence, and postal address. The ID card is a critical document that<br>
impacts everyday life, without it, an individual cannot vote, purchase<br>
property, access higher education, obtain employment, access credit, or<br>
public health, among other fundamental rights.<br>
<br>
Mozilla strongly believes that that no digital ID system should be<br>
implemented without strong privacy and data protection legislation. The<br>
proposed Data Protection Bill of 2018 which Parliament is likely to<br>
consider next month, is a strong and thorough framework that contains<br>
provisions relating to data minimization as well as collection and purpose<br>
limitation. If NIIMS  is implemented, it will be in conflict with these<br>
provisions, and more importantly in conflict with Article 31 of the<br>
Constitution, which specifically protects the right to privacy.<br>
<br>
Proponents of NIIMS claim that the system provides a number of benefits,<br>
such as accurate delivery of government services. These arguments also<br>
seem to conflate legal and digital identity. Legal ID used to certify<br>
one’s identity through basic data about one’s personhood (such as your<br>
name and the date and place of your birth) is a commendable goal. It is<br>
one of the United Nations Sustainable Development Goals 16.9 that aims “to<br>
provide legal identity for all, including birth registration by 2030”. <br>
However, it is important to remember this objective can be met in several<br>
ways. “Digital ID” systems, and especially those that involve sensitive<br>
biometrics or DNA, are not a necessary means of verifying identity, and in<br>
practice raise significant privacy and security concerns. The choice of<br>
whether to opt for a digital ID let alone a biometric ID therefore should<br>
be closely scrutinized by governments in light of these risks, rather than<br>
uncritically accepted as beneficial.<br>
<br>
    Security Concerns: The centralized nature of NIIMS creates massive<br>
security vulnerabilities. It could become a honeypot for malicious<br>
actors and identity thieves who can exploit other identifying<br>
information linked to stolen biometric data. The amendment is unclear<br>
on how the government will establish and institute strong security<br>
measures required for the protection of such a sensitive database. If<br>
there’s a breach, it’s not as if your DNA or retina can be reset like<br>
a password or token.<br>
    Surveillance Concerns:  By centralizing a tremendous amount of<br>
sensitive data in a government database, NIIMS creates an opportunity<br>
for mass surveillance by the State. Not only is the collection of<br>
biometrics incredibly invasive, but gathering this data combined with<br>
transaction logs of where ID is used could substantially reduce<br>
anonymity. This is all the more worrying considering Kenya’s history<br>
of extralegal  surveillance and intelligence sharing.<br>
    Ethnic Discrimination  Concerns: The collection of DNA is particularly<br>
concerning as this information can be used to identify an individual’s<br>
ethnic identity. Given Kenya’s history of  politicization of ethnic<br>
identity, collecting this data in a centralized database like NIIMS<br>
could reproduce and exacerbate patterns of discrimination.<br>
<br>
The process was not constitutional<br>
<br>
Kenya’s constitution requires public input before any new law can be<br>
adopted. No public discussions were conducted for this amendment. It was<br>
offered for parliamentary debate under “Miscellaneous” amendments, which<br>
exempted it from procedures and scrutiny that would have required<br>
introduction as a substantive bill and corresponding public debate. The<br>
Kenyan government must not implement this system without sufficient public<br>
debate and meaningful engagement to determine how such a system should be<br>
implemented if at all.<br>
<br>
The proposed law does not provide people with the opportunity to opt in or<br>
out of giving their sensitive and precise data. The Constitution requires<br>
that all Kenyans be granted identification. However, if an individual were<br>
to refuse to turn over their DNA or other sensitive information to the<br>
State, as they should have the right to do, they could risk not being<br>
issued their identity or citizenship documents. Such a denial would<br>
contravene Articles 12, 13, and 14 of the Constitution.<br>
<br>
Opting out of this system should not be used to discriminate or exclude<br>
any individual from accessing essential public services and exercising<br>
their fundamental rights.<br>
<br>
Individuals must be in full control of their digital identities with the<br>
right to object to processing and use and withdraw consent. These aspects<br>
of control and choice are essential to empowering individuals in the<br>
deployment of their digital identities. Therefore policy and technical<br>
decisions must take into account systems that allow individuals to<br>
identify themselves rather than the system identifying them.<br>
<br>
Mozilla urges the government of Kenya to suspend the implementation of<br>
NIIMS and we hope Kenyan members of parliament will act swiftly to pass<br>
the Data Protection Bill of 2018.<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
_______________________________________________<br>
kictanet mailing list<br>
<a href="mailto:kictanet@lists.kictanet.or.ke" target="_blank">kictanet@lists.kictanet.or.ke</a><br>
<a href="https://lists.kictanet.or.ke/mailman/listinfo/kictanet" rel="noreferrer" target="_blank">https://lists.kictanet.or.ke/mailman/listinfo/kictanet</a><br>
Twitter: <a href="http://twitter.com/kictanet" rel="noreferrer" target="_blank">http://twitter.com/kictanet</a><br>
Facebook: <a href="https://www.facebook.com/KICTANet/" rel="noreferrer" target="_blank">https://www.facebook.com/KICTANet/</a><br>
<br>
Unsubscribe or change your options at <a href="https://lists.kictanet.or.ke/mailman/options/kictanet/eshuchi.richard%40gmail.com" rel="noreferrer" target="_blank">https://lists.kictanet.or.ke/mailman/options/kictanet/eshuchi.richard%40gmail.com</a><br>
<br>
The Kenya ICT Action Network (KICTANet) is a multi-stakeholder platform for people and institutions interested and involved in ICT policy and regulation. The network aims to act as a catalyst for reform in the ICT sector in support of the national aim of ICT enabled growth and development.<br>
<br>
KICTANetiquette : Adhere to the same standards of acceptable behaviors online that you follow in real life: respect people's times and bandwidth, share knowledge, don't flame or abuse or personalize, respect privacy, do not spam, do not market your wares or qualifications.<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><font face="verdana, sans-serif">Regards,</font><div><div><b><font face="verdana, sans-serif">Eshuchi Richard</font></b></div></div></div></div>