<div dir="auto"><br><br>Hi,<br><br>The staff assessment are really important for the community to understand what will happen if a policy gets passed, as it can indirectly impact the Salad and even the membership fees.<br><br><br>@AFRINIC<div dir="auto"><br></div><div dir="auto">I have to question this assessment's part on the staff workload:<br><br>> On Staff Workload: All review requests shall be handled First in, First Out<br>> (at staff discretion) - in which case, no significant impact to staff<br>> workload is expected.<br><br>First in first out only means that work gets handled in a fair manner, and is highly important in cases of resource request, not so much in an audit, in no ways is it a metric that can be used to state no increase on staff workload.<br><br><span style="font-family:sans-serif">How can it not have any increase on the workload, if it becomes a regular task "randomly picking up" LIR to audit, then surely there should be some kind of KPI to be introduced, how many audits per month/year are intended, how long would be an average audit?</span><br style="font-family:sans-serif"><span style="font-family:sans-serif">And that is not counting the reported ones, these audits can and will be very time consuming, both for the LIR and the RIR if going in depth.</span></div><div dir="auto"><br></div><div dir="auto"><br>David Hilario<br><br>IP Manager<br><br>Larus Cloud Service Limited<br><br>p: +852 29888918  m: +359 89 764 1784<br>f: +852 29888068<br>a: Flat B5, 11/F, TML Tower, No.3 Hoi Shing Road, Tsuen Wan, HKSAR<br>w: <a href="http://laruscloudservice.net/uk">laruscloudservice.net/uk</a><br>e: <a href="mailto:d.hilario@outsideheaven.com">d.hilario@outsideheaven.com</a><br><br><br><br><br>On 9 May 2017 at 18:11, Arnaud AMELINA <<a href="mailto:amelnaud@gmail.com">amelnaud@gmail.com</a>> wrote:<br>> Hi Community,<br>> Dear PDPWG, please find bellow The New Staff assessment concerning our<br>> Proposal on "Internet Number Resources Review by AFRINIC" and for your<br>> information the Old assessment follow the new one. Thanks<br>><br>> Regards<br>><br>> Arnaud<br>><br>> New Assessment :<br>> ===============================================<br>><br>> Staff Assessment for : Internet Number Resources Review by AFRINIC<br>><br>> Proposal<br>><br>> AFPUB-2016-GEN-001-DRAFT-04<br>><br>> Title<br>><br>>  Internet Number Resources Review by AFRINIC<br>><br>> URL<br>><br>> <a href="https://afrinic.net/en/community/policy-development/policy-proposals/2073-internet-numberresources-review-by-afrinic">https://afrinic.net/en/community/policy-development/policy-proposals/2073-internet-numberresources-review-by-afrinic</a><br>><br>> Assessed<br>><br>> 26/April/2017<br>><br>>  <br>><br>> 1.0 Staff Understanding of the Proposal<br>><br>> AFRINIC to conduct resource utilization reviews (audits) of IPv4, IPv6 and<br>> ASN resources randomly, periodically and/or triggered by a whistleblower to<br>> ensure compliance with policy provisions and all terms of the AFRINIC RSA.<br>> Non-Compliant resources to be recovered (and can be reallocated).<br>> An arbitration team (whose decision is final) to be instituted (by AFRINIC)<br>> to handle any complaints by members unsatisfied with the review/audit<br>> report.<br>> A report of all review/audit activity conducted every year will be published<br>> on the website, contents of which must comply with the Mauritius Data<br>> Protection Act as well as any NDA in place with any AFRINIC member.<br>><br>> 2.0 Staff Comments<br>><br>> On Sec 13.6 - Our previous concerns that AFRINIC may be legally exposed<br>> regarding what member data can be published in the annual "Compliance<br>> Report" seem to have been addressed by the inclusion of "in accordance with<br>> Mauritius Data Protection Act and NDA with members." The act however, only<br>> concerns personal information. The kind of information to include in the<br>> compliance report should preferably be to the discretion of AFRINIC.<br>> Authors to clarify on if the arbitration process can be initiated by the<br>> member anytime during or (only) after the review is completed. There also<br>> needs to be a time limit around when the arbitration process must complete<br>> (for the arbitration team to produce their findings/report).<br>> On Staff Workload: All review requests shall be handled First in, First Out<br>> (at staff discretion) - in which case, no significant impact to staff<br>> workload is expected.<br>> On the clause: “The review shall be conducted in full transparency and<br>> neutrality”. Authors need to expound more on what this means - as AFRINIC<br>> cannot disclose details of an ongoing audit/review to the public while doing<br>> the review - if this is what authors meant by "transparency".<br>> On the Clause: “AFRINIC shall publish the resources to be recovered for a<br>> period of three (3) months; during which the organization may at any time,<br>> seek compliance” - AFRINIC will add “remarks” attributes to the concerned<br>> whois database objects, with information regarding the ongoing review. We<br>> think that this is sufficient to address the "publish" requirement in this<br>> clause.<br>><br>> 3.0 Comments from Legal Counsel<br>><br>> Legal Counsel’s Assessment<br>><br>> 1. In the implementation phase staff will have to deal with evidence<br>> emanating from several jurisdictions. Moreover, staff will face the arduous<br>> task of assessing evidence/information/data from different sources and of<br>> different evidential value. Staff will be burdened with testing the<br>> reliability of this evidence/information/data to assess and weigh theses<br>> evidences and to decide whether same may be used to establish abuse or<br>> wrongful use of Internet Number Resources.<br>><br>> The possibility of collecting evidence/information/data coming from<br>> different sources via affidavits or depositions before Commissioner of Oath<br>> may have to be envisaged to partly ease pressure on staff.<br>><br>> AFRINIC will have to protect itself and act only on reliable, cogent and<br>> admissible evidence before finally revoking allocation of resources which<br>> the investigated member claims has been prejudicial to it and consequently<br>> claims for compensation. This possibility should always be envisaged. The<br>> increasing value of IPv4 resources point in that way.<br>><br>> 2. What modus operandi should be put into place to “hear” the investigated<br>> party to ensure fairness? The policy proposal does not provide anything in<br>> this regard and should address it.<br>><br>> 3. It will not always be possible to confront the investigated party with<br>> data/documents/evidence coming from third parties who may have disclosed<br>> same in confidence and have expressly refused to be named or referred to.<br>><br>> 4. The arbitration referred to in the proposal has to be effected within the<br>> jurisdiction of one country – and the main question is – which would this<br>> country be?<br>><br>> 5. Section 13.5 of the proposal states: “the outcome of the arbitration<br>> process is unequivocal”. This is in contradiction of, Articles 1027 to<br>> 1027-9 of the Code de Procedure Civile of Mauritius which provides that a<br>> party to an arbitration may seek the “annulation “of an award by seizing the<br>> Supreme Court.<br>><br>> 6. The "Mauritius Data Protection Act" only applies to personal<br>> information/data.<br>><br>><br>> The Old One :<br>><br>> ********************************************************************************************<br>><br>> <a href="http://afrinic.net/en/community/policy-development/policy-proposals/1947-internet-number-resources-review-by-afrinic">http://afrinic.net/en/community/policy-development/policy-proposals/1947-internet-number-resources-review-by-afrinic</a><br>><br>> Staff & Legal Assessment and Comments<br>><br>> Staff Comments:<br>><br>> The proposal appears to be enabling AFRINIC to “enforce” article 4(b) the<br>> Registration Services Agreement, a matter of procedure and process.<br>> We already have the ability to enforce the RSA, and the RSA already includes<br>> a requirement for policy compliance.<br>> We already have the ability, in terms of the RSA, to recover resources that<br>> are not being used for the purpose for which they were allocated/assigned.<br>> AFRINIC already reviews or audits members when they request additional<br>> resources. We also have the ability to review at other times, but we do not<br>> regularly exercise such ability.<br>> We see no problem in principle with allowing complaints to trigger a review,<br>> but we are concerned about the details.<br>> It's not clear who decides whether a complaint "warrants investigation". We<br>> interpret this part of the proposal as giving AFRINIC staff the discretion<br>> to decide which complaints to investigate or not to investigate.<br>> Each investigation will have large impact on staff workload, and is also<br>> likely to have a large impact on the organisation being investigated. We are<br>> especially concerned about the impact of unjustified complaints.<br>> AFRINIC staff workload may be greatly increased by a large number of<br>> requests for review or audit. The requirement that the complaint "warrants<br>> investigation" may mitigate this issue, if staff have the ability to decide<br>> that certain complaints do not warrant investigation, but staff resources<br>> will nevertheless be expended on determining whether or not the complaint<br>> warrants investigation.<br>> There is no policy requirement for visibility in the global routing table.<br>> AFRINIC will have no contractual basis for treating "lack of visibility of<br>> the resource on the global routing table" as a problem under this policy. We<br>> suggest that this proposal should focus on policy violations, and leave the<br>> issue of global routing visibility to some other proposal that might be<br>> introduced in future.<br>> There is a reference to "unauthorised transfers". At present, all transfers<br>> (other than under mergers and acquisitions) are unauthorised. Even under<br>> possible future transfer policy, any "unauthorised transfer" would be in<br>> violation of such policy. Accordingly, we suggest that there is no need to<br>> treat unauthorised transfers differently from any other policy violation.<br>> The requirement that "the records of the previous holder of the recovered<br>> resource shall be removed from AFRINIC databases"is in conflict with current<br>> practice that when a resource is returned or transferred, it remains<br>> possible to find out information about the previous holder of the resource.<br>> The requirement that the review be conducted with "full transparency" may be<br>> in conflict with privacy provisions in NDAs, in the RSA, or in law.<br>> The requirement to publish a "compliance report" may be in conflict with<br>> privacy provisions in NDAs, in the RSA, or in law.<br>> There is a requirement for AFRINIC to create and document an appeal process,<br>> and appoint a pool of arbitrators. Creating the process, including a public<br>> comment period and subsequent revisions, would probably take 3 to 6 months.<br>> Calling for volunteers and appointing them would probably take another 2<br>> months.<br>><br>> Legal:<br>><br>> TheRSAisacommunityapproveddocument and all members are bound by each and<br>> every clause thereof once they sign the agreement. It<br>> isacontractwherebothpartiessubscribetoclearobligations.<br>> In application of the law of contract of Mauritius as found in Article 1134<br>> of the Mauritius Civil Code Section 4, the RSA is already<br>> binding,asaresult,onallmemberswhosigntheagreement.<br>> It is perfectly lawful , in terms of the application of the Mauritius Civil<br>> Code , for AFRINIC to act under the said section and reclaim<br>> resourcesfromthosememberswho/whichfailanaudit/reviewexercise.<br>> The policy can do no more than allow AFRINIC to do what it is already doing<br>> in a clear and transparent manner on the basis of a community<br>> approveddocument<br>><br>><br>> _______________________________________________<br>> RPD mailing list<br>> <a href="mailto:RPD@afrinic.net">RPD@afrinic.net</a><br>> <a href="https://lists.afrinic.net/mailman/listinfo/rpd">https://lists.afrinic.net/mailman/listinfo/rpd</a><br>></div></div>