<link>http://people.skolelinux.org/pere/blog/</link>
<atom:link href="http://people.skolelinux.org/pere/blog/index.rss" rel="self" type="application/rss+xml" />
+ <item>
+ <title>How does it feel to be wiretapped, when you should be doing the wiretapping...</title>
+ <link>http://people.skolelinux.org/pere/blog/How_does_it_feel_to_be_wiretapped__when_you_should_be_doing_the_wiretapping___.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/How_does_it_feel_to_be_wiretapped__when_you_should_be_doing_the_wiretapping___.html</guid>
+ <pubDate>Wed, 8 Mar 2017 11:50:00 +0100</pubDate>
+ <description><p>So the new president in the United States of America claim to be
+surprised to discover that he was wiretapped during the election
+before he was elected president. He even claim this must be illegal.
+Well, doh, if it is one thing the confirmations from Snowden
+documented, it is that the entire population in USA is wiretapped, one
+way or another. Of course the president candidates were wiretapped,
+alongside the senators, judges and the rest of the people in USA.</p>
+
+<p>Next, the Federal Bureau of Investigation ask the Department of
+Justice to go public rejecting the claims that Donald Trump was
+wiretapped illegally. I fail to see the relevance, given that I am
+sure the surveillance industry in USA believe they have all the legal
+backing they need to conduct mass surveillance on the entire
+world.</p>
+
+<p>There is even the director of the FBI stating that he never saw an
+order requesting wiretapping of Donald Trump. That is not very
+surprising, given how the FISA court work, with all its activity being
+secret. Perhaps he only heard about it?</p>
+
+<p>What I find most sad in this story is how Norwegian journalists
+present it. In a news reports the other day in the radio from the
+Norwegian National broadcasting Company (NRK), I heard the journalist
+claim that 'the FBI denies any wiretapping', while the reality is that
+'the FBI denies any illegal wiretapping'. There is a fundamental and
+important difference, and it make me sad that the journalists are
+unable to grasp it.</p>
+</description>
+ </item>
+
+ <item>
+ <title>Norwegian Bokmål translation of The Debian Administrator's Handbook complete, proofreading in progress</title>
+ <link>http://people.skolelinux.org/pere/blog/Norwegian_Bokm_l_translation_of_The_Debian_Administrator_s_Handbook_complete__proofreading_in_progress.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Norwegian_Bokm_l_translation_of_The_Debian_Administrator_s_Handbook_complete__proofreading_in_progress.html</guid>
+ <pubDate>Fri, 3 Mar 2017 14:50:00 +0100</pubDate>
+ <description><p>For almost a year now, we have been working on making a Norwegian
+Bokmål edition of <a href="https://debian-handbook.info/">The Debian
+Administrator's Handbook</a>. Now, thanks to the tireless effort of
+Ole-Erik, Ingrid and Andreas, the initial translation is complete, and
+we are working on the proof reading to ensure consistent language and
+use of correct computer science terms. The plan is to make the book
+available on paper, as well as in electronic form. For that to
+happen, the proof reading must be completed and all the figures need
+to be translated. If you want to help out, get in touch.</p>
+
+<p><a href="http://people.skolelinux.org/pere/debian-handbook/debian-handbook-nb-NO.pdf">A
+
+fresh PDF edition</a> in A4 format (the final book will have smaller
+pages) of the book created every morning is available for
+proofreading. If you find any errors, please
+<a href="https://hosted.weblate.org/projects/debian-handbook/">visit
+Weblate and correct the error</a>. The
+<a href="http://l.github.io/debian-handbook/stat/nb-NO/index.html">state
+of the translation including figures</a> is a useful source for those
+provide Norwegian bokmål screen shots and figures.</p>
+</description>
+ </item>
+
+ <item>
+ <title>Unlimited randomness with the ChaosKey?</title>
+ <link>http://people.skolelinux.org/pere/blog/Unlimited_randomness_with_the_ChaosKey_.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Unlimited_randomness_with_the_ChaosKey_.html</guid>
+ <pubDate>Wed, 1 Mar 2017 20:50:00 +0100</pubDate>
+ <description><p>A few days ago I ordered a small batch of
+<a href="http://altusmetrum.org/ChaosKey/">the ChaosKey</a>, a small
+USB dongle for generating entropy created by Bdale Garbee and Keith
+Packard. Yesterday it arrived, and I am very happy to report that it
+work great! According to its designers, to get it to work out of the
+box, you need the Linux kernel version 4.1 or later. I tested on a
+Debian Stretch machine (kernel version 4.9), and there it worked just
+fine, increasing the available entropy very quickly. I wrote a small
+test oneliner to test. It first print the current entropy level,
+drain /dev/random, and then print the entropy level for five seconds.
+Here is the situation without the ChaosKey inserted:</p>
+
+<blockquote><pre>
+% cat /proc/sys/kernel/random/entropy_avail; \
+ dd bs=1M if=/dev/random of=/dev/null count=1; \
+ for n in $(seq 1 5); do \
+ cat /proc/sys/kernel/random/entropy_avail; \
+ sleep 1; \
+ done
+300
+0+1 oppføringer inn
+0+1 oppføringer ut
+28 byte kopiert, 0,000264565 s, 106 kB/s
+4
+8
+12
+17
+21
+%
+</pre></blockquote>
+
+<p>The entropy level increases by 3-4 every second. In such case any
+application requiring random bits (like a HTTPS enabled web server)
+will halt and wait for more entrpy. And here is the situation with
+the ChaosKey inserted:</p>
+
+<blockquote><pre>
+% cat /proc/sys/kernel/random/entropy_avail; \
+ dd bs=1M if=/dev/random of=/dev/null count=1; \
+ for n in $(seq 1 5); do \
+ cat /proc/sys/kernel/random/entropy_avail; \
+ sleep 1; \
+ done
+1079
+0+1 oppføringer inn
+0+1 oppføringer ut
+104 byte kopiert, 0,000487647 s, 213 kB/s
+433
+1028
+1031
+1035
+1038
+%
+</pre></blockquote>
+
+<p>Quite the difference. :) I bought a few more than I need, in case
+someone want to buy one here in Norway. :)</p>
+
+<p>Update: The dongle was presented at Debconf last year. You might
+find <a href="https://debconf16.debconf.org/talks/94/">the talk
+recording illuminating</a>. It explains exactly what the source of
+randomness is, if you are unable to spot it from the schema drawing
+available from the ChaosKey web site linked at the start of this blog
+post.</p>
+</description>
+ </item>
+
+ <item>
+ <title>Detect OOXML files with undefined behaviour?</title>
+ <link>http://people.skolelinux.org/pere/blog/Detect_OOXML_files_with_undefined_behaviour_.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Detect_OOXML_files_with_undefined_behaviour_.html</guid>
+ <pubDate>Tue, 21 Feb 2017 00:20:00 +0100</pubDate>
+ <description><p>I just noticed
+<a href="http://www.arkivrad.no/aktuelt/riksarkivarens-forskrift-pa-horing">the
+new Norwegian proposal for archiving rules in the goverment</a> list
+<a href="http://www.ecma-international.org/publications/standards/Ecma-376.htm">ECMA-376</a>
+/ ISO/IEC 29500 (aka OOXML) as valid formats to put in long term
+storage. Luckily such files will only be accepted based on
+pre-approval from the National Archive. Allowing OOXML files to be
+used for long term storage might seem like a good idea as long as we
+forget that there are plenty of ways for a "valid" OOXML document to
+have content with no defined interpretation in the standard, which
+lead to a question and an idea.</p>
+
+<p>Is there any tool to detect if a OOXML document depend on such
+undefined behaviour? It would be useful for the National Archive (and
+anyone else interested in verifying that a document is well defined)
+to have such tool available when considering to approve the use of
+OOXML. I'm aware of the
+<a href="https://github.com/arlm/officeotron/">officeotron OOXML
+validator</a>, but do not know how complete it is nor if it will
+report use of undefined behaviour. Are there other similar tools
+available? Please send me an email if you know of any such tool.</p>
+</description>
+ </item>
+
<item>
<title>Ruling ignored our objections to the seizure of popcorn-time.no (#domstolkontroll)</title>
<link>http://people.skolelinux.org/pere/blog/Ruling_ignored_our_objections_to_the_seizure_of_popcorn_time_no___domstolkontroll_.html</link>
</description>
</item>
- <item>
- <title>Appstream just learned how to map hardware to packages too!</title>
- <link>http://people.skolelinux.org/pere/blog/Appstream_just_learned_how_to_map_hardware_to_packages_too_.html</link>
- <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Appstream_just_learned_how_to_map_hardware_to_packages_too_.html</guid>
- <pubDate>Fri, 23 Dec 2016 10:30:00 +0100</pubDate>
- <description><p>I received a very nice Christmas present today. As my regular
-readers probably know, I have been working on the
-<a href="http://packages.qa.debian.org/isenkram">the Isenkram
-system</a> for many years. The goal of the Isenkram system is to make
-it easier for users to figure out what to install to get a given piece
-of hardware to work in Debian, and a key part of this system is a way
-to map hardware to packages. Isenkram have its own mapping database,
-and also uses data provided by each package using the AppStream
-metadata format. And today,
-<a href="https://tracker.debian.org/pkg/appstream">AppStream</a> in
-Debian learned to look up hardware the same way Isenkram is doing it,
-ie using fnmatch():</p>
-
-<p><pre>
-% appstreamcli what-provides modalias \
- usb:v1130p0202d0100dc00dsc00dp00ic03isc00ip00in00
-Identifier: pymissile [generic]
-Name: pymissile
-Summary: Control original Striker USB Missile Launcher
-Package: pymissile
-% appstreamcli what-provides modalias usb:v0694p0002d0000
-Identifier: libnxt [generic]
-Name: libnxt
-Summary: utility library for talking to the LEGO Mindstorms NXT brick
-Package: libnxt
----
-Identifier: t2n [generic]
-Name: t2n
-Summary: Simple command-line tool for Lego NXT
-Package: t2n
----
-Identifier: python-nxt [generic]
-Name: python-nxt
-Summary: Python driver/interface/wrapper for the Lego Mindstorms NXT robot
-Package: python-nxt
----
-Identifier: nbc [generic]
-Name: nbc
-Summary: C compiler for LEGO Mindstorms NXT bricks
-Package: nbc
-%
-</pre></p>
-
-<p>A similar query can be done using the combined AppStream and
-Isenkram databases using the isenkram-lookup tool:</p>
-
-<p><pre>
-% isenkram-lookup usb:v1130p0202d0100dc00dsc00dp00ic03isc00ip00in00
-pymissile
-% isenkram-lookup usb:v0694p0002d0000
-libnxt
-nbc
-python-nxt
-t2n
-%
-</pre></p>
-
-<p>You can find modalias values relevant for your machine using
-<tt>cat $(find /sys/devices/ -name modalias)</tt>.
-
-<p>If you want to make this system a success and help Debian users
-make the most of the hardware they have, please
-help<a href="https://wiki.debian.org/AppStream/Guidelines">add
-AppStream metadata for your package following the guidelines</a>
-documented in the wiki. So far only 11 packages provide such
-information, among the several hundred hardware specific packages in
-Debian. The Isenkram database on the other hand contain 101 packages,
-mostly related to USB dongles. Most of the packages with hardware
-mapping in AppStream are LEGO Mindstorms related, because I have, as
-part of my involvement in
-<a href="https://wiki.debian.org/LegoDesigners">the Debian LEGO
-team</a> given priority to making sure LEGO users get proposed the
-complete set of packages in Debian for that particular hardware. The
-team also got a nice Christmas present today. The
-<a href="https://tracker.debian.org/pkg/nxt-firmware">nxt-firmware
-package</a> made it into Debian. With this package in place, it is
-now possible to use the LEGO Mindstorms NXT unit with only free
-software, as the nxt-firmware package contain the source and firmware
-binaries for the NXT brick.</p>
-
-<p>As usual, if you use Bitcoin and want to show your support of my
-activities, please send Bitcoin donations to my address
-<b><a href="bitcoin:15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b&label=PetterReinholdtsenBlog">15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b</a></b>.</p>
-</description>
- </item>
-
- <item>
- <title>Isenkram updated with a lot more hardware-package mappings</title>
- <link>http://people.skolelinux.org/pere/blog/Isenkram_updated_with_a_lot_more_hardware_package_mappings.html</link>
- <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Isenkram_updated_with_a_lot_more_hardware_package_mappings.html</guid>
- <pubDate>Tue, 20 Dec 2016 11:55:00 +0100</pubDate>
- <description><p><a href="http://packages.qa.debian.org/isenkram">The Isenkram
-system</a> I wrote two years ago to make it easier in Debian to find
-and install packages to get your hardware dongles to work, is still
-going strong. It is a system to look up the hardware present on or
-connected to the current system, and map the hardware to Debian
-packages. It can either be done using the tools in isenkram-cli or
-using the user space daemon in the isenkram package. The latter will
-notify you, when inserting new hardware, about what packages to
-install to get the dongle working. It will even provide a button to
-click on to ask packagekit to install the packages.</p>
-
-<p>Here is an command line example from my Thinkpad laptop:</p>
-
-<p><pre>
-% isenkram-lookup
-bluez
-cheese
-ethtool
-fprintd
-fprintd-demo
-gkrellm-thinkbat
-hdapsd
-libpam-fprintd
-pidgin-blinklight
-thinkfan
-tlp
-tp-smapi-dkms
-tp-smapi-source
-tpb
-%
-</pre></p>
-
-<p>It can also list the firware package providing firmware requested
-by the load kernel modules, which in my case is an empty list because
-I have all the firmware my machine need:
-
-<p><pre>
-% /usr/sbin/isenkram-autoinstall-firmware -l
-info: did not find any firmware files requested by loaded kernel modules. exiting
-%
-</pre></p>
-
-<p>The last few days I had a look at several of the around 250
-packages in Debian with udev rules. These seem like good candidates
-to install when a given hardware dongle is inserted, and I found
-several that should be proposed by isenkram. I have not had time to
-check all of them, but am happy to report that now there are 97
-packages packages mapped to hardware by Isenkram. 11 of these
-packages provide hardware mapping using AppStream, while the rest are
-listed in the modaliases file provided in isenkram.</p>
-
-<p>These are the packages with hardware mappings at the moment. The
-<strong>marked packages</strong> are also announcing their hardware
-support using AppStream, for everyone to use:</p>
-
-<p>air-quality-sensor, alsa-firmware-loaders, argyll,
-<strong>array-info</strong>, avarice, avrdude, b43-fwcutter,
-bit-babbler, bluez, bluez-firmware, <strong>brltty</strong>,
-<strong>broadcom-sta-dkms</strong>, calibre, cgminer, cheese, colord,
-<strong>colorhug-client</strong>, dahdi-firmware-nonfree, dahdi-linux,
-dfu-util, dolphin-emu, ekeyd, ethtool, firmware-ipw2x00, fprintd,
-fprintd-demo, <strong>galileo</strong>, gkrellm-thinkbat, gphoto2,
-gpsbabel, gpsbabel-gui, gpsman, gpstrans, gqrx-sdr, gr-fcdproplus,
-gr-osmosdr, gtkpod, hackrf, hdapsd, hdmi2usb-udev, hpijs-ppds, hplip,
-ipw3945-source, ipw3945d, kde-config-tablet, kinect-audio-setup,
-<strong>libnxt</strong>, libpam-fprintd, <strong>lomoco</strong>,
-madwimax, minidisc-utils, mkgmap, msi-keyboard, mtkbabel,
-<strong>nbc</strong>, <strong>nqc</strong>, nut-hal-drivers, ola,
-open-vm-toolbox, open-vm-tools, openambit, pcgminer, pcmciautils,
-pcscd, pidgin-blinklight, printer-driver-splix,
-<strong>pymissile</strong>, python-nxt, qlandkartegt,
-qlandkartegt-garmin, rosegarden, rt2x00-source, sispmctl,
-soapysdr-module-hackrf, solaar, squeak-plugins-scratch, sunxi-tools,
-<strong>t2n</strong>, thinkfan, thinkfinger-tools, tlp, tp-smapi-dkms,
-tp-smapi-source, tpb, tucnak, uhd-host, usbmuxd, viking,
-virtualbox-ose-guest-x11, w1retap, xawtv, xserver-xorg-input-vmmouse,
-xserver-xorg-input-wacom, xserver-xorg-video-qxl,
-xserver-xorg-video-vmware, yubikey-personalization and
-zd1211-firmware</p>
-
-<p>If you know of other packages, please let me know with a wishlist
-bug report against the isenkram-cli package, and ask the package
-maintainer to
-<a href="https://wiki.debian.org/AppStream/Guidelines">add AppStream
-metadata according to the guidelines</a> to provide the information
-for everyone. In time, I hope to get rid of the isenkram specific
-hardware mapping and depend exclusively on AppStream.</p>
-
-<p>Note, the AppStream metadata for broadcom-sta-dkms is matching too
-much hardware, and suggest that the package with with any ethernet
-card. See <a href="http://bugs.debian.org/838735">bug #838735</a> for
-the details. I hope the maintainer find time to address it soon. In
-the mean time I provide an override in isenkram.</p>
-</description>
- </item>
-
- <item>
- <title>Oolite, a life in space as vagabond and mercenary - nice free software</title>
- <link>http://people.skolelinux.org/pere/blog/Oolite__a_life_in_space_as_vagabond_and_mercenary___nice_free_software.html</link>
- <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Oolite__a_life_in_space_as_vagabond_and_mercenary___nice_free_software.html</guid>
- <pubDate>Sun, 11 Dec 2016 11:40:00 +0100</pubDate>
- <description><p align="center"><img width="70%" src="http://people.skolelinux.org/pere/blog/images/2016-12-11-nice-oolite.png"/></p>
-
-<p>In my early years, I played
-<a href="http://wiki.alioth.net/index.php/Classic_Elite">the epic game
-Elite</a> on my PC. I spent many months trading and fighting in
-space, and reached the 'elite' fighting status before I moved on. The
-original Elite game was available on Commodore 64 and the IBM PC
-edition I played had a 64 KB executable. I am still impressed today
-that the authors managed to squeeze both a 3D engine and details about
-more than 2000 planet systems across 7 galaxies into a binary so
-small.</p>
-
-<p>I have known about <a href="http://www.oolite.org/">the free
-software game Oolite inspired by Elite</a> for a while, but did not
-really have time to test it properly until a few days ago. It was
-great to discover that my old knowledge about trading routes were
-still valid. But my fighting and flying abilities were gone, so I had
-to retrain to be able to dock on a space station. And I am still not
-able to make much resistance when I am attacked by pirates, so I
-bougth and mounted the most powerful laser in the rear to be able to
-put up at least some resistance while fleeing for my life. :)</p>
-
-<p>When playing Elite in the late eighties, I had to discover
-everything on my own, and I had long lists of prices seen on different
-planets to be able to decide where to trade what. This time I had the
-advantages of the
-<a href="http://wiki.alioth.net/index.php/Main_Page">Elite wiki</a>,
-where information about each planet is easily available with common
-price ranges and suggested trading routes. This improved my ability
-to earn money and I have been able to earn enough to buy a lot of
-useful equipent in a few days. I believe I originally played for
-months before I could get a docking computer, while now I could get it
-after less then a week.</p>
-
-<p>If you like science fiction and dreamed of a life as a vagabond in
-space, you should try out Oolite. It is available for Linux, MacOSX
-and Windows, and is included in Debian and derivatives since 2011.</p>
-
-<p>As usual, if you use Bitcoin and want to show your support of my
-activities, please send Bitcoin donations to my address
-<b><a href="bitcoin:15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b&label=PetterReinholdtsenBlog">15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b</a></b>.</p>
-</description>
- </item>
-
- <item>
- <title>Er lover brutt når personvernpolicy ikke stemmer med praksis?</title>
- <link>http://people.skolelinux.org/pere/blog/Er_lover_brutt_n_r_personvernpolicy_ikke_stemmer_med_praksis_.html</link>
- <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Er_lover_brutt_n_r_personvernpolicy_ikke_stemmer_med_praksis_.html</guid>
- <pubDate>Fri, 9 Dec 2016 14:20:00 +0100</pubDate>
- <description><p>Når jeg bruker <a href="https://www.ghostery.com/">Ghostery</a>,
-<a href="https://www.ublock.org/">uBlock</a>,
-<a href="https://github.com/gorhill/uMatrix">uMatrix</a>,
-<a href="https://github.com/andryou/scriptsafe">ScriptSafe</a> og andre
-nettleserverktøy (de passer på hverandre) for å holde styr på hvordan
-nettsteder sprer informasjon om hvilke nettsider jeg leser blir det
-veldig synlig hvilke nettsteder som er satt opp til å utveksle
-informasjon med utlandet og tredjeparter. For en stund siden la jeg
-merke til at det virker å være avvik mellom personvernpolicy og
-praksis endel steder, og tok tak i et par konkrete eksempler og sendte
-spørsmål til Datatilsynets kontaktpunkt for veiledning:</p>
-
-<blockquote>
-
-<p>«Jeg har et spørsmål når det gjelder bruken av Google Analytics og
-personvernpolicy. Er det lovlig for et nettsted å si en ting i
-personvernpolicy og gjøre noe annet i virkeligheten? Spesifikt lurer
-jeg på hvilket lov som er brutt hvis nettstedet i HTML-koden til
-nettsidene ber lesernes nettleser om å kontakte Google Analytics og
-slik overleverer sitt IP-nummer til Google, samtidig som
-personvernpolicien hevder at Google Analytics kun får anonymiserte
-data. Google får jo i slike tilfeller alltid overført fullt
-IP-nummer, og nettstedet kan i URL-en som brukes be Google om å ikke
-lagre deler av IP-adressen (omtalt som anonymisering av Google
-Analytics)</p>
-
-<p>Et eksempel er Nettavisen digi.no.
-<a href="http://www.digi.no/artikler/personvernpolicy/208772">Deres
-personvernpolicy</a> sier følgende:</p>
-
-<blockquote>
- «Tredjeparter (som Google Analytics, Cxense, TNS Gallup) får kun
- anonymiserte data.»
-</blockquote>
-
-<p>Men når en leser artikler der så blir maskiner i Norge, USA,
-Tyskland, Danmark, Storbritannia, Irland og Nederland varslet om
-besøket og får dermed overlevert full IP-adresse, som datatilsynet har
-uttalt er en personopplysning. Nettsidene er satt opp til be
-nettleseren å kontakte 29 ulike maskiner rundt om i verden. Fire av
-dem er er under DNS-domenene digi.no og tek.no som tilhører samme
-eier. I tillegg ber nettsidene ikke
-<a href="https://support.google.com/analytics/answer/2763052?hl=no">Google
-Analytics om å fjerne siste oktett i IP-adressen ved lagring</a>,
-dvs. flagget «aip=1» er ikke satt i URL-en som brukes for å kontakte
-Google Analytics.</p>
-
-<p>Tilsvarende er også tilfelle for andre nettsteder, så digi.no er
-ikke spesiell i så måte (dagbladet.no er et annet eksempel, det
-gjelder flere).»</p>
-
-</blockquote>
-
-<p>Etter noen dager kunne juridisk rådgiver Elisabeth Krauss Amundsen
-hos Datatilsynet fortelle det følgende:</p>
-
-<blockquote>
-«Hei, og takk for din e-post.</p>
-
-<p>Vår svartjeneste gir deg kortfattet rådgivning. Vi vil derfor ikke konkludere
-i saken din, men gi deg råd og veiledning.</p>
-
-<p>Ut ifra det du skriver er det antakelig flere bestemmelser i
-personopplysingsloven som brytes dersom virksomhetens personvernpolicy
-sier noe annet om behandlingen av personopplysninger enn det som
-faktisk skjer. Antakelig vil det være et brudd på informasjonsplikten
-i personopplysingsloven §§ 18 og
-19&lt;<a href="https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§18">https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§18</a>&gt;
-dersom det gis feilinformasjon om at opplysningene utleveres. Det kan
-også stilles spørsmål om grunnkravene for behandling av
-personopplysninger vil være oppfylt ved en utlevering av
-personopplysninger til en tredjepart, dersom dette ikke er inkludert
-behandlingsgrunnlaget og formålet med behandlingen, se
-personopplysingsloven § 11, jf.
-8.&lt;<a href="https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11">https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11</a>&gt;»
-</blockquote>
-
-<!-- Her er full URL som digi ba nettleserne bruke for å melde fra til
-Google Analytics:
-https://www.google-analytics.com/r/collect?v=1&_v=j47&a=666919305&t=pageview&_s=1&dl=http%3A%2F%2Fwww.digi.no%2F&ul=nb-no&de=UTF-8&dt=Digi.no%20-%20IT-bransjens%20nettavis&sd=32-bit&sr=1024x768&vp=400x300&je=0&_u=AEAAAMQAK~&jid=592247632&cid=1641512195.1480086725&tid=UA-54426-28&_r=1&z=328520576
--->
-
-<p>Oppdatert med kunnskap om lover og regler tok jeg så kontakt med
-Dagbladet på epostadressen de annonserer på sine
-personvernpolicysider:<p>
-
-<blockquote>
-
-<p>«Jeg lurte litt i forbindelse med en bloggpost jeg skriver på, og lurer
-på om dere hjelpe meg med å finne ut av følgende. Først litt
-bakgrunnsinformasjon.
-<a href="http://www.dagbladet.no/2009/08/18/nyheter/avtale/brukeravtale/plikter/7706966/">Dagbladets
-personvernpolicy</a> forteller følgende:</p>
-
-<blockquote>
- <p>«3. Automatisk innhentet informasjon</p>
-
- <p>For eksempel IP-adressen din (ikke synlig for andre) samt
- statistisk, automatisk produsert informasjon, som når du sist var
- innlogget på tjenesten. Dette er informasjon vi samler for å gjøre
- tjenesten best mulig.»</p>
-
-</blockquote>
-
-
-<p>Men når en besøker nettsidene til Dagbladet,
-f.eks. <a href="http://dagbladet.no/">forsiden</a>, så er nettsidene
-satt opp til å kontakte mange tredjeparter som slik får tilgang til
-både fullt IP-nummer og i de fleste tilfeller nøyaktig hvilken
-artikkel en leser hos Dagbladet ved at Referer-feltet fylles og legges
-ved. Dette gjelder Google Analytics, Cxense, INS Gallup, Doubleclick
-med flere. Totalt ber forsiden nettleseren om å koble seg opp til 60
-nettsteder med 149 separate oppkoblinger. I hver av disse
-oppkoblingene oversendes IP-adressen til leseren, og i følge
-Datatilsynet er
-«<a href="https://www.datatilsynet.no/Teknologi/Internett/Webanalyse/">en
-IP-adresse definert som en personopplysning fordi den kan spores
-tilbake til en bestemt maskinvare og dermed til en enkeltperson</a>».</p>
-
-<p>Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18
-og 19 skal informasjonen som gis om bruk og utlevering av
-personopplysninger være korrekt. De forteller videre at det er endel
-grunnkrav som må være oppfylt ved utlevering av personopplysninger til
-tredjeparter, nærmere forklart i personopplysingsloven § 11 som
-henviser til § 8.</p>
-
-<p>Mitt spørsmål er dermed som følger:</p>
-
- <blockquote>
-
- <p>Hva mener dere i personpolicyen når dere skriver at IP-adressen ikke
- er synlig for andre?»</p>
-
- </blockquote>
-
-</blockquote>
-
-<p>Etter en uke har jeg fortsatt ikke fått svar fra Dagbladet på mitt
-spørsmål, så neste steg er antagelig å høre om Datatilsynet er
-interessert i å se på saken.</p>
-
-<p>Men Dagbladet er ikke det eneste nettstedet som forteller at de
-ikke deler personopplysninger med andre mens observerbar praksis
-dokumenterer noe annet. Jeg sendte derfor også et spørsmål til
-kontaktadressen til nettavisen Digi.no, og der var responsen mye
-bedre:</p>
-
-<blockquote>
-
-<p>«Jeg lurte på en ting i forbindelse med en bloggpost jeg skriver på,
-og lurer på om dere hjelpe meg. Først litt bakgrunnsinformasjon.
-<a href="http://www.digi.no/artikler/personvernpolicy/208772">Digi.nos
-personvernpolicy</a> forteller følgende:</p>
-
-<blockquote>
- «All personlig informasjon blir lagret i våre systemer, disse er ikke
- tilgjengelig for tredjeparter, og blir ikke lagret i
- informasjonskapsler. Tredjeparter (som Google Analytics, Cxense,
- TNS Gallup) får kun anonymiserte data.»
-</blockquote>
-
-<p>Men når en besøker nettsidene til nettavisen, f.eks.
-<a href="http://www.digi.no/">forsiden</a>, så er nettsidene satt opp
-til å kontakte mange tredjeparter som slik får tilgang til både fullt
-IP-nummer og i de fleste tilfeller nøyaktig hvilken artikkel en leser
-hos Digi.no ved at Referer-feltet fylles og legges ved. Dette gjelder
-både Google Analytics, Cxense blant og INS Gallum. Totalt ber
-forsiden nettleseren om å koble seg opp til 29 nettsteder med 44
-separate oppkoblinger. I hver av disse oppkoblingene sendes
-IP-adressen til leseren over, og i følge Datatilsynet er
-«<a href="https://www.datatilsynet.no/Teknologi/Internett/Webanalyse/">en
-IP-adresse definert som en personopplysning fordi den kan spores
-tilbake til en bestemt maskinvare og dermed til en enkeltperson</a>».
-Det jeg ser virker ikke å være i tråd med personvernpolicyen.</p>
-
-<p>Når en besøker Digi.nos nettsider gjøres det to oppkoblinger til
-Google Analytics, en for å hente ned programkoden som samler
-informasjon fra nettleseren og sender over til Google (analytics.js),
-og en for å overføre det som ble samlet inn. I den siste oppkoblingen
-er det mulig å be Google om å ikke ta vare på hele IP-adressen, men i
-stedet fjerne siste oktett i IP-adressen. Dette omtales ofte litt
-misvisende for «anonymisert» bruk av Google Analytics, i og med at
-fullt IP-nummer blir sendt til Google og det er opp til Google om de
-vil bry seg om ønsket fra de som har laget nettsiden. Ut fra det som
-står i personvernpolicyen ville jeg tro at Digi.no ba google om å ikke
-ta vare på hele IP-nummeret, men når en ser på den andre oppkoblingen
-kan en se at flagget «aio=1» ikke er satt, og at Digi.no ikke ber
-Google om å la være å lagre hele IP-adressen. Dette virker heller
-ikke å være i tråd med personvernpolicyen.</p>
-
-<p>Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18
-og 19 skal informasjonen som gis om bruk og utlevering av
-personopplysninger være korrekt. De forteller videre at det er endel
-grunnkrav som må være oppfylt ved utlevering av personopplysninger til
-tredjeparter, nærmere forklart i personopplysingsloven § 11 som
-henviser til § 8. Det er uklart for meg om disse kravene er oppfylt
-når IP-adresse og informasjon om hvilke websider som besøkes til
-tredjeparter.</p>
-
-<p>Mitt spørsmål er dermed som følger:</p>
-
-<blockquote>
-
- <p>Hva mener dere i personpolicyen når dere skriver at «Tredjeparter
- får kun anonymiserte data»?»</p>
-
-</blockquote>
-
-</blockquote>
-
-<p>Redaksjonssjef Kurt Lekanger svarte samme dag og forklarte at han
-måtte komme tilbake til meg når han hadde med utviklingsavdelingen.
-Seks dager senere lurte jeg på hva han fant ut, og etter noen timer
-fikk jeg så følgende svar fra direktøren for teknologi og
-forretningsutvikling Øystein W. Høie i Teknisk Ukeblad Media:</p>
-
-<blockquote>
-
-<p>«Takk for godt tips! Det er helt riktig at IP og referrer-adresse
-potensielt kan leses ut av tredjepart.</p>
-
-<p>Retningslinjene våre har vært uklare på dette tidspunktet, og vi
-oppdaterer nå disse så dette kommer tydeligere frem. Ny tekst blir som
-følger:</p>
-
-<hr>
-<p>3. Dette bruker vi ikke informasjonen til Informasjon du oppgir til
-oss blir lagret i våre systemer, er ikke tilgjengelig for
-tredjeparter, og blir ikke lagret i informasjonskapsler.
-Informasjonen vil kun benyttes til å gi deg som bruker mer relevant
-informasjon og bedre tjenester.</p>
-
-<p>Tredjeparter (som Google Analytics, Cxense, TNS Gallup) vil kunne
-hente ut IP-adresse og data basert på dine surfemønstre. TU Media AS
-er pliktig å påse at disse tredjepartene behandler data i tråd med
-norsk regelverk.</p>
-<hr>
-
-<p>Ellers har vi nå aktivert anonymisering i Google Analytics
-(aip=1). Kan også nevne at Tek.no-brukere som har kjøpt Tek Ekstra har
-mulighet til å skru av all tracking i kontrollpanelet sitt. Dette er
-noe vi vurderer å rulle ut på alle sidene i vårt nettverk.»</p>
-
-</blockquote>
-
-<p>Det var nyttig å vite at vi er enige om at formuleringen i
-personvernpolicyen er misvisende. Derimot var det nedslående at i
-stedet for å endre praksis for å følge det personvernpolicyen sier om
-å ikke dele personinformasjon med tredjeparter, så velger Digi.no å
-fortsette praksis og i stedet endre personvernpolicyen slik at den å
-dokumentere dagens praksis med spredning av personopplysninger.</p>
-
-<p>Med bakgrunn i at Digi.no ikke har fulgt sin egen personvernpolicy
-spurte jeg hvordan Digi.no kom til å håndtere endringen:</p>
-
-<blockquote>
-
-<p>«Tusen takk for beskjed om endring av personvernpolicy for digi.no.
-Gjelder endringen også andre nettsteder?</p>
-
-<p>Vil tidligere håndteringen av IP-adresser og lesemønster i strid
-med dokumentert personvernpolicy bli varslet til Datatilsynet i tråd
-med
-<a href="https://lovdata.no/forskrift/2000-12-15-1265/§2-6">personopplysningsforskriften
-§ 2-6</a>? Vil leserne bli varslet på en prominent og synlig måte om
-at lesernes IP-adresser og lesemønster har vært utlevert til
-tredjeparter i stid med tidligere formulering om at tredjeparter kun
-får anonymiserte data, og at utleveringen fortsetter etter at
-personvernpolicy er endret for å dokumentere praksis?</p>
-
-<p>Appropos ekstra tilbud til betalende lesere, tilbyr dere en
-mulighet for å betale for å lese som ikke innebærer at en må gjøre det
-mulig å la sine lesevaner blir registeret av tek.no? Betaler gjerne
-for å lese nyheter, men ikke med en bit av privatlivet mitt. :)»</p>
-</blockquote>
-
-<p>Jeg fikk raskt svar tilbake fra direktøren Høie:</p>
-
-<blockquote>
-<p>«Tydeliggjøringen i personvernpolicy gjelder alle våre nettsteder.</p>
-
-<p>Vi kommer til å ta en runde og gå over vår policy i forbindelse med
-dette, og vil i de tilfeller det er påkrevd selvsagt være tydelig
-overfor brukere og tilsyn. Vil samtidig understreke at vår bruk av
-tredjeparts analyseverktøy og annonsetracking er helt på linje med det
-som er normalt for norske kommersielle nettsteder.</p>
-
-<p>Angående spørsmålet ditt:
-<br>Du vil fortsatt vises i våre interne systemer om du blir Ekstra-bruker,
-vi skrur bare av tredjeparts tracking.»</p>
-</blockquote>
-
-<p>Det høres jo ikke bra ut at det er normalt for norske kommersielle
-nettsteder å utlevere lesernes personopplysninger til utlandet. Men
-som en kan lese fra <a href="https://www.nrk.no/norge/kommunen-deler-informasjon-om-deg-med-facebook-og-google-1.13248945">gårdagens oppslag fra NRK</a> gjelder
-det også norske kommuner og andre offentlige aktører, og
-<a href="http://people.skolelinux.org/pere/blog/Snurpenot_overv_kning_av_sensitiv_personinformasjon.html">jeg
-skrev om omfanget av problemet i fjor</a>. Det er uansett ikke en
-praksis jeg tror er i tråd med kravene i personopplysningsloven, og
-heller ikke en praksis jeg som leser synes er greit. Jeg manglet dog
-fortsatt svar på om Digi.no kom til å varsle lesere og Datatilsynet om
-avviket mellom praksis og policy, så jeg forsøkte meg med en ny epost
-i går kveld:</p>
-
-<blockquote>
-
-<p>«Kan du fortelle meg om dere anser det å være påkrevd å varsle
-tilsyn og brukere nå, når dere har oppdaget at praksis ikke har vært i
-tråd med personvernpolicy?»</p>
-
-</blockquote>
-
-<p>Det spørsmålet vet jeg så langt ikke svaret på, men antagelig kan
-Datatilsynet svare på om det er påkrevd å varsle tilsyn og lesere om
-dette. Jeg planlegger å oppdatere denne bloggposten med svaret når
-det kommer.</p>
-
-<p>Jeg synes jo det er spesielt ille når barn får sine
-personopplysninger spredt til utlandet, noe jeg
-<a href="https://www.mimesbronn.no/request/opplysninger_samlet_inn_av_mobil">tok
-opp med NRK i fjor</a>. De to eksemplene jeg nevner er som dere
-forstår ikke unike, men jeg har ikke full oversikt over hvor mange
-nettsteder dette gjelder. Jeg har ikke kapasitet til eller glede av å
-lese alle personvernpolicyer i landet. Kanskje mine lesere kan sende
-meg tips på epost om andre nettsteder med avvik mellom policy og
-praksis? Hvis vi alle går sammen og kontakter de ansvarlige, kanskje
-noen til slutt endrer praksis og slutter å dele lesernes
-personopplysninger med tredjeparter?</p>
-
-<p>Apropos bruken av Google Analytics kan jeg forresten nevne at
-Universitetet i Oslo også har tatt i bruk Google Analytics, men der
-lagres programkoden som overføres til nettleserne lokalt og deler av
-IP-adressen fjernes lokalt på universitetet via en mellomtjener/proxy
-(<a href="https://github.com/unioslo/ipproxy">tilgjengelig via
-github</a>) før informasjon sendes over til Google Analytics. Dermed
-er det mulig for ansvarlige for nettstedet å <em>vite</em> at Google
-ikke har tilgang til komplett IP-adresse. Årsaken til at denne
-metoden brukes er at juristene ved universitetet har konkludert med at
-det er eneste måten en kunne vurdere å bruke Google Analytics uten å
-bryte loven. Risikoen for gjenidentifisering og
-<a href="https://panopticlick.eff.org/">identifisering ved hjelp av
-nettleserinformasjon</a> er fortsatt tilstede, så det er ingen optimal
-løsning, men det er bedre enn å håpe at f.eks. Google og alle som
-lytter på veien skal prioritere norsk lov over sin lokale
-lovgivning.</p>
-
-<p>Oppdatering 2016-12-09: Fikk svar fra direktøren Høie på mitt
-spørsmål litt etter at jeg hadde publisert denne artikkelen:</p>
-
-<blockquote>
-
-<p>Vi kommer til å annonsere en oppdatert policy, og skal undersøke om
-vi er pliktig å varsle Datatilsynet.</p>
-
-<p>Det vi uansett ønsker å gjøre først, er å gå gjennom hele policy
-sammen med utviklerne og advokat, så vi er sikre på at vi går frem
-riktig og at det ikke er flere tvetydigheter som skjuler seg i
-teksten.</p>
-
-<p>Har du andre idéer eller konkrete innspill til hva som kan gjøre
-policy tydeligere, tar vi gjerne imot det. Dette er et felt vi ønsker
-å være ryddige på.</p>
-
-</blockquote>
-
-<p>Vi får se om de liker mine innspill, som i grunnen er å ikke pusse
-på personvernpolicyen men i stedet slutte å spre lesernes
-personopplysninger til eksterne aktører.</p>
-</description>
- </item>
-
</channel>
</rss>
projects / homepage.git / blobdiff