X-Git-Url: http://pere.pagekite.me/gitweb/homepage.git/blobdiff_plain/ae39dae22c470b3004e6bc46a95a494b09c60be6..2377a19a2fcd67c09830cbb4a2a81cfd5a6f00d6:/blog/archive/2016/12/12.rss diff --git a/blog/archive/2016/12/12.rss b/blog/archive/2016/12/12.rss index 9eaf76aa7a..f9d4af8878 100644 --- a/blog/archive/2016/12/12.rss +++ b/blog/archive/2016/12/12.rss @@ -6,6 +6,623 @@ http://people.skolelinux.org/pere/blog/ + + Appstream just learned how to map hardware to packages too! + http://people.skolelinux.org/pere/blog/Appstream_just_learned_how_to_map_hardware_to_packages_too_.html + http://people.skolelinux.org/pere/blog/Appstream_just_learned_how_to_map_hardware_to_packages_too_.html + Fri, 23 Dec 2016 10:30:00 +0100 + <p>I received a very nice Christmas present today. As my regular +readers probably know, I have been working on the +<a href="http://packages.qa.debian.org/isenkram">the Isenkram +system</a> for many years. The goal of the Isenkram system is to make +it easier for users to figure out what to install to get a given piece +of hardware to work in Debian, and a key part of this system is a way +to map hardware to packages. Isenkram have its own mapping database, +and also uses data provided by each package using the AppStream +metadata format. And today, +<a href="https://tracker.debian.org/pkg/appstream">AppStream</a> in +Debian learned to look up hardware the same way Isenkram is doing it, +ie using fnmatch():</p> + +<p><pre> +% appstreamcli what-provides modalias \ + usb:v1130p0202d0100dc00dsc00dp00ic03isc00ip00in00 +Identifier: pymissile [generic] +Name: pymissile +Summary: Control original Striker USB Missile Launcher +Package: pymissile +% appstreamcli what-provides modalias usb:v0694p0002d0000 +Identifier: libnxt [generic] +Name: libnxt +Summary: utility library for talking to the LEGO Mindstorms NXT brick +Package: libnxt +--- +Identifier: t2n [generic] +Name: t2n +Summary: Simple command-line tool for Lego NXT +Package: t2n +--- +Identifier: python-nxt [generic] +Name: python-nxt +Summary: Python driver/interface/wrapper for the Lego Mindstorms NXT robot +Package: python-nxt +--- +Identifier: nbc [generic] +Name: nbc +Summary: C compiler for LEGO Mindstorms NXT bricks +Package: nbc +% +</pre></p> + +<p>A similar query can be done using the combined AppStream and +Isenkram databases using the isenkram-lookup tool:</p> + +<p><pre> +% isenkram-lookup usb:v1130p0202d0100dc00dsc00dp00ic03isc00ip00in00 +pymissile +% isenkram-lookup usb:v0694p0002d0000 +libnxt +nbc +python-nxt +t2n +% +</pre></p> + +<p>You can find modalias values relevant for your machine using +<tt>cat $(find /sys/devices/ -name modalias)</tt>. + +<p>If you want to make this system a success and help Debian users +make the most of the hardware they have, please +help<a href="https://wiki.debian.org/AppStream/Guidelines">add +AppStream metadata for your package following the guidelines</a> +documented in the wiki. So far only 11 packages provide such +information, among the several hundred hardware specific packages in +Debian. The Isenkram database on the other hand contain 101 packages, +mostly related to USB dongles. Most of the packages with hardware +mapping in AppStream are LEGO Mindstorms related, because I have, as +part of my involvement in +<a href="https://wiki.debian.org/LegoDesigners">the Debian LEGO +team</a> given priority to making sure LEGO users get proposed the +complete set of packages in Debian for that particular hardware. The +team also got a nice Christmas present today. The +<a href="https://tracker.debian.org/pkg/nxt-firmware">nxt-firmware +package</a> made it into Debian. With this package in place, it is +now possible to use the LEGO Mindstorms NXT unit with only free +software, as the nxt-firmware package contain the source and firmware +binaries for the NXT brick.</p> + +<p>As usual, if you use Bitcoin and want to show your support of my +activities, please send Bitcoin donations to my address +<b><a href="bitcoin:15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b&label=PetterReinholdtsenBlog">15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b</a></b>.</p> + + + + + Isenkram updated with a lot more hardware-package mappings + http://people.skolelinux.org/pere/blog/Isenkram_updated_with_a_lot_more_hardware_package_mappings.html + http://people.skolelinux.org/pere/blog/Isenkram_updated_with_a_lot_more_hardware_package_mappings.html + Tue, 20 Dec 2016 11:55:00 +0100 + <p><a href="http://packages.qa.debian.org/isenkram">The Isenkram +system</a> I wrote two years ago to make it easier in Debian to find +and install packages to get your hardware dongles to work, is still +going strong. It is a system to look up the hardware present on or +connected to the current system, and map the hardware to Debian +packages. It can either be done using the tools in isenkram-cli or +using the user space daemon in the isenkram package. The latter will +notify you, when inserting new hardware, about what packages to +install to get the dongle working. It will even provide a button to +click on to ask packagekit to install the packages.</p> + +<p>Here is an command line example from my Thinkpad laptop:</p> + +<p><pre> +% isenkram-lookup +bluez +cheese +ethtool +fprintd +fprintd-demo +gkrellm-thinkbat +hdapsd +libpam-fprintd +pidgin-blinklight +thinkfan +tlp +tp-smapi-dkms +tp-smapi-source +tpb +% +</pre></p> + +<p>It can also list the firware package providing firmware requested +by the load kernel modules, which in my case is an empty list because +I have all the firmware my machine need: + +<p><pre> +% /usr/sbin/isenkram-autoinstall-firmware -l +info: did not find any firmware files requested by loaded kernel modules. exiting +% +</pre></p> + +<p>The last few days I had a look at several of the around 250 +packages in Debian with udev rules. These seem like good candidates +to install when a given hardware dongle is inserted, and I found +several that should be proposed by isenkram. I have not had time to +check all of them, but am happy to report that now there are 97 +packages packages mapped to hardware by Isenkram. 11 of these +packages provide hardware mapping using AppStream, while the rest are +listed in the modaliases file provided in isenkram.</p> + +<p>These are the packages with hardware mappings at the moment. The +<strong>marked packages</strong> are also announcing their hardware +support using AppStream, for everyone to use:</p> + +<p>air-quality-sensor, alsa-firmware-loaders, argyll, +<strong>array-info</strong>, avarice, avrdude, b43-fwcutter, +bit-babbler, bluez, bluez-firmware, <strong>brltty</strong>, +<strong>broadcom-sta-dkms</strong>, calibre, cgminer, cheese, colord, +<strong>colorhug-client</strong>, dahdi-firmware-nonfree, dahdi-linux, +dfu-util, dolphin-emu, ekeyd, ethtool, firmware-ipw2x00, fprintd, +fprintd-demo, <strong>galileo</strong>, gkrellm-thinkbat, gphoto2, +gpsbabel, gpsbabel-gui, gpsman, gpstrans, gqrx-sdr, gr-fcdproplus, +gr-osmosdr, gtkpod, hackrf, hdapsd, hdmi2usb-udev, hpijs-ppds, hplip, +ipw3945-source, ipw3945d, kde-config-tablet, kinect-audio-setup, +<strong>libnxt</strong>, libpam-fprintd, <strong>lomoco</strong>, +madwimax, minidisc-utils, mkgmap, msi-keyboard, mtkbabel, +<strong>nbc</strong>, <strong>nqc</strong>, nut-hal-drivers, ola, +open-vm-toolbox, open-vm-tools, openambit, pcgminer, pcmciautils, +pcscd, pidgin-blinklight, printer-driver-splix, +<strong>pymissile</strong>, python-nxt, qlandkartegt, +qlandkartegt-garmin, rosegarden, rt2x00-source, sispmctl, +soapysdr-module-hackrf, solaar, squeak-plugins-scratch, sunxi-tools, +<strong>t2n</strong>, thinkfan, thinkfinger-tools, tlp, tp-smapi-dkms, +tp-smapi-source, tpb, tucnak, uhd-host, usbmuxd, viking, +virtualbox-ose-guest-x11, w1retap, xawtv, xserver-xorg-input-vmmouse, +xserver-xorg-input-wacom, xserver-xorg-video-qxl, +xserver-xorg-video-vmware, yubikey-personalization and +zd1211-firmware</p> + +<p>If you know of other packages, please let me know with a wishlist +bug report against the isenkram-cli package, and ask the package +maintainer to +<a href="https://wiki.debian.org/AppStream/Guidelines">add AppStream +metadata according to the guidelines</a> to provide the information +for everyone. In time, I hope to get rid of the isenkram specific +hardware mapping and depend exclusively on AppStream.</p> + +<p>Note, the AppStream metadata for broadcom-sta-dkms is matching too +much hardware, and suggest that the package with with any ethernet +card. See <a href="http://bugs.debian.org/838735">bug #838735</a> for +the details. I hope the maintainer find time to address it soon. In +the mean time I provide an override in isenkram.</p> + + + + + Oolite, a life in space as vagabond and mercenary - nice free software + http://people.skolelinux.org/pere/blog/Oolite__a_life_in_space_as_vagabond_and_mercenary___nice_free_software.html + http://people.skolelinux.org/pere/blog/Oolite__a_life_in_space_as_vagabond_and_mercenary___nice_free_software.html + Sun, 11 Dec 2016 11:40:00 +0100 + <p align="center"><img width="70%" src="http://people.skolelinux.org/pere/blog/images/2016-12-11-nice-oolite.png"/></p> + +<p>In my early years, I played +<a href="http://wiki.alioth.net/index.php/Classic_Elite">the epic game +Elite</a> on my PC. I spent many months trading and fighting in +space, and reached the 'elite' fighting status before I moved on. The +original Elite game was available on Commodore 64 and the IBM PC +edition I played had a 64 KB executable. I am still impressed today +that the authors managed to squeeze both a 3D engine and details about +more than 2000 planet systems across 7 galaxies into a binary so +small.</p> + +<p>I have known about <a href="http://www.oolite.org/">the free +software game Oolite inspired by Elite</a> for a while, but did not +really have time to test it properly until a few days ago. It was +great to discover that my old knowledge about trading routes were +still valid. But my fighting and flying abilities were gone, so I had +to retrain to be able to dock on a space station. And I am still not +able to make much resistance when I am attacked by pirates, so I +bougth and mounted the most powerful laser in the rear to be able to +put up at least some resistance while fleeing for my life. :)</p> + +<p>When playing Elite in the late eighties, I had to discover +everything on my own, and I had long lists of prices seen on different +planets to be able to decide where to trade what. This time I had the +advantages of the +<a href="http://wiki.alioth.net/index.php/Main_Page">Elite wiki</a>, +where information about each planet is easily available with common +price ranges and suggested trading routes. This improved my ability +to earn money and I have been able to earn enough to buy a lot of +useful equipent in a few days. I believe I originally played for +months before I could get a docking computer, while now I could get it +after less then a week.</p> + +<p>If you like science fiction and dreamed of a life as a vagabond in +space, you should try out Oolite. It is available for Linux, MacOSX +and Windows, and is included in Debian and derivatives since 2011.</p> + +<p>As usual, if you use Bitcoin and want to show your support of my +activities, please send Bitcoin donations to my address +<b><a href="bitcoin:15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b&label=PetterReinholdtsenBlog">15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b</a></b>.</p> + + + + + Er lover brutt når personvernpolicy ikke stemmer med praksis? + http://people.skolelinux.org/pere/blog/Er_lover_brutt_n_r_personvernpolicy_ikke_stemmer_med_praksis_.html + http://people.skolelinux.org/pere/blog/Er_lover_brutt_n_r_personvernpolicy_ikke_stemmer_med_praksis_.html + Fri, 9 Dec 2016 14:20:00 +0100 + <p>Når jeg bruker <a href="https://www.ghostery.com/">Ghostery</a>, +<a href="https://www.ublock.org/">uBlock</a>, +<a href="https://github.com/gorhill/uMatrix">uMatrix</a>, +<a href="https://github.com/andryou/scriptsafe">ScriptSafe</a> og andre +nettleserverktøy (de passer på hverandre) for å holde styr på hvordan +nettsteder sprer informasjon om hvilke nettsider jeg leser blir det +veldig synlig hvilke nettsteder som er satt opp til å utveksle +informasjon med utlandet og tredjeparter. For en stund siden la jeg +merke til at det virker å være avvik mellom personvernpolicy og +praksis endel steder, og tok tak i et par konkrete eksempler og sendte +spørsmål til Datatilsynets kontaktpunkt for veiledning:</p> + +<blockquote> + +<p>«Jeg har et spørsmål når det gjelder bruken av Google Analytics og +personvernpolicy. Er det lovlig for et nettsted å si en ting i +personvernpolicy og gjøre noe annet i virkeligheten? Spesifikt lurer +jeg på hvilket lov som er brutt hvis nettstedet i HTML-koden til +nettsidene ber lesernes nettleser om å kontakte Google Analytics og +slik overleverer sitt IP-nummer til Google, samtidig som +personvernpolicien hevder at Google Analytics kun får anonymiserte +data. Google får jo i slike tilfeller alltid overført fullt +IP-nummer, og nettstedet kan i URL-en som brukes be Google om å ikke +lagre deler av IP-adressen (omtalt som anonymisering av Google +Analytics)</p> + +<p>Et eksempel er Nettavisen digi.no. +<a href="http://www.digi.no/artikler/personvernpolicy/208772">Deres +personvernpolicy</a> sier følgende:</p> + +<blockquote> + «Tredjeparter (som Google Analytics, Cxense, TNS Gallup) får kun + anonymiserte data.» +</blockquote> + +<p>Men når en leser artikler der så blir maskiner i Norge, USA, +Tyskland, Danmark, Storbritannia, Irland og Nederland varslet om +besøket og får dermed overlevert full IP-adresse, som datatilsynet har +uttalt er en personopplysning. Nettsidene er satt opp til be +nettleseren å kontakte 29 ulike maskiner rundt om i verden. Fire av +dem er er under DNS-domenene digi.no og tek.no som tilhører samme +eier. I tillegg ber nettsidene ikke +<a href="https://support.google.com/analytics/answer/2763052?hl=no">Google +Analytics om å fjerne siste oktett i IP-adressen ved lagring</a>, +dvs. flagget «aip=1» er ikke satt i URL-en som brukes for å kontakte +Google Analytics.</p> + +<p>Tilsvarende er også tilfelle for andre nettsteder, så digi.no er +ikke spesiell i så måte (dagbladet.no er et annet eksempel, det +gjelder flere).»</p> + +</blockquote> + +<p>Etter noen dager kunne juridisk rådgiver Elisabeth Krauss Amundsen +hos Datatilsynet fortelle det følgende:</p> + +<blockquote> +«Hei, og takk for din e-post.</p> + +<p>Vår svartjeneste gir deg kortfattet rådgivning. Vi vil derfor ikke konkludere +i saken din, men gi deg råd og veiledning.</p> + +<p>Ut ifra det du skriver er det antakelig flere bestemmelser i +personopplysingsloven som brytes dersom virksomhetens personvernpolicy +sier noe annet om behandlingen av personopplysninger enn det som +faktisk skjer. Antakelig vil det være et brudd på informasjonsplikten +i personopplysingsloven §§ 18 og +19&lt;<a href="https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§18">https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§18</a>&gt; +dersom det gis feilinformasjon om at opplysningene utleveres. Det kan +også stilles spørsmål om grunnkravene for behandling av +personopplysninger vil være oppfylt ved en utlevering av +personopplysninger til en tredjepart, dersom dette ikke er inkludert +behandlingsgrunnlaget og formålet med behandlingen, se +personopplysingsloven § 11, jf. +8.&lt;<a href="https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11">https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11</a>&gt;» +</blockquote> + +<!-- Her er full URL som digi ba nettleserne bruke for å melde fra til +Google Analytics: +https://www.google-analytics.com/r/collect?v=1&_v=j47&a=666919305&t=pageview&_s=1&dl=http%3A%2F%2Fwww.digi.no%2F&ul=nb-no&de=UTF-8&dt=Digi.no%20-%20IT-bransjens%20nettavis&sd=32-bit&sr=1024x768&vp=400x300&je=0&_u=AEAAAMQAK~&jid=592247632&cid=1641512195.1480086725&tid=UA-54426-28&_r=1&z=328520576 +--> + +<p>Oppdatert med kunnskap om lover og regler tok jeg så kontakt med +Dagbladet på epostadressen de annonserer på sine +personvernpolicysider:<p> + +<blockquote> + +<p>«Jeg lurte litt i forbindelse med en bloggpost jeg skriver på, og lurer +på om dere hjelpe meg med å finne ut av følgende. Først litt +bakgrunnsinformasjon. +<a href="http://www.dagbladet.no/2009/08/18/nyheter/avtale/brukeravtale/plikter/7706966/">Dagbladets +personvernpolicy</a> forteller følgende:</p> + +<blockquote> + <p>«3. Automatisk innhentet informasjon</p> + + <p>For eksempel IP-adressen din (ikke synlig for andre) samt + statistisk, automatisk produsert informasjon, som når du sist var + innlogget på tjenesten. Dette er informasjon vi samler for å gjøre + tjenesten best mulig.»</p> + +</blockquote> + + +<p>Men når en besøker nettsidene til Dagbladet, +f.eks. <a href="http://dagbladet.no/">forsiden</a>, så er nettsidene +satt opp til å kontakte mange tredjeparter som slik får tilgang til +både fullt IP-nummer og i de fleste tilfeller nøyaktig hvilken +artikkel en leser hos Dagbladet ved at Referer-feltet fylles og legges +ved. Dette gjelder Google Analytics, Cxense, INS Gallup, Doubleclick +med flere. Totalt ber forsiden nettleseren om å koble seg opp til 60 +nettsteder med 149 separate oppkoblinger. I hver av disse +oppkoblingene oversendes IP-adressen til leseren, og i følge +Datatilsynet er +«<a href="https://www.datatilsynet.no/Teknologi/Internett/Webanalyse/">en +IP-adresse definert som en personopplysning fordi den kan spores +tilbake til en bestemt maskinvare og dermed til en enkeltperson</a>».</p> + +<p>Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18 +og 19 skal informasjonen som gis om bruk og utlevering av +personopplysninger være korrekt. De forteller videre at det er endel +grunnkrav som må være oppfylt ved utlevering av personopplysninger til +tredjeparter, nærmere forklart i personopplysingsloven § 11 som +henviser til § 8.</p> + +<p>Mitt spørsmål er dermed som følger:</p> + + <blockquote> + + <p>Hva mener dere i personpolicyen når dere skriver at IP-adressen ikke + er synlig for andre?»</p> + + </blockquote> + +</blockquote> + +<p>Etter en uke har jeg fortsatt ikke fått svar fra Dagbladet på mitt +spørsmål, så neste steg er antagelig å høre om Datatilsynet er +interessert i å se på saken.</p> + +<p>Men Dagbladet er ikke det eneste nettstedet som forteller at de +ikke deler personopplysninger med andre mens observerbar praksis +dokumenterer noe annet. Jeg sendte derfor også et spørsmål til +kontaktadressen til nettavisen Digi.no, og der var responsen mye +bedre:</p> + +<blockquote> + +<p>«Jeg lurte på en ting i forbindelse med en bloggpost jeg skriver på, +og lurer på om dere hjelpe meg. Først litt bakgrunnsinformasjon. +<a href="http://www.digi.no/artikler/personvernpolicy/208772">Digi.nos +personvernpolicy</a> forteller følgende:</p> + +<blockquote> + «All personlig informasjon blir lagret i våre systemer, disse er ikke + tilgjengelig for tredjeparter, og blir ikke lagret i + informasjonskapsler. Tredjeparter (som Google Analytics, Cxense, + TNS Gallup) får kun anonymiserte data.» +</blockquote> + +<p>Men når en besøker nettsidene til nettavisen, f.eks. +<a href="http://www.digi.no/">forsiden</a>, så er nettsidene satt opp +til å kontakte mange tredjeparter som slik får tilgang til både fullt +IP-nummer og i de fleste tilfeller nøyaktig hvilken artikkel en leser +hos Digi.no ved at Referer-feltet fylles og legges ved. Dette gjelder +både Google Analytics, Cxense blant og INS Gallum. Totalt ber +forsiden nettleseren om å koble seg opp til 29 nettsteder med 44 +separate oppkoblinger. I hver av disse oppkoblingene sendes +IP-adressen til leseren over, og i følge Datatilsynet er +«<a href="https://www.datatilsynet.no/Teknologi/Internett/Webanalyse/">en +IP-adresse definert som en personopplysning fordi den kan spores +tilbake til en bestemt maskinvare og dermed til en enkeltperson</a>». +Det jeg ser virker ikke å være i tråd med personvernpolicyen.</p> + +<p>Når en besøker Digi.nos nettsider gjøres det to oppkoblinger til +Google Analytics, en for å hente ned programkoden som samler +informasjon fra nettleseren og sender over til Google (analytics.js), +og en for å overføre det som ble samlet inn. I den siste oppkoblingen +er det mulig å be Google om å ikke ta vare på hele IP-adressen, men i +stedet fjerne siste oktett i IP-adressen. Dette omtales ofte litt +misvisende for «anonymisert» bruk av Google Analytics, i og med at +fullt IP-nummer blir sendt til Google og det er opp til Google om de +vil bry seg om ønsket fra de som har laget nettsiden. Ut fra det som +står i personvernpolicyen ville jeg tro at Digi.no ba google om å ikke +ta vare på hele IP-nummeret, men når en ser på den andre oppkoblingen +kan en se at flagget «aio=1» ikke er satt, og at Digi.no ikke ber +Google om å la være å lagre hele IP-adressen. Dette virker heller +ikke å være i tråd med personvernpolicyen.</p> + +<p>Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18 +og 19 skal informasjonen som gis om bruk og utlevering av +personopplysninger være korrekt. De forteller videre at det er endel +grunnkrav som må være oppfylt ved utlevering av personopplysninger til +tredjeparter, nærmere forklart i personopplysingsloven § 11 som +henviser til § 8. Det er uklart for meg om disse kravene er oppfylt +når IP-adresse og informasjon om hvilke websider som besøkes til +tredjeparter.</p> + +<p>Mitt spørsmål er dermed som følger:</p> + +<blockquote> + + <p>Hva mener dere i personpolicyen når dere skriver at «Tredjeparter + får kun anonymiserte data»?»</p> + +</blockquote> + +</blockquote> + +<p>Redaksjonssjef Kurt Lekanger svarte samme dag og forklarte at han +måtte komme tilbake til meg når han hadde med utviklingsavdelingen. +Seks dager senere lurte jeg på hva han fant ut, og etter noen timer +fikk jeg så følgende svar fra direktøren for teknologi og +forretningsutvikling Øystein W. Høie i Teknisk Ukeblad Media:</p> + +<blockquote> + +<p>«Takk for godt tips! Det er helt riktig at IP og referrer-adresse +potensielt kan leses ut av tredjepart.</p> + +<p>Retningslinjene våre har vært uklare på dette tidspunktet, og vi +oppdaterer nå disse så dette kommer tydeligere frem. Ny tekst blir som +følger:</p> + +<hr> +<p>3. Dette bruker vi ikke informasjonen til Informasjon du oppgir til +oss blir lagret i våre systemer, er ikke tilgjengelig for +tredjeparter, og blir ikke lagret i informasjonskapsler. +Informasjonen vil kun benyttes til å gi deg som bruker mer relevant +informasjon og bedre tjenester.</p> + +<p>Tredjeparter (som Google Analytics, Cxense, TNS Gallup) vil kunne +hente ut IP-adresse og data basert på dine surfemønstre. TU Media AS +er pliktig å påse at disse tredjepartene behandler data i tråd med +norsk regelverk.</p> +<hr> + +<p>Ellers har vi nå aktivert anonymisering i Google Analytics +(aip=1). Kan også nevne at Tek.no-brukere som har kjøpt Tek Ekstra har +mulighet til å skru av all tracking i kontrollpanelet sitt. Dette er +noe vi vurderer å rulle ut på alle sidene i vårt nettverk.»</p> + +</blockquote> + +<p>Det var nyttig å vite at vi er enige om at formuleringen i +personvernpolicyen er misvisende. Derimot var det nedslående at i +stedet for å endre praksis for å følge det personvernpolicyen sier om +å ikke dele personinformasjon med tredjeparter, så velger Digi.no å +fortsette praksis og i stedet endre personvernpolicyen slik at den å +dokumentere dagens praksis med spredning av personopplysninger.</p> + +<p>Med bakgrunn i at Digi.no ikke har fulgt sin egen personvernpolicy +spurte jeg hvordan Digi.no kom til å håndtere endringen:</p> + +<blockquote> + +<p>«Tusen takk for beskjed om endring av personvernpolicy for digi.no. +Gjelder endringen også andre nettsteder?</p> + +<p>Vil tidligere håndteringen av IP-adresser og lesemønster i strid +med dokumentert personvernpolicy bli varslet til Datatilsynet i tråd +med +<a href="https://lovdata.no/forskrift/2000-12-15-1265/§2-6">personopplysningsforskriften +§ 2-6</a>? Vil leserne bli varslet på en prominent og synlig måte om +at lesernes IP-adresser og lesemønster har vært utlevert til +tredjeparter i stid med tidligere formulering om at tredjeparter kun +får anonymiserte data, og at utleveringen fortsetter etter at +personvernpolicy er endret for å dokumentere praksis?</p> + +<p>Appropos ekstra tilbud til betalende lesere, tilbyr dere en +mulighet for å betale for å lese som ikke innebærer at en må gjøre det +mulig å la sine lesevaner blir registeret av tek.no? Betaler gjerne +for å lese nyheter, men ikke med en bit av privatlivet mitt. :)»</p> +</blockquote> + +<p>Jeg fikk raskt svar tilbake fra direktøren Høie:</p> + +<blockquote> +<p>«Tydeliggjøringen i personvernpolicy gjelder alle våre nettsteder.</p> + +<p>Vi kommer til å ta en runde og gå over vår policy i forbindelse med +dette, og vil i de tilfeller det er påkrevd selvsagt være tydelig +overfor brukere og tilsyn. Vil samtidig understreke at vår bruk av +tredjeparts analyseverktøy og annonsetracking er helt på linje med det +som er normalt for norske kommersielle nettsteder.</p> + +<p>Angående spørsmålet ditt: +<br>Du vil fortsatt vises i våre interne systemer om du blir Ekstra-bruker, +vi skrur bare av tredjeparts tracking.»</p> +</blockquote> + +<p>Det høres jo ikke bra ut at det er normalt for norske kommersielle +nettsteder å utlevere lesernes personopplysninger til utlandet. Men +som en kan lese fra <a href="https://www.nrk.no/norge/kommunen-deler-informasjon-om-deg-med-facebook-og-google-1.13248945">gårdagens oppslag fra NRK</a> gjelder +det også norske kommuner og andre offentlige aktører, og +<a href="http://people.skolelinux.org/pere/blog/Snurpenot_overv_kning_av_sensitiv_personinformasjon.html">jeg +skrev om omfanget av problemet i fjor</a>. Det er uansett ikke en +praksis jeg tror er i tråd med kravene i personopplysningsloven, og +heller ikke en praksis jeg som leser synes er greit. Jeg manglet dog +fortsatt svar på om Digi.no kom til å varsle lesere og Datatilsynet om +avviket mellom praksis og policy, så jeg forsøkte meg med en ny epost +i går kveld:</p> + +<blockquote> + +<p>«Kan du fortelle meg om dere anser det å være påkrevd å varsle +tilsyn og brukere nå, når dere har oppdaget at praksis ikke har vært i +tråd med personvernpolicy?»</p> + +</blockquote> + +<p>Det spørsmålet vet jeg så langt ikke svaret på, men antagelig kan +Datatilsynet svare på om det er påkrevd å varsle tilsyn og lesere om +dette. Jeg planlegger å oppdatere denne bloggposten med svaret når +det kommer.</p> + +<p>Jeg synes jo det er spesielt ille når barn får sine +personopplysninger spredt til utlandet, noe jeg +<a href="https://www.mimesbronn.no/request/opplysninger_samlet_inn_av_mobil">tok +opp med NRK i fjor</a>. De to eksemplene jeg nevner er som dere +forstår ikke unike, men jeg har ikke full oversikt over hvor mange +nettsteder dette gjelder. Jeg har ikke kapasitet til eller glede av å +lese alle personvernpolicyer i landet. Kanskje mine lesere kan sende +meg tips på epost om andre nettsteder med avvik mellom policy og +praksis? Hvis vi alle går sammen og kontakter de ansvarlige, kanskje +noen til slutt endrer praksis og slutter å dele lesernes +personopplysninger med tredjeparter?</p> + +<p>Apropos bruken av Google Analytics kan jeg forresten nevne at +Universitetet i Oslo også har tatt i bruk Google Analytics, men der +lagres programkoden som overføres til nettleserne lokalt og deler av +IP-adressen fjernes lokalt på universitetet via en mellomtjener/proxy +(<a href="https://github.com/unioslo/ipproxy">tilgjengelig via +github</a>) før informasjon sendes over til Google Analytics. Dermed +er det mulig for ansvarlige for nettstedet å <em>vite</em> at Google +ikke har tilgang til komplett IP-adresse. Årsaken til at denne +metoden brukes er at juristene ved universitetet har konkludert med at +det er eneste måten en kunne vurdere å bruke Google Analytics uten å +bryte loven. Risikoen for gjenidentifisering og +<a href="https://panopticlick.eff.org/">identifisering ved hjelp av +nettleserinformasjon</a> er fortsatt tilstede, så det er ingen optimal +løsning, men det er bedre enn å håpe at f.eks. Google og alle som +lytter på veien skal prioritere norsk lov over sin lokale +lovgivning.</p> + +<p>Oppdatering 2016-12-09: Fikk svar fra direktøren Høie på mitt +spørsmål litt etter at jeg hadde publisert denne artikkelen:</p> + +<blockquote> + +<p>Vi kommer til å annonsere en oppdatert policy, og skal undersøke om +vi er pliktig å varsle Datatilsynet.</p> + +<p>Det vi uansett ønsker å gjøre først, er å gå gjennom hele policy +sammen med utviklerne og advokat, så vi er sikre på at vi går frem +riktig og at det ikke er flere tvetydigheter som skjuler seg i +teksten.</p> + +<p>Har du andre idéer eller konkrete innspill til hva som kan gjøre +policy tydeligere, tar vi gjerne imot det. Dette er et felt vi ønsker +å være ryddige på.</p> + +</blockquote> + +<p>Vi får se om de liker mine innspill, som i grunnen er å ikke pusse +på personvernpolicyen men i stedet slutte å spre lesernes +personopplysninger til eksterne aktører.</p> + + + Fri programvare-tilbakeblikk for 2015 og 2016 http://people.skolelinux.org/pere/blog/Fri_programvare_tilbakeblikk_for_2015_og_2016.html