Petter Reinholdtsen

During his DebConf15 keynote, Jacob Applebaum observed that those listening on the Internet lines would have good reason to believe a computer have a given security hole if it download a security fix from a Debian mirror. This is a good reason to always use encrypted connections to the Debian mirror, to make sure those listening do not know which IP address to attack. In August, Richard Hartmann observed that encryption was not enough, when it was possible to interfere download size to security patches or the fact that download took place shortly after a security fix was released, and proposed to always use Tor to download packages from the Debian mirror. He was not the first to propose this, as the apt-transport-tor package by Tim Retout already existed to make it easy to convince apt to use Tor, but I was not aware of that package when I read the blog post from Richard.

Richard discussed the idea with Peter Palfrader, one of the Debian sysadmins, and he set up a Tor hidden service on one of the central Debian mirrors using the address vwakviie2ienjx6t.onion, thus making it possible to download packages directly between two tor nodes, making sure the network traffic always were encrypted.

Here is a short recipe for enabling this on your machine, by installing apt-transport-tor and replacing http and https urls with tor+http and https, and using the hidden service instead of the official Debian mirror site. I recommend installing etckeeper before you start to have a history of the changes done in /etc/.

apt install apt-transport-tor
sed -i 's% http://ftp.debian.org/%tor+http://vwakviie2ienjx6t.onion/%' /etc/apt/sources.list
sed -i 's% http% tor+http%' /etc/apt/sources.list

If you have more sources listed in /etc/apt/sources.list.d/, run the sed commands for these too. The sed command is assuming your are using the ftp.debian.org Debian mirror. Adjust the command (or just edit the file manually) to match your mirror.

This work in Debian Jessie and later. Note that tools like apt-file only recently started using the apt transport system, and do not work with these tor+http URLs. For apt-file you need the version currently in experimental, which need a recent apt version currently only in unstable. So if you need a working apt-file, this is not for you.

Another advantage from this change is that your machine will start using Tor regularly and at fairly random intervals (every time you update the package lists or upgrade or install a new package), thus masking other Tor traffic done from the same machine. Using Tor will become normal for the machine in question.

On Freedombox, APT is set up by default to use apt-transport-tor when Tor is enabled. It would be great if it was the default on any Debian system.

Det kommer stadig nye løsninger for å ta lagre unna innslag fra NRK for å se på det senere. For en stund tilbake kom jeg over et script nrkopptak laget av Ingvar Hagelund. Han fjernet riktignok sitt script etter forespørsel fra Erik Bolstad i NRK, men noen tok heldigvis og gjorde det tilgjengelig via github.

Scriptet kan lagre som MPEG4 eller Matroska, og bake inn undertekster i fila på et vis som blant annet VLC forstår. For å bruke scriptet, kopier ned git-arkivet og kjør

nrkopptak/bin/nrk-opptak k https://tv.nrk.no/serie/bmi-turne/MUHH45000115/sesong-1/episode-1

URL-eksemplet er dagens toppsak på tv.nrk.no. Argument 'k' ber scriptet laste ned og lagre som Matroska. Det finnes en rekke andre muligheter for valg av kvalitet og format.

Jeg foretrekker dette scriptet fremfor youtube-dl, som nevnt i 2014 støtter NRK og en rekke andre videokilder, på grunn av at nrkopptak samler undertekster og video i en enkelt fil, hvilket gjør håndtering enklere på disk.

When I was a kid, we used to collect "car numbers", as we used to call the car license plate numbers in those days. I would write the numbers down in my little book and compare notes with the other kids to see how many region codes we had seen and if we had seen some exotic or special region codes and numbers. It was a fun game to pass time, as we kids have plenty of it.

A few days I came across the OpenALPR project, a free software project to automatically discover and report license plates in images and video streams, and provide the "car numbers" in a machine readable format. I've been looking for such system for a while now, because I believe it is a bad idea that the automatic number plate recognition tool only is available in the hands of the powerful, and want it to be available also for the powerless to even the score when it comes to surveillance and sousveillance. I discovered the developer wanted to get the tool into Debian, and as I too wanted it to be in Debian, I volunteered to help him get it into shape to get the package uploaded into the Debian archive.

Today we finally managed to get the package into shape and uploaded it into Debian, where it currently waits in the NEW queue for review by the Debian ftpmasters.

I guess you are wondering why on earth such tool would be useful for the common folks, ie those not running a large government surveillance system? Well, I plan to put it in a computer on my bike and in my car, tracking the cars nearby and allowing me to be notified when number plates on my watch list are discovered. Another use case was suggested by a friend of mine, who wanted to set it up at his home to open the car port automatically when it discovered the plate on his car. When I mentioned it perhaps was a bit foolhardy to allow anyone capable of placing his license plate number of a piece of cardboard to open his car port, men replied that it was always unlocked anyway. I guess for such use case it make sense. I am sure there are other use cases too, for those with imagination and a vision.

If you want to build your own version of the Debian package, check out the upstream git source and symlink ./distros/debian to ./debian/ before running "debuild" to build the source. Or wait a bit until the package show up in unstable.

Around three years ago, I created the isenkram system to get a more practical solution in Debian for handing hardware related packages. A GUI system in the isenkram package will present a pop-up dialog when some hardware dongle supported by relevant packages in Debian is inserted into the machine. The same lookup mechanism to detect packages is available as command line tools in the isenkram-cli package. In addition to mapping hardware, it will also map kernel firmware files to packages and make it easy to install needed firmware packages automatically. The key for this system to work is a good way to map hardware to packages, in other words, allow packages to announce what hardware they will work with.

I started by providing data files in the isenkram source, and adding code to download the latest version of these data files at run time, to ensure every user had the most up to date mapping available. I also added support for storing the mapping in the Packages file in the apt repositories, but did not push this approach because while I was trying to figure out how to best store hardware/package mappings, the appstream system was announced. I got in touch and suggested to add the hardware mapping into that data set to be able to use appstream as a data source, and this was accepted at least for the Debian version of appstream.

A few days ago using appstream in Debian for this became possible, and today I uploaded a new version 0.20 of isenkram adding support for appstream as a data source for mapping hardware to packages. The only package so far using appstream to announce its hardware support is my pymissile package. I got help from Matthias Klumpp with figuring out how do add the required metadata in pymissile. I added a file debian/pymissile.metainfo.xml with this content:

<?xml version="1.0" encoding="UTF-8"?>
<component>
  <id>pymissile</id>
  <metadata_license>MIT</metadata_license>
  <name>pymissile</name>
  <summary>Control original Striker USB Missile Launcher</summary>
  <description>
    <p>
      Pymissile provides a curses interface to control an original
      Marks and Spencer / Striker USB Missile Launcher, as well as a
      motion control script to allow a webcamera to control the
      launcher.
    </p>
  </description>
  <provides>
    <modalias>usb:v1130p0202d*</modalias>
  </provides>
</component>

The key for isenkram is the component/provides/modalias value, which is a glob style match rule for hardware specific strings (modalias strings) provided by the Linux kernel. In this case, it will map to all USB devices with vendor code 1130 and product code 0202.

Note, it is important that the license of all the metadata files are compatible to have permissions to aggregate them into archive wide appstream files. Matthias suggested to use MIT or BSD licenses for these files. A challenge is figuring out a good id for the data, as it is supposed to be globally unique and shared across distributions (in other words, best to coordinate with upstream what to use). But it can be changed later or, so we went with the package name as upstream for this project is dormant.

To get the metadata file installed in the correct location for the mirror update scripts to pick it up and include its content the appstream data source, the file must be installed in the binary package under /usr/share/appdata/. I did this by adding the following line to debian/pymissile.install:

debian/pymissile.metainfo.xml usr/share/appdata

With that in place, the command line tool isenkram-lookup will list all packages useful on the current computer automatically, and the GUI pop-up handler will propose to install the package not already installed if a hardware dongle is inserted into the machine in question.

Details of the modalias field in appstream is available from the DEP-11 proposal.

To locate the modalias values of all hardware present in a machine, try running this command on the command line:

cat $(find /sys/devices/|grep modalias)

To learn more about the isenkram system, please check out my blog posts tagged isenkram.

Besøk lulu.com eller Amazon for å kjøpe boken på papir, eller last ned ebook som PDF, ePub eller MOBI fra github.

Jeg ble gledelig overrasket i dag da jeg oppdaget at boken jeg har gitt ut hadde dukket opp i Amazon. Jeg hadde trodd det skulle ta lenger tid, da jeg fikk beskjed om at det skulle ta seks til åtte uker. Amazonoppføringen er et resultat av at jeg for noen uker siden diskuterte prissetting og håndtering av profitt med forfatteren. Det måtte avklares da bruksvilkårene til boken har krav om ikke-kommersiell bruk. Vi ble enige om at overskuddet fra salg av boken skal sendes til Creative Commons-stiftelsen. Med det på plass kunne jeg be lulu.com om å gi boken «utvidet» distribusjon. Årsaken til at bokhandeldistribusjon var litt utfordrende er at bokhandlere krever mulighet for profitt på bøkene de selger (selvfølgelig), og dermed måtte de få lov til å selge til høyere pris enn lulu.com. I tillegg er det krav om samme pris på lulu.com og i bokhandlene, dermed blir prisen økt også hos lulu.com. Hva skulle jeg gjøre med den profitten uten å bryte med klausulen om ikkekommersiell? Løsningen var å gi bort profitten til CC-stiftelsen. Prisen på boken ble nesten tredoblet, til $19.99 (ca. 160,-) pluss frakt, men synligheten øker betraktelig når den kan finnes i katalogene til store nettbokhandlere. Det betyr at hvis du allerede har kjøpt boken har du fått den veldig billig, og kjøper du den nå, får du den fortsatt billig samt donerer i tillegg noen tiere til fremme av Creative Commons.

Mens jeg var i gang med å titte etter informasjon om boken oppdaget jeg at den også var dukket opp på Google Books, der en kan lese den på web. PDF-utgaven har ennå ikke dukket opp hos Nasjonalbiblioteket, men det regner jeg med kommer på plass i løpet av noen uker. Boken er heller ikke dukket opp hos Barnes & Noble ennå, men jeg antar det bare er et tidsspørsmål før dette er på plass.

Boken er dessverre ikke tilgjengelig fra norske bokhandlere, og kommer neppe til å bli det med det første. Årsaken er at for å få det til måtte jeg personlig håndtere bestilling av bøker, hvilket jeg ikke er interessert i å bruke tid på. Jeg kunne betalt ca 2000,- til den norske bokbasen, en felles database over bøker tilgjengelig for norske bokhandlere, for å få en oppføring der, men da måtte jeg tatt imot bestillinger på epost og sendt ut bøker selv. Det ville krevd at jeg var klar til å sende ut bøker på kort varsel, dvs. holdt meg med ekstra bøker, konvolutter og frimerker. Bokbasen har visst ikke opplegg for å be bokhandlene bestille direkte via web, så jeg droppet oppføring der. Jeg har spurt Haugen bok og Tronsmo direkte på epost om de er interessert i å ta inn boken i sin bestillingskatalog, men ikke fått svar, så jeg antar de ikke er interessert. Derimot har jeg fått en hyggelig henvendelse fra Biblioteksentralen som fortalte at de har lagt den inn i sin database slik at deres bibliotekskunder enkelt kan bestille den via dem.

Boken er i følge Bibsys/Oria og bokdatabasen til Deichmanske tilgjengelig fra flere biblioteker allerede, og alle eksemplarer er visst allerede utlånt med ventetid. Det synes jeg er veldig gledelig å se. Jeg håper mange kommer til å lese boken. Jeg tror den er spesielt egnet for foreldre og bekjente av oss nerder for å forklare hva slags problemer vi ser med dagens opphavsrettsregime.

A blog post from my fellow Debian developer Paul Wise titled "The GPL is not magic pixie dust" explain the importance of making sure the GPL is enforced. I quote the blog post from Paul in full here with his permission:

The GPL is not magic pixie dust. It does not work by itself.
The first step is to choose a copyleft license for your code.
The next step is, when someone fails to follow that copyleft license, it must be enforced
and its a simple fact of our modern society that such type of work
is incredibly expensive to do and incredibly difficult to do.

-- Bradley Kuhn, in FaiF episode 0x57

As the Debian Website used to imply, public domain and permissively licensed software can lead to the production of more proprietary software as people discover useful software, extend it and or incorporate it into their hardware or software products. Copyleft licenses such as the GNU GPL were created to close off this avenue to the production of proprietary software but such licenses are not enough. With the ongoing adoption of Free Software by individuals and groups, inevitably the community's expectations of license compliance are violated, usually out of ignorance of the way Free Software works, but not always. As Karen and Bradley explained in FaiF episode 0x57, copyleft is nothing if no-one is willing and able to stand up in court to protect it. The reality of today's world is that legal representation is expensive, difficult and time consuming. With gpl-violations.org in hiatus until some time in 2016, the Software Freedom Conservancy (a tax-exempt charity) is the major defender of the Linux project, Debian and other groups against GPL violations. In March the SFC supported a lawsuit by Christoph Hellwig against VMware for refusing to comply with the GPL in relation to their use of parts of the Linux kernel. Since then two of their sponsors pulled corporate funding and conferences blocked or cancelled their talks. As a result they have decided to rely less on corporate funding and more on the broad community of individuals who support Free Software and copyleft. So the SFC has launched a campaign to create a community of folks who stand up for copyleft and the GPL by supporting their work on promoting and supporting copyleft and Free Software.

If you support Free Software, like what the SFC do, agree with their compliance principles, are happy about their successes in 2015, work on a project that is an SFC member and or just want to stand up for copyleft, please join Christopher Allan Webber, Carol Smith, Jono Bacon, myself and others in becoming a supporter. For the next week your donation will be matched by an anonymous donor. Please also consider asking your employer to match your donation or become a sponsor of SFC. Don't forget to spread the word about your support for SFC via email, your blog and or social media accounts.

I agree with Paul on this topic and just signed up as a Supporter of Software Freedom Conservancy myself. Perhaps you should be a supporter too?

I've needed a new OpenPGP key for a while, but have not had time to set it up properly. I wanted to generate it offline and have it available on a OpenPGP smart card for daily use, and learning how to do it and finding time to sit down with an offline machine almost took forever. But finally I've been able to complete the process, and have now moved from my old GPG key to a new GPG key. See the full transition statement, signed with both my old and new key for the details. This is my new key:

pub   3936R/111D6B29EE4E02F9 2015-11-03 [expires: 2019-11-14]
      Key fingerprint = 3AC7 B2E3 ACA5 DF87 78F1  D827 111D 6B29 EE4E 02F9
uid                  Petter Reinholdtsen <pere@hungry.com>
uid                  Petter Reinholdtsen <pere@debian.org>
sub   4096R/87BAFB0E 2015-11-03 [expires: 2019-11-02]
sub   4096R/F91E6DE9 2015-11-03 [expires: 2019-11-02]
sub   4096R/A0439BAB 2015-11-03 [expires: 2019-11-02]

The key can be downloaded from the OpenPGP key servers, signed by my old key.

If you signed my old key (DB4CCC4B2A30D729), I'd very much appreciate a signature on my new key, details and instructions in the transition statement. I m happy to reciprocate if you have a similarly signed transition statement to present.

Jeg blogget for noen dager siden hva jeg har klart å finne ut så langt om en redegjørelse med tittelen «Internet Governance og påvirkning på nasjonal sikkerhet» fra et møte «holdt i Pentagon for et avgrenset utvalg av NATO-nasjoner, hvor arrangør ikke hadde til hensikt å gjøre innholdet offentlig kjent». Innsynssaken er påklaget til Sivilombudsmannen, og her er utvekslingen med Sivilombudsmannen så langt. Det startet med en innsynshenvendelse til Samferdselsdepartementet (sak 2012/914 - kopi av noen av dokumenter på Mimes brønn). Deretter gikk det slag i slag. Se den overnevnte bloggposten for detaljer.

Da det virket rart at Utenriksdepartementet og Samferdselsdepartementet ikke er enige i hvorfor dokumentet skulle unndras offentlighet, og at et dokument relevant for en tre år gammel forhandling fortsatt skulle holdes hemmelig for å ikke avsløre Norges forhandlingsposisjon, klaget vi saken inn for Sivilombudsmannen. Foreningen NUUG sa seg villig til å dekke advokatkostnader til å formulere klagen, og advokat Ola Tellesbø tok på seg oppgaven. Her er klagen vi sendte for noen uker siden:

Klage til Sivilombudsmannen

Norsk Unix User Group, heretter NUUG, klager på vegne av sitt medlem Petter Reinholdtsen over manglende innsyn. Det klages også over manglende journalføring hos den norske FN-delegasjonen i Geneve.

Om NUUG og offentlighet

Herværende sak er av stor prinsipiell verdi for NUUG. NUUG er en ikke-kommersiell forening som arbeider for utbredelse av UNIX-lignende systemer, fri programvare og åpne standarder i Norge. Foreningen har 306 medlemmer og driver tjenestene FiksGataMi og Mimes Brønn.

Tjenesten Mimes Brønn er en innsynstjeneste hvor NUUGs medlemmer og allmennheten kan spørre om innsyn i statens og kommunens dokumenter. Mimes Brønn er basert på programvare fra MySociety i England og er tilpasset på dugnad av NUUGs medlemmer. Noen av medlemmene har benyttet tjenesten til selv å be om innsyn i dokumenter. Vi i NUUG holder på med dette først og fremst fordi vi syntes det er gøy å benytte fri programvare til samfunnsnyttige formål. Dessuten ønsker NUUG å støtte opp under allmennhetens innsynsrett etter Grunnlovens §100 og formålet til offentlighetsloven. NUUG ønsker å legge til rette for en mer åpen, tilgjengelig og vennlig forvaltning.

Innsynshenvendelser flest imøtekommes tilfredsstillende. Enkelte andre henvendelser har avstedkommet mindre imøtekommende svar og en mer lukket forvaltning. En av sakene som har vist seg vanskelig og uoversiktlig, er NUUG-medlem Petter Reinholdtsens langvarige søk etter opplysninger om dokumenter i en sak som berører 'Interent Governance'. Siden NUUG mener behandlingen strider med formålet til offentlighetsloven, og svekker tilliten til forvaltningen, trer NUUG inn i sitt medlems krav om rett til innsyn i opplysninger i disse dokumentene. Saken er av stor prinsipiell verdi for NUUG fordi NUUG driver Mimes Brønn og medlemmene ønsker informasjon om hvordan Norge forsøker å påvirke reguleringen av Internettet.

NUUG ønsker at flere borgere engasjerer seg i de tingene våre utøvende myndigheter foretar seg og er bekymret for at saksbehandling som dette kan svekke den demokratisk deltakelsen.

Det legges til at NUUG sitter på betydelig kompetanse på 'Internett Governance' med gode forutsetninger til å bidra konstruktivt. Det er viktig at staten ikke begrenser innsyn i Internettets fellesanliggende utover det loven hjemler samt aktivt praktiserer meroffentlighet på feltet.

Sakens bakgrunn

I 2012 ba Petter Reinholdtsen om innsyn i et brev datert 22.5.2012 med tittelen 'Internet Governance og påvirkning på nasjonal sikkerhet'. Det ble gitt avslag med begrunnelse i pågående forhandlinger.

Tre år etterpå begjærte Reinholdtsen på ny innsyn, henholdsvis av 10.6.2015 til Utenriksdepartementet (UD) som avsender av brevet og av 21.6.2015 til Samferdselsdepartementet (SD) som mottaker.

UD avslo innsyn 'med henvisning til offentleglova § 20 1. ledd litra b'. Som bevis for det tilbys:

Link 1: https://www.mimesbronn.no/request/brev_om_internet_governance_og_p

SD avslo innsyn 'med begrunnelse i offentleglova § 20, bokstav c'. Som bevis for det tilbys:

Link 2: https://www.mimesbronn.no/request/kopi_av_dokumenter_i_sak_2012914

Begge departementene vurderte merinnsyn.

Linkene viser at det er klaget. SD opprettholdt den 28.8.2015 avslaget med begrunnelse at dokumentet 'tilkjennegir posisjoner i de internasjonale forhandlingene om regulering av Internett. Dette er forhandlinger som pågår fremdeles i ulike internasjonale fora der Norge deltar.'

UD har ikke besvart klagen. Det ble purret 7.10.2015.

Det klages herved på avslagene. Det klages også over manglende begrunnelse for hvorfor SD og UD hver for seg har kommet til at meroffentlighet ikke kommer til anvendelse.

Klagen utvides til å omfatte at Norges FN-delegasjon i Geneve som stod som avsender til SD, ikke har journalført dokumentet i sin postjournal. Manglende journalføring forklarte UD 31.6.2015 med at 'siden delegasjonen kun var kopimottaker for dokumentet og videresending til Samferdselsdepartementet ikke inngikk som en del av intern saksbehandling er dokumentet ikke blitt journalført ved delegasjonen'. Det anføres at dette ikke er et tilstrekkelig grunnlag for ikke å journalføre dokumentet.

Dersom Sivilombudsmannen kommer fram til at innsyn ikke skal gis, ber vi om å få vurdert rett til innsyn i metainformasjon om når det aktuelle møtet i Pentagon var, saksnummer hos avsender, hvilke stater som deltok og navn på delegatene.

Rettslige anførsler

Avslagene er hjemlet i offentlighetslovens §20 som gjelder 'omsyn til Norges utanrikspolitiske interesser'. UD viser til bokstav b om rett til å avslå innsyn fordi opplysningene er gitt under forutsetning av hemmelighold. SD viser til bokstav c om rett til å avslå innsyn i opplysninger som gjelder norske forhandlingsposisjoner, forhandlingsstrategier eller liknende.

Offentlighetslovens §1 gir klare føringer for hvordan loven skal praktiseres:

'Formålet med lova er å leggje til rette for at offentleg verksemd er open og gjennomsiktig, for slik å styrkje informasjons- og ytringsfridommen, den demokratiske deltakinga, rettstryggleiken for den enkelte, tilliten til det offentlege og kontrollen frå ålmenta. Lova skal òg leggje til rette for vidarebruk av offentleg informasjon.'

Lovgiver har lagt til grunn at hensynene som er nevnt §1 skal tillegges vekt som tolkningsmoment og ved tolkningstvil, jf. Innst.O.nr.41 (2005-2006), punkt 2.2:

'Komiteen viser til at en formålsbestemmelse først og fremst har betydning som en programerklæring og målsetning for loven. Men komiteen vil fremheve at den også har en viktig betydning når det er tolkningstvil i forhold til andre bestemmelser i loven. Ved tvil om tolkning skal en prinsipielt sett falle ned på det som er mest i tråd med formålsparagrafen. Komiteen vil påpeke at man i forslaget til formålsbestemmelse mangler det viktigste og mest åpenbare formålet med loven, nemlig å skape tillit til forvaltningen.'

Unntaket i både bokstav b og c i §20 gjelder opplysninger, ikke for hele dokumenter. Med andre ord skal opplysningene det er grunnlag for å unnta, tas ut av dokumentet, mens resten av dokumentet skal frigis. Dette følger direkte av ordlyden, og er framhevet både i forarbeider og i Justis- og politidepartementets 'Rettleiar til offentleglova' (G-2009-419). Av veilederen framgår at unntak for opplysninger av hensyn til Norges utenrikspolitiske interesser, er 'presisert og snevra inn i den nye lova' sammenlignet med offentlighetsloven av 1970 (s.126).

Dette framgår også klart av Stortingets behandling av loven i Innst.O.nr.41 (2005-2006), jf. punkt 2.7 Unntak for å ivareta utanrikspolitiske interesser mv.:

'Komiteen er klar over at det på områder som har med utenrikspolitikk og andre avtaler av særlig nasjonal betydning, eksempelvis avtaler med andre land om utveksling av etterretningsinformasjon, er nødvendig med unntak av innsyn. Komiteen vil likevel påpeke at det samtidig skal vurderes om deler av informasjonen skal kunne gjøres tilgjengelig dersom dette ikke skader forholdet til andre land eller bryter avtaler om gjensidig fortrolighet. Komiteen vil begrunne dette med at åpenhet ofte er en forutsetning for befolkningens aksept og at det således er grunnlaget for tiltaket.

Komiteen vil derfor presisere at de nødvendige unntaksbestemmelser skal nyttes med varsomhet.'

UD viser til at brevet omhandler et møte i Pentagon med et avgrenset utvalg NATO-nasjoner der arrangør ikke hadde til hensikt å gjøre innholdet offentlig kjent, samt at innsyn kan gi redusert tilgang til lignende informasjon og slik ha skadevirkninger for norske utenrikspolitiske interesser. Den nevnte veilederen uttrykker imidlertid:

'Kravet om at unntak må vere påkravd, vil likevel i praksis føre til at det oftare ikkje vil vere høve til å gjere unntak der det ligg føre ein fast praksis enn der det gjeld ei folkerettsleg plikt til hemmeleghald (fyrste ledd bokstav a). Ei rekkje statar fører no ein meir open utanrikspolitikk. Dette påverkar internasjonal praksis. Jamvel om det framleis ligg føre ein internasjonal praksis på eit område, vil det dermed ikkje i alle tilfelle vere fare for skadeverknader dersom det blir gitt innsyn i opplysningar som er omfatta av ein slik praksis.' (s.132-133)

At unntaket må være påkrevd av hensyn til Norges utenrikspolitiske interesser setter et strengt vilkår for å unnta opplysninger innsyn. Ut fra ordlyden er det altså ikke nok at det er ønskelig eller mest hensiktsmessig. Justis- og politidepartementet forklarer det slik i veilederen:

'At unntak må vere «påkravd» inneber at det må eksistere ei verkeleg fare for at innsyn kan gje skadeverknader av eit visst omfang for norske utanrikspolitiske interesser. Fjerntliggjande og små farar for skadeverknader er ikkje tilstrekkeleg.' (s.128)

Det anføres at det ikke eksisterer en fare for skade dersom det gis innsyn.

Avslag begrunnet i bokstav c forutsetter at opplysningene gjelder norske forhandlinger, forhandlingsstrategier og lignende der innsyn vil kunne svekke Norges forhandlingsposisjon. Det følger av veilederen at unntaket som hovedregel kun gjelder fram til forhandlingene er avsluttet:

'Etter at forhandlingane er avslutta vil det vanlegvis ikkje lenger vere behov for å gjere unntak for opplysningar om forhandlingsposisjonar og liknande. Høvet til å gjere unntak etter fyrste ledd bokstav c gjeld difor i utgangspunktet berre inntil dei aktuelle forhandlingane er avslutta.' (s.133)

De aktuelle forhandlingene er avsluttet for tre år siden. Følgelig kan ikke dokumentet som det begjæres innsyn i, unntas offentlighet. SD viser imidlertid til at dokumentet 'tilkjennegir posisjoner' og til at forhandlinger om regulering av Internett fremdeles pågår 'i ulike internasjonale fora der Norge deltar'. Mot dette anføres at Norges posisjon ikke kan være ukjent for andre forhandlingspartnere og at den norske offentligheten har rett på å kjenne Norges posisjon. Dette får ekstra vekt ved at spesifikke posisjoner inntatt for tre år siden, vil være utdaterte og irrelevante for de forhandlingene som fortsatt pågår, mens de store linjene som fortsatt er relevante, er kjente posisjoner hos forhandlingspartnerne. Disse sistnevnte posisjonene er igjen av stor offentlig interesse. Dermed må SD falle tilbake på utgangspunktet om at unntaket ikke kommer til anvendelse fordi det er tre år siden de aktuelle forhandlingene ble avsluttet.

Subsidiært anføres at sistnevnte uansett må tillegges avgjørende vekt i vurderingen av meroffentlighet. Dette gjelder både i vurderingen opp mot bokstav b og c i §20. Uten å praktisere meroffentlighet kan ikke det offentlige rommet bidra med viktige innsikter vedrørende regulering av Internettet. Det vitenskapelige miljøet og andre fagfolk avspises i stedet med å ta nye reguleringer til etterretning. Internettet angår oss alle, og ikke bare statens sikkerhet, men alles sikkerhet mot å bli overvåket og mot at personopplysninger kommer på avveie. Den enkelte borger trenger i et velfungerende demokrati å kunne gjøre seg kjent med hva som er Norges posisjoner i reguleringen av Internettet. Offentligheten har således en særskilt interesse i at det praktiseres meroffentlighet i saker som vedgår 'Internet Governance' og sikkerhet.

Det er for øvrig påtakelig at UD og SD begrunner avslaget ulikt. Begrunnelsene framstår dermed som tilfeldige og vikarierende. Hvorfor vektlegger ikke SD at det er forutsatt at møtet ikke skulle være offentlig? Er det slik å forstå at SD mener at dette ikke er tilfellet? Hvorfor vektlegger ikke UD at Norges posisjoner med tanke på framtidige forhandlinger vil bli avdekket? Mener UD at dette ikke er tilfellet?

Det anføres at de ulike begrunnelsene viser at begjæringen om innsyn ikke har vært grundig vurdert, og dermed enda mindre hvilke opplysninger som i tilfellet må unntas offentlighet. I stedet antyder de ulike begrunnelsene at UD eller SD, eller begge, summarisk avslår innsyn basert på overflatiske kriterier uten en konkret rettslig vurdering av hvilke opplysninger som det kan gjøres unntak for. Dette blir særlig framtredende tatt i betraktning at dokumentet er tre år gammelt og spesifikke posisjoner i det aktuelle møtet vil være utdaterte mens generelle posisjoner vil være av største allmenne interesse. SD kan ikke bli hørt med, jf. det endelige avslaget av 28.8.2105, at i 'denne saken unntas hele dokumentet, fordi hele dokumentet inneholder informasjon som oppfyller unntaksvilkårene' i §20.

Likeledes for unntak etter bokstav b, selv om arrangøren vil at møtet skulle unntas offentlighet, må UD vurdere hvilke opplysninger som er påkrevd unntatt ut fra om innsyn vil utgjøre en fare for skadevirkninger av et visst omfang for norske utenrikspolitiske interesser. Dersom UD ikke gjør det, vil enhver forutsetning om ikke-offentlighet innebære at alle dokumenter i sin helhet alltid unntas offentlighet. Dette vil være i direkte strid med bokstav b i §20 som ikke gir en generell adgang til å holde dokumenter unna offentligheten. Dette har lovgiver allerede vurdert og konkret tatt stilling til og, som påpekt, gir bokstav b kun unntak for opplysninger, ikke for dokumenter. Til dette anfører vi at det er direkte feil når det i den omtalte veilederen står at delvis 'innsyn vil truleg i praksis oftast vere aktuelt når det blir gjort unntak etter § 20 fyrste ledd bokstav c' (s. 134). Det er ikke holdepunkter for en slik tolkning i forarbeidene. Videre bemerker denne siden at verken UD eller SD har påberopt seg at 'det vil vere urimeleg arbeidskrevjande [...] å skilje' ut deler av dokumentet.

Det anføres avslutningsvis at en lettvin vurdering og avslag av innsynsbegjæringen understreker at departementene ikke kan ha vurdert meroffentlighet slik §11 forutsetter.

Klagesaken fikk saksnummer 2015/2866 hos Sivilombudsmannen, og foreløpig svar fulgte noen dager etter at vi sendte inn klagen:

FORELØPIG SVAR - SAK OM INNSYN I BREV OM «INTERNET GOVERNANCE»

Ombudsmannen har mottatt ditt brev 17. september 2015 med vedlegg på vegne av Norsk Unix User Group, som igjen representerer sitt medlem Petter Reinholdtsen. Brevet ble mottatt her 14. oktober 2015.

Saken gjelder for det første spørsmål om rett til innsyn hos Utenriksdepartementet og Samferdselsdepartementet i et dokument med tittelen «Internet Governance og påvirkning på nasjonal sikkerhet». Det klages på Utenriksdepartementets avslag på innsyn i dokumentet 23. juli 2015 og Samferdselsdepartementets avslag på innsyn, som etter klage ble opprettholdt 28. august 2015. Klagen gjelder også manglende journalføring hos FN-delegasjonen i Genève.

Samferdselsdepartementet er i brev herfra i dag bedt om å oversendte sakens dokumenter, se vedlagte kopi. Når dokumentene er mottatt, vil ombudsmannen vurdere om den delen av klagen som gjelder Samferdselsdepartementets behandling av innsynsbegjæringen gir grunn til videre behandling.

Det fremgår av klagen at Reinholdtsen klaget til Utenriksdepartementet på departementets avslag, men at han ikke har fått svar, og at han purret departementet 7. oktober 2015. Det er herfra tatt kontakt med Utenriksdepartementet Birger Veum opplyste til seniorrådgiver Elisabeth Fougner, at svaret på grunn av en intern misforståelse ikke er blitt sendt ut, men at Reinholdtsen nå vil få svar i løpet av få dager.

Ombudsmannens kontroll med forvaltningen skal være etterfølgende. Det vil si at en sak ikke kan behandles før den er endelig avgjort i forvaltningen. I første omgang må Norsk Unix User Group derfor avvente Utenriksdepartementet behandling av klagen. Når departementet har gitt et svar, kan det eventuelt rettes en ny klage hit om saken. Dersom Reinholdtsen ikke snarlig mottar svar fra departementet kan det også sendes en ny klage hit om dette.

Prinsippet om at ombudsmannens kontroll skal være etterfølgende tilsier også at Riksarkivet, som har tilsynssvar for arkivarbeid i offentlige organer, bør ta stilling til klagen på manglende journalføring hos den norske FN-delegasjonen i Genève før spørsmålet behandles her. Norsk Unix User Group må derfor i første omgang ta denne delen av klagen opp med Riksarkivet. Når Riksarkivet har tatt endelig stilling til Journalføringsspørsmålet, kan det eventuelt rettes en ny klage hit om dette spørsmålet.

Det vil bli gikk tilbakemelding i saken om Samferdselsdepartementets avslag på innsyn innen 2 - 4 uker.

Henvendelsen fra Sivilombudsmannen til Samferdselsdepartementet ble gitt samme saksnummer som opprinnelig avslag (sak 2015/3192), og jeg ser fra Offentlig Elektronisk Postjournal (OEP) at Samferdselsdepartementet har svart Sivilombudsmannen 2015-10-29. Venter spent på hva de kommer frem til der.

Vi ble bedt om å ta opp manglende journalføring først med Riksarkivet, så der sendte jeg inn et spørsmål om innsyn i praksis og klage på manglende journalføring via Mimes brønn, og har fått beskjed om at denne har fått saksnummer 2015/29039. Den saken har ikke dukket opp på OEP i skrivende stund, men jeg antar den kommer inn om noen dager.

Samtidig som Sivilombudsmannen sendte oss det foreløpige svaret om avslaget fra Samferdselsdepartementet kom Utenriksdepartementets svar der de opprettholdt avslaget på innsyn. Dette sendte vi beskjed om til Sivilombudsmannen like etter:

Vi viser til Sivilombudsmannens foreløpige svar av 22.10.2015.

Utenriksdepartementet opprettholdt den 22.10.2015 sitt avslag, se siste postering i linken:

<https://www.mimesbronn.no/request/brev_om_internet_governance_og_p>

Originaldokumentet fra Utenriksdepartementet kan lastes ned fra den samme posteringen.

Saken er dermed endelig avgjort i forvaltningen. Vi ber Sivilombudsmannen om å ta opp igjen vår klage til fortsatt behandling.

Dette brevet ble tilordnet ny sak 2015/3077 hos Sivilombudsmannen, som så vidt jeg kan forstå gjelder klagen mot Utenriksdepartementet. Postjournalen hos Sivilombudsmannen har kun det ene dokumentet så langt, og jeg fant ingenting hos Utenriksdepartementet fra Sivilombudsmannen i OEP. Regner med at det dukker opp mer om noen dager, når Sivilombudsmannen har bedt om mer informasjon.

Jeg venter spent på fortsettelsen.

Oppdatering 2015-11-17: Innsynshenvendelsen og klagen har fått saksnummer 2015/9816 hos Utenriksdepartementet.

Tenk om et norsk sykehus delte informasjon om hva som blir lest og hvem som leser på sykehusets nettsted, med noen som samarbeider med et fremmed lands etterretningsvesen, og at flere andre fremmede lands etterretningstjenester kan snappe opp informasjonen.

Tenk om flere sykehus, kommuner, helsestasjoner, universitet, høyskoler, grunnskoler, Stortinget, det meste av offentlig forvaltning, medier, adopsjonstjenester og krisesenter gjør det samme?

Tenk om de som lytter kan holde oversikt over norske borgeres interesser, sykdommer, rusmisbruk, adopsjon, abort, barnehager, politiske interesser og sympatier samt hvilke argumenter som har best effekt på beslutningstagere og måter de kan påvirkes. Ville det gitt grunn til bekymring?

Høres det ut som noe tatt ut fra fantasien til George Orwell, forfatteren av dystopien 1984? Det er virkeligheten i Norge i dag, takket være bruken av statistikktjenester som Google Analytics.

Du kan beskytte deg

Men borgerne har et forsvar mot dette angrepet på privatsfæren. Dagens nettlesere har utvidelser som støtter å blokkere slik utlevering av informasjon. Personlig bruker jeg Privacy Badger, Ghostery, NoScript og AdBlock, og anbefaler alle å gjøre noe tilsvarende. Merk at noen av verktøyene lekker informasjon, i tillegg til å gjøre en nyttig jobb, så det er lurt å bruke flere sammen. I tillegg bør hver og en av oss sende inn protest til organisasjonene bak nettsteder som bidrar til dette inngrepet i privatsfæren.

Hvem bidrar til overvåkningen?

Takket være Ghostery la jeg merke til at flere og flere norske nettsteder begynte å la Google Analytics overvåke brukerne. Jeg ble nysgjerrig på hvor mange det gjaldt, og gikk igjennom ca. 2700 norske nettsteder, hovedsakelig offentlig forvaltning. Jeg laget et system for å koble seg opp automatisk og sjekke hvor nettstedene spredte informasjon om besøket. Jeg ble overrasket både over omfanget og hva slags nettsteder som rapporterer besøksinformasjon ut av landet. Omtrent 70 prosent av de 2700 sender informasjon til Google Analytics. Noen tilfeldige eksempler er Akershus Universitetssykehus, Sykehuset Østfold, Lommelegen, Oslo krisesenter, Stortinget, den norske regjering, de fleste politiske partier på Stortinget, NAV, Altinn, NRK, TV2, Helse Førde, Helse Stavanger, Oslo kommune, Nasjonalbiblioteket, Pasientombudet, Kongehuset, Politiet, Teknologirådet, Tollvesenet, Norsk romsenter, Forsvarsbygg og Sivilforsvaret. Og det er mange flere.

Hvordan kan det offentlige Norge omfavne en slik praksis? Det er gode hensikter bak. Google har laget en god tjeneste for nettstedseiere, der de uten å betale med noe annet enn en bit av de besøkenes privatsfære får tilgang til nyttig og presis statistikk over nettstedets bruk ved å besøke netttjenesten hos Google. De færreste merker ulempene angrepet på privatsfæren som nettstedene og Google utgjør.

Hvordan foregår det?

I nettsider kan nettsteder legge inn lenker til programkode som skal kjøres av brukerens nettleser. De som tar i bruk Google Analytics legger typisk inn lenke til et javascript-program hos Google som ber nettleseren ta kontakt med Google og dele IP-adresse, side besøkt, aktuelle cookies og endel informasjon om nettleseren med Google Analytics. Programmet trenger ikke være det samme for alle som henter det fra Google. Det finnes et Google Analytics-tilvalg kalt «anonymisering» som nettstedeier kan ta i bruk. Dette instruerer det omtalte programmet om å be Google slette deler av den oversendte IP-adressen. Full IP-adresse sendes likevel over og er tilgjengelig for alle som snapper opp informasjonen underveis.

Takket være varsleren Edward Snowden, som bidro til uvurderlig dokumentasjon på snurpenot-overvåkningen som nordmenn blir utsatt for, vet vi at Google samarbeider med USAs etteretning som avlytter trafikk sendt til Google Analytics.

Men allerede før Snowden var det bekreftet at både britiske GCHQ og USAs NSA avlytter og lagrer blant annet Internett-trafikk som er innom et av landene, i tillegg til at FRA i Sverige avlytter og lagrer trafikk som passerte grensa til Sverige.

Og som Datatilsynet sa til Dagens Næringsliv i 2013 kunne de vanskelig nekte bruk av skytjenester som Google Analytics når Norge var bundet av EUs «Safe Harbour»-avtale med USA. De måtte derfor se bort fra f.eks. FISAAA-loven (som lar NSA avlytte Internett-trafikk) i sine vurderinger. Når nå EUs «Safe Harbour»-avtale er underkjent, og det foreslås å bruke individuell avtalerett mellom selskaper som juridisk grunnlag for å sende personopplysninger til USA, er det greit å huske på at FISAA-loven og andre som brukes av USA som grunnlag for masseovervåkning overstyrer slike avtaler.

For øvrig burde varsleren Edward Snowden få politisk asyl i Norge.

Norge er aktiv i Trade in Services Agreement-forhandlingene, og regjeringen forteller at «TISA vil sikre norske tjenesteeksportører forutsigbar og ikke-diskriminerende adgang til utenlandske tjenestemarkeder». Det er mulig at det stemmer. Men den gjør mye mer enn det. Avtalen forhandles i hemmelighet, og kun takket være Wikileaks er utkast og biter kjent i offentligheten. Det som er blitt kjent er for eksempel at TISA kan blokkere myndigheter fra å kreve bruk av fri programvare i mange situasjoner, hvilket vil fjerne muligheten vår til å ha kontroll over egne datasystemer i slike tilfeller. Den kan også blokkere Norges mulighet til å holde kontroll med overføring av personinformasjon ut av landet, hvilket Snowden-bekreftelsene har dokumentert er svært problematisk.

Jeg ble derfor veldig glad da jeg i dag ble tipset i dag om at det allerede finnes en aktiv organisasjon, Folkeaksjonen mot TISA, som jobber for å hindre at Norge signerer på TISA-avtalen. Her må alle gode krefter jobbe sammen. Jeg skal sende dem litt penger, og se om jeg har kapasitet til å bidra med mer.