Petter Reinholdtsen

I received a very nice Christmas present today. As my regular readers probably know, I have been working on the the Isenkram system for many years. The goal of the Isenkram system is to make it easier for users to figure out what to install to get a given piece of hardware to work in Debian, and a key part of this system is a way to map hardware to packages. Isenkram have its own mapping database, and also uses data provided by each package using the AppStream metadata format. And today, AppStream in Debian learned to look up hardware the same way Isenkram is doing it, ie using fnmatch():

% appstreamcli what-provides modalias \
  usb:v1130p0202d0100dc00dsc00dp00ic03isc00ip00in00
Identifier: pymissile [generic]
Name: pymissile
Summary: Control original Striker USB Missile Launcher
Package: pymissile
% appstreamcli what-provides modalias usb:v0694p0002d0000
Identifier: libnxt [generic]
Name: libnxt
Summary: utility library for talking to the LEGO Mindstorms NXT brick
Package: libnxt
---
Identifier: t2n [generic]
Name: t2n
Summary: Simple command-line tool for Lego NXT
Package: t2n
---
Identifier: python-nxt [generic]
Name: python-nxt
Summary: Python driver/interface/wrapper for the Lego Mindstorms NXT robot
Package: python-nxt
---
Identifier: nbc [generic]
Name: nbc
Summary: C compiler for LEGO Mindstorms NXT bricks
Package: nbc
%

A similar query can be done using the combined AppStream and Isenkram databases using the isenkram-lookup tool:

% isenkram-lookup usb:v1130p0202d0100dc00dsc00dp00ic03isc00ip00in00
pymissile
% isenkram-lookup usb:v0694p0002d0000
libnxt
nbc
python-nxt
t2n
%

You can find modalias values relevant for your machine using cat $(find /sys/devices/ -name modalias).

If you want to make this system a success and help Debian users make the most of the hardware they have, please help add AppStream metadata for your package following the guidelines documented in the wiki. So far only 11 packages provide such information, among the several hundred hardware specific packages in Debian. The Isenkram database on the other hand contain 101 packages, mostly related to USB dongles. Most of the packages with hardware mapping in AppStream are LEGO Mindstorms related, because I have, as part of my involvement in the Debian LEGO team given priority to making sure LEGO users get proposed the complete set of packages in Debian for that particular hardware. The team also got a nice Christmas present today. The nxt-firmware package made it into Debian. With this package in place, it is now possible to use the LEGO Mindstorms NXT unit with only free software, as the nxt-firmware package contain the source and firmware binaries for the NXT brick.

As usual, if you use Bitcoin and want to show your support of my activities, please send Bitcoin donations to my address 15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b.

The Isenkram system I wrote two years ago to make it easier in Debian to find and install packages to get your hardware dongles to work, is still going strong. It is a system to look up the hardware present on or connected to the current system, and map the hardware to Debian packages. It can either be done using the tools in isenkram-cli or using the user space daemon in the isenkram package. The latter will notify you, when inserting new hardware, about what packages to install to get the dongle working. It will even provide a button to click on to ask packagekit to install the packages.

Here is an command line example from my Thinkpad laptop:

% isenkram-lookup  
bluez
cheese
ethtool
fprintd
fprintd-demo
gkrellm-thinkbat
hdapsd
libpam-fprintd
pidgin-blinklight
thinkfan
tlp
tp-smapi-dkms
tp-smapi-source
tpb
%

It can also list the firware package providing firmware requested by the load kernel modules, which in my case is an empty list because I have all the firmware my machine need:

% /usr/sbin/isenkram-autoinstall-firmware -l
info: did not find any firmware files requested by loaded kernel modules.  exiting
%

The last few days I had a look at several of the around 250 packages in Debian with udev rules. These seem like good candidates to install when a given hardware dongle is inserted, and I found several that should be proposed by isenkram. I have not had time to check all of them, but am happy to report that now there are 97 packages packages mapped to hardware by Isenkram. 11 of these packages provide hardware mapping using AppStream, while the rest are listed in the modaliases file provided in isenkram.

These are the packages with hardware mappings at the moment. The marked packages are also announcing their hardware support using AppStream, for everyone to use:

air-quality-sensor, alsa-firmware-loaders, argyll, array-info, avarice, avrdude, b43-fwcutter, bit-babbler, bluez, bluez-firmware, brltty, broadcom-sta-dkms, calibre, cgminer, cheese, colord, colorhug-client, dahdi-firmware-nonfree, dahdi-linux, dfu-util, dolphin-emu, ekeyd, ethtool, firmware-ipw2x00, fprintd, fprintd-demo, galileo, gkrellm-thinkbat, gphoto2, gpsbabel, gpsbabel-gui, gpsman, gpstrans, gqrx-sdr, gr-fcdproplus, gr-osmosdr, gtkpod, hackrf, hdapsd, hdmi2usb-udev, hpijs-ppds, hplip, ipw3945-source, ipw3945d, kde-config-tablet, kinect-audio-setup, libnxt, libpam-fprintd, lomoco, madwimax, minidisc-utils, mkgmap, msi-keyboard, mtkbabel, nbc, nqc, nut-hal-drivers, ola, open-vm-toolbox, open-vm-tools, openambit, pcgminer, pcmciautils, pcscd, pidgin-blinklight, printer-driver-splix, pymissile, python-nxt, qlandkartegt, qlandkartegt-garmin, rosegarden, rt2x00-source, sispmctl, soapysdr-module-hackrf, solaar, squeak-plugins-scratch, sunxi-tools, t2n, thinkfan, thinkfinger-tools, tlp, tp-smapi-dkms, tp-smapi-source, tpb, tucnak, uhd-host, usbmuxd, viking, virtualbox-ose-guest-x11, w1retap, xawtv, xserver-xorg-input-vmmouse, xserver-xorg-input-wacom, xserver-xorg-video-qxl, xserver-xorg-video-vmware, yubikey-personalization and zd1211-firmware

If you know of other packages, please let me know with a wishlist bug report against the isenkram-cli package, and ask the package maintainer to add AppStream metadata according to the guidelines to provide the information for everyone. In time, I hope to get rid of the isenkram specific hardware mapping and depend exclusively on AppStream.

Note, the AppStream metadata for broadcom-sta-dkms is matching too much hardware, and suggest that the package with with any ethernet card. See bug #838735 for the details. I hope the maintainer find time to address it soon. In the mean time I provide an override in isenkram.

In my early years, I played the epic game Elite on my PC. I spent many months trading and fighting in space, and reached the 'elite' fighting status before I moved on. The original Elite game was available on Commodore 64 and the IBM PC edition I played had a 64 KB executable. I am still impressed today that the authors managed to squeeze both a 3D engine and details about more than 2000 planet systems across 7 galaxies into a binary so small.

I have known about the free software game Oolite inspired by Elite for a while, but did not really have time to test it properly until a few days ago. It was great to discover that my old knowledge about trading routes were still valid. But my fighting and flying abilities were gone, so I had to retrain to be able to dock on a space station. And I am still not able to make much resistance when I am attacked by pirates, so I bougth and mounted the most powerful laser in the rear to be able to put up at least some resistance while fleeing for my life. :)

When playing Elite in the late eighties, I had to discover everything on my own, and I had long lists of prices seen on different planets to be able to decide where to trade what. This time I had the advantages of the Elite wiki, where information about each planet is easily available with common price ranges and suggested trading routes. This improved my ability to earn money and I have been able to earn enough to buy a lot of useful equipent in a few days. I believe I originally played for months before I could get a docking computer, while now I could get it after less then a week.

If you like science fiction and dreamed of a life as a vagabond in space, you should try out Oolite. It is available for Linux, MacOSX and Windows, and is included in Debian and derivatives since 2011.

As usual, if you use Bitcoin and want to show your support of my activities, please send Bitcoin donations to my address 15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b.

Når jeg bruker Ghostery, uBlock, uMatrix, ScriptSafe og andre nettleserverktøy (de passer på hverandre) for å holde styr på hvordan nettsteder sprer informasjon om hvilke nettsider jeg leser blir det veldig synlig hvilke nettsteder som er satt opp til å utveksle informasjon med utlandet og tredjeparter. For en stund siden la jeg merke til at det virker å være avvik mellom personvernpolicy og praksis endel steder, og tok tak i et par konkrete eksempler og sendte spørsmål til Datatilsynets kontaktpunkt for veiledning:

«Jeg har et spørsmål når det gjelder bruken av Google Analytics og personvernpolicy. Er det lovlig for et nettsted å si en ting i personvernpolicy og gjøre noe annet i virkeligheten? Spesifikt lurer jeg på hvilket lov som er brutt hvis nettstedet i HTML-koden til nettsidene ber lesernes nettleser om å kontakte Google Analytics og slik overleverer sitt IP-nummer til Google, samtidig som personvernpolicien hevder at Google Analytics kun får anonymiserte data. Google får jo i slike tilfeller alltid overført fullt IP-nummer, og nettstedet kan i URL-en som brukes be Google om å ikke lagre deler av IP-adressen (omtalt som anonymisering av Google Analytics)

Et eksempel er Nettavisen digi.no. Deres personvernpolicy sier følgende:

«Tredjeparter (som Google Analytics, Cxense, TNS Gallup) får kun anonymiserte data.»

Men når en leser artikler der så blir maskiner i Norge, USA, Tyskland, Danmark, Storbritannia, Irland og Nederland varslet om besøket og får dermed overlevert full IP-adresse, som datatilsynet har uttalt er en personopplysning. Nettsidene er satt opp til be nettleseren å kontakte 29 ulike maskiner rundt om i verden. Fire av dem er er under DNS-domenene digi.no og tek.no som tilhører samme eier. I tillegg ber nettsidene ikke Google Analytics om å fjerne siste oktett i IP-adressen ved lagring, dvs. flagget «aip=1» er ikke satt i URL-en som brukes for å kontakte Google Analytics.

Tilsvarende er også tilfelle for andre nettsteder, så digi.no er ikke spesiell i så måte (dagbladet.no er et annet eksempel, det gjelder flere).»

Etter noen dager kunne juridisk rådgiver Elisabeth Krauss Amundsen hos Datatilsynet fortelle det følgende:

«Hei, og takk for din e-post.

Vår svartjeneste gir deg kortfattet rådgivning. Vi vil derfor ikke konkludere i saken din, men gi deg råd og veiledning.

Ut ifra det du skriver er det antakelig flere bestemmelser i personopplysingsloven som brytes dersom virksomhetens personvernpolicy sier noe annet om behandlingen av personopplysninger enn det som faktisk skjer. Antakelig vil det være et brudd på informasjonsplikten i personopplysingsloven §§ 18 og 19<https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§18> dersom det gis feilinformasjon om at opplysningene utleveres. Det kan også stilles spørsmål om grunnkravene for behandling av personopplysninger vil være oppfylt ved en utlevering av personopplysninger til en tredjepart, dersom dette ikke er inkludert behandlingsgrunnlaget og formålet med behandlingen, se personopplysingsloven § 11, jf. 8.<https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11>»

Oppdatert med kunnskap om lover og regler tok jeg så kontakt med Dagbladet på epostadressen de annonserer på sine personvernpolicysider:

«Jeg lurte litt i forbindelse med en bloggpost jeg skriver på, og lurer på om dere hjelpe meg med å finne ut av følgende. Først litt bakgrunnsinformasjon. Dagbladets personvernpolicy forteller følgende:

«3. Automatisk innhentet informasjon

For eksempel IP-adressen din (ikke synlig for andre) samt statistisk, automatisk produsert informasjon, som når du sist var innlogget på tjenesten. Dette er informasjon vi samler for å gjøre tjenesten best mulig.»

Men når en besøker nettsidene til Dagbladet, f.eks. forsiden, så er nettsidene satt opp til å kontakte mange tredjeparter som slik får tilgang til både fullt IP-nummer og i de fleste tilfeller nøyaktig hvilken artikkel en leser hos Dagbladet ved at Referer-feltet fylles og legges ved. Dette gjelder Google Analytics, Cxense, INS Gallup, Doubleclick med flere. Totalt ber forsiden nettleseren om å koble seg opp til 60 nettsteder med 149 separate oppkoblinger. I hver av disse oppkoblingene oversendes IP-adressen til leseren, og i følge Datatilsynet er «en IP-adresse definert som en personopplysning fordi den kan spores tilbake til en bestemt maskinvare og dermed til en enkeltperson».

Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18 og 19 skal informasjonen som gis om bruk og utlevering av personopplysninger være korrekt. De forteller videre at det er endel grunnkrav som må være oppfylt ved utlevering av personopplysninger til tredjeparter, nærmere forklart i personopplysingsloven § 11 som henviser til § 8.

Mitt spørsmål er dermed som følger:

Hva mener dere i personpolicyen når dere skriver at IP-adressen ikke er synlig for andre?»

Etter en uke har jeg fortsatt ikke fått svar fra Dagbladet på mitt spørsmål, så neste steg er antagelig å høre om Datatilsynet er interessert i å se på saken.

Men Dagbladet er ikke det eneste nettstedet som forteller at de ikke deler personopplysninger med andre mens observerbar praksis dokumenterer noe annet. Jeg sendte derfor også et spørsmål til kontaktadressen til nettavisen Digi.no, og der var responsen mye bedre:

«Jeg lurte på en ting i forbindelse med en bloggpost jeg skriver på, og lurer på om dere hjelpe meg. Først litt bakgrunnsinformasjon. Digi.nos personvernpolicy forteller følgende:

«All personlig informasjon blir lagret i våre systemer, disse er ikke tilgjengelig for tredjeparter, og blir ikke lagret i informasjonskapsler. Tredjeparter (som Google Analytics, Cxense, TNS Gallup) får kun anonymiserte data.»

Men når en besøker nettsidene til nettavisen, f.eks. forsiden, så er nettsidene satt opp til å kontakte mange tredjeparter som slik får tilgang til både fullt IP-nummer og i de fleste tilfeller nøyaktig hvilken artikkel en leser hos Digi.no ved at Referer-feltet fylles og legges ved. Dette gjelder både Google Analytics, Cxense blant og INS Gallum. Totalt ber forsiden nettleseren om å koble seg opp til 29 nettsteder med 44 separate oppkoblinger. I hver av disse oppkoblingene sendes IP-adressen til leseren over, og i følge Datatilsynet er «en IP-adresse definert som en personopplysning fordi den kan spores tilbake til en bestemt maskinvare og dermed til en enkeltperson». Det jeg ser virker ikke å være i tråd med personvernpolicyen.

Når en besøker Digi.nos nettsider gjøres det to oppkoblinger til Google Analytics, en for å hente ned programkoden som samler informasjon fra nettleseren og sender over til Google (analytics.js), og en for å overføre det som ble samlet inn. I den siste oppkoblingen er det mulig å be Google om å ikke ta vare på hele IP-adressen, men i stedet fjerne siste oktett i IP-adressen. Dette omtales ofte litt misvisende for «anonymisert» bruk av Google Analytics, i og med at fullt IP-nummer blir sendt til Google og det er opp til Google om de vil bry seg om ønsket fra de som har laget nettsiden. Ut fra det som står i personvernpolicyen ville jeg tro at Digi.no ba google om å ikke ta vare på hele IP-nummeret, men når en ser på den andre oppkoblingen kan en se at flagget «aio=1» ikke er satt, og at Digi.no ikke ber Google om å la være å lagre hele IP-adressen. Dette virker heller ikke å være i tråd med personvernpolicyen.

Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18 og 19 skal informasjonen som gis om bruk og utlevering av personopplysninger være korrekt. De forteller videre at det er endel grunnkrav som må være oppfylt ved utlevering av personopplysninger til tredjeparter, nærmere forklart i personopplysingsloven § 11 som henviser til § 8. Det er uklart for meg om disse kravene er oppfylt når IP-adresse og informasjon om hvilke websider som besøkes til tredjeparter.

Mitt spørsmål er dermed som følger:

Hva mener dere i personpolicyen når dere skriver at «Tredjeparter får kun anonymiserte data»?»

Redaksjonssjef Kurt Lekanger svarte samme dag og forklarte at han måtte komme tilbake til meg når han hadde med utviklingsavdelingen. Seks dager senere lurte jeg på hva han fant ut, og etter noen timer fikk jeg så følgende svar fra direktøren for teknologi og forretningsutvikling Øystein W. Høie i Teknisk Ukeblad Media:

«Takk for godt tips! Det er helt riktig at IP og referrer-adresse potensielt kan leses ut av tredjepart.

Retningslinjene våre har vært uklare på dette tidspunktet, og vi oppdaterer nå disse så dette kommer tydeligere frem. Ny tekst blir som følger:

---

3. Dette bruker vi ikke informasjonen til Informasjon du oppgir til oss blir lagret i våre systemer, er ikke tilgjengelig for tredjeparter, og blir ikke lagret i informasjonskapsler. Informasjonen vil kun benyttes til å gi deg som bruker mer relevant informasjon og bedre tjenester.

Tredjeparter (som Google Analytics, Cxense, TNS Gallup) vil kunne hente ut IP-adresse og data basert på dine surfemønstre. TU Media AS er pliktig å påse at disse tredjepartene behandler data i tråd med norsk regelverk.

---

Ellers har vi nå aktivert anonymisering i Google Analytics (aip=1). Kan også nevne at Tek.no-brukere som har kjøpt Tek Ekstra har mulighet til å skru av all tracking i kontrollpanelet sitt. Dette er noe vi vurderer å rulle ut på alle sidene i vårt nettverk.»

Det var nyttig å vite at vi er enige om at formuleringen i personvernpolicyen er misvisende. Derimot var det nedslående at i stedet for å endre praksis for å følge det personvernpolicyen sier om å ikke dele personinformasjon med tredjeparter, så velger Digi.no å fortsette praksis og i stedet endre personvernpolicyen slik at den å dokumentere dagens praksis med spredning av personopplysninger.

Med bakgrunn i at Digi.no ikke har fulgt sin egen personvernpolicy spurte jeg hvordan Digi.no kom til å håndtere endringen:

«Tusen takk for beskjed om endring av personvernpolicy for digi.no. Gjelder endringen også andre nettsteder?

Vil tidligere håndteringen av IP-adresser og lesemønster i strid med dokumentert personvernpolicy bli varslet til Datatilsynet i tråd med personopplysningsforskriften § 2-6? Vil leserne bli varslet på en prominent og synlig måte om at lesernes IP-adresser og lesemønster har vært utlevert til tredjeparter i stid med tidligere formulering om at tredjeparter kun får anonymiserte data, og at utleveringen fortsetter etter at personvernpolicy er endret for å dokumentere praksis?

Appropos ekstra tilbud til betalende lesere, tilbyr dere en mulighet for å betale for å lese som ikke innebærer at en må gjøre det mulig å la sine lesevaner blir registeret av tek.no? Betaler gjerne for å lese nyheter, men ikke med en bit av privatlivet mitt. :)»

Jeg fikk raskt svar tilbake fra direktøren Høie:

«Tydeliggjøringen i personvernpolicy gjelder alle våre nettsteder.

Vi kommer til å ta en runde og gå over vår policy i forbindelse med dette, og vil i de tilfeller det er påkrevd selvsagt være tydelig overfor brukere og tilsyn. Vil samtidig understreke at vår bruk av tredjeparts analyseverktøy og annonsetracking er helt på linje med det som er normalt for norske kommersielle nettsteder.

Angående spørsmålet ditt:
Du vil fortsatt vises i våre interne systemer om du blir Ekstra-bruker, vi skrur bare av tredjeparts tracking.»

Det høres jo ikke bra ut at det er normalt for norske kommersielle nettsteder å utlevere lesernes personopplysninger til utlandet. Men som en kan lese fra gårdagens oppslag fra NRK gjelder det også norske kommuner og andre offentlige aktører, og jeg skrev om omfanget av problemet i fjor. Det er uansett ikke en praksis jeg tror er i tråd med kravene i personopplysningsloven, og heller ikke en praksis jeg som leser synes er greit. Jeg manglet dog fortsatt svar på om Digi.no kom til å varsle lesere og Datatilsynet om avviket mellom praksis og policy, så jeg forsøkte meg med en ny epost i går kveld:

«Kan du fortelle meg om dere anser det å være påkrevd å varsle tilsyn og brukere nå, når dere har oppdaget at praksis ikke har vært i tråd med personvernpolicy?»

Det spørsmålet vet jeg så langt ikke svaret på, men antagelig kan Datatilsynet svare på om det er påkrevd å varsle tilsyn og lesere om dette. Jeg planlegger å oppdatere denne bloggposten med svaret når det kommer.

Jeg synes jo det er spesielt ille når barn får sine personopplysninger spredt til utlandet, noe jeg tok opp med NRK i fjor. De to eksemplene jeg nevner er som dere forstår ikke unike, men jeg har ikke full oversikt over hvor mange nettsteder dette gjelder. Jeg har ikke kapasitet til eller glede av å lese alle personvernpolicyer i landet. Kanskje mine lesere kan sende meg tips på epost om andre nettsteder med avvik mellom policy og praksis? Hvis vi alle går sammen og kontakter de ansvarlige, kanskje noen til slutt endrer praksis og slutter å dele lesernes personopplysninger med tredjeparter?

Apropos bruken av Google Analytics kan jeg forresten nevne at Universitetet i Oslo også har tatt i bruk Google Analytics, men der lagres programkoden som overføres til nettleserne lokalt og deler av IP-adressen fjernes lokalt på universitetet via en mellomtjener/proxy (tilgjengelig via github) før informasjon sendes over til Google Analytics. Dermed er det mulig for ansvarlige for nettstedet å vite at Google ikke har tilgang til komplett IP-adresse. Årsaken til at denne metoden brukes er at juristene ved universitetet har konkludert med at det er eneste måten en kunne vurdere å bruke Google Analytics uten å bryte loven. Risikoen for gjenidentifisering og identifisering ved hjelp av nettleserinformasjon er fortsatt tilstede, så det er ingen optimal løsning, men det er bedre enn å håpe at f.eks. Google og alle som lytter på veien skal prioritere norsk lov over sin lokale lovgivning.

Oppdatering 2016-12-09: Fikk svar fra direktøren Høie på mitt spørsmål litt etter at jeg hadde publisert denne artikkelen:

Vi kommer til å annonsere en oppdatert policy, og skal undersøke om vi er pliktig å varsle Datatilsynet.

Det vi uansett ønsker å gjøre først, er å gå gjennom hele policy sammen med utviklerne og advokat, så vi er sikre på at vi går frem riktig og at det ikke er flere tvetydigheter som skjuler seg i teksten.

Har du andre idéer eller konkrete innspill til hva som kan gjøre policy tydeligere, tar vi gjerne imot det. Dette er et felt vi ønsker å være ryddige på.

Vi får se om de liker mine innspill, som i grunnen er å ikke pusse på personvernpolicyen men i stedet slutte å spre lesernes personopplysninger til eksterne aktører.

Jeg er mer en gjennomsnittlig interessert i fri programvare og fri kultur, og nå når et nytt år nærmer seg slutten tenkte jeg det var på tide med et lite tilbakeblikk på årene som var. Jeg har vært involvert i flere prosjekter og løsninger, og her er en liten gjennomgang av de jeg kom på i farten.

Den største nyheten for meg fra 2015 var at jeg endelig, etter 2.5 år med flekkvis innsats, fikk gitt ut en bokmålsutgave av den klassiske boken Free Culture av Lawrence Lessig. Boken forteller om bakgrunnen for fri kultur-bevegelsen, beskriver problemer med dagens opphavsrett og skisserer hvordan vi kan bøte på problemene både individuelt og som samfunn. Jeg anbefaler alle å lese denne boken, som jeg med god hjelp har gitt ut på engelsk, bokmål og fransk. Papirboken kan bestilles i nettbokhandler i USA som Lulu (Norsk, Fransk, Engelsk), Amazon og Barnes & Noble takket være selvpubliseringsløsningen lulu.com og ebokutgave samt alt som trengs for å oppdatere boken er tilgjengelig fra github.

Et annet prosjekt jeg er veldig fornøyd med å ha deltatt i lanseringen av, er Mimes brønn, NUUG-tjenesten for å gjøre det enklere å be om innsyn i offentlig forvaltning, og spare offentlig forvaltning for å måtte besvare de samme innsynshenvendelsene gang på gang. Etter bare noen måneders drift førte en henvendelse via tjenesten til spørsmål fra Stortinget til regjeringen. I dette og andre tilfeller har NUUG finansiert utvidet klagesak for henvendelser som vi som står bak tjenesten synes fortjener ekstra oppmerksomhet. Så langt har en liten håndfull slike klagesaker blitt sendt til Sivilombudsmannen, der vi fikk medhold i en saken (om .bv omtalt over) og avslag i en annen (oppsummering fra møte i Pentagon om Internet-styring og nasjonal sikkerhet).

Etter at jeg i lengre tid har manglet GPG-nøkkel registrert i Debian (den opprinnelige ble fjernet på grunn av for kort nøkkellengde) fikk jeg endelig fikset ny nøkkel og Debiantilgang i slutten av 2015. Aktiviteten i Debian har ikke vært spesielt skadelidende mens jeg manglet nøkkel (kjenner flere som er villig til å laste opp på mine vegne), men da nøkkelen var på plass steg motivasjonen og jeg har blant anne brukt tiden på å bidra til at pakker relatert til lyd- og videokodekene fra Xiph.org-stiftelsen (dvs. Ogg, Vorbis, Theora, Opus, etc) er i bedre stand i Debian, og har bidratt til å få liv i gruppen som vedlikeholder Xiph-relaterte slik at dette forhåpentligvis skal fungere bedre også i fremtiden. Jeg har jobbet litt mer systemene Isenkram og appstream, som gjør det enklere å håndtere ulike dongler i Debian ved at systemet selv vet og foreslår hvilke pakker som bør installeres for å få dongler til å fungere. Har også fått inn eller hjulpet til å få inn endel nye programpakker, spesielt fornøyd med Sonic Pi, OpenALPR og Coz.

Et Debian-relatert prosjekt jeg følger er FreedomBox, som tar sikte på å tilby en løsning (både programvare og maskinvare) der hvem som helst kan beholde sin private informasjon hjemme hos seg selv i stedet for å dele den med skytjenesteleverandører som Google, Facebook, Twitter, Appear.in med flere. I tillegg til generell deltagelse i utvikling av prosjektet har jeg jobbet med å få alle Debian-pakkene som brukes av Freedombox "reproduserbare" i Debian, dvs. gjøre det mulig å sjekke at pakken som brukes i Freedombox ikke inneholder annet enn det som kommer fra kildekodepakken i Debian og gir et forutsigbart resultat ved bygging. Har også fulgt opp endel feilrapporter relatert til Freedombox-spesifikke pakker (som Plinth og freedombox-setup) og pakker som utgjør tjenestene i en Freedombox.

I samarbeid med Skolelinuxprosjektet og foreningen NUUG har jeg vært med å arrangere flere utviklersamlinger både i 2015 og 2016. Der har oversettere og utviklere blitt lært opp og arbeidet med blant annet dokumentasjon, feilfiksing og utvikling av Skolelinux og Frikanalen. Relatert til dette arbeidet har jeg koordinert norsk oversettelse av Håndbok for Debian-administratorer til bokmål, og flyttet oversetterarbeidet av Skolelinux-håndboken fra Transifex til Weblate. Begge bøkene er snart klare for første gangs korrekturlesing og vi drømmer om å gjøre dem tilgjengelig på papir.

Gjennom hele perioden har jeg holdt et lite øye med NUUG-prosjektet FiksGataMi, som stort sett går av seg selv uten manuelt vedlikehold, men av og til er det problemer med enkelte mottakere (eposter i retur). NUUG-drift oppgraderte tjenesten i løpet av 2016, og jeg bisto Marius Halden litt i forbindelse med dette. Tjenesten får stadig flere brukere, og flere kommuner har tatt kontakt for å lære mer om hvordan FiksGataMi fungerer.

Den åpne TV-kanalen Frikanalen har fått en god del av min oppmerksomhet. Den var i starten av 2015 tilgjengelig på RiksTV kanal 50, web. Kanalen har fått et REST-basert API, og dette har jeg tatt i bruk for å fylle sendeplanen med NUUG-, TED- og Debian-foredrag samt andre tekniske presentasjoner. Har lastet opp mye nytt der og strømlinjeformet prosessen slik at både nye TED- og NUUG-foredrag går veldig greit. På høsten tok jeg en titt på multikast-spredning av kanalen til Uninett, og dette er nå kommet på plass, slik at alle TV-er som bruker Uninetts TV-løsning nå kan se på Frikanalen. Det jobbes for tiden med å få distribusjon på Altibox, og dette håper vi skal være klart i starten av 2017.

Relatert til Frikanalen har jeg i lengre tid forsøkt å få klarhet i hva som er juridisk status for H.264 i Norge. Det er fortsatt uklart for meg om Frikanalen må betale for retten til å kringkaste eller ikke, og om vi risikerer å bryte opphavsrettsvilkår ved å kringkaste på web med H.264. Har spurt ulike aktører for å forsøke å finne ut hvordan de har vurdert situasjonen, uten å bli klok.

Et prosjekt som var morsomt å se ta form var Ole Aamots dokumentarprosjekt om fri programvare i Norge. Han fikk intervjuet en god del av de mest aktive folkene i Norge, og resultatet ble interessant og severdig. Et nærmere prosjekt er NUUGs samarbeide med Oslo dokumentarfilmfestival om visningen av Citizenfour, der NUUG tok opp samtalen i forbindelse med visningen og publiserte opptaket på Frikanalen. Jeg er veldig fornøyd med å ha lyktes med å få dette på plass, selv om jeg ikke rakk å være med på visningen selv. Et annet NUUG-foredrag jeg er spesielt fornøyd med å ha fått på plass er besøket fra Bradley Kuhn fra Software Freedom Conservancy. Det tok mange måneder å organisere i samarbeid med BLUG, men til slutt klarte vi å finne et tidspunkt som passet alle, slik at han kunne besøke Oslo og Bergen. Opptaket fra dette er også publisert på Frikanalen. Generelt har jeg veldig fornøyd med at Frikanalen nå i praksis er Tekno-TV med interessante faktaprogram og presentasjoner nesten hele døgnet, hele uka.

Vi har i lengre tid forsøkt å få opp et Mesh-nett i Oslo, under navnet dugnadsnett.no, uten at vi så langt har klart å nå kritisk masse. Tanken er å gjøre det mulig å kommunisere direkte mellom likeverdige parter uten sentrale knutepunkt som enkelt kan avlyttes. Prosjektet er ikke dødt, men interessen blant oss som er med har ikke vært stor nok til å kunne prioritere dette over alt annet.

En ting som har tatt prioritet for min del er NUUG og EFNs forsøk på å få domstolvurdering av om det er greit for politiet å overta et DNS-domene uten domstolvurdering. Bakgrunnen er at Økokrim tok beslag i popcorn-time.no i mars 2016, med påstand om at nettstedet bidro til opphavsrettsbrudd ved å omtale fri programvareløsningen Popcorn Time og lenke til nettsteder der det var lenker til nettsteder der en kunne laste ned Popcorn Time. For det første mener vi at domstolene bør involveres før DNS-domener tas fra sine eiere, og for det andre mener vi begrunnelsen er så søkt at domenet ikke burde beslaglegges i første omgang. NUUG og EFN forsøkte først å protestere på egne vegne men ble avvist av domstolene med at vi ikke hadde rettslig interesse. Mens dette pågikk lyktes vi å få kontakt med registrar og regnskapsfører som fikk ble raidet av seks stykker fra Økokrim, og i gjeldende runde er det registrar og regnskapsfører som protesterer med støtte fra NUUG og EFN. Advokattimene renner ut og vi håper vi holder ut til saken har fått prøvd saken.

Et annet prosjekt, relatert til fri kultur og åndsverksvern, som jeg har brukt endel tid på er å maskinelt kunne identifisere verk som er falt i det fri i Norge. Jeg ønsker å vite hvor mange kunstuttrykk som blir røvet fra fellesskapet hver gang vernetiden i åndsverksloven blir utvidet, f.eks. nå sist når vernetiden for musikk ble utvidet med 20 år fra 50 til 70 år med tilbakevirkende kraft, som om de som laget musikk for 60 år siden skulle bli mer motivert til å lage musikk av utvidet vernetid. Har sett på å kombinere informasjon fra Nasjonalbiblioteket, Deichmanske bibliotek, Wikipedia, Store Norske Leksikon og WorldCat, og gleder meg til Nasjonalbibliotekets initiativ for autorativ database over verk tar form.

Dårlig konkurranse på drivstoffmarkedet har irritert meg en stund, og jeg laget for flere år siden en skraper som samlet inn prisdata fra ulike kilder. Jeg ble derfor veldig glad da en økonomistudent tok kontakt i starten av 2015 og lurte på om jeg kunne bidra med data til hans masteroppgave om konkurransevilkårene i drivstoffmarkedet. Jeg bidro med glede, og resultatet er publisert i fulltekst som "Hemmeligheten bak bensinprisen : en empirisk analyse av pumpeprisens drivkrefter" på BIBSYS Brage.

I tilegg til det jeg har gjort her har jeg rapportert og fikset en rekke små og store feil i fri programvare, og hjulpet Debian-bidragsytere og upstream-utviklerne med å forbedre forskjellig fri programvare og få det inn i Debian.

Mye av det jeg har fått gjort rundt fri programvare og fri kultur har vært mulig takket være at jeg får dekket 20% av arbeidstiden min på Universitetet i Oslo fra NUUG Foundation for å jobbe med og koordinere fri programvareaktiviteter. Jeg er svært takknemlig til dem og min arbeidsgiver USIT for at jeg har fått muligheten. Uten dette hadde jeg ikke rukket over like mye etter hvert som ungene ble større.