Elektronisch stemmen: Gaat het er ooit nog van komen?

Redactie
1
elektronisch stemmen

Afbeelding: Jörg Niehage

Bij conventionele verkiezingen maken mensen telfouten en kunnen blinden en slechtzienden niet zelfstandig stemmen. Elektronisch stemmen kan die problemen oplossen, maar ook weer andere risico’s introduceren. En zelfs het ‘papieren’ stemproces in Nederland bleek onlangs digitale kwetsbaarheden te bevatten.

Op 15 maart vinden in Nederland verkiezingen voor de Tweede Kamer plaats. Daarbij breng je je stem uit op papier met een rood potlood. Zo gaat dat al sinds 1922. Voor die tijd werd een zwart potlood gebruikt. Het is dus een beproefde methode. Dat wil natuurlijk niet zeggen dat het dan ook de beste methode is. Van 1966 tot 2007 is in Nederland met stemmachines en -computers gestemd. Regelmatig klinkt de roep om die weer opnieuw in te voeren. Nu we een groot deel van ons leven online doorbrengen, klinkt het ook best aantrekkelijk om op een tijd en plaats die jou goed uitkomen naar verkiezingen.nl te gaan. Daar zou je dan simpelweg op de kandidaat van je dromen kunnen tikken om je stem uit te brengen.

Maar laten we niet te snel roepen dat potlood en papier niet meer van deze tijd zijn en dat het met handmatig tellen zo lang duurt voor de uitslagen binnen zijn. Het is verstandig om eerst eens stil te staan bij meer fundamentele randvoorwaarden om het verkiezingsproces betrouwbaar te houden. Het hele idee van onze democratie staat of valt immers met de betrouwbaarheid van verkiezingen. Het is de bedoeling dat de volksvertegenwoordiging een representatieve afspiegeling van de samenleving vormt. Daarvoor moeten we erop kunnen vertrouwen dat de stem van elke kiezer even zwaar meetelt.

Welke waarborgen kent het verkiezingsproces?

Aan welke voorwaarden moet een verkiezingsproces dan voldoen om die betrouwbaarheid te kunnen garanderen? Dat is precies de vraag die de commissie-Korthals Altes zich stelde. Die commissie werd in 2007 aangesteld, omdat de betrouwbaarheid van de toen gebruikte stemcomputers in opspraak was gekomen. De opdracht was het verkiezingsproces onder de loep te nemen en voorstellen voor verbetering te doen. In het rapport ‘Stemmen met vertrouwen’ stelde de commissie op basis van de Nederlandse Grondwet en verschillende internationale verdragen acht waarborgen op: transparantie, controleerbaarheid, integriteit, kiesgerechtigdheid, stemvrijheid, stemgeheim, uniciteit en toegankelijkheid. Onderaan dit artikel vind je de omschrijvingen van deze waarborgen uit het rapport.

In theorie moet het verkiezingsproces aan al deze waarborgen tegelijk voldoen, maar in de praktijk is dat onmogelijk. Het probleem is dat verschillende waarborgen met elkaar op gespannen voet staan. Zo kun je de transparantie en controleerbaarheid verbeteren met uitgebreide logs van alle stappen, maar daarmee breng je het stemgeheim in gevaar. Of je verbetert de toegankelijkheid door stemmen van huis uit mogelijk te maken, maar dan wordt het lastig om de stemvrijheid in de gaten houden.

Balans

Soms moet je daarom kiezen welke waarborg je belangrijker vindt. Er is bijvoorbeeld wel consensus dat voor Nederlanders in het buitenland en voor mensen met een beperking de toegankelijkheid belangrijker is dan de stemvrijheid en het stemgeheim. Bij stemmen per brief, met een volmacht of met hulp in het stemhokje kun je niet kunt controleren of de keus echt in vrijheid is gemaakt. Dat is echter minder erg dan dat je deze groepen helemaal uitsluit van de verkiezingen.

Als je verschillende verkiezingsprocessen met elkaar gaat vergelijken, moet je dus eerst afwegen of de verschillende waarborgen goed in balans zijn. Maar vervolgens moet je je ook afvragen hoe haalbaar de systemen in de praktijk zijn. Kun je genoeg mensen aantrekken om het te organiseren, is het betaalbaar en kunnen de uitslagen snel genoeg bekend zijn? Tot slot moet je natuurlijk regelmatig nagaan of je het systeem kunt aanpassen aan nieuwe ontwikkelingen – zonder daarbij af te doen aan de betrouwbaarheid.

Stemhokje moet

Een belangrijk advies van de commissie- Korthals Altes is dat stemmen in principe in een stemlokaal moet gebeuren. En wel in een hokje waar alleen de kiezer zelf toegang toe heeft. Alleen zo kun je de stemvrijheid en het stemgeheim garanderen. Bij thuis stemmen loop je bijvoorbeeld het risico op ‘family voting’. Dan bepaalt een dominant gezinslid voor het hele gezin wat er gestemd moet worden. Thuis zou diegene kunnen controleren of dat ook echt gebeurt.

Daarmee vervalt dus de mogelijkheid om via internet te stemmen, ook al zou dat de toegankelijkheid verhogen. Alleen voor bepaalde groepen waarbij toegankelijkheid een grotere rol speelt, zou een uitzondering gemaakt kunnen worden. Denk aan Nederlanders in het buitenland en mensen die door een lichamelijke beperking niet in een stemlokaal kunnen stemmen. Daarover later meer.

Als we dan toch naar het stemhokje moeten, kun je daar ook gelijk de kiesgerechtigdheid controleren. De leden van het stembureau stellen de identiteit vast op basis van een legitimatiebewijs en controleren de stempas. Die laatste is voorzien van echtheidskenmerken om vervalsen te voorkomen. Om de toegankelijkheid toch wat te verhogen kun je tegenwoordig in een willekeurig stembureau binnen je gemeente stemmen. Als je dat van tevoren aanvraagt kan het zelfs in een andere gemeente.

Handmatig

Joost Taverne

Joost Taverne: “Het huidige proces geeft niet op voorhand honderd procent zekerheid. Mensen maken telfouten.”

Het huidige verkiezingsproces binnen het stemlokaal is transparant. Iedere kiezer begrijpt hoe het werkt. Je krijgt één voorgedrukt stembiljet uitgereikt, waarmee meteen ook de uniciteit gewaarborgd is. Je markeert je keuze met een rood potlood en gooit het biljet zelf in de stembus. Na het sluiten van de stembus worden de stemmen handmatig gesorteerd en vervolgens geturfd. Iedereen mag daar gewoon bij zijn. In geval van twijfel kunnen de stemmen opnieuw worden geteld. Het proces is dus controleerbaar. Doordat er steeds minstens drie mensen toezicht houden, kan de uitslag alleen beïnvloed worden door uitgebrachte stemmen. Daarmee is de uitslag integer.

Toch geeft het huidige proces niet op voorhand honderd procent zekerheid, benadrukt Joost Taverne, Tweede Kamerlid voor de VVD. Een nadeel van handmatig tellen is namelijk dat mensen telfouten maken. Hertellingen laten dan ook vaak een net andere uitslag zien. Bij de herindelingsverkiezingen in Alphen aan den Rijn in 2013 ging een restzetel na hertellingen bijvoorbeeld naar GroenLinks in plaats van RijnGouweLokaal. Dat scheelde overigens maar drie stemmen. Bedenk daarbij dat de handmatige telfouten willekeurig verdeeld zijn en dus niet systematisch een bepaalde partij bevoordelen. Daarnaast kunnen stembiljetten bij handmatig invullen ongeldig worden gemaakt. Qua toegankelijkheid is het huidige systeem lastig voor blinden en slechtzienden. Overige nadelen zitten hem vooral in de uitvoerbaarheid. Zo kost handmatig tellen veel tijd en mankracht.

Elektronisch

Het is duidelijk dat automatisering in het stemproces een aantal van de hierboven genoemde nadelen kan oplossen. Computers maken in principe geen telfouten en produceren ook geen ongeldige stemmen. Bovendien kun je de toegankelijkheid voor blinden en slechtzienden verbeteren met tactiele toetsen en audio-ondersteuning. Als bijkomend voordeel gaat het tellen ook nog sneller en zijn er minder mensen nodig.

Nedap stemcomputer

De Nedap ES3b-stemcomputer die ‘Wij vertrouwen stemcomputers niet’ in 2006 onderzocht. (Bron: Wij vertrouwen stemcomputers niet)

Met name dat gemak in uitvoerbaarheid zorgde ervoor dat in Nederland vanaf 1991 steeds meer stemcomputers gebruikt werden. Maar hoe zit dat met transparantie, controleerbaarheid en integriteit? Die vraag werd in eerste instantie vooral opgeworpen door de actiegroep ‘Wij vertrouwen stemcomputers niet’. In 2006 lieten zij in samenwerking met EénVandaag zien dat de veelgebruikte Nedap ES3B-computers niet alleen verouderd waren, maar ook daadwerkelijk eenvoudig gemanipuleerd konden worden. Zo kon een bepaalde partij systematisch meer stemmen krijgen zonder dat dat meteen zou opvallen. Omdat bijvoorbeeld de opslaglocatie van 400 stemcomputers in Rotterdam niet goed beveiligd was, kon zulke fraude bovendien op grote schaal toegepast worden. Geen integer proces dus.

Paper trail

Het basisprobleem is daarbij dat computers niet transparant zijn. Je voert iets in en er komt iets uit, maar de doorsnee gebruiker heeft geen idee wat er in het proces daartussen gebeurt. Rop Gonggrijp, initiatiefnemer van ‘Wij vertrouwen stemcomputers niet’ trekt een analogie: “Bij alles wat je door een computer laat doen, moet je je afvragen of je het ook zou toevertrouwen aan een man achter een gordijn.”

Dat transparantieprobleem kun je alleen oplossen door de controleerbaarheid te verbeteren. Gonggrijp: “Je kunt best met een man achter een gordijn werken, als je maar controleert of hij doet wat je van hem verwacht.” Precies daar ging het destijds mis. De broncode was geheim, elke vier jaar werd slechts één van de achtduizend computers door TNO getest en tussen het invoeren van de stemmen en het bepalen van de uiteindelijke uitslag gaven de computers geen feedback. Hertellen was dus onmogelijk.

De Organisatie voor Veiligheid en Samenwerking in Europa (OVSE), die de Tweede Kamerverkiezingen in 2006 waarnam, adviseerde dan ook om met opensource systemen te werken die regelmatig gecontroleerd worden door een onafhankelijke instantie met een brede technische expertise en die bovendien een zogeheten paper trail opleveren. Dat is een papieren bewijs waarmee de stemmen eventueel opnieuw geteld kunnen worden.

Ook bij de recente presidentsverkiezingen in Amerika kwam het belang van zo’n paper trail naar voren. Zo bleek dat Hillary Clinton minder stemmen kreeg in gebieden waar elektronisch gestemd werd zonder papieren uitvoer. Sommigen zijn bang dat dit effect toe te schrijven is aan manipulaties van de stemmachines. Maar het zou ook kunnen dat precies in de districten met deze machines de sociale verhoudingen in Trumps voordeel liggen. Het probleem is vooral dat niemand het ooit nog kan controleren.

Printer en teller

Maar ook als je van een stemcomputer een papiertje krijgt met daarop de naam van de kandidaat waarop je gestemd hebt, weet je niet zeker of de computer deze stem bij het tellen ook echt aan die kandidaat geeft. Dat blijkt alleen als al die papiertjes daadwerkelijk handmatig nageteld worden. Bovendien kan uit de volgorde van de opgeslagen stemmen mogelijk alsnog gereconstrueerd worden wie wat gestemd heeft. En wat als de geprinte naam niet klopt? Dan kan je stem alleen via de computer geannuleerd worden. Iemand moet dus rechten hebben om dat te doen. En daarmee loop je weer het risico dat diegene onterecht stemmen gaat annuleren.

stemprinter en teller

Door stemmen en tellen uit elkaar te halen krijg je de mogelijkheid om te controleren of de stem die het telproces ingaat klopt.

De commissie Korthals-Altes kwam daarom met een alternatief. Daarbij is het uitbrengen en het tellen van de stemmen uit elkaar gehaald. Je maakt je keuze op een stemprinter die jouw stem na het printen gelijk weer vergeet. Als de geprinte stem klopt, gooi je het stembiljet in de stembus. Vervolgens worden de stemmen op deze biljetten gescand en geteld met een losse stemmenteller. Mocht de geprinte naam niet kloppen, dan kun je met het stembiljet terug naar de leden van het stembureau en herhaal je de eerste stap. Ook de commissie- Van Beek gaf de voorkeur aan dit model. Die werd in 2013 ingesteld om een nieuwe risicoanalyse van verschillende stemprocessen te doen. In België wordt eveneens op deze manier gestemd.

Steekproeven

Daarbij moet je wel bedenken dat het transparantieprobleem eigenlijk verplaatst wordt van het hele stemsysteem naar alleen de stemmenteller. Want ook al heeft iedereen zijn papieren stembiljet gecontroleerd, de software van de teller kan nog steeds zo gemanipuleerd worden dat er systematisch stemmen naar een bepaalde kandidaat gaan terwijl die niet op het papiertje stond. Daarom moeten de stembiljetten niet alleen in theorie handmatig nageteld kunnen worden. Dat moet op zijn minst steekproefsgewijs ook echt gebeuren.

Bij zo’n systeem met een losse printer en teller kun je je afvragen wat de meerwaarde van de printer nog is. Kun je niet net zo goed met potlood ingevulde stembiljetten door de teller halen? Dat is echter wat te kort door de bocht. Voordelen zijn nog steeds het voorkomen van ongeldige stemmen en een betere toegankelijkheid voor mensen met een beperking, met name blinden en slechtzienden.

Afluisteren

Naast de mogelijkheden tot manipulatie bij de Nedap-computers had de AIVD in 2006 nog een probleem geconstateerd bij een ander type stemcomputers, namelijk die van Sdu. De elektromagnetische straling die deze computers uitzonden was zo sterk dat op tientallen meters afstand afgeluisterd kon worden wie wat stemde. Daarmee was het stemgeheim ook nog eens in het geding. In 2008 werd daarom een expertgroep ingesteld om te onderzoeken of het haalbaar was om deze zogeheten compromitterende straling bij stemprinters binnen de perken te houden. Deze groep concludeerde dat het veel aanpassing van het stemlokaal zou vragen en dat er onrealistisch veel tests nodig zouden zijn om van alle gebruikte apparaten te kunnen garanderen dat ze voldoende beschermd waren tegen afluisteren. Dit was destijds voor staatssecretaris Bijleveld reden genoeg om in ieder geval voor de verkiezingen voor het Europees Parlement van 2009 terug te gaan naar het rode potlood.

De commissie-Van Beek constateerde in 2013 dat het nog steeds even lastig is om de straling te beperken en dat het vrijwel onmogelijk is om afluisteren op deze manier uit te sluiten. Volgens de commissie is dit risico echter te vergelijken met bijvoorbeeld de mogelijkheid om stiekem camera’s op te hangen in de stemhokjes. Je moet het verbieden en zo goed mogelijk voorkomen, maar je ontkomt er niet aan. In het buitenland heeft deze discussie over straling overigens eigenlijk nooit gespeeld.

Apparaat activeren

Om de uniciteit te garanderen moet een stemprinter voor elke kiezer eenmalig geactiveerd worden. Bij de oude stemcomputers deed de voorzitter van het stembureau dat met een aan de computer gekoppeld bedieningskastje, maar de kiezer zou het ook zelf kunnen doen, bijvoorbeeld met een eenmalig te gebruiken smartcard of door zelf het lege stembiljet in te voeren. Daarmee voorkom je dat het lijkt alsof de voorzitter controle heeft over de printer. Elk van de mogelijkheden heeft zijn eigen voor- en nadelen. Onder de streep vond de deskundigengroep ‘Elektronisch stemmen en tellen’ die minister Plasterk in 2015 instelde de smartcard de beste optie. Ook in België wordt met zo’n zogeheten token gewerkt.

Specificaties en draagvlak

De genoemde deskundigengroep kreeg de opdracht om concrete specificaties uit te werken voor het voorstel van de commissie- Van Beek met een losse printer en teller en bovendien het draagvlak voor zo’n systeem te onderzoeken. De groep heeft bijvoorbeeld vastgesteld welk niveau van beveiliging nodig is. Zo moet zo veel mogelijk met standaard componenten gewerkt kunnen worden, maar zijn broncode-analyse en penetratietests wel noodzakelijk. Ook is onderzocht hoe opslag, transport, onderhoud en configuratie van de apparaten geregeld moet worden. Voor de functionaliteit en bediening van printer en teller zijn allerlei eisen opgesteld. Zo moet de teller stembiljetten in stapels van honderd uitvoeren, zodat willekeurige stapels als steekproef kunnen dienen. Ook moeten de apparaten volgens verschillende standaarden en normen gecertificeerd worden.

Opvallend genoeg adviseert de deskundigengroep om alleen de stemmenteller in te voeren en die dus de met potlood ingevulde stembiljetten te laten scannen. Vooral bij de Vereniging van Nederlandse Gemeenten (VNG) en de ondervraagde beveiligingsdeskundigen bleek het draagvlak voor de stemprinter een stuk kleiner vanwege de complexe organisatie, beveiligingsrisico’s en hoge kosten.

In de Tweede Kamer blijkt eveneens weinig draagvlak meer voor elektronisch stemmen. In juni 2016 verwierp de Kamer het gewijzigde initiatiefwetsvoorstel van Joost Taverne om experimenteren met elektronisch stemmen tijdelijk mogelijk te maken. Ook D66 en de PvdA, die eerst nog wel gevoelig waren voor de verbeterde toegankelijkheid voor bepaalde groepen kiezers, zagen te veel risico’s voor de betrouwbaarheid van de systemen. Taverne verwacht wel dat een volgend kabinet hier alsnog mee zal gaan experimenteren, bijvoorbeeld bij de Provinciale Staten-verkiezingen in 2019.

Kosten

Voor welke vorm je ook kiest, elektronische stemsystemen vragen sowieso een flinke investering bij de eerste aanschaf. De commissie-Van Beek schat die kosten bij een systeem met printers en tellers bijvoorbeeld op 150 tot 250 miljoen euro. Om de apparaten zo rendabel mogelijk te houden moeten ze zo lang mogelijk in gebruik blijven, maar gezien de snelle ontwikkelingen op ICT-gebied kom je op een afschrijvingstermijn van hooguit acht jaar.

Daarbij is inmiddels wel duidelijk dat de apparaten goed beveiligd opgeslagen en regelmatig onderhouden, getest en gecertificeerd moeten worden. Deze kosten komen bovenop de huidige kosten van zo’n 42 miljoen euro per verkiezing voor stemhokjes, stembiljetten en stembussen. De meerkosten zouden in totaal 6 tot 10 miljoen euro bedragen. Dat komt neer op ongeveer 50 tot 80 cent per kiesgerechtigde per verkiezing en daarmee ook ongeveer per jaar.

Naar aanleiding van het rapport van de deskundigengroep heeft minister Plasterk een uitvraag aan de markt gedaan om erachter te komen of fabrikanten apparaten volgens de specificaties kunnen bouwen en wat daarbij dan concreet het tijdspad en de kosten zouden zijn. Over de uitslag hiervan is op moment van schrijven nog niks bekend.

Nieuw stembiljet

nieuw stembiljet

Door de stem voor partij en kandidaat uit elkaar te halen kan het stembiljet kleiner, overzichtelijker en elektronisch telbaar worden. (Bron: firMM/Ministerie van Binnenlandse Zaken)

Je kunt je afvragen of het niet mogelijk is om de nadelen van het huidige systeem terug te brengen zonder daarvoor elektronische hulpmiddelen te gebruiken. Zo zorgde de overgang van een zwart naar een rood potlood er in 1922 al voor dat het tellen sneller en met minder fouten ging.

Sinds 2012 zijn er verschillende onderzoeken geweest om ook het stembiljet te verbeteren. Door het Nederlandse kiesstelsel met een flink aantal partijen en per partij nog weer tientallen kandidaten zijn de huidige stembiljetten heel groot en onoverzichtelijk. Dit kan verholpen worden door het kiezen van partij en kandidaat uit elkaar te halen. Bij het meest onderzochte model markeer je de partij van je keuze bovenaan en kies je onderaan het nummer van jouw droomkandidaat op de bijbehorende lijst. Dat nummer kun je terugvinden op een poster of flyer in het stemhokje. Markeer je alleen een partij, dan kies je automatisch voor de lijsttrekker. De partijen worden bovendien beter zichtbaar met een logo. Op de posters en flyers kunnen naast de namen ook foto’s staan.

Tests

Op die manier past het stembiljet op een A4-tje en wordt het overzichtelijker voor zowel kiezers als tellers. Uit tests blijkt dat tellen met dit biljet meer dan twee keer zo snel gaat. Laaggeletterden kunnen in theorie baat hebben bij de logo’s en foto’s, maar uit tests bleek geen grote verbetering. Voor het handzame stembiljet zijn ook mallen ontwikkeld voor blinden (met braille) en slechtzienden (met grote voelbare letters). Deze werden in tests positief ontvangen en hielpen een groot deel van de proefpersonen om hun stem zelfstandig uit te brengen.

Tot slot bleek uit de tests dat deze stembiljetten ook geschikt zouden zijn voor elektronisch tellen zoals de deskundigengroep ‘Elektronisch stemmen en tellen in het stemlokaal’ voorstelde. In juni 2016 heeft de Tweede Kamer echter een voorstel voor experimenten met dit stembiljet verworpen, met name omdat men bang was dat veel mensen alleen nog op een partij zouden stemmen.

Zondag stemmen

Een ander alternatief is om op zondag te gaan stemmen, net als de meeste landen om ons heen. In eerste instantie lijkt dat misschien niet veel uit te maken, maar Rop Gonggrijp ziet verschillende voordelen. Zo zijn de stemlokalen nu lang open om mensen de gelegenheid te geven voor of na het werk te stemmen. Op zondag zou de stembus eerder kunnen sluiten, zodat er meer tijd is om dezelfde dag nog te tellen. Er zijn minder volmachten nodig omdat minder mensen verhinderd worden te stemmen door hun werk. Om diezelfde reden is er minder noodzaak om stemmen bij willekeurige stembureaus mogelijk te maken en stemlokalen in te richten op bijvoorbeeld stations.

Ook minister Plasterk heeft wel eens geopperd op zondag te gaan stemmen om de opkomst te verbeteren. Een nadeel is bijvoorbeeld wel dat scholen dan dicht zijn, terwijl die nu makkelijk gebruikt kunnen worden als stemlokaal. Bovendien zal een deel van de bevolking dit als schending van de rustdag zien.

Na het stemlokaal

Hoewel het Nederlandse verkiezingsproces sinds 2009 grotendeels handmatig was, kwam er recent de nadruk op te liggen dat er toch nog een digitaal stuk in zat. Nadat de stemmen in de verschillende stembureaus handmatig geteld zijn, worden de resultaten in de vorm van een proces verbaal door één persoon naar het gemeentelijk stembureau gebracht. Daar werden tot nu toe de resultaten ingevoerd in de Ondersteunende Software Verkiezingen (OSV) en bij elkaar opgeteld. Vervolgens gingen de tellingen op usb-sticks opnieuw met één persoon in de auto van de circa 400 gemeenten naar twintig kieskringen en uiteindelijk naar het centraal stembureau.

ondersteunende software verkiezingen

De Ondersteunde Software Verkiezingen voor het samenvoegen van handmatige tellingen bleek slecht beveiligd. (Bron: Kiesraad)

Beveiligingsconsultant Sjoerd van der Hoorn ontdekte dat dit systeem opvallend slecht beveiligd was. Hij meldde dit bij de Kiesraad, maar omdat die geen stappen ondernamen, benaderde hij de media. RTL betrok ethisch hacker Sijmen Ruwhof erbij en die bevestigde de bevindingen in  een onderzoek.  De software mocht op willekeurige hardware met internetverbinding draaien en onder oude Windows-versies als XP. De resultaten kwamen zonder digitale ondertekening en onversleuteld op de usb-sticks te staan en werden alleen gehasht met het sterk verouderde SHA1. Die hashcontrole was bovendien optioneel en ontbrak zelfs in instructiefilmpjes. De cijfers konden hierdoor eenvoudig onopgemerkt gemanipuleerd worden. Dat is in dit stadium van het proces extra bezwaarlijk omdat het om steeds grotere aantallen gaat.

Minister Plasterk besloot dan ook resoluut dat bij de komende verkiezingen ook die laatste tellingen handmatig uitgevoerd moeten worden. Hoe dat er dan precies uit gaat zien is nog niet duidelijk. Mogen rekenmachines en spreadsheetprogramma’s bijvoorbeeld wel? De Nederlandse Vereniging Voor Burgerzaken (NVVB), de VNG en de Kiesraad (die al sinds 2011 op de hoogte was van de problemen) lieten in ieder geval al weten de maatregel overdreven te vinden en gaven aan dat het tellen meer tijd en mankracht zal kosten.

België

Ook de Vlaamse beveiligingsonderzoeker Bart Preneel sprak in De Morgen van een overreactie. Wel is ook de Belgische software op dit punt onlangs vervangen omdat die verouderd was. Volgens minister Jambon is het nieuwe systeem ‘Martine’ vrijwel onmogelijk te hacken. Dat is wel weer erg optimistisch. Gonggrijp: “De strijd tussen staatshackers en gemeentelijk ICT-beheer is vergelijkbaar met Real Madrid tegen de F’jes van Volendam.” Dat verlies je dus altijd.

Rop Gonggrijp

Rop Gonggrijp: “De strijd tussen staatshackers en gemeentelijk ICT-beheer is vergelijkbaar met Real Madrid tegen de F’jes van Volendam.”

Maar hoe moet het dan wel? Opnieuw gaat het erom onbetrouwbaarheid te compenseren met controles. Alle tellingen moeten tot op stembureauniveau gepubliceerd worden. Wat dat betreft doet België het goed: alle resultaten verschijnen op een website. Die cijfers moeten echter niet alleen gecheckt worden als daar aanleiding toe is, maar routinematig. Het stembureaupersoneel dat de tellingen ingevoerd heeft, moet er zelf op toezien dat die ook correct in de totalen meegenomen worden. Je zou zelfs kopieën van alle processen verbaal van de stembureaus aan de publicatie kunnen toevoegen, zodat iedereen de resultaten direct kan controleren. Zo komt fraude snel aan het licht.

Internetstemmen in het buitenland

Eerder zagen we dat stemmen via internet problematisch is omdat de stemvrijheid en het stemgeheim in het geding komen. Er is echter een groep waarvoor dit minder van belang is, namelijk Nederlanders die in het buitenland verblijven. Deze kiezers kunnen simpelweg niet naar de gecontroleerde omgeving van een stemlokaal. Stemmen per brief of volmacht, zoals nu gebeurt, kent wat dat betreft dezelfde problemen. Dat briefstemmen is best wel een gedoe en dat zou dus met stemmen via internet opgelost kunnen worden. In 2004 en 2006 is dat geprobeerd. De betreffende kiezers reageerden daar positief op en de opkomst van deze groep was dan ook hoger dan normaal. Uit verschillende onderzoeken bleek echter dat het gebruikte systeem RIES slecht beveiligd was en dat er met de verkiezingen gemanipuleerd kon worden. Daarom is in 2008 een punt gezet achter het internetstemmen.

Los van het specifieke systeem zitten er de nodige haken en ogen aan stemmen via internet. Een belangrijk probleem is de spanning tussen de controle op kiesgerechtigdheid en het stemgeheim. Wat dat betreft is er een duidelijk verschil met bijvoorbeeld online bankieren. Daarbij worden jouw acties na het inloggen continu gekoppeld aan jouw identiteit. Bij stemmen moet dat juist gescheiden worden. Je moet jezelf wel eerst identificeren, bijvoorbeeld met je DigiD, maar de stem die je vervolgens uitbrengt mag juist niet terug te voeren zijn naar jouw identiteit. Dat is technisch nog wel te realiseren, maar voor de gemiddelde kiezer niet te controleren. Dat is meteen een tweede belangrijk punt: hoe geavanceerder de techniek met allerlei beveiliging en versleuteling, hoe minder begrijpelijk het systeem wordt voor de gewone gebruiker. Noorwegen is om die reden in 2014 met een pilot gestopt, ook al was het systeem volgens experts juist waterdicht.

Estland

Taverne wijst erop dat in Estland wel al sinds 2005 naar tevredenheid via internet gestemd wordt, ook in het binnenland. Maar op het congres van de Chaos Computer Club in 2014 bleek dat het Estse systeem redelijk eenvoudig te manipuleren is. Het hangt er maar vanaf hoeveel geld en moeite je erin wilt steken. De Nederlandse student computer security Ruud Verbij bedacht voor zijn masterscriptie een manier om de risico’s van systemen voor internet- stemmen in geld uit te drukken. Daarmee berekende hij bijvoorbeeld dat je in Estland voor € 37.000 een zetel kunt ‘kopen’ en voor hooguit € 8.000 euro het stemsysteem plat kunt leggen met een ddos-aanval.

Toch doet de Nederlandse regering op verzoek van de Tweede Kamer tests met internetstemmen voor kiezers in het buitenland. Deze waren in eerste instantie gepland voor december 2016, maar zijn toen uitgesteld en komen nu waarschijnlijk kort na de verkiezingen. Ook serieuze hackpogingen zijn onderdeel van de tests.

De Russen komen!

Maar hoe reëel is het nou eigenlijk dat een organisatie de Nederlandse verkiezingen probeert te hacken? Het is aannemelijk dat Russische staatshackers actief waren bij de verkiezingen in de VS, maar is de Nederlandse politiek ook relevant voor hen? Amerikaanse inlichtingendiensten denken van wel. Zij waarschuwen dat Rusland bij de komende verkiezingen in onder andere Duitsland, Frankrijk en Nederland zal proberen de populistische, eurosceptische partijen sterker te maken en zo verdeeldheid in Europa te creëren. Ook de AIVD meldde onlangs een toename van hacks op overheidsinstanties vanuit met name Rusland en China. De regering neemt dat serieus. Politici en ICT-beheerders van partijen kregen advies van het Nationaal Cyber Security Centrum. Ook onder andere KPN en Stichting Digitale Infrastructuur boden hulp aan.

Aan de andere kant zijn er geen aanwijzingen dat de hacks in Amerika op het verkiezingssysteem zelf gericht waren. Vooral media en communicatiekanalen van partijen leken doelwit. En een vertegenwoordiger van het Russische ministerie van Buitenlandse Zaken deed de Nederlandse angst voor hacks bij de verkiezingen onlangs af als ‘hysterie’.

Of die angst nou gegrond is of niet, velen vinden de verkiezingen te belangrijk voor onze democratie om er risico’s mee te nemen. Tegelijk is het van belang het proces makkelijker te maken om zoveel mogelijk mensen mee te laten doen. Duidelijk is in ieder geval dat het afwegen van de voor- en nadelen van verschillende verkiezingssystemen geen eenvoudige taak is en zorgvuldig onderzoek vereist. Voor nu sluiten we ons aan bij de woorden van Joost Taverne: “We zijn heel benieuwd hoe het op 15 maart en de dagen daarna zal gaan.”

Waarborgen verkiezingsproces

De commissie Korthals-Altes beschrijft de waarborgen voor het verkiezingsproces als volgt:

Transparantie: het verkiezingsproces moet zo zijn ingericht, dat het helder van structuur en opzet is, zodat in beginsel iedereen inzicht in de structuur ervan kan hebben. Er zijn in het verkiezingsproces geen geheimen. Vragen moeten beantwoord kunnen worden; de antwoorden moeten controleerbaar en verifieerbaar zijn.

Controleerbaarheid: het verkiezingsproces moet objectief controleerbaar zijn. De controle-instrumenten kunnen, afhankelijk van de vorm van stemmen waartoe wordt besloten, verschillen.

Integriteit: Het verkiezingsproces moet correct verlopen en de uitkomst mag niet beïnvloedbaar zijn anders dan door het uitbrengen van rechtmatige stemmen.

Kiesgerechtigdheid: alleen kiesgerechtigde personen mogen aan de verkiezing deelnemen.

Stemvrijheid: iedere kiesgerechtigde moet bij het uitbrengen van zijn of haar stem zijn of haar keuze in alle vrijheid, vrij van beïnvloeding, kunnen bepalen.

Stemgeheim: het moet onmogelijk zijn om een verband te leggen tussen de identiteit van de persoon die de stem uitbrengt en de inhoud van de uitgebrachte stem. Het proces moet zodanig zijn ingericht, dat het onmogelijk is de kiezer te laten aantonen hoe hij of zij gestemd heeft.

Uniciteit: Iedere kiesgerechtigde mag, gegeven het Nederlandse kiesstelsel, één stem per verkiezing uitbrengen, die bij de stemopneming precies één keer meegeteld mag en moet worden.

Toegankelijkheid: kiesgerechtigden moeten zoveel mogelijk in de gelegenheid gesteld worden om direct deel te nemen aan het verkiezingsproces. Indien dat onmogelijk is, moet de mogelijkheid openstaan om indirect – door het verlenen van een volmacht – alsnog aan de verkiezing deel te nemen.

Stemmen met een beperking

Een van de belangrijke argumenten voor elektronisch stemmen is dat bepaalde groepen mensen hierdoor makkelijker zelfstandig hun stem uit kunnen brengen. De leesbaarheid, begrijpelijkheid en bedienbaarheid kunnen verbeterd worden, bijvoorbeeld met audio-ondersteuning en tactiele toetsen. Daarmee wordt het verkiezingsproces dus toegankelijker en kan het aantal volmachten wellicht worden teruggedrongen. De Organisatie voor Veiligheid en Samenwerking in Europa (OVSE) heeft bijvoorbeeld al een aantal keer kritiek gegeven op het Nederlandse volmachtsysteem, onder andere vanwege het risico op ronselpraktijken.

Maar over welke groep mensen hebben we het dan eigenlijk? De nadruk ligt op blinden en slechtzienden. Taverne: “dat zijn meer dan 300.000 mensen”. Een simulatietest uit 2016 suggereert dat een deel van deze groep inderdaad baat heeft bij stemmen met een printer met tactiele toetsen, eventueel aangevuld met audio-ondersteuning. Andere groepen die genoemd worden zijn laaggeletterden, ouderen en lichamelijk beperkten. Voor ouderen en laaggeletterden blijkt uit de simulatietest echter geen verschil met stemmen met potlood. Lichamelijk beperkten zijn niet meegenomen in de test. De commissie-Van Beek ging ervan uit dat “zeker 1 miljoen mensen baat zullen hebben bij de voorgestelde stemmethode.” Op basis van de genoemde tests lijkt dat een erg optimistische inschatting, maar ook bij 300.000 mensen praat je over een kleine drie procent van de kiesgerechtigden.

Tijdlijn elektronisch stemmen in Nederland

1967: eerste mechanische stemapparaat

1979: eerste elektronische stemapparaat

1991: eerste stemcomputer

2006: Sdu-computers afgekeurd wegens compromitterende straling na AIVD-onderzoek

2007: Nedap-computers afgekeurd wegens fraudegevoeligheid na onderzoek en rechtszaak ‘Wij vertrouwen stemcomputers niet’

2007: commissie-Korthals Altes adviseert losse printer en teller met paper trail

2008: terug naar het rode potlood na onderzoek expertgroep compromitterende straling

2010: verschillende hertellingen bij conventionele verkiezingen

2012: Joost Taverne dient initiatiefwetsvoorstel in om elektronisch stemmen en stemmen via internet in het buitenland mogelijk te maken

2013: commissie-Van Beek adviseert losse printer en teller

2016: deskundigengroep adviseert alleen stemmenteller in te voeren

2016: Tweede Kamer stemt tegen gewijzigd initiatiefwetsvoorstel van Joost Taverne

2017: ook optellen en doorgeven stemmen gebeurt handmatig na onderzoek van RTL

(Herman Heringa)

Deel dit artikel

Lees ook

Bijzondere hardware bij laptops: Asus ProArt StudioBook One

Het aanbod aan laptops is enorm gevarieerd, van goedkope chromebooks tot portable workstations. De Asus ProArt StudioBook One valt in de laatste categ...

NTP: belasting NTP-server meten met Wireshark

Het Network Time Protocol (NTP) is een onderbelicht maar belangrijk internetprotocol. Wireshark biedt een nieuwe functie om de latentie van een NTP-se...

1 Praat mee

1

avatar
  Abonneer  
nieuwsteoudste
Laat het mij weten wanneer er
trackback
In the media | Weblog | Sijmen Ruwhof

[…] CT.nl […]