Personal tools

Nieuwsbrief Nr. 50 - 4 juli 2008

From Wij vertrouwen stemcomputers niet

Nieuwsbrief nummer 50 !!

Het is dubbel feest bij "Wij vertrouwen stemcomputers niet". Precies in de vijftigste nieuwsbrief begraven we ceremonieel het laatste elektronische stemsysteem dat in Nederland nog in gebruik was. In het artikel over het internetstemmen staat het verslag van een wel heel drukke week.

In het buitenland moddert men ondertussen verder: in Londen is het tellen van de stemmen aan een commercieel bedrijf uitbesteed, veel duurder, niet sneller en oncontroleerbaar. Ook in België wil men koste wat kost verder met stemcomputers. Maar in beide landen begint ook het besef door te dringen dat dit wel eens de verkeerde weg zou kunnen zijn.


Internetstemmen waterschappen

Rond internetstemmen is veel gebeurd sinds we u twintig dagen geleden de laatste nieuwsbrief stuurden. Wat is er gebeurd? Laten we beginnen in de weken voor het Algemeen Overleg (AO) in de Tweede Kamer van eergisteren (2 juli 2008).

Slechte regelgeving

Twee nieuwsbrieven geleden hadden we al kort aangegeven wat er volgens ons allemaal mis is met de door Verkeer & Waterstaat gemaakte regeling voor het internetstemmen. Men had bij V&W na veel aandringen van de Kamer een rommeltje geproduceerd dat regelde dat de waterschappen hun eigen vlees mochten keuren op basis van hele vage normen. Het was een regeling die volgens ons overduidelijk alleen maar (met tegenzin) gemaakt was om het internetstemmen bij de waterschappen met een goedkeurings-sausje te overgieten.

De Kamerleden van de vaste commissie voor Binnenlandse Zaken zijn, zoals u weet, al langer helemaal klaarwakker als het om internetstemmen of stemcomputers gaat en hadden dan ook geen zin om nog meer prutswerk rond verkiezingen toe te staan. Het internetstemmen begon in het denken rond verkiezingen al een beetje een vreemde eend in de bijt te worden. Dus toen wij ook nog eens heel helder en met bronnen erbij voor ze op een rijtje hadden gezet waarom de regeling volgens ons maar niks was zagen ook de Kamerleden (velen vaste lezers van deze nieuwsbrief) het internetstemmen helemaal niet meer zitten.

Hoofdpijn bij V&W

Dat er politiek zwaar weer op komst was is ook bij Verkeer & Waterstaat doorgedrongen. Tijdens de voorbereiding op het AO kwam men er tot hun schrik achter dat de Kamerleden in veel te veel detail snapten hoe de vork in de steel zat. Doorduwen, zo werd al snel duidelijk, is een politieke Mission Impossible. Om staatssecretaris Huizinga geen onnodige (verdere) schade op te laten lopen heeft men daarop een terugtrekkende beweging ingezet.

Om de waterschappen en de Kamer niet voor het hoofd te stoten moest er dan nog wel een reden bedacht worden die bestuurlijk beter klonk dan "iedereen is er ineens achter gekomen dat dat onze regelgeving prutswerk is en dat we RIES hoe dan ook gaan goedkeuren". Die bleek gevonden te kunnen worden in een rapport over RIES wat net uit was. Het was een rapport van het EiPSI (Eindhoven Institute for the Protection of Systems and Information). Dit rapport is niet heel overdreven negatief over RIES, maar kraakt toch wel een paar harde noten en geeft heel duidelijk aan dat er stevige fundamentele problemen met betrekking tot beveiliging en stemgeheim zijn. Zo staat er onder meer:

RIES assumes that the voter’s PCs are secure. Attackers may however employ malware or even ‘man-in-the-browser’ attacks to capture voter’s PCs. Powerful attackers may thus change votes, and so this involves a unique potential risk for Internet elections.
[...]
The structural protection and safeguards offered by cryptography are rather limited. Many of the guarantees thus rely on organizational controls, notably with respect to (voter) key generation, production of postal packages, insider attacks (especially at the server), integrity and authenticity of the software, and helpdesk procedures.
[...]
The RIES Internet election system also offers potentially dangerous ways for manipulation of elections, in principle applicable on a large scale and different from attacks on postal elections.
[...] the general voting requirements formulated by the Korthals Altes Committee are not all satisfied: not only vote freedom but also vote integrity and confidentiality are not structurally guaranteed.

Normaal zou niemand zich al te zeer over deze fragmentjes in een veel dikker rapport hebben opgewonden. Het rapport bevatte immers ook zinnen als:

The whole technical and organizational set-up is, as far as we could see from a study of the documentation, carefully designed. Various controls are in place to oversee the proper execution of all the required steps.

Bij V&W zouden ze zo'n rapport normaal 'begraven' (negeren) of desnoods 'wegschrijven' (uitleggen waarom iets 'niet relevant' is). Nu men echter dringend een stok nodig had om RIES mee te slaan kwamen de eerdere paragrafen in het rapport goed van pas. De staatssecretaris zat namelijk in een moeilijk parket. Volgens de regeling die ze zelf had gemaakt zou ze voor 1 september 2008 moeten besluiten of ze het internet-stemsysteem goedkeurt of niet. Dat kan echter pas nadat Fox-IT, in de regeling met name genoemd, een rapport heeft uitgebracht. De regeling was duidelijk niet bedacht vanuit de gedachte dat RIES ook wel eens afgekeurd zou moeten worden. De 'Haha, afkeuren gaat nu lekker niet meer'-timing die men zo kundig in de regeling had ingebouwd zat nu ineens danig in de weg.

De oplossing bleek, na enig ambtelijk creatief denken, het opvragen van een 'tussenrapportage' bij Fox-IT om de 'zorgelijke conclusies' van EiPSI te ontkennen of te bevestigen. Het inderhaast opgestelde tussenrapport onderstreepte zoals gehoopt de fundamentele tekortkomingen van RIES, die in grote lijnen overigens ook al door ons benoemd werden in 2006. Met dat tussenrapport in de hand kon de staatssecretaris aankondigen dat ze weliswaar "geen besluit genomen had" maar dat ze de waterschappen alvast wilde "waarschuwen" dat het goedkeuren waarschijnlijk zou gaan mislukken. Op die manier was de politieke eer van de staatssecretaris gered terwijl alles bestuursrechtelijk optimaal tegen claims van de waterschappen was ingedekt. Maar we lopen op het verhaal vooruit...

De broncode

Op het "Wij vertrouwen stemcomputers niet" hoofdkwartier in Amsterdam waren wij ondertussen gaan kijken naar de broncode van RIES die inmiddels op het net was gezet. Het Waterschapshuis, het samenwerkingsverband van waterschappen dat de verkiezingen organiseert, had een mooie site gemaakt: www.openries.nl. Op deze site die op 26 juni online kwam stonden naast de broncode ook rapporten, studies, brochures en jubelverhalen over RIES.

Na alles wat we over RIES gelezen en gehoord hadden waren we een beetje moedeloos begonnen. RIES zou immers zeer degelijk in elkaar moeten zitten: de site meldde trots dat allerlei prominente partijen naar het systeem gekeken hadden:

Various prominent institutions have tested and positively evaluated RIES:
* TNO Human Factors from Soesterberg tested usability of the voting interface;
* A team of specialists from Peter Landrock’s Cryptomathic (in Aarhus, Denmark) tested the cryptographic principles;
* Madison Gurka from Eindhoven tested the server and network setup and security;
* A team under supervision of Bart Jacobs (Radboud University Nijmegen) did external penetration tests.
SQL-injectie problemen
Tot onze verbazing troffen we in de broncode vrijwel onmiddellijk een hele reeks problemen aan. De software blijkt gevoelig voor (we worden nu even technisch) SQL-injection aanvallen en Cross-Site scripting, de speciale per SMS verstuurde eenmalige inlogcodes blijken op een stomme manier tot stand te komen en is er nog een reeks aan andere problemen. De code is, kort gezegd, geschreven door één of meerdere programmeurs die beveiliging niet van het begin af aan hadden ingebouwd. En iedere programmeur kan vertellen dat dat geen goed idee is.

Om te kunnen verifiëren dat de problemen inderdaad ook in het echte systeem werken vragen we aan het Waterschapshuis of we eens met het systeem mogen spelen. Dat mag gelukkig en zo geschiedde. Hoewel het systeem na wat rondproberen binnen de korste keren 'gesloten voor het het weekeinde' is kunnen we toch mooie screenshotjes van de problemen maken. We produceren in recordtijd een wetenschappelijk rapport over wat we gevonden hebben en we versturen op zaterdag 28 juni aan het Waterschapshuis één van de eerste versies voor commentaar. De aanbevelingen zijn hard, maar dat is volgens ons gezien het geconstateerde gebrek aan beveiligingsbewustzijn gerechtvaardigd:

Recommendations to government
* RIES as it is should not be used for any elections. [...]
* The Water Boards must not be believed if they say RIES can be quickly fixed. [...]
* For critical applications such as election systems, responsible coding standards and other criteria need to be developed and independently tested against. No systems should be approved or used in elections until such tests are part of the applicable legal requirements.
* The fundamental shortcomings of RIES and systems like it need to be given more weight.

De volgende dag ontvingen we van het Waterschapshuis het commentaar waarvan we om te mogen testen beloofd hadden dat we het in onze rapportage zouden verwerken. De ernst van de problemen wordt ontkend. Men is gewoon nog niet helemaal klaar en de beveiliging stond simpelweg "nog niet aan". Dat er iets fundamenteel mis is met de code is volgens het Waterschapshuis onzin.

[...] The published code of RIES is not yet the production code. Internal reviews and tests have to be made. [...] New versions of the code will be published in the coming weeks. [...] The RIES-Portal access will be controlled by VPN, RIES-RIPOCS is only accessible via RIES-Portal, and RIES-ROCMIS is an offline machine used within a proper set of administrative procedures. Therefore, RIES cannot be evaluated from source code alone to measure the security strength.
Keep in mind; this part is NOT production code yet. Many of the issues are related to proper input validation. And we agree that proper input validation is required and we will fulfill that requirement. Mainly Struts input validation mechanism will be used. In the published source packages and the development system investigated, the feature was not switched on for development reasons. Therefore again: we’re in a state of functional sequence test (ketentest) and not yet in production.

Het NRC Handelsblad, door ons gebeld omdat we onze bevindingen schokkend genoeg vonden, schreef op maandagmiddag over het rapport en over de reactie van het Waterschapshuis. Op het net barstten op diverse plaatsen discussies los en op de techneutensite Tweakers.net zijn een aantal mensen bij gebrek aan onze studie zelf maar vast door de broncode heen aan het bladeren om te zien of ze onze bevindingen kunnen bevestigen. Echt genadig komt RIES er niet vanaf. Zo schrijft ene 'Moartn':

Het bloed komt me uit de ogen als ik dit soort broncode zie. Welk serieus bedrijf schrijft dit soort bagger nou nog anno 2008? Geen (logging-)framework, geen goede exception-handling, geen DAL (O/R-mapper anyone?), en zo kan ik wel doorgaan.

Security nog niet aan?

Volgens het Waterschapshuis zijn de lekken die we in RIES vonden dus geen echte lekken, maar puur een gevolg van het feit dat de beveiliging nog niet "aangezet" was op de omgeving die wij testten.

In dat verband vonden wij het interessant om te zien dat de website van het bedrijf dat RIES geprogrammeerd heeft door verschillende sites als verspreider van 'badware' wordt gezien. RIES is geprogrammeerd door het bedrijfje Magic Choice. De website van dat bedrijf - kennelijk al sinds 2004 niet meer aangepast - staat bol van hoe goed men is in het bouwen van software die authenticatie en verificatie doet. Die website blijkt aangevallen door een bekend stuk kwaadaardige software dat kennelijk door botnets wordt verspreid en dat middels, jawel, SQL Injection de database van Magic Choice heeft volgegooid met nare dingen (malicious Javascript in iframes).

Google over Magic Choice

Google waarschuwt al bij een zoek-opdracht voor "Magic Choice": "Deze site kan schade toebrengen aan uw computer." Heeft de programmeur van RIES dan misschien ook op zijn eigen site vergeten de beveiliging "aan te zetten"?

Brief Huizinga

Op het ministerie van V&W was die maandag ook de "wij geven het op maar we geven er een leuke draai aan"-brief van Huizinga aan de Tweede Kamer door het ministeriële parafencircus heen. In die brief staat onder meer:

De conclusies in het rapport van EiPSI vind ik erg zorgelijk. Zo stellen de onderzoekers bijvoorbeeld: “Het RIES-systeem voor stemmen per Internet kent mogelijk ook gevaarlijke manieren van manipuleren van verkiezingen, die in principe op grote schaal toepasbaar zijn en afwijken van die bij verkiezingen per post.”
Dit rapport is voor mij aanleiding geweest om mijn adviseur Fox-IT te vragen alvast inzicht te geven in de voorlopige bevindingen van hun onderzoek. Alhoewel het onderzoek nog niet is afgerond, lijken deze bevindingen de conclusies van EiPSI niet te ontkrachten maar te onderstrepen.
Op grond van de geleverde informatie van waterschappen en het tussenadvies van Fox-IT ben ik van oordeel dat de stemvoorziening nu niet voldoet aan de daarvoor gestelde eisen. Ik realiseer me dat de waterschappen reeds veel inspanningen hebben gepleegd en de komende tijd ook nog veel kosten moeten maken om internetstemmen mogelijk te maken. Naarmate ik mijn oordeel later bepaal en kenbaar maak nemen de gemaakte kosten toe. Ook in de richting van de waterschappen acht ik het daarom van belang om helderheid te scheppen.
Met wat ik nu weet is het mijn stellige overtuiging dat ik een negatief besluit zal moeten nemen. Ik heb contact opgenomen met de voorzitter van de Unie van Waterschappen om mijn oordeelsvorming mee te delen. Over mijn besluit zal ik u zo spoedig mogelijk na het uitkomen van het advies van Fox-IT, maar uiterlijk op 1 september 2008 informeren.

De redenen die de staatssecretaris aangeeft zijn allemaal heel fundamentele zaken die te maken hebben met de manier waarop RIES werkt. Niets dat opgelost kan worden zonder heel RIES aan de kant te gooien en voor een groot deel problemen die nog door geen enkel online stemsysteem zijn opgelost. Daarmee is 'even aanpassen' van RIES ook gelijk mooi van de agenda.

Wel is het belangrijk dat ze bij V&W en de waterschappen niet denken dat het nu 'klaar' is. Het nog komende rapport van Fox-IT over RIES moet natuurlijk nog steeds openbaar worden en ook over hoe de waterschappen nu de papieren stemmen tellen willen we de komende maanden nog veel meer weten.

Intermezzo: de mythe van de hogere opkomst

Huizinga schreef in haar brief ook nog:

Ik betreur zeer dat het niet aanbieden van internetstemmen mogelijk een negatief effect zal hebben op de verwachte opkomst van de verkiezingen. Ik zal er de komende maanden alles aan doen om de waterschappen waar mogelijk te ondersteunen bij het onder de aandacht brengen van de waterschapsverkiezingen.

We worden zo langzaamaan erg moe van het verhaal dat internetstemmen maar snel ingevoerd moet worden omdat het de opkomst zou verhogen. Vooral bij de waterschapsverkiezingen wordt dat heel belangrijk gevonden omdat de opkomst daar tot zo rond de 20% is gedaald.

De gedachte dat internetstemmen goed is voor de opkomst van verkiezingen blijkt, als je het een beetje uitzoekt, eigenlijk alleen gebaseerd op hoop. Onderzoek geeft aan dat verkiezingsopkomsten meestal dalen om redenen die niets met de manier van stemmen te maken hebben. En dan helpt internet niet. Sterker nog, als je het maar knullig genoeg doet help je alleen het vertrouwen dat burgers hebben in de verkiezingen om zeep, en dat kan ook niet goed zijn voor de opkomst.

Voor wie het interesseert hebben we in een apart stuk het beschikbare wetenschappelijke werk over internetstemmen en opkomst maar eens op een rijtje gezet. Voorstanders van internetstemmen moeten maar eens voor de dag komen met onderzoeken waaruit blijkt dat het de opkomst verhoogt. Of hun mond houden natuurlijk, dat mag ook.

Algemeen Overleg

Maar we dwalen af. De ambtenaren van Verkeer & Waterstaat hebben met de brief kundig vooraf de angel uit het debat gehaald en zo begint, met een beetje een 'mosterd na de maaltijd'-gevoel het AO op 2 juli. Toch gebeurden daar nog best een aantal spannende zaken.

Om te beginnen zetten de aanwezige Kamerleden, Jos Hessels van het CDA voorop, grote vraagtekens bij de plannen van BZK om met computers te gaan helpen bij het tellen van de stemmen. Vooral de plannen om de stem met behulp van een barcode in te geven roepen kritiek op. Wie heeft die software dan gemaakt, en wie zegt dat die software dan wel te vertrouwen is?

Ook Paul Kalma van de PvdA is kritisch over die telhulp en over internetstemmen. Na alles wat er gebeurd is is het motto volgens hem "Bij twijfel niet doen, en bij grote twijfel zeker niet doen!". Kalma komt met een nieuwe gedachte: hij wil de verkiezingen voor de waterschappen ook in de Kieswet onderbrengen. Het is volgens hem eigenlijk onzin dat we twee wetten (de Kieswet en de Waterschapswet) hebben die allebei iets met verkiezingen regelen.

Over RIES werden zeer harde noten gekraakt. Naïma Azough van GroenLinks gaf aan geen hoge pet op te hebben van het systeem: "Dat RIES wordt gebruikt is opmerkelijk gezien het feit dat er bij de andere verkiezingen zoveel zorgvuldigheid wordt betracht!" en Arda Gerkens van SP memoreerde dat "kennelijk niet de juiste mensen met de juiste zaken bezig zijn geweest als anderen in korte tijd kunnen laten zien dat het niet deugt en onveilig is."

Ook was er nog even verwarring omdat Huizinga van V&W ten onrechte claimde dat ze bij BZK bezig waren met normen voor internetstemmen. Maar de BZK-delegatie keek daar voldoende problematisch bij om vast te kunnen stellen dat BZK op dat gebied waarschijnlijk geen ambities meer heeft.

Tijdens het AO was er ook nog aandacht voor het stemmen door gedetineerden, wat een steeds groter thema wordt tijdens deze overleggen waar het toch over het verkiezingsproces gaat. (Problemen tot nu toe zijn onder meer dat gedetineerden doorgaans geen ingezetene zijn van de gemeente waar ze gevangen zitten en dat het lastig is om een openbare zitting van het stembureau te organiseren in een gevangenis).

Ook het zelfstandig en met stemgeheim stemmen door gehandicapten, met name blinden, werd door diverse Kamerleden opnieuw aangekaart. Deze groep kiezers kon dankzij enkele met hoofdtelefoons uitgeruste stemcomputers de laatste jaren wel zelfstandig stemmen, maar nu het rode potlood weer overal wordt ingezet zijn blinden afhankelijk van iemand die voor hen het juiste vakje inkleurt. Staatssecretaris Bijleveld gaf aan bezig te denken aan een oplossing middels braille of een telefoon in het stemlokaal.

Wat betreft het handmatig tellen wil de staatssecretaris niet alleen de gemeenten tegemoet komen door te zoeken naar nieuwe technologische hulpmiddelen, ook wordt serieus overwogen de stemlokalen een uur eerder te sluiten zodat men eerder kan beginnen met tellen.

De VVD ging bij monde van Laetitia Griffith nog een stapje verder. Die partij wil dat "het denken over technische oplossingen niet ophoudt" en blijft - eigenlijk als enige - principieel voor internetstemmen en wil ook stemmen in een willekeurig stemlokaal buiten de eigen gemeente ingevoerd zien. En daarnaast vroeg ze zich nog af of het potlood niet een andere kleur kon dan rood. ("Nee, dat staat zo in de Kieswet.")

Briefstemmen ook met RIES

Tijdens het AO werd nog iets duidelijk dat een eigen kopje in deze nieuwsbrief verdient. Het bleek dat RIES door de waterschappen ook gebruikt wordt voor het tellen van de papieren stembiljetten. Voor het geautomatiseerd tellen van de papieren stembiljetten is eigenlijk niets geregeld. En door de manier waarop dat gedaan is, is het stemgeheim eigenlijk op precies dezelfde manier in gevaar als wanneer RIES voor internetstemmen wordt gebruikt. De paper van EiPSI schrijft:

The forms contain special OCR lines that somehow represent the pseudo identity of the voter. More precisely the OCR lines contain the Kpi , but only encrypted by the 3DES key Kkpocr. In particular the decrypt version of this key Kocrkp is needed to actually compute Kpi itself. And even then one would probably need Kgenvoterkey as well to compute personal information like VnIDi , which is typically the BSN.

Er gebeuren in RIES allerlei zaken waarbij we volledig op de software en de mensen rond het systeem moeten vertrouwen en moeten hopen dat bepaalde sleutels en bestanden niet uitlekken. Dus: een systeem dat de overheid vanwege fundamentele problemen met het stemgeheim heeft afgeschreven als het gaat om internetstemmen telt nu ergens in een hoekje geheel geautomatiseerd de papieren stembiljetten waar de identiteit van de kiezer ook op staat.

De Kamerleden hebben dit door en vragen verder. Kalma (PvdA) wil weten of het tellen met RIES zoals door de waterschappen gedaan wel "betrouwbaar en veilig genoeg is" en Hessels (CDA) dringt aan op het helemaal laten vallen van RIES. Als hij de staatssecretaris oproept "Doe het niet, tel met de hand!" krijgt het contingent waterschapsmensen dat achter ons zit het toch echt bijna te kwaad.

Er zijn mensen die zich afvragen of dit nou allemaal zo erg is. Het zijn maar de waterschapsverkiezingen tenslotte. Zijn we nou niet heel paranoïde?

Stel: de politieke partijen doen met de komst van het lijstenstelsel officieel hun intrede in de waterschappen. De waterschapsverkiezingen worden dan de zoveelste opiniepeiling over de landelijke politiek zoals de EP-verkiezing dat eigenlijk ook is. En dan blijkt, jaren later, dat er iemand is die stiekem wat bestanden heeft bewaard die vernietigd hadden moeten worden en dat die persoon daardoor kan uitrekenen wat iedereen gestemd heeft. Niet goed.

Daarnaast horen we voor het bewaren van het stemgeheim niet afhankelijk te zijn van cryptografie die misschien ooit, bijvoorbeeld door de komst van quantumcomputers, gebroken wordt. Stel als gedachtenexperiment dat je nu, zeventig jaar na dato, ineens kon uitrekenen wie van de na-oorlogse prominente Nederlanders er tot de 8% van de kiezers behoorden die bij de PS-verkiezingen in 1935 nog voor de NSB stemden...

En nu verder?

Wij vermoeden dat de dossiers 'internetstemmen' en 'stemcomputers' bij de Nederlandse overheid nu onder in een kast liggen, met een grote rode 'GEVAAR' sticker op de kaft. Het gaat, zo durven wij te voorspellen, dan ook nog wel even duren voor we weer serieus te nemen initiatieven in die richting gaan zien. Voorlopig is men in ambtelijk Nederland al lang blij dat er rust in de tent is.

En aldus eindigde het sprookje van de stemcomputers en het internetstemmen, een moderne variant op het verhaal van Hans Christian Andersen over een keizer die nieuwe kleren had.

Maar geen zorgen. Wij blijven u, zoals u gewend bent, voorlopig nog even met deze nieuwsbrief op de hoogte houden.


Kiesraad opent aanbesteding

De Kiesraad is onlangs een openbare aanbestedingsprocedure begonnen voor de software die het verkiezingsproces moet ondersteunen. Het wordt Open Source software en er moeten allemaal moeilijke dingen met 'formele methoden' gebeuren in de berekening van de uitslag. (Hierover misschien in een volgende nieuwsbrief meer.) In een nieuwsbericht schrijft de Kiesraad onder meer:

Op 19 juni 2008 is de Kiesraad de Europese (openbare) aanbestedingsprocedure gestart voor de ontwikkeling van software ter ondersteuning van het verkiezingsproces. Deze software zal in verkiezingstijd - door gemeenten, politieke partijen en de Kiesraad - worden gebruikt bij de kandidaatstelling en in de uitslagberekening. Het is de bedoeling dat de software voor het eerst wordt ingezet bij de verkiezingen van het Europees Parlement van 4 juni 2009. De software zal in ieder geval gebruikt kunnen worden bij de verkiezingen van de leden van de Tweede Kamer, Europees Parlement, provinciale staten, gemeenteraad en bij referenda. De Kiesraad en de VNG hebben hierover afspraken gemaakt.

Er op te rekenen dat deze software al voor de EP-verkiezingen in 2009 gebruikt kan worden lijkt erg ambitieus. Op 15 augustus aanbiedingen inleveren en op 9 september de gunningsbeslissing die dan op 24 september definitief wordt. Op 15 december 2008 moet de software dan vervolgens getest en voorzien van testrapporten worden opgeleverd.

Wij hebben wel eens gezegd dat het maken van software voor het verkiezingsproces geen 'rocket science' is. Maar twee en en halve maand om het te bouwen en te testen is misschien wel weer het andere uiterste. Hopelijk is er een Plan B.


Geen gelukkig huwelijk?

Het NRC had op 2 juli 2008 een interessant opinie-artikel onder de kop "Overheid verwacht en eist te veel van haar computer". Daarin schreef redacteur Warna Oosterbaan onder meer:

Overheid en ICT, het lijkt geen gelukkig huwelijk. Tal van grote projecten kampen met problemen rond automatisering. Waarom gaat het zo vaak mis?
Gisteren demonstreerden psychotherapeuten die wegens automatiseringsproblemen al een half jaar geen vergoeding krijgen voor hun diensten. Staatssecretaris Tineke Huizinga maakte eergisteren bekend dat de waterschapsverkiezingen via internet niet doorgaan. Iets verder terug liggen de problemen met de ov-chipkaart, de stemcomputers, de Belastingdienst, de tolpoorten.
Zijn er ook automatiseringsprojecten van de overheid die wél lukken?

In het lezenswaardige stuk wordt langzaamaan een omslag in het denken over ICT voor grote overheidsprojecten duidelijk: ICT moet een heldere functie hebben en niet alleen maar op magische wijze een probleem oplossen waar de overheid geen raad mee weet, zoals in het geval van de lage opkomst voor de waterschapsverkiezingen.

Maar niet iedereen heeft door dat de dagen van kletskoek verkopen aan goedgelovige ambtenaren langzaam voorbij zijn:

Ron Tolido, technologiedirecteur van automatiseerder Cap Gemini (90.000 werknemers wereldwijd) kijkt ook liever vooruit. „We zien nu een achterhoedegevecht. Banken en luchtvaartmaatschappijen zijn er al lang uit. Dat je van KLM geen papieren ticket meer krijgt – het is een rouwproces waar je even doorheen moet. Straks weet je niet beter. Natuurlijk gaan we straks via internet stemmen!”
Maar is er toch niet te veel vertrouwen in de automatisering? Tolido: „Nee hoor. Er zijn automatiseringsbedrijven die te veel beloven. Maar gelukkig is er dan de markt om dat te corrigeren.”

Laten we het hopen.

Zwolse interventie

Het had maar een haar gescheeld of we hadden de Nedap stemcomputers toch nog weer terug gekregen. De lokale partij PBZ in Zwolle had een motie ingediend in de gemeenteraad. Een Zwolse interventie zou, geholpen door Zwolse Tweede Kamerleden, de stemcomputers alsnog moeten redden.

De PBZ-motie werd maandagavond door de raad verworpen. Er komt geen Zwolse poging om de stemmachines toch te mogen inzetten.
De regering heeft de regeling, die het gebruik van stemmachines mogelijk maakt, ingetrokken. Het gevolg zijn organisatorische en financiële problemen, betoogde PBZ- raadslid Albert de Boer. Hij stond in zijn motie stil bij de kapitaalsvernietiging en stelde vast dat er in Zwolle met het stemmen per stemmachine nooit problemen zijn geweest. Terug naar het potlood staat volgens hem haaks op het streven naar meer e-communicatie tussen overheid en burger. In zijn beleving zou Zwolle een poging moeten doen via een speciale aanvraag alsnog toestemming voor het gebruik van stemcomputers te krijgen. Volgens De Boer zou het college in VNG-verband en door inschakeling van Zwolse Tweede-Kamerleden die poging moeten wagen.


België

Parlement negeert waarschuwingen

In onze laatste nieuwsbrief hebben we al stilgestaan bij de situatie in België. In België blijkt de nationale verdeeldheid ook doorgedrongen te zijn tot het stemcomputerdomein. Het elektronisch stemmen is tot op heden eigenlijk alleen in Vlaanderen grootschalig doorgedrongen (44% procent van de Belgen stemt elektronisch).

Niet alleen wensen de Vlamingen kennelijk een formidabel bedrag te investeren in het laten ontwikkelen van nieuwe stemcomputers, zij willen bovendien in 2009 hun gammele oude 386-stemcomputers (met ouderwetse lichtpen) voor de zoveelste keer "toch nog één keertje gebruiken". De Walen, en de PS (Parti Socialiste) in het bijzonder, staan echter zeer terughoudend tegenover elektronisch stemmen en keuren de plannen om het aantal stemcomputers in de toekomst uit te breiden scherp af: "elektronisch stemmen leidt tot teveel fouten, is te ondoorzichtig en te duur."

Nadat de Kamer- en Senaatscommissies Binnenlandse Zaken niet tot overeenstemming wisten te komen — de meeste Vlaamse commissieleden wilden geen kwaad woord over stemcomputers horen — heeft het pro-stemcomputerkamp onder leiding van de Vlaamse senator Dirk Claes een "voorstel van resolutie" opgesteld waarin de oude stemcomputers vrolijk gebruikt mogen worden in 2009 en de ontwikkeling van nieuwe stemcomputers gewoon doorgaat, maar gemeenten toch de mogelijkheid behouden om desgewenst terug te schakelen naar papier en potlood.

Echter, "ondertussen moeten simulaties en tests worden uitgevoerd die dienen aan te tonen dat stemmen met de computer wel degelijk betrouwbaar is." Wie deze weinig objectief geformuleerde onderzoeksopdracht krijgt wil vast nog wel eens vaker werken voor de overheid in België. En dus is zo'n onderzoeker waarschijnlijk slim genoeg om te concluderen dat elektronisch stemmen inderdaad heel betrouwbaar is. De Vlaamse meerderheidspartijen en de liberale Franstalige partijen steunen het voorstel terwijl de PS het voorstel probeert te blokkeren en met een eigen resolutie komt waarin juist papier en potlood de boventoon gaan voeren. Begin juli zal er al over de voorstellen gestemd gaan worden.

Opgemerkt moet worden dat tot op heden noch het ministerie van Binnenlandse Zaken, noch het pro-stemcomputerkamp enige indicatie hebben gegeven wat ze verwachten dat de ontwikkeling en introductie van het nieuwe stemprintersysteem zal gaan kosten. Toen de Walen daar kritische vragen over begonnen te stellen antwoordden de Vlamingen doodleuk dat het geen probleem voor de gemeenten zou zijn "omdat de federale overheid de kosten op zich neemt". Wat natuurlijk een beetje een raar antwoord is als je zelf over de federale financiën gaat.

Digitale kloof is juist goed!

Senator Dirk Claes (CD&V), tevens burgemeester van het plaatsje Rotselaar, heeft nog steeds een onwankelbaar vertrouwen in stemcomputers.

"De Franstaligen willen gewoon niet betalen voor nieuwe stemcomputers. Officieel omdat die fraudegevoelig zouden zijn, maar aan Vlaamse kant gelooft niemand die uitleg."

Hij verklaart het verzet van de socialistische Walen tegen stemcomputers als volgt:

"In de commissie trokken Ecolo (Franstalige groene partij) en de PS nogal hard aan het zeel omdat ze volgens mij angst hebben om stemmen te verliezen. Zij halen die ook bij veel allochtonen, ouderen en kansarme groepen. Dat zijn vaak mensen die het misschien wat moeilijker hebben met de bediening van zo'n stemcomputer."

Als Claes dit inderdaad zo gezegd heeft - en het feit dat het artikel op zijn eigen website staat doet het ergste vrezen - dan laat hij zich hier wel op een hele nare manier in de kaarten kijken. Lastige bediening voor sommige groepen in de samenleving als argument *voor* stemcomputers is in ieder geval nieuw voor ons en hopelijk uniek. Waarom mogen allochtonen, ouderen en kansarme groepen, als het aan de CD&V senator ligt, niet hun stem uitbrengen? Omdat ze toch socialistisch of in ieder geval niet op CD&V stemmen? Maar in een 21ste-eeuwse democratie is het toch ondenkbaar dat je stemgerechtigde burgers beperkt in hun stemrecht op grond van onderscheid naar etniciteit, leeftijd of op basis van sociaal-economische motieven?

Des te opmerkelijker dat de uitspraak van senator Claes door journalisten kritiekloos overgenomen is. Let wel, Dirk Claes is niet een senator van het Vlaams Belang maar hoort 'gewoon' bij de Vlaamse CDA, CD&V staat voor "Christen-Democratisch en Vlaams" en is sinds 2007 de grootste partij. Onwillekeurig denken we nu terug aan CDA-coryfee Ben Bot die als minister van Buitenlandse Zaken tijdens de pro-Europese-grondwet-campagne vriend en vijand verbaasde met zijn uitspraak dat "twijfelaars over de Europese grondwet maar beter niet kunnen gaan stemmen in het Europees referendum dan uit cynisme nee te zeggen".

Iedereen begreep onmiddelijk dat Bot's uitspraak strijdig was met elementaire democratische beginselen. Bot kreeg veel boze reacties en de media over zich heen en zag zich gedwongen zijn uitspraak te 'nuanceren'. De Belgische kranten die de opmerking van senator Claes citeerden lieten echter elk commentaar achterwege. En dat is pas echt zorgwekkend.


UK: e-counting belemmert waarneming

Bij de Londense burgemeesterverkiezingen van 1 mei 2008 heeft de Open Rights Group (ORG) geconstateerd dat het mogelijk is dat er veel stemmen niet goed terecht zijn gekomen. Bij deze verkiezingen werden de stembiljetten naar een centrale locatie gebracht waar de stemmen de volgende dag met behulp van stembiljetscanners geteld werden. De ORG had op 1 mei waarnemers bij stembureaus en de volgende dag waarnemers in de telhal geplaatst om het stemproces en ook, voor zover mogelijk, de electronische telling in de gaten te kunnen houden. In haar op 2 juli 2008 verschenen rapport concludeert de ORG dat er domweg onvoldoende bewijsmateriaal beschikbaar is om de waarnemers met zekerheid vast te kunnen laten stellen of de verkiezingsuitslag daadwerkelijk een correcte weergave van de intentie van de kiezers is.

"There is insufficient evidence available to allow independent observers to state reliably whether the results declared in the May 2008 elections for the Mayor of London and the London Assembly are an accurate representation of voters’ intentions. Given these findings, the Open Rights Group (ORG) remains opposed to the introduction of e-counting in the United Kingdom, unless adopting ORG’s recommendations for increasing the transparency around e-counting can be proved cost effective."

Op de dag van de telling bleek elke poging tot transparantie rond het tellen van geldige stemmen niets anders dan valse schijn: honderden schermen waren bij de scanners gezet die de waarnemers en kandidaten onzinnige data toonden, terwijl de ambtenaren intussen doodleuk toegaven dat het telsysteem waarschijnlijk blanco stembiljetten als geldige stemmen meetelde.

"On the day of the count, efforts towards transparency around the recording of valid votes were nothing more than pretence. As a result, many ORG observers concluded that they were unable to observe valid votes being recorded. The hundreds of screens set up by the scanners showed almost meaningless data to observers, party candidates and agents, while officials admit that underneath the system was likely to be recording blank ballots as valid votes."

Voor de waarnemers was lastig vast te stellen wat ze eigenlijk waarnamen bij het telproces.

"At the scanning stage observers were clearly unsure how to record what they were seeing. For example, when asked, "Were valid votes checked to ensure the ballot paper was genuine?", only four observers answered "Yes". The majority (11) of observers responded that they were "Unable to Observe" what was going on, while a further five observers concluded from their observations that valid votes were not checked to ensure the ballot paper was genuine."

Van de stembiljettenscanner werd door de leverancier beweerd dat deze een aantal geldigheidskenmerken van de stembiljetten zou controleren voordat de stem geteld werd. Het leeuwendeel van de waarnemers kreeg echter onvoldoende bewijsmateriaal in handen om zelf te kunnen verifiëren of de scanners dit ook werkelijk deden.

"The London Elects E-counting Factsheet states that the scanner "checks against various security features to ensure the ballot paper is genuine." However, the majority of ORG observers were not presented with enough evidence to conclude that this was what was happening during the scanning process."

Bij het scannen en tellen liepen meer dan eens papieren en/of machines vast en verschenen regelmatig foutmeldingen die wezen op een invoerconflict. In het eerste stadium van de telling stak bovendien een heuse bug de kop op. Het vastlopen en de vele foutmeldingen wijzen er in ieder geval op dat de kwaliteit van de gebruikte software, en ook de controle op de kwaliteit van de software, kennelijk ontoereikend geweest zijn.

'Indra', de 'onafhankelijke firma' die het scannen uitvoerde, toucheerde 4,5 miljoen pond (ruim 5,5 miljoen euro) voor haar bijdrage aan het tellen van de stemmen. Zorgwekkender is dat Indra een eigen toegang had tot de tellende servers die aan elke vorm van waarneming onttrokken was.

"Indra, the company with whom London Elects contracted to deliver the e-count system, had equipment directly connected to the counting servers to which observers had limited or no access. This, in ORG‘s opinion, is a critical issue. ORG views this as a serious gap in the chain of accountability."

Dat betekent feitelijk dat de firma Indra de telling naar believen had kunnen beïnvloeden.

De ORG raadt, op grond van haar waarnemingen, de Londense kiesraad aan om een grondige kosten/baten analyse te doen voor de verkiezingen van mei 2008, waarbij het totaal van de nu gemaakte kosten naast die van handmatig tellen gezet moeten worden. Bij de huidige kosten moeten dan ook de kosten opgeteld worden voor een steekproef waarbij een statistisch significant deel van de stemmen met de hand geteld wordt. Voorts constateert de ORG dat het telproces beslist transparanter moet worden, het is nu immers vrijwel niet te controleren hoe de stembiljetten precies geteld worden door het systeem.


Duitsland: Überhangmandate moeten anders

Het Duitse Bundesverfassungsgericht, het grondwettelijk hof, heeft in een door enkele burgers aangespannen zaak beslist dat de zetelberekening voor de Bundestag anders moet. De zogenaamde 'überhangmandate' zijn extra zetels die tot stand komen als kandidaten meer 'Direktmandate' (een soort lokale voorkeurszetels) krijgen dan het aantal zetels waar de partij op basis van de 'zweitstimme' (de meer partijgebonden stemmen) recht op heeft.

Probleem was dat bij de berekening een zogenaamd 'negatief stemgewicht' kon ontstaan, een situatie waarbij meer stemmen voor een partij juist minder zetels opleverden. Het grondwettelijk hof heeft geoordeeld dat dit voor juni 2011 in de wetgeving aangepast moet zijn.

Dit oordeel is belangrijk voor ons omdat de rechters argumenteren dat een deel van de Duitse Kieswet ongrondwettelijk kan zijn zonder dat dit de uitslag van de verkiezingen in het verleden aanvechtbaar maakt.

Dennoch erklärten die Richter aber das Bundestagswahlergebnis von 2005 nicht für ungültig. Der Wahlfehler wirke sich zwar auf die Zusammensetzung des Bundestags aus, erklärte der Senat. Er führe aber nicht zu dessen Auflösung, "da das Interesse am Bestandsschutz der im Vertrauen auf die Verfassungsmäßigkeit des Bundeswahlgesetzes zusammengesetzten Volksvertretung überwiegt", heißt es weiter.

Juist op dit punt hebben de indieners van de klacht tegen stemcomputers een beetje in de rats gezeten: zouden de rechters niet bang zijn de boel al te zeer op zijn kop te zetten als ze stemcomputers aan de kant zouden zetten? Dat probleem lijkt dus nu in ieder geval uit de weg genomen te zijn. Uitspraken bij het in Karlsruhe gevestigde hof zijn "klaar als ze klaar zijn", maar de uitspraak in de zaak rond de stemcomputers wordt nog dit jaar verwacht.


USA: Nieuwe audit-wet schiet doel voorbij

Op 1 juli 2008 lanceerden senator Dianne Feinstein (Democraten) en senator Bob Bennett (Republikeinen) gezamenlijk het wetsvoorstel voor een 'Bipartisan Electronic Voting Reform Act'. Het voorstel zou vanaf 2012, dus zeker niet voor de komende presidentsverkiezingen, moeten leiden tot 'beter controleerbare verkiezingen'. Iedereen die nu denkt dat men ook aan de andere zijde van de Atlantische Oceaan het licht heeft gezien en met rasse schreden de stemcomputers het land uit zet komt bedrogen uit. De 'Electronic Voting Reform Act' is er immers primair op gericht om het vertrouwen van de kiezer in electronisch stemmen te vergroten.

"This bill will help increase voter confidence in the election process by ensuring that our electronic voting systems meet the highest security standards," said Senator Bennett. "I am especially pleased that the bill encourages continued innovation and development in the field of election technology."

Er moet dus vooral meer geïnvesteerd worden in stemcomputers, waarbij het wettelijk vereisen van papertrail en steekproeven de twee in het oog springende gunstige veranderingen zijn. Maar niet elk papiertje of e-papiertje is even houdbaar natuurlijk. Het wetsvoorstel voorziet namelijk ook in andere 'controlemogelijkheden' voor de kiezer dan het hertelbare papiertje:

"Under the Act, voters casting their ballots using direct recording electronic (touch screen) voting systems would be able to simultaneously verify their choices by means of an independent paper, electronic, audio, video, or pictorial record. Such records would be auditable and would also be available for review in the event of a recount."

Een teruggekoppelde electronische of audiovisuele weergave van de stemkeuze en opname daarvan is helaas geen enkele garantie dat de stem ook daadwerkelijk op dezelfde wijze geteld, en eventueel nageteld, zal worden als de kiezer zojuist voorgeschoteld is.

Er schuilt echter nog een ander venijnig addertje onder het gras bij de wijze waarop in het wetsvoorstel transparantie geregeld zou gaan worden. Ofschoon tegenwoordig bijna overal ter wereld ingezien wordt dat broncode van in het verkiezingsproces gebruikte software maar beter zonder enig voorbehoud openbaar kan zijn, beschermt het nieuwe wetsvoorstel uitdrukkelijk de belangen van de fabrikanten tegen controle door burgers en waarnemers. De nota stelt immers onder het kopje 'veiligheid' letterlijk:

Security:
* Requires voting system software to be disclosed and subject to review under certain circumstances, with procedures in place to ensure the protection of trade secrets and intellectual property rights.

Kortom: het recht van de fabrikant om het tellen van de stemmen geheim te houden voorkomt openbaarmaking van de broncode.


Canada

In de Canadese plaats Nanaimo heeft men onlangs het plan afgeblazen om online te stemmen voor gemeenteraadsverkiezingen. Joan Harrison, "city manager of legislative services", hoopte (daar is ie weer) met het online stemmen de traditioneel erg lage opkomst wat op te krikken. Het plan gaat niet door omdat het juridisch niet mogelijk bleek het internetstemmen nog voor de verkiezingen in de wet op te nemen.


Azerbeidzjan

In een waarschijnlijk ietwat slecht vertaald bericht uit Azerbeidzjan maken we op dat men kennelijk ook daar de i-Voting-ambities aan de wilgen heeft gehangen.

"The main obstacle for application of this system is the absence of reliable and ordinary computer system of voters' biometric identification and the need to adopt a legal basis for legalization of e-voting", said he in his speech at the conference "Azerbaijan's integration with the Euroatlantic space and democratic elections", held in Baku.
He said even the developed countries of the world have not used virtual voting and the test use of this method was held only in Estonia.
Wij