Rotterdams referendum ontsnapt aan ICT-blunder

Als Rotterdam op 30 november 2016 naar de stembus gaat voor een referendum dan is het een zegen dat de burgers niet kunnen stemmen in de cloud. Volgens burgemeester Ahmed Aboutaleb kan dat namelijk veilig met DigiD. Uit stukken blijkt nu dat basale zaken voor het systeem als het voorkomen manipulatie van de stemmen of het bewaren van het stemgeheim niet zijn afgedekt. Voor de gebruikte software is niet eens een ontwerp beschikbaar.

Op 30 november 2016 stemt Rotterdam over de vraag of 20.000 goedkope woningen mogen worden gesloopt. Aboutaleb wil dat, maar er zijn veel burgers tegen. De burgermeester maakte bekend een referendum hierover in de cloud te willen organiseren, waarbij burgers met DigiD kunnen inloggen. Met een beroep op de Wet openbaarheid van bestuur(Wob) heb ik alle documenten over dit stemmen opgevraagd.

Eerlijke verkiezingen

Om een referendum eerlijk te laten verlopen, moet minimaal aan een aantal eisen worden voldaan:

  1. Waarborgen van het stemgeheim;
  2. Stemgerechtigden moeten daadwerkelijk in staat zijn om te stemmen;
  3. Het niet mogelijk is te rommelen met de stemmen door aanvallers of bestuurders;
  4. De burger kan controleren dat de verkiezingen kloppend verlopen;
  5. Het is duidelijk hoe het kiessysteem werkt;

Deze en alle andere eisen horen thuis in specificaties, systeembeschrijvingen en de beschrijving van gebruikte technieken. Dan kunnen we zien wat het systeem doet en of dat overeenkomt met de eisen. De gemeente Rotterdam heeft die documenten in het geheel niet. Wat de bouwplannen zijn van het systeem is voor gemeente en burger niet te toetsen. Hoe het gebruik van niet anonieme DigiD toch het stemgeheim waarborgt is een raadsel.

Dat is problematisch, maar nog niet onoverkomelijk. Bij ieder systeem draait het om wat er nu daadwerkelijk is gebouwd: de software. Uit de broncode, zeg maar de systeemcode die de programmeurs maken en die het echte programma vormen, blijkt pas echt of aan de eisen wordt voldaan. Maar ook die broncode heeft de gemeente niet. Daarmee ontbreekt ook aan de mogelijkheid om daarop gebruikelijke beveiligingscontroles uit te voeren.

Niet toetsbaar

Wat er geleverd wordt door de leverancier is schimmig en niet controleerbaar. De kiezer kan zelfs niet controleren wat de leverancier zegt te gaan bieden. Want die informatie is volgens Rotterdam een bedrijfsgeheim. Het gevolg is dat de verkiezingen niet toetsbaar zijn. Of het bedrijf te vertrouwen is weten we niet, want ook die naam wordt niet gecommuniceerd. Zelfs basale controles naar de organisatie kunnen we niet uitvoeren.

Wel is gekeken naar veiligheid en een zogenaamde penetratietest uitgevoerd. Daarbij kijkt een bedrijf of er zwakheden van de buitenkant te zien zijn en of daar aan een standaard wordt voldaan. Naar het hele systeem, de kwaliteit van de software of achterdeurtjes is niet gekeken. Ook beschikt de gemeente niet over testrapporten dat de leverancier zelf kwaliteit waarborgt.

Bij het testen is iets ontdekt wat zo ernstig was dat het gerepareerd is en daarna opnieuw getest. In de offerte voor die test staat: “Wel is uiteraard de balans tussen investering en risicoreductie in evenwicht gehouden.” Hoe goed is geïnvesteerd op de testen, wat de bevindingen zijn, is weer geheim.

Zwarte doos

Aboutaleb presenteert een zwarte doos waar nooit harde eisen zijn neergelegd voor een eerlijk verkiezingsproces, dat geen systeemontwerp kent en waarvan hij niet weet wat er uiteindelijk gebouwd is. Er is niet het begin van bewijs dat het DigiD-systeem eerlijke verkiezingen waarborgt. Wat getest kon worden, bleek onveilig en veel is niet getest. Dat is geen goede basis voor een gewoon systeem laat staan voor verkiezingen.

De Verenigde Staten laten zien dat de presidentsverkiezingen voor de machtigste baan onderwerp van discussie kunnen worden door elektronisch stemmen. Gelukkig heeft de gemeenteraad van Rotterdam een stokje voor stemmen in de cloud gestoken. Aboutaleb heeft namelijk geen flauw idee hoeveel Rotterdammers beschikken over een DigiD en hoeveel burgers kunnen stemmen.

Lees de Wob-stukken hier:

 

Waarom mag ik geen digitale handtekening zetten voor GeenPeil?

Volgens deze regering moet in 20172019 de overheid in alle gevallen digitaal met de burger kunnen communiceren. Dus zou het logisch zijn dat bij nieuwe wetten meteen kansen worden benut. Dat blijkt toch vies tegen te vallen. Digitalisering zit bij de overheid nog niet in het bloed.

Op mijn bureau ligt al weken een briefje om het verzoek van GeenPeil om een referendum te organiseren over het associatieverdrag tussen de Europese Unie en de Oekraïne. Of ik voor of tegen ga stemmen weet ik nog niet, maar het is belangrijk dat wij ons hierover kunnen uitlaten. Sinds 1 juli bestaat namelijk de wettelijke mogelijkheid om een referendum aan te vragen.

Veel gedoe

Recentelijk werd duidelijk dat de verzoeken voor een referendum veel werk voor de Kiesraad zijn. De oorzaak daarvan ligt vooral in het werk dat er moet gebeuren om handtekeningen te controleren. De ondertekenaars moeten namelijk wel in de Basisregistratiepersonen voorkomen en dat nazoeken is heel veel werk.

Het werken met fysieke post is ook gedoe voor zowel de burger als de mensen van GeenPeil. Zij verzamelen de handtekening en sturen dat door. Er is namelijk geen optie om dit digitaal te doen. Voor een nieuwe wet een erg ouderwetse manier van werken.

Eenvoudiger

Het leven zou veel eenvoudiger zijn als het inzamelen van handtekeningen ook elektronisch zou kunnen worden gedaan. Omdat je niet anoniem bent, is daarvoor het gebruik van DigiD een logische keuze. Dat gebruiken we bijvoorbeeld al voor het doen van belastingaangifte. Bovendien is het verschijnsel van een digitale handtekening inmiddels al jaren in de wet verankerd.

Als we de handtekeningen voor referenda elektronisch zouden doen (naast de papieren handtekening) dan wordt het proces fors vereenvoudigd. Bij de digitale handtekeningen kun je de controle volledig geautomatiseerd doen. Dat bespaart ook kosten en de online campagne van GeenPeil zou meteen ook zorgen voor boter bij de vis.

Er is een forse lobby om stemcomputers terug te krijgen, waarbij keer op keer uit onderzoek blijkt dat de anonimiteit en de controleerbaarheid een probleem zijn. Maar mensen blijven aan dat dode paard trekken. Nu heb je een proces waar technologie echt verschil kan maken en niemand die daar iets mee doet. Dat is toch bijzonder voor een overheid met grote digitale ambities.

‘Ministers moeten uitleg veiligheid overheidsites geven’

AMSTERDAM – Drie PVV-Kamerleden hebben aan vier ministers vragen gesteld over de valse certificaten die na een hack bij Diginotar zijn uitgegeven. Overheidswebsite zijn daardoor potentieel onveilig. De Kamerleden Elissen, Hernandez en Kortenoeven eisen opheldering van de ministers van Veiligheid en Justitie, Buitenlandse Zaken, Binnenlandse Zaken en Koninkrijksrelaties en die van Defensie. Ten eerste wil de PVV weten of de ‘blunder’ gevolgen heeft voor het gebruik van DigiD. Lees het verhaal op NU.nl.

Overheidsites gedupeerd na aftappen Gmail

AMSTERDAM – Het tappen van Gmail door de Iraanse overheid via een Nederlands bedrijf blijkt een hack met verstrekkende gevolgen voor Nederlandse domeinen. Inmiddels is een eerste onderzoek afgerond en zit ook de AIVD op de zaak. Maandagavond werd bekend dat het de Iraanse regering gelukt is om een computer tussen Iraanse bezoekers van Gmail en de webmail dienst te plaatsen. Hierdoor was het mogelijk al het verkeer af te tappen. Lees het verhaal op NU.nl.

‘Sms-autorisatie DigiD minder veilig’

AMSTERDAM – De sms-berichten die het inloggen bij de overheid met DigiD veiliger moeten maken, worden in de toekomst minder beveiligd. Dat stelt Webwereld na het analyseren van geheime aanbestedingsdocumenten. In het verleden werden harde eisen gesteld aan de manier van beheer, de omgang met de gegevens, de locatie waar de servers staan en het toezicht op de dienstverlening. Nu is dat niet meer het geval. Lees het verhaal op NU.nl.

Beveiliging DigiD op losse schroeven

De overheid ziet ervan af om de toegang tot DigiD nog langer afdoende te beveiligen. “Systemen die worden beheerd in een kippenhok voldoen aan de eisen van het Rijk.” De problemen spelen bij de dienstverlening om SMS-berichten te kunnen sturen, die door de overheid recentelijk opnieuw is aanbesteed. Daarbij is slechts gekozen met één criterium: de prijs. En dus is alles op dezelfde hoop gegooid. Dat blijkt uit documenten die in het bezit zijn van Webwereld. Lees het verhaal op Webwereld.