Rotterdams referendum ontsnapt aan ICT-blunder

Als Rotterdam op 30 november 2016 naar de stembus gaat voor een referendum dan is het een zegen dat de burgers niet kunnen stemmen in de cloud. Volgens burgemeester Ahmed Aboutaleb kan dat namelijk veilig met DigiD. Uit stukken blijkt nu dat basale zaken voor het systeem als het voorkomen manipulatie van de stemmen of het bewaren van het stemgeheim niet zijn afgedekt. Voor de gebruikte software is niet eens een ontwerp beschikbaar.

Op 30 november 2016 stemt Rotterdam over de vraag of 20.000 goedkope woningen mogen worden gesloopt. Aboutaleb wil dat, maar er zijn veel burgers tegen. De burgermeester maakte bekend een referendum hierover in de cloud te willen organiseren, waarbij burgers met DigiD kunnen inloggen. Met een beroep op de Wet openbaarheid van bestuur(Wob) heb ik alle documenten over dit stemmen opgevraagd.

Eerlijke verkiezingen

Om een referendum eerlijk te laten verlopen, moet minimaal aan een aantal eisen worden voldaan:

  1. Waarborgen van het stemgeheim;
  2. Stemgerechtigden moeten daadwerkelijk in staat zijn om te stemmen;
  3. Het niet mogelijk is te rommelen met de stemmen door aanvallers of bestuurders;
  4. De burger kan controleren dat de verkiezingen kloppend verlopen;
  5. Het is duidelijk hoe het kiessysteem werkt;

Deze en alle andere eisen horen thuis in specificaties, systeembeschrijvingen en de beschrijving van gebruikte technieken. Dan kunnen we zien wat het systeem doet en of dat overeenkomt met de eisen. De gemeente Rotterdam heeft die documenten in het geheel niet. Wat de bouwplannen zijn van het systeem is voor gemeente en burger niet te toetsen. Hoe het gebruik van niet anonieme DigiD toch het stemgeheim waarborgt is een raadsel.

Dat is problematisch, maar nog niet onoverkomelijk. Bij ieder systeem draait het om wat er nu daadwerkelijk is gebouwd: de software. Uit de broncode, zeg maar de systeemcode die de programmeurs maken en die het echte programma vormen, blijkt pas echt of aan de eisen wordt voldaan. Maar ook die broncode heeft de gemeente niet. Daarmee ontbreekt ook aan de mogelijkheid om daarop gebruikelijke beveiligingscontroles uit te voeren.

Niet toetsbaar

Wat er geleverd wordt door de leverancier is schimmig en niet controleerbaar. De kiezer kan zelfs niet controleren wat de leverancier zegt te gaan bieden. Want die informatie is volgens Rotterdam een bedrijfsgeheim. Het gevolg is dat de verkiezingen niet toetsbaar zijn. Of het bedrijf te vertrouwen is weten we niet, want ook die naam wordt niet gecommuniceerd. Zelfs basale controles naar de organisatie kunnen we niet uitvoeren.

Wel is gekeken naar veiligheid en een zogenaamde penetratietest uitgevoerd. Daarbij kijkt een bedrijf of er zwakheden van de buitenkant te zien zijn en of daar aan een standaard wordt voldaan. Naar het hele systeem, de kwaliteit van de software of achterdeurtjes is niet gekeken. Ook beschikt de gemeente niet over testrapporten dat de leverancier zelf kwaliteit waarborgt.

Bij het testen is iets ontdekt wat zo ernstig was dat het gerepareerd is en daarna opnieuw getest. In de offerte voor die test staat: “Wel is uiteraard de balans tussen investering en risicoreductie in evenwicht gehouden.” Hoe goed is geïnvesteerd op de testen, wat de bevindingen zijn, is weer geheim.

Zwarte doos

Aboutaleb presenteert een zwarte doos waar nooit harde eisen zijn neergelegd voor een eerlijk verkiezingsproces, dat geen systeemontwerp kent en waarvan hij niet weet wat er uiteindelijk gebouwd is. Er is niet het begin van bewijs dat het DigiD-systeem eerlijke verkiezingen waarborgt. Wat getest kon worden, bleek onveilig en veel is niet getest. Dat is geen goede basis voor een gewoon systeem laat staan voor verkiezingen.

De Verenigde Staten laten zien dat de presidentsverkiezingen voor de machtigste baan onderwerp van discussie kunnen worden door elektronisch stemmen. Gelukkig heeft de gemeenteraad van Rotterdam een stokje voor stemmen in de cloud gestoken. Aboutaleb heeft namelijk geen flauw idee hoeveel Rotterdammers beschikken over een DigiD en hoeveel burgers kunnen stemmen.

Lees de Wob-stukken hier:

 

Hobbyproject Stemcomputers

Dinsdag stemt de kamer over een experiment met een stemcomputer. Het hobbyproject ontbeert financiële dekking, sjoemelt met beveiligingseisen en lijkt op één leverancier toe te spitsen.

Het wetsvoorstel is een initiatief van VVD-kamerlid Joost Taverne. Hij wil proberen in een beperkt aantal gemeenten met een computer te stemmen. Wat de test moet kosten is onzeker, omdat de ontwerpen er nog niet zijn. Maar volgens Taverne moeten we rekening houden met een bedrag van minimaal 20 miljoen euro. Landelijk zou dit het tienvoudige zijn.

Geen dekking

Waar het geld vandaan moet komen is voor de VVD’er een raadsel. Daarom wees Minister Plasterk erop dat verkiezingen voor rekening van de gemeenten komen. De reactie van de Vereniging Nederlandse Gemeenten spreekt boekdelen. Na jarenlang roepen dat de computers zoveel geld besparen, hoeven ze hem opeens niet meer.

De rekenmeesters van de VNG zien de bui namelijk al hangen. Na aanschaf van de stemcomputers moet je manipulatie voorkomen. De software heeft updates nodig en fysiek is veel aan beveiliging nodig. Vooral dat laatste is enorm duur als je dat goed wilt doen. Manipuleren kan in seconden. Bewaking is dan ook een continu proces.

Onveilig

Daarnaast valt er al vóór de computer is uitgedacht te twijfelen over de beveiliging. De aangetrokken expertgroep besloot namelijk al heel snel de eisen naar beneden bij te stellen. Wie verkiezingen serieus neemt, zorgt dat mensen in vrijheid kunnen stemmen en dat geheim blijft wat ze stemmen. Ook moet je niet verkiezingen kunnen stelen.

Daarvoor moet je exact weten wat je computers doen: zowel de hardware als de software. Die les hebben we wel van het Volkswagen-dieselschandaal geleerd. Op de productie van de computers zelf zal er volledige regie moeten zijn. Alleen hebben de experts die eis laten vallen, omdat dan de kostprijs van de machines velen malen hoger wordt.

Met dank aan zeer verfijnde microtechnologie wordt het steeds lastiger manipulatie of het opslaan van stemgedrag te detecteren. Dat is allemaal theoretisch geneuzel zolang je de verkiezingen maar gelooft. Alleen als dat niet het geval is dan heb je een dijk van een probleem: verkiezingen gaan immers over het overtuigen van de verliezer.

Grondwettelijke regels

In Duitsland zijn daarom stemcomputers defacto verboden door het grondwettelijk hof. Dat redeneert namelijk zo dat iedereen altijd moet kunnen begrijpen hoe verkiezingen lopen. Kun je het systeem niet uitleggen aan mijn 84-jaar oude moeder dan houdt het gewoon op. Democratie hoort namelijk geen zwarte magie te zijn.

Maar Joost Taverne heeft een broertje dood aan rechters die op grondrechten toetsen. Hij negeerde de uitspraak van het Hof om doodleuk zijn mede politici in het debat te doen geloven dat juist in Duitsland stevig werd geëxperimenteerd met stemcomputers. Minister Plasterk corrigeerde hem hierop.

Ongeloofwaardig

En waarom doet Joost het allemaal? Volgens zijn Twitter-feed voor de gehandicapten, die dan zelfstandig kunnen stemmen. Nogal ongeloofwaardig als je bij de VVD hoort. De partij probeerde een paar weken geleden nog te voorkomen dat ondernemers hun winkels voor rolstoelen toegankelijk moeten maken of hun website vriendelijker voor blinden.

Dinsdag stemt de Kamer het wetsvoorstel waarschijnlijk af. Hoe de computers eruit gaan zien is nog onbekend. Maar waarschijnlijk werken ze ongeveer zoals Smartmatic, dochter van de Britse SGO Groep, ze maakt. Dat bedrijf mocht namelijk op uitnodiging van de VVD een lobbytocht langs politici maken. Ze leveren ook een prima oplossing als we alleen beveiligingseisen en democratische controlemechanisme loslaten.

Waarom mag ik geen digitale handtekening zetten voor GeenPeil?

Volgens deze regering moet in 20172019 de overheid in alle gevallen digitaal met de burger kunnen communiceren. Dus zou het logisch zijn dat bij nieuwe wetten meteen kansen worden benut. Dat blijkt toch vies tegen te vallen. Digitalisering zit bij de overheid nog niet in het bloed.

Op mijn bureau ligt al weken een briefje om het verzoek van GeenPeil om een referendum te organiseren over het associatieverdrag tussen de Europese Unie en de Oekraïne. Of ik voor of tegen ga stemmen weet ik nog niet, maar het is belangrijk dat wij ons hierover kunnen uitlaten. Sinds 1 juli bestaat namelijk de wettelijke mogelijkheid om een referendum aan te vragen.

Veel gedoe

Recentelijk werd duidelijk dat de verzoeken voor een referendum veel werk voor de Kiesraad zijn. De oorzaak daarvan ligt vooral in het werk dat er moet gebeuren om handtekeningen te controleren. De ondertekenaars moeten namelijk wel in de Basisregistratiepersonen voorkomen en dat nazoeken is heel veel werk.

Het werken met fysieke post is ook gedoe voor zowel de burger als de mensen van GeenPeil. Zij verzamelen de handtekening en sturen dat door. Er is namelijk geen optie om dit digitaal te doen. Voor een nieuwe wet een erg ouderwetse manier van werken.

Eenvoudiger

Het leven zou veel eenvoudiger zijn als het inzamelen van handtekeningen ook elektronisch zou kunnen worden gedaan. Omdat je niet anoniem bent, is daarvoor het gebruik van DigiD een logische keuze. Dat gebruiken we bijvoorbeeld al voor het doen van belastingaangifte. Bovendien is het verschijnsel van een digitale handtekening inmiddels al jaren in de wet verankerd.

Als we de handtekeningen voor referenda elektronisch zouden doen (naast de papieren handtekening) dan wordt het proces fors vereenvoudigd. Bij de digitale handtekeningen kun je de controle volledig geautomatiseerd doen. Dat bespaart ook kosten en de online campagne van GeenPeil zou meteen ook zorgen voor boter bij de vis.

Er is een forse lobby om stemcomputers terug te krijgen, waarbij keer op keer uit onderzoek blijkt dat de anonimiteit en de controleerbaarheid een probleem zijn. Maar mensen blijven aan dat dode paard trekken. Nu heb je een proces waar technologie echt verschil kan maken en niemand die daar iets mee doet. Dat is toch bijzonder voor een overheid met grote digitale ambities.

BZK tegen proef met nieuwe stemcomputers

Aanstaande woensdag worden tijdens de verkiezingen weer nieuwe stemcomputers getest. Maar het ministerie van BZK vindt de tests een ‘verkeerd signaal’ en mogelijk verwarrend voor kiezers.

Bij de Tweede Kamerverkiezingen aanstaande woensdag zullen opnieuw nieuwe Nedap stemcomputers getest worden op een stembureau in de gemeente Renkum en Helmond. Hierbij kunnen burgers na het stemmen met het rode potlood ook een uitnodiging krijgen hun stem op de computer uit te brengen. Lees het verhaal op Webwereld.

Bekijk het bijbehorend Wob-verzoek.

Waterschappen zien beveiliger voor notaris aan

Over het “beperkt in gevaar” brengen van het stemgeheim bij de waterschapsverkiezingen is vorig jaar niet goed gecommuniceerd: bij het openen van de kluis was een bewaker, maar geen notaris.

Dat blijkt uit een verslag (pdf) van een bewaker van Securitas dat in handen is van Webwereld. Uit twee handgeschreven verslagen blijkt dat bij het herhaaldelijk openen van de kluis met de toegang tot het stemgeheim er geen notaris aanwezig is geweest. Ook blijkt er een verschil tussen de verslagen van de beveiliging en de Unie van Waterschappen. Lees het verhaal op Webwereld.

De Beveiligingsupdate 60: De stemcomputer op proef in de achterhoek

De burgervaders van Oost Gelre (Groenlo) en Doetinchem komen op voor de herintroductie van stemcomputers. Dat is volgens eigen zeggen niet voor de lokale leverancier Nedap, maar vooral omdat men van het “19de-eeuwse” stemmen met het potlood af wil. Rond het dossier is de nodige controverse en zo wordt de Stichting “Wij vertrouwen stemcomputers niet” niet “geapprecieerd”.

Tegenstand wordt niet geduld en daarom valt de kritische houding van zowel het Ministerie van Binnenlandse Zaken Koninkrijksrelaties als de stichting enorm slecht. Beide krijgen dan ook tijdens de persconferentie een behoorlijke veeg uit de pan. De felle kritiek op de actievoerders blijkt een duidelijke oorzaak te hebben, die fluisterend wordt uitgelegd. Alleen een combinatie van podcast microfoon en een draaiende camera maken dit pijnlijk helder.