Stemgeheim is niet het enige probleem van NewVote stemcomputer.
Volgens Sdu directeur Bert Jongsma staat het ministerie van Binnenlandse Zaken en Koninkrijksrelaties op het punt de NewVote stemcomputers weer toe te laten voor de Provinciale Statenverkiezingen van 7 maart. Dit is een slechte zaak.
De NewVote stemcomputers worden door Sdu Uitgevers ontwikkeld, en mochten bij de laatste Tweede-Kamerverkiezingen niet gebruikt mochten worden omdat het stemgeheim niet kon worden gegarandeerd. Volgens de AIVD, die de nieuwste versie getest heeft, zou deze versie de straling (op basis waarvan een uitgebrachte stem op afstand te lezen zou zijn) afdoende beperken. Deze tests zijn niet openbaar, en daarmee niet verifieerbaar. Met andere woorden: de kiesgerechtigde wordt geacht het oordeel van een min-of-meer geheime, en een zich deels aan de democratische controle onttrekkende, organisatie te vertrouwen, júist voor een proces dat aan de basis ligt van ons democratisch bestel. Dit is onverantwoord.
Echter, dat is nog niet eens het belangrijkste bezwaar. De stemcomputers zouden worden toegelaten omdat ze geen bedreiging voor het stemgeheim meer vormen. Nergens wordt echter uitgesproken of deze stemcomputers voldoen aan alle ándere eisen voor een betrouwbare en verifieerbare stemming. En dat is nu juist, in het geval van de NewVote stemcomputers, maar helemaal de vraag.
De NewVote stemcomputer is een omgebouwde, op Windows XP gebaseerde, PC met een touchscreen, draadloos modem, en speciale verkiezingssoftware. Met andere woorden: een extreem gecompliceerd apparaat, waarvan de precieze werking door niemand ooit exact te controleren is. De aanwezigheid van een draadloos modem maakt het, in ieder geval in principe, mogelijk dat hackers van buiten toegang zoeken en/of krijgen tot de stemcomputer zonder dat iemand daar iets van merkt.
Een besturingssysteem als Windows XP is dermate complex dat daar op allerlei plekken programmeerfouten te vinden zijn. Dit soort lekken kunnen gebruikt worden om toegang te krijgen tot de stemcomputer. Bovendien is de broncode (en daarmee de precieze werking) van Windows XP niet openbaar. Het is dus in principe mogelijk dat het systeem moedwillig aangebrachte zwakheden bevat om het stemproces te saboteren. Bijvoorbeeld om een stem op bepaalde partijen niet of juist dubbel te tellen.
Tenslotte positioneert NewVote zich als een partij die graag alle zorgen voor de verkiezingen uit handen van de gemeente neemt, onder het motto: wij de verkiezingen, u de uitslag. Of, zoals op www.newvote.nl (de website van NewVote) wordt gezegd: "Kies [..] voor het gemak van NewVote: Een complete dienstverlening voor een geslaagde verkiezingsdag."
Het voorstellen van verkiezingen als een dienst die één organisatie aan de samenleving kan aanbieden is een fundamenteel foute benadering. De verantwoordelijkheid en uitvoering van verkiezingen moet juist níet bij één organisatie gelegd worden. Hiervoor zijn meerdere, van elkaar onafhankelijke, partijen noodzakelijk, om zo de kans op fraude te verminderen. Bovendien moet het proces transparant en controleerbaar zijn. Het gebruiken van stemcomputers op basis van niet openbare hardware ontwerpen, gesloten broncode en gevalideerd door niet openbare testen vastgelegd in geheime testrapporten is dan uit den boze.
De Nederlandse kiesgerechtigde mag hopen dat het ministerie op het laatste moment zal afzien van toelating van de NewVote stemcomputer. Veilige verkiezingen draaien niet om het stemgeheim alléen. Net zo belangrijk zijn zaken als betrouwbaarheid, integriteit, transparantie en controleerbaarheid. Beter ten halve gekeerd dan ten heele gedwaald.
Jaap-Henk Hoepman is senior onderzoeker security en cryptografie bij TNO ICT en de Radboud Universitiet Nijmegen.
Last Version - e1e3326.
(Note: changeover from CVS to dotless svn version numbers on Jan 19, 2008, and changeover to GIT versioning on May 30, 2013.)
Maintained by Jaap-Henk Hoepman
Email: jhh@cs.ru.nl