Stemcomputer, de zombie die maar niet dood wil

<Webwereld column>

U heeft gestemd - of niet?Terwijl stemcomputers in Nederland al vier jaar verboden zijn, blijken fundamentele misverstanden over de kern van het probleem rond stemcomputers te blijven bestaan. Afgelopen maand deden de VVD en D66 wederom voorstellen om elektronisch stemmen in Nederland weer in te voeren. Eerder dit jaar riep ook het Nederlands Genootschap van Burgemeesters op tot herinvoering (opmerkingen over niet-gekozen bestuurders die zich bemoeien met het kiesproces in de comments graag ;-).

De vele knullige security problemen (video) of de afwezigheid van de broncode van de software (in het geval van Nedap en SDU stemcomputers) zijn weliswaar prima aanleidingen geweest om het onderwerp via de media op de politieke agenda te krijgen, maar deze zaken zijn niet de kern van het probleem. En hoewel het dossier stemcomputer op het Ministerie van Binnenlandse zaken inmiddels een fel fluoriserende ‘radioactief, niet aankomen!’-sticker heeft, blijft het risico bestaan dat lagere overheden of leveranciers blijven denken dat stemmen per computer best kan ‘als we maar even die bugjes oplossen’.

De werkelijke bezwaren zijn veel fundamenteler en hebben weinig te maken met securitybugs of beschikbare broncode. Het gaat veel verder. Het gebruik van stemcomputers doet fundamentele democratische principes geweld aan. In het eerste jaar van de acties van de werkgroep wijvertrouwenstemcomputersniet.nl werd vaak geroepen door overheid en leveranciers dat men niet zo wantrouwend moest zijn. Nederland was tenslotte een net land en de suggestie dat iemand fraude zou plegen met zo iets fundamenteels als verkiezingen werd als ridicuul van de hand gedaan. Het was simpelweg ondenkbaar en verdere discussie of verantwoording erover was derhalve niet noodzakelijk.

Deze houding laat een fundamenteel misverstand zien over de essentie van democratie. Democratie is namelijk geen kwestie van vertrouwen, maar juist van georganiseerd wantrouwen. Door schade en schande hebben we de afgelopen paar duizend jaar geleerd dat macht veel te gevaarlijk is om zomaar aan een klein groepje mensen te geven zonder stevige waarborgen over het gebruik ervan. Een verlichte dictator lijkt weliswaar een efficiënte regeringsvorm, maar hoe hou je de dictator verlicht als deze mens, met de gebruikelijke zwakheden, eenmaal op het pluche zit?

Het systeem dat de plaats van een dictator heeft ingenomen is verre van perfect en wordt geplaagd door traagheid en focus op media-geile onderwerpen, maar iets beters hebben we gewoon nog niet bedacht (wellicht wordt Liquid Feedback van de Piratenpartij ooit werkbaar op grote schaal). Maar in ieder geval is het in een democratie vrij moeilijk om in het geheim grote beslissingen te nemen zonder brede goedkeuring. En daar is het dus om begonnen, een koning of president kan niet zo maar op eigen houtje hele gekke dingen doen die het land te gronde richten of de fundamentele rechten van burgers schenden.

Het wantrouwen tegen macht en machthebbers kan dus niet worden opgelost door de broncode van een stemcomputer online te zetten, omdat burgers niet kunnen vaststellen of de gepubliceerde broncode daadwerkelijk draait op de specifieke stemcomputer op de basisschool in hun buurt. Nog belangrijker is het feit dat 99,99% van de bevolking geen code-audits kan doen. En daarmee komt het dan toch weer neer op het moeten vertrouwen van een heel klein groepje technische experts. En het vertrouwen van een heel klein groepje (welk groepje dan ook!) is nu juist precies wat we niet meer wilden. Als we kleine groepjes technici gaan vertrouwen, kunnen we net zo goed het parlement samenstellen op basis van een steekproef van een onderzoeksbureau. Dat scheelt een heleboel tijd en papier en er is vast wel een leuke Tv-avond om heen te bouwen.

Vaak is ook gezegd dat er met papieren stembiljetten ook gefraudeerd kan worden, waarbij bijvoorbeeld verkiezingen in Zimbabwe naar voren worden geschoven. Belangrijk aspect is hier echter niet de mogelijkheid van fraude, maar de detecteerbaarheid ervan. Effectieve, en dus grootschalige, fraude met een papieren stemsysteem is onmogelijk geheim te houden (daarom weten we ook dat er in Zimbabwe gefraudeerd is) en dat maakt het mogelijk om in te grijpen als kleine groepjes het systeem proberen te misbruiken. Fraude met stemcomputers is in de meeste gevallen onmogelijk om achteraf aan te tonen. De geheugens zijn dan gewist en er zijn geen biljetten om nog eens te hertellen. Dit laatste bleek nog eens pijnlijk bij een lokale verkiezing waar het aspirant-gemeenteraadslid ook bediener van de stemcomputer was. In het stemlokaal waar hij aanwezig was kreeg hij onwaarschijnlijk veel meer stemmen dan in alle andere locaties in de gemeente. Toch kon het OM geen zaak rond krijgen tegen deze mogelijke fraudeur wegens gebrek aan bewijs. De man kan door dit gebrek aan bewijs echter zijn eventuele onschuld ook nooit meer overtuigend aantonen.

Zelfs bij elektronisch stemmen met een geprint stembiljet (een z.g. ‘papertrail‘) kan twijfel ontstaan over de uitslag en het aanvragen van een hertelling van een paper-trail wordt ook meteen een politieke issue (winnaars zijn tegen, verliezers voor). Op welk moment gaan we papertrails hertellen? Welke steekproef is goed genoeg voor de verliezer? Hoe bepalen we dat er reden is om te twijfelen aan de elektronische uitslag? De aanname is toch juist dat de computer goed telt? Er zal dus een bestuurlijke en politieke drempel zijn om überhaupt zo’n hertelling aan te vragen. Dit gecombineerd met het feit dat het bepalen van een ‘winnende’ coalitie in Nederland onder de waarnemingsdrempel van een peiling ligt maakt het aantrekkelijk om stemcomputers te manipuleren. Wat is het waard om de verkiezingsuitslag van de 20ste economie op de planeet te bepalen?

Ondanks kleine incidenten heeft bij het papieren stemproces in Nederland de integriteit nimmer ter discussie gestaan. Bij de vorige generatie stemcomputers moesten, na enig aandringen van externe experts, zelfs Binnenlandse Zaken en TNO toegeven dat deze niet compatibel waren (of ooit waren geweest) met de Nederlandse kieswet. TNO had zelf een geheim toetsings-protocol dat de integriteit van het systeem helemaal niet onderzocht. Zowel de verantwoordelijke ambtenaren als de ‘experts’ van TNO waren simpelweg niet competent om adequaat met dit vraagstuk om te gaan. Het OV-chip-, EPD- en Diginotar-drama waren herhalingen van dergelijk onvermogen. Geen inzicht, geen adequate toetsingskaders, geen inhoudelijk toezicht. En niemand is verantwoordelijk als het fout gaat.

Na afschaffing van de stemcomputers is er geen enkele ambtenaar of TNO-medewerkers ontslagen wegens het verzaken van hun taak en er is dus weinig vertrouwen bij de externe experts dat men nu wel competent is om adequate beoordelingen te maken over een andere technische ‘oplossing’.

Er moet voorkomen worden dat er een situatie ontstaat waarin de integriteit van het proces zelf ter discussie komt te staan, en daarmee de legitimiteit van de uitslag. Het onderscheid is dus de detecteerbaarheid van fraude, niet de (on)mogelijkheid ervan. Stemcomputers lossen geen ernstige problemen op, zijn duurder in gebruik dan papier en ondermijnen de legitimiteit van democratische regeringen. En zoals Churchill al zei: ‘Democracy is the worst form of government, except for all those other forms that have been tried from time to time.’

Deze column is een update van een eerdere publicatie uit 2008 voor Digitaal Bestuur. Deze is helaas verdwenen na een site redesign.


XKCD on voting computer security