Voting machines

This essay appeared in Breekpunt magazine on March 9, 2003.

Stemmachines, een goed idee?

Niels Ferguson

Democratie is een van de meest waardevolle verworvenheden van onze maatschappij; de meeste van ons kunnen zich een leven zonder democratie niet eens voorstellen. Betrouwbare verkiezingen vormen het essentiële fundament van de democratie. Dit is allemaal zo vanzelfsprekend dat er eigenlijk nooit een discussie over is. Toch moeten we waakzaam blijven dat de integriteit van onze verkiezingen boven alle twijfel verheven is.

In de meeste plaatsen in Nederland wordt tegenwoordig met stemmachines gestemd. Dit heeft voordelen: de uitslag is sneller bekend, en het tellen vindt nauwkeuriger plaats omdat stemmachines geen vergissingen maken. Maar stemmachines hebben ook een significant nadeel: ze maken grootschalige manipulatie van de verkiezingsuitslag veel gemakkelijker.

Voordat we de individuele stemmethodes vergelijken, moeten we eerst een analyse maken van de beveiligingseisen. Het meest opmerkelijke van verkiezingen is dat kleinschalige fraude geen enkel probleem oplevert. Het vervalsen van de volmacht op een Nederlandse stemkaart is kinderspel, en zonder twijfel gebeurt dat bij elke verkiezing ook vele malen. Maar kleinschalige fraude is geen probleem. Er zijn zoveel factoren die stemuitslagen beïnvloeden. Het weer, de laatste mediahype, of een griepje van een lijsttrekker: het kan al snel enkele procenten uitmaken. Zolang de fraude beperkt blijft tot één of twee procent van de stemmen is er niks aan de hand.

Grootschalige fraude is een ander verhaal. Dat tast het wezen van de democratie aan. Het voorkomen van grootschalige fraude is dan ook de belangrijkste beveiligingseis die we aan een stemmethode moeten stellen.

Laten we nu eens het stemmen met potlood en papier vergelijken met het stemmen per stemmachine. Stemmen op papier is een hoop gedoe. Het tellen van de stemmen is mensenwerk en dus worden er fouten gemaakt. Sommige biljetten zijn niet goed ingevuld, en de exacte grens wanneer een stem geldig is en wanneer die ongeldig is blijft vaag. Verder zijn er verschillende manieren waarop er op een stembureau kan worden gefraudeerd. Er zijn procedures om dat te voorkomen, maar als de leden van het stembureau samenwerken kunnen ze zonder meer frauderen met de stemmen. (Uit ervaring blijkt dat als er in een systeem gefraudeerd kan worden, het soms ook gebeurt.) Stemmachines zijn in dit opzicht veel beter. Het tellen gebeurd automatisch en zeer nauwkeurig, er is geen twijfel over de geldigheid van stembiljetten, en zelfs fraude door leden van het stembureau wordt lastiger omdat een stemmachine nu eenmaal moeilijk te beïnvloeden is. We kunnen dan ook aannemen dat stemmachines de nauwkeurigheid van de stemprocedure verbeteren.

Dit gaat er wel van uit dat de stemmachine zijn werk goed doet. En dat is nu net het probleem. Hoe kunnen we weten of die stemmachine goed werkt?

Stemmachines worden bij een bedrijf gemaakt. Als het ontwerp van een stemmachine af is, worden enkele exemplaren naar het onderzoeksbureau TNO gestuurd, waar gecontroleerd wordt of het apparaat aan alle eisen voldoet. Aan de hand van het TNO-rapport geeft de kiesraad vervolgens toestemming om de stemmachine bij verkiezingen te gebruiken.

Een stemmachine is een speciale computer met een aantal knoppen, een display, een printertje voor de uitslagen, enzovoorts. Alle functies worden door de software geregeld. En die software is het probleem, want hoe weten we dat die goed is?

Het is duidelijk dat, als een kwaadwillende erin slaagt om de software van de stemmachine te veranderen, dit de verkiezingsuitslag wezenlijk kan beïnvloeden. Kwaadaardige software kan bijvoorbeeld 20 procent van de stemmen die op de PvdA zijn uitgebracht veranderen in VVD-stemmen. Aangezien dezelfde software op veel verschillende stembureaus wordt gebruikt, kan dit een significante invloed hebben op de verkiezingsuitslag.

Wat zijn nu de mogelijkheden om dit soort kwaadaardige veranderingen in de software aan te brengen? De software wordt geschreven door een zeer kleine groep mensen die werkzaam is bij de producent van de stemmachine. Later wordt de software genalyseerd door onafhankelijke experts bij TNO. Echter, de ervaring leert dat het analyseren van software lang niet alle fouten aan het licht brengt. En als de fouten niet toevallig zijn, maar met zorg zijn verstopt in het programma, dan zijn ze bijna onmogelijk te vinden. Overigens is het technisch ook mogelijk om de veranderingen niet in de software zelf te stoppen, maar b.v. in de compiler. In dit geval is de source code die door TNO wordt geanalyseerd perfect in orde, en is de kans op ontdekking door analyse nul.

De stemmachine wordt door TNO ook getest. De vraag is nu of de kwaadaardige veranderingen het verschil kunnen detecteren tussen de TNO-tests (wanneer het goede resultaat moet worden geven) en de echte verkiezingen. Ik ben niet bekend met de testprocedure, maar het zal niet zo moeilijk zijn voor de software om dit onderscheid te maken.

Hoe weten we dat het programma dat TNO testte ook inderdaad in de stemmachines zit? En wordt na elke kleine wijziging de hele TNO-test opnieuw gedaan? Hoe worden nieuwe versies van de software verspreid, en kan het programma tijdens de verspreiding worden aangepast? Er is een hele reeks momenten waarop de software kan worden veranderd.

De groep mensen die verantwoordelijk is voor de software van de stemmachine is zeer klein. Het gaat misschien om zes mensen bij de fabrikant en nog twee of drie bij TNO. Mogelijk is de groep nog kleiner. Deze groep is nooit gekozen, legt geen verantwoording af, en werkt geheel in het geheim. De documentatie, rapporten, verslagen, ontwerpen, en de software zijn allemaal geheim. Deze groep mensen heeft een ongelofelijke macht in de schoot geworpen gekregen, een macht die in een democratie principieel nooit aan zo'n kleine groep mensen mag worden toegekend.

In een democratie moet iedere burger zich ervan kunnen overtuigen dat de verkiezingen eerlijk verlopen. Zolang er met potlood en papier wordt gestemd kán dat ook. Elke burger kan bij het begin van de verkiezingen controleren dat de stembus leeg is en geen verborgen vakken bezit. Hij kan de stembus de hele tijd in het oog houden, en ook bij het tellen van de stemmen de zaak in de gaten houden. Ook al wordt dit zelden gedaan, de mogelijkheid is er, en dat is belangrijk.

Het gebruik van stemmachines betekent dat de gemiddelde burger geen idee heeft hoe zijn stem wordt geteld, laat staan dat hij dat kan controleren. Er zijn misschien enkele tienduizenden mensen in Nederland die de werking van een stemmachine überhaupt kunnen begrijpen, en er is slechts een handvol mensen die expert zijn op het gebied van beveiliging van computersystemen. Maar zelfs deze mensen kunnen de stemmachines niet controleren omdat alles geheim is.

Ik heb overigens geen enkele reden om aan te nemen dat er in Nederland met stemmachines wordt gerommeld. Het gaat hier om het feit dat de mogelijkheid bestaat, en dat die mogelijkheid op zichzelf voor een democratie niet acceptabel is. De geheimhoudingscultus rond de werking van stemmachines is waarschijnlijk een overdreven poging om bedrijfsbelangen te beschermen, hoewel auteursrechten en octrooibescherming meer dan voldoende zouden moeten zijn.

De conclusie moet zijn dat het gebruik van elektronische stemmachines het risico van grootschalige verkiezingsmanipulaties met zich meebrengt. Als samenleving moeten we ons eens goed afvragen of we de integriteit van de verkiezingen willen opofferen, alleen voor het beetje gemak en de snelheid van de machines.

Copyright © 2003 by MacFergus BV, last update 2003-04-04.