Stemcomputers, de bugs zijn niet het probleem

U heeft gestemd - of niet? Terwijl stemcomputers in Nederland al ruim een half jaar verboden zijn en het stemmen per computer voor zelfs waterschaps verkiezingen ook stervende is lijken fundamentele misverstanden over de kern van het probleem rond stemcomputers te blijven bestaan.

De vele knullige securityproblemen (video)of de afwezigheid van de broncode van de software (in het geval van Nedap en SDU stemcomputers) zijn weliswaar een prima aanleiding geweest om het onderwerp via de media op de politieke agenda te krijgen maar deze zaken zijn niet de kern van het probleem. En hoewel het dossier stemcomputer op het Ministerie van Binnenlandse zaken inmiddels een fel fluoriserende ‘radioactief, niet aankomen!’ sticker heeft blijft het risico bestaan dat lagere overheden of leveranciers blijven denken dat stemmen per computer best kan ‘als we maar even die bugjes oplossen’.

De werkelijke bezwaren zijn veel fundamenteler en hebben weinig te maken met security bugs of open sourcecode. Het zijn de fundamentele principes van de redenen waarom we democratie hebben die met het gebruik van stemcomputers geweld worden aangedaan. In de vele discussies op mailinglists en webfora lijken die fundamentele principes een beetje uit het zicht geraakt. In het eerste jaar van de acties van de werkgroep wijvertrouwenstemcomputersniet werd vaak geroepen door overheid en leveranciers dat men niet zo wantrouwend moest zijn. Nederland was tenslotte een net land en de suggestie dat iemand fraude zo plegen met zo iets fundamenteels als verkiezingen werd als ridicuul van de hand gedaan. Het was simpelweg ondenkbaar en verdere discussie of verantwoording erover was niet noodzakelijk.

Deze houding toont een fundamenteel misverstand over de kern van democratie. Dat is namelijk geen kwestie van vertrouwen maar juist van georganiseerd wantrouwen. Door schade en schande hebben we de afgelopen paar duizend jaar geleerd dat macht veel te gevaarljks is om zo maar aan een klein groepje mensen te geven zonder stevige waarborgen over het gebruik ervan. Een verlichte dictator is weliswaar een efficiente regeringsvorm maar hoe hou je de dictator verlicht als deze mens, met de gebruikelijke zwakheden, eenmaal op het pluche zit? Om dit op te lossen is er een complex systeem tijdelijke mandaten (vier jaar), van controle op dat mandaat en van controle op die controle ontstaan. Je mag pas op het pluche als heel veel mensen hebben aangegeven dat ze jou daar echt willen en zelfs dan wordt je doen een laten op de voet gevolgd door 150 andere mensen die dat ook alleen maar mogen doen omdat zijn het vertrouwen hebben van duizenden medeburgers. Daarna zijn er nog weer 75 anderen die dit hele spel overzien en de beslissingen op rechtmatigheid controleren, ook deze mensen zitten daar via een mandaat van burgers, zij het indirect.

Het systeem is verre van perfect en wordt geplaagd door traagheid en focus op media-geile onderwerpen, maar iets beters hebben we gewoon nog niet bedacht. Wat in ieder geval vrij moeilijk is in dit systeem is zonder goedkeuring en openbaar worden nemen van grote beslissingen. En daar is het dus om begonnen, een koning of president kan niet zo maar op eigen houtje hele gekke dingen doen die het land ten gronde richtten of de fundamentele rechten van burgers schenden. Tenzij die burgers en hun vertegenwoordigers daar door passiviteit toestemming voor geven, maar daar zijn ze dus zelf bij.

Het wantrouwen tegen macht en machthebbers kan dus niet worden opgelost door de broncode van een stemcomputer online te zetten omdat burgers niet kunnen vaststellen of de gepubliceerde broncode daadwerkelijk draait op de specifieke stemcomputer op de basisschool in hun buurt. Nog belangrijker is het feit dat 99,99% van de bevolking geen code-audits kan doen. En daarmee komt het dan toch weer neer op het moeten vertrouwen van een heel klein groepje technische experts. En het vertrouwen van een heel klein groepje (welk groepje dan ook!) is nu juist precies wat we niet meer wilden. Als we kleine groepjes technici gaan vertrouwen kunnen we net zo goed het parlement samenstellen op basis van een steekproef van een onderzoeksbureau. Dat scheelt een heleboel tijd en papier en er is vast wel een leuke TV-avond om heen te bouwen.

Vaak is ook gezegd dat er met papieren stembiljetten ook gefraudeerd kan worden, waarbij de recente verkeizingen in Zimbabwe naar voren worden geschoven. Belangrijk aspect is hier echter niet de mogelijkheid van fraude maar de detecteerbaarheid ervan. Effectieve, en dus grootschalige, fraude met een papieren stemsysteem is onmogelijk geheim te houden en dat maakt het mogelijk om in te grijpen als kleine groepjes het systeem proberen te misbruiken. Fraude met stemcomputers is in de meeste gevallen onmogelijk om achteraf aan te tonen. De geheugens zijn dan gewist en er zijn geen biljetten om nog eens te hertellen. Dit laatste bleek nog eens pijnlijk bij een lokale verkiezing waar het aspirant-gemeenteraadsid ook bediener van de stemcomputer was. In het stemlokaal waar hij aanwezig was kreeg hij onwaarschijnlijk veel meer stemmen dan in alle andere locaties in de gemeente. Toch kon het OM geen zaak rondkrijgen tegen deze mogelijke fraudeur wegens gebrek aan bewijs. De man kan door dit gebrek aan bewijs echter zijn onschuld ook nooit overtuigend aantonen.

Zo ontstaat er dus een situatie waar de integriteit van het proces zelf ter discussie komt te staan, en daarmee de legitimiteit van de uitsag. Het onderscheid is dus de detecteerbaarheid van fraude, niet de (on)mogelijkheid ervan. Stemcomputers lossen geen ernstige problemen op, zijn duurder in gebruik dan papier en ondermijnen de legitimiteit van democratische regeringen. En zoals Churchill al zei: ‘Democracy is the worst form of government, except for all those other forms that have been tried from time to time.’

  1. 1

    “Effectieve, en dus grootschalige, fraude met een papieren stemsysteem is onmogelijk geheim te houden.”

    Wat een onzin. Het hangt er maar vanaf hoe je het systeem opzet. Er zijn altijd momenten dat even niemand kijkt.

    Fraude met stemcomputers zou ook zo goed als onmogelijk te maken zijn als je een papiertje produceert die de stemmer krijgt, waar de keuze op staat. De machine vraagt of de keuze op het papiertje overeen komt met de keuze zoals die op het scherm staat. Vervolgens stopt de kiezer het papiertje in een bus, waarbij na afloop van de verkiezingen 10 procent van de bussen (random) alsnog wordt geteld om te checken of er geen fraude heeft plaatsgevonden.

    Ja, ook dat systeem is niet 100% waterdicht, maar me dunkt dat het vergelijkbaar is met met de hand stemmen.

  2. 3

    “het stemmen per computer voor zelfs waterschaps verkiezingen ook stervende is”

    Zou je niet beter kunnen spreken van dood geboren? Of is er al ooit eens per computer voor waterschapsverkiezingen gestemd?

    Over dat voorbeeldje van die lokale verkiezingen, wie zegt dat hij niet datzelfde aantal stemmen op papier had gekregen (ongeacht of dat via fraude gebeurd is)? Het stemlokaal betrof een zorgcentrum, waar vermoedelijk de nodige kiezers bijstand nodig hadden bij het stemmen. Stemfraude over de rug van zwakkeren in de samenleving is niet eigen aan de methode van stemmen.

  3. 4

    pertinent oneens met de belangrijkste stelling.

    Het is van essentieel belang dat de code van de betreffende applicatie openbaar wordt gemaakt. Stellen dat je dan bent overgeleverd aan een kleine groep technische specialisten is complete onzin. Het begrip klein is relatief, absoluut, maar groot genoeg om met zekerheid te stellen dat foute code ontdekt kan en zal worden. Je moet het niet moeilijker maken dan het is.

    En nee, door de code te openbaren win je niet het vertrouwen van de bevolking terug. Is dat het doel van de openbaarmaking?

    Door een bonnetje te printen dat bevestigt waar jij zojuist op hebt gestemd is de software te controleren. Het is dus achteraf wel na te gaan of zaken niet naar behoren lopen in de code.

    http://www.youtube.com/watch?v=JEzY2tnwExs

  4. 5

    De (on)mogelijkheden die een democratie met zich meebrengt staan los van de het gegeven dat de wijze waarop die democratie tot stand komt, transparant dient te zijn.

  5. 6

    @Spuyt12: Maar wat is bij jouw voorbeeld het voordeel boven gewoon lekker alles op papier doen? En wat doe je als de uitkomst niet klopt? Hetzelfde als bij dat kiesdistrict waar iedereen op dezelfde meneer had gestemd (die ook nog eens in dat stemlokaal dienst had), namelijk niks, gewoon doorgaan alsof er niks gebeurd is?

    Ik vraag me af welke fetish uberhaupt ten grondslag ligt aan die drang naar stemcomputers… het is heel veel duurder, niet noemenswaardig sneller, onveiliger, soms potentieel af te luisteren, onduidelijker, foutgevoeliger en moeilijker te controleren.

    (sprak een informaticus)

  6. 7

    Leuk stukje met een aantal kernachtige waarheden. Jammer dat zowel het onderwerp als de uiteindelijke focus liggen bij 1 stuk gereedschap, terwijl de belangrijkste boodschap al jaren helemaal wordt ondergeschoffeld.
    “Dat is namelijk geen kwestie van vertrouwen maar juist van georganiseerd wantrouwen”.
    Dit principe wordt steeds meer geschonden en er wordt steeds meer vertrouwd in en op de overheid en exponentieel neemt de incompetentie, kosten en inefficientie toe.
    Daarmee neemt het vertrouwen af en de roep om meer maatregelen toe en is de glijdende schaal ingezet. De stemcomputers zijn het sluitstuk, hoewel sommigen zullen beweren de basis, maar ook dat is een bliksemafleiding van de ware teneur die ontstaan is in de laatste 7 jaar. Gelukkig zijn de stemcomputers voorlopig uit zicht, nu nog de rest van onze mensenrechten en vrijheden terug en iedereen terug naar school en leren dat vrijheid altijd kost, ook in vredestijd. Alleen zijn het andere kosten, zoals bijv. de misdadiger die wel eens vrijuit gaat om de onschuldigen te beschermen.

  7. 8

    @Spuyt12: dat lijkt me een heel erg slecht idee. Wie gaat er dan controleren of die “random” selectie wel echt random is? En hoeveel procent van de uitslagen hoef je eigenlijk te manipuleren om een paar zetels verschil te maken, en hoe groot is de kans dat je die met een 10% steekproef eruit haalt?

    Iedere kiesgerechtigde burger moet gewoon in staat zijn het tellen van de stemmen zelf bij te wonen en te controleren, zonder daar een informatica-opleiding voor nodig te hebben.

  8. 9

    Blijft interessant, de dualistische houding van burgers tegenover computers. we vertrouwen alles toe aan computers (tot ons leven aan toe in als we vliegen op de automatische piloot of in de ATB beveiligde trein zitten) maar vertrouwen ze verder voor geen meter. Iedereen zet alles over zichzelf vrijwillig op MySpace, Facebook en Hyves en is vervolgens bezorgd over privacy.
    En werd de winnaar van de superjackpot van de staatsloterij laatst niet bepaald door een computer? Ben het met iedereen eens dat stemcomputers niks toevoegen of oplossen, vraag me af op hoeveel andere plekken computers oncontroleerbare effecten hebben…
    Politiek gezien wellicht ook een probleem dat kopstukken geen benul van ICT hebben (Wim Kok met de muis over het beeldscherm, weten we het nog?)

  9. 10

    @Simon
    Waar maar waar jij het over hebt is een andere discussie. Ik zal nog wel een een blogpostje weiden aan het westerese democratsich tekort maar dat heeft de raad van state al redelijk gedaan:
    http://www.nrc.nl/opinie/article1044491.ece/Rechtsstaat_dreigt_te_worden_uitgehold

    @de Spuyt12 et al: Leg mij nou eens uit welk probleem we aan het oplossen zijn door met computers te gaan stemmen (al of niet voorzien van stemprinter) ten opzichte van de beproefde methode van stemmen op papier. En waarom die voordelen zo groot zijn dat we daar de extra risico’s en kosten voor willen dragen.

    Ga nu weer verder feesten op:
    http://www.secretgardenparty.com/

    Mvrgr,
    Arjen

  10. 11

    Kom op, Reinout, en wie controleert de stemmentellers, en de controleurs van de controleurs?

    De randomizer kan je door een ander bedrijf laten maken, enz. enz. Overal is wel een oplossing voor, maar 100% waterdicht zal je het nooit krijgen.

    Waar het mij om gaat is dat de kans op fraude gelijkwaardig is aan stemmen met het potlood.

    @zmc: Als de telling niet klopt, dan breid je het uit en neemt een grotere steekproef. Als er gekloot blijkt te zijn nieuwe verkiezingen.

    (zegt ook een informaticus)

    @arjen: Ja, dat het nu niet goedkoper is een reden om het niet te doen. Maar ik ben ervan overtuigd dat het wél goedkoper kan.

    Als je ziet hoe belachelijk duur die Amerikaanse stemcomputers waren lijkt me dat ook niet zo moeilijk.

  11. 12

    @Spuyt, #11: Maar je gaat eraan voorbij dat de gewone leek het ook moet kunnen begrijpen en controleren. Niet alleen het proces, maar ook de communicatie.

    De stemmentellers kan iedereen controleren door zelf mee te tellen of gewoon bij de publieke telling te gaan kijken.

  12. 14

    @Spuyt: Maar achteraf controleren is iets heel anders dan het proces controleren. Ik zie ook niet in hoe je de leek dan op een betrouwbare manier toegang tot die papiertjes zou willen geven.

  13. 15

    Effectieve, grootschalige verkiezingsfraude is inherent eenvoudiger te plegen met stemcomputers dan met een ouderwets potlood en biljet.

    Stel: je bent een vermogende vastgoedman, je hebt heldere ideeen over waar het met het land heen moet, maar beduidend veel minder dan de helft van het land is het met je eens. Je hebt 10 miljoen in kas, en je wilt echt winnen. Wat is eenvoudiger: het omkopen van 5 programmeurs of van 10000 stembureaus?

    De inefficiency van het ‘ouderwets stemmen’, het enorme aantal mensen dat erbij betrokken is: precies dat is de belangrijkste waarborg tegen fraude. Lees verder bij Bruce Schneier over ‘robust’ en ‘brittle’ systemen. link

    Ieder controlesysteem (paper-trail) dat je als pleister op de stemcomputer plakt, doet de beoogde efficiency teniet.

    Kijk naar de argumenten die ooit zijn aangevoerd ten gunste van de stemcomputer:
    – sneller
    – nauwkeuriger
    – goedkoper

    Over goedkoper kunnen we kort zijn; zie link in artikel. Stemcomputers zijn gewoon duurder. Afgezien daarvan ik me af of het verstandig is om eens even lekker te gaan bezuinigen op vrije verkiezingen.

    Nauwkeuriger: yep, stemcomputers zijn 100% nauwkeurig in het gunstigste geval. Maar ook hier komt de macht van het getal de handmatige telling ten goede: wanneer 30000 mensen (10000 stembureaus, bezetting 3 personen) stemmen gaan tellen worden telfouten *zeer* evenredig verdeeld over alle kandidaten.

    En dan puntje ‘sneller’: ook hier geldt dat stemmachines in het gunstigste geval stukken sneller zijn dan levende stemmentellers. Met de nadruk op ‘gunstigste geval’. Wanneer je tienduizenden computers neerzet kun je ervan uitgaan dat er honderden uitvallen. Misschien dat de sommige het na 10 minuten prutsen weer doen, misschien duurt het 5 uur, mischien gaat een heel cluster down omdat de software niet goed is ingesteld, who knows? Weg snelle uitslag. Papier en potlood zorgen ervoor dat de uitslag ergens tussen 12 en 1 bekend wordt, met stemcomputers wordt dat tussen 10 en 9 (de volgende ochtend); take your pick.

    En dan nu het ware argument voor de invoering van stemmachines: irrationele moderniseringsdrang, ook bekend als: ‘we kunnen toch niet achterblijven’ of het positievere ‘we moeten met de tijd mee’. De bron van veel automatiseringsdrama.

    aldus wederom een informaticus

  14. 17

    Je kunt best heel erg veel sneller zijn met de papieren uitslag. Iedere twee uur de bussen leeghalen en alvast gaan tellen.

    Wat zeg ik ? In de kelder vangt iemand het net ingevulde biljet op en turft op de totaallijst er meteen eentje bij de gestemde naam in !

    Om 17:01 kinkt het dan in 17 Amsterdamse deelraden: “KLAAR!!!!”. En feesten, jongens, feesten!!!

  15. 18

    Haring, limonade, Griekse salades, Europese feta’s en olijnven, gebraden kip, Italiaanse oregano, Turks brood….

    Krijg er echt zin in.

    Maar ja, zo krenterig als het hier altijd gaat.

  16. 20

    De “zin”tuigen van het hele land tot het uiterste opgezweept voor de verdoving en de politieke verwerking, dat doe je niet met een buurtfeestje. Maar hoe dan wel ?

    Ik vind het een Vrijdagvraag.