door Henry R. Sturman
Bij de komende Kamerverkiezingen zullen weer meer mensen stemmen per computer. Maar wat voor zekerheid heeft u dat uw stem correct is geteld? Geen. |
Als u gaat stemmen tijdens de komende parlementsverkiezingen van 22 november, dan is de kans groot dat u dat via een stemcomputer doet. Wel zo makkelijk. U selecteert met een paar toetsen de partij en kandidaat die u zinnen, bevestigt uw keuze, en klaar is kees. Geen ouderwets gedoe met een onhandig groot stembiljet en een rood kleurpotlood. U leeft tenslotte in het computertijdperk. En de medewerkers van het stembureau kunnen na sluitingstijd met één druk op de knop de resultaten afdrukken en hoeven niet nog uren lang na te blijven om alle stemmen met de hand te tellen.
Maar wat voor zekerheid heeft u dat uw stem correct geteld is? Geen. Uw stem verdwijnt letterlijk en figuurlijk in de computer, en u moet er maar op vertrouwen dat die computer uw stem niet verwijdert of verandert. Vandaar dat Rop Gonggrijp, een van de oprichters van internet provider XS4ALL, samen met een aantal medestanders een actie is begonnen tegen stemcomputers: wijvertrouwenstemcomputersniet.nl. Deze actiegroep wil zo snel mogelijk terug naar het ouderwetse papieren stembiljet en het met de hand tellen van de stemmen.
Het ouderwetse stembiljet werd door elke kiezer persoonlijk in de stembus gestopt. Maar bij een stemcomputer is er geen sprake van dat u uw stem persoonlijk in het juiste geheugenvakje van de computer stopt. En ook al zou dat zo zijn, het geheugen van een stemcomputer kan gemanipuleerd worden door onzichtbare software, terwijl het ondoenlijk is om met de stembiljetten in een stembus te rommelen zonder dat het opvalt.
Fraude met stemcomputers is waarschijnlijk al voorgekomen in Nederland. Voormalig gemeenteraadslid Guus te Meerman wordt vervolgd wegens verdenking van verkiezingsfraude, tijdens de gemeenteverkiezingen in de gemeente Landerd in Zeeland eerder dit jaar. In het stembureau waar hij de stemcomputer bediende kreeg hij 181 voorkeurstemmen, terwijl hij bij de drie andere stembureaus in totaal slechts 11 stemmen kreeg. Het vermoeden bestaat dat hij de stemcomputer gemanipuleerd heeft. In theorie konden stembureaumedewerkers vroeger tijdens het tellen ook fraude plegen, maar de kans daarop was klein omdat de medewerkers de stemmen gezamenlijk telden en dus elkaar controleerden.
In Amerika speelt de discussie over stemcomputers al langer. De computerwetenschapper Clinton Curtis getuigde in 2004 voor het huis van afgevaardigden in de staat Ohio dat hij een computerprogramma heeft gemaakt dat in staat is de resultaten van een stemcomputer te manipuleren, zonder dat dit door toezichthouders te ontdekken is. Een onafhankelijk onderzoek door wetenschappers van Princeton University bevestigde onlangs dat dit mogelijk is. Ze concludeerden dat een fraudeur slechts een minuut toegang hoeft te hebben tot een stemcomputer om zulke software te installeren. Via een virus zou deze software zich eventueel zelfs kunnen verspreiden naar andere stemcomputers. En in een getuigenis voor de senaat van de staat New Jersey in 2005 verklaarde computerwetenschapper Andrew Appel, na een diepgaand onderzoek, dat er geen realistische manier is om te verifiëren dat de huidige stemcomputers de stemmen correct tellen. Zo stelt hij dat een malafide programmeur een stukje code in het programma zou kunnen verbergen dat fraude pleegt. En zelfs al zou men de software van tevoren voldoende gecontroleerd hebben, dan nog is het moeilijk om te voorkomen dat iemand niet vlak voor de verkiezingen de software in de stemcomputer vervangt door andere software. Bovendien kan een slimme programmeur ervoor zorgen dat zijn software het tijdens het testen van de stemcomputer perfect doet en zich tijdens de verkiezingen anders gedraagt. Zelfs als stemcomputers continu bewaakt zouden worden, dan nog kunnen de programmeurs van de leverancier aan de software rommelen.
Zesentwintig van de vijftig Amerikaanse staten hebben inmiddels een wet aangenomen die regelt dat stemcomputers een papieren bevestiging moeten afdrukken van wat iemand gestemd heeft. Die biljetten gaan vervolgens in een ouderwetse stembus, zodat later eventueel een papieren hertelling mogelijk is ter controle van de computerresultaten. Dit zou volgens wijvertrouwenstemcomputersniet.nl ook een bevredigende oplossing zijn. Als er willekeurig steekproeven worden gedaan bij verschillende stembureau's, waarbij de handtelling wordt vergeleken met de computertelling, zou dit ook een redelijke mate van controle terugbrengen.
Maar liefst negentig procent van de Nederlandse stemmers brengt zijn stem uit op een stemcomputer van het bedrijf Nedap. Wat is hun repliek op de kritiek van Gonggrijp en consorten? Jan Groenendaal, directeur van Nedap, komt in een schriftelijke reactie niet veel verder dan te zeggen dat hij alle ophef niet begrijpt: "Wat precies de drijfveer is ontgaat mij. Onrust stoken om het onrust stoken? De stelling dat het stemproces oncontroleerbaar is geworden is simpelweg niet juist." De rest van zijn verhaal komt erop neer dat we maar moeten vertrouwen op de deskundigen en de effectiviteit van onafhankelijke testinstituten en certificering. Maar de mooiste certificaten kunnen niet garanderen dat de software die door TNO getest wordt dezelfde software is die op verkiezingsdag in de stemcomputer zit.
Een van de redenen die een woordvoerder van Nedap aangeeft om de broncode van hun stemcomputers niet openbaar te maken is domweg verbijsterend: "Wij geven die code niet vrij om twee redenen. Ten eerste vanwege onze commerciële belangen. Met die code kan iedereen onze machines nabootsen. Ten tweede is er niet veel nodig om de stemmachine in diskrediet te brengen door de software door willekeurige derden te laten controleren" (bron: internetpublicatie van De Volkskrant, 6 juli 2006). Een onafhankelijke controle van de software zou de stemcomputer in diskrediet kunnen brengen? Dat voorspelt niet veel goeds.
Het Ministerie van Binnenlandse Zaken erkent dat fraude met stemcomputers mogelijk is, maar stelt dat het heel onwaarschijnlijk is vanwege allerlei waarborgen, zodat stemcomputers toch 'voldoende' veilig zijn. Zo worden gemeenten geadviseerd om hun stemcomputers voor de verkiezingen achter slot en grendel te houden. Daarnaast gaven de ouderwetse stembiljetten volgens het ministerie ook problemen. Zo was vijf procent van de stemmen ongeldig en werden er vaak fouten gemaakt bij het tellen. Bovendien stelt het ministerie dat als er fraude zou worden gepleegd, dat de uitslag waarschijnlijk toch niet beïnvloedt. Voor een zetel zijn ongeveer zestig duizend stemmen nodig. Om te zorgen dat de fraude niet opvalt zou een fraudeur, volgens woordvoerder Mireille Beentjes, maximaal tien procent van de stemmen per stemcomputer manipuleren. In dat geval moet je fraude plegen met maar liefst vijf- à zeshonderd stemcomputers om een extra zetel te krijgen, hetgeen volgens Beentjes ondoenlijk is. Daar zit wat in, maar tegen deze redenatie zijn toch drie bezwaren aan te voeren. Ten eerste: als een partij toevallig bijvoorbeeld slechts honderd stemmen van een extra zetel afzit, dan is fraude op één stemcomputer al voldoende om die extra zetel te bereiken. Ten tweede: dit gaat niet op voor gemeenteraadsverkiezingen, waar een veel kleiner aantal stemmen per zetel nodig is. Ten derde: kan het worden uitgesloten dat iemand bij de leverancier de software van alle stemcomputers manipuleert?
|
Controleerbare stemcomputers
De laatste jaren zijn er wiskundige technieken bedacht, waarmee de telling van een stemcomputer controleerbaar kan worden gemaakt, zonder dat kiezers aan derden kunnen bewijzen op wie ze gestemd hebben. Deze systemen zijn erop gebaseerd dat elke stem gecodeerd in de stemcomputer worden opgeslagen. Na afloop van de verkiezing worden alle gecodeerde stemmen op een website gepubliceerd, tezamen met de resultaten van de telling. De codering en telmethode zitten zo in elkaar dat het wiskundig bewijsbaar is dat de telling klopt. Als er namelijk fraude wordt gepleegd, bijvoorbeeld door het veranderen of toevoegen van stemmen, dan valt dat op doordat bepaalde wiskundige controleberekeningen niet meer kloppen. Deze berekeningen zijn te ingewikkeld om door de gemiddelde kiezer begrepen te worden. Maar het voordeel is dat de kiezer nu niet meer hoeft te vertrouwen op het selecte groepje mensen dat de stemcomputers bouwt, controleert en beheert. Iedere onafhankelijke coderingsexpert kan verifiëren, en aan het publiek bevestigen, dat de telling klopt. Het controleren of de telling zelf klopt is echter nog niet voldoende. Er moet ook een methode zijn waarmee de kiezer kan controleren of zijn stem naar de juiste kandidaat gaat. Meestal wordt er voor dat doel een papieren reçuutje afgedrukt dat zodanig in elkaar zit dat de kiezer kan controleren of zijn stem correct is vastgelegd, zonder dat hij aan anderen kan bewijzen op wie hij gestemd heeft. Encryptie-expert David Chaum heeft daar een ingenieuze methode voor bedacht. Na het uitbrengen van de stem drukt de stemcomputer een dubbellaags doorzichtig stuk plastic af. Aan beide kanten staat een patroon afgedrukt van allemaal kleine zwarte vierkantjes. De twee aan elkaar geplakte vellen kunnen net als bij een sticker gemakkelijk van elkaar getrokken worden. Zolang beide kanten aan elkaar vast zitten vormen alle vierkantjes samen normaal leesbare letters die de keuze van de kiezer aangeven. De kiezer controleert dat dat klopt. Vervolgens trekt hij de twee vellen van elkaar los. Elk vel afzonderlijk gezien ziet eruit als een willekeurig en onleesbaar patroon van vierkantes. De kiezer mag zelf kiezen welk van de twee vellen hij mee naar huis neemt als reçuutje. Het andere velletje wordt in de prullenbak gegooit. Na afloop van de verkiezingen wordt een kopie van elk reçuutje op een website gepubliceerd. Elke kiezer kan met behulp van een serienummer op zijn reçuutje de kopie opzoeken. Als het patroon van vierkantjes op de site overeenkomt met dat op zijn reçuutje dan vormt dat een bewijs dat de stem correct is vastgelegd. Want een fraudeur die uw stem verandert moet ook het patroon van vierkantjes veranderen in de kopie van uw reçuutje op de website. Anders kloppen de controleberekeningen niet meer. Of om precies te zijn, de achterliggende wiskunde zit zo in elkaar dat als een fraudeur zorgt dat de stemcomputer de stem bij de verkeerde kandidaat meetelt (zonder de kopie van het reçuutje mee te veranderen) er een kans van vijftig procent is dat de controleberekeningen niet meer kloppen. Hoe meer stemmen vervalst worden, hoe groter de kans op detectie. Chaum rekent voor dat als zelfs maar vijf procent van de kiezers achteraf hun reçuutje op de website controleert, een relatief kleine mate van fraude al met grote zekerheid wordt gedetecteerd. Chaum wil dit systeem via zijn bedrijf Votegrity op de markt gaan brengen. Het Amerikaanse bedrijf VoteHere verkoopt al een vergelijkbaar systeem, gebaseerd op een reçuutje dat op een normale printer met normaal papier afgedrukt kan worden (dat wel lastiger te controleren is dan het reçuutje van Chaum). |
Als we onze democratie niet langer afhankelijk willen laten zijn van de betrouwbaarheid van één bedrijf, dan moeten we dus terug naar het ouderwetse stembiljet en het tellen met de hand, of we moeten de huidige stemcomputers uitbreiden met een printer en steekproefsgewijze controletellingen van de papieren stemreçuutjes. Maar er is nog een mogelijkheid. Het is mogelijk om het stemmen met stemcomputers zo te organiseren dat het zelfs betrouwbaarder is dan allebei deze methoden. Stemcomputers kunnen namelijk zo worden aangepast dat elk individu kan controleren of zijn stem correct is vastgelegd en iedereen kan controleren of de totale telling klopt.
Een simpele versie van zo'n systeem zou als volgt kunnen werken. Iedere stemgerechtigde krijgt van tevoren een oproepkaart toegestuurd met een uniek serienummer. Als we onze stem uitbrengen slaat de stemcomputer onze stem samen met dat serienummer op. Na afloop van de verkiezingen wordt op een website een lijst van alle stemmen gepubliceerd. Naast ieder serienummer staat of de bijbehorende stemgerechtigde gestemd heeft, en zo ja op wie. Hierdoor kan iedereen met behulp van zijn serienummer opzoeken of zijn stem correct is vastgelegd. Bovendien kan iedereen (met behulp van een computerprogramma) alle stemmen op de lijst hertellen om te controleren of de gepubliceerde resultaten kloppen. De privacy van een ieders stem is gewaarborgd zolang de overheidsdienst die de oproepkaarten verstuurt de koppeling tussen personen en serienummers goed geheim houdt en na het versturen van de kaarten vernietigt. We moeten er nog wel op vertrouwen dat deze dienst niet bijvoorbeeld sommige mensen meer dan een oproepkaart stuurt. Ook moeten er waarborgen zijn dat er geen extra serienummers met valse stemmen aan de lijst op internet worden toegevoegd.
Er is echter een probleem. Veel verkiezingsexperts vinden zo'n systeem niet acceptabel omdat een stemmer aan een ander zou kunnen bewijzen wat hij gestemd heeft. Als ik bijvoorbeeld VVD heb gestemd kan ik dat eenvoudig aan een ander aantonen door hem een kopie van mijn oproepkaart te laten zien, waarna die ander op de verkiezingswebsite kan controleren of er naast mijn serienummer inderdaad een VVD-kandidaat staat. Dit geeft twee onwenselijke mogelijkheden. Ten eerste zouden mensen hun stem aan anderen kunnen verkopen (partijen zouden bijvoorbeeld stiekem geld kunnen bieden aan mensen die aantonen dat ze op hen hebben gestemd). En ten tweede zouden mensen anderen onder druk kunnen zetten, of met geweld kunnen dreigen, als ze niet kunnen laten zien dat ze op de juiste partij hebben gestemd (geweld en intimidatie bij verkiezingen is nu al een reëel probleem in sommige derde wereldlanden).
Maar er is ook een oplossing van dit probleem. De laatste jaren zijn er namelijk wiskundige technieken bedacht, waarmee de telling van een stemcomputer op een soortgelijke wijze controleerbaar gemaakt kan worden, zonder dat stemmers aan derden kunnen bewijzen op wie ze gestemd hebben (zie kader). Het frappante is dat zulke systemen meestal nog steeds gebruik maken van het ouderwetse papier, in de vorm van een afgedrukt stemreçuutje dat de kiezer na het stemmen mee naar huis neemt. Dat reçuutje zit zo in elkaar dat het een bewijs vormt dat de stem van de kiezer correct is vastgelegd, zonder dat eruit af te leiden valt op wie hij gestemd heeft. Vooral in corrupte landen, die geplaagd worden door echte en vermeende verkiezingsfraude (zie het recente voorbeeld in Mexico), zou zo'n systeem een enorme verbetering zijn. Maar ook in Nederland zou het invoeren van zo'n systeem een goed idee zijn, omdat het het gemak van computertellingen combineert met de hoogst mogelijke betrouwbaarheid en controleerbaarheid.
Een volgende stap is stemmen via internet. Daar is in Nederland al mee geëxperimenteerd. Zo konden Nederlanders in het buitenland tijdens de EU-verkiezingen in 2004 via internet stemmen. Dat zal opnieuw kunnen tijdens de komende parlementsverkiezingen. Bij de waterschapsverkiezingen voor het Hoogheemraadschap Rijnland in 2004 konden alle kiezers via internet stemmen. En in Zwitserland zijn al experimenten gedaan met stemmen via SMS. Experts waarschuwen wel voor mogelijke risico's van stemmen via internet, zoals hackers en virussen die stemmen veranderen of valse websites waar mensen heen worden gelokt om hun stem heen te sturen. Maar een goed ontworpen systeem is tegen dit soort dingen bestand. Zo is men er ook in geslaagd internetbankieren veilig te maken. Bovendien kan stemmen via internet er juist voor zorgen dat de resultaten veel beter beschermd zijn tegen fraude dan nu, door het toevoegen van controlemechanismen zoals hierboven genoemd.
Toch zijn sommige critici (waaronder wijvertrouwenstemcomputersniet.nl) tegen het stemmen via internet, vanwege het eerder genoemde probleem dat geweld, intimidatie en geld een verkiezing zouden kunnen beïnvloeden. Als de kiezer zich namelijk niet meer hoeft te identificeren op een stembureau, dan zijn dat soort zaken niet meer goed te controleren. Een man zou bijvoorbeeld kunnen eisen dat hij meekijkt terwijl zijn vrouw achter de PC zit te stemmen en haar onder druk kunnen zetten op een bepaalde partij te stemmen. Of iemand zou zijn stembiljet aan een ander kunnen verkopen, zodat die daarmee achter zijn eigen PC kan stemmen wat hij wil. Tegen dit bezwaar zijn ten minste vier tegenargumenten in te brengen.
Ten eerste is het nu ook al zo dat je iemand kunt machtigen om voor jou te stemmen, en dat geeft dezelfde mogelijkheden van omkoping en intimidatie (het aantal machtigingen is wel beperkt tot twee per persoon). Ten tweede is een democratie sowieso gebaseerd op het vertrouwen dat mensen op een verstandige manier met hun stemrecht omgaan. Een kiezer die niet assertief genoeg is om zelfstandig te stemmen, en zich laat inpalmen door intimidatie of geld, is waarschijnlijk ook niet verstandig genoeg om zelf een weloverwogen stemkeuze te maken. En waarom zou het erger zijn dat een naïeve vrouw stemt wat haar man wil, dan dat ze zelf een keuze maakt op basis van oppervlakkige redenen en een gebrekkige politieke kennis? Ten derde zijn er in de privacy van het stemhokje waarschijnlijk nu ook al honderdduizenden mensen die weinig benul hebben van politiek en daarom maar hetzelfde stemmen als hun partner. Ten vierde staat er tegenover dit nadeel van het internet ook een groot voordeel. Namelijk dat je niet meer naar het stembureau hoeft te reizen om te stemmen, en dus tijd en moeite bespaart. Ook is er een hogere opkomst te verwachten als het stemmen gemakkelijker wordt gemaakt. Zo steeg de opkomst in het kiesdistrict van Genève met maar liefst twintig procentpunten toen stemmen via de post mogelijk werd.
Nog een interessant aspect is dat het stemmen via internet het veel praktischer maakt om veel vaker te stemmen, zodat een verregaande mate van directe democratie mogelijk wordt. In theorie zou elke burger zelfs over elk wetsvoorstel kunnen stemmen. Directe democratie is veel democratischer dan indirecte democratie. Als u op een partij stemt heeft u geluk als die partij, als uw vertegenwoordiger in de Tweede Kamer, in 75 procent van de gevallen hetzelfde stemt als wat u zou doen. Als u zelf over wetsvoorstellen stemt kunt u in honderd procent van de gevallen stemmen wat u wilt.
Een argument tegen directe democratie is dat de kiezer niet capabel genoeg is, en niet voldoende kennis heeft, om direct over het beleid te beslissen. Maar als mensen te dom zijn om over het beleid te beslissen, hoe kan het dan dat ze wel slim genoeg zijn om hun leiders te kiezen? De econoom Murray Rothbard heeft erop gewezen dat je juist veel slimmer moet zijn om je leiders te kiezen dan om over wetsvoorstellen te stemmen. Als je over een wetsvoorstel stemt hoef je immers alleen maar te weten welk beleid je goed vindt, maar als je een leider kiest moet je weten wie het beste in staat is te kiezen wat het beste beleid is. Om dat laatste te weten moet je én weten wat het beste beleid is én van alles weten over de mening, de persoonlijkheid en de betrouwbaarheid van alle politici. Om een goede leider te kiezen moet je dus veel meer weten dan als je alleen maar een goed beleid hoeft te kiezen. Dus hoe dommer mensen zijn, hoe meer er te zeggen valt voor directe democratie.
Terug naar Henry Sturmans homepage
Email: henry@sturman.net