Test met internetstemmen

In 2014 zegde minister Plasterk toe aan de Tweede Kamer om een nieuwe test te houden met internetstemmen. Het doel van de test is zoals de minister schrijft “om de betrouwbaarheid van het stemmen per internet te onderzoeken. Het is daarom van belang dat tijdens de gesimuleerde verkiezing ook op een zo realistisch mogelijke wijze de beveiliging wordt getest en geprobeerd wordt de gesimuleerde verkiezing te hacken.”

De oorsprong van het uitvoeren van de test gaat terug naar het onderzoek naar de risico’s van internet stemmen dat VKA in 2014 opleverde. In een brief aan de TK op 21 maart concludeert het kabinet dat “de tijd nog niet rijp is voor internetstemmen. Er kleven te veel risico’s aan en het is kostbaar. Het kabinet geeft prioriteit aan het afschaffen van de registratieplicht (per verkiezing) voor de kiezers die vanuit het buitenland mogen stemmen, zodat het voor deze groep kiezers makkelijker wordt om aan de verkiezingen deel te nemen.”

In het Algemeen Overleg van 11 september 2014 werd door de minister in antwoord op vragen van kamerlid Joost Taverne toegezegd om in de toekomst wel internetstemmen opnieuw te onderzoeken. Want het zou kunnen zijn dat in de toekomst er wel systemen op de markt komen die voldoen aan alle waarborgen en die betaalbaar zijn. Het kabinet stelt in haar eerste brief over de test nadrukkelijk dat ze geen eigen systeem zal ontwikkelen, maar dat bestaande systemen beproefd gaan worden. De brief eindigt met een voorzichtige planning: de test zal niet voor 2016 plaatsvinden.

Pas in mei 2015 komt er nieuws in de vorm van een nieuwe brief aan de TK. De planning wordt om eerst leveranciers te benaderen om te kijken of ze mee willen doen en tegen welke voorwaarden. In het voorjaar van 2016 wordt dan een plan van aanpak gemaakt van de test, welke niet voor december 2016 wordt gehouden. Er is dus niet heel veel haast. Op 11 maart 2016 wordt uit een nieuwe brief duidelijk dat een onderzoek door adviesbureau Atos heeft opgeleverd dat er 13 leveranciers zijn uitgenodigd, maar dat er maar twee leveranciers zijn die alle vragen hebben beantwoord en die aan de gestelde condities willen meedoen aan de test. Toch gaan de voorbereidingen door en wordt de periode van september tot december 2016 genoemd als moment van de test.

Op 1 december meldt de minister echter dat de test is uitgesteld tot ergens in 2017, omdat de zorgvuldige voorbereiding meer tijd vergen. Zodra de test plaatsvind zal hier meer over de test worden geschreven.

De vraag is wat deze test werkelijk op gaat leveren. Een echt representatieve beproeving van de beveiliging is niet aan de orde om een aantal redenen. Ten eerste is het systeem dat nu beproefd wordt mogelijk niet gelijk aan het systeem dat bij een toekomstige verkiezing gebruikt gaat worden. Daartoe zal eerst een aanbesteding moeten plaatsvinden. Daarbij zal ongetwijfeld het ‘kant-en-klare’ systeem van een leverancier nog aangepast moeten worden aan de specifieke vereisten van het Nederlandse kiesstelsel en stemproces. Ten tweede zullen hackers met echt serieuze intenties (denk aan buitenlandse staten) hun kruit niet verschieten op een testsysteem, maar dit bewaren voor de daadwerkelijke verkiezing. Ten derde vergt een solide beveiliging niet alleen technische beveiligingsmaatregelen in het internet stemsysteem maar dient de gehele keten beveiligd te worden, inclusief procedurele en organisatorische maatregelen.