Digitaal stemmen bij lokale verkiezingen: gebruik en beveiliging ICT-systemen

Datum
29-08-2018

163 gemeenten in Vlaanderen zullen elektronisch stemmen op 14 oktober. Het  gebruik van ICT tijdens de kiesverrichtingen wordt hier toegelicht, met specifieke aandacht voor de voorziene beveiligingsmaatregelen. 

1. Architectuur digitaal stemsysteem

Het digitaal stemsysteem dat in Vlaanderen voor de verkiezingen wordt ingezet, bestaat uit een voorzitterscomputer en gemiddeld 5 stemcomputers per stembureau. Cruciaal hierbij is dat de stemsystemen niet verbonden zijn aan het internet of enig ander netwerk. Zij werken geïsoleerd of  stand-alone. Ook de voorbereiding waarbij de USB-sticks met de te gebruiken software aangemaakt worden, gebeurt op een digitaal eiland in een beveiligde zone.

De hardware beschikken niet over een mogelijkheid het besturingssysteem, de goedgekeurde applicaties , de door de kiezers uitgebrachte stemmen en het stemresultaat van het stembureau intern op te slaan. Zo is beïnvloeding van buitenaf op de betrouwbare werking van de software via technische wegen onmogelijk.

Bovendien wordt voorafgaand aan de voorbereidingen van de verkiezingen de software in samenhang met de hardware van de stemsystemen onderworpen aan een zorgvuldige externe en onafhankelijke evaluatie door een erkend controleorgaan (zie punt 4).

2. Stemmen met stemcomputer: digitaal stemsysteem met papieren stembiljet

Na controle van zijn identiteitsbewijs en oproepingsbrief ontvangt de kiezer een witte chipkaart van de voorzitter. Hiermee kan de kiezer een stemcomputer in een stemhokje activeren om zijn stemkeuze te kunnen maken, controleren en afdrukken op een stembiljet.

Het raadplegen, het selecteren, de controle en het eventueel corrigeren van stemkeuzes gebeurt op een aanraakscherm. Vervolgens drukt de stemcomputer de gemaakte stemkeuzes op het stembiljet af. Dat gebeurt zowel in leesbare tekst als in de vorm van een QR-code. De kiezer heeft dus zelf steeds controle op de juistheid van zijn uitgebrachte stem. Na het maken van zijn stemkeuze op de stemcomputer, verlaat de kiezer het stemhokje en gaat  hij naar de stembus, waar hij de QR-code van het stembiljet scant. Zolang het stembiljet niet gescand is, kan een kiezer aan de voorzitter vragen opnieuw te stemmen.

D.m.v. het scannen van de papieren stroken worden de stemmen simultaan in randomvolgorde geëncrypteerd opgeslagen op 2 USB-sticks die zich achter een klep in het deksel van de stembus bevinden. Na het scannen opent een elektronische klep gedurende een aantal seconden en kan de kiezer het stembiljet in de stembus steken.

Alle papierstroken worden verzameld in de stembus.  Zo bestaat er een controleerbare component die toelaat om bij elke mogelijke twijfel achteraf de stemmen van een bepaald bureau integraal te verifiëren.

De voorzitter ontvangt een bevestiging van een correcte registratie van de stemmen op het scherm van zijn computer. Het stemgeheim wordt altijd gerespecteerd.

3. Het verwerken van de resultaten

Na sluiting van de stemming, zetten de leden van het stembureau alle stemcomputers uit. Vervolgens wordt de digitale stembus op de USB-sticks door de voorzitter gesloten, zodat er geen stemmen meer opgeslagen kunnen worden. Alle ontvangen en verwerkte stemgegevens blijven op beide USB-sticks bewaard en beschikbaar.

Vervolgens telt de voorzitterscomputer alle ontvangen en bewaarde stemmen per lijst en kandidaat of blanco-stem op en wordt het telresultaat vastgelegd in een resultaatbestand. Zowel de stemgegevens als het resultaatbestand worden vervolgens versleuteld en digitaal ondertekend.

De in de stembus opgeslagen stembiljetten worden in omslagen gestoken en vervolgens verzegeld en door de leden van het stembureau, inclusief aanwezige getuigen, handmatig ondertekend. Ook de USB-sticks en het kerncijferrapport (een rapport dat gegenereerd wordt door de voorzitterscomputer) worden in aparte enveloppen gestoken, verzegeld en handmatig ondertekend.

Zowel voor de stemmen als papier, als voor de digitaal uitgebrachte stemmen wordt vervolgens een softwaretoepassing gebruikt om de resultaten op te laden, te verwerken en de zetelverdeling te berekenen. De resultatenbeheersoftware zorgt ook voor de verspreiding van de resultaten naar de media en voor de publicatie op de verkiezingswebsite vlaanderenkiest.be. Dit voltrekt zich nadat op het hoofdbureau de verschillende resultaatbestanden, die zich bevinden op de door de stembureauvoorzitters aangeleverde USB-sticks, ingelezen werden in de resultatenbeheersoftware.

4. Belendende maatregelen

De overheid neemt alle maatregelen om manipulatie van verkiezingsresultaten te voorkomen. Hierboven werden reeds een aantal veiligheidswaarborgen aangehaald:

  • Stemcomputers zijn op geen enkele manier aangesloten op het internet of elk ander netwerk, waardoor elke vorm van hacking via een netwerk uitgesloten is.
  • Het papieren strookje zorgt ervoor dat er altijd een fysieke controlemogelijkheid bestaat.

Daarnaast zijn er nog een reeks andere veiligheidsmechanismen geïnstalleerd.

Zo voorziet het Vlaams Digitaal Kiesdecreet:

  • De installatie van een parlementair college van deskundigen. Zij kijken toe op het gebruik, de goede werking en de integriteit van de digitale processen in verband met het gehele verkiezingsproces. Ze verrichten controles vóór de verkiezingsdag, op de verkiezingsdag zelf en na de verkiezingsdag. Zij voorzien o.a. ook in steekproefsgewijze controles op de digitale kiesverrichtingen na de verkiezingsdag.
  • In de waarborg dat voorafgaand aan de voorbereidingen van de verkiezingen zowel de gebruikte software als hardware onderworpen wordt aan een zorgvuldige en onafhankelijke evaluatie door een erkend controleorgaan. De in het Vlaams Digitaal Kiesdecreet verplichte ministeriële goedkeuring van de stemsystemen wordt uitsluitend op basis van een positief advies van het erkende controleorgaan verstrekt. Het gespecialiseerd adviesorgaan is onafhankelijk van de producent van de softwaremodules.

Daarnaast biedt het digitaal stemmen nog een aantal bijkomende waarborgen en voordelen:

  • Met een stemcomputer is het niet mogelijk om ongeldig te stemmen. Het systeem waarschuwt immers als een kiezer een fout maakt en laat geen ongeldige stemmen toe. Voor één verkiezing kan een kiezer bijvoorbeeld niet stemmen op twee verschillende lijsten.
  • Door het automatiseren van het telproces zijn er geen telbureaus meer vereist. Dit impliceert uiteraard dat er niet langer mensen hoeven opgetrommeld te worden voor het tellen. Belangrijker nog is echter dat dit ook de mogelijkheid van menselijke fouten bij het tellen uitsluit.