null Stemsysteem moet anonimiteit afdwingen

INF_HugoJonker_Anoniem Stemmen_17437_head_large.jpg
Veiligheid
Stemsysteem moet anonimiteit afdwingen
Zou je in een dictatuur durven stemmen op de opponent? In een democratisch land hoeft je politieke voorkeur geen gevolgen te hebben. Je stem is immers anoniem. 'Hoe vrij is je keuze nog als je stem gekoppeld wordt aan persoonlijke data?' vraagt Hugo Jonker zich af. 'Om te stemmen over het leiderschap binnen het CDA worden postcodes gebruikt. Als universitair docent bij de vakgroep Informatica van de Open Universiteit vind ik dat opmerkelijk. Deze vorm van stemmen moet wat mij betreft geen gemeengoed worden in onze democratie.'

Meeste stemmen gelden

Stemmen was vroeger heel simpel. Alle stemgerechtigden kwamen bij elkaar, hoorden de opties en staken hun hand op bij hun voorkeur. Goed tellen en de keuze was bepaald. Iedereen in de zaal kon zien wat een ander gestemd had. Duidelijk, maar dat opent de deur voor intimidatie. Om dat te voorkomen, kun je papieren stemmen in een hoge hoed verzamelen. Dit laatste kan natuurlijk ook digitaal. Je geeft mensen een code om in te loggen en vervolgens kunnen ze één keer hun stem uitbrengen. Zo was de stemronde voor het leiderschap binnen het CDA opgezet. Alle leden ontvingen een unieke code van 7 cijfers, goed voor één stem.

Niet waterdicht

'Zeven cijfers combineren tot een code geeft 10 miljoen mogelijke codes. Met een snelle computer is het niet zo lastig ze allemaal te proberen. Met gevonden codes kun je de verkiezing beïnvloeden. Een ethisch hacker testte dit bij de CDA verkiezing en toonde aan dat meer beveiliging nodig was. Bij een tweede poging werd daarom gevraagd om  lidmaatschapsnummer en postcode. Dat maakt het flink moeilijker, maar brengt wel een ander probleem met zich mee.'

Kleur bekennen

De digitale versie van het ouderwetse, anonieme stembiljet is nu voorzien van het lidmaatschapsnummer en de postcode. Om toch anoniem te tellen, wordt het lidnummer na inloggen meteen vergeten. Of niet – je weet het eigenlijk niet. Je moet er op vertrouwen. Het systeem onthoudt wel de ingevulde postcode. Alleen de controlerend notaris kan de koppeling inzien ter controle. Zo is anoniem stemmen gegarandeerd, aldus het CDA.

Garanties

'Wie er toegang heeft tot ons huis en onze bankrekening, bepalen we heel bewust. Maar onze persoonlijke gegevens? Daar zijn we doorgaans kwistig mee. Een persoonlijke stem uitbrengen bij Idols met een mobiele telefoon, vinden we oké. Maar gaat het om onze democratie, dan is anoniem stemmen voor alle stemmers essentieel. Zonder anonimiteit zou een aanvaller de stemmen van zwakkeren kunnen beïnvloeden en daardoor de verkiezing naar zijn hand zetten. Alleen door anonimiteit af te dwingen is er sprake van een vrije stemming. Niemand kan je ertoe zetten een andere stem uit te brengen. Niet door druk uit te oefenen, niet in ruil voor een beloning. Met de vorige generatie stemcomputers bleek dat niet te garanderen. Met de koppeling van gegevens bij deze CDA-verkiezing heb ik daar ook gerede twijfel over.'

Veilig en anoniem

Hoe anoniem is een stem als je persoonlijke gegevens moet invullen? En hoe belangrijk vinden we anonimiteit? Want tegelijk leven we in een wereld waar het gezegde luidt: 'Digitale aanvallen worden altijd beter, nooit slechter.' Dus om in de toekomst echt anoniem en veilig een (politieke) stem uit te brengen, moeten we onze systemen beter ontwerpen. Stemmen op papier is ook niet perfect, maar daar hebben we decennia ervaring mee. Met digitaal stemmen nog niet.