Brief regering : Reactie op rapport "verkiezingen en optelcomputers: een oproep tot onafhankelijke controle in het belang van betrouwbare verkiezingen"

Nr. 27
BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 19 november 2020

Deze brief bevat de reactie op het rapport van de stichting Tegen Hackbare Verkiezingen
met als titel: «Verkiezingen en optelcomputers: een oproep tot onafhankelijke controle
in het belang van betrouwbare verkiezingen». Zoals de vaste commissie voor Binnenlandse
Zaken mij op 13 november jl. heeft verzocht geef ik in deze reactie gelijktijdig antwoord
op de vragen van het lid Van Raak (SP) en de vragen van de leden Van Gent, Middendorp
(beiden VVD) en Van der Molen (CDA). Deze vragen zijn op 11 november 2020 ontvangen
(Aanhangsel Handelingen II 2020/21, nrs. 854 en 855).

Proces van het berekenen van de uitslag

De uitslag van de verkiezing van de leden van de Tweede Kamer wordt in stappen uitgerekend
en vastgesteld. De eerste stap in het proces van de uitslagberekening is het openen
van de stembussen na sluiting van de stemming en het tellen van de stembiljetten die
in de stembussen zitten. Het tellen van de stembiljetten gebeurt handmatig door de
leden van de stembureaus in het openbaar (iedereen die dat wil kan aanwezig zijn bij
het tellen). De uitkomst van de telling wordt door het stembureau handmatig vastgelegd
in een papieren proces-verbaal. Deze processen-verbaal worden openbaar gemaakt op
de website van de gemeenten.

De daaropvolgende drie stappen zijn erop gericht om de uitkomsten van de stembureaus
op te tellen. Dat gebeurt allereerst door de gemeente, daarna door de hoofdstembureaus
en tenslotte door het centraal stembureau (de Kiesraad voor de verkiezing van de leden
van de Tweede Kamer) die ook de zetelverdeling berekent en bepaalt welke kandidaten
zijn gekozen. Bij deze drie processtappen wordt de zogenoemde Ondersteunende Software
Verkiezingen (OSV) gebruikt die door de Kiesraad beschikbaar wordt gesteld aan gemeenten.

Het rapport van de stichting Tegen Hackbare Verkiezingen

De stichting Tegen Hackbare Verkiezingen heeft op 9 november jl. een rapport gepubliceerd
waarin de betrokken experts (IT-beveiligingsexperts, ethische hackers en hoogleraren
cybersecurity) stellen dat software altijd kwetsbaar is en blijft voor een gemotiveerde
en geavanceerde tegenstander. Daarbij wijzen deze experts op de kwetsbaarheden van
de computers waarop deze programmatuur wordt geïnstalleerd. Volgens de experts kan
een computer al voor de verkiezingen gehackt zijn, wat uiteindelijk het integer functioneren
van de programmatuur, in casu OSV, en de correcte optelling van de verkiezingsresultaten
kan beïnvloeden. De experts zijn van mening dat de overheid teveel vertrouwt op hackbare
computers om de uitslag van de Tweede Kamerverkiezing uit te rekenen. Als oplossing
stellen de experts voor om gemeenten handmatig op partijniveau de stemtotalen bij
elkaar op te laten tellen en/of een onafhankelijke verificatie door een derde partij
te laten uitvoeren. Volgens de experts kan met een dergelijke controle het risico
op een gehackte verkiezing worden geminimaliseerd.

Het gebruik van OSV bij verkiezingen

De leden Van Gent, Middendorp en Van der Molen vragen welke stappen er sinds 2017
zijn gezet om het proces rondom de vaststelling van de verkiezingsuitslag veilig te
maken en of alle kwetsbaarheden in de programmatuur inmiddels zijn opgelost.

De programmatuur om de optellingen te maken die nodig zijn voor de uitslagberekening
(OSV) wordt zoals eerder is gesteld door de Kiesraad beschikbaar gesteld aan de gemeenten.
De Kiesraad geeft gemeenten daarbij instructies die er op gericht zijn dat de programmatuur
op een integere wijze gebruikt kan worden. Een deel van de voorschriften richt zich
op de computers die gemeenten gebruiken om OSV op te installeren. Gemeenten dienen
uiteraard de voorschriften van de Kiesraad nauwkeurig op te volgen. In de circulaire
die gemeenten voorafgaand aan elke verkiezing krijgen roep ik de gemeenten daar ook
toe op. Gemeenten hebben een eigen verantwoordelijkheid om zeker te stellen dat de
gebruikte computers integer zijn voordat OSV daarop wordt geïnstalleerd. In 2018 heb
ik met de VNG afgesproken dat de Informatiebeveiligingsdienst (IBD) van de VNG het
centrale meldpunt is voor risico’s en kwetsbaarheden rond het verkiezingsproces bij
gemeenten. Op verzoek van gemeenten biedt de IBD ondersteuning bij het analyseren
van de eigen processen en procedures, adviseert op basis van meldingen over mogelijke
aanvullende maatregelen en kan gemeenten handreikingen daarvoor bieden.

De Kiesraad heeft medio 2019 opdracht gegeven een nieuwe versie van OSV te laten ontwikkelen
met als doel eerder in de programmatuur geconstateerde kwetsbaarheden op te lossen.
De nieuwe versie van OSV (OSV2020) wordt gebruikt bij de herindelingsverkiezingen
van 18 november 2020. De Kiesraad heeft deze nieuwe versie laten testen door «Hackdefense». Het
rapport hierover heeft de Kiesraad op 19 oktober jl. gepubliceerd op zijn website.1 De algemene conclusie van Hackdefense is dat er duidelijk aandacht besteed is aan
de veiligheid en dat vrijwel alle technische kwetsbaarheden uit eerdere testrapporten
en onderzoeken zijn opgelost. De onderzoekers hebben 16 aanbevelingen gegeven. Volgens
Hackdefense en de Kiesraad is de belangrijkste aanbeveling dat geen standaardwachtwoord
moet worden gebruikt, zelfs niet als dit bij het eerste gebruik moet worden gewijzigd.
De Kiesraad heeft aangegeven de aanbevelingen op te volgen in de doorontwikkeling
van de programmatuur voor de Tweede Kamerverkiezing in 2021. De versie van OSV2020
voor de Tweede Kamerverkiezing wordt nu getest door de Kiesraad.

Transparantie en controleerbaarheid door publicatie

De leden Van Gent, Middendorp, Van der Molen en Van Raak vroegen mij of ik van mening
ben dat het verkiezingsproces zo veilig mogelijk moet verlopen en of er extra controles
moeten worden ingesteld.

De berekening van de uitslag en van de zetelverdeling moet voor iedereen transparant
en controleerbaar zijn. Zo kan elke twijfel over de juistheid van de berekende uitslag
worden weggenomen. Om dit mogelijk te maken is de Kieswet gewijzigd zodat de processen-verbaal
van de stembureaus (de zogenoemde N-10) en de opgave van de burgemeester (de zogenoemde
N-11) door de gemeenten op de website openbaar worden gemaakt. Gemeenten moeten dit
onverwijld doen, en hebben dit bij de verkiezing van de leden van het Europees Parlement
in mei 2019 ook gedaan. Bij de verkiezingen in 2019 hebben de gemeenten en de hoofdstembureaus
ook de bestanden gepubliceerd die zijn ontstaan bij het gebruik van OSV. Doel daarvan
is het mogelijk maken dat iedereen die dat wil aan de hand van de processen-verbaal
en de OSV-bestanden kan controleren of de optellingen om de uitslag te berekenen juist
zijn. Het is mijn voornemen om in de komende wijziging van de Tijdelijke wet verkiezingen
covid-19 de verplichting2 op te nemen om de telbestanden te publiceren die ontstaan door het gebruik van OSV
door de gemeenten. De Kiesraad is hier ook een voorstander van en heeft in zijn advies
bij de wijziging van de tijdelijke wet verkiezingen covid-19 dit ook bepleit.

Handmatige controles

Voor de Tweede Kamerverkiezing van 2017 heeft mijn voorganger de gemeenten gevraagd
om een handmatige controleoptelling uit te voeren op de berekeningen die door OSV
werden gemaakt. Na die verkiezing hebben gemeenten en ook de Kiesraad geconstateerd
dat bij het maken van die handmatige optelling de nodige fouten zijn gemaakt. Dit
is onderwerp van gesprek geweest in het algemeen overleg Democratische vernieuwing
van 14 maart 20183. Bij de verkiezingen van 2018 en 2019 is de controle daarom niet herhaald, maar heb
ik de gemeenten gevraagd om er zorg voor te dragen dat verschillen tussen wat is opgeteld
met OSV en wat is geteld door het stembureau altijd verklaard kunnen worden en dat
vragen daarover beantwoord kunnen worden.

Het uitvoeren van een handmatige controle op de juistheid van de optellingen die OSV
maakt, heeft meerwaarde mits die berekeningen nauwkeurig gemaakt kunnen worden. Bij
de handmatige controle die in 2017 is uitgevoerd bleek dat niet altijd het geval te
zijn. De Kiesraad heeft naar aanleiding van de publicatie van het rapport van de stichting
Tegen Hackbare Verkiezingen het voornemen geuit om bij de herindelingsverkiezingen
van 18 november 2020 extra handmatige controles uit te voeren. De Kiesraad wil deze
ervaring gebruiken om te bezien hoe een effectieve controle uitvoerbaar kan zijn.
Ik ondersteun dit initiatief van de Kiesraad en vraag daarom de Kiesraad om in overleg
met de gemeenten een voorstel uit te werken voor een handmatige controle die uitgevoerd
kan worden bij de Tweede Kamerverkiezing van 17 maart 2021. Zo kunnen gemeenten en
Kiesraad invulling geven aan de eigen wettelijke verantwoordelijkheid voor de uitslagberekening.
Tevens vraag ik hen om de opgedane ervaringen bij de herindelingsverkiezingen hierin
mee te nemen. Ik vertrouw erop dat de Kiesraad en de gemeenten mij vóór eind januari
2021 hierover zal informeren en ik zal uw Kamer hier dan zo snel als mogelijk over
berichten.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
K.H. Ollongren