Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 12 september 2023

De Kiesraad heeft mij geïnformeerd over een melding van een externe partij inzake kwetsbaarheden in de installatiesoftware van de module voor politieke partijen van de Ondersteunende Software Verkiezingen (OSV2020). De module voor politieke partijen kan worden gebruikt bij het aanmaken van de documentatie voor de kandidaatstellingsprocedure voor een verkiezing. De gemelde risico’s zijn inmiddels door de leverancier van OSV2020 opgelost en niet meer aanwezig in de software die nu voor de Tweede Kamerverkiezing wordt gebruikt. Hoe de Kiesraad deze melding heeft opgepakt en dat de Kiesraad deze melding openbaar maakt vind ik positief. Dit laat zien dat meldingen van externe partijen over de beveiliging en betrouwbaarheid van OSV2020 serieus worden genomen.

De kwetsbaarheden zijn door de melder ontdekt in de software waarmee de module van OSV2020 wordt geïnstalleerd op de computers van gebruikers. In deze installatiesoftware heeft de melder inloggegevens gevonden van de leverancier. Ook was in de installatiesoftware het pad te vinden naar de private sleutel op het interne netwerk van de leverancier, samen met de gebruikersnaam en het wachtwoord hiervan. Met deze private sleutel wordt de software door de leverancier digitaal ondertekend. Als gevolg hiervan was het mogelijk voor ongeautoriseerde personen om in te loggen op deze server van de leverancier. De Kiesraad meldt geen indicaties te hebben dat deze gevonden kwetsbaarheden het functioneren van de modules van OSV2020 heeft beïnvloed.

Waarborgen voor een betrouwbare verkiezingsuitslag

In Nederland stemmen we met het papieren stembiljet, dat vervolgens handmatig wordt geteld. De uitslag per stembureau wordt vastgelegd in een papieren proces-verbaal. De software OSV2020 is ondersteunend aan het verkiezingsproces. De papieren documenten, de stembiljetten en processen-verbaal, zijn leidend.

Bij elke verkiezing laat de Kiesraad de module uitslagvaststelling van OSV2020 toetsen. Hierbij wordt gecontroleerd of OSV2020 correct volgens de Kieswet werkt. Daarnaast wordt de beveiliging van OSV2020 getest. Dit gebeurt door externe onafhankelijke partijen die elkaar afwisselen in een roulatiesysteem. Hoe dit ingevuld wordt is vastgelegd bij de aanbesteding van de opdracht voor deze toetsen. Ter voorbereiding op de aankomende Tweede Kamerverkiezing is KPMG volgens het roulatiesysteem de partij die controleert of OSV2020 correct volgens de Kieswet werkt. Volgens hetzelfde roulatiesysteem test HackDefense de beveiliging van OSV2020.1 Voor de aankomende Tweede Kamerverkiezing heeft de Kiesraad ook de beveiliging van de module voor politieke partijen laten testen.2 De bij de Kiesraad gemelde kwetsbaarheden zijn bij deze test niet meer aangetroffen. De overige bevindingen van HackDefense zijn inmiddels door de leverancier opgelost.

De rapportages van de onderzoeken naar de module uitslagvaststelling van OSV2020 worden uiterlijk op 9 oktober 2023 door de Kiesraad openbaar gemaakt. De Kiesraad maakt ook de broncode van de module uitslagvaststelling openbaar op zijn website. Aanvullend hierop wordt tijdens het gebruik van OSV2020 steekproefsgewijs gecontroleerd of OSV2020 correct heeft gewerkt. De uitkomsten van deze controles, de processen-verbaal en de digitale bestanden met optellingen uit OSV2020 worden ook openbaar gemaakt.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, H.M. de Jonge