Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 19 november 2020

Deze brief bevat de reactie op het rapport van de stichting Tegen Hackbare Verkiezingen met als titel: «Verkiezingen en optelcomputers: een oproep tot onafhankelijke controle in het belang van betrouwbare verkiezingen». Zoals de vaste commissie voor Binnenlandse Zaken mij op 13 november jl. heeft verzocht geef ik in deze reactie gelijktijdig antwoord op de vragen van het lid Van Raak (SP) en de vragen van de leden Van Gent, Middendorp (beiden VVD) en Van der Molen (CDA). Deze vragen zijn op 11 november 2020 ontvangen (Aanhangsel Handelingen II 2020/21, nrs. 854 en 855).

Proces van het berekenen van de uitslag

De uitslag van de verkiezing van de leden van de Tweede Kamer wordt in stappen uitgerekend en vastgesteld. De eerste stap in het proces van de uitslagberekening is het openen van de stembussen na sluiting van de stemming en het tellen van de stembiljetten die in de stembussen zitten. Het tellen van de stembiljetten gebeurt handmatig door de leden van de stembureaus in het openbaar (iedereen die dat wil kan aanwezig zijn bij het tellen). De uitkomst van de telling wordt door het stembureau handmatig vastgelegd in een papieren proces-verbaal. Deze processen-verbaal worden openbaar gemaakt op de website van de gemeenten.

De daaropvolgende drie stappen zijn erop gericht om de uitkomsten van de stembureaus op te tellen. Dat gebeurt allereerst door de gemeente, daarna door de hoofdstembureaus en tenslotte door het centraal stembureau (de Kiesraad voor de verkiezing van de leden van de Tweede Kamer) die ook de zetelverdeling berekent en bepaalt welke kandidaten zijn gekozen. Bij deze drie processtappen wordt de zogenoemde Ondersteunende Software Verkiezingen (OSV) gebruikt die door de Kiesraad beschikbaar wordt gesteld aan gemeenten.

Het rapport van de stichting Tegen Hackbare Verkiezingen

De stichting Tegen Hackbare Verkiezingen heeft op 9 november jl. een rapport gepubliceerd waarin de betrokken experts (IT-beveiligingsexperts, ethische hackers en hoogleraren cybersecurity) stellen dat software altijd kwetsbaar is en blijft voor een gemotiveerde en geavanceerde tegenstander. Daarbij wijzen deze experts op de kwetsbaarheden van de computers waarop deze programmatuur wordt geïnstalleerd. Volgens de experts kan een computer al voor de verkiezingen gehackt zijn, wat uiteindelijk het integer functioneren van de programmatuur, in casu OSV, en de correcte optelling van de verkiezingsresultaten kan beïnvloeden. De experts zijn van mening dat de overheid teveel vertrouwt op hackbare computers om de uitslag van de Tweede Kamerverkiezing uit te rekenen. Als oplossing stellen de experts voor om gemeenten handmatig op partijniveau de stemtotalen bij elkaar op te laten tellen en/of een onafhankelijke verificatie door een derde partij te laten uitvoeren. Volgens de experts kan met een dergelijke controle het risico op een gehackte verkiezing worden geminimaliseerd.

Het gebruik van OSV bij verkiezingen

De leden Van Gent, Middendorp en Van der Molen vragen welke stappen er sinds 2017 zijn gezet om het proces rondom de vaststelling van de verkiezingsuitslag veilig te maken en of alle kwetsbaarheden in de programmatuur inmiddels zijn opgelost.

De programmatuur om de optellingen te maken die nodig zijn voor de uitslagberekening (OSV) wordt zoals eerder is gesteld door de Kiesraad beschikbaar gesteld aan de gemeenten. De Kiesraad geeft gemeenten daarbij instructies die er op gericht zijn dat de programmatuur op een integere wijze gebruikt kan worden. Een deel van de voorschriften richt zich op de computers die gemeenten gebruiken om OSV op te installeren. Gemeenten dienen uiteraard de voorschriften van de Kiesraad nauwkeurig op te volgen. In de circulaire die gemeenten voorafgaand aan elke verkiezing krijgen roep ik de gemeenten daar ook toe op. Gemeenten hebben een eigen verantwoordelijkheid om zeker te stellen dat de gebruikte computers integer zijn voordat OSV daarop wordt geïnstalleerd. In 2018 heb ik met de VNG afgesproken dat de Informatiebeveiligingsdienst (IBD) van de VNG het centrale meldpunt is voor risico’s en kwetsbaarheden rond het verkiezingsproces bij gemeenten. Op verzoek van gemeenten biedt de IBD ondersteuning bij het analyseren van de eigen processen en procedures, adviseert op basis van meldingen over mogelijke aanvullende maatregelen en kan gemeenten handreikingen daarvoor bieden.

De Kiesraad heeft medio 2019 opdracht gegeven een nieuwe versie van OSV te laten ontwikkelen met als doel eerder in de programmatuur geconstateerde kwetsbaarheden op te lossen. De nieuwe versie van OSV (OSV2020) wordt gebruikt bij de herindelingsverkiezingen van 18 november 2020. De Kiesraad heeft deze nieuwe versie laten testen door «Hackdefense». Het rapport hierover heeft de Kiesraad op 19 oktober jl. gepubliceerd op zijn website.1 De algemene conclusie van Hackdefense is dat er duidelijk aandacht besteed is aan de veiligheid en dat vrijwel alle technische kwetsbaarheden uit eerdere testrapporten en onderzoeken zijn opgelost. De onderzoekers hebben 16 aanbevelingen gegeven. Volgens Hackdefense en de Kiesraad is de belangrijkste aanbeveling dat geen standaardwachtwoord moet worden gebruikt, zelfs niet als dit bij het eerste gebruik moet worden gewijzigd. De Kiesraad heeft aangegeven de aanbevelingen op te volgen in de doorontwikkeling van de programmatuur voor de Tweede Kamerverkiezing in 2021. De versie van OSV2020 voor de Tweede Kamerverkiezing wordt nu getest door de Kiesraad.

Transparantie en controleerbaarheid door publicatie

De leden Van Gent, Middendorp, Van der Molen en Van Raak vroegen mij of ik van mening ben dat het verkiezingsproces zo veilig mogelijk moet verlopen en of er extra controles moeten worden ingesteld.

De berekening van de uitslag en van de zetelverdeling moet voor iedereen transparant en controleerbaar zijn. Zo kan elke twijfel over de juistheid van de berekende uitslag worden weggenomen. Om dit mogelijk te maken is de Kieswet gewijzigd zodat de processen-verbaal van de stembureaus (de zogenoemde N-10) en de opgave van de burgemeester (de zogenoemde N-11) door de gemeenten op de website openbaar worden gemaakt. Gemeenten moeten dit onverwijld doen, en hebben dit bij de verkiezing van de leden van het Europees Parlement in mei 2019 ook gedaan. Bij de verkiezingen in 2019 hebben de gemeenten en de hoofdstembureaus ook de bestanden gepubliceerd die zijn ontstaan bij het gebruik van OSV. Doel daarvan is het mogelijk maken dat iedereen die dat wil aan de hand van de processen-verbaal en de OSV-bestanden kan controleren of de optellingen om de uitslag te berekenen juist zijn. Het is mijn voornemen om in de komende wijziging van de Tijdelijke wet verkiezingen covid-19 de verplichting2 op te nemen om de telbestanden te publiceren die ontstaan door het gebruik van OSV door de gemeenten. De Kiesraad is hier ook een voorstander van en heeft in zijn advies bij de wijziging van de tijdelijke wet verkiezingen covid-19 dit ook bepleit.

Handmatige controles

Voor de Tweede Kamerverkiezing van 2017 heeft mijn voorganger de gemeenten gevraagd om een handmatige controleoptelling uit te voeren op de berekeningen die door OSV werden gemaakt. Na die verkiezing hebben gemeenten en ook de Kiesraad geconstateerd dat bij het maken van die handmatige optelling de nodige fouten zijn gemaakt. Dit is onderwerp van gesprek geweest in het algemeen overleg Democratische vernieuwing van 14 maart 20183. Bij de verkiezingen van 2018 en 2019 is de controle daarom niet herhaald, maar heb ik de gemeenten gevraagd om er zorg voor te dragen dat verschillen tussen wat is opgeteld met OSV en wat is geteld door het stembureau altijd verklaard kunnen worden en dat vragen daarover beantwoord kunnen worden.

Het uitvoeren van een handmatige controle op de juistheid van de optellingen die OSV maakt, heeft meerwaarde mits die berekeningen nauwkeurig gemaakt kunnen worden. Bij de handmatige controle die in 2017 is uitgevoerd bleek dat niet altijd het geval te zijn. De Kiesraad heeft naar aanleiding van de publicatie van het rapport van de stichting Tegen Hackbare Verkiezingen het voornemen geuit om bij de herindelingsverkiezingen van 18 november 2020 extra handmatige controles uit te voeren. De Kiesraad wil deze ervaring gebruiken om te bezien hoe een effectieve controle uitvoerbaar kan zijn. Ik ondersteun dit initiatief van de Kiesraad en vraag daarom de Kiesraad om in overleg met de gemeenten een voorstel uit te werken voor een handmatige controle die uitgevoerd kan worden bij de Tweede Kamerverkiezing van 17 maart 2021. Zo kunnen gemeenten en Kiesraad invulling geven aan de eigen wettelijke verantwoordelijkheid voor de uitslagberekening. Tevens vraag ik hen om de opgedane ervaringen bij de herindelingsverkiezingen hierin mee te nemen. Ik vertrouw erop dat de Kiesraad en de gemeenten mij vóór eind januari 2021 hierover zal informeren en ik zal uw Kamer hier dan zo snel als mogelijk over berichten.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, K.H. Ollongren