Internetstemmen
Voordat er opnieuw een brak stemsysteem voor zeer veel geld wordt aanbesteed, gebouwd, ingevoerd en afgefakkeld, stel ik voor dat we hier (op security.nl) eens discusiëren over wel acceptabele oplossingen. Ik loop hier al jaren over te piekeren en moet mijn ideeën maar eens ventileren.

Stemmen via internet leek mij -tot vandaag- onzinnig, tot ik er vanochtend beter over ging nadenken. Na het schrijven van dit artikel heb ik het gevoel dat we i-stemmen niet meer bij voorbaat moeten uitsluiten; we kunnen er beter eens goed over nadenken en met elkaar vaststellen of het voldoende veilig en betrouwbaar uitgevoerd kan worden.

Kernpunten in deze discussie zijn, wat mij betreft:

- Anonimiteit: in hoeverre wordt gewaarborgd dat iedereen anoniem haar of zijn stem kan uitbrengen;

- Fraudebestendigheid: hoe wordt voorkomen dat iemand "namens mij" een andere stem uitbrengt, of namens (vele) niet bestaande stemmers de uitslag weet te beïnvloeden (en daarmee het hele systeem degradeert of onbruikbaar maakt);

- Integriteit: wordt jouw stem überhaupt en correct geteld en is deze op dat moment ongewijzigd.

Andere aspecten, zoals bijv. toegankelijkheid en beschikbaarheid, spelen denk ik een ondergeschikte rol.

s-stemmen of i-stemmen?
Persoonlijk denk ik dat stemcomputers, naast de vele bekende en onbekende nadelen, als enige voordeel hebben dat de stemmen sneller geteld kunnen worden. Maar, als het dan toch elektronisch moet, waarom dan niet meteen via internet?

Mensen die niet via internet kunnen of willen stemmen, kunnen op het stadhuis terecht. We hebben dan geen grote aantallen stemcomputers, stemlokalen en vrijwilligers meer nodig, en de uitslag is direct beschikbaar. Stemmen kan gewoon vanaf je werkplek, je hoeft niet meer langs het stembureau. En voor mensen in het buitenland, c.q. onze landgenoten op de BES eilanden, is het ook wel zo makkelijk.

Anonimiteit
Noch p-stemmen, noch s-stemmen kunnen jouw anonimiteit garanderen. Kijk jij vooraf omhoog in het stemhokje om te zien of er geen camera's hangen? En weet je zeker dat als je niets "ziet", dat er echt geen "spycam" hangt? Ook zou het stembiljet van een -voor jou- onzichtbaar volgnummer kunnen zijn voorzien, en de stemcomputer kan een een volgnummer van de uitgebrachte stem bijhouden. Dat volgnummer kan dit later prima worden gecorreleerd met het logboek van de vrijwilliger waarbij jij je legitimeerde. Als ik me niet vergis wordt in een logboek bijgehouden welke stemgerechtigden zich hebben gelegitimeerd en hebben gestemd - in volgorde van binnenkomst naar ik aanneem...

Ik vrees dat het grootste probleem bij i-stemmen de garantie op anonimiteit is (d.w.z. het potentiële gebrek daaraan).

De reden hiervoor is het verhinderen van stemfraude. Immers, elke stemgerechtigde mag maximaal 1 stem (voor zichzelf) kunnen uitbrengen. Daarom krijg je nu één stemkaart toegestuurd en moet je je in het stemlokaal authenticeren. De kracht van het p-stemmen zit hem erin dat je, onmiddellijk daarna, in een stemhokje een vakje op een -anoniem- stembiljet kunt inkleuren. Waarna je dat stembiljet, opgevouwen, in een stembus deponeert.

Een dergelijke ontkoppeling, d.w.z. tussen eerst authenticeren en vervolgens anoniem stemmen, kan bij i-stemmen nooit zo inzichtelijk worden gemaakt als nu bij p-stemmen. Hoewel de overheid ongetwijfeld zal beloven dat zij jouw anonimiteit respecteert en wel wellicht busladingen notarissen en auditors op het proces loslaat, blijft het "de overheid", een notoir onbetrouwbare organisatie.

Integriteit
Als kiezer kunt je bij p-stemmen en s-stemmen achteraf niet vaststellen of jouw stem überhaupt is geteld of dat deze is afgekeurd (vakje zogenaamd niet helemaal ingekleurd, koffie erop gevallen tijdens tellen, stemmenteller kleurt stiekem nog een vakje in en constateert vervolgens hardop "afgekeurd" etc). Ook kan niet 100% worden uitgesloten dat jouw stem gewijzigd is voordat deze werd geteld! Het uitoefenen van toezicht hierop (anders dan nog meer vrijwilligers tijdens het stemmentellen of het auditten van stemcomputers) is erg lastig, zo niet onmogelijk.

Bij i-stemmen daarentegen bestaan daar veel betere mogelijkheden voor. Een systeem waarbij je zelf kunt vaststellen welke stem exact van jou geaccepteerd is, en/of centrale auditmogelijkheden (steeksproefgewijs bijvoorbeeld) zijn denkbaar en uitvoerbaar.

Stemproces
Ongeacht de manier van stemmen is er m.i. altijd sprake van 2 essentiële componenten of stappen:

1) Vaststellen dat je stemgerechtigd bent en, voor de huidige verkiezing, nog geen stem hebt uitgebracht. Dit kan dus nooit anoniem;

2) Het uitbrengen van de stem. Anonimiteit en integriteit zijn hierbij fundamentele rechten en voorwaarden.

BELANGRIJK: gewaarborgd moet worden dat het bij A en B om dezelfde persoon gaat! In het stemlokaal vindt die borging visueel plaats (oplettende vrijwilligers). Op internet kan dat natuurlijk niet, en zullen we andere oplossingen moeten bedenken (als dat dan überhaupt een risico vormt).

Voorstel voor i-stemmen
Ik heb vanochtend de volgende aanpak bedacht, en duik meteen de diepte in om e.e.a. te verduidelijken.

De overheid dient een website in te richten (laten we deze even www.HaalStemProgramma.nl noemen) waarop stap A) plaatsvindt:

1.a) Ga naar https://www.HaalStemProgramma.nl/;
1.b) Verzeker je ervan dat het SSL certificaat klopt en is uitgegeven door de "Staat der Nederlanden";
1.c) Meld je aan met je DigiD;
1.d) Geef je besturingssysteem op;
1.e) Download de passende software met unieke gegevens om jouw stem te kunnen uitbrengen.

Draai het StemProgramma. Deze zal:
- Diverse gegevens tonen, zoals de stad waarin je stemt;
- Jou vragen om je stem uit te brengen (lijst en kandidaat kiezen);
- Een wachtwoord genereren dat je moet onthouden of opschrijven;
- Optioneel een tweede wachtwoord genereren dat je dan natuurlijk ook moet onthouden of opschrijven;
- Een "stembiljet" genereren met als bestandsnaam bijvoorbeeld "Stembiljet_2013-03-16_12345678.zip".

2) Twee mogelijkheden:
2.a) Dat bestand upload je vanaf een willekeurige computer (internet-café, WiFi bij McDonalds, op je werk en/of via TOR) naar een daarvoor bestemde overheidswebsite. Ter bevestiging ontvang je jouw eigen bestand, echter aangevuld een datum en tijd van ontvangst, en alles omgeven met een digitale handtekening van de overheid;

2.b) Of je e-mailt dat bestand vanaf een willekeurig (anoniem) account naar een daarvoor bestemd overheidsaccount. Ook hier ontvang je, ter bevestiging, jouw eigen bestand, echter aangevuld een datum en tijd van ontvangst, en alles omgeven met een digitale handtekening van de overheid.

Stemprogramma en data
Na het downloaden van het StemProgramma met data controleer je de digitale handtekening(en) daarop, waarna je het programma opstart.

Het stemprogramma zou er ongeveer als volgt uit kunnen zien:Nb. zowel het StemNummer als de AntiFraudeCode zijn uniek voor uw stem. Het StemNummer is ervoor bedoeld om uw stem makkelijk te kunnen terugvinden, en is met 8 cijfers lang zat voor alle stemgerichtigden (dit kan gewoon een volgnummer zijn, uniek per download). De AntiFraudeCode moet voorkomen dat iemand jouw StemNummer misbruikt en eerder dan jou een stem in jouw plaats uitbrengt (je van jouw stemrecht berooft, en erger, mogelijk op een geheel andere partij stemt dan jij zou doen).

Uiteindelijk genereert het programma het bestand "Stembiljet_2013-03-16_12345678.zip", dat het optioneel meteen kan uploaden.

Wellicht kan het StemProgramma ook geheel in JavaScript worden uitgevoerd en dus als webapplicatie beschikbaar worden gesteld. Ik vermoed dat dit, ondanks alle cryptografische bewerkingen wel kan, maar zeker weten doe ik dat niet. In elk geval het genereren van een asymmetrisch sleutelpaar is misschien niet iets dat je in JavaScript moet willen doen.

Inhoud van "Stembiljet_2013-03-16_12345678.zip"
Ik stel me de inhoud van "Stembiljet_2013-03-16_12345678.zip" als volgt voor:
1. VersleuteldStembiljet.zip
2. VersleuteldWachtwoordOverheid.asc

Het bestand "VersleuteldStembiljet.zip" bevat "Stembiljet_20130316_12345678.txt", dat met AES256 is versleuteld. Het random wachtwoord daarvoor is gegenereerd door het programma. Jij hebt dat wachtwoord gekregen toen je het programma draaide, daarmee kun jij dus het .txt bestand openen (bijv. met WinZip of 7Zip), bekijken en vaststellen dat dit de stem is die jij wilt uitbrengen.

Datzelfde wachtwoord is versleuteld met een public key van de overheid, en het resultaat daarvan is te vinden in "VersleuteldWachtwoordOverheid.asc". Niemand heeft hier iets aan, behalve de bezitter van de bijbehorende private key (de overheid dus). Alleen "de overheid" kan het versleutelde wachtwoord uit "VersleuteldWachtwoordOverheid.asc" achterhalen, en daarmee "VersleuteldStembiljet.zip" ontcijferen.

Deze aanpak zorgt ervoor dat als het bestand via e-mail, of vanaf een niet vertrouwde computer, wordt verzonden, niemand anders dan de bedoelde ontvanger (de overheid) jouw stembiljet kan inzien (laat staan wijzigen).

Inhoud van "Stembiljet_2013-03-16_12345678.txt"
De indeling van Stembiljet_20130316_12345678.txt (dat -versleuteld- als "VersleuteldStembiljet.zip" in "Stembiljet_2013-03-16_12345678.zip" is opgenomen) is als volgt:De reden om voor een ini-file layout te kiezen is vooral de leesbaarheid; als je een beetje met computers overweg kan, snap je wel wat hier staat (XML is vaak een stuk lastiger lezen, minder compact en in dit geval is er ook geen sprake van ingewikkelde hierarchische structuren).

De digitale handtekening garandeert alleen jou dat de overheid jouw stem niet kan wijzigen voordat je "gestemd hebt". Feitelijk bestaat jouw stem uit de tekst tussen "-----BEGIN PGP SIGNED MESSAGE-----" en "-----END PGP SIGNATURE-----". Alleen mensen die in het bezit zijn van de private key hadden die handtekening kunnen genereren (overigens is de hier getoonde handtekening totale onzin, het gaat om het idee).

Nb. zolang jij de bijbehorende public key niet publiceert, heeft niemand, ook de overheid niet, iets aan de digitale handtekening onder "Stembiljet_2013-03-16_12345678.txt" (alhoewel de overheid, conform https://xkcd.com/1181/ "iets" uit de PGP regels zou kunnen concluderen ;)

Mocht jij tijdens of na de verkiezingen jouw stem opvragen, dan kun jij controleren of de handtekening nog klopt. Als er ook maar iets in jouw stem is gewijzigd, zal de handtekening niet meer kloppen. Op dat moment kun je ervoor kiezen om in het geweer te komen tegen de aantoonbaar gepleegde stembusfraude.

Het gaat wat ver om het hier uit tot in details te leggen, maar als jij kunt aantonen dat alleen jij de stem kunt hebben ondertekend omdat alleen jij de bijbehorende private key hebt, kun je dus ook aantonen dat iemand anders jouw stem vervalst moet hebben.

Stemmen en ontvangstbevestiging
Stemmen doe je door het bestand "Stembiljet_2013-03-16_12345678.zip" op de stemdag te uploaden of te e-mailen. In beide gevallen hoor je een ontvangstbevestiging te ontvangen (bij uploaden direct in de webpagina, bij mailen via een antwoordmailtje).

Die ontvangstbevestiging hoort te bestaan uit de volgende onderdelen (minder ver uitgewerkt dan bovenstaande voorbeelden):
Redenen waarom jouw stembiljet geweigerd is zouden kunnen zijn:
- Corrupt bestand;
- Functioneel incorrect (iemand kan handmatig zo'n bestand gemaakt hebben en bijv. Ansterdam hebben getikt);
- Te vroeg of te laat gestemd;
- Onjuiste programmaversie;
- Er is al een stem ingediend met het gegeven StemNummer en/of de gegeven AntiFraudeCode.

Achteraf opvragen "uitgebrachte stem"
Ik vind dat iedereen moet kunnen controleren of en hoe zijn/haar stem is verwerkt. Daarom moet er ook een website zijn, waar je op basis van een stemnummer, willekeurig elk stembiljet moet kunnen opvragen. Ik kan me voorstellen dat er een limiet zit op het aantal stemmen dat je zo kunt opvragen vanaf 1 specifiek IP-adres (in elk geval voor ongeregistreerde eindgebruikers, middels de WOB moeten alle stemmen opgevraagd kunnen worden).

Vanzelfsprekend moeten alle betrokken websites door erkende en onafhankelijke auditors worden gecontroleerd.

Problemen
- Toegankelijkheid: de betrokken sites zijn potentiële targets voor DDoS attacks en zullen zorgvuldig op dat aspect ontworpen en getest moeten worden.

- Anonimiteit: de zwakste schakel is stap A, waar je jezelf moet authenticeren en zowel StemNummer als AntiFraudeCode ontvangt. Als de overheid de associatie tussen jouw identiteit en 1 of beide andere gegevens opslaat, kan ze daarmee jouw politieke voorkeur achterhalen zodra je jouw stem hebt uitgebracht. Mochten die gegevens ooit worden gelekt, dan kan een derde dat natuurlijk ook. Wellicht moeten we eisen van de overheid dat een dergelijke associatie niet mag worden opgeslagen. Het nadeel daarvan is, dat bij verdenking van fraude, het lastiger is om uit te zoeken wat er is gebeurd.

- Complexiteit: veel mensen zullen alle blah over asymetrische sleutelparen niet snappen. Wellicht moet het programma een "normale", "geavanceerde" en "expert" modus kennen.

Conclusie
Ik denk dat we toe zijn aan internetstemmen, en dus zeker geen belastinggeld meer moeten verspillen aan stemcomputers in stemlokalen waarmee je welliswaar sneller stemmen kunt tellen, maar waarvan de integriteit niet vaststaat en ook niet goed kan worden gecontroleerd.

Ik denk dat het risico op verlies van anonimiteit bij mijn voorgestelde methode voor internetstemmen klein is (maar dat is een mening, onderbuikgevoel - niet iedereen hoeft het met me eens te zijn). Daarnaast kun je je afvragen hoe erg het is als sommige ambtenaren van elke individuele kiesgerechtigde weten wat haar of zijn politieke voorkeur is. Tegelijkertijd krijgen we er een veel beter controleerbaar stemsysteem voor terug. Ik ben van mening dat dit laatste voordeel ruimschoots opweegt tegen het mogelijke anonimiteitsprobleem.

Vanzelfsprekend sta ik open voor goed onderbouwde kritiek, aanvullingen en correcties! Ik heb een klein beetje gegoogled maar niks gevonden wat hier op leek. Mocht ik iets hebben bedacht dat allang bestaat, dan hoor ik dat natuurlijk ook graag!

Ik zie liever een "volledig online" oplossing i.p.v. software downloaden.
Maakt het ook een stuk laagdrempeliger.

Mijns inziens moet iedereen op dezelfde manier stemmen,
dus voor ieder exact dezelfde software of website.

Ik denk niet dat zo iets een kans maakt.
Stemmen is voor iedereen. Dus niet alleen voor de nerd die PGP files kan lezen en programma's kan
downloaden en runnen. Ook het downloaden en uitpakken van ZIP files valt niet onder de zaken die je
aan iedereen kunt overlaten.

Als er een internet stemoplossing komt dan moet die werken met standaard omgevingen en aan te passen
zijn bij nieuwe omgevingen die op de markt verschijnen.
Kijk bijvoorbeeld naar de smartphones en tablets. Een paar jaar geleden had je die nog niet, nu kun je
er niet meer omheen. Een oplossing die niet op smartphone of tablet werkt daar heb je bij voorbaat al
niks aan.

Omdat dit soort ontwikkelingen niet altijd te voorzien zijn, moeten ze niet worden ingebeiteld in een
methode van stemmen die maar eens in de zoveel jaar ineens nodig is en niet op dat moment aan de mode
van de dag kan worden aangepast.

Zo, en mn oma gaat dat snappen.

Wat een vreselijk ingewikkelde lap tekst. Dat zou al indicatie genoeg moeten zijn. Hier even wat hoofdlijnen.

Waar het om gaat bij het "moderniseren" van het stemmen is dat er oneigenlijke argumenten worden gebruikt om ambities vooruit te duwen die verder niets met ons stemmen te maken hebben. Alleen daarom al mogen plaskerk en zijn burgerhatervrindjes van de vng en oh ja de nedaplobbyisten wat mij betreft oprotten en nooit meer terugkomen.

Nogmaals (dat was een stopwoord van alle politici een tijdje terug): Er zijn hele duidelijke eisen aan het stemmen te stellen en werkelijk iedere keer als het lijk van nedapstemmen opgewarmd wordt door de burgemeesterslobbyclub zie je daar helemaal niets van terug. Denken ze dat we gek zijn?

Laat ik even in herinnering brengen dat hier machines naar voren geschoven worden waarvan de fabrikant claimt dat de interne werking "bedrijfsgeheim" is. Voor een proces waar transparantie en controleerbaarheid het enige is dat echt telt.

Daar helpt geen voortschrijding der techiek tegen. Laat die voortschrijding nu net het enige argument zijn waarom deze leken zeggen dat het nu wel moet kunnen. De rest van de bezwaren wordt niet op ingegaan. Waarom zouden wij dat dan wel doen, en moeite doen voor andermans idee waar zij verstek laten gaan?

Dat plaskerk zich daarvoor laat lenen betekent dat'ie a) niet in de smiezen heeft wat er gaande is (goed bestuur hoor), b) zich makkelijk voor andermans karretje laat spannen, c) vooral voor zijn eigen ambitie gaat, d) burgerbelang niet hoog heeft zitten, e) wellicht niet heel zuiver op de graat is, danwel f) al het voorgaande.

Het heeft ondertussen niets meer met techniek te maken maar alles met tegen de klippen op doordrammen van antidemocratische belangen. Ik denk dat dit een mooi aanknopingspunt is om den haag maar weer eens op het steeds duidelijker schitterende gebrek aan integriteit aldaar aan te spreken.

En daar gaat het mis. Eén van de aspecten van stemgeheim is dat ook de stemmer zelf niet kan aantonen wat hij/zij gestemd heeft. Dat biedt namelijk een opening om mensen onder druk te zetten: "Jij gaat op Peter van Straten stemmen en als je achteraf het bewijs daarvoor niet kan laten zien dan weten we waar je kinderen naar school gaan."

Geautomatiseerde systemen zijn te complex en ondoorzichtig (want je kan de "bewegende delen" niet zien) om aantoonbaar betrouwbaar te zijn. Zelfs de programmeur die een systeem schrijft moet zijn eigen resultaten uitgebreid testen en/of laten testen, en het is bekend dat je daarmee alleen de aanwezigheid van fouten bewijst maar nooit de afwezigheid. En zelfs eenvoudige software bevat heel makkelijk fouten, software schrijven is moeilijk.

Cryptografie biedt oplossingen om een bericht betrouwbaar door een onbetrouwbaar traject te loodsen, je kan het onleesbaar maken en aantonen dat er niet mee geknoeid is. Jij maakt daar gebruik van in je oplossing. De pest is alleen dat dat gebeurt door handtekeningen te zetten, en dat is nou juist in strijd met het stemgeheim. En zet je die handtekeningen niet, of zet je ze op iets wat geen betekenis heeft ("U heeft gestemd, maar om veiligheidsredenen bevestigen we niet op wie u heeft gestemd") dan is meteen de controleerbaarheid weer het slachtoffer.

De kracht van zo'n simpele procedure als in traditionele stembureau's wordt toegepast is dat de overzichtelijkheid van de situatie het geheel controleerbaar maakt, er zitten geen moeilijk controleerbare componenten in het proces. Dáárom kan dat proces zonder handtekeningen of cryptografie toch betrouwbaar werken. Ik zie niet in hoe je met gebruik van software die betrouwbaarheid kan bereiken zonder het stemgeheim geweld aan te doen.

Eens. Heb ik overigens ook beschreven (ga naar https://www.security.nl/artikel/45534/1/InternetStemmen_dan_maar%3F.html#comment-318213 en kijk naar de tekst direct boven die bijdrage, ietsje scrollen dus).

Oneens, en ik zie ook niet in waarom dat zou moeten.

De kern van mijn betoog is dat, zo transparant mogelijk, met het beschreven "Stembiljet_2013-03-16_12345678.zip" kan worden gestemd. De beschreven "GUI" daarvoor is niets meer dan een voorbeeld van hoe de gebruikerinterface er uit zou kunnen zien.

Kiezers die de overheid niet vertrouwen moeten in de gelegenheid worden gesteld die zip file desgewenst zelf met de hand, of met open source tools, te maken. Het enige dat zij van de overheid, per verkiezingsronde, moeten krijgen om te kunnen stemmen, is éénmalig een "StemNummer" en een "AntiFraudeCode".

Idealiter is het enige dat de overheid "onthoudt", per verkiezingsronde en per stemgerechtigde (op basis van BSN), of die stemgerechtigde al wel, of nog niet, zo'n "StemNummer" + "AntiFraudeCode" heeft opgevraagd (dus niet welk "StemNummer" en welke "AntiFraudeCode", alleen het feit of zo'n set is uitgegeven of niet) . Nb. die combinatie "StemNummer" + "AntiFraudeCode", je stemticket zeg maar, staat gelijk aan de oproepkaart die je thuis gestuurd krijgt plus de authenticatieslag op het stembureau.

Het is inderdaad een heel belangrijke eis dat de betrouwbaarheid/integriteit van een stemsysteem door _iedereen_ in te zien is, en op alle deellagen simpel controleerbaar.

De legitimiteit van bestuur berust voor een heel belangrijk deel op een democratisch mandaat, en ook al ben je het (erg) oneens, uiteindelijk staat voor ongeveer iedereen wel vast dat de partijen een bepaald aantal stemmen gehaald hebben.

Als dat fundament wegvalt omdat de uitslag slechts is wat een computer zegt, plus een paar brillen met stropdas die zeggen "vertrouw mij dit is echt wat er gestemd is" dan blijft er heel weinig van dat mandaat over , en zeker als de uitslag onverwacht afwijkt voor een significant aantal mensen.

Het hele stemproces dat via het potlood verloopt in principieel voor een ieder inzichtelijk. Als je dat wilt kun je overal bij aanwezig zijn en alles zien.
Het probleem met elektronisch stemmen is dat het proces niet voor een ieder inzichtelijk is te maken. Dat los je op geen enkele manier op. Je mag van stemmers niet vragen dat ze anderen op hun blauwe ogen geloven dat het proces veilig is.
Natuurlijk kan ook gefraudeerd worden bij het stemmen via een potlood, maar daarvoor zijn teveel mensen nodig om het mogelijk te maken. Je kunt dat door die aantallen niet geheim houden.

Dank voor alle reacties!

Excuses als ik het niet duidelijk genoeg heb uitgelegd, maar de bedoeling is dat het systeem transparant is voor iedereen die bereid is zich erin te verdiepen. Dat hoeft niet. Als je de overheid vertrouwt kan dit ook met een supersimpele gebruikerinterface. Mensen die het niet willen/kunnen (geen DigiD (willen) hebben bijv.) zouden gewoon met potlood en papier moeten kunnen stemmen.

Als ze een DigiD heeft gaat ze dit snappen ja, anders moet ze met potlood en papier gaan stemmen.

Ook in wat je daarna schrijft zie ik geen inhoudelijke opmerkingen over het door mij voorgestelde internetstemmen.

Ik was eerst geneigd jouw argument als irrelevant weg te zetten, maar als ik denk aan een onderdrukte huisgenoot die door de partner wordt gedwongen te laten zien wat zij/hij heeft gestemd, dan is die sitiatie inderdaad denkbaar (maar, die onderdrukkende partner kan de gewenste informatie er natuurlijk ook "uitslaan").

Ik kan me voorstellen dat in de GUI een vinkje kan worden gezet waarmee je aangeeft dat je jouw stem nooit meer wilt kunnen opvragen. Als je dat zet en per e-mail stemt, krijg je ook geen bevestiging per mail. Het stemprogramma kan, indien gewenst, ook alle sporen wissen op de PC waarop gestemd is. Allemaal geen probleem, wat ik wil is dat kundige mensen die dat willen, de vinger aan de pols kunnen houden. Dat is het doel.

Ja. Maar wat ik voorstel is (ondanks de lange tekst) best simpel. De kern is het "stembiljet" (zip file).

Dat is het niet; zolang je de public key niet publiceert is de signature niets anders dan een reeks ASCII karakters waar niemand iets aan heeft. Wel is het zo dat je, als je besluit te speuren naar stemfraude en constateert dat jouw stem is gewijzigd, jouw identiteit en stem zult moeten prijsgeven om de zaak aan de orde te stellen. Persoonlijk heb ik dat er, in zo'n situatie, graag voor over (gerechtigheid gaat dan voor mijn anonimiteit, zo belangrijk is het geheimhouden van mijn persoonlijke politieke voorkeur nou ook weer niet).

Geheel mee eens! Ook ik ben voor potlood en papier, laten we het alsjeblieft houden zoals het nu is!

Echter, de overheid dreigt -tegen alle adviezen in- toch weer stemmachines te gaan inzetten. In dat geval geef ik de voorkeur aan een systeem dat beter controleerbaar is - vandaar mijn voorstel.

Ik vind dat je alleen moet mogen stemmen als je bereid bent om naar een stembureau te gaan. Ben je daar te bedonderd voor, dan ben je het niet waard dat je stem meetelt. Ben je er te druk, te oud of te ziek voor, dan kun je iemand machtigen.

In het stembureau moet je je stem zó kunnen uitbrengen dat je het proces van A tot Z zelf kunt controleren. Dus moet je stem op papier komen. Dat papier moet een tijdje bewaard worden. Hoe ze tellen enzo, dat mogen ze zelf weten. Als er maar kan worden teruggegrepen op die papieren stemmen.

Zo weet je (a) zeker dat alleen jijzelf of je gemachtigde jouw stem heeft uitgebracht en (b) zeker dat de stem die je wilde uitbrengen ook inderdaad is uitgebracht.

En tenslotte: je hoefde er niets bijzonders voor te weten of te kunnen. Dat is democratie.

Niet op technisch gebied, nee. Ik heb er even overheen gekeken en besloten er niet in te duiken. Want:

Ik snap waar je vandaan komt en ik snap ook wat je bedoelingen zijn. Maar ik denk dat het niet de juiste aanpak is. Ik denk niet dat we hier in mee moeten gaan. In het geheel niet. Niet eens over nadenken. Geen woorden aan vuilmaken.

Het proces wat er in gang gezet wordt is abject en overduidelijk tegen de volkswil in, en dat mogen we niet laten gebeuren.

Dan gaan we ook niet toch meewerken om dan tenminste een redelijk systeem te krijgen. Dan blijven we met een ovfaalstemsysteem zitten. Zeker niet omdat we de problemen kennen met de technische moeilijkheden. Kunnen we daar wel met veel moeite omwegen en oplapmiddelen voor bedenken om dan alsnog door een inferieure nedapoplossing gepasseerd worden. Is niet productief.

Maar het punt was en is dat dit het verkeerde niveau op te proberen te helpen. Dit is geen technisch probleem meer.

Waar het echt om gaat is dat leken (zoals makkelijk lobbybare politici en burgemeesters) geloven dat het prima is om het toch hun domme plannetjes door te drukken, de techniek zorgt er wel voor dat het uiteindelijk toch wel kan. Dat zeggen ze letterlijk: "De techniek is nu vast wel genoeg gevorderd." Ook als het absoluut en fundamenteel een slecht idee is. Dit is ontoelaatbaar.

Wat we wel moeten doen: Terugfluiten. Met z'n allen. plaskerk bedelven onder brieven dat hij op moet houden zijn ambities ten koste van de democratische fundamenten te laten prevaleren.

Desnoods de oprichting van een constitutioneel hof zoals ze in Duitsland hebben eisen en dat dan om een vergelijkbare fundamentele uitspraak vragen. Eigenlijk hadden we daar de Raad van State voor maar daar wordt toch niet naar geluisterd. Daar wordt af en toe een vrindje naartoe gemanoevreerd en dat was het dan.

Wat we hier zien zijn lusers die luid en duidelijk zijn teruggefloten en dan alsnog precies hetzelfde nog een keertje doen. Dat kan en mag niet. En toch blijven ze maar drammen. Was het je hond dan kreeg'ie op de neus en mocht'ie buiten slapen. Hier is het grensoverschrijdend het volk tarten.

Daar mogen wij dus niet aan meewerken. Daar is maar één antwoord op toepasselijk: Afstraffen, zo hard mogelijk.

Iedere keer weer. Net zo lang tot ze het leren. Dus: Klim in de pen en vertel ze dat ze op moeten houden.

Als je zo'n systeem wilt opzetten NAAST een ander systeem (op papier stemmen) dan maak je het allemaal nog
ingewikkelder, want dan moet je ook nog regelen dat mensen zich op een veilige manier kunnen registreren
voor het stemmen op de ene of de andere manier. Alleen degenen die voor internet stemmen kiezen moeten op
die manier kunnen stemmen en die moeten ook GEEN oproepkaart krijgen voor een stembureau.

Ik zou het het liefst bij potlood en papier houden. Stemmachines zijn niet veilig, maar i-stemmen lijkt me ook niet ideaal als alternatief. Het is sowieso moeilijk te achterhalen wie er allemaal achter het beeldscherm zitten, 10 man in een stemhokje valt wel op.
Het i-stemmen zoals je beschrijft zijn veel te veel stappen voor de meeste mensen. Een stukje fietsen/wandelen en p-stemmen zal dan bij de meeste de voorkeur hebben. Ook het vertouwde gevoel van het fysieke biljet en potlood zal bij een hoop mensen (nog) de doorslag geven te p-stemmen. Zelfs als securitybewuste 30+er zal ik gaan p-stemmen, ongeacht hoe veel mensen/overheid zeggen/zegt dat het volledig veilig en anoniem i-stemmen is

Daarnaast is er een hoop malware in omloop waarvan het toch een aantal jaar duurt voor het ondekt wordt/werd en ook voor phishers ligt hier wel een kans. Voor een" Evil" partij natuurlijk een mooi middel om meer macht te verkrijgenen als de malware al ooit gevonden wordt is het al te laat. Mischien zelfs later dan de bewaartermijn van ISP's ;P

De mogelijkheid zou er al niet moeten zijn; de onderdrukker kan eisen dat er wel voor een bewijs wordt "gekozen" en zal niet tevreden zijn met alleen de uitspraak dat er volgens de wens van de onderdrukker is gestemd.
Zodra de mogelijkheid van bewijs wordt geboden is de veiligheid van de onderdrukte niet te waarborgen en kan de stem gedwongen worden uitgebracht.

Even een reactie van een niet digibete stemlokaal vrijwilliger:

Wat een onzin lees ik toch weer in dit artikel, duidelijk bedacht door iemand die te veel in de IT zit. Het hele proces zoals beschreven is volledig niet begrijpelijk voor iedereen die geen IT opleiding heeft.


> Ga naar https://www.HaalStemProgramma.nl/;

Dit zal voor de meeste mensen nog wel haalbaar zijn..

> 1.b) Verzeker je ervan dat het SSL certificaat klopt en is uitgegeven door de "Staat der Nederlanden";

Hier gaan wij al: Dit is voor 'normale' geoefende computergebruikers al een brug te ver, laat staan voor de spreekwoordelijke Oma, buurman/vrouw die computers eng vindt, etc. Niet uit te voeren dus. Daarnaast: Man in the browser attacks? Nogal een business case: Verkoop de Nederlandse verkiezingen door middel van FinFisher meets Daque 3.4 etc.

Naast de technische bezwaren: Laten we een nadenken over het probleem dat we op proberen te lossen met op andere manieren stemmen: De uitslag? nu hebben we de volgende ochtend een 99.934% nauwkeurige uitslag (een paar hertellingen moeten dan nog binnen komen) Met digitaal stemmen heb je dat een paar uur eerder, Boe fucking Hoe.. echt de moeite waard inderdaad...

De enorme kosten? Ik wil de business case wel eens zien: Nu is het een leger vrijwilligers en, pak 'm beet over het jaar gezien gemiddel 1/3 FTE per gemeente? Een omgeving optuigen, de software ontwikkelen, bijhouden, beheren, auditen, inzichtelijk maken voor af en toe verkiezingen? Nogmaals: Laat mij een positieve business case zien en we praten verder.

De politiek in den haag moet eens ophouden met luisteren naar de lobby's van fabrikanten en ITers moeten eens ophouden met het zoeken naar oplossingen voor problemen die er niet zijn. Er is geen probleem met het huidige stemmen..

Tot slot: Het mag duidelijk zijn dat ik geen voorstander ben van digitaal stemmen. Ik heb daarom zodra die rot machines weg waren mijn verantwoordelijkheid genomen en heb mijzelf aangemeld als vrijwilliger voor 't stembureau. Die ene vrije dag die 't mij kost in de zo veel tijd heb ik er graag voor over. Als meer mensen dat doen vervalt de "behoefte" aan stemcomputers ook: Het tellen is dan veel sneller klaar.

Erik, stemmen is een persoonlijk iets en zou dat ook moeten blijven, op het moment dat je dat met een pc doet (ik verwacht niet dat elke actief stemgerechtige TOR gebruikt of naar de Mac gaat) , is er geen enkele controle op de het anoniem uitbrengen van stemmen (dat was met de vorige stemcomputer natuurlijk ook niet het geval, daar mij niemand garandeerde dat je stemnummer niet werd gekoppeld aan het hokje waar je instond ;-) )

Dus wat dat betreft lijkt internetstemmen me niet zo'n goed idee

Ik kan alleen zeggen: if it ain't broke, don't fix it.
Onze anonieme stemlokaal vrijwilliger hierboven maakt een goed punt.

De stemmen zijn binnen 1 dag geteld voor 99%, Ja computers zullen daar bijna geen tijd van maken en het geeft de optie om tussentijdse resultaten te geven (wat ik niet wenselijk vind). Maar het kost ook wel een grote smak geld. Volgens mij steken we al veel te veel geld in de overheid voor dingen die we helemaal niet nodig hebben. En ik ben niet een of andere digibeet. Sterker nog ik zit juist midden in de ICT als netwerk en security specialist (in opleiding).

Neem nu eens even het hele mooie project van de OV-shitkaart. Wat was er miss met papieren kaartjes. Die werkte altijd, geen gezeik met privacy buiten dat je naam op de kaart staat (wat ook bij de OV kaart is). En wat heeft het gekost? Te veel, dat is het antwoord want zelfs de overheid heeft de getallen niet op papier.

Raad eens wat het onderzoek naar digitaal stemmen kost? Te veel als je het mij vraagt. Ze komen vast wel weer met een indicatie van X maar die X wordt al snel overschreden naar 10X

Nee, de buurt godfather kan wel slaan/dreigen/betalen en een gewenst antwoord horen, maar bij een stemGEHEIM kan die Don niet zeker _weten_ wat er gestemd is.
En het idee is dat daarmee de zin van betalen/bedreigen vervalt .

Het is ook niet voor niks dat het aantal volmacht stemmen dat iemand mag uitbrengen beperkt is.

Het klassieke stemmodel is enorm robuust tegen _grootschalige_ (onmerkbare) fraude.
Je moet op veel plekken erg zichtbaar bezig zijn om de uitslag significant te beïnvloeden.
Dat gebeurt wel eens in bokkie-wokkie landen, en valt ook erg op, vrachtwagens vol stembiljetten .

Computers en automatisering zijn nu juist enorm goed om van alles grootschalig met een heel klein aantal mensen te doen ....



Graag een beetje beter nadenken. Zo'n vinkje heeft alleen zin voor iemand die al in vrijheid stemt.
Degene die gemotiveerd wordt (betaald, bedreigd) om zijn stemkeuze te moeten bewijzen zal natuurlijk ook het vinkje niet zetten.

Het schaamteloos elitair denken ('goed genoeg als kundige mensen (ons soort mensen) het goed vinden') vind ik ook vrij stuitend.

Als je via het internet stemt,is het niet meer anoniem.
Er is dan zo wie zo te achterhalen,van waar en hoe laat die mail binnenkwam.
Dit in verband met de bewaarplicht telecomgegevens.

Naast allemaal praktische, etische, persoonlijke, onderbuik en technische bezwaren die ik hierboven lees, ook nog iets om over na te denken van mijn kant.

Het voorstel dat Erik doet, is op zich nog niet zo heel erg verkeerd.
Mocht de overheid internetstemmen er perse doorheen drukken, hoop ik maar dat ze het uitbesteden aan iemand die er over nagedacht heeft.
Persoonlijk zou ik het wel handig vinden, want een stemkantoor bezoeken is voor mij niet haalbaar. Ik woon in het buitenland en het gaat mij iets te ver om even een vliegtuig te pakken. (nu gaat het per post, blanco envelop)

Een ding waar ik wel bang voor ben (technisch bezwaar), is browser addons als NoScript.
Het komt erg vaak voor als ik op een site komt waar bepaalde scripts op draaien, 1 of meerdere keren de pagina opnieuw geladen moet worden om een (tijdelijke) uitzondering in NoScript te geven.
Bij een stemsite kan dat niet omdat je maar 1 keer je stem mag uitbrengen.
Niet handig als je een uitzonderingsregel het toegevoegd in NoScript en de pagina opnieuw laadt of het formulier opnieuw probeert te versturen, dit niet meer kan omdat dit slechts 1 keer mag.
Zo is een keer de uitslag van een online prijsvraag in de bittebak beland. je mocht maar 1 keer een actiecode invoeren. Ik moest het 2x doen omdat NoScript in de weg zat. De 2e keer werd geweigerd "sorry code is al een keer ingevoerd".
Nu is dat in mijn voorbeeld niet handig, maar bij het online stemmen wordt dat pas echt vervelend.

Ook om over na te denken.
Wat als je online stemt en op het moment dat je de bevestiging zou moeten krijgen, crasht je pc of vliegt je verbinding er uit.
Je zou opnieuw op de site moeten inloggen en dat is nou juist niet de bedoeling.

P-stemmen is de enige transparante vorm van stemmen waarbij iedereen snapt wat er aan de hand is en zijn/haar stemgeheim in tact blijft. Steekproeven, zogenaamde kopietjes op papier, stemcomputers, stemmen via internet, het is allemaal een verzwakking van de grondrechten die onze democratie vormen.

Eens. Echter, uit http://www.tweedekamer.nl/kamerstukken/verslagen/kamer_in_het_kort/kieswet_gewijzigd.jsp: Ik weet niet waar jij "overduidelijk tegen de volkswil in" op baseert. Ik vrees dat onze vertegenwoordiging in de tweede kamer er anders over denkt (zie boven).

Eens, dat aspect heb ik hierboven niet geadresseerd. Uitgesloten moet worden dat je 2x kunt stemmen. Dat zou kunnen door het vooraf op te geven als je wilt internetstemmen (ruim van tevoren, voordat stemkaarten worden verzonden). Of door de vrijwilliger in het stembureau/stadhuis jouw identiteitskaart over een lezer te halen (c.q. BSN nummer in te voeren) waarna een computer vaststelt of jij zo'n StemNummer + AntiFraudeCode hebt opgevraagd en gekregen (dan ben je dus in de gelegenheid geweest om te i-stemmen).

Eens dat i-stemmen ook niet ideaal is. Maar als jij zou moeten kiezen tussen stemmachines (zonder paper trail) of i-stemmen zoals ik voorstel, wat wordt het dan?

Besmette computers zijn een groot probleem in het algemeen, maar ik vraag me sterk af of de business case goed genoeg is voor cybercriminelen. Phishing lijkt me geen groot probleem, relatief weinig mensen trappen hierin (als "politiek aanvaller" heb je serieuze aantallen nodig; stemmachines zijn fantastische targets).

De onderdrukker kan de onderdrukte ook verplichten om in het stemhokje een foto te maken van het ingevulde stembiljet en dat te tonen zodra de onderdrukte het stembureau heeft verlaten. Groter probleem: mijn schoonouders stemden altijd KVP en later CDA omdat dit moest van de kerk. De laatste tientallen jaren trekken steeds minder mensen zich daar wat van aan, maar het probleem is nog lang niet uitgebannen. Dwang is van alle tijd, en ik ben van mening dat internetstemmen hier nauwelijks invloed op heeft. Dus ja, je hebt een argument, maar m.i. is de impact ervan klein.

Huh? De meeste Nederlanders internetbankieren, doen via internet aangifte inkomstenbelasting en webshoppen erop los, maar een certificaat controleren kunnen ze niet? Dan moeten ze ook niet gek opkijken als hun rekening een keer geplunderd wordt. Computers zijn complexe apparaten, van wie daar serieuze zaken mee doet mag enige basiskennis worden verondersteld.

Maar mijn verhaal hierboven is niet bedoeld voor de spreekwoordelijke oma. Ik heb het geschreven voor ervaren- en security-bewuste ICT-ers, in de hoop op inhoudelijke reacties die bijv. aangeven dat ik iets fundamenteels over het hoofd zie. Kennelijk niet?

Zie de wens van de tweede kamer hierboven.

Ik heb verschillende manieren genoemd om het stemmen zelf zo anoniem mogelijk te laten plaatsvinden (internet-café, WiFi bij McDonalds, op je werk en/of via TOR, of door gebruik te maken van een anoniem/wegwerp e-mail account).

Ja, maar onze volksvertegenwoordigers willen stemmachines. Zie boven.

Ook in Nederland zijn er ongetwijfeld mensen die onder druk worden gezet om iets anders te kiezen dan hun eigen voorkeur, maar ik geloof niet dat internetstemmen de mogelijkheden voor "onderdrukkers" substantieel zal vergroten. Persoonlijk denk ik dat de risico's voor het algehele stemproces kleiner zijn bij wat ik voorstel dan bij stemcomputers.

Dit is een security site. Ik vraag security mensen te helpen meedenken/analyseren of ik ergens een denkfout maak, c.q. verbeteringen voor te stellen. Helaas constateer ik voornamelijk conservatieve reacties, mensen die willen dat alles bij het oude blijft. Steek je kop maar in het zand, want dat gaat gewoon niet gebeuren. Vanavond nog op het nieuws: eerst zijn overal bankfilialen vervangen door flappentappen, en nu worden ook die flappentappen weggehaald. Over 10 jaar zal er nauwelijks nog contant geld worden gebruikt. Kinderen van tegenwoordig weten niet meer wat een cassettebandje of een floppy is. Dat heet vooruitgang. Live with IT!

Wishful thinking. De laatste paar keer dat de burgemeesters dat lijk weer opgroeven bleek dat toch iedere keer weer niet het geval.

De techneuten (nedap lobbyisten tellen niet) denken daar anders over.

Aan ons om de tweede kamer the error of their ways duidelijk te maken.

Een tweede kamer die al vaker op de bek is gegaan omdat ze er daar gewoon geen idee hebben waar ze mee bezig zijn.

Ik zou oproepen het stemproces te boycotten. Dit is niet persoonlijk en geen reflectie op het denkwerk wat er in de systemen geinvesteerd is. Verder zou ik je wijzen op de literatuur als vergelijkingsmateriaal. Er is best al een boel geschreven over stemprocessen maar ook over procesbeveiliging en je maakt zo te zien wat basale aannamefouten.

Je hebt maar één succes nodig en je bent binnen... in de stemmachine. Game over. Hoezo geen groot doelwit?

Daarnaast komen we niet weg met "het lijkt ons dat...", niet in deze toepassing. Laten zien dat het probleem niet kan voorkomen, anders voldoende dichttimmeren. Een van de redenen dat een papieren proces een stuk makkelijker implementeerbaar is, is dat het inert en langzaam is. Electronische processen zijn dat niet, en dat maakt ze in dit geval moeilijker controleerbaar. Precies daarom (en wegens nedap hun weigerachtigheid) zijn we weer terug gegaan.

Puur omdat het stemproces en zijn controleerbaarheid belangrijker zijn dan blitse knipperlampjes en drukknopjes, of touchscreens, wat dan ook.

Kiezers verplichten hun electronische gadgets bij de deur af te geven. Voor wel vijf hele minuutjes.

Dat is heel dom van de kerk. Binnenkort komt het uit en hebben ze alweer een schandaal aan de broek. Je zou toch denken dat zo'n eeuwenoude instelling een klein beetje lange termijnvisie zou hebben.

Ik denk niet dat ik met je meega in dit argument. Het komt neer op kwaad + kwaad = goed.

Nee, dat kunnen ze niet. Nee, als hun rekening geplunderd wordt mag je ze dat maar beperkt aanrekenen. Als in, tot op het punt waar je kan aantonen dat ze hele domme dingen gedaan hebben. En ja, dat doen ze, maar toon het maar aan. Om te beginnen doen ze zaken met een bank, origineel omdat die dit soort hoofdbrekens van ze overnam. Dat is een van de dingen waar je ze steeds meer voor betaalt terwijl ze steeds minder leveren, net zoals de overheid oorspronkelijk bepaalde hoofdbrekens voor je oploste, maar ondertussen.... Enfin.

En die basiskennis? Ik heb jarenlang geroepen dat die belangrijk is. "Intuitief" was belangrijker, zei de fabrikant en iedereen ging daar in mee. Basiskennis kan niet en mag niet. Mede daarom bestaat securitypuntenel in deze vorm. Dus dat argument ga ik niet in mee. Pas als iedereen een solide "principes van de computerije" achtergrond heeft meegekregen, bijvoorbeeld van de middelbare school, gaat dat argument realistisch worden. Aangezien kompjoeterles nog altijd niet verder komt dan een beetje rommelen met programmas van een bepaalde fabrikant gaat dat nog wel even duren.

Zonder diep in het model van je voorstel te duiken om redenen die ik al gegeven heb, kan je eens de literatuur bekijken op eerdere voorstellen. Onder andere Rivest (de R in RSA) heeft hier wat leuke dingen over geschreven.

Als dat het enige is, dan is het tijd om de tweede kamer te laten inzien dat dit niet iets is dat ze zouden moeten wensen. De integriteit van het proces moet voorop staan en precies dat is waar ze aan morrelen. Dat moeten ze snappen. Als ze dat niet kunnen (bijvoorbeeld omdat ze allemaal politicoloog zijn en verder niets kunnen), is het tijd om de mensen daar te vervangen door minder domme mensen. Dat zeg ik wetende dat de teneur in de tweede kamer toch een ietsje anders ligt, cq dat daar nu ende momenteel heel andere dingen populair zijn.

Kan je je op de techniek gaan focusen, maar dat is hun spelletje meespelen (dat spelletje is waar ze voor hebben doorgeleerd, voor besturen wat minder), maar dat moet je zeker in dit geval gewoon niet willen. Jouw probleem is dat je de techniek te interessant vindt. Als "ervaren ICTer" zou je moeten weten dat blijven kwakkelen met een duur ding dat niet lekker werkt zo ongeveer de meest kostbare situatie in de ICT oplevert. Soms moet je zoiets gewoon grondig stuk maken en overnieuw beginnen.

Is dat niet genoeg? Moet het ICTiger? Fred Brooks, _The Mythical Man Month_, ICT-klassieker, zegt hetzelfde. Maar ook een netwerktechnicus kan het beamen. Routing blades van 50k euri die blijven crashen. Pas als ze echt stuk gaan mogen ze terug voor de RMA. Dat moet je soms een zetje geven. Of een schop. Desnoods letterlijk.

Zo ook hier: Voordat we met de techniek beginnen moeten we ons op de randvoorwaarden bezinnen. En niet alleen wij: De tweede kamer gaat met dit onderzoek daar aan voorbij. Dat mag niet.

Het logische gevolg is dat er niet nu aan een electronische implementatie begonnen kan worden zonder de fundamenten geweld aan te doen. Wil je dat niet snappen ben je onze democratie aan het verloochenen.

Ja, maar dat mogen ze niet willen van ons. Zie eerder bericht.

Aan jou om dat geloof aannemelijk te maken.

Persoonlijk ben ik niet zo gelovig dus moet je het duidelijk laten zien. Let wel: Niet aan ons om jouw van je geloof af te helpen. Aan jou om het te laten zien.

Oh, gaan we zo beginnen. Erik, je hebt niets van de reacties gesnapt. Je praat hier namelijk door de bril van je eigen preconcepties. Dat gaat verder dan elke keer dat jij op een tegenwerping zegt "ik geloof niet dat..."

Neem bijvoorbeeld jouw assertie dat dit een security site is: Je vergeet dat het stemproces moet worden geimplementeerd door volstrekte leken. Daar begin je al met je denkfouten. Je doet aannames die niet waar te maken zijn, en je wuift tegenwerpingen zondermeer weg. Je zit zelf met je kop in het zand, gezellig naast de tweede kamer.

Ik heb je nou al drie keer verteld dat het probleem geen technisch probleem is en dus ook niet puur technisch opgelost kan worden. Dat heeft niets met conservatisme van doen. Dat heeft alles te doen met constateren dat de electronische implementatie van het gewenste stemproces onoverkomelijke problemen oplevert die niet in een paar jaartjes op te lossen zijn. Dat heeft zelfs het Duitse constitutionele hof door. Dáár wel. Maar daar zijn ze dan ook Gründlich.

Maar hier moet er toch dit ideetje doorgedrukt worden. Misselijkmakend, Erik. Je zakt af naar het niveau van "jullie lopen achter". Nou en? Ik schrijf met de hand als dat handiger is. Ik fiets of loop als dat handiger is. Stemmen zonder computers blijkt handiger. Om hele goede redenen. Dan doen we dat.

Laat ik er nog aan toevoegen dat stemcomputers afgeschoten zijn door technisch diep onderlegde personen en dat de ongevraagde invoering daarvoor kennelijk zonder behoorlijk technisch inzicht of zelfs maar deliberatie gebeurd is. Met andere woorden, hier, met deze opstelling, verlies je geloofwaardigheid, Erik. Maar, toegegeven, in den haag zou je in goed gezelschap zijn.

Dus alles wat nieuw is, is per definitie goed? Dus kritiek op een ovfaalkaart, een EPD, een rekeningrijden, een gebrek aan anonimiteit online of bij electronisch betalen, en nog zo twintig overheidsICTfaals mag niet want "het is nieuw"?

Ik denk niet dat jij snapt hoe wij ooit de berevellen ontstegen zijn, Erik. De tweede kamer ook niet, maar zoals jij beweert zouden we het hier beter moeten weten. Ik zie het niet zo.

Het idee van een OCR kaart spreekt mij wel aan. Je geeft je stem in op de stemcomputer en je krijgt een kaart die je controleert. Die haal je door een ander apparaat waarna hij in de bus verdwijnt. Aan het eind van de stemming, kun je heel snel de resultaten vergelijken tussen het apparaat waar de stem op heeft plaatsgevonden en het apparaat die de kaart heeft gelezen. Blijken die gegevens niet overeen te stemmen, dan kunnen de kaartjes handmatig gecontroleerd worden.

Er moeten dan nog wel controleslagen zijn om te voorkomen dat stemgedrag wordt gescand of uitgelezen, maar het feit van een papertrail en een snelle levering van de resultaten wordt hiermee geleverd.

En de leveranciers van de stemcomputers zijn ook blij, want nu mogen ze twee apparaten leveren. Al heb ik dan het liefst dat de aparaten van twee verschillende bedrijven afkomstig is.

Peter

Dank weer voor de reacties. Ook goed dat er een positiieve reactie tussen zit!

Helaas is er nog een probleem met i-stemmen waar ik geen oplossing voor heb. Ik had dat als een inkoppertje opgenomen: Het m.i. grootste probleem bij i-stemmen is dat ongeïnteresseerde kiezers hun stem (lees StemNummer en AntiFraudeCode) zouden kunnen verkopen. Als iemand een slimme oplossing bedenkt om dat te voorkomen, hoor/lees ik dat graag!

Ik denk dat je het niet eens moet willen.
Zodra je gaat stemmen dmv Digi-D is het niet meer anoniem, alleen dat maakt het al heel lastig.

Een ander middel werkt ook niet want de overheid geeft het waarschijnlijk zelf uit en is dus nooit te controleren/vertrouwen :-o
.