Categorie: Nieuws

Rotterdams referendum ontsnapt aan ICT-blunder

Als Rotterdam op 30 november 2016 naar de stembus gaat voor een referendum dan is het een zegen dat de burgers niet kunnen stemmen in de cloud. Volgens burgemeester Ahmed Aboutaleb kan dat namelijk veilig met DigiD. Uit stukken blijkt nu dat basale zaken voor het systeem als het voorkomen manipulatie van de stemmen of het bewaren van het stemgeheim niet zijn afgedekt. Voor de gebruikte software is niet eens een ontwerp beschikbaar.

Op 30 november 2016 stemt Rotterdam over de vraag of 20.000 goedkope woningen mogen worden gesloopt. Aboutaleb wil dat, maar er zijn veel burgers tegen. De burgermeester maakte bekend een referendum hierover in de cloud te willen organiseren, waarbij burgers met DigiD kunnen inloggen. Met een beroep op de Wet openbaarheid van bestuur(Wob) heb ik alle documenten over dit stemmen opgevraagd.

Eerlijke verkiezingen

Om een referendum eerlijk te laten verlopen, moet minimaal aan een aantal eisen worden voldaan:

  1. Waarborgen van het stemgeheim;
  2. Stemgerechtigden moeten daadwerkelijk in staat zijn om te stemmen;
  3. Het niet mogelijk is te rommelen met de stemmen door aanvallers of bestuurders;
  4. De burger kan controleren dat de verkiezingen kloppend verlopen;
  5. Het is duidelijk hoe het kiessysteem werkt;

Deze en alle andere eisen horen thuis in specificaties, systeembeschrijvingen en de beschrijving van gebruikte technieken. Dan kunnen we zien wat het systeem doet en of dat overeenkomt met de eisen. De gemeente Rotterdam heeft die documenten in het geheel niet. Wat de bouwplannen zijn van het systeem is voor gemeente en burger niet te toetsen. Hoe het gebruik van niet anonieme DigiD toch het stemgeheim waarborgt is een raadsel.

Dat is problematisch, maar nog niet onoverkomelijk. Bij ieder systeem draait het om wat er nu daadwerkelijk is gebouwd: de software. Uit de broncode, zeg maar de systeemcode die de programmeurs maken en die het echte programma vormen, blijkt pas echt of aan de eisen wordt voldaan. Maar ook die broncode heeft de gemeente niet. Daarmee ontbreekt ook aan de mogelijkheid om daarop gebruikelijke beveiligingscontroles uit te voeren.

Niet toetsbaar

Wat er geleverd wordt door de leverancier is schimmig en niet controleerbaar. De kiezer kan zelfs niet controleren wat de leverancier zegt te gaan bieden. Want die informatie is volgens Rotterdam een bedrijfsgeheim. Het gevolg is dat de verkiezingen niet toetsbaar zijn. Of het bedrijf te vertrouwen is weten we niet, want ook die naam wordt niet gecommuniceerd. Zelfs basale controles naar de organisatie kunnen we niet uitvoeren.

Wel is gekeken naar veiligheid en een zogenaamde penetratietest uitgevoerd. Daarbij kijkt een bedrijf of er zwakheden van de buitenkant te zien zijn en of daar aan een standaard wordt voldaan. Naar het hele systeem, de kwaliteit van de software of achterdeurtjes is niet gekeken. Ook beschikt de gemeente niet over testrapporten dat de leverancier zelf kwaliteit waarborgt.

Bij het testen is iets ontdekt wat zo ernstig was dat het gerepareerd is en daarna opnieuw getest. In de offerte voor die test staat: “Wel is uiteraard de balans tussen investering en risicoreductie in evenwicht gehouden.” Hoe goed is geïnvesteerd op de testen, wat de bevindingen zijn, is weer geheim.

Zwarte doos

Aboutaleb presenteert een zwarte doos waar nooit harde eisen zijn neergelegd voor een eerlijk verkiezingsproces, dat geen systeemontwerp kent en waarvan hij niet weet wat er uiteindelijk gebouwd is. Er is niet het begin van bewijs dat het DigiD-systeem eerlijke verkiezingen waarborgt. Wat getest kon worden, bleek onveilig en veel is niet getest. Dat is geen goede basis voor een gewoon systeem laat staan voor verkiezingen.

De Verenigde Staten laten zien dat de presidentsverkiezingen voor de machtigste baan onderwerp van discussie kunnen worden door elektronisch stemmen. Gelukkig heeft de gemeenteraad van Rotterdam een stokje voor stemmen in de cloud gestoken. Aboutaleb heeft namelijk geen flauw idee hoeveel Rotterdammers beschikken over een DigiD en hoeveel burgers kunnen stemmen.

Lees de Wob-stukken hier:

Ongevraagde dienstverlening NL Domein Host

Geen Wob-verzoek, maar wel een waarschuwing. NL Domein Host verstuurt per mail een PDF-document met als naam (in mijn geval) Factuur 930570 (PDF) met de vermelding ‘Factuur’ in de rechter bovenhoek. Wie bij de kleine lettertjes leest zal opmerken dat het geen factuur betreft:

 Dit is een aanbieding en geen factuur,betaling van deze aanbieding wordt beschouwd als opdrachtbevestiging . Mocht tijdige betaling uitblijven vervalt onze dienstverlening en verblijft de domeinextentie opkoopbaar voor derden.

Wat mensen kopen is een .mobi of een .info-domein. Daarvoor betaal je dan €89,90 per jaar. Ik bestel zelf mijn domeinen bij Domain Discount 24. Dan betaal je voor een .info-domein op het moment van schrijven €3,12 en voor een .mobi €20,04 voor een jaar. De prijs is dus op zijn zachtst gezegd stevig.

Daarnaast is niet echt duidelijk wat je krijgt voor je geld, welke domeinen het betreft en belangrijker: het woord factuur is duidelijk verwarrend. Dat wordt versterkt door het feit dat op het document ook staat dat de achterstandsrente 10 procent bedraagt. Ook dat is bijzonder, omdat de wet bij niet tijdige betaling al regelt wat kosten zijn en welke rente gerekend kan worden.

Al met al wekt de mail met PDF de indruk dat er al een verplichting is aangegaan. Dat is dus niet het geval. U hoeft dus niets zelfs niet het normaliter dure 0900-nummer te bellen. Gelukkig kan dat ook niet, omdat het nummer niet in gebruik is. Deze keer maak ik geen geld over op een Spaanse IBAN-rekening. SIDN spreekt in ieder geval van spookfacturen en zo interpreteer ik het dan ook maar.

Woberator, de documentaire

De overheid neemt namens ons allemaal besluiten. Ze maken beleid en voeren het uit. Het volk als opdrachtgever mag dat controleren en heeft daarvoor de onderliggende documenten nodig. De wet die dat regelt is de Wob (Wet openbaarheid van bestuur). Maar hoe mooi de woorden ook op papier staan de weg naar transparantie is vaak erg moeizaam.

In deze documentaire ziet u enkele van de problemen, een oplossing en vooral de staat van Nederland, een land dat vaak roept heel transparant te zijn. Maar is ons land dat ook? En staan wij er voldoende bij stil dat het recht op informatie een mensenrecht is en houden we ons daar ook aan? Politici, Wob-experts, advocaten en een wetenschapper geven hun mening.

Woberator, de documentaire is een project van Stichting Dat Zou Jij Wel Willen Weten, gemaakt door Sebastiaan ter Burg en Brenno de Winter.

Woberator, the documentaire from Brenno de Winter on Vimeo.

PERSBERICHT – Economische Zaken meest effectief in obstructie transparantie

DEN HAAG – Op de Nederlandse editie van de internationale Right To Know Day zijn de prijzen voor transparant bestuur uitgereikt. Het Ministerie van Economische Zaken blijkt het meest effectief in de obstructie bij transparant bestuur. G. de Jong van de politie Rotterdam-Rijnmond werd verkozen tot de meest transparante ambtenaar. GroenLinks kondigde het voornemen aan te komen met een initiatief wetsvoorstel, terwijl de Nederlandse Vereniging van Journalisten een onderzoek naar misbruik van de Wob start. Ook werd een hulpmiddel gelanceerd om burgers te helpen met het onderzoeken of hun vraag te beantwoorden is met de Wet openbaarheid van bestuur en geeft hulp dat te realiseren. (meer…)

Volgende pagina »