De afwegingen bij online stemmen
Kan stemmen op internet veilig, eenvoudig, betrouwbaar en anoniem?
In dit artikel bespreek ik de voordelen en nadelen van diverse manieren om digitaal stemmen via het web te implementeren. Het gaat niet alleen over stemmen bij verkiezingen, maar vooral over de meer laagdrempelige en vaker voorkomende manieren van stemmen die in het bijzonder relevant worden voor gemeenten en kleinere organisaties. Ik begin met onbetrouwbare, maar eenvoudige manieren en werk toe naar meer complexe en veilige methodes. Uiteindelijk sluit ik af met een algemene reflectie op digitaal stemmen en de rol daarvan als middel voor inspraak.
Stemmen zonder registratie
De makkelijkste manier van online stemmen vereist van de gebruiker niets meer dan een enkele klik. Om te voorkomen dat een gebruiker meerdere keren stemt, kunnen er ruwweg twee onbetrouwbare technieken worden gebruikt:
- De website kan een cookie opslaan in de browser van de gebruiker. Hierin staat dat de gebruiker al gestemd heeft, waardoor hij niet meer mag stemmen. Helaas kan een handige gebruiker relatief eenvoudig deze cookie verwijderen en dan opnieuw stemmen.
- De website kan het IP adres van de stemmer opslaan. Helaas is deze niet altijd uniek voor gebruikers. Door het gebruik van een proxy-server of afwijkende NAT instellingen, kan het voorkomen dat meerdere gebruikers achter één IP-adres zetten, waardoor ze niet allemaal kunnen stemmen. Daarnaast kunnen handige gebruikers dezelfde technieken gebruiken om juist meer dan één stem te krijgen. Tevens is het IP-adres per apparaat uniek, dus geeft het mensen met meer apparaten (of meerdere VPN's) meerdere stemmen. Tenslotte is het opslaan van IP adressen gecombineerd met stemmen een privacy probleem.
Stemmen met e-mail
Dit is veruit de meest populaire manier van online stemmen; het wordt immers gebruikt door platforms als Youtube, Facebook en Twitter. Een gebruiker registreert zich met een uniek e-mail adres, wat het lastig maakt om meerdere keren te stemmen. Om te voorkomen dat niet bestaande e-mailadressen worden meegeteld, is het verstandig om de stem pas op te slaan wanneer de gebruiker het e-mailadres heeft bevestigd. Helaas is het aanmaken van meerdere geldige e-mailadressen vrij eenvoudig, waardoor stemfraude ook eenvoudig is.
Stemmen met telefoonnummer
Waar het aanmaken van nieuwe e-mailadressen vaak gratis kan, geldt dit voor telefoonnummers niet. Bij een nieuw telefoonnummer hoort een nieuwe SIMkaart, wat vandaag de dag al voor 5 euro kan Dat verhoogt de kosten van stemfraude naar 5 euro. Dat maakt het veiliger dan stemmen met e-mail, maar sluit stemfraude zeker nog niet uit. Een ander nadeel van dit systeem zijn de kosten van SMS verificatie, wat met ongeveer 10 cent per bericht snel kan oplopen.
Stemmen met een gekoppeld account
In plaats van zelf de identiteit van gebruikers te moeten bepalen, kan dit ook worden overgelaten aan een derde partij. Bedrijven als Google en Facebook bieden manieren om verificatie van identiteit makkelijk te maken. Dit verkleint de kans op frauduleuze stemmen, doordat het aanmaken van een geldig Google of Facebook account relatief veel werk kost. Helaas kleven ook aan deze oplossing enkele nadelen. Ten eerste kunnen mensen om diverse redenen geen Facebook of Google account hebben. Daarnaast is het, ondanks de extra moeite, goed mogelijk dat mensen meerdere accounts hebben.
Stemmen met een overheidsaccount
Wanneer je echter gebruik maakt van een identity provider die door de overheid wordt beheerd, zoals DigiD, heb je deze problemen niet. Wel is het leggen van een DigiD koppeling een vrij complexe en dure zaak, wat niet voor iedereen die stemmen wil implementeren haalbaar is. Daarnaast schept DigiD een vrij hoge barrière voor gebruikers: je moet immers je stem koppelen aan je officiële identiteit bij de overheid. Dit bezwaar kan worden opgeheven door een third party de stemdata te laten afhandelen, zodat overheden niet kunnen zien wie er wat gestemd heeft.
Stemmen met verspreide codes
De eerder genoemde systemen gebruiken allemaal een stukje informatie van de gebruiker om zijn of haar identiteit te bevestigen, zoals een IP adres, e-mailadres of telefoonnummer. De meest betrouwbare vorm van identiteitsverificatie is echter een waar de organisatie zelf de juiste mensen een code geeft die rechten verschaft. Dit kan op twee manieren:
- Codes verspreiden voor eenmalig gebruik, dus voor een enkele stemming. Als stemgerechtigde ontvang je een code, welke je vervolgens kan invoeren door een link te openen, of door een QR code te scannen. Hoewel dit minder fraudegevoelig is dan bovenstaande mechanismen, is het niet perfect. Ten eerste is het verspreiden van stembiljetten soms duur, zeker als dit vaak moet (voor iedere stemming) en via de post gebeurt. Daarnaast is het mogelijk dat iemand meerdere codes in zijn of haar bezit krijgt en daarmee vaker kan stemmen. Om dit te voorkomen, kunnen er speciale codes worden gegenereerd die aan e-mailadressen zijn gekoppeld.
- Codes verspreiden voor bevestigde identiteiten. Zo kan iemand bijvoorbeeld worden geïdentificeerd als inwoner van een gemeente, of een bepaalde wijk. Vanaf dat moment kan hij dan automatisch stemmen op alle relevante stemmingen. Dit is een stuk gemakkelijker en goedkoper dan digitale stembiljetten, doordat er niet bij iedere nieuwe stemronde codes moeten worden verspreid en ingevoerd. Een gemeente zou dit kunnen toepassen door alle bewoners een brief te sturen met daarin een code. Net als bij bovengenoemde digitale stembiljetten, is het mogelijk om deze groepscodes te koppelen aan e-mailadressen, zodat een persoon die meerdere codes bemachtigd niet direct meerdere accounts krijgt om mee te stemmen. Dit vereist echter wel dat de organisatie beschikt over een lijst van bevestigde e-mailadressen.
Centrale opslag vs. blockchain
Naast discussie over de stem- en verificatiesystemen zelf, is er discussie over de manier van opslag van de stemdata.
Bij vrijwel alle bestaande stemsystemen worden de stemmen opgeslagen in een database op een server. Hoewel dit technisch het meest voor de hand ligt, is dit niet per se de meest geschikte optie. Doordat er één kopie is van de data die op één plek wordt beheerd, is het technisch mogelijk dat de data wordt aangepast door kwaadwillenden. Dit zou de beheerder van de data zelf kunnen zijn, maar ook een slimme hacker. Dus zelfs als er een betrouwbare, belangeloze third party is die de data beheert, kan er een risico zijn dat stemmen worden gemanipuleerd.
Om dit onmogelijk te maken, moet er een systeem worden gebruikt dat de data verdeelt in een netwerk, decentraal opslaat en een mechanisme heeft om tot een consensus te komen van welke waarden er kloppen en welke niet. Dit systeem is gelukkig al uitgevonden: het heet blockchain en het wordt al volop gebruikt voor diverse soorten applicaties, waaronder cryptocurrencies als Bitcoin en Ehtereum. Wanneer stemmen op de blockchain staan opgeslagen, kan er met zekerheid worden vastgesteld dat de data zelf niet is gemanipuleerd.
Hoewel er al enkele blockchain voting initiatieven in ontwikkeling zijn, zoals FollowMyVote, zijn er nog diverse uitdagingen die de bestaande toepassingen nog niet hebben opgelost. Hoe garandeer je dat de stemmen alleen komen van mensen die stemrecht hebben, zonder de identiteit van de stemmers in de blockchain te stoppen? Hoe sla je stemmen decentraal en transparant op, zonder het bandwagon effect in de hand te werken? Mogelijke oplossingen voor deze problemen zijn respectievelijk het gebruiken van ring signature encryption voor de stemmen zelf en het tijdelijk versleutelen van de stemuitslagen door de organisatie die de stemmingen regelt.
Representativiteit & legitimiteit van digitale stemmen
Stel, je hebt een perfect uitgewerkt stemsysteem. Het is zeer gemakkelijk in gebruik, extreem veilig, volledig anoniem en bestand tegen iedere vorm van fraude. Zelfs dan loop je alsnog tegen beperkingen van e-voting aan.
Ten eerste is er bij stemmen altijd sprake van beperkte representativiteit. Tenzij iedereen een stem plaatst, zullen er altijd mechanismen zijn die bepaalde groepen meer kans geven om een stem te plaatsen. Mensen die meer openstaan voor nieuwe technologie, hebben meer kans om daadwerkelijk een digitale stem te plaatsen. Mensen die een sterke mening hebben over het onderwerp, hebben meer kans om te stemmen en zullen meer mensen om zich heen activeren. De extreme groepen (aan beide kanten van het spectrum) zullen hierdoor vaker oververtegenwoordigd zijn.
Ten tweede is het bij bepaalde thema's discutabel in hoeverre de stemmers goed geïnformeerd zijn. Volksvertegenwoordigers wonen talloze vergaderingen bij en krijgen vele documenten toegestuurd om een realistisch beeld te krijgen van de afwegingen, alvorens ze een stem plaatsen. Een gemiddelde stemmer zal die kans niet hebben gehad en is daarmee relatief minder goed geïnformeerd.
Stemmen & burgerparticipatie
Met de komst van laagdrempelige en goedkope e-voting methodes, is het voor overheden eenvoudiger geworden om regelmatig draagvlakmetingen te doen alvorens een beslissing te nemen. Het is in beginsel mooi om te zien dat burgers steeds meer manieren krijgen om inspraak te hebben op het beleid in hun leefomgeving, maar soms maak ik mij zorgen over de waarde die wordt toegekend aan de getallen van de voor- en tegen stemmen. Raadsleden, burgemeesters en wethouders krijgen met deze technologische mogelijkheden een nieuwe uitdaging voorgeschoteld: hoe ga ik om met deze digitale inspraak? Wanneer ga ik in tegen de meerderheid van de stemmen? Zelfs wanneer digitale stemmen niet bindend en slechts ter beeldvorming zijn, zullen de uitkomsten een impact hebben op de opinies en besluiten van volksvertegenwoordigers en bestuurders.
Door de beperkingen van de representativiteit en de legitimiteit bij zelfs de meest betrouwbare (digitale) stemprocessen, raad ik aan om de kwantitatieve inspraak bij inspraaktrajecten altijd met een korrel zout te nemen. Leg de focus niet zozeer op het tellen van voor- en tegenstemmen, maar op de achterliggende argumenten. Durf de burger te vragen om haar mening. Waarom bent u voor of tegen? Heeft u zelf een beter idee? Het stellen van deze vragen zorgt niet alleen voor een focus op kwalitatieve inspraak, maar zorgt ook voor meer begrip voor de diverse standpunten en daarmee meer inzicht in de afwegingen bij het nemen van de beslissing.