De Ondersteunende Software Verkiezingen (OSV), de software die al ruim negen jaar wordt gebruikt bij het berekenen en vaststellen van de verkiezingsuitslagen in Nederland, moet vóór de Tweede Kamerverkiezing van 2021 worden vervangen, zo vindt de Kiesraad. Deze verkiezing staat gepland voor 17 maart 2021. Ook minister Ollongren wil bij deze verkiezingen een nieuw digitaal hulpmiddel kunnen gebruiken.

In opdracht van de Kiesraad onderzocht Fox-IT de beveiliging van OSV. "Vanuit technisch perspectief kan geconcludeerd worden dat OSV op zichzelf niet bestand is tegen hedendaagse dreigingen en dat de methodes voor succesvolle aanvallen niet exclusief zijn voorbehouden aan statelijke actoren. Wanneer de volledige set aan maatregelen in acht wordt genomen, leidt dit niet onmiddellijk tot een zorgelijk beeld", aldus de onderzoekers in het rapport (pdf).

Volgens Fox-IT verkleinen de al doorgevoerde aanpassingen aan OSV en de overige getroffen maatregelen de kans op manipulatie en verhogen de kans dat eventuele manipulatie wordt gedetecteerd. Tevens stellen de onderzoekers dat manipulatie van de volledige verkiezingsuitslagen op lijst- en kandidaatniveau in potentie op diverse wijzen kan worden gedetecteerd als de definitieve uitslag wordt vastgesteld. Hiervoor moeten wel de juiste controles worden uitgevoerd en deze controles zijn op dit moment niet voorgeschreven.

Het securitybedrijf doet in het onderzoeksrapport vier aanbevelingen. Zo wordt aangeraden om de huidige OSV-programmatuur binnen twee jaar te vervangen. Daarnaast moet er worden gezorgd voor een digitale gegevensstroom parallel aan de papieren gegevensstroom. Verder pleiten de onderzoekers voor het inrichten van een proces waarmee de verkiezingsuitslag, parallel aan het reguliere proces van het vaststellen van de stemtotalen, nagerekend wordt en moet de huidige samenhang van het wettelijk kader, het proces en de techniek worden geëvalueerd.

Bij het opzetten van het wettelijke kader, het ontworpen proces en de toegepaste techniek is onvoldoende rekening gehouden met de hedendaagse dreiging. "De signalering van deze dreiging en de evolutie ervan heeft ertoe geleid dat individuele componenten reactief zijn aangepast, maar het geheel van deze componenten is in basis niet opgezet met in acht neming van de hedendaagse dreiging", laat het rapport weten. Om de algehele weerbaarheid te verbeteren moeten alle onderdelen dan ook worden geëvalueerd.

De Kiesraad zegt zich te kunnen vinden in de conclusies en aanbevelingen van Fox-IT. Het adviesorgaan stelt dat bij de komende verkiezingen gemeenten de processen-verbaal met de handmatig berekende uitslagen van de stembureaus direct online zullen zetten. "Op die manier kan een ieder die dat wil controleren of de optellingen kloppen", aldus de Kiesraad.

Reactie van minister

Minister Ollongren van Binnenlandse Zaken laat weten dat de Kiesraad en het ministerie in december hebben afgesproken dat in 2019 het programma van eisen voor het nieuwe digitaal hulpmiddel gereed moet zijn zodat de aanbesteding dit jaar kan starten. "De planning is er dan op gericht dat in 2021 het nieuwe digitale hulpmiddel beschikbaar kan zijn voor gebruik bij de verkiezingen", laat de minister weten.

Ollongren merkt op dat een digitaal hulpmiddel uit meer dan de programmatuur bestaat. "Het betreft ook de gebruikte computers, de technische infrastructuur (voor bijvoorbeeld digitale overdracht) en de procedures/processen die waarborgen dat het digitaal hulpmiddel op een betrouwbare manier gebruikt kan worden."