Op 30 januari 2017 maakte de onderzoeksredactie van RTL Nieuws bekend dat slecht beveiligde optelsoftware wordt gebruikt om de verkiezingsuitslag uit te rekenen en dat hackers met de uitslag kunnen frauderen. Minister Plasterk verbood de gemeentes toen de software nog te gebruiken. Omdat gemeentes geen alternatieve werkwijze hadden en de verkiezingen over enkele weken gepland stonden, werd de software toch maar wel ingezet. Met één uitzondering: de overdracht van stemtotalen via USB-sticks werd definitief geschrapt.
De software is de afgelopen 3,5 jaar veiliger gemaakt, maar nog steeds fundamenteel kwetsbaar voor hackaanvallen en manipulatie, omdat de computeroptellingen niet handmatig of anderszins onafhankelijk van de software worden geverifieerd.
Ook een 'veilig' en gecertificeerd computerprogramma is altijd manipuleerbaar binnen de omgeving waarin het draait. De harde schijf en het computergeheugen waarop het programma draait kunnen elk moment worden aangepast door malware die bijvoorbeeld in de officiële installatiebestanden of het besturingssysteem is geslopen, of later handmatig is toegevoegd aan de officiële setup.
Op woensdag 17 maart 2021 zijn de Tweede Kamerverkiezingen. Burgers kunnen hun stem met potlood op papier vastleggen. Aan het eind van de dag worden alle stemmen in het openbaar geteld door stembureauleden. Van deze telling en daarmee de stembureau-uitslag wordt een papieren proces-verbaal opgemaakt en ondertekend op een openbare zitting. Deze wordt vervolgens naar het gemeentelijk centraal stembureau gebracht door de stembureauvoorzitter.
De volgende dag zit een team van ambtenaren klaar dat vervolgens alle ontvangen processen-verbaal overtypt in een computerprogramma genaamd Ondersteunende Software Verkiezingen 2020 (OSV2020-U). Als twee personen hetzelfde proces-verbaal exact overtypen (vier-ogen principe) dan worden de stemtotalen van het stembureau definitief in de database opgeslagen op de centrale computer. Die staat in een tijdelijk aangelegd offline computernetwerk van een klein aantal computers.
Aan het eind van de dag , drukt een ambtenaar op een knop, en OSV2020-U telt alle stemtotalen per partij en voorkeurskandidaat bij elkaar op en rekent vervolgens de uitslag uit. Die wordt geprint en ondertekend door de burgemeester. Op een publieke zitting wordt de uitslag bekend en definitief gemaakt.
De fundamentele kwetsbaarheid zit in het feit dat alle papieren processen-verbaal (tussen de 9.000 en 10.000 stuks) van stembureaus overgetypt worden door gemeenteambtenaren in het programma OSV2020-U dat in de meeste gevallen op Windows draait. Daarna gaat het papier de kluis in en er wordt verder niet meer naar omgekeken in het optelproces, omdat het gedigitaliseerd is. De computer berekent de uitslag en die wordt vertrouwd. Ambtenaren of externe partijen tellen in het formele proces geen enkel stemtotaal van stembureaus bij elkaar op .
De kern van het probleem is dat software die best geschikt is voor het bepalen voor een voorlopige uitslag, gebruikt wordt voor de definitieve uitslag. De belangrijkste spelers lijken niet van zins of niet van machte om de benodigde veranderingen door te voeren.
Gemeentes, de Kiesraad en het ministerie van Binnenlandse Zaken achten het niet noodzakelijk om stemtotalen van politieke partijen handmatig na te rekenen of anderszins onafhankelijk te verifiëren:
De Kiesraad heeft in zijn adviserende rol richting gemeentes in 2018 voor het eerst beveiligingsrichtlijnen opgesteld. Niemand controleert echter of deze in de praktijk correct worden doorgevoerd door gemeentes. De Kiesraad ondergaat daarvoor momenteel ook de transitie naar een “Kiesautoriteit”, zodat ze zeggenschap gaat krijgen over hoe gemeentes verkiezingen organiseren en dit kan en mag controleren. Dit is echter nog niet bekrachtigd.
De overheid heeft als standpunt ingenomen dat als burgers bezorgd zijn over hacks of manipulatie van de computerberekening, ze sinds vorig jaar zelf altijd nog kunnen narekenen of alles wel klopt. Overigens kan dit vaak pas nadat de uitslag al bekend gemaakt is. Omdat weinigen zomaar zin hebben om onbetaald een paar dagen/weken te gaan zitten optellen en het bewustzijn veelal ontbreekt dat dit nuttig is, zijn serieuze burgerinitiatieven daaromtrent vooralsnog uitgebleven. Stichting Tegen Hackbare Verkiezingen concludeert hieruit dat dit anders moet worden georganiseerd.
Het ministerie van Binnenlandse Zaken (BZK) is verantwoordelijk voor het organiseren van verkiezingen. De Kiesraad (ca. 20 FTE) valt onder BZK en is belast met het organiseren van verkiezingen en levert de software. In Nederland is het verkiezingsproces sterk gedecentraliseerd. De rol van gemeenten daarbij is groot. Zij zijn verantwoordelijk voor de 10.000 stembureaus en bepalen de gemeentelijke uitslag.
De Kiesraad is zich inmiddels wel bewust van de onveilige software en wil ervan af. Ze heeft echter nog geen nieuwe oplossing en moet nu nog wel door met de oude versie die ieder jaar weer een stukje wordt verbeterd. De Kiesraad heeft waarschijnlijk wel de juiste kennis aan boord, maar het ontbreekt de Kiesraad aan mandaat, nieuwe software en controleerbare processen en procedures.
De Kiesraad is adviserend en levert de software aan gemeentes, maar de gemeentes bepalen nog steeds hoe ze de verkiezing willen organiseren in hun gemeente (binnen de wettelijke marges). De Kiesraad heeft op grond van de Kieswet bijvoorbeeld niet de bevoegdheid om tot een hertelling te besluiten of om een inspectie uit te voeren naar de veiligheid van de computerapparatuur.
Veel gemeentes willen het liefst geen papier en zijn (groot) voorstander om alles te automatiseren. Vaak erkennen zij de hackdreiging niet, zijn zich hier niet bewust van, of denken dat de verschillende maatregelen die nu al genomen worden voldoende zijn om de veiligheid te waarborgen. Hoe dan ook, zij zien de noodzaak niet de uitslag handmatig na te tellen, zeker niet als de Kiesraad dit niet voorschrijft. Daarnaast hebben gemeentes vaak een (te) groot vertrouwen in computers. Gemeentes zijn vooral ingericht op efficiëntie, en veel minder op IT-integriteit en computerveiligheid.
De Kiesraad is volgens hun jaarverslag 2019 druk geweest met zes verkiezingen, de transitie van een Kiesraad naar een Kiesautoriteit en het ontwikkelen van nieuwe software. Voor die transitie hebben ze de samenwerking van gemeentes en BZK hard nodig.