In het Nederlands Dagblad van 9 maart 2010 stelt Wouter Teeuw dat met „wij vertrouwen stemcomputers niet” eigenlijk „we vertrouwen de overheid niet” bedoeld wordt. Men zou, ook rond verkiezingen, de overheid moeten vertrouwen dat de uitslag die zij vaststelt klopt, zelfs al kan die nauwelijks gecontroleerd worden. Ik stel dat niet wantrouwen, maar vertrouwen een probleem is.
Het verbaast me dat iemand die kandidaat voor de gemeenteraad was en zich ongetwijfeld in ons staatsbestel heeft verdiept, niet lijkt te weten dat juist rond verkiezingen (blind) vertrouwen zoveel mogelijk vermeden moet worden. Bij de traditionele stemprocedure is elke stap transparant, d.w.z. voor een gewoon intelligente burger inzichtelijk en te controleren. Kiezers mogen ’s ochtends in het stembureau meecontroleren of de stembus leeg is. Kiezers mogen zich in het stembureau ophouden en meekijken of allen met de juiste papieren, en alleen deze personen, worden toegelaten tot stemming. Kiezers mogen ’s avonds meekijken hoe de stemmen geteld worden. Kiezers kunnen achteraf controleren of de officiële uitslag van hun stembureau correct naar het hoofdstembureau is doorgegeven.
Omdat al deze stappen controleerbaar zijn, is geen enkel (blind) vertrouwen in de overheid nodig, en dat is ook goed zo. Want het is voor de zittende machthebber zo verleidelijk en soms zo makkelijk de verkiezingen naar zijn eigen hand te zetten. Berlusconi probeert dat niet in een bananenrepubliek, maar in een EU-land. Niet driehonderd jaar geleden, maar bij de vorige gemeenteraadsverkiezingen heeft in Zeeland een lid van een stembureau, dat tegelijk kandidaat was, gefraudeerd met de registratie van stemmen om zichzelf meer stemmen toe te schuiven. Het is dus zelfs nu, zelfs in Europa, ja in Nederland, relevant de procedure zo transparant mogelijk te houden.
En juist daarom moeten we ook het tot voor kort gebruikte model stemcomputers afwijzen: zij zijn niet transparant, maar hun werking kan alleen door een paar specialisten gecontroleerd worden. Zou u tevreden zijn als u uw stembiljet aan een lid van het stembureau moest overhandigen en deze belooft het in de stembus te leggen, zodra u weggegaan bent? Hij is zelfs bereid dat in een notariële akte te laten vastleggen, zolang maar niemand meekijkt. Vindt u dat echt voldoende transparant?
Overigens zou het niet zo moeilijk zijn een transparanter model van stemcomputer te bouwen. Ik denk aan een apparaat dat een (ingevuld) stembiljet print dat zowel door mens als ook door een machine gelezen kan worden. De kiezer legt dat stembiljet in de stembus, en aan het einde van de dag kan een stemcomputer deze biljetten bekijken en tellen. Bij twijfel aan de werking van de stemcomputer of stroomuitval blijft het mogelijk handmatig te tellen, eventueel ook later te hertellen. Dan is blind vertrouwen in een apparaat, een ontwerper of de overheid niet nodig.
De heer Teeuw stelt ook dat „technologie (software) meestal klopt”. Ik werk als informaticus aan veiligheidskritische systemen en moet hem helaas teleurstellen: software bevat vrijwel altijd fouten. En nu nekt ons dat computers digitaal werken, anders dan mechanische apparaten, b.v. auto’s: bij een klein foutje in de mechaniek zal een auto misschien iets minder snel rijden, maar nog steeds ongeveer hetzelfde doen als een foutloze auto. Omdat computers digitaal werken kan een klein foutje al een compleet ander gedrag tot gevolg hebben. Opvallende en vaak voorkomende fouten worden bij tests ontdekt, maar wie rijdt er 500 000 km met een auto rond alleen om te controleren of de boordcomputer ook in een bepaalde zeer uitzonderlijke situatie correct werkt?
Onder andere aan de Radboud Universiteit Nijmegen werken wij aan formele methoden: we willen bewijzen dat een model van een veiligheidskritisch computersysteem geen fouten bevat. (Uiteraard is het dan zaak ervoor te zorgen dat het model zoveel mogelijk overeenstemt met het echte systeem.) Daarbij worden bijna altijd kleine of grote fouten ontdekt. Jammer dat deze methoden, die o.a. bij delen van de Maeslantkering in de Nieuwe Waterweg zijn toegepast, niet routinematig bij elk veiligheidskritisch computersysteem worden gebruikt!
Tot slot nog een kleiner punt. De heer Teeuw wekt de indruk dat ongeldige stemmen ongewenst zijn. Maar zou het niet kunnen dat sommige kiezers hun stembiljet welbewust ongeldig gemaakt hebben, bij wijze van protest, omdat ze geen enkele kandidaat geschikt achten? Dat verschilt van een blanko stem, waarmee kiezers uitdrukken dat zij elke kandidaat even geschikt achten. In sommige verkiezingen hebben bovendien blanko en ongeldige stemmen verschillende gevolgen; daarom moet de kiezer gelegenheid krijgen een ongeldige stem uit te brengen, ongeacht de gebruikte technologie.
Maart 2010, David N. Jansen