Ministerie van Verkeer en Waterstaat

BEKNOPTE BESCHRIJVING VOORZIENING BRIEFSTEMMEN WATERSCHAPSVERKIEZINGEN 2008

20081721 bijlage 1.doc

Pagina 2 van 5


1. Inleiding

Van 13 november tot 25 november om 12.00 uur kiezen de ingezetenen van de water- schappen via directe verkiezingen hun vertegenwoordigers in het algemeen bestuur van deze waterschappen. De verkiezingen voor de categorie ingezetenen vinden per brief plaats.

De wettelijke grondslag voor de waterschapsverkiezingen is te vinden in de Water- schapswet (Wsw), het Waterschapsbesluit (Wsb) en de Regeling waterschapsverkie- zingen 2008 (Rws).

In het Algemeen Overleg van 2 juli 2008 is gesproken over de waterschapsverkiezin- gen in 2008. Er zijn vragen gesteld over de voorziening briefstemmen. De Staatssecre- taris van Verkeer en Waterstaat heeft de waterschappen gevraagd gegevens over de werking van de voorziening briefstemmen ter beschikking te stellen. Het voorliggende document bevat een beknopte beschrijving van de voorziening brief- stemmen. Een meer uitgebreide beschrijving van de voorziening en de uitgevoerde testen zijn te vinden op www.waterschapsverkiezingen.nl .


2. Voorziening briefstemmen

Volgens artikel 2.44 Wsb wordt onder de voorziening briefstemmen verstaan: de voor- ziening die het stembureau in staat stelt de per brief uitgebrachte stemmen te verwer- ken en de uitslag van de verkiezing vast te stellen. De voorziening briefstemmen valt uiteen in een deel dat de stemmen verwerkt en een deel dat de uitslag vaststelt. Alle uitgebrachte stemmen (ingevulde stembiljetten) worden tijdens de stemopneming ver- werkt tot een digitale weergave van de stemmen.

In het verkiezingsproces met de voorziening briefstemmen worden voor de uitvoering ook andere onderdelen gebruikt, zoals de Bestandendienst, de Portal en het systeem voor de cryptografie, RIPOCS. Om een goed inzicht te geven in het proces, worden alle onderdelen hieronder beschreven.

a. Bestandendienst
De Bestandendienst ontvangt de gegevens uit de gemeentelijke bevolkingsadministra- tie en verwerkt deze gegevens tot een kiesregister. Tevens verwerkt de Bestanden- dienst de gegevens van de belangengroeperingen en kandidaten.

b. Portal
Werking Portal
Het verkiezingsproces wordt door automatisering ondersteund. De Portal is de netwerkapplicatie waarmee alle processen rondom het voorbereiden, uitvoeren en afsluiten van verkiezingen worden gefaciliteerd. Het is het centrale punt waar de informatiestromen samen komen en worden verwerkt en van waaruit door de procespartijen informatie wordt verstuurd of opgehaald. Om de bestandsintegriteit te kunnen controleren, vindt er bij het overdragen van een bestand altijd een controle plaats. Op basis daarvan kan de ontvangende partij besluiten het bestand wel of niet te accepteren.

Interne beveiliging
De gebruikers hebben beperkte verantwoordelijkheden en functies tot hun beschikking. Als de gebruiker inlogt, worden automatisch de bij zijn autorisatie passende functionali- teiten toegekend. Na het uitvoeren van taken binnen de Portal, wordt er een bericht verstuurd aan de gebruiker(s) die daarna actie moet(en) ondernemen.

Pagina 3 van 5

De Portal wordt gebruikt om de beheerstaken van meerdere verkiezingen van verschil- lende organisaties tegelijkertijd te organiseren. De gegenereerde rapporten worden door de Portal per verkiezing in een digitaal archief geplaatst. Hierdoor blijven de rap- porten beschikbaar voor de gebruikers van de Portal.

Externe beveiliging
Alle gebruikers die toegang willen tot de Portal maken verbinding met een Virtual Priva- te Network (VPN). VPN zorgt voor een beveiligde en encrypted verbinding over het in- ternet tussen de gebruiker en de Portal.

c. Cryptografie
Cryptografie is nodig om het stemgeheim te waarborgen. RIPOCS is het systeem dat gebruikt wordt voor de uitvoering van cryptografische func- ties van de Portal. RIPOCS voert kritische processen uit, zoals het genereren van stemcodes.
Voor al deze processen geldt dat ze gebruik maken van geheime cryptografische sleu- tels om de berekeningen te maken en dat deze processen vooraf zijn beoordeeld en in een beveiligde semi-offline omgeving zijn geïsoleerd. De servers staan opgesteld in een braak- en brandveilige computerkluis met eigen koel- en veiligheidsvoorzieningen. De geheime cryptografische sleutels voor deze servers zijn aangemaakt door een au- tomatisch functionerend proces, waarvan alle relevante vertrouwelijke cryptografische sleutels en berekeningen binnen een zgn. security module worden opgeslagen, resp. uitgevoerd, in het bijzijn van een notaris en een vertegenwoordiger van een beveili- gingsbedrijf. Met de geheime sleutels wordt het stemgeheim van de kiezer gewaar- borgd. Via cryptografische berekeningen is het mogelijk om via de Portalfunctie Help- desk oorspronkelijke stempakketten, waarvoor een vervangend pakket wordt uitgereikt, te blokkeren (art. 2.50, tweede lid Wsb). Op basis van de door Helpdesk doorgegeven mutaties wordt het betreffende referentiebestand door RIPOCS gemodificeerd.

Naast de codes die bestemd zijn voor de kiezers worden er codes voor teststempak- ketten en codes voor vervangende pakketten gegenereerd. Na de generatie van de stemcodes worden alle mogelijke keuzes per code, de codes voor de teststempakketten en de codes voor de vervangende pakketten in een referen- tiebestand vastgelegd. Dit bestand wordt gepubliceerd. Ook wordt de controlewaarde hiervan bekend gemaakt zodat het bestand niet tussentijds gewijzigd kan worden.

d. Drukproces
Vervolgens worden de versleutelde codes en persoonsgegevens van de kiezers aan de drukker beschikbaar gesteld om stempakketten te produceren. Hierbij wordt de unieke code boven en onderaan het stembiljet geprint. Direct na het produceren van de stempakketten worden alle bestanden door de drukker vernietigd. Het beheer van de gegevens bij de drukker is aan strenge procedures gebonden en van het vernietigen van de bestanden worden vernietigingsverklaringen overgelegd.

e. Stemmen
De geproduceerde stempakketten worden aan de kiezers bezorgd. Kiezers vullen het stembiljet in en sturen deze in een retourenvelop terug.

f. Stemopneming
De retourenveloppen met de ingevulde stembiljetten worden aan de responsverwerker (een ander bedrijf dan de drukker) geleverd. Deze enveloppen worden geopend en verwerkt.
Tijdens de verwerking worden unieke code, geboortejaar, lijst en kandidaatkeuze van een stembiljet vastgelegd. Deze gegevens worden per stembiljet in een digitaal be- stand verstrekt die vervolgens in de Portal geladen zal worden.

Pagina 4 van 5

Stembiljetten kunnen in verschillende stromen worden verwerkt:
- Automatisch: hierbij worden biljetten gescand en worden alle gegevens auto- matisch afgelezen;

- Handmatig: stembiljetten die niet gescand kunnen worden, bijvoorbeeld omdat ze gekreukt of beschadigd zijn;

- Door een beoordelingscommissie: stembiljetten die zodanig zijn ingevuld dat er geen eenduidige keuze van de kiezer af te leiden is, worden apart gelegd ter beoordeling van een beoordelingscommissie. Na de beslissing van deze com- missie wordt de keuze handmatig verwerkt.

In het digitale bestand wordt er voor ieder stembiljet, per onderdeel (code, geboorte- jaar, keuze), aangegeven volgens welke stroom deze is verwerkt. Het is mogelijk dat sommige stembiljetten niet kunnen leiden tot een geldige stem. Dit kan wanneer er geen geboortejaar is ingevuld, gegevens op het biljet zijn toegevoegd waardoor de identiteit van de kiezer kan worden afgeleid (NAW gegevens vermeld), de keuze niet af te leiden is, etc. Ook deze stemmen krijgen een specifieke code waaruit afgeleid kan worden dat ze niet geldig zijn.

g. Uitslagberekening
Zoals eerder genoemd, worden de bestanden van de responsverwerker in de Portal geladen.
Stemmen zijn geldig wanneer deze terug te vinden zijn in het referentiebestand en wanneer het geboortejaar correct is.
Stemmen worden als ongeldig bestempeld wanneer:

- De lijst-kandidaat combinatie ongeldig is;
- Wanneer het geboortejaar incorrect is;

- Wanneer er gestemd is met een teststembiljet;
- Wanneer er gestemd is met een geblokkeerd stempakket;
- Wanneer er gestemd is met een niet uitgegeven stembiljet;
- Wanneer er meerdere stemmen zijn ontvangen voor dezelfde stemcode met verschillende keuzes.

Hiernaast worden de volgende regels toegepast:

- Wanneer er een lijst is gekozen maar geen kandidaat, gaat de stem automa- tisch naar kandidaat 1 van de lijst.

- Wanneer er meerdere stemmen met dezelfde code en keuze blijken te zijn op- geslagen, telt de stem slechts één keer mee. Dubbeltellingen zijn niet mogelijk.

Om de correcte verwerking bij de responsverwerking te toetsen en de uitslagbereke- ning te controleren, zijn er meerdere testen uitgevoerd.


3. Testresultaten

Test responsverwerking
Als onderdeel van de ketentesten die het Waterschapshuis heeft uitgevoerd en laten uitvoeren, is ook de responsverwerking getest.
Het doel hiervan was aan te tonen dat de stembiljetten in de juiste stromen worden ver- werkt, dat de code, geboortejaar en lijst-kandidaat keuze correct worden afgelezen. Ook is er gekeken of stembiljetten die niet tot een geldige stem kunnen leiden als zo- danig zijn opgenomen. Daarnaast is er gekeken of de bestanden in het juiste formaat aangemaakt worden, zodat deze verwerkbaar zijn in de Portal. Om de testen uit te voeren zijn er test-stembiljetten gedrukt en ingevuld aan de res- ponsverwerker geleverd. Hiervan zijn de keuzes bijgehouden, zodat de verwerking gemakkelijk te analyseren is.

Pagina 5 van 5

Deze testen hebben aangetoond dat de stemcodes, geboortejaar en keuzes goed wor- den afgelezen. Ook is er geconstateerd dat de verwerking volgens de juiste stromen verloopt en dat ongeldige stemmen ook als zodanig worden opgenomen.

Test Uitslagberekening
In deze test, uitgevoerd door Collis, zijn de gegevens van de responsverwerker in de Portal geladen.
Het doel hiervan was aan te tonen dat de bestanden van de responsverwerker correct verwerkt kunnen worden door de Portal en dat de uitslagberekening volgens de opge- stelde regels plaatsvindt.
De resultaten hebben aangetoond dat de data van de responsverwerker verwerkbaar zijn en dat de Portal een correcte uitslag berekent op basis van de eerder genoemde regels. Zowel geldige als ongeldige stemmen worden correct berekend en gerappor- teerd.


4. Stembureau
De 26 stembureaus zijn ieder voor zich verantwoordelijk voor het verkiezingsproces binnen hun eigen waterschap en de uitslag van hun eigen waterschap, die op 2 de- cember definitief bekend gemaakt zal worden.