Hacking en Gemeenteraadsverkiezingen 2026

De Informatiebeveiligingsdienst (IBD) publiceerde onlangs een factsheet over de gemeenteraadsverkiezingen van 18 maart 2026. Het document richt zich op gemeenten en beschrijft de risico’s rond het verkiezingsproces. Tussen de beleidsmatige formuleringen schuilt een helderder verhaal:

Verkiezingen zijn een aantrekkelijk doelwit voor hackers.

De factsheet noemt statelijke actoren, beroepscriminelen, spionage en desinformatie. Dat zijn geen theoretische dreigingen. De AIVD en NCTV waarschuwen er al jaren voor. Toch blijft de vraag hoe deze risico’s zich vertalen naar concrete aanvalsmogelijkheden. Wat kan een aanvaller eigenlijk bereiken? Welke systemen zijn kwetsbaar? Waar zitten de zwakke schakels in het proces?

Dit artikel ontleedt de IBD-factsheet vanuit hackersperspectief. Niet om een handleiding te bieden, maar om te laten zien waar de verdediging moet zitten. Want wie de aanvalsvectoren begrijpt, kan ze ook afsluiten.

De komende hoofdstukken behandelen waarom verkiezingen interessant zijn voor aanvallers, welke technische en niet-technische aanvalsvectoren bestaan, hoe desinformatie als digitale aanval werkt, welke beveiligingsmaatregelen gemeenten moeten nemen, en waarom het handmatige telproces de ultieme verdedigingslinie vormt.

1. Waarom hackers gemeenteraadsverkiezingen interessant vinden

Verkiezingen hacken is geen sciencefiction. De gemeenteraadsverkiezingen van 2026 vormen een reëel doelwit voor kwaadwillenden met uiteenlopende motieven. Of het nu gaat om statelijke actoren die democratische processen willen ondermijnen, of om criminelen die chaos willen creëren: het verkiezingsproces biedt meerdere ingangen. De vraag is niet óf aanvallers interesse hebben, maar welke aanvallers en waarom.

Een cyberaanval op gemeenteraadsverkiezingen hoeft niet te slagen om effect te hebben. Het zaaien van twijfel over de integriteit van de uitslag kan al voldoende zijn. Dat maakt verkiezingen hacken bijzonder aantrekkelijk voor partijen die instabiliteit als doel hebben. De IBD-factsheet erkent dit risico en waarschuwt gemeenten expliciet voor spionage, ondermijning en desinformatie.

Wat maakt verkiezingen een doelwit

Het democratisch proces rust op vertrouwen. Burgers moeten erop kunnen rekenen dat hun stem telt en correct wordt verwerkt. Dat vertrouwen is kwetsbaar. Een geslaagde aanval, of zelfs het gerucht van een aanval, kan dat vertrouwen beschadigen.

Gemeenteraadsverkiezingen zijn om meerdere redenen interessant voor aanvallers:

• Gedecentraliseerde organisatie. Elke gemeente organiseert zelfstandig. Dat betekent 342 verschillende implementaties, met wisselende volwassenheidsniveaus op het gebied van informatiebeveiliging.
• Beperkte middelen. Niet elke gemeente heeft een fulltime CISO of een dedicated security-team. Kleinere gemeenten leunen vaak op gedeelde diensten of externe partijen.
• Tijdsdruk. Verkiezingen hebben een vaste datum. Uitstel is geen optie. Die druk kan leiden tot shortcuts in beveiligingsprocessen.
• Hoge zichtbaarheid. Een incident rond verkiezingen haalt gegarandeerd het nieuws. Voor aanvallers die reputatieschade of maatschappelijke onrust nastreven, is dat een bonus.
• Politieke gevoeligheid. Lokale politiek raakt direct aan het dagelijks leven van burgers. Manipulatie op dit niveau kan concrete gevolgen hebben voor beleid rond woningbouw, veiligheid en zorg.

De combinatie van deze factoren maakt gemeenteraadsverkiezingen een soft target vergeleken met nationale verkiezingen, waar de beveiliging centralere regie kent.

De waarde van lokale bestuursinformatie

Hacking van verkiezingen gaat niet alleen over het manipuleren van uitslagen. Toegang tot informatie over lokale bestuurders, kandidaten en ambtenaren heeft eigenstandige waarde. De IBD-factsheet waarschuwt dat statelijke actoren en beroepscriminelen kunnen proberen zich toegang te verschaffen tot informatie van en over personen binnen het lokale bestuur.

Die informatie kan op verschillende manieren worden misbruikt:

• Chantage. Compromitterende informatie over kandidaten of bestuurders kan worden gebruikt om invloed uit te oefenen op besluitvorming.
• Spear phishing. Gedetailleerde kennis over personen maakt gerichte phishing-aanvallen effectiever. Een mail die refereert aan een specifiek dossier of een recente vergadering wekt minder argwaan.
• Voorbereiding op latere aanvallen. Informatie verzameld tijdens verkiezingsperiodes kan maanden of jaren later worden ingezet voor andere operaties.
• Undermining van individuele politici. Gelekte informatie kan carrières beschadigen en politieke verhoudingen verstoren.

De AIVD heeft specifieke publicaties uitgebracht over spionagerisico’s voor bestuurders en ICT-beveiligers. Dat onderstreept dat de dreiging niet hypothetisch is. Lokale bestuurders zijn toegankelijker dan nationale politici en vaak minder beveiligd. Dat maakt hen aantrekkelijke doelwitten voor inlichtingenoperaties.

Statelijke actoren versus opportunistische hackers

Niet elke aanvaller heeft dezelfde middelen of doelen. Het is nuttig om onderscheid te maken tussen verschillende typen dreigingsactoren:

Statelijke actoren beschikken over aanzienlijke middelen en opereren met strategische doelen. Hun aanvallen zijn vaak geduldig en gericht op langetermijneffecten. Verstoring van verkiezingen past binnen bredere geopolitieke agenda’s. Landen als Rusland, China en Iran worden in westerse dreigingsanalyses regelmatig genoemd als actoren met interesse in het beïnvloeden van democratische processen.

Kenmerken van statelijke aanvallen:

• Langdurige reconnaissance voorafgaand aan actie
• Gebruik van geavanceerde technieken en zero-days
• Combinatie van technische aanvallen met informatieoperaties
• Ontkenning en attributieproblemen als bewuste strategie

Opportunistische hackers opereren met andere motieven. Financieel gewin, reputatie binnen hackergemeenschappen of puur vandalisme kunnen drijfveren zijn. Hun aanvallen zijn vaak minder geavanceerd maar niet minder schadelijk.

Kenmerken van opportunistische aanvallen:

• Gebruik van bekende kwetsbaarheden en beschikbare tools
• Korte tijdshorizon tussen ontdekking en actie
• Minder zorg voor opsporingsvermijding
• Onvoorspelbare doelkeuze

Hacktivisten vormen een derde categorie. Zij opereren vanuit ideologische motieven en kunnen verkiezingen als platform zien voor hun boodschap. Een defacement van een gemeentelijke verkiezingswebsite of het lekken van interne documenten past binnen hun repertoire.

Insiders verdienen aparte aandacht. Medewerkers met toegang tot verkiezingssystemen of -processen kunnen bewust of onbewust beveiligingsrisico’s introduceren. Een ontevreden ambtenaar, een gecompromitteerde leverancier of simpelweg een medewerker die op een phishing-link klikt: allemaal potentiële ingangen.

Verschil tussen verstoren en beïnvloeden

De doelen van aanvallers kunnen grofweg in twee categorieën worden verdeeld: verstoring en beïnvloeding.

Verstoring richt zich op het saboteren van het proces zelf. Denk aan:

• DDoS-aanvallen op gemeentelijke websites tijdens de verkiezingsavond
• Ransomware die systemen onbruikbaar maakt op kritieke momenten
• Manipulatie van ondersteunende software waardoor telprocessen vertragen
• Fysieke sabotage van apparatuur

Het doel is chaos creëren en het vertrouwen in het proces ondermijnen. De uitslag hoeft niet te veranderen om schade aan te richten. De perceptie dat er iets mis kan zijn gegaan, is vaak voldoende.

Beïnvloeding richt zich op het sturen van de uitslag of het veranderen van politieke verhoudingen. Dit kan via:

• Manipulatie van kandidaatsinformatie
• Gerichte desinformatiecampagnes over specifieke partijen of personen
• Lekken van schadelijke informatie op strategische momenten
• Subtiele aanpassingen in systemen die bepaalde kandidaten bevoordelen

Beïnvloedingsoperaties zijn moeilijker te detecteren dan verstoringen. Een DDoS-aanval is zichtbaar; een gecoördineerde desinformatiecampagne op sociale media kan maanden onopgemerkt blijven.

De rol van perceptie

Verkiezingsfraude hoeft niet daadwerkelijk plaats te vinden om effect te hebben. Het idee dat fraude mogelijk is, kan al voldoende zijn om het vertrouwen in de democratie te beschadigen. Aanvallers begrijpen dit mechanisme.

Een voorbeeld: stel dat een aanvaller toegang krijgt tot een niet-kritisch systeem van een gemeente en dit publiekelijk claimt. Zelfs als de aanval geen invloed had op de verkiezingsuitslag, ontstaat twijfel. Media rapporteren over het incident. Burgers vragen zich af of hun stem wel correct is geteld. Politici roepen om onderzoek. Het vertrouwen erodeert, terwijl de feitelijke integriteit van de uitslag intact is.

Dit mechanisme maakt verkiezingen extra kwetsbaar. De verdediging moet niet alleen technisch sluitend zijn, maar ook communicatief. Transparantie over beveiligingsmaatregelen en snelle, heldere communicatie bij incidenten zijn onderdeel van de weerbaarheid.

Timing als factor

De verkiezingsperiode kent kritieke momenten waarop aanvallen maximaal effect hebben:

• Voorafgaand aan de verkiezingen: desinformatiecampagnes, lekken van informatie over kandidaten, phishing-aanvallen op campagneteams
• Op de verkiezingsdag: verstoring van stemlokalen, aanvallen op ondersteunende systemen, DDoS op informatiewebsites
• Tijdens het tellen: manipulatie van telsoftware, verstoring van communicatie tussen stembureaus en centrale verwerking
• Na de verkiezingen: claims van fraude onderbouwd met gestolen of gemanipuleerde data, aanhoudende desinformatie over de legitimiteit van de uitslag

Elke fase vraagt om specifieke beveiligingsmaatregelen. De CISO van een gemeente moet het hele tijdvenster in ogenschouw nemen, niet alleen de verkiezingsdag zelf.

2. Aanvalsvectoren in het verkiezingsproces

Het verkiezingsproces bevat meerdere aanvalsvectoren die technisch geschoolde kwaadwillenden kunnen benutten. OSV software kwetsbaarheden vormen daarbij een logisch startpunt, maar de aanvalsmogelijkheden reiken verder. Van de kieslijst tot het stembiljet, van centrale telsoftware tot lokale apps op tablets: elke digitale schakel introduceert risico’s.

De IBD-factsheet benoemt expliciet de OSV software kwetsbaarheden en het gebruik van aanvullende applicaties. Gemeenten zijn wettelijk gehouden aan de aansluit- en gebruiksvoorschriften van de Kiesraad. Toch blijft de vraag hoe waterdicht deze voorschriften zijn tegen een vastberaden aanvaller met voldoende middelen en tijd.

Van kieslijst tot stembiljet

Het verkiezingsproces begint lang voor de verkiezingsdag. Kieslijsten worden aangemaakt, kandidaten geregistreerd en stembiljetten geproduceerd. Elk van deze stappen kent digitale componenten.

De integriteit van bestanden is een aandachtspunt dat de IBD expliciet benoemt. Het aanmaken van kieslijsten en stembiljetten moet gebeuren op een wijze die manipulatie uitsluit. In de praktijk betekent dit:

• Bestandsintegriteit. Digitale bestanden moeten voorzien zijn van checksums of digitale handtekeningen. Wijzigingen moeten detecteerbaar zijn.
• Toegangscontrole. Alleen geautoriseerde personen mogen bestanden bewerken. Logging van alle wijzigingen is noodzakelijk.
• Veilige overdracht. Bestanden die naar drukkers of andere partijen gaan, moeten versleuteld worden verzonden.
• Verificatie bij ontvangst. Ontvangende partijen moeten de integriteit kunnen verifiëren voordat ze bestanden verwerken.

Een aanvaller die toegang krijgt tot kieslijstbestanden kan subtiele wijzigingen doorvoeren. Denk aan het verwisselen van kandidaatnamen, het wijzigen van partijnamen of het introduceren van fouten die verwarring veroorzaken. Zelfs als de manipulatie later wordt ontdekt, is de schade aan het vertrouwen al aangericht.

De leveranciersketen speelt hier een rol. Gemeenten werken met externe leveranciers voor het drukken van stembiljetten. Die leveranciers hebben eigen systemen, eigen medewerkers en eigen kwetsbaarheden. Een supply chain aanval via de drukker is geen ondenkbaar scenario.

OSV2020 en Abacus onder de loep

OSV2020 is de ondersteunende software voor het vaststellen van verkiezingsuitslagen. Sommige gemeenten gebruiken daarnaast Abacus. Beide systemen vallen onder strikte gebruiksvoorwaarden van de Kiesraad. De vraag is wat die voorwaarden in de praktijk betekenen voor de beveiliging.

De Kiesraad publiceert instructies en richtlijnen voor het gebruik van OSV2020. Die voorwaarden bevatten technische en organisatorische maatregelen:

• Standalone gebruik. OSV-systemen mogen niet aan een netwerk worden gekoppeld. Dit voorkomt remote aanvallen maar introduceert andere risico’s rond fysieke toegang.
• Hardening. Systemen moeten worden geconfigureerd volgens specifieke richtlijnen. Onnodige software en services worden verwijderd.
• Toegangsbeperking. Alleen geautoriseerde personen mogen met de systemen werken. Fysieke toegang tot de ruimte moet worden beperkt.
• Integrititeitscontroles. De software bevat mechanismen om manipulatie te detecteren.

Toch zijn er kanttekeningen. Air-gapped systemen zijn niet immuun voor aanvallen. De Stuxnet-worm toonde aan dat zelfs volledig geïsoleerde systemen kunnen worden gecompromitteerd via USB-sticks of andere verwisselbare media. Een insider met fysieke toegang kan malware introduceren.

Daarnaast geldt dat de beveiligingsmaatregelen alleen werken als ze correct worden geïmplementeerd. Een gemeente die de richtlijnen niet nauwgezet volgt, introduceert kwetsbaarheden. Bij 342 gemeenten met wisselende expertise is volledige naleving niet vanzelfsprekend.

De broncode van OSV is beschikbaar voor inspectie. Dat is een positief punt: onafhankelijke onderzoekers kunnen kwetsbaarheden identificeren. Tegelijkertijd kunnen kwaadwillenden dezelfde broncode bestuderen om aanvalsmogelijkheden te vinden.

Aanvullende tel-apps als zwakke schakel

De IBD-factsheet besteedt opvallend veel aandacht aan aanvullende apps die gemeenten gebruiken. Deze apps ondersteunen het tellen van stemmen en het meten van opkomst. Ze maken nadrukkelijk geen deel uit van het formele verkiezingsproces. De handmatige telling blijft leidend.

Toch introduceren deze apps risico’s:

• Apparaatbeveiliging. De apps draaien op tablets of smartphones. Die apparaten moeten voldoen aan BIO2-eisen voor mobiele apparatuur. Niet elk apparaat dat een gemeente inzet, voldoet daaraan.
• App-beveiliging. De apps zelf kunnen kwetsbaarheden bevatten. Zijn ze ontwikkeld met security by design? Worden ze regelmatig getest op kwetsbaarheden?
• Netwerkverkeer. Apps communiceren met backend-systemen. Dat verkeer moet versleuteld zijn. De backend-systemen moeten beveiligd zijn tegen ongeautoriseerde toegang.
• Update-mechanismen. Apps die automatisch updaten kunnen gecompromitteerd worden via een kwaadaardige update. Apps die niet updaten kunnen bekende kwetsbaarheden bevatten.

De IBD geeft specifieke aanbevelingen voor het gebruik van deze apps:

• Gebruik apparaten waarvan software-updates beschikbaar zijn
• Werk apparaten en apps bij naar de meest recente versie
• Blokkeer toegang tot het internet behalve voor noodzakelijke diensten
• Beveilig apparaten met sterke ontgrendelcodes
• Laat apparaten nooit onbeheerd achter

Die aanbevelingen zijn zinvol maar vergen discipline in de uitvoering. Op een drukke verkiezingsdag, met vrijwilligers die onder tijdsdruk werken, is strikte naleving niet gegarandeerd.

Een bijzonder risico is het gebruik van app-gegenereerde gegevens. De IBD stelt expliciet dat deze gegevens niet mogen worden gebruikt bij het invullen van het papieren proces-verbaal. De handmatige telling is leidend. Maar wat als de app andere cijfers toont dan de handmatige telling? Verwarring en twijfel kunnen ontstaan, zelfs als de juiste procedure wordt gevolgd.

Fysieke versus digitale toegang

Niet elke aanval verloopt via het netwerk. Fysieke toegang tot systemen, apparatuur of locaties kan even effectief zijn. De beveiliging van stemlokalen en tellocaties verdient aandacht.

Fysieke aanvalsvectoren omvatten:

• Toegang tot OSV-systemen. Iemand met fysieke toegang kan malware installeren via USB, configuraties wijzigen of data exfiltreren.
• Manipulatie van apparatuur. Tablets, laptops of andere apparatuur kunnen worden voorzien van keyloggers of andere surveillance-hardware.
• Diefstal van materialen. Gestolen stembiljetten, gestolen apparatuur of gestolen documentatie kunnen worden misbruikt.
• Social engineering. Een aanvaller die zich voordoet als technisch ondersteuner of leverancier kan toegang krijgen tot beveiligde ruimtes.

De IBD-factsheet benadrukt dat apparaten nooit onbeheerd mogen worden achtergelaten. Dat is een minimale maatregel. Uitgebreidere fysieke beveiliging omvat:

• Toegangscontrole tot ruimtes waar verkiezingsapparatuur staat
• Logging van wie wanneer toegang heeft gehad
• Verzegeling van apparatuur wanneer niet in gebruik
• Controle van apparatuur op manipulatie voor gebruik

Bij gemeenten met beperkte middelen is uitgebreide fysieke beveiliging niet altijd haalbaar. Een klein stembureau in een dorpshuis heeft andere mogelijkheden dan een grote gemeente met dedicated faciliteiten.

De leveranciersketen als aanvalsoppervlak

Gemeenten werken met externe leveranciers voor software, hardware en diensten. Elke leverancier introduceert potentiële kwetsbaarheden. Supply chain aanvallen zijn de afgelopen jaren steeds prominenter geworden in het dreigingslandschap.

Relevante leveranciers in het verkiezingsproces:

• Softwareleveranciers. Ontwikkelaars van OSV, Abacus en aanvullende apps. Een gecompromitteerde ontwikkelomgeving kan leiden tot malware in officiële software.
• Hardwareleveranciers. Leveranciers van laptops, tablets en andere apparatuur. Gecompromitteerde firmware of voorgeïnstalleerde malware zijn bekende risico’s.
• Drukkers. Leveranciers van stembiljetten en andere gedrukte materialen. Toegang tot digitale bestanden of het productieproces biedt manipulatiemogelijkheden.
• IT-dienstverleners. Externe partijen die gemeenten ondersteunen bij IT-beheer. Hun toegang tot gemeentelijke systemen maakt hen waardevolle doelwitten.

De IBD onderhoudt contact met leveranciers over het verloop van processen en mogelijke problemen. Dat is een centrale coördinatiefunctie die kwetsbaarheden sneller aan het licht kan brengen. Gemeenten moeten echter ook zelf hun leveranciers beoordelen op beveiligingsvolwassenheid.

Vragen die gemeenten aan leveranciers kunnen stellen:

• Welke beveiligingscertificeringen heeft de leverancier?
• Hoe is de ontwikkelomgeving beveiligd?
• Worden producten getest op kwetsbaarheden voor release?
• Hoe verloopt het patchproces bij ontdekte kwetsbaarheden?
• Welke toegang hebben medewerkers van de leverancier tot gemeentelijke systemen?

Het SolarWinds-incident uit 2020 toonde aan hoe verstrekkend de gevolgen van een supply chain aanval kunnen zijn. Duizenden organisaties werden gecompromitteerd via een update van legitieme software. Een vergelijkbaar scenario in de context van verkiezingssoftware zou desastreus zijn voor het vertrouwen in de democratie.

Tijdvensters van kwetsbaarheid

Aanvallers kiezen momenten waarop verdedigers het kwetsbaarst zijn. In het verkiezingsproces zijn er duidelijke tijdvensters:

• Weken voor de verkiezingen. Software-updates, configuratiewijzigingen en tests verhogen de kans op fouten. Aanvallers kunnen proberen kwaadaardige wijzigingen mee te liften.
• De nacht voor de verkiezingen. Laatste voorbereidingen onder tijdsdruk. Minder aandacht voor beveiligingsprotocollen.
• Verkiezingsdag. Maximale drukte, minimale tijd voor zorgvuldige controles. Incidenten moeten direct worden opgelost om het proces niet te verstoren.
• Telavond. Systemen worden intensief gebruikt. Storingen of aanvallen hebben directe impact op de beschikbaarheid van uitslagen.

Gemeenten doen er goed aan deze tijdvensters expliciet te identificeren en extra waakzaamheid te plannen. De CISO moet beschikbaar en bereikbaar zijn, zoals de IBD adviseert. Dat betekent concrete afspraken over bereikbaarheid buiten kantooruren.

3. Desinformatie als digitale aanval

Desinformatie verkiezingen vormt een dreiging die geen technische kwetsbaarheid nodig heeft. De aanval richt zich niet op systemen maar op mensen. Kiezers die verkeerde informatie ontvangen over het verkiezingsproces, over kandidaten of over partijen, nemen beslissingen op basis van een vertekend beeld. Dat is het doel.

De factsheet waarschuwt dat misinformatie en desinformatie verkiezingen het democratisch proces kunnen belemmeren. Die formulering is voorzichtig. In de praktijk zijn desinformatiecampagnes een bewezen wapen in het arsenaal van statelijke actoren. De Amerikaanse presidentsverkiezingen van 2016, het Brexit-referendum, verkiezingen in Frankrijk en Duitsland: overal zijn sporen gevonden van gecoördineerde beïnvloedingspogingen.

Hoe desinformatie het stemgedrag beïnvloedt

Beïnvloeding via desinformatie werkt op meerdere niveaus. Het gaat niet alleen om het verspreiden van onwaarheden. De strategie is subtieler en omvat verschillende tactieken:

• Verwarring zaaien. Tegenstrijdige verhalen verspreiden zodat burgers niet meer weten wat waar is. Het doel is niet overtuigen maar verlammen.
• Vertrouwen ondermijnen. Verhalen verspreiden over fraude, corruptie of incompetentie bij verkiezingsorganisatoren. Het proces zelf wordt verdacht gemaakt.
• Polarisatie versterken. Extreme standpunten uitvergroten en genuanceerde posities onzichtbaar maken. Het politieke midden verdwijnt uit beeld.
• Specifieke kandidaten beschadigen. Gerichte campagnes met valse beschuldigingen, gemanipuleerde beelden of uit context gerukte uitspraken.
• Demobilisatie. Kiezersgroepen ontmoedigen om te stemmen door cynisme te voeden of praktische drempels te overdrijven.

Deze tactieken werken niet in isolatie. Een effectieve desinformatiecampagne combineert meerdere benaderingen en past zich aan op basis van wat werkt. Statelijke actoren met voldoende middelen kunnen campagnes maandenlang volhouden en bijsturen.

Het effect op stemgedrag is moeilijk te meten maar niet te ontkennen. Onderzoek toont aan dat herhaalde blootstelling aan desinformatie het vertrouwen in instituties verlaagt en cynisme verhoogt. Zelfs mensen die weten dat ze naar desinformatie kijken, worden beïnvloed door de constante stroom aan negatieve berichten.

Verschil tussen misinformatie en desinformatie

De termen worden vaak door elkaar gebruikt, maar het onderscheid is relevant:

Misinformatie is onjuiste informatie die zonder kwade intentie wordt verspreid. Iemand deelt een bericht in de veronderstelling dat het waar is. De verspreider is zelf misleid.

Kenmerken van misinformatie:

• Geen opzet om te misleiden
• Verspreiding via bestaande sociale netwerken
• Correctie wordt vaak geaccepteerd
• Organische verspreiding zonder coördinatie

Desinformatie is bewust onjuiste informatie met als doel te misleiden. De maker weet dat de inhoud niet klopt en verspreidt het toch.

Kenmerken van desinformatie:

• Opzettelijke misleiding
• Vaak gecoördineerde verspreiding
• Correctie wordt genegeerd of aangevallen
• Professionele productie en distributie

Malinformatie is een derde categorie: feitelijk correcte informatie die wordt gebruikt om schade aan te richten. Denk aan gelekte privégegevens van kandidaten of uit context gerukte citaten.

Voor de verdediging maakt het onderscheid uit. Misinformatie kan worden bestreden met correcte informatie en factchecking. Desinformatie vereist een actievere aanpak omdat de verspreiders niet geïnteresseerd zijn in de waarheid. Malinformatie is juridisch complex omdat de inhoud technisch gezien niet onwaar is.

Detectie van gecoördineerde campagnes

Het identificeren van desinformatiecampagnes is een specialisme. Niet elk kritisch bericht over verkiezingen is desinformatie. Gezonde democratische discussie omvat ook kritiek op het proces en de kandidaten. De kunst is onderscheid maken tussen legitieme meningsuiting en gecoördineerde manipulatie.

Indicatoren van gecoördineerde campagnes:

• Onnatuurlijke verspreidingspatronen. Berichten die binnen korte tijd door veel accounts worden gedeeld, vaak met identieke tekst.
• Netwerken van nepaccounts. Accounts die recent zijn aangemaakt, geen authentieke interactiegeschiedenis hebben en vooral politieke content delen.
• Cross-platform coördinatie. Dezelfde narratieven die gelijktijdig op meerdere platforms verschijnen, soms met kleine variaties.
• Amplificatie door echte accounts. Nepaccounts die berichten maken, waarna echte accounts ze oppikken en verder verspreiden.
• Professionele productiekwaliteit. Video’s, afbeeldingen en websites die een niveau van productie tonen dat niet past bij de zogenaamde bron.

Nederlandse instellingen monitoren deze indicatoren. Het Digital Trust Center richt zich op bedrijven, maar de methodologie is vergelijkbaar. Sociale mediaplatforms hebben eigen detectiesystemen, al is de effectiviteit daarvan onderwerp van discussie.

Gemeenten zelf zijn niet uitgerust om desinformatiecampagnes te detecteren. Dat is ook niet hun taak. De verantwoordelijkheid ligt bij nationale instanties en platforms. Gemeenten kunnen wel signalen melden en bijdragen aan het bredere beeld.

De rol van sociale media platforms

Platforms als Facebook, X, TikTok en Instagram zijn de primaire distributiekanalen voor desinformatie. Hun algoritmes bepalen welke content zichtbaar wordt. Die algoritmes optimaliseren voor engagement, niet voor waarheid. Emotionele content, inclusief misleidende berichten, scoort vaak beter dan nuance.

De verantwoordelijkheid van platforms is een doorlopende discussie:

• Moderatiebeleid. Platforms hanteren regels tegen misleidende content, maar de handhaving is inconsistent. Wat in het ene land wordt verwijderd, blijft elders staan.
• Transparantie over advertenties. Politieke advertenties moeten in veel landen worden gelabeld met informatie over de betaler. Niet alle platforms hanteren dezelfde standaarden.
• Algoritmische aanpassingen. Sommige platforms verlagen de zichtbaarheid van content die als mogelijk misleidend is aangemerkt. De criteria daarvoor zijn vaak ondoorzichtig.
• Samenwerking met autoriteiten. Platforms werken in wisselende mate samen met overheden bij het identificeren en verwijderen van buitenlandse beïnvloedingsoperaties.

De Digital Services Act stelt eisen aan platforms die in de Europese Unie opereren. Grote platforms moeten risico’s beoordelen en mitigeren, inclusief risico’s voor verkiezingsintegriteit. De handhaving van deze verplichtingen is echter nog in ontwikkeling.

Voor gemeenten betekent dit dat zij niet kunnen vertrouwen op platforms om het probleem op te lossen. Eigen communicatie moet robuust genoeg zijn om desinformatie te weerleggen. Dat vraagt om snelheid, duidelijkheid en geloofwaardigheid.

Lokale kwetsbaarheden voor desinformatie

Gemeenteraadsverkiezingen hebben specifieke kenmerken die ze kwetsbaar maken voor desinformatie:

• Minder media-aandacht. Nationale media besteden beperkt aandacht aan lokale verkiezingen. Dat creëert een informatievacuüm dat desinformatie kan vullen.
• Kleinere factcheck-capaciteit. Factcheckers richten zich primair op nationale en internationale onderwerpen. Lokale claims worden minder snel geverifieerd.
• Sterkere persoonlijke banden. In lokale gemeenschappen hebben verhalen over individuele kandidaten meer impact. Roddel en desinformatie zijn moeilijk te onderscheiden.
• Beperkte communicatiebudgetten. Lokale partijen en kandidaten hebben minder middelen om desinformatie tegen te spreken dan nationale partijen.
• Hogere drempels voor media. Lokale media zijn vaak afhankelijk van goede relaties met het gemeentebestuur. Kritische berichtgeving over verkiezingsorganisatie kan gevoelig liggen.

Deze factoren maken gemeenteraadsverkiezingen niet minder belangrijk, maar wel kwetsbaarder. Een desinformatiecampagne hoeft minder middelen te investeren om effect te hebben op lokaal niveau.

Praktische verdediging tegen desinformatie

Gemeenten kunnen bijdragen aan de weerbaarheid tegen desinformatie, ook al is detectie en bestrijding niet hun primaire taak. Effectieve maatregelen omvatten:

Proactieve communicatie. Niet wachten tot desinformatie verschijnt, maar vooraf duidelijk communiceren over het verkiezingsproces. Hoe werkt stemmen? Hoe worden stemmen geteld? Wie controleert de uitslag? Transparantie vermindert de ruimte voor speculatie.

Snelle respons. Wanneer onjuiste informatie circuleert, snel reageren met correcte feiten. Elke dag dat desinformatie onweersproken blijft, versterkt het effect. De communicatieafdeling moet mandaat hebben om snel te handelen.

Herkenbare bronnen. Officiële communicatie moet duidelijk te onderscheiden zijn van andere bronnen. Gebruik consistente kanalen, herkenbaarheid en waar mogelijk verificatiemechanismen.

Mediawijsheid bevorderen. Burgers die kritisch kunnen kijken naar informatiebronnen zijn weerbaarder tegen desinformatie. Gemeenten kunnen bijdragen aan bewustwording, ook buiten verkiezingsperiodes.

Melden. De factsheet benadrukt het belang van melden. Gevallen van misbruik en vermoeden van beïnvloeding moeten worden gemeld. Op basis van meldingen kunnen andere gemeenten worden gewaarschuwd. Dat collectieve mechanisme versterkt de verdediging.

De CISO heeft hier een rol die verder gaat dan technische beveiliging. Desinformatie raakt aan communicatie, aan vertrouwen en aan maatschappelijke weerbaarheid. Samenwerking tussen IT, communicatie en bestuur is noodzakelijk.

Cognitive hacking als concept

De term cognitive hacking beschrijft aanvallen die zich richten op menselijke perceptie en besluitvorming in plaats van op technische systemen. Desinformatie is daar een vorm van, maar het concept is breder.

Andere vormen van cognitive hacking in verkiezingscontext:

• Valse peilingen. Gemanipuleerde onderzoeken die een vertekend beeld geven van de verkiezingsstrijd. Kunnen demobiliserend werken als kiezers denken dat de uitslag al vaststaat.
• Gemanipuleerde beelden. Deepfakes van kandidaten die dingen zeggen die ze nooit hebben gezegd. De technologie wordt steeds toegankelijker.
• Valse endorsements. Berichten dat bekende personen of organisaties bepaalde kandidaten steunen, terwijl dat niet zo is.
• Procedurele verwarring. Onjuiste informatie over waar, wanneer of hoe gestemd kan worden. Kan gericht worden ingezet tegen specifieke kiezersgroepen.

De verdediging tegen cognitive hacking combineert technische maatregelen met communicatie en educatie. Het is een interdisciplinair vraagstuk dat niet alleen bij de CISO thuishoort, maar waar de CISO wel een rol in speelt.

4. Beveiligingsmaatregelen voor gemeenten

Verkiezingsbeveiliging gemeente is geen eenmalige exercitie maar een doorlopend proces. De maatregelen die gemeenten treffen, bepalen of het verkiezingsproces bestand is tegen de dreigingen die in eerdere hoofdstukken zijn beschreven. De BIO2 verkiezingen vormt daarbij het normenkader. Die Baseline Informatiebeveiliging Overheid 2 bevat generieke eisen die ook op verkiezingsprocessen van toepassing zijn.

De vertaling van die eisen naar de praktijk blijkt lastig. Verkiezingen hebben unieke kenmerken: tijdsdruk, betrokkenheid van vrijwilligers, gebruik van specifieke software en een hoge maatschappelijke zichtbaarheid. Standaard beveiligingsmaatregelen moeten worden aangepast aan die context.

Hardening van tel-apparatuur

Apparatuur die wordt gebruikt voor verkiezingsprocessen moet worden gehardend. Dat betekent het verwijderen van onnodige functionaliteit en het configureren van beveiligingsinstellingen. Elke extra functie is een potentiële aanvalsvector. Minimalisatie is het uitgangspunt.

Hardening van laptops en werkstations voor OSV omvat:

• Minimale installatie. Alleen software die noodzakelijk is voor de verkiezingsfunctie. Geen browsers, geen e-mailclients, geen kantoorsoftware. Elke applicatie die niet strikt nodig is, wordt verwijderd.
• Lokale accounts. Geen domeinaccounts gebruiken. Lokale accounts met sterke wachtwoorden die specifiek zijn voor het verkiezingsproces. Die wachtwoorden worden na afloop gewijzigd of de accounts verwijderd.
• Uitschakelen van autorun. Voorkomen dat software automatisch wordt uitgevoerd bij het aansluiten van USB-apparaten. Dit blokkeert een klassieke aanvalsvector.
• Volledige schijfversleuteling. Bij diefstal of verlies zijn gegevens niet toegankelijk zonder de juiste sleutel. BitLocker of vergelijkbare oplossingen zijn standaard beschikbaar.
• Lokale firewall. Alle inkomende verbindingen blokkeren. De systemen hebben geen inkomend verkeer nodig.
• USB-beperking. Het gebruik van USB-poorten beperken tot specifieke, goedgekeurde apparaten. Onbekende USB-sticks worden niet geaccepteerd.

Voor tablets en smartphones die aanvullende apps draaien, gelden vergelijkbare principes:

• Actuele software. Alleen apparaten gebruiken die nog updates ontvangen. End-of-life apparaten zijn onacceptabel, ongeacht hoe goed ze verder functioneren.
• Sterke ontgrendelcode. Minimaal zes cijfers, liever een alfanumeriek wachtwoord. Geen patronen die door meekijken zijn af te leiden.
• App-beperking. Alleen de noodzakelijke verkiezingsapp installeren. MDM-software kan andere apps blokkeren of verwijderen.
• Netwerkbeperking. Het apparaat mag alleen verbinding maken met noodzakelijke diensten. Al het overige verkeer wordt geblokkeerd.
• Remote wipe. De mogelijkheid om het apparaat op afstand te wissen bij verlies of diefstal. Dit moet vooraf zijn ingericht en getest.

De factsheet benadrukt dat apparaten nooit onbeheerd mogen worden achtergelaten. Technische hardening verliest waarde als fysieke toegang onbeperkt is. Beide aspecten horen samen.

Netwerksegmentatie op het stembureau

Netwerksegmentatie voorkomt dat een aanvaller die één systeem compromitteert, toegang krijgt tot andere systemen. Voor verkiezingsinfrastructuur is segmentatie een basisprincipe.

De belangrijkste regel: OSV-systemen blijven offline. De gebruiksvoorwaarden van de Kiesraad schrijven dit voor. Een systeem dat niet aan een netwerk hangt, is niet remote aan te vallen. Die eenvoudige maatregel elimineert een groot deel van de dreigingen.

Waar wel connectiviteit nodig is, gelden strikte principes:

• Aparte netwerken. Verkiezingsapparatuur krijgt een eigen netwerksegment dat gescheiden is van het reguliere gemeentenetwerk. Geen gedeelde switches of routers.
• Geen internettoegang. Standaard is uitgaand verkeer naar internet geblokkeerd. Alleen specifieke, gedocumenteerde uitzonderingen worden toegestaan.
• Gastnetwerk scheiden. Als een locatie wifi biedt voor bezoekers, moet dit een fysiek of logisch gescheiden netwerk zijn. Geen enkele verbinding met verkiezingsinfrastructuur.
• Monitoring. Netwerkverkeer wordt gelogd en geanalyseerd. Onverwachte verbindingen kunnen duiden op compromittering of misconfiguratie.

In de praktijk zijn veel stemlokalen geheel offline. De telling gebeurt handmatig, de resultaten worden telefonisch doorgegeven. Die analoge aanpak is geen achterhaald overblijfsel maar een bewuste beveiligingskeuze. Minder digitale afhankelijkheid betekent minder aanvalsoppervlak.

Waar digitale communicatie plaatsvindt, bijvoorbeeld bij het doorgeven van voorlopige uitslagen, gelden aanvullende eisen:

• Versleutelde verbindingen zonder uitzondering
• Authenticatie van beide partijen
• Logging van alle communicatie
• Verificatiemechanismen om manipulatie te detecteren

Een gemeente die deze principes niet implementeert, creëert onnodige risico’s. De vraag na een incident is altijd: waren de basismaatregelen op orde?

Melden als collectief verdedigingsmechanisme

Het meldpunt voor gemeenten functioneert als centraal zenuwstelsel. Een incident bij één gemeente kan een signaal zijn voor een bredere dreiging. Snelle informatiedeling versterkt de collectieve verdediging. Zonder melden blijven gemeenten geïsoleerd en blind voor wat elders gebeurt.

Wat moet worden gemeld:

• Kwetsbaarheden. Zwakheden in systemen, software of processen die nog niet zijn misbruikt maar wel risico vormen. Een ontdekte configuratiefout, een verouderde softwareversie, een fysieke beveiligingslacune.
• Incidenten. Gebeurtenissen waarbij daadwerkelijk iets is misgegaan. Ongeautoriseerde toegang, malware-detectie, dataverlies, apparatuur die is verdwenen.
• Misbruik. Pogingen tot fraude, manipulatie of andere vormen van misbruik van het verkiezingsproces. Ook mislukte pogingen zijn relevant.
• Beïnvloeding. Vermoedens van desinformatiecampagnes, gecoördineerde aanvallen op kandidaten, nepwebsites die zich voordoen als officiële bronnen.

Het meldpunt is 24 uur per dag bereikbaar voor spoedeisende vragen. Een incident op de telavond kan niet wachten tot kantooruren. Die permanente bereikbaarheid is geen luxe maar noodzaak gezien de tijdskritieke aard van verkiezingen.

Naast het centrale meldpunt kunnen gemeenten aangifte doen bij de politie. Bij vermoedens van strafbare feiten is dat de aangewezen route. Online aangifte is mogelijk, wat de drempel verlaagt. Beide kanalen vullen elkaar aan: het meldpunt voor informatiedeling en coördinatie, de politie voor opsporing en vervolging.

Een cultuur waarin melden normaal is, versterkt de weerbaarheid. Angst voor negatieve consequenties belemmert melden. Niemand wil degene zijn die een probleem rapporteert. Die angst is contraproductief. Problemen die niet worden gemeld, worden niet opgelost en kunnen zich verspreiden.

Leveranciersmanagement

Gemeenten zijn afhankelijk van externe leveranciers voor software, hardware en diensten. Die afhankelijkheid is onvermijdelijk maar vraagt om actief beheer. Een leverancier met zwakke beveiliging is een risico voor alle afnemers.

Relevante vragen bij leveranciersbeoordeling:

• Welke beveiligingscertificeringen heeft de leverancier? ISO 27001, SOC 2 of vergelijkbaar?
• Hoe is de ontwikkelomgeving beveiligd? Worden broncode en credentials beschermd?
• Worden producten getest op kwetsbaarheden voordat ze worden uitgeleverd?
• Hoe snel worden patches uitgebracht bij ontdekte kwetsbaarheden?
• Welke toegang hebben medewerkers van de leverancier tot gemeentelijke systemen?
• Hoe worden updates gedistribueerd? Zijn er verificatiemechanismen?

De Kiesraad stelt eisen aan leveranciers van OSV en Abacus. Die eisen bieden een basisniveau van zekerheid. Voor leveranciers van aanvullende apps of diensten die niet onder het Kiesraad-regime vallen, moeten gemeenten zelf eisen stellen.

Contractuele afspraken die beveiliging borgen:

• Meldplicht voor leveranciers bij ontdekte kwetsbaarheden
• Recht op audits of beveiligingsbeoordelingen
• Eisen aan patch- en updateprocessen
• Geheimhoudingsverplichtingen
• Aansprakelijkheid bij beveiligingsincidenten

Kleinere gemeenten hebben beperkte onderhandelingsmacht. Een leverancier die levert aan honderden gemeenten, laat zich niet snel door één kleine gemeente de wet voorschrijven. Collectieve inkoop via samenwerkingsverbanden kan helpen om gezamenlijk eisen te stellen en naleving af te dwingen.

Voorbereiding op incidenten

Preventie is onvoldoende. Ondanks alle maatregelen kunnen incidenten plaatsvinden. Voorbereiding op die situatie voorkomt ad-hocbeslissingen onder tijdsdruk. Improvisatie tijdens een crisis leidt tot fouten.

Een incident response plan voor verkiezingen bevat minimaal:

• Classificatie. Welke typen incidenten kunnen voorkomen? Een DDoS-aanval vraagt andere respons dan een datalek. Hoe wordt de ernst beoordeeld?
• Escalatie. Wie wordt wanneer geïnformeerd? Bij welke incidenten wordt het college of de burgemeester betrokken? Wanneer wordt extern opgeschaald?
• Rollen. Wie doet wat? Technische respons, communicatie naar media en burgers, juridische beoordeling, bestuurlijke besluitvorming.
• Contactgegevens. Actuele telefoonnummers en e-mailadressen van alle betrokkenen. Inclusief externe partijen. Gegevens die zes maanden oud zijn, kunnen verouderd zijn.
• Communicatie. Hoe wordt gecommuniceerd over incidenten? Wie mag uitspraken doen naar de media? Welke informatie wordt wel en niet gedeeld?
• Continuïteit. Hoe gaat het verkiezingsproces door ondanks het incident? Wat zijn fallback-opties als systemen uitvallen?

Het plan hoeft niet lijvig te zijn. Een paar pagina’s met heldere afspraken zijn effectiever dan een document van vijftig pagina’s dat niemand leest. Eenvoud bevordert bruikbaarheid.

Oefenen verhoogt de effectiviteit. Een tabletop-oefening waarin een scenario wordt doorgelopen, identificeert hiaten en onduidelijkheden. Waar zit de verwarring? Wie weet niet wat de eigen rol is? Welke contactgegevens ontbreken? Die vragen worden liever beantwoord in een oefening dan tijdens een echte crisis.

Bewustwording bij stembureauleden

Technische maatregelen verliezen waarde als de mensen die ze moeten uitvoeren, niet begrijpen waarom. Stembureauleden, tellers en andere vrijwilligers zijn doorgaans geen IT-specialisten. Zij moeten weten hoe ze veilig werken zonder overspoeld te worden met technisch jargon.

Onderwerpen voor bewustwording:

• Herkennen van phishing. E-mails of berichten die vragen om inloggegevens of het klikken op links. In de periode voor verkiezingen een relevant risico. Als iets verdacht lijkt, navragen via een ander kanaal.
• Omgaan met apparatuur. Apparaten niet onbeheerd achterlaten, ook niet even. Sterke ontgrendelcodes gebruiken. Verdachte situaties direct melden.
• Fysieke beveiliging. Alleen bekende personen toelaten in ruimtes met verkiezingsmateriaal. Bij twijfel vragen naar legitimatie. Materialen niet onbewaakt laten.
• Melden. Weten waar incidenten of verdachte situaties gemeld kunnen worden. Een telefoonnummer dat altijd bereikbaar is. Geen drempel om te melden.

Die bewustwording past binnen de reguliere instructies die stembureauleden ontvangen. Het hoeft geen aparte training te zijn. Een korte briefing van vijf minuten over beveiligingsrisico’s en wat te doen bij incidenten is vaak voldoende.

De menselijke factor is zowel de zwakste als de sterkste schakel. Mensen maken fouten, klikken op verkeerde links, laten apparaten liggen. Maar mensen herkennen ook afwijkingen die technische systemen missen, signaleren verdacht gedrag en handelen naar bevinding. Bewustwording maakt van potentiële kwetsbaarheden actieve verdedigers.

Fysieke beveiliging van materialen

Digitale beveiliging krijgt veel aandacht, maar fysieke beveiliging is minstens zo relevant. Stembiljetten, processen-verbaal, apparatuur en andere materialen moeten worden beschermd tegen ongeautoriseerde toegang.

Fysieke beveiligingsmaatregelen:

• Toegangscontrole. Ruimtes waar verkiezingsmateriaal wordt bewaard, zijn alleen toegankelijk voor geautoriseerde personen. Sleutelbeheer is gedocumenteerd.
• Verzegeling. Materialen die niet in gebruik zijn, worden verzegeld. Verbroken zegels zijn direct zichtbaar en worden onderzocht.
• Logging. Wie heeft wanneer toegang gehad tot welke ruimte of welk materiaal? Een eenvoudige registratie is al waardevol.
• Transport. Materialen die worden vervoerd, zijn onder toezicht. Geen onbeheerde momenten tijdens transport.
• Vernietiging. Na afloop worden materialen die niet bewaard hoeven te worden, vernietigd op een manier die reconstructie voorkomt.

Bij kleinere gemeenten zijn de mogelijkheden voor fysieke beveiliging beperkter dan bij grote steden. Een dorpshuis dat als stembureau dient, heeft andere faciliteiten dan een gemeentekantoor. De maatregelen moeten proportioneel zijn maar wel aanwezig.

De CISO kan adviseren over fysieke beveiliging, ook al ligt dit traditioneel buiten het digitale domein. De grenzen tussen fysiek en digitaal vervagen. Een gestolen laptop is zowel een fysiek als een digitaal beveiligingsincident. Integrale benadering voorkomt blinde vlekken.

5. Handmatig tellen als ultieme verdediging

Papieren stembiljet beveiliging is geen concessie aan traditie maar een bewuste ontwerpkeuze. Het Nederlandse verkiezingsproces rust op een fundament dat digitale aanvallen weerstaat door ze irrelevant te maken. Stemmen gebeurt op papier. Tellen gebeurt met de hand. Controletellingen met steekproeven verifiëren de resultaten. Die analoge kern is de ultieme verdediging tegen verkiezingen hacken.

Handmatig stemmen tellen kost meer tijd en menskracht dan geautomatiseerde alternatieven. Die kosten zijn de prijs voor vertrouwen. Een digitaal systeem dat sneller telt maar niet verifieerbaar is, ondermijnt de legitimiteit van de uitslag. De keuze voor papier is een keuze voor transparantie boven efficiency.

Waarom papier veiliger is dan pixels

Digitale systemen zijn kwetsbaar op manieren die analoge systemen niet zijn. Software bevat bugs. Netwerken kunnen worden gehackt. Databases kunnen worden gemanipuleerd. Bij papieren stembiljetten zijn die aanvalsvectoren afwezig.

De veiligheidsvoordelen van papier:

• Geen remote aanval mogelijk. Een papieren stembiljet kan niet worden gehackt vanaf een andere locatie. Fysieke toegang is vereist voor manipulatie.
• Manipulatie is zichtbaar. Gewijzigde stembiljetten tonen sporen. Doorhalingen, vervalsingen en andere manipulaties zijn bij inspectie te ontdekken. Digitale wijzigingen kunnen onzichtbaar zijn.
• Geen softwarefouten. Papier voert geen code uit. Er zijn geen bugs, geen vulnerabilities, geen zero-days. Het medium is inherent simpel.
• Onafhankelijke verificatie. Iedereen kan papieren stembiljetten tellen. Geen specialistische kennis nodig. Geen vertrouwen in black-box systemen vereist.
• Historisch bewijs. Papieren stembiljetten kunnen worden bewaard en later opnieuw worden geteld. Digitale logs kunnen worden gewijzigd of verwijderd.

Die voordelen betekenen niet dat papier perfect is. Fysieke manipulatie blijft mogelijk. Stembiljetten kunnen worden gestolen, toegevoegd of vernietigd. Maar die aanvallen vereisen fysieke aanwezigheid, zijn arbeidsintensief en laten sporen na. De schaal waarop digitale aanvallen kunnen plaatsvinden, is met papier niet haalbaar.

Internationale voorbeelden onderstrepen de risico’s van digitale systemen. Stemcomputers in de Verenigde Staten zijn herhaaldelijk gekraakt door beveiligingsonderzoekers. Nederlandse stemcomputers werden in 2017 uit gebruik genomen na aangetoonde kwetsbaarheden. De les is duidelijk: complexe systemen introduceren complexe risico’s.

Controletellingen en steekproeven

Het telproces bevat ingebouwde verificatiemechanismen. Controletellingen met steekproeven detecteren fouten en manipulatie. Die extra stap kost tijd maar vergroot het vertrouwen in de uitslag.

Het proces werkt als volgt:

• Eerste telling. Stembureauleden tellen de stemmen handmatig. Het resultaat wordt vastgelegd in het proces-verbaal.
• Steekproefselectie. Een deel van de stembureaus wordt geselecteerd voor controletelling. De selectie is at random om manipulatie van de selectie te voorkomen.
• Controletelling. De geselecteerde stembureaus worden opnieuw geteld door andere personen. Afwijkingen worden onderzocht.
• Analyse. Significante afwijkingen tussen eerste telling en controletelling leiden tot nader onderzoek. Bij structurele problemen kunnen bredere hertellingen volgen.

Die gelaagde aanpak detecteert zowel onopzettelijke fouten als opzettelijke manipulatie. Een aanvaller die de eerste telling manipuleert, loopt het risico ontdekt te worden bij de controletelling. De onzekerheid over welke stembureaus worden gecontroleerd, verhoogt het afschrikkingseffect.

Statistische methoden bepalen de steekproefomvang. De steekproef moet groot genoeg zijn om relevante afwijkingen te detecteren met voldoende betrouwbaarheid. Te kleine steekproeven missen problemen; te grote steekproeven kosten onevenredig veel tijd zonder extra zekerheid.

Wanneer digitale ondersteuning wel mag

De factsheet erkent dat gemeenten aanvullende apps gebruiken voor het tellen van stemmen en het meten van opkomst. Die apps zijn toegestaan maar onder strikte voorwaarden. De handmatige telling blijft leidend. Digitale hulpmiddelen ondersteunen maar vervangen niet.

De spelregels voor aanvullende apps:

• Geen formele status. App-gegevens maken geen deel uit van het formele verkiezingsproces. Ze zijn indicatief, niet bepalend.
• Proces-verbaal is papier. Gegevens uit apps mogen niet worden gebruikt bij het invullen van het papieren proces-verbaal. De handmatige telling is de bron.
• Apparaatbeveiliging. Apparaten waarop apps draaien, moeten voldoen aan de eerder beschreven hardeningseisen.
• Netwerkbeperking. Apps communiceren alleen met noodzakelijke diensten. Overig internetverkeer is geblokkeerd.

Die restricties voorkomen dat apps een achterdeur worden. Een gecompromitteerde app kan verkeerde cijfers tonen, maar die cijfers bepalen niet de uitslag. De papieren telling blijft de waarheid.

Toch zijn er risico’s. Apps die andere cijfers tonen dan de handmatige telling, creëren verwarring. Zelfs als de juiste procedure wordt gevolgd, ontstaan vragen. Waarom wijken de cijfers af? Is er gemanipuleerd? Die vragen kunnen het vertrouwen ondermijnen, ook als het antwoord onschuldig is.

De oplossing is transparantie over de rol van apps. Communiceren dat apps ondersteunend zijn en dat afwijkingen kunnen voorkomen zonder dat dit duidt op problemen. Verwachtingsmanagement voorkomt onnodige paniek.

Proces-verbaal als onweerlegbaar bewijs

Het proces-verbaal is het formele document waarin de uitslag wordt vastgelegd. Elk stembureau stelt een proces-verbaal op. Die documenten vormen de basis voor de officiële vaststelling van de verkiezingsuitslag.

Kenmerken van het proces-verbaal:

• Papieren document. Het proces-verbaal is een fysiek document dat wordt ingevuld door stembureauleden. Geen digitale invulformulieren, geen elektronische handtekeningen.
• Ondertekend. Alle stembureauleden ondertekenen het proces-verbaal. Die handtekeningen bevestigen de juistheid van de gegevens.
• Openbaar. Processen-verbaal zijn openbaar toegankelijk. Burgers, journalisten en politieke partijen kunnen ze inzien en controleren.
• Bewaard. De documenten worden bewaard gedurende de wettelijk voorgeschreven termijn. Hertellingen of onderzoeken achteraf blijven mogelijk.

Die kenmerken maken het proces-verbaal tot een robuust bewijsmiddel. Manipulatie vereist fysieke toegang tot de documenten, het vervalsen van handtekeningen en het omzeilen van de openbare controle. Dat is niet onmogelijk maar wel arbeidsintensief en risicovol voor de dader.

Het proces-verbaal heeft ook beperkingen. Fouten bij het invullen komen voor. Telfouten, schrijffouten en onduidelijkheden kunnen leiden tot afwijkingen tussen het proces-verbaal en de werkelijke stemverdeling. Die fouten zijn meestal onschuldig maar moeten wel worden gecorrigeerd.

De procedure voor correcties is geformaliseerd. Afwijkingen die worden ontdekt bij de controle leiden tot navraag bij het stembureau. Bij gegronde fouten wordt het proces-verbaal gecorrigeerd of aangevuld. Die procedure voorkomt dat fouten de uitslag beïnvloeden.

Air-gapped verkiezingsproces

De term air-gapped beschrijft systemen die fysiek gescheiden zijn van netwerken. Geen wifi, geen ethernet, geen bluetooth. De enige manier om gegevens in of uit het systeem te krijgen is via fysieke media of handmatige invoer.

Het Nederlandse verkiezingsproces is grotendeels air-gapped:

• Stemmen. Papieren stembiljetten zijn per definitie air-gapped. Geen digitale verbinding mogelijk.
• Tellen. Handmatige telling vereist geen netwerk. Mensen tellen, mensen noteren.
• OSV-systemen. De software voor het vaststellen van uitslagen draait op standalone systemen zonder netwerkverbinding.
• Proces-verbaal. Papieren documenten zijn air-gapped. Geen remote aanpassing mogelijk.

Die scheiding van het netwerk elimineert een groot deel van de aanvalsvectoren. Remote attacks, malware die zich via het netwerk verspreidt, command-and-control communicatie: allemaal niet toepasbaar op air-gapped systemen.

De keerzijde is dat air-gapped systemen nog steeds fysiek kunnen worden gecompromitteerd. De Stuxnet-aanval op Iraanse nucleaire faciliteiten toonde aan dat zelfs strikt geïsoleerde systemen kwetsbaar zijn via USB-sticks en andere verwisselbare media. Fysieke beveiliging en procedures voor het omgaan met media zijn daarom onmisbaar.

Offline stemmen als weerbaarheid

De keuze voor offline stemmen is een keuze voor weerbaarheid. Een systeem dat niet online is, kan niet online worden aangevallen. Die eenvoudige logica is krachtig in een tijd waarin digitale dreigingen toenemen.

Vergelijk het met andere kritieke processen. Vliegtuigen scheiden kritieke besturingssystemen van entertainment- en communicatienetwerken. Industriële controlesystemen worden geïsoleerd van kantoornetwerken. Het principe is overal hetzelfde: kritieke functies verdienen fysieke scheiding.

Voor verkiezingen is dat principe extra relevant vanwege de maatschappelijke impact. Een gehackte website is vervelend. Een gehackte verkiezingsuitslag ondermijnt de democratie. De consequenties rechtvaardigen de extra inspanning van offline processen.

Internationale bewegingen wijzen dezelfde richting. Landen die digitale stemprocessen hebben ingevoerd, heroverwegen die keuze. Estland, vaak genoemd als voorbeeld van digitaal stemmen, ziet toenemende kritiek op de veiligheid van het systeem. Duitsland verbood stemcomputers na een uitspraak van het constitutionele hof. De trend is naar meer papier, niet minder.

Transparantie als beveiligingsmaatregel

Papieren processen bieden inherente transparantie. Iedereen kan zien hoe stemmen worden geteld. Geen geheime algoritmes, geen ontoegankelijke broncode. Die openheid is een beveiligingsmaatregel op zichzelf.

Transparantie in het verkiezingsproces:

• Openbare telling. Het tellen van stemmen gebeurt in het openbaar. Belangstellenden kunnen toekijken. Die openbaarheid maakt grootschalige manipulatie onpraktisch.
• Toegankelijke processen-verbaal. De vastlegging van resultaten is openbaar. Controleren wat is genoteerd, is mogelijk voor iedereen.
• Duidelijke regels. De procedures voor stemmen en tellen zijn gedocumenteerd en openbaar. Geen verborgen stappen of geheime processen.
• Politieke waarnemers. Partijen mogen waarnemers sturen naar stembureaus. Die waarnemers controleren of procedures correct worden gevolgd.

Die transparantie biedt bescherming tegen manipulatie maar ook tegen beschuldigingen van manipulatie. Wanneer iemand beweert dat de verkiezingen zijn gemanipuleerd, kan worden gewezen op de openbare processen en de controlemogeijkheden. Het weerleggen van desinformatie is eenvoudiger wanneer de waarheid verifieerbaar is.

Grenzen van het papieren systeem

Papier is geen wondermiddel. Het Nederlandse systeem heeft kwetsbaarheden die niet moeten worden genegeerd.

Bekende beperkingen:

• Menselijke fouten. Tellers maken fouten. Cijfers worden verkeerd overgenomen, stapels worden verkeerd gesorteerd. Controletellingen vangen veel op maar niet alles.
• Schaalbaarheid. Handmatig tellen kost veel menskracht. Bij grote aantallen stembureaus en stemmen is de logistiek complex.
• Snelheid. Uitslagen zijn later beschikbaar dan bij geautomatiseerde systemen. In een tijd van directe nieuwscycli kan dat spanning creëren.
• Fysieke aanvallen. Stembiljetten kunnen worden gestolen, vernietigd of toegevoegd. Fysieke beveiliging is noodzakelijk maar niet onfeilbaar.

Die beperkingen zijn reëel maar beheersbaar. Menselijke fouten worden opgevangen door controletellingen. Schaalbaarheid is een organisatorische uitdaging, geen fundamenteel probleem. Snelheid is ondergeschikt aan betrouwbaarheid. Fysieke aanvallen zijn mogelijk maar laten sporen na.

De afweging is altijd tussen risico’s en kosten. Het papieren systeem accepteert bepaalde inefficiënties in ruil voor transparantie en weerbaarheid tegen digitale aanvallen. Die afweging kan opnieuw worden gemaakt naarmate technologie en dreigingen evolueren, maar de huidige keuze is weloverwogen.

Het verkiezingsproces zal waarschijnlijk nog lang op papier rusten. Niet uit technologische achterstand maar uit bewuste afweging. De dreiging van digitale aanvallen maakt analoge processen niet achterhaald maar juist relevant. Papier is niet perfect, maar het is controleerbaar, transparant en bestand tegen de aanvallen die digitale systemen bedreigen.

De 10 belangrijkste takeaways

Het verkiezingsproces is kwetsbaarder dan de meeste burgers beseffen, maar ook weerbaarder dan aanvallers zouden willen. De dreigingen zijn reëel en de maatregelen die gemeenten moeten nemen zijn concreet. Hieronder de kernlessen voor iedereen die betrokken is bij digitale weerbaarheid rond verkiezingen.

1. De aanval hoeft niet te slagen om te winnen

Het ondermijnen van vertrouwen is vaak het werkelijke doel, niet het daadwerkelijk wijzigen van uitslagen. Een aanvaller die twijfel zaait over de integriteit van het proces, bereikt zijn doel ook zonder technisch succes.

2. Hacking van verkiezingen gaat verder dan techniek

Desinformatie, social engineering en beïnvloedingsoperaties zijn even effectief als technische aanvallen. De menselijke factor is zowel het primaire doelwit als de belangrijkste verdedigingslinie.

3. Decentralisatie is zowel kracht als zwakte

342 gemeenten betekent 342 verschillende implementaties met wisselende volwassenheid. Die spreiding compliceert grootschalige aanvallen maar creëert ook zwakke schakels die als springplank kunnen dienen.

4. Analoge processen zijn geen achterstand maar voorsprong

Papieren stembiljetten en handmatige tellingen elimineren complete categorieën digitale aanvallen. De inefficiëntie is de prijs voor transparantie en verifieerbaarheid die digitale systemen niet kunnen bieden.

5. De leveranciersketen is onderdeel van het aanvalsoppervlak

Software-, hardware- en dienstenleveranciers introduceren kwetsbaarheden buiten de directe controle van gemeenten. Supply chain aanvallen behoren tot de meest impactvolle dreigingen van de afgelopen jaren.

6. Aanvullende apps zijn risico’s die geen formele status verdienen

Tel-apps en opkomstmeters mogen het papieren proces nooit vervangen of beïnvloeden. De verleiding om digitale gemakken te omarmen ondermijnt de integriteit die het systeem beschermt.

7. Melden is geen zwakte maar collectieve kracht

Een incident dat niet wordt gemeld, blijft geïsoleerd en kan zich elders herhalen. Het centrale meldpunt functioneert alleen wanneer gemeenten actief bijdragen aan het gedeelde dreigingsbeeld.

8. Fysieke en digitale beveiliging zijn onscheidbaar

Een air-gapped systeem verliest waarde wanneer fysieke toegang ongecontroleerd is. USB-sticks, onbeheerde apparaten en social engineering overbruggen de kloof tussen offline en online.

9. Tijdsdruk is de bondgenoot van de aanvaller

Verkiezingen hebben vaste deadlines die niet verschuiven. Die druk leidt tot shortcuts, verminderde controle en haastige beslissingen die kwetsbaarheden introduceren.

10. Transparantie is zelf een beveiligingsmaatregel

Openbare tellingen, toegankelijke processen-verbaal en duidelijke procedures maken manipulatie moeilijker en beschuldigingen van manipulatie weerlegbaar. Wat verifieerbaar is, verdient vertrouwen.