BBB-leden kunnen zich tot en met aanstaande vrijdag online uitspreken over de provinciale lijsttrekkers en de kandidaten voor de Eerste Kamer. De keuze is hierbij overigens beperkt. BBB-leden kunnen enkel voor, tegen of blanco stemmen.
Controle probleemloos binnen minuten te omzeilen
Stemmen kan door een e-mailadres in te vullen in een online formulier. Wie stemt vanuit een mailadres dat bij de partij niet bekend is krijgt bericht dat de stem niet wordt meegeteld. Wie wel lid is krijgt een bevestigingsmail met daarin een beveiligingscode, een zogenaamde token. Na het aanklikken hiervan wordt het uitbrengen van de stem bevestigd op de BBB-website.
Deze controle is echter makkelijk te omzeilen door valse gegevens in te vullen op een lidmaatschapsformulier, vergezeld van een willekeurig e-mailadres. Deze gegevens worden niet vooraf gecontroleerd, maar het e-mailadres wordt wel meteen opgeslagen in de ledenlijst, waardoor minuten later al een stem kan worden uitgebracht.
BNR was niet de enige die vanuit nepadressen stemde
BNR bracht zo meerdere (blanco) stemmen uit op de BBB-kandidaten. Telkens volgde een bedankmailtje en een bevestiging. BBB-voorzitter Erik Stegink zegt dat deze stemmen achteraf zijn verwijderd. Dat gebeurde in stilte, maar volgens Stegink krijgen de fraudeurs bij sluiting van de stemming wel bericht. In totaal werden tot nu toe 37 stemmen (waaronder drie van BNR) ongeldig verklaard. 'Eigenlijk is er niets aan de hand', zegt Stegink.
Valse stemmen konden worden geïdentificeerd omdat alleen leden die zich vóór 21 oktober hadden aangesloten een uitnodiging voor de verkiezingen ontvingen, zegt Stegink. Stemmen kon weliswaar zonder uitnodiging omdat de stemsite online direct te benaderen was, maar deze stemmen zijn achteraf geschrapt, aldus de partijvoorzitter.
Nadat de stembussen sluiten zal een tweede controle volgen waarna nog meer stemmen zullen worden geschrapt. Stemmen van leden die hun contributie dan niet (kunnen) betalen gaan ook de prullenbak in. Volgens Stegink loopt de partij momenteel vanwege een grote toeloop nog achter met het innen van de ledengelden, maar zal die achterstand voor de definitieve uitslag zijn bijgewerkt.
'Fraude nog steeds mogelijk'
Experts vinden de controlemechanismes alles behalve sluitend. 'Als je voor 21 oktober lid was geworden met een IBAN-nummer dat je ergens had gevonden was je hier makkelijk doorheen gefietst’, zegt Sijmen Ruwhof, voorzitter van de Stichting tegen Hackbare Verkiezingen. 'Het is ook vreemd dat je achteraf stemmen ongeldig moet gaan verklaren. Dat de stemmer daarover niets te horen krijgt draagt ook niet bij aan het vertrouwen. Het maakt het proces ook moeilijk controleerbaar.' Ruwhof merkt ook op dat van een stemgeheim geen enkele sprake lijkt. 'Dat is wel duidelijk als je stem achteraf geschrapt kan worden als je niet betaalt.'
Onafhankelijk beveiligingsdeskundige Brenno de Winter vindt de procedure waarmee stemmen worden buitengesloten 'absoluut onduidelijk'. 'Er zit iemand achteraf in dat systeem te rommelen. Waarom zou ik dat vertrouwen? Er is geen enkel onafhankelijk toezicht.' Ruwhof merkt ook op dat ReMarkAble, de partij die verantwoordelijk is voor de online verkiezing, een innige relatie heeft met het zittende bestuur van de BBB. 'Niet bepaald belangeloos', aldus Ruwhof.
BBB maakt in tegenstelling tot meeste Nederlandse partijen gebruik van een buitenlandse aanbieder voor hun verkiezingssoftware. Het gaat hierbij om SharpSpring, een Amerikaans bedrijf dat digitale diensten aanbiedt voor het beheer van klantrelaties.
De BBB-verkiezing komt terecht in een lang rijtje van problematische online verkiezingen in de Nederlandse politiek. Vorige maand deed BNR verslag van de problemen die de VVD had bij het kiezen van een nieuwe voorzitter. Geheime documenten bleken toen per ongeluk openbaar te zijn gemaakt door het bedrijf dat de verkiezingen verzorgde. Bij het CDA moest in 2020 een cruciale lijsttrekkersverkiezing opnieuw. De Partij voor de Dieren moest in hetzelfde jaar delen van een partijcongres overdoen na een DDos-aanval. Amsterdamse BIJ1-leden trokken vorig jaar een kieslijst in twijfel omdat er problemen waren met het inloggen in de stemomgeving.
Overheid gaat zich met beveiliging bemoeien
Een aantal partijen zijn post-corona gestopt met onlineverkiezingen, zo meldde BNR in oktober. Toch wil het merendeel de digitale aanpak voortzetten. De aanhoudende problemen hiermee doen echter de vraag rijzen of politieke partijen wel voldoende zijn toegerust om dit soort verkiezingen te organiseren. De budgetten van Nederlandse partijen zijn relatief klein en digitale expertise is vaak beperkt.
In het Verenigd Koninkrijk houden veiligheidsdiensten toezicht op de integriteit van online stemmingen bij politieke partijen. De verkiezing van een nieuwe conservatieve partijleider werd deze zomer zelfs kort uitgesteld nadat inlichtingendienst GCHQ waarschuwde dat de verkiezing te makkelijk gemanipuleerd kon worden door kwaadwillenden. Nadat extra beveiligingsmaatregelen werden genomen werd Liz Truss tot partijleider en daarmee premier gekroond.
Ook in Nederland gaat de overheid binnenkort een rol spelen bij het beveiligen van interne verkiezingen. Na wetswijziging die per 1 december in werking treedt kan het Nationaal Cyber Security Centrum informatie over dreigingen en incidenten delen met politieke partijen, zo laat een woordvoerder van het ministerie van Binnenlandse Zaken weten. Het NCSC kan op verzoek ook bijstand verlenen bij incidenten.