Folketingets Kirkeudvalg

 

Kirkeudvalget har ved brev af 11. december 2007 bedt om kirkeministerens besvarelse af spørgsmål 1 vedrørende L 28, Forslag til lov om ændring af lov om valg til menighedsråd (Elektronisk berigtigede valglister og elektronisk brevstemmeafgivning m.v.).

 

”Ministeren bedes kommentere henvendelsen af 10. december 2007 fra Mikkel Selsøe Sørensen og Iben Lewinsky, jf. L 28 - bilag 3.”

 

Svar:

Det er vigtigt at slå fast, at Folketinget med lovforslaget alene skaber hjemmel til, at der kan afgives elektroniske brevstemmer ved menighedsrådsvalget i 2008. Såfremt man efterfølgende ønsker at gøre brug af systemet ved kommende valg, kræver det således et nyt lovforslag, som skal vedtages i Folketinget.  

Efter gennemførelsen af menighedsrådsvalget i 2008 er det hensigten, at Kirkeministeriet tager initiativ til, at der iværksættes en evaluering af valgforløbet omkring e-brevstemning med henblik bl.a. på en stillingtagen til, om e-brevstemningen har fungeret sikkert og hensigtsmæssigt.

Lovforslaget skal dels ses som et ønske om at indhente erfaringer med elektroniske valg. Dernæst skal det ses i lyset af, at stemmeprocenten ved menighedsrådsvalgene fra 1980 og frem til 2004 har ligget mellem 15,5 – 17,5 pct. Forsøg med elektronisk brevstemmeafgivning vil kunne være medvirkende til at give flere mulighed for at deltage i valg til menighedsråd.

Med lovforslaget gives vælgerne mulighed for til menighedsrådsvalget i 2008 at afgive en elektronisk brevstemme som alternativ til at møde op på valgdagen eller afgive en almindelig brevstemme. Det står således vælgeren frit for, om denne vil benytte muligheden for at e-brevstemme.

Det er en væsentlig forudsætning for den valgte tekniske løsning (som er udviklet for IT- og Telestyrelsen), at denne bedst muligt tager højde for de principielle problemstillinger, som kan rejses i relation til afgivelse af en elektronisk brevstemme. I det følgende beskrives en række af de sikkerhedsforanstaltninger, som er indarbejdet i den valgte løsning.

For så vidt angår hemmeligholdelsen i forbindelse med e-brevstemming kan oplyses, at vælgeren afgiver sin stemme over en krypteret internetforbindelse via sin digitale signatur. Det er kun muligt at afgive sin e-brevstemme én gang, og stemmen er bindende. Sikkerheden under stemmeafgivelsen sikres tillige ved, at den digitale signatur verificeres ved hver ny del af stemmeafgivelsesprocessen.

Det vil ikke være muligt med 100 % sikkerhed at fastslå, om det er indehaveren af den digitale signatur, der afgiver stemmen, eller om en uvedkommende person ulovligt har fået adgang til signaturen. Ligeledes vil det ikke kunne garanteres, at vælgere, der benytter muligheden for at e-brevstemme, stemmer uden uvedkommende påvirkning. Det bemærkes dog, at der også med det nuværende system er risiko for, at en uvedkommende kan komme i besiddelse af en vælgers valgkort og cpr-nr., og herefter kan misbruge dette til at stemme på vegne af en anden borger.

For at sikre vælgernes anonymitet i forhold til selve stemmeafgivningen er der taget følgende forholdsregler:

·        I det øjeblik at vælgerens stemme afgives, adskilles informationer vedrørende identitet og stemmeafgivelse endegyldigt. Stemmen er sÃ¥ledes anonym, idet at man ikke kan spore sammenhængen mellem den afgivne stemme og det cpr-nr. der har afgivet den.
Af hensyn til opgørelsen af valgets resultat, herunder kontrollen af at antallet af afgivne stemmer er det samme, som det antal der opgøres på de enkelte lister, gemmes cpr-nr’ene og stemmerne stærkt kryptereret hver for sig. For hvert cpr-nr. der lagres, ændres rækkefølgen af to eller flere af de øvrige lagrede cpr-numre, således at der ikke er mulighed for atter at sammenkoble stemmer og cpr-nr.

I forhold til sikring af, at vælgeren ikke kan afgive stemme mere end én gang samt sikring mod manipulation af stemmeresultatet, anvendes en særlig database over valgets anvendte cpr-numre, der er sikret med en irreversibel kryptering (det betyder, at der ikke er nogen teknisk forbindelse mellem cpr-nr. og stemme).

·        Oplysningerne om, hvem der har afgivet en elektronisk stemme registreres pÃ¥ valglisterne, der printes og udsendes til valgbestyrelserne. Oplysningerne om fordelingen af stemmer pÃ¥ de opstillede lister og kandidater tilgÃ¥r – ligesom de brevstemmer, der er afgivet pÃ¥ kommunens folkeregister - valgbestyrelsen i en forseglet kuvert, der brydes i forbindelse med opgørelsen af valgets resultat.

·        NÃ¥r e-brevstemmerne er talt op og afsendt til valgbestyrelserne tømmes valgsystemet fuldstændig for personhenførbare oplysninger efter udløb af valgets klagefrist.

For så vidt angår spørgsmålet om, hvordan en vælger kan være sikker på, at en afgiven e-brevstemme bliver talt op, kan det oplyses, at når vælgerens stemme er registreret i valgsystemet, får vælgeren klar besked herom på skærmbilledet, således at vælgeren ikke efterlades i tvivl om, om stemmen er registreret.

Som ved den manuelle valg kan den vælger, der har afgivet sin stemme elektronisk eller har brevstemt på den sædvanlige måde møde op på valgstedet og sikre sig, at det på valglisten er angivet at vedkommende har stemt. Principielt er der således helt den samme sikkerhed for at kontrollere, hvorvidt stemmerne optælles, men ligesom ved det manuelle valg kan den enkelte vælger ikke sikre sig, at hans egen stemme bliver talt.

Endelig er valgsystemet sikret mod, at stemmeresultatet ubemærket kan manipuleres, såfremt at det i en tænkt situation er lykkedes at omgå samtlige sikkerhedsforanstaltninger. Det er gjort ved, at der sammen med et afstemningsresultat gemmes en checksum, som kan bruges til validering. På den baggrund kan man efter, at valgresultatet foreligger, verificere, om der er blevet manipuleret ved resultatet.

Hvis der indgives klager over valget fra en vælger, der har afgivet en e-brevstemme, vil denne kunne behandles på de samme vilkår og forudsætninger, som en klage over en stemme afgivet via en almindelig brevstemme eller på valgdagen. Det print over e-brevstemmernes fordeling, som valgbestyrelsen har modtaget til brug for opgørelsen af valgets resultat, skal afleveres til menighedsrådet på samme vis som almindelige stemmesedlerne, og menighedsrådet opbevarer dem så indtil klagefristen er udløbet, eller klager over valget er endeligt afgjort.

Med hensyn til spørgsmålet om tilliden til valget herunder muligheden for at beskytte systemet mod uautoriseret indgriben, så forholder det sig således, at systemet er baseret på ”opensource”. Det betyder, at dets regne- og behandlingsregler kan kontrolleres af alle, der har den fornødne indsigt i programmering. Denne åbenhed gør ikke systemet mere sårbart, end hvis det var programmeret i en ”ikke åben kode”.

Det forudsættes endvidere at systemet, inden det sættes i drift i forbindelse med valghandlingen, underkastes en kontrol af Kirkeministeriet, der er ansvarlig for valgets korrekte afholdelse. Denne kontrol foretages i praksis af en uautoriseret 3. part (eksempelvis en statsautoriseret revisor), der skal afgive erklæring om, at systemets behandlingsregler m.m. er korrekte. Med andre ord sikre at de stemmer, der afgives på en liste, tilfalder denne, at et cpr-nummer ikke kan spores fra en stemme, at der er lige så mange stemmer som cpr-numre, samt at der er etableret de fornødne sikkerhedsforanstaltninger i og omkring driftsmiljøet. Efter kontrollen foretages en certificering af systemet. Systemet garanteres derfor integritet og på grund af ”opensource” koden tillige gennemsigtighed.

Det skal tillige bemærkes, at der anvendes en hemmelig krypteringnøgle, der fysisk er placeret på en separat server, i forbindelse med kryptering af henholdsvis checksummen, ved sikring mod ubemærket manipulation af afstemningsresultatet og ved kryptering af anvendte cpr-numre i valget, der skal danne baggrund for udtræk af valglisterne.

På denne baggrund er det min opfattelse, at det valgte system på bedst mulig vis håndterer de principielle problemstillinger omkring sikkerheden samtidig med, at det kan give værdifuld viden om elektroniske valg.

 

 

Birthe Rønn Hornbech

 

/

 

Lise M. Hjort Elmquist