L 132 - 2012-13 - Endeligt svar på spørgsmål 5: Spm. om, hvilke kontrolforanstaltninger vil ministeren foranstalte for at sikre, at kildekoden i systemet er sikkert og bl.a. ikke tæller op på en forkert måde, til økonomi- og indenrigsministeren

Folketingets Kommunaludvalg har d. 8. februar 2013 stillet følgende spørgsmål nr. 5(L 132) til økonomi- og indenrigsministeren, som hermed besvares. Spørgsmålet erstillet efter ønske fra Dennis Flydtkjær (DF).Spørgsmål nr. 5:”Hvilke kontrolforanstaltninger vil ministeren foranstalte for at sikre, at kildekoden isystemet er sikkertog bl.a. ikke tæller op på en forkert måde?”Svar:I ministeriets høringsnotat over lovforslaget, afsnit 8.1., side 26 f, er angivet følgendeom kvalitetssikringen af systemet generelt, der også omfatter revision af kildekoden.Relevante dele af de følgende afsnit er også gengivet i lovforslagets bemærkninger,afsnit 4.2.:”Ministeriet er opmærksomt på vigtigheden af, at systemet kvalitetssikres grundigt for atopnå en uproblematisk og sikker afvikling af valget – ikke mindst set i lyset af internatio-nale erfaringer på området. Ministeriet vil i kraft af den centrale udvælgelse af valgsy-stemerne og i kraft af den bemyndigelse til at fastsætte nærmere regler herom, der fore-slås i lovforslaget, få adgang til at stille krav herom.Der vil aldrig kunne opnås en fuldstændig garanti for, at e-valgsystemet ikke kan kom-promitteres. For at imødegå de risici, der er forbundet med et valg, er det vigtigt, at derfastsættes en tilstrækkelig ramme for kvalitetssikring og revision, der sikrer, at eventuelleproblemer bliver afdækket og rettet rettidigt, og at der er behørige kontrolforanstaltningerpå plads til at sikre, at eventuelle fejl og forsøg på misbrug bliver opdaget.Der vil derfor blive gennemført kvalitetssikringsinitiativer ved udvikling, produktion og driftaf e-valgsystemet. Der vil blandt andet blive stillet krav om kvalitetssikring af design, afenkeltkomponenter i software og hardware og af det samlede system.Kvalitetssikringen tænkes gennemført som en kombination af blandt andet følgende initi-ativer:Egenkontrol, hvor systemleverandøren selv gennemfører og dokumenterer kva-litetssikring, inden systemet leveres til kommunen. Herigennem sikres det, atleverandøren arbejder professionelt med kvalitet, og at eventuelle fejl rettes tid-ligt i forløbet.Uvildig kontrol af en professionel tredjepart, som udpeges af ministeriet. Dettekan f.eks. være sikkerhedsreview og sikkerhedstest. Herigennem sikres det, atder foretages en uvildig gennemgang af alle dele af systemet, før systemet ta-ges i brug.

Kontrol ved en følgegruppe. Udviklingen af den relevante løsning vil blive fulgtaf en uafhængig følgegruppe nedsat af ministeriet med udvalgte sagkyndige,forskere, repræsentanter for relevante brugergrupper, herunder personer medhandicap m.v. Herigennem sikres en bredere folkelig kontrol med systemet, ogat systemet bliver udformet, så det er egnet til at imødekomme særligt de kravom brugervenlighed og sikkerhed, som vil blive stillet i forbindelse med udbud-det.Offentlighedens kontrol. Ministeriet vil overveje, hvilke krav der skal stilles i for-hold til en åben kontrol med hard- og softwaren samt med kildekode m.v.

Ministeriet er endvidere opmærksomt på de fordele, der knytter sig til et krav om, at denanvendte teknologi til valghandlingen alene må kunne udføre denne opgave, og vil ind-drage disse i ministeriets overvejelser om fastsættelse af kravspecifikationen til udbud-det.Gennemførelsen af kvalitetssikringsinitiativerne skal rapporteres til og godkendes af mi-nisteriet, der vil rådføre sig med relevant ekspertise, hvis ministeriet ikke selv besidderden nødvendige kompetence til reelt at kunne vurdere det, der indrapporteres.Alle initiativer vil blive underlagt særlige kvalitetskrav for at sikre, at initiativerne er gen-nemført, og at eventulle identificerede sårbarheder er blevet behørigt behandlet indenvalgets afholdelse. Som en del af projektet omkring e-valg vil ministeriet udarbejde depræcise rammer for kvalitetssikring og revision, herunder hvilke revisionserklæringerm.v. der skal forelægges ministeret i forskellige faser af projektet.Således vil kvalitetssikring af systemet være en kombination af initiativer, der varetagesaf forskellige interessenter, herunder offentlig kontrol, og ikke alene blive overladt til en-kelte private firmaer.”

Hertil kan jeg tilføje, at der konkret i forhold til revision af kildekoden vil blive stillet derelevante krav i overensstemmelse med anerkendte standarder herfor til kvalitetssik-ring af systemet, herunder krav til leverandørens udviklingsmetode og egenkontrol(egen kildekodereview, egne test af systemet, m.v.) samt uvildig tredjepartskontrol,herunder gennemførelse af funktionelle test, sikkerhedstest og revision af kildekodeog procedurer.Ud over de forudgående kvalitetskontroller, revisioner og test af system og kildekode,er der i lovforslaget også indbygget et system til efterfølgende kontrol af, at stemme-optællingen er foregået korrekt og ikke er fejlbehæftet: muligheden formanuelle kon-troloptællinger.Det er en af grundene til, at der ifølge lovforslagets bemærkninger (afsnit 4.4. samt despecielle bemærkninger til lovforslagets § 1, nr. 1, under afsnittet om forslaget til folke-tingsvalglovens§ 74 b, stk. 4, nr. 4) vil blive stillet som mindstekrav, at der fortsat skalvære en fysisk manifestation af stemmen. Denne kan enten bestå i en manuelt udfyldtpapirstemmeseddel, der blot er scannet og optalt digitalt, eller af et papirspor printet afen stemmemaskine med vælgerens tilkendegivelse af vedkommendes valg, som ef-terfølgende skal ilægges af vælgeren i en digital stemmekasse, hvor papirsporetscannes og stemmen optælles. Ved at holde fast i, at stemmen stadig skal være af-mærket på et stykke papir i en eller anden form, gives der mulighed for at gennemføreen fuldstændig eller delvis kontroloptælling af den digitale stemmeoptælling.I lovforslagets bemærkninger, afsnit 4.4., er endvidere angivet følgende om den ma-nuelle kontroloptælling:”Det forudsættes, at der vil blive stillet krav til en leverandør af et system for digitalstemmeafgivning om, at systemet skal producere en fysisk manifestation af stemmen,der skal indgå i en eventuel manuel kontroloptælling, dvs. i form af et print af stemmen

eller lignende. Grunden hertil er dels, at det skal være muligt for vælgeren at verificere,at den ikkepersonhenførebare stemme, der er gengivet på den fysiske manifestation afstemmen, er identisk med den stemme, som vælgeren har markeret ved hjælp af stem-meterminalen, dels at valgmyndighederne skal have mulighed for at foretage en manueloptælling af de afgivne stemmer både i tilfælde af, at det digitale stemmeoptællingsmo-dul bryder sammen, og til kontrolformål.”

Skulle der ved kontroloptællingen vise sig at være en uoverensstemmelse mellem detdigitalt optalte og det manuelt kontroloptalte resultat, herunder ved sammenholdelsenmed stemmeseddelregnskabet, og har denne diskrepans ikke en naturlig forklaring,der kan udelukke, at der er tale om en systemfejl, vil ministeriet naturligvis stille kravom, at systemet – herunder kildekoden – skal gennemgås efterfølgende og fejlrettes,samt at der skal foreligge dokumentation herfor, før systemet igen kan blive godkendttil anvendelse ved lovbestemte valg i Danmark.