Fra Ministerkomitéen til medlemsstaterne vedrørende juridiske, operationelle og tekniske standarder for elektronisk stemmeafgivning (e-valg)

Transkript

1 Uofficiel dansk oversættelse EUROPARÅDETS MINISTERKOMITÉ Anbefaling Rec(2004)11 Fra Ministerkomitéen til medlemsstaterne vedrørende juridiske, operationelle og tekniske standarder for elektronisk stemmeafgivning (e-valg) (Vedtaget af Ministerkomitéen den 30. september 2004 på det 898. møde for ministrenes stedfortrædere) Ministerkomitéen, i henhold til de præmisser, der er fastsat i artikel 15.b i Europarådets statut, som tager i betragtning, at Europarådets mål er at skabe større enhed mellem sine medlemmer for at beskytte og fremme idealerne og principperne, som er deres fælles arv, som bekræfter sin tro på, at repræsentativt og direkte demokrati er en del af den fælles arv og grundlaget for borgernes deltagelse i det politiske liv i det europæiske fællesskab og på nationalt, regionalt og lokalt plan, som respekterer det forpligtende ansvar og de opgaver, der følger af eksisterende internationale instrumenter og dokumenter, såsom Verdenserklæringen om menneskerettighederne; Den internationale konvention om civile og politiske rettigheder; FN s konvention om afskaffelse af alle former for racediskrimination; FN s konvention om afskaffelse af alle former for diskrimination mod kvinder; Konventionen til beskyttelse af menneskerettighederne og grundlæggende frihedsrettigheder (ETS nr. 5), herunder særligt protokol nr. 1 (ETS nr. 9); Det europæiske charter for lokalt selvstyre (ETS nr. 122); Konventionen om IT-kriminalitet (ETS nr. 185); Konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (ETS nr. 108); Ministerkomitéens anbefaling nr. R (99) 5 om beskyttelse af privatlivet på internettet; Slutdokumentet fra OSCE-konferencen om den menneskelige dimension i København; Den Europæiske Unions charter om grundlæggende rettigheder; Kodeks for god praksis i valganliggender, vedtaget af Rådet for demokratiske valg i Europarådet og Den Europæiske Kommission for demokrati ved lovgivning; som tager hensyn til, at retten til at stemme er et af de primære grundprincipper for demokrati, og at elektroniske stemmeafgivningsprocedurer derfor skal rette sig efter principperne for demokratiske valg og folkeafstemninger, som erkender, at medlemsstaterne i takt med, at ny informations- og kommunikationsteknologi i stadigt stigende omfang benyttes i det daglige liv, må tage hensyn til denne udvikling i deres demokratiske praksis, Økonomi- og Indenrigsministeriet

2 som bemærker, at deltagelse i valg og folkeafstemninger på lokalt, regionalt og nationalt plan i nogle medlemsstater er kendetegnet ved lav, og i nogle tilfælde stadig faldende, valgdeltagelse, som bemærker, at nogle medlemsstater allerede anvender, eller overvejer at anvende, elektronisk stemmeafgivning til en række formål, herunder: at sætte vælgerne i stand til at afgive deres stemme fra et andet sted end et afstemningssted i deres stemmedistrikt, at lette stemmeafgivningen for den enkelte vælger, at lette deltagelsen i valg og folkeafstemninger for alle, der har ret til at afgive en stemme, herunder særligt for statsborgere med ophold eller bopæl i udlandet, at udvide adgangen til stemmeafgivning for vælgere med funktionsnedsættelse eller som i øvrigt har vanskeligt ved at være fysisk til stede i valglokalet og benytte de anordninger, som er tilgængelige der, at øge valgdeltagelsen ved at kunne tilbyde flere stemmeafgivningskanaler, at bringe stemmeafgivningen på linje med den nye samfundsudvikling og den forøgede anvendelse af ny teknologi som middel til kommunikation og samfundsengagement i demokratisk øjemed, at reducere over tid valgmyndighedernes samlede omkostninger forbundet med gennemførelse af et valg eller en folkeafstemning, at levere valgresultater pålideligt og hurtigere, og at yde bedre service for vælgerne ved at tilbyde dem flere stemmeafgivningskanaler; som er opmærksom på visse sikkerheds- og pålidelighedsproblemer, som formentligt er uløseligt forbundne med specifikke e-valgssystemer, som derfor er bevidst om, at det alene er de e-valgsystemer, der er sikre, pålidelige, effektive, teknisk robuste, åbne for uafhængig kontrol og let tilgængelige for vælgerne, som vil skabe den tillid i befolkningen, der er en forudsætning for at anvende elektronisk stemmeafgivning, anbefaler, i henhold til bestemmelserne i artikel 15.b i Europarådets vedtægter, at regeringerne i de medlemsstater, som anvender eller overvejer at anvende elektronisk stemmeafgivning, følger paragraf i. til iii. nedenfor, jf. endvidere paragraf iv, samt standarder og krav som gælder de juridiske, operationelle og tekniske aspekter ved e-stemmeafgivning sådan som de er formuleret i bilagene til denne anbefaling: i. Elektronisk stemmeafgivning skal følge alle principper for demokratiske valg og folkeafstemninger. E-stemmeafgivning skal være lige så pålidelig og sikker som demokratiske valg, der afholdes uden brug af elektroniske hjælpemidler. Dette generelle princip omfatter alle valganliggender, uanset om de er nævnt i bilagene eller ej; ii. Ved implementering af anbefalingerne skal der tages højde for forbindelsen mellem de juridiske, operationelle og tekniske aspekter ved e-valg, sådan som de er formuleret i bilagene; iii. Medlemsstaterne bør overveje at gennemgå deres relevante nationale lovgivning i lyset af denne anbefaling; Økonomi- og Indenrigsministeriet

3 iv. Principperne og bestemmelserne i bilagene til denne anbefaling kræver imidlertid ikke, at den enkelte medlemsstat ændrer de nationale stemmeafgivningsprocedurer, som måtte gælde på tidspunktet for vedtagelsen af denne anbefaling, og som kan opretholdes af medlemsstaterne ved anvendelse af elektronisk stemmeafgivning, så længe de nationale stemmeafgivningsprocedurer er i overensstemmelse med alle principper for demokratiske valg og folkeafstemninger; v. For at give Europarådet et grundlag for mulig videre handling i forhold til e-valg inden for to år efter vedtagelsen af denne anbefaling, anbefaler Ministerkomitéen, at medlemsstaterne: iværksætter en jævnlig gennemgang af sine erfaringer med og politik for elektronisk stemmeafgivning, herunder særligt gennemførelsen af bestemmelserne i denne anbefaling, og rapporterer resultaterne af gennemgangen til Europarådets sekretariat, som vil videresende dem til medlemsstaterne og følge op på sagen om e-valg. I denne anbefaling benyttes følgende termer og definitioner: autentifikation: forsikring om korrekt angivelse af personidentitet eller dataidentitet; stemmeseddel: et lovmæssigt godkendt middel en vælger kan benytte for at give udtryk for sit valg blandt valgmulighederne; kandidat: en valgmulighed som består af en person og/eller en gruppe af personer og/eller et politisk parti; at afgive stemme: at lægge en stemmeseddel i stemmekassen; e-valg eller e-folkeafstemning: et politisk valg eller en folkeafstemning, hvor elektroniske midler benyttes på et eller flere stadier; elektronisk stemmekasse: elektronisk lagringssted for afgivne stemmer, som afventer optælling; e-stemmeafgivning: et e-valg eller en e-folkeafstemning som benytter elektroniske metoder ved stemmeafgivningen i det mindste ved selve afgivelsen af stemmen; e-stemmeafgivning uden for valglokalet: e-valg, hvor stemmeafgivningen foretages ved en indretning, som ikke er under en valgfunktionærs kontrol (fjernvalg); forsegling: informationsbeskyttelse som bevirker, at informationen ikke kan bruges eller tolkes uden hjælp af information eller metode som kun er tilgængelig for en særlig person eller myndighed; stemme: udtryk for vælgers valg; vælger: en person, som har ret til at afgive stemme ved et valg eller en folkeafstemning; stemmeafgivningskanal: måden en vælger kan afgive sin stemme på; valgmuligheder: de muligheder, en vælger kan vælge imellem, når en stemme afgives ved valg eller folkeafstemning; valgliste: liste over stemmeberettigede. Økonomi- og Indenrigsministeriet

4 Bilag I Juridiske standarder A. Principper I. Almindelig stemmeret 1. Brugergrænsefladen i et e-afstemningssystem skal være forståelig og let anvendelig for vælgeren. 2. Mulige registreringskrav for e-stemmeafgivning skal ikke skabe hindringer for en vælger som deltager i et e-valg. 3. E-afstemningssystemet skal, så vidt det er praktisk mulig, udformes, så det maksimerer de muligheder sådanne systemer kan give personer med funktionsnedsættelse. 4. Med mindre e-valgskanaler uden for valglokalet er alment tilgængelige, skal de kun tilbydes som en ekstra og valgfri stemmeafgivningskanal. II. Lige stemmeret 5. Ved ethvert valg og enhver folkeafstemning skal en vælger forhindres i at lægge mere end én stemmeseddel i den elektroniske stemmekasse. En vælger skal kun have mulighed for at stemme, hvis det er fastslået, at hans eller hendes stemmeseddel ikke allerede er lagt i stemmekassen. 6. E-stemmeafgivningssystemet skal forhindre, at en vælger kan afgive sin stemme ved mere end én stemmeafgivningskanal. 7. Alle stemmene som er lagt i en elektronisk stemmekasse skal tælles, og hver stemme afgivet ved valget eller folkeafstemningen skal kun tælles én gang. 8. Når elektroniske og ikke-elektroniske kanaler benyttes ved samme valg eller folkeafstemning, skal der findes en sikker og pålidelig metode til at samle alle stemmerne og optælle det korrekte resultat. III. Frie valg 9. Organiseringen af e-valg skal sikre, at vælgeren frit kan danne og give udtryk for sin egen mening, og, såfremt det er påkrævet, at vælgeren kan udøve sin stemmeret personligt. 10. Den måde, hvorpå vælgerne guides gennem e-stemmeafgivningsprocessen, skal forebygge, at vælgeren afgiver sin stemme forhastet eller ureflekteret. 11. Vælgerne skal have mulighed for at ombestemme sig på ethvert trin i e-stemmeafgivningsprocessen før stemmen er afgivet, eller at afbryde processen, uden at deres tidligere valg registreres eller gøres tilgængeligt for nogen anden. 12. E-stemmeafgivningssystemet skal ikke tillade, at der udøves nogen form for utilbørlig påvirkning af vælgeren under stemmeafgivningen. 13. E-stemmeafgivningssystemet skal give vælgeren mulighed for at deltage i et valg eller en folkeafstemning, uden at skulle vælge nogen af de godkendte valgmuligheder, f.eks. ved at afgive en blank stemme. Økonomi- og Indenrigsministeriet

5 14. E-stemmeafgivningssystemet skal give vælgeren en tydelig tilbagemelding, når stemmeafgivningen er vellykket og når hele stemmeafgivningsprocessen er fuldført. 15. E-stemmeafgivningssystemet skal forhindre, at en stemme kan ændres, efter at den er afgivet. IV. Hemmelig valg 16. E-valg skal organiseres på en måde, så hemmeligholdelsen af den enkeltes valg sikres på ethvert trin i stemmeafgivningsprocessen og særligt under vælgerautentificeringen. 17. E-stemmeafgivningssystemet skal garantere, at stemmene i den elektroniske stemmekasse og stemmene som optælles, er og forbliver anonyme, og at det ikke er muligt at rekonstruere nogen forbindelse mellem vælgeren og vedkommendes stemmeafgivning. 18. E-stemmeafgivningssystemet skal være udformet på en sådan måde, at det forventede antal stemmer i enhver elektronisk valgurne ikke gør det muligt at knytte resultatet til de enkelte vælgere. 19. Det skal tages forholdsregler, som sikrer, at information som er nødvendig for den elektroniske proces, ikke kan benyttes til at bryde hemmeligholdelsen af den afgivne stemme. B. Sikkerhedsprocedurer I. Åbenhed 20. Medlemsstaterne skal tage forholdsregler for at sikre, at vælgerne forstår og har tillid til det e-valgsystem, som benyttes. 21. Information om, hvordan e-valgsystemet virker, skal gøres offentligt tilgængeligt. 22. Vælgerne skal gives mulighed for at afprøve enhver ny måde at afgive deres e-stemme på før, og uafhængigt af, tidspunktet for afgivelse af en elektronisk stemme. 23. Så vidt loven tillader det, skal observatører have mulighed for at være til stede for at observere og kommentere e-valgene, herunder stemmeoptællingen. II. Kontrollerbarhed og tilregnelighed 24. Komponenterne i e-stemmeafgivningssystemet skal være frit tilgængelige, i det mindste for ansvarlige valgmyndigheder, for kontrol og certificering efter behov. 25. Før et e-stemmeafgivningssystem indføres, og ved passende intervaller efter indføring, og særskilt efter at det er foretaget forandringer i systemet, skal en uafhængig instans, udpeget af valgmyndighederne, kontrollere, at e-stemmeafgivningssystemet er i orden, og at de nødvendige forholdsregler for sikkerhed er taget. 26. Det skal være mulighed for en ny optælling. Andre forhold ved e-stemmeafgivningssystemet, som kan have indflydelse på rigtigheden af resultaterne, skal kunne kontrolleres. 27. E-stemmeafgivningssystemet skal ikke forhindre delvis eller fuldstændig gentagelse af et valg eller en folkeafstemning (omvalg). III. Pålidelighed og sikkerhed Økonomi- og Indenrigsministeriet

6 28. Medlemsstaternes myndigheder skal sørge for, at e-stemmeafgivningssystemet er pålideligt og sikkert. 29. Der skal tages alle mulige forholdsregler under hele valgprocessen, for at undgå muligheden for valgfusk eller uautoriseret adgang, som kan påvirke systemet. 30. E-stemmeafgivningssystemet skal have mekanismer, som sikrer, at tjenesten er tilgængelig under hele e-stemmeafgivningsprocessen. Det skal i særdeleshed være modstandsdygtigt mod funktionsfejl, nedbrud, og angreb som forårsager transaktionsstandsning (denial of service). 31. Før et e-valg eller en e-afstemning finder sted, skal den ansvarlige valgmyndighed sikre sig, at e-stemmeafgivningssystemet er det rigtige og fungerer, som det skal. 32. Kun personer, som er udpeget af valgmyndighederne, må have adgang til den centrale infrastruktur, servere og valgdata. Det skal være etableret klare regler for en sådan udpegning. Kritiske tekniske aktiviteter skal udføres af grupper på mindst to personer. Gruppernes sammensætning skal ændres jævnligt. Sådanne aktiviteter skal så vidt muligt gennemføres uden for afstemningsperioden. 33. Så længe en elektronisk stemmekasse er åben, skal enhver autoriseret intervention, som påvirker systemet, foretages af grupper på mindst to personer. Sådan intervention skal rapporteres og overvåges af repræsentanter fra valgmyndighederne og valgobservatører. 34. E-stemmeafgivningssystemet skal sikre stemmernes tilgængelighed og integritet. Det skal også holde stemmene hemmelige og forseglet frem til stemmeoptællingen. Hvis stemmerne er lagret eller formidlet uden for kontrollerede omgivelser, skal de krypteres. 35. Information om afgivne stemmer og vælgerinformation skal opbevares og holdes forseglet, så længe datamaterialet kan koble vælger og stemme sammen. Information i forbindelse med autentifikation skal skilles fra vælgers stemmeafgivning på et på forhånd angivet stadium i e- valget eller e-folkeafstemningen. Bilag II Operationelle standarder I. Offentliggørelse 36. Et nationalt juridisk regelværk for e-valg og e-afstemninger skal angive klare køreplaner for alle stadier i valget eller afstemningen, både før og efter valget eller afstemningen. 37. Perioden for elektronisk stemmeafgivning må ikke begynde, før et valg eller en afstemning er kundgjort. Det gælder særligt for e-stemmeafgivning uden for valglokalet, at perioden for stemmeafgivning skal defineres og offentliggøres for befolkningen i god tid før valget starter. 38. Vælgerne skal, i god tid før valget starter og på et klart og enkelt sprog, informeres om hvordan e-stemmeafgivningen er organiseret og om alle skridt en vælger må følge for at deltage og afgive sin stemme. II. Vælgere Økonomi- og Indenrigsministeriet

7 39. Det skal være en valgliste, som opdateres jævnligt. En vælger skal, som minimum, kunne kontrollere de oplysninger, der er indeholdt om vælgeren på valglisten, og anmode om rettelser. 40. Muligheden for at lagre valglisten elektronisk og indføre et system, som modtager ansøgning om optagelse på valglisten elektronisk og, hvis det er aktuelt, tager imod ansøgninger om at benytte e-stemmeafgivning, skal overvejes. Hvis deltagelsen i e-stemmeafgivning kræver en separat ansøgning fra vælgeren og/eller andre tiltag, skal elektroniske og, om muligt, interaktive procedurer overvejes. 41. Såfremt perioden for vælgerregistrering og stemmeafgivning falder delvis sammen, skal der tilrettelægges en hensigtsmæssig vælgerautentifikation. III. Kandidater 42. Det skal overvejes, om man kan indføre elektronisk anmeldelse af kandidater. 43. Kandidatlister, som genereres og gøres elektronisk tilgængelige, skal også være offentlig tilgængelige på andre måder. IV. Stemmeafgivning 44. Hvis e-stemmeafgivningen uden for valglokalet foregår i valglokalernes åbningstider, er det særligt vigtigt, at systemet er udformet på en måde, som forhindrer, at en vælger kan stemme mere end én gang. 45. E-stemmeafgivning uden for valglokalerne kan begynde og/eller slutte, før valglokalerne åbner. E-stemmeafgivning uden for valglokalerne skal ikke fortsætte, efter at valglokalerne er lukket. 46. For hver e-stemmeafgivningskanal skal det etableres støttefunktioner og vejledningsordninger som er tilgængelige for vælgerne. Ved e-stemmeafgivning uden for valglokalerne skal sådanne ordninger også være tilgængelige gennem andre vidt tilgængelige kommunikationskanaler. 47. Måden valgmulighederne præsenteres på i den platform, der anvendes til at afgive stemme, skal være upartisk. 48. En elektronisk stemmeseddel som bruges til at afgive en elektronisk stemme må ikke indeholde nogen anden information om valgmulighederne end strengt nødvendigt for at kunne afgive stemme. E-stemmeafgivningssystemet skal forhindre fremvisning af andre budskaber, som kan påvirke vælgerens afgørelse. 49. Hvis det er bestemt, at information om valgalternativer skal være tilgængelig fra netstedet for e-stemmeafgivning, skal denne information præsenteres på en upartisk måde. 50. Før der afgives stemme fra et elektronisk stemmeafgivningssystem uden for valglokalerne, skal vælgeren gøres udtrykkeligt opmærksom på, at e-valget eller e-folkeafstemningen de afgiver deres stemme til på elektronisk vis, er et virkeligt valg eller afstemning. Ved test af systemet skal deltagerne tilsvarende gøres udtrykkeligt opmærksomme på, at de ikke deltager i et rigtigt valg eller en rigtig folkeafstemning. Vælgerne skal når testen fortsætter efter, at valget har startet samtidig gives mulighed for at afgive deres stemme gennem de stemmeafgivningskanaler, som er tilgængelige til dette formål. Økonomi- og Indenrigsministeriet

8 51. Et e-stemmeafgivningssystem uden for valglokalerne må ikke give vælgeren mulighed for at få et bevis på indholdet af sin afgivne stemme. 52. Foregår stemmeafgivningen i et kontrolleret miljø, skal al information om stemmesedlen umiddelbart efter, at stemmen er afgivet, forsvinde fra den visuelle, auditive eller taktile brugergrænseflade, som vælgeren har anvendt til stemmeafgivningen. På afstemningssteder, hvor vælgeren får et papirbevis på sin e-stemme, må han/hun ikke have mulighed for at vise dette til nogen anden person, eller til at tage beviset for stemmeafgivningen med ud af stemmelokalet. V. Resultater 53. E-stemmeafgivningssystemet må ikke tillade, at antallet af afgivne stemme for nogen bestemt valgmulighed afsløres, før den elektroniske stemmekasse er lukket. Sådan information må ikke afsløres for offentligheden, før stemmeafgivningsperioden er ovre. 54. E-stemmeafgivningssystemet skal forhindre, at information om afgivne stemmer ved specielt udvalgte enheder viderebehandles på en måde, som kan afsløre enkeltvælgeres valg. 55. Enhver form for afkodning som er nødvendig for stemmeoptællingen, skal udføres så snart det er praktisk mulig efter, at stemmeafgivningsperioden er ovre. 56. Repræsentanter fra den ansvarlige valgmyndighed skal kunne deltage i stemmeoptællingen, og valgobservatører skal kunne være til stede. 57. Det skal føres protokol over optællingen af de elektronisk afgivne stemmer, med oplysninger om begyndelsen og afslutningen af optællingen, og om alle personer som er involveret heri. 58. Ved eventuelle uregelmæssigheder som påvirker de afgivne stemmesedlers integritet, skal de pågældende stemmesedler registreres som uregelmæssige. VI. Revision 59. E-stemmeafgivningssystemet skal være kontrollerbart. 60. Konklusionerne draget fra revionsprocessen skal indgå i fremtidige valg og folkeafstemninger. Bilag III Tekniske krav Udformningen af et e-stemmeafgivningssystem skal være understøttet af en omfattende gennemgang af alle mulige risikofaktorer, som er forbundet med en vellykket gennemførelse af det pågældende valg eller den pågældende folkeafstemning (risikovurdering). E- stemmeafgivningssystemet skal, på grundlag af denne risikovurdering, være tilfredsstillende beskyttet for at håndtere de risici, som er identificeret. Systemsvigt eller kvalitetsforringelse skal holdes inden for forhåndsdefinerede grænser. A. Tilgængelighed Økonomi- og Indenrigsministeriet

9 61. Der skal tages forholdsregler som sikrer, at det relevante software og tjenester kan anvendes af alle vælgere og, om nødvendig, at der gives adgang til alternative måder at stemme på. 62. Brugere skal inddrages i udformningen af e-stemmeafgivningssystemer, særligt med henblik på at identificere begrænsninger og teste brugervenligheden på de væsentligste trin i udviklingsprocessen. 63. Når det er nødvendigt og muligt, skal brugerne have adgang til yderligere hjælpemidler, som for eksempel specielle brugergrænseflader eller andre tilsvarende ressourcer, som for eksempel personlig assistance. Brugervenlige hjælpemidler skal i så høj grad som muligt overholde retningslinjerne i Web Accessibility Initiative (WAI). 64. Ved udvikling af nye produkter skal der tages hensyn til kompatibiliteten med eksisterende produkter, heriblandt produkter der anvender teknologi udviklet til at hjælpe funktionshæmmede. 65. Præsentationen af valgmulighederne skal være optimeret til vælgeren. B. Samspil mellem tekniske løsninger 66. Åbne standarder skal benyttes for at sikre, at de forskellige tekniske komponenter eller tjenester i et e-stemmeafgivningssystem, muligvis fra forskellige kilder, fungerer sammen. 67. I øjeblikket er EML (Election Markup Language) en sådan åben standard, og for at garantere sammenspil mellem tekniske løsninger skal EML benyttes i e-valg og e-afstemningsapplikationer i videst muligt omfang. Tidspunktet for indføring af EML er op til medlemsstaterne selv. Den EML-standard (med støttedokumentation), som gælder ved denne anbefalings vedtagelse, er tilgængelig på Europarådets webside. 68. Ved tilfælde som kræver specielle valgdata eller afstemningsdata, skal der anvendes en lokaliseringsprocedure, som imødekommer sådanne behov. Det vil gøre det muligt at udvide eller begrænse informationstilgangen samtidig med, at den forbliver kompatibel med den oprindelige version af EML. Den anbefalede procedure er anvendelsen af strukturelle skemasprog (structured schema languages) og mønstersprog (pattern languages). C. Systemdrift (for den centrale infrastruktur og klienter i kontrollerede omgivelser) 69. De ansvarlige valgmyndigheder skal offentliggøre en officiel liste over den software, som anvendes i et e-valg eller en e-afstemning. Medlemsstaterne kan af sikkerhedsmæssige grunde undtage den software, som benyttes til databeskyttelse, fra listen. Som et minimum skal listen indeholde oplysninger om den software, der benyttes, versionerne, installationsdato og en kort beskrivelse. Der skal etableres en procedure for jævnlig installation af opdaterede versioner og korrektioner af relevant software for databeskyttelse. Det skal til enhver tid være muligt at kontrollere stemmeafgivningssystemets beskyttelsesstatus. 70. De systemansvarlige skal udforme en procedure for uforudsete hændelser. Backupsystemerne skal overholde samme standarder og krav som det originale system. 71. Tilstrækkelige backup-rutiner skal være på plads og tilgængelige til enhver tid for at sikre, at valghandlingen forløber problemfrit. De ansatte, som er involveret i driften, skal være parate til at gribe hurtigt ind i overensstemmelse med de procedurer, der er udformet af de ansvarlige valgmyndigheder. Økonomi- og Indenrigsministeriet

10 72. De udstyrsansvarlige skal anvende særlige procedurer for at sikre, at stemmeafgivningsudstyret og dets anvendelse lever op til kravene under hele stemmeafgivningsperioden. Backup-tjenestene skal jævnligt forsynes med overvågningsprotokoller. 73. Før hvert valg eller folkeafstemning skal udstyret kontrolleres og godkendes i henhold til en protokol formuleret af de ansvarlige valgmyndigheder. Udstyret skal kontrolleres for at sikre, at det er i overensstemmelse med de tekniske specifikationer. Resultaterne heraf skal videresendes til de ansvarlige valgmyndigheder. 74. Alle tekniske operationer skal underkastes en formel kontrolprocedure. Større forandringer på centralt udstyr skal varsles. 75. Centralt udstyr til e-valg eller e-afstemninger skal placeres på et sikkert område, der skal overvåges under hele valget eller afstemningen, for at sikre udstyret mod enhver form for forstyrrelse. Under hele valget eller afstemningen skal der foreligge en redningsplan for fysiske katastrofer. Endvidere skal alle bevarede data efter valget eller folkeafstemningen lagres på en sikker måde. 76. Ved eventuelle episoder som kan true systemets integritet, skal de systemansvarlige straks informere de ansvarlige valgmyndigheder, som vil tage de nødvendige skridt for at reducere eventuelle skader. Valgmyndighederne skal på forhånd specificere den grad af mulig skade, som er meldepligtig. D. Sikkerhed I. Generelle krav (med reference til stadierne før, under og efter afstemningen) 77. Der skal tages tekniske og organisatoriske forholdsregler for at sikre, at ingen data går uigenkaldeligt tabt i tilfælde af sammenbrud eller fejl, som påvirker e-stemmeafgivningssystemet. 78. E-stemmeafgivningssystemet skal beskytte individers privatliv. Fortroligheden af valglister, der er lagret eller formidlet i e-stemmeafgivningssystemet, skal opretholdes. 79. E-stemmeafgivningssystemet skal udføre regelmæssige kontroller for at sikre, at dets delelementer fungerer i henhold til dets tekniske specifikationer, og at dets tjenester er tilgængelige. 80. E-stemmeafgivningssystemet skal begrænse adgangen til dets tjenester, afhængigt af brugeridentiteten eller brugerrollen, til de tjenester, som er specifikt tildelt den pågældende bruger eller rolle. Brugerautentifikationen skal være gennemført, før enhver handling kan udføres. 81. E-stemmeafgivningssystemet skal beskytte autentifikationsdata på en måde, så ikkeautoriserede instanser ikke kan misbruge, få adgang til, forandre eller på anden måde få kendskab til alle eller dele af disse data. I ukontrollerede miljøer anbefales autentifikation baseret på kryptografiske mekanismer. 82. Det skal sikres, at vælgere og kandidater kan identificeres på en måde, som bevirker, at den enkelte vælger eller kandidat kan skelnes fra andre personer (unik identifikation). Økonomi- og Indenrigsministeriet

11 83. E-stemmeafgivningssystemet skal generere observationsdata, der er pålidelige og tilstrækkeligt detaljerede til, at valgobservatører kan udføre deres opgaver. Tidspunkterne for generering af observationsdata skal til enhver tid kunne kontrolleres på en sikker måde. Dataenes autenticitet, tilgængelighed og integritet skal opretholdes. 84. E-stemmeafgivningssystemet skal have pålidelige synkroniserede tidsmålere (ure). Tidsmålerne skal være præcise nok til at fastholde tidsangivelser for revisionsspor (log) og observationsdata, samt til at opretholde tidsfristerne for registrering, nominering, stemmeafgivning og stemmeoptælling. 85. Valgmyndighederne har det overordnede ansvar for, at systemet er i overensstemmelse med disse sikkerhedskrav, som skal vurderes af uafhængige instanser. II. Krav som gælder, før stemmeafgivningen starter (og krav til data som videresendes til selve afstemningen) 86. Valglistens og kandidatlistens autenticitet, tilgængelighed og integritet skal bevares. Datakilden skal autentificeres. Forskrifter vedrørende databeskyttelse skal respekteres. 87. Det skal være muligt at fastslå, at kandidatanmeldelsen og, hvis det er påkrævet, kandidatens accept af nomineringen og/eller den ansvarlige valgmyndigheds bekendtgørelse af kandidatlisterne, har fundet sted inden for den fastsatte tidsfrist. 88. Det skal kunne fastslås, at vælgerregistreringen har fundet sted inden for den fastsatte tidsfrist. III. Krav som gælder under selve stemmeafgivningen (og krav til data som videresendes i tidsrummet efter afstemningen er gennemført) 89. Integriteten af data, som er indkommet fra perioden før afstemningen starter (for eksempel valglisten og kandidatlister), skal bevares. Der skal gennemføres en autentifikation af datakilden. 90. Det skal sikres, at e-stemmeafgivningssystemet præsenterer vælgeren for en autentisk stemmeseddel. Ved e-stemmeafgivning uden for valglokalet (fjernvalg) skal vælgeren oplyses om, hvordan det kan fastslås, at der er etableret en forbindelse til den officielle server, og at vælgeren står over for en autentisk stemmeseddel. 91. Det skal kunne fastslås, at en stemme er afgivet inden for den fastsatte tidsfrist. 92. Der skal indføres tilstrækkelige metoder til at sikre, at de systemer, der anvendes af vælgeren til at stemme kan beskyttes mod ydre påvirkning, som kan ændre stemmeafgivningen. 93. Resterende information om vælgerens stemme eller skærmvisning af vælgerens valg skal destrueres efter, at stemmen er afgivet. Ved e-stemmeafgivning uden for valglokalet, skal vælgeren oplyses om, hvordan spor af stemmeafgivningen kan slettes i den anordning, der er benyttet til stemmeafgivningen. 94. E-stemmeafgivningssystemet skal først sikre, at en bruger som prøver at afgive sin stemme, er stemmeberettiget. Systemet skal autentificere vælgeren og sikre, at det rigtige antal stemmer, og kun det, afgives af den enkelte vælger og lagres i den elektroniske stemmekasse. Økonomi- og Indenrigsministeriet

12 95. E-stemmeafgivningssystemet skal sikre, at vælgerens valg er korrekt repræsenteret i den afgivne stemme, og at en forseglet stemme er indeholdt i den elektroniske stemmekasse. 96. Efter at den elektroniske stemmeafgivningsperioden er ovre, skal ingen vælger have mulighed for at få adgang til e-stemmeafgivningssystemet. Muligheden for at registrere e- stemmer må imidlertid være åben i en periode, som er tilstrækkelig lang til at tage hensyn til eventuelle forsinkelser i selve transaktionen. IV. Krav som gælder efter, at stemmeafgivningen er afsluttet 97. Integriteten til data som er indkommet fra selve stemmeafgivningsperioden (for eksempel stemmer, vagliste, kandidatlister) skal opretholdes. Datakilden skal autentificeres. 98. Optællingen skal tælle stemmene nøjagtigt. Stemmeoptællingen skal kunne omgøres. 99. Stemmekassens tilgængelighed og integritet samt resultatet af stemmeoptællingen skal opretholdes i e-stemmeafgivningssystemet så længe det er påkrævet. E. Kontrol I. Generelt 100. Kontrolsystemet skal udformes og implementeres som en del af e- stemmeafgivningssystemet. Det skal være kontrolindretninger på forskellige niveauer i systemet: på det logiske niveau, det tekniske niveau og på applikationen Punkt-til-punkt-kontrollen af e-stemmeafgivningssystemet skal omfatte log, hjælpeprogram for overvågning og hjælpeprogram for verificering. Kontrolsystemer som tilfredsstiller egenskaberne i II -V nedenfor skal derfor benyttes for at imødekomme disse krav. II. Logging 102. Kontrolsystemet skal være åbent og omfattende, og rapportere løbende om potentielle problemområder og farer Kontrolsystemet skal registrere tider, hændelser og handlinger, som indbefatter: a. al stemmeafgivningsrelateret information, herunder antallet af stemmeberettigede, antallet af afgivne stemmer, antallet af ugyldige stemmer, optælling og fornyet optælling, osv., b. alle angreb på den operationelle del af e-stemmeafgivningssystemet og på datakommunikationens infrastruktur, c. systemfejl, funktionsfejl og andre trusler mod systemet. III. Overvågning 104. Kontrolsystemet skal give mulighed for at overvåge valget eller afstemningen og verificere, at resultaterne og procedurerne er i henhold til gældende juridiske bestemmelser Uautoriserede personer skal ikke have adgang til kontrolinformation Kontrolsystemet skal sikre, at vælgerne til enhver tid forbliver anonyme. IV. Verificering Økonomi- og Indenrigsministeriet

13 107. Kontrolsystemet skal give mulighed for at krydstjekke og verificere, at e- stemmeafgivningssystemets operationer er korrekte og resultaterne er nøjagtige, til at afdække valgfusk og til at bevise, at alle optalte stemmer er autentiske, og at alle afgivne stemmer er optalt Kontrolsystemet skal give mulighed for at verificere, at e-valget eller e-afstemningen har taget gældende juridiske bestemmelser til følge, hvis formål er at verificere, at resultatet udgør nøjagtigt de autentiske stemmer. V. Andet 109. Kontrolsystemet skal beskyttes mod angreb, der kan korrumpere eller forandre loggen eller medføre, at loggen går tabt Medlemsstaterne skal tage tilstrækkelige forholdsregler for at sikre, at al information som en udøvende kontrolperson modtaget, forbliver fortrolig. F. Certificering 111. Medlemsstaterne skal indføre certificeringsprocesser, som tillader, at alle IKTkomponenter (Information og Kommunikations-Teknologi) kan testes og certificeres i henhold til de tekniske krav, som er beskrevet i denne anbefaling For at styrke det internationale samarbejde og undgå dobbeltarbejde, skal medlemsstaterne vurdere, om deres respektive institutioner, hvis de ikke allerede har gjort det, skal slutte sig til relevante internationale organisationer, som indgår aftaler om gensidig anerkendelse, som for eksempel organisationen EA (European Cooperation for Accreditation), IAF (International Accreditation Forum) og andre instanser af lignende art. Økonomi- og Indenrigsministeriet