> Retouradres: Postbus 20901, 2500 EX Den Haag
De voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 4 2513 AA DEN HAAG
Plesmanweg 1-6 2597 JG Den Haag Postbus 20901 2500 EX Den Haag T 070 351 61 71 F 070 351 78 95 Contactpersoon T Ons kenmerk VenW/DGW-2010/253 Uw kenmerk
Datum 18 maart 2010 Onderwerp Rapport waterschapsverkiezingen 2008
Bijlage(n) 2
Geachte voorzitter, Tijdens het Algemeen Overleg van 1 december j l . over de effecten van de Wet Modernisering Waterschapsbestel heb ik toegezegd uw Kamer nader te informeren over het openen van een kluis tijdens de waterschapsverkiezingen 2008. Op mijn verzoek heeft de Unie van Waterschappen mij een rapport toegestuurd over de exacte gang van zaken. In de bijlage treft u dit rapport aan, evenals de begeleidende brief van het bestuur van de Unie van Waterschappen. Het rapport van Ernst & Young geeft aan dat feitelijk gezien niet valt uit te sluiten dat het stemgeheim geschonden is. Tevens wordt aangegeven dat het risico hierop zeer beperkt is. Alleen bij samenspanning van meerdere van de bij het openen en sluiten van de kluis aanwezige personen, zou het stemgeheim in gevaar kunnen zijn geweest. De Unie van Waterschappen acht de kans hierop nagenoeg nihil. De Unie neemt de aanbeveling van Ernst & Young om na een calamiteit standaard een audit uit te voeren over. Alles overziend acht ik het niet nodig een nader onderzoek in te stellen. Los daarvan ben ik van mening dat de verkiezingen niet meer mogen verlopen zoals in 2008. Daarom zijn verbeteracties opgestart. Zo introduceer ik het envelop-inenvelop-stemmen als stemmethode voor de fusieverkiezingen in Zeeland. Hoogachtend, DE MINISTER VAN VERKEER EN WATERSTAAT,
ir. Camiel Eurlings
Pagina 1 van 1
i
UNIL VAN WATCRSCHAPPCN
ly^ly., ?0.' :!:'J.S iW-^
Staatssecretaris van Verkeer en Waterstaat Mevrouw J.C. Huizinga-Heringa Postbus 20901 2500 EX DEN HAAG
datum
ona kenmeric
um iidgp ersoon
21 januari 2010
52813/EV
mw. S.E. Timmer
bijlage(n)
uw kenmerk
a-mail
6
VenW/DGW-2009/1523
[email protected]
betreft
dooikiësnummer
Audit stemverwerking waterschapsverkiezingen 2008
070 351 97 34
Geachte mevrouw Huizinga, Op 4 december 2009 heeft u ons per brief verzocht te reageren op enkele uitspraken van van de stichting 'Wij vertrouwen stemcomputers niet' in verschillende publicaties. Deze uitspraken hadden betrekking op het openen van een kluis waarin zich de systemen voor het tellen van de stemmen van de waterschapsverkiezingen 2008 bevonden. Volgens de stichting zou het stemgeheim in gevaar zijn geweest, zou het protocol niet gevolgd zijn en zouden beloften, gedaan tijdens een eerdere rechtszaak over dit ondenverp, niet zijn nagekomen. In deze brief reageren wij op de uitspraken van de stichting 'Wij veitrouwen stemcomputers niet'. In opdracht van de Unie van Waterschappen heeft Ernst & Young de afgelopen weken een audit naar de stemverwerking van waterschapsverkiezingen 2008 uitgevoerd. De rapportage van deze audit treft u als bijlage bij deze brief, tezamen met enkele andere bijlagen die ter ondersteuning en verduidelijking van deze rapportage zijn toegevoegd. De waterschapsverkiezingen 2008 hebben in een zeer recent verleden plaatsgevonden. Toch is het bijzonder lastig om de feitelijke historie volledig te reproduceren. Conform artikel 2.94 van het Waterschapsbesluit zijn immers alle stembiljetten en gegevensbestanden van de Waterschapsverkiezingen 2008 vernietigd. Medewerkers van Ernst & Young hebben , op basis van nog beschikbare documenten en interviews met betrokkenen, zo goed mogelijk een reconstructie gemaakt van de situatie, zoals zich deze voordeed op 27 en 28 november 2008, en de handelingen die zijn gepleegd. Waterschapsverkiezingen 2008 De waterschapsverkiezingen 2008 vonden plaats van 13 tot 25 november 2008. Uniek aan deze verkiezingen was dat deze voor het eerst conform een lijstenstelsel werden georganiseerd. Daarbij hebben de waterschappen voor het eerst de organisatie van de verkiezingen gezamenlijk aangepakt. Oorspronkelijk zouden kiezers bij het uitbrengen van hun stem kunnen kiezen uit
S
Pagina 2 van 3
intemetstemmen of briefstemmen. Kort voor de verkiezingen is echter de steun voor het internetstemmen ingetrokken. Uitsluitend het stemmen per brief bleef over. ledere kiezer kreeg, in de weken voorafgaand aan de verkiezingen, een stempakket met een stembiljet thuisbezorgd. Om te voorkomen dat kiezers hun stem niet konden uitbrengen, omdat bijvoorbeeld het stempakket verkeerd was bezorgd, bestond de mogelijkheid voor het verzenden van 'vervangende' stempakketten. In het systeem van stemverwerking was veel aandacht besteed aan de veiligheid van de registratie van uitgebrachte stemmen, zodat kiezers niet meerdere malen hun stem konden uitbrengen. Tevens is van te voren een, notarieel vastgelegd, veiligheidsprotocol opgesteld en zijn testen uitgevoerd. Storinq op 27 november 2008 De machines waarop het systeem van stemverwerking was gehuisvest, waren ondergebracht in een verzegelde kluis. Op 27 november 2008 deed zich een storing voor in de venwerking van de vervangende stempakketten. De stemverwerking liep hierdoor vast Om de storing op te kunnen lossen is de genoemde kluis, onder toezicht van beveiligingsdienst Securitas, geopend. Het proces-verbaal (notarieel opgesteld op 10 oktober 2008) dat deze handeling beschrijft, treft u in de bijlagen aan. Zowel diezelfde dag, als op 28 november, hebben enkele werkzaamheden plaatsgevonden om de storing op te lossen. Voor de exacte details over de beveiliging en de verschillende veiligheidsprocedures die gedurende deze werkzaamheden in acht zijn genomen, verwijzen wij u naar de rapportage van Emst & Young. Waarborg stemgeheim Op 30 november 2009 is op de website www.webwereld.nl een artikel gepubliceerd, getiteld 'Softwarecrash bij waterschapsverkiezingen'. In het artikel wordt de hierboven beschreven situatie door de auteur omschreven als een moment waarop het stemgeheim is gevaar zou zijn geweest. Concreet betekent de waarborging van het stemgeheim dat het onmogelijk moet zijn om een verband te leggen tussen de identiteit van de persoon die de stem uitbrengt en de inhoud van de uitgebrachte stem. Het systeem dat is gebnjikt bij de stemverwerking bevat een veelvoud aan waarborgen om te voorkomen dat het stemgevaar in gevaar zou kunnen komen. De mogelijke scenario's waarbij dit zou kunnen gebeuren, zou een samenspanning vereisen van bijna alle bij de verwerking en beveiliging betrokken organisaties. In de rapportage van Emst & Young treft u deze verschillende scenario's aan. Op basis van de uitgevoerde rapportage komt Emst & Young tot de conclusie dat de mogelijkheid tot schending van het stemgeheim zich beperkt, en uitsluitend in geval van samenspanning tussen de betrokken organisaties, tijdens bovengenoemde werkzaamheden heeft voorgedaan. Daarbij heeft Emst & Young geconcludeerd dat te allen tijde conform het vastgelegde veiligheidsprotocol is gewerkt De Unie van Waterschappen deelt de conclusie van Emst & Young. De uitslag van de waterschapsverkiezingen is geaccepteerd door de stembureaus van de 26 waterschappen. Als bijlagen bij het proces-verbaal van de 26 verkiezingsuitslagen is zowel een logboek van de handelingen die op 27 en 28 november zijn uitgevoerd, als het auditrapport van Collis. toegevoegd. De genoemde bijlagen zijn op 2 december naar de waterschappen verzonden, met het verzoek om deze bijlagen te voegen bij het proces-verbaal van de stembureaus. Deze stukken waren ten tijde van de uitslag openbaar en met het proces-verbaal van de stembureaus ter inzage beschikbaar. Er zijn op dit onderdeel geen bezwaren binnengekomen bij de waterschappen. De termijnen voor inspraak zijn verstreken en de uitslag van de waterschapsverkiezingen 2008 is inmiddels onherroepelijk vastgesteld.
•£3
Pagina 3 van 3
Conclusie De Unie van Waterschappen is van mening dat de Waterschapsverkiezingen 2008 rechtmatig zijn verlopen. Wij delen de mening van Emst & Young dat het stemgeheim maar beperkt in gevaar is gebracht en dat schending van het stemgeheim uitsluitend mogelijk zou zijn in geval van samenspanning van de betrokken organisaties. De Unie van waterschappen acht de kans hierop nagenoeg nihil. Derhalve zijn wij van mening dat er geen sprake is geweest van schending van het stemgeheim. Ook delen wij de conclusie dat te allen tijde conform het vastgestelde veiligheidsprotocol is gewerkt. Om te voorkomen dat in geval van een toekomstig incident zich wederom ruis voordoet over de exacte handelingen die zijn gepleegd, heeft Emst & Young een aanbeveling ten aanzien van het verkiezingsproces in hun rapportage opgenomen. Deze aanbeveling behelst dat, volgend op een calamiteit bij een verkiezingsproces, altijd een audit moet worden uitgevoerd voordat de stembiljetten en gegevensbestanden zijn vernietigd. De Unie van Waterschappen neemt deze aanbeveling over.
Hoogachtend,
ing. H. Kraaij Directeur
Bijlage 1
.^•[•y^yiy.'y
• 'M:my^::" " r t - ; . - • ' • .
" ' • ' '
"
i •
f1 II'
II'
ij
Unie van Waterschappen Rapportage Audit stemverwerking waterschapsverkiezingen 2008
Ël ERNST &YOUNG Quality In Everything We Do
,-„*<•
lllill"1
(
m
ill"""
ËIERNST&YOUNG
'S-
i-.
c. c c c. f'
K.
c
&
Inhoudsopgave 1 1.1 1.2
Doelstelling en reikwijdte Doelstelling Reikwijdte
2
Aanpak
3
Beperking gebruik rapportage
4
Managementsamenvatting
5 5.1 5.2 5.3
Stemverwerkings proces - opzet Briefstemmen Technische werking Helpdeskfunctie
6 6 6 8
6 6.1 6.2
Uitgevoerde handelingen op 27 en 28 november 2008 27 november 26 november
8 8 9
7 7.1 7.2 7.3
Functioneren maatregelen waarborging stemgeheim Initialisatie RIPOCS Aanmaken van printbestanden Vemietigen printbestanden
7.4
Stemverwerking
8
Risicoanalyse doorbreking stemgeheim
3 3 3
•
9 2s ss x.'
9 10 10 10 10 10
Bijlagen 1
Geraadpleegde documentatie
Totaal aantal pagina's in dit rapport: 15
„V»-
II
c
11111"
'
sü ERNST &YOUNC
(ii
E m i t * Young AdvUory Euclideslaan 1
3584 BL. UTRECHT Posttius 3053 3502 CB. UTRECHT Tel.: +31 (0)88 40 71000 Fax: +31 (0)88 40 73 090 www.ey.nl
Unie van Waterschappen T.a.v. de heer. E. Kraaij Koningskade 40 2596 AA DEN HAAG
Utrecht. 19 januari 2010
Betreft:
jz/jb/60814319/stsl0.692
Audit stemverwerking waterschapsverkiezingen 2008
Geachte heer Kraaij, Tijdens de waterschapsverkiezingen van 2008 zijn de computers die gebruikt worden voor het verwerken van de stemmen vastgelopen. Voor het verhelpen van dit incident is op 27 en 28 november 2008 de kluis waarin de RIPOCS servers stonden open geweest en is de RIPOCS applicatie op een server buiten de kluis geïnstalleerd ter verwerking van de vervangende stempakketten. De RIPOCS applicatie is onder andere verantwoordelijk voor het versleutelen van de stemgegevens. U heeft ons gevraagd een onderzoek uit te voeren naar de gang van zaken op 27 en 28 november 2008 met betrekking tot het stemgeheim. Van 11 december 2009 tot 14 december 2009 hebben wij een screening uitgevoerd. Naar aanleiding van deze eerste screening hebben wij conform afspraak van maandag 14 december 2009 tot en met woensdag 13 januari 2010 een vervolgonderzoek uitgevoerd. In onderhavig rapport treft u onze bevindingen aan. Dit rapport is op 1 januari 2010 in eerste concept en op 18 januari 2010 in tweede concept afgestemd met meest betrokkenen vanuit de Unie van Waterschappen en Het Waterschapshuis. Vertrouwende erop u hiermee van dienst te zijn geweest, zijn wij uiteraard desgewenst graag bereid een nadere toelichting te geven.
Hoogachtend, Ernst & Young Advisory
Drs. L.H.M. Verstegen RE Senior Manager IT Risk and Assurance
Irttl-iWAKA.M. O t t e n RE Partner IT Risk and Assurance
«iHgdnEngdiml in MHet n Mn Erm 1 Vounq «ccountintl LIP. d l il ttn ürmttd liaüKr pvtn Ermt 1 vowig AMsory s ttn nandM mil ngjüratlcfummcr 0CUS594 t l t«Uli. tot Enst 1 rounj Adnsory « v a M (wra Mrtntr gnruU nor «t« (•trtegtftaMrCJg» «an tm) rtnrom.inEmjIJVoi^AccounttmjtU' Eriutt Vom» AcaiimtjritjlL?i««t«ut»rot»«tl»o»Un«ittliP«IK»Bo^l.London5tl TEU, virtnlQO KcrnmnH. u t l ; Mir mamtaittag Mn BoamptH JSS 3011 a amtnlm. N f d M n l rn ii gntgHtmnl M dt « m r Mn Ktngnandet Biilttrdair ondir n u w w J M U M r . o» v a t «tf uaamirttn (tn «leanana «enaanw* «a* toaBasmg. «aam aan MDanaig «an oa auivraMiivtlO M taganoRian. Oui «ganant «ooraurOin nyi grtigonetid Ui ót «amar «an KooptianOK Rottirain an lün in u san op MM.av.nl.
G; in""'
süERNST&YOUNG
c
c
1
Doelstelling en reikwijdte
1.1
Doelstelling
In de wet- en regelgeving rondom de stemverwerking is opgenomen dat het geheime karakter van de stemming tijdens de verkiezingen voldoende gewaarborgd moet zijn. De doelstelling van ons onderzoek was vast te stellen of tijdens de stemverwerking van de waterschapsverkiezingen in 2008 als gevolg van de gang van zaken op 27 en 28 november 2008 het stemgeheim doorbroken heeft kunnen worden. 1.2 Reikwijdte Wij hebben ons in het bijzonder gericht op de handelingen die zijn uitgevoerd op 27 en 28 november 2008. Wij merken op dat onze werkzaamheden niet zijn uitgevoerd overeenkomstig algemeen aanvaarde controle-, beoordelings- dan wel overige assurance-normen in Nederland, derhalve hebben wij geen assurance rapport opgesteld. Een algehele beoordeling van de gebruikte applicaties op Juistheid en betrouwbaarheid maakte geen onderdeel uit van dit onderzoek. Het beoordelen van de betrouwbaarheid van de uitslag van de waterschapsverkiezingen in 2008 viel eveneens buiten de reikwijdte van dit onderzoek.
2
Aanpak
In het kader van onze werkzaamheden hebben wij de beschikbaar gestelde documentatie over de applicatie RIPOCS en de gang van zaken op 27 en 28 november 2008 beoordeeld. Wij verwijzen graag naar bijlage 1 voor een overzicht van de door ons geraadpleegde documentatie. Aanvullend daarop hebben wij gesproken met de volgende personen: | dhr. J . Gunter dhr. P.G. Maclalne Pont
i
Unie vah Waterschappen i MullPon
dhr. S. Bouwman
Het Waterschapshuis
dhr. M. Rijkschroeff
dhr. J.L.M, van Bohemen
Hoogheemraadschap van Schieland en de Ktlmoenerwaard Collis
dhr. H.J. van Dam
Collis
Projectleider waterschapsverkiezingen 2008 Via Het Waterschapshuis betrokken als Architect RIES Verantwoordelijk projectleider vanuit Het Waterschapshuis Via Het Waterschapshuis betrokken als functioneel beheerder en projectleider RIES Op verzoek van Het Waterschapshuis aanwezig voor hef schouwen van de initialisatie RfPOCS en bij het openen kluis op 27 en 28 november Accountmanager vanuit Collis voor Het Waterschapshuis
1
|
Op maandag 4 januari 2010 hebben wij op locatie bij Het Waterschapshuis gesproken met de heren Maclaine Pont. Bouwman en Rijkschroeff om meer inzicht te krijgen in de technische details van het stemverwerkingsproces en de gang van zaken rondom het openen van de kluis op 27 en 28 november 2008.
stslO.692
ilin""1'" _
(
sü ERNST &YOUNG r Op dinsdag 5 januari 2010 hebben wij kort telefonisch overleg gehad met de heer Gunter over de procedurele gang van zaken in het stemverwerkingsproces. Naar aanleiding van dit gesprek hebben wij op donderdag 7 januari 2010 op locatie bij de Unie van Waterschappen negen vernietigingsrapporten van PricewaterhouseCoopers ingezien.
m m ki
»
Op donderdag 7 januari 2010 hebben wij eveneens een gesprek gehad met de heer Van Bohemen en de heer Van Dam op locatie bij Collis teneinde meer inzicht te krijgen in de rol van Collis en een review uit te voeren op eventueel beschikbare evidence. Naast het rapport van Collis 'Audit RIPOCS' [3] bleek bij Collis geen verdere verslaglegging voorhanden te zijn.
3
Beperking gebruik rapportage
Deze rapportage is alleen bestemd voor de Unie van Waterschappen en deze rapportage of onderdelen of samenvattingen daarvan mogen niet mondeling of schriftelijk aan derden beschikbaar worden gesteld zonder onze voorafgaande schriftelijke toestemming. Voorzover het de Unie van Waterschappen is toegestaan rapporten aan derden beschikbaar te stellen, zal het rapport origineel, volledig en ongewijzigd beschikbaar worden gesteld. Indien u dit product van onze werkzaamheden aan derden ter beschikking stelt, dient u hen erop te wijzen dat zij daar zonder onze uitdrukkelijke voorafgaande schriftelijke toestemming geen rechten aan kunnen ontlenen. Het verstrekken van deze toestemming kan omgeven zijn met nadere voorwaarden. I De Unie van Waterschappen mag onder de bovenstaande voorwaarden het rapport j verstrekken aan de staatssecretaris van Verkeer en Waterstaat. Het Waterschapshuis, de I Waterschappen en de vaste tweede kamer commissie voor Verkeer en Waterstaat. Gezien het aantal personen en instanties dat een kopie van het rapport ontvangt willen we hier nogmaals de vetrouwelijkheid van dit rapport benadrukken. Deze personen mogen dus niet zonder uitdrukkelijke schriftelijke voorafgaande toestemming het rapport verstrekken aan derden. Eventueel kan de Unie van Waterschappen overwegen té werken met genummerde exemplaren of andere maatregelen hiertoe treffen. Bij de uitvoering van onze opdracht hebben wij gebruik gemaakt van informatie die is verstrekt door medewerkers van de Unie van Waterschappen en door betrokkenen onder verantwoordelijkheid van Het Waterschapshuis (zie hoofdstuk 2). Wij zijn afhankelijk van deze personen ten aanzien van de juistheid en volledigheid van de verstrekte informatie. Wij kunnen geen verantwoordelijkheid aanvaarden voor wijzigingen in de door ons gehanteerde feiten en omstandigheden na de datum waarop wij de desbetreffende werkzaamheden hebben afgerond.
stslO.692
,,.*$&*-
. ~a:'f''
|j||||ll!" ,
lil""
SÜERNST&YOUNG
Ull
lil
4
Managementsamenvatting
De werkwijze van RIPOCS en de handelingen op 27 en 28 november 2008 zijn aan ons mondeling toegelicht door de betrokken personen vanuit de Unie van Waterschappen en Het Waterschapshuis. De toelichting wordt slechts gedeeltelijk ondersteund door documentatie, mede doordat, conform de geldende wet- en regelgeving, de gebruikte servers, stemmen en een gedeelte van de documentatie is vernietigd, drie maanden nadat over de toelating van de benoemden onherroepelijk is beslist..
15
B
Op basis van de ons meegedeelde informatie omtrent de afhandeling van de incidenten op 27 en 28 november 2008 en gezien de wijze waarop het stemverwerkingsproces is ingericht zijn wij van mening, dat het risico beperkt is dat het stemgeheim is doorbroken op 27 en 28 november 2008. Voor het doorbreken van het stemgeheim op 27 en 28 november 2008 waren namelijk combinaties van geqevens en personen noodzakeliik. Zoals hierboven vermeld is niet alle documentatie en bewijslast meer aanweziq. aangezien deze conform de geldende wet- en regelgeving deels is vernietigd, en derhalve kan niet worden vastgesteld dat deze theoretische combinaties zich niet hebben voorgedaan. Het ls derhalve op dit moment niet meer mogelijk om vast te stellen dat het stemgeheim niet doorbroken Is geweest. Naar aanleiding van de gebeurtenissen rondom de waterschapsverkiezingen in 2008 adviseren wij in de calamiteitenplannen voor de waterschapsverkiezingen niet aileen rekening te houden met de calamiteit zelf, maar ook met de vraag hoe achteraf vastgesteld kan worden dat Juist gehandeld is. Wij qeven ln overweging een onafhankelijke toezichthouder zowel tijdens de calamiteit als achteraf vast te laten stellen dat de verkiezingen juist en vertrouwelijk zijn verlopen. Dit kan bijvoorbeeld worden gerealiseerd door direct na de verkiezingen een audit uit te laten voeren en gedurende de calamiteiten een audit met onderliggend dossier uit te voeren. Op dit moment is op Europees en Nederlands niveau geen toetsingskader beschikbaar rondom de waarborging van het stemgeheim tijdens verkiezingen. Daarom is ervoor gekozen diverse partijen onderzoek te laten doen naar de gebruikte software, technische en procedurele maatregelen. Zo is de tijdens de verkiezingen gebruikte software is door Collis onderworpen aan een code-review met betrekking tot security. Om in de toekomst meer zekerheid te verkrijgen over de geTmplementeerdeset van maatregelenraden wij aan de voor de verkiezingen de daadwerkelijk geïmplementeerde software te laten certificeren. In hierna volgende hoofdstukken is in meer detail uitgeschreven wat de opzet van het stemproces is (5), welke handelingen hebben plaatsgevonden op 27 en 28 november 2008 (6>, hoe de maatregelen rondom het waarborgen van het stemgeheim gefunctioneerd hebben en de analyse van de risico's rondom het doorbreken van het stemgeheim (8).
stslO.692
c c
lim'
||M",•"
SÜERNST&YOUNG
!
t c r c
5
5.1
e
Stemverwerkingsproces - opzet
In dit hoofdstuk geven wij informatie over de inrichting van het stemverwerkingsproces tijdens de waterschapsverkiezingen in 2008. Wij betrachten hierbij geen volledigheid, maar hebben dit hoofdstuk opgenomen ter onderbouwing van onze risico inschatting in de management samenvatting. Onderstaande beschrijving is gebaseerd op de ontvangen documentatie en informatie uit interviews.
Briefstemmen
Van 13 tot 25 november 2008 kozen de ingezetenen van de waterschappen in Nederland de leden van de categorie ingezetenen van het algemeen bestuur van deze waterschappen. Deze verkiezingen hebben plaatsgevonden door middel van de voorziening 'briefstemmen'. Hiertoe zrjn stempakketten samengesteld die, op basis van gegevens uit de gemeentelijke basisadministratie, naar kiesgerechtigden zijn verzonden. Het stempakket bevatte een stembiljet waarmee de kiezer een stem kon uitbrengen. Om te voorkomeh dat een kiezer twee keer kon stemmen, was elk stembiljet voorzien van een unieke code die was gekoppeld aan het geboortejaar van de betreffende kiezer. Op basis van deze code en het door de kiezer op het biljet in te vullen geboortejaar kon de geldigheid van het stembiljet worden vastgesteld. Uitgebrachte stemmen zijn door het bedrijf 'Service Point' te Alphen aan den Rijn ingescand en omgezet naar 'technische stemmen' die vervolgens door Het Waterschapshuis konden worden gevalideerd en geteld waarna de uitslagen konden worden meegedeeld aan de waterschappen.
t
Tijdens de waterschapsverkiezingen in 2008 had elk van de 26 waterschappen een helpdesk ingericht. Deze helpdesks konden vervangende stempakketten uitreiken en activeren en daarnaast stembiljetten als 'te blokkeren' aanmerken (bijvoorbeeld omdat een vervangend stempakket werd verzonden). Het Waterschapshuis heeft voorafgaand aan de telling de te activeren stembiljetten geactiveerd en de te blokkeren stembiljetten geblokkeerd. Teneinde het stemgeheim te waarborgen, is het van het grootste belang dat na het uitbrengen van de stem de unieke code op het stembiljet niet gekoppeld kon worden aan de NAWgegevens van de betreffende kiezer.
5S ü'
5.2 Technische werking RIES (Rijnland Internet Election System) is een reeks systemen voor elektronische verkiezingen via het internet. RIES is gebruikt voor het verwerken van de 'briefstemmen' in de waterschapsverkiezingen van 2008. Drie RIES-onderdelen zijn van belang bij de stemverwerking: RIPOCS (zie paragraaf 5.2.1), Portal (zie paragraaf 5.2.2) en de helpdeskfunctie (zie paragraaf 5.3).
stslO.692
«4.
IM'
»r'.
SÜERNST&YOUNG
5.2.1 RIPOCS RIPOCS (RIES Isolated Portal Crypto System) is verantwoordelijk voor de cryptograf ische berekeningen, waaronder: het genereren van de unieke stemcodes zoals deze op de stembiljetten zijn gedrukt; het aanmaken van een versleuteld bestand (ClO) voor de drukker waarin de unieke codes gekoppeld zijn aan kiezersgegevens (zoals naam, adres, woonplaats); het 'deblokkeren' van uitgereikte 'vervangende stempakketen' en het blokkeren van verstuurde stempakketten waarvoor vervangende stempakketten is uitgereikt of die om andere reden in de helpdesk applicatie als 'te blokkeren 'zijn aangemerkt. Met betrekking tot RIPOCS is in dit onderzoek het volgende van belang: de RIPOCS-systemen zijn opgeborgen in een verzegelde kiuis, waarmee de servers fysiek beveiligd zijn voor toegang door onbevoegden; RIPOCS communiceert uitsluitend met Portal: Portal kan bestanden klaarzetten in een input directory, RIPOCS haalt deze bestanden batchgewijs op, voert bewerkingen uit en plaats resultaten in een output directory die alleen door Portal kan worden benaderd; RIPOCS genereert in de PREPARE-fase een referentiebestand waarin een 'hash' is opgenomen van de pseudo-identiteit van de kiezer (gebaseerd op ondermeer de 'verkiezings-id' (uniek per verkiezing) en het kiezersnummer) en een 'hash' van iedere potentiële stem per kiezer (onder andere gebaseerd op het geboortejaar van de kiezer); RIPOCS berekent in de 'PREPARE-fase' voor elke kiezer de code voor de stemkaart die samen met de NAW gegevens in bestand (ClO) wordt vastgelegd; dit ClO bestand wordt direct tijdens het genereren binnen RIPOCS versleuteld met de public key van de drukker (RSA. sleutellengte 2048 bits, gecertificeerd door DigiNotar) en wordt na compleet te zijn door RIPOCS in de output directory weggeschreven (dus in vercijferde vorm); genereren van het ClO bestand voor een verkiezing Is alleen mogelijk tijdens PREPAREfase voor die verkiezing. Deze beperking is zo geprogrammeerd in RIPOCS. Terugkeren naar eerdere status is in RIPOCS niet mogelijk. Daarnaast zijn de voor deze berekening op RIPOCS benodigde kiezersgegevens (KIO bestanden) direct na de Prepare berekening van RIPOCS gewist. Op RIPOCS blijven per verkiezing alleen een aantal algemene parameters en de Referentiebestanden aanwezig. 5.2.2 Portal Portal is een netwerkapplicatie die communicatie met RIPOCS mogelijk maakt door bestanden weg te schrijven in een 'input-directory' (waaruit RIPOCS deze batchgewijs ophaalt) en door bestanden in te lezen uit de 'output-directory' (waarin RIPOCS bestanden wegschrijft). Portal is ondermeer door stembureaus via een beveiligde VPN verbinding over 'internet te benaderen. In Portal is de volgende informatie beschikbaar, welke relevant is voor dit onderzoek: versleutelde printbestanden (ClO) voor de drukker (zie 7.2); kiezerslijsten (KIO): dit betreft de lijsten waarop het kiezersnummer staat ln combinatie met de NAW gegevens. Deze lijsten zijn gebruikt voor het blokkeren van de uitgereikte stempakketten; lijst met vervangende stempakketten ( K i l ) : Een overzicht van de mogelijk uit te reiken vervangende stempakketten per Waterschap.
StslO.692
e e
„f!***
il.HI"11
in"""
sü ERNST &YOUNG
c
c c 0.
c c ©
5.3
Helpdeskfunctie
Indien een kiezer een vervangend stempakket aanvraagt, wordt op basis van een controle op de NAW gegevens in de helpdeskf ile het originele stempakket gemarkeerd als 'blocked' en het toegestuurde vervangende stempakket gemarkeerd als 'active'. Het zoeken naar de NAW gegevens in de helpdeskfile verliep gedurende de verkiezingen in eerste instantie extreem traag. Wij merken op dat naar aanleiding hiervan is de zoekfunctionaliteit van de helpdesk aangepast. Deze wijziging heeft geen invloed op de maatregelen rondom het waarborgen van het stemgeheim gehad. Elke helpdesk levert na de verkiezingen twee files aan de RIPOCS applicatie: 'blocked.txt' en 'activate.txt' (de zogenaamde helpdesk mutaties). Deze files bevatten respectievelijk de kiezersnummers van de kiezers waarvoor het stembiljet moet worden geblokkeerd en de 'pseudo-kiezersnummers' van de vervangende pakketten die moeten worden geactiveerd. Dit 'activeren' en 'deactiveren' vindt plaats op RIPOCS door middel van het wijzigen van 'statusbit' in het referentiebestand. Bij het tellen van de stemmen worden vervolgens alleen de geactiveerde stemmen meegenomen.
6
Uitgevoerde handelingen op 27 en 28 november 2008
In dit hoofdstuk geven wij informatie over uitgevoerde handelingen op 27 en 28 november 2008 in relatie tot het stemgeheim. Wij betrachten hierbij geen volledigheid, maar hebben dit hoofdstuk opgenomen ter onderbouwing van onze risico inschatting in de management samenvatting. Onderstaande beschrijving is gebaseerd op de ontvangen documentatie en Informatie uit interviews. Voor de volledigheid merken wij op dat het van Collis ontvangen rapport 'Audit RIPOCS' [3] daar helaas ook geen uitkomst voor biedt. Dit rapport is een verslag van de activiteiten van Collis op 27 en 28 november 2008, zonder onderliggend dossier.
6.1 ei-
2 7 november
Op 27 november liep de verwerking van de vervangende stempakketten vast. Het bleek hierbij te gaan om een storing in de RIPOCS machines. Ten behoeve van werkzaamheden diende de RIPOCS kluis open gemaakt te worden. Op dat moment is de kluis geopend onder toezicht van Securitas en Collis. Securitas heeft vastgesteld dat de verzegeling van de kluis in tact was op het moment van openen van de kluis. Onder toezicht van Collis zijn vervolgens de volgende acties uitgevoerd op de RIPOCS machines: analyse uptime en geheugen gebruik RIPOCS server; herstart van de RIPOCS servers na het herconfigureren van het geheugen van de servers; analyse logfiles. De herstart van de RIPOCS servers was niet succesvol. De verwerking van de helpdesk mutaties was nog steeds niet mogelijk. Vervolgens is oncier toezicht van Securitas en Collis de kluis gesloten en opnieuw verzegeld.
stslO.692
.,»x»'""" III"
o
SÜERNST&YOUNG
KJ r r
6.2
28 november
Op vrijdagochtend 28 november is besloten om onder toezicht van Securitas de verwerking van de helpdesk mutaties te laten plaatsvinden op een server buiten de kluis. Deze zogenaamde 'externe ontwikkelmachine' was een niet-ingerichte machine die speciaal voor het geval van calamiteiten voorafgaand aan de verkiezingen apart gezet is. Het betreft een server die door SURFnet op 28 november 2008 is voorzien van de basisinrichting gelijk aan de servers die reeds eerder ingericht waren en in de kluis stonden.
(. <
f
:
Vervolgens Is de RIPOCS applicatie geïnstalleerd op deze server en heeft Collis vastgesteld dat het hierbij om identieke software ging, dus de software op de extra machine was gelijk aan de software op de machines in de kluis. Teneinde deze server te kunnen gebruiken, is een aparte kluis (in een over-kluis) geopend waarin een vervangende geTnitialiseerde IBM 4764 PCI-X cryptocard gereed lag. Een bijhorende USB-stick met vercijferde crypto sleutels was opgeslagen in een andere kluis (in de over-kluis), ook deze kluis is geopend. Met behulp van de geTnitialiseerde IBM 4764 PCI-X cryptocard en de bijbehorende USB-stick en het bijbehorende wachtwoord van Het Waterschapshuis is vervolgens de RIPOCS applicatie opnieuw gestart. De nieuw ingerichte RIPOCS machine is vervolgens door de systeembeheerder van SURFnet via een parameter in het status.xml bestand per verkiezing In de fase 'Tally'gebracht, zodat het mogetijk werd helpdeskmutaties te verwerken. Omdat het systeem geen koppeling had met Portal werden het voor iedere verkiezing benodigde referentiebestand en de benodigde helpdesk mutatie bestanden per USB-harddisk overgebracht naar het nieuw in gebruik genomen systeem. De resultaten zijn ook op deze wijze weer overgebracht naar Portal. Vervolgens is de kluis onder toezicht van Collis en Securitas geopend om de 3 RIPOCS servers in de kluis in een status te brengen zodat de verwerking verder kon gaan met de offline verwerkte helpdeksmutaties. Vervolgens konden de K30 bestanden via de Portal verwerkt worden en startte Het Waterschapshuis de tellingen van de stembussen per waterschap.
7
Functioneren maatregelen waarborging stemgeheim
In dit hoofdstuk geven wij mformatie over de wijze waarop de maatregelen die betrekking hebben op het stemgeheim tijdens de waterschapsverkiezingen in 2008 hebben gefunctioneerd. WQ betrachten hierbij geen volledigheid, maar hebben dit hoofdstuk opgenomen ter onderbouwing van onze risico inschatting in de management samenvatting. Navolgende beschrijving is gebaseerd op de ontvangen documentatie en informatie uit interviews.
stslO.692
c lllll»
II
'
sü ERNST &YOUNG
s.
fv. .
10
7.1 Initialisatie RIPOCS Op verzoek van Het Waterschapshuis heeft Collis voorafgaand aan de verkiezingen twee codereviews op RIPOCS uitgevoerd (zie [6] en [7]). Tevens heeft Collis tijdens de initialisatie van de drie RIPOCS systemen erop toegezien dat de geïnstalleerde versie in productie gelijk is aan de versie die aan Collis is overhandigd voor een code review (zie [5] en [8]). Een notaris heeft toezicht gehouden op het initialiseren van de IBM 4764 PCI-X cryptocard en het verzegelen van de kluis waarin RIPOCS is opgeborgen. Hiervan is door de notaris procesverbaal opgemaakt (zie [5]). 7.2 Aanmaken van printbestanden Zowel de sleutel waarmee de unieke stemcode werd gegenereerd als de publieke sleutel van de drukker die gebruikt werd voor het versleutelen van het ClO bestand beide werden opgeslagen in de IBM 4764 PCI-X cryptocard. Deze kaart Is zo ontworpen dat uitsluitend tijdens de initialisatiefase sleutels kunnen worden ingeladen en kopieën van de kaart kunnen worden gemaakt. De kopieën van de kaart werden in een aparte kluis opgeslagen. Tijdens de initialisatiefase van de IBM 4764 PCI-X cryptocard zijn drie kopieën gemaakt van de kaart. Verder is de IBM 4764 PCI-X cryptocard (die beschikt over een nauwkeurige interne klok) zo was ingesteld dat slechts in een beperkt tijdsvenster van de kaart gebruik gemaakt kon worden. 7.3 Vernietigen printbestanden PricewaterhouseCoopers heeft negen rapporten uitgebracht die een feitenrelaas bevatten van de verwijdering van de printbestanden, backups, de 'private key' van de drukker en enkele 'restflles'. In één van deze rapporten staat ondermeer beschreven hoe de printbestanden (en 'restfiles') op 11 november zijn verwijderd van twee Portal systemen; één in Utrecht (ries-utrportal-l) en één in Nijmegen (ries-nij-portal-l). 7.4 Stemverwerking De stemmen zijn volgens protocol verwerkt tot het moment dat een incident optrad op de RIPOCS machines. Dit incident en de wijze waarop hier is gereageerd is beschreven in hoofdstuk 6. Vervolgens is de verdere verwerking van de stemmen uitgevoerd conform het protocol.
8
Risicoanalyse doorbreking stemgeheim
Naar aanleiding van de aan ons mondeling verstrekte informatie over de stemverwerkingsprocessen, de werking van de software en de gebeurtenissen op 27 en 28 november 2008 hebben wij een risicoanalyse uitgevoerd op de mogelijkheden ter doorbreking van het stemgeheim op 27 en 28 november 2008. Voor het doorbreken van het stemgeheim op 27 en 28 november 2008 zijn combinaties van gegevens en personen noodzakelijk. Hierna beschrijven wij enkele van die theoretische combinaties en lichten wij toe waarom wij het risico daartoe beperkt inschatten. De mondelinge toelichtingen en de verstrekte verslagen worden slechts gedeeltelijk ondersteund door documentatie, mede omdat conform de geldende weten regelgeving een deel van de documentatie is vernietigd. Hierdoor is het niet mogelijk om onderstaande onomstotelijk vast te stellen.
stslO.692
lllllll",1
II
M
•'
SÜERNST&YOUNG
11
Combinatie 1
t."
t ® 4>"
£
Onversleuteld ClO bestand (bestand voor drukker, bevat unieke code en NAW-gegevens van kiezers). Ontvangen stemmen bestand (door RIPOCS tot "algemeen RIES formaat" ontcijferde informatie voor iedere verkiezing op basis van de bestanden met uitgebrachte stemmen, aangemaakt door responsverwerker). Het (gepubliceerde) Referentiebestand voor de betreffende verkiezing. Samenvatt/ng Het ClO bestand kan alleen ontsleuteld worden door de 'private key' van de drukker. De voor de verkiezing gegenereerde bestanden bij de drukker zijn vernietigd zoals beschreven in de rapporten van PricewaterhouseCoopers. Samenspanning met de drukker is noodzakelijk om een onversleuteld ClO bestand te verkrijgen. Ons onderzoek was hierop niet gericht.
Combinatie 2a Ontvangen stemmen bestand (door RIPOCS tot "algemeen RIES formaat" ontcijferde informatie voor iedere verkiezing op basis van de bestanden met uitgebrachte stemmen, aangemaakt door responsverwerker). KIO bestand waarin zowel het kiezersnummer als de NAW-gegevens van kiezers zijn vermeld (beschikbaar voor de 26 helpdesks van de stembureaus ten behoeve van het verstrekken van vervangende stembiljetten). GeTnitialiseerde IBM 4764 PCl-X cryptocard en bijhorende USB-stick met sleutelbestand en bijhorend wachtwoord (in bezit bij een medewerker van Het Waterschapshuis). Het (gepubliceerde) referentiebestand voor de betreffende verkiezing. Bij uitvoering op één van de RIPOCS machines in de kluis: samenwerking met de drukker om toegang tot het in RIPOCS opnieuw gegenereerde ClO bestand te krijgen. Dit alles binnen de door de IBM 4764 PCI-X cryptocard toegestane tijdsvenster.
iV
Samenvatt/ng De sleutel die wordt gebruikt voor het genereren van het ClO bestand is door DigiNotar gecertificeerd en tijdens de initialisatiefase op de IBM 4764 PCI-X cryptocard geladen. Na de initialisatiefase kan de eenmaal ingeladen sleutel niet worden aangepast.Ter ontsleuteling van het prlntbestand is dus ook samenspanning met de drukker noodzakelijk. Ons onderzoek was hierop niet gericht. ?<
stslO.692
N
llll'
SÜERNST&YOUNG
Ull
12
Combinatie 2b Ontvangen stemmen bestand (door RIPOCS tot "algemeen RIES formaat" ontcijferde informatie voor iedere verkiezing op basis van de bestanden met uitgebrachte stemmen, aangemaakt door responsverwerker). KIO bestand waarin zowel het kiezersnummer als de NAW-gegevens van kiezers zijn vermeld (beschikbaar voor de 26 helpdesks van de stembureaus ten behoeve van het verstrekken van vervangende stembiljetten). GeTnitialiseerde IBM 4764 PCI-X cryptocard en bijhorende USB-stick met sleutelbestand en bijhorend wachtwoord (in bezit bij een medewerker van Het Waterschapshuis). Het (gepubliceerde) Referentiebestand voor de betreffende verkiezing. Uitvoering op de RIPOCS server waar de programmatuur is aangepast. Dit alles binnen de door de IBM 4764 PCI-X cryptocard toegestane tijdsvenster. Samenvatt/ng Voor toegang tot de cryptokaart was een samenwerking tussen Securitas en Het Waterschapshuis nodig. Collis verklaard vastgesteld te hebben dat de pp de externe server geïnstalleerde applicatie identiek is aan de applicatie die op de oorspronkelijke servers is geïnstalleerd. Op basis van de beschikbare documentatie hebben wij dit niet kunnen vaststellen. Bovenstaandecombinatie kan zich alleen voordoen bij een samenspanning tussen Het Waterschapshuis (voor toegang tot de cryptokaart en de USB-stick), Securitas (voor toegang tot de kluis) en een persoon met kennis van RIPOCS.
Combinatie 2c
tó-
«f.
* : ' • •
A,'
Ontvangen stemmen bestand (door RIPOCS tot "algemeen RIES formaat" ontcijferde informatie voor iedere verkiezing op basis van de bestanden met uitgebrachte stemmen, aangemaakt door responsverwerker). KIO bestand waarin zowel het kiezersnummer als de NAW-gegevens van kiezers zijn vermeld (beschikbaar voor de 26 helpdesks van de stembureaus ten behoeve van het verstrekken van vervangende stembiljetten). GeTnitialiseerde IBM 4764 PCI-X cryptocard en bijhorende USB-stick met sleutelbestand en bijhorend wachtwoord (in bezit bij een medewerker van Het Waterschapshuls). Het (gepubliceerde) Referentiebestand voor de betreffende verkiezing. Bij uitvoering op een andere 'aanvals' server: eigen programmatuur om de nodige berekeningen en bewerkingen uit te voeren. Dit alles binnen de door de IBM 4764 PCI-X cryptocard toegestane tijdsvenster. Samenvatt/ng Voor toegang tot de cryptokaart was een samenwerking tussen Securitas en Het Waterschapshuls nodig. Bij deze mogelijkheid moet op een aparte server met aangepaste RIPOCS programmatuur gewerkt worden. Hiervoor is samenspanning noodzakelijk met SURFnet voor de infrastructuur en met Het Waterschapshuis, voor toegang tot de cryptokaart en de USB-stick.
stslO.692
lllll»il'
SÜERNST&YOUNG
lül
13 Bijlage 1 Bij rapport d.d. 19 januari 2010 Unie van Waterschappen, Den Haag
Bijlage 1
Geraadpleegde documentatie
WzRëfA'Sitei:'/.:^.^^ | 1 | Functioneel ontwerp RIES-2008
&
2
Verslag van werkzaamheden
3
Audit RIPOCS
| Ret Maclalne Pont. Arnout Hannink, Jacques Hoeljenbos, Marco Rijkschroeff. Jacques Schuurman Simon Bouwman
To.9
definitief
1?
Si
4
-
Harriet van Zenderen (Notaris) Collis Collis Hans van Bohemen, Klaas Mateboer
1.2
9
Description and Analysis of the RIES Internet Votlng System
1.0
10
HW-CRYPTO, Cryptographlc architecture for RIES-2008 and IBM 4764 PCI-X cryptocard Samen naar Beter, evaluatie landeUjke waterschapsverkiezingen 20098 Protocol waterschapsverkiezingen 2008 (art. 2.45, vierde lid Waterschapsbesluit)
Engelbert Hubbers, Bart Jacobs, Berry Schoenmakers, Henk van Tilborg, Benne de Weger Piet Maclaine Pont
1.0
22 augustus 2008
BMC onderzoek
*
april 2009
6 7 8
è-
r>-
R. Oosterwijk. F. Paardenkooper. E. Colle
29 november 2008 1 1 december 1 2008 27 en 28 november 2008 10 oktober 2008 30 )uni 2008 22 augustus 2008 25 september 2008 24 Junl 2008
Afschriften proces-verbaal Initialisatie RIPOCS Review Integriteit RIPOCS broncode Tweede review Integriteit RIPOCS broncode ( v l . l ) Status en initialisatie RIPOCS release 1.3
5
&
| Bljzonderhedenrapportages
1.0
Hans van Bohemen
23 Juni 2008
'Si 11 12
13
14
Beknopte beschrijving voorziening briefstemmen waterschapsverkiezingen 2008 Brief 08.1348/TdB/BW/NK
stslO.692
1.0 1
7 oktober 2008
Zulayka Belliot (Collis). Simon Bouwman (Het Waterschapshuis), Marianne van der Veen (Het Waterschapshuls). Jord Schreurs (Het Waterschapshuls) Unie van Waterschappen, Het Waterschapshuis Drs. A de Bos RE RA (Managing Director DigiNotar)
1
j | j
9 oktober 2008 29 oktober 2008
.
1111111"" Jll
.
.
•
•
'
"
*
*
SÜERNST&YOUNG
14 Bijlage 1 Bij rapport d.d. 19 januari 2010
J
Unie van Waterschappen, Den Haag
••
15 16
l Analyse uitslag berekening van de Portal Advisering toelaatbaarheid internetstemvoorziening waterschappen
fs
17
RIES 2008: WV-STUF, Standaard Uitwisseling Formaat
18 19
Sourcecode RIPOCS Evaluatie voorziening internetstemmen RIES
3
tr
Hans van Bohemen (Collis) Bartek Gedrojc. Matthieu Hueck, Hans Hoogstraten, Mark Koek, Sjoerd Resin k (allen FoxIT) Plet Maclaine Pont (MullPon vof), Suze Maclaine Pont (MS Insulinde), Arnout Hannink (Magie Choice b.v.) Magie Choice b.v.
1.0 3.0
9 oktober 2008 12 augustus 2008
0.98
1.0
24 lunl 2008 6 juni 2008
!.•.•*
Aanbevelingen van de Raad van Europa Feitenrelaas van clearing van versleutelde ClO bestanden
PricewaterhouseCoopers
6 januari 2010
21
Bezoek op 11 november 2008 bij SURFnet. Utrecht Visit RRD Moore, Cosne-sur-Loire
PricewaterhouseCoopers
30 oktober 2008
22
Dealing with confidential files Visit RRD Moore, Cosne-sur-Loire
PricewaterhouseCoopers
30 Oktober 2008
23
Destroying confidential files 16 oktober 2008 Visit RRD Moore, Cosne-sur-Loire
PricewaterhouseCoopers
4 november 2008
24
Destroying confidential files 22 oktober 2008 Visit RRD Moore, Cosne-sur-Loire
PricewaterhouseCoopers
25
Destroying confidential files 30 oktober 2008 Visit RRD Moore, Cosne-sur-Loire
4 november 1 2008 1
PricewaterhouseCoopers
29 december 2008
26
Destroying confidential files 7 november 2008 Visit RRD Moore, Cosne-sur-Loire
1 PricewaterhouseCoopers !
20
rf--
v..-
***
Destroying back-up tape 30 oktober 2008
stslO.692
13 november
2008
I
„ . ^, ^ 0 ^ ^ II»'
SÜERNST&YOUNG
J!
Bijlage 1 Bij rapport d.d. 19 januari 2010 Unie van Waterschappen, Den Haag
t
e
15
i'Rêf^lfité-
28
29
f »
30 31
Destroying back-up tape 7 november 2008 Visit RRD Moore, Cosne-sur-Loire
,rAütèürts}*^x" r - : "'-\sZ: : :«:^ 1 PricewaterhouseCoopers
PricewaterhouseCoopers
Destroying CO private key 6 september 2008 Calamiteitenplannen: calamiteitenbestrijdingsplan Villa i DM calamiteitenbestrijdingsplan Het Waterschapshuis calamiteitenbestrijdingsplan Callcenter calamiteitenbestrijdingsplan MIDEX calamiteitenbestrijdingsplan Kieskompas calamiteitenbestrijdingsplan TNT Post calamiteitenbestrijdingsplan Service Point calamlteitenbestrijdingsplannen RR Donnelley Calamiteitenplan Waterschapsverkiezingen 2008 Draaiboek Initalisatie j HetWaterschapshuis
StslO.692
li [ 2 9 december.1 2008
25 november 2008
22okfober 2008 11 september 2008
|
