eValg Elektronisk valg

Brukerveiledning for den elektroniske valgløsningen ved Universitetet i Oslo

Universitetsstyret vedtok våren 2006 at det skulle utvikles en løsning for elektronisk avvikling av valg ved UiO. Dette skjedde etter et rektorvalg preget av kritikk rundt hvordan valget forløp, hvor elektronisk valgavvikling ble satt frem som en løsning på mange av de aktuelle problemstillinger.

Løsningen er bygget på universitetets eksisterende IT‐infrastruktur, med de begrensninger og de muligheter det innebærer. En av disse er at det er en forutsetning for å kunne avgi en stemme at man har en IT‐bruker ved UiO.

Nedenfor følger en innføring i hvordan systemet fungerer og en trinnvis veiledning for hvordan man avgir stemmer i det.

Valgportalen

Innlogging

Skjermbilde av innloggingssiden

Innloggingssiden

Ved å starte applikasjonen blir du transportert til FEIDE‐innloggingssiden. FEIDE er et rammeverk for autentisering i UoH sektoren i Norge, og du skal bruke ditt vanlige brukernavn og passord her. For mer informasjon om FEIDE, se http://www.feide.no.

På denne siden skal man angi sitt vanlige brukernavn med tilhørende passord for institusjonen som er oppgitt under tilhørighet. Pass på at disse stemmer overens.

Valgapplikasjonen vil, hvis innloggingen gikk bra, få ditt fødselsnummer og e‐postadresse fra FEIDE. Du kan kontrollere disse på http://feide.no/content.ap?thisId=1320.

Merk: Feide-innlogging fungerer ikke med NoScript slått på.

Lokalisering av valg

Skjermbilde av forsiden

Forsiden. Velg valg med knapp i venstre kolonne.

Etter vellykket innlogging blir man transportert til førstesiden av selve valgapplikasjonen. Denne er også tilgjengelig med program-lenken øverst på siden.

Det man skal gjennomføre på denne siden er å velge hvilket valg man ønsker å avgi en stemme i.

Valgene er organisert i fire tabeller: (1) De valgene man har stemmerett i, (2) de valgene man ikke har stemmerett i, (3) fremtidige valg og (4) avsluttede valg. Valgene du har stemmerett i kommer først, og tabellen viser hvilket manntall du er lagt inn i; dette vises i høyre kolonne.

Dersom det står at du har avlagt stemme, men ikke kan huske å ha avlagt stemme, ta kontakt med evalg-drift. Benytt også funksjonen for å omgjøre din stemme.

For å stemme, bruk knappen i venstre kolonne. Du kan endre din stemme frem til valget avsluttes.

Ved UiO tillates du å stemme i valg du ikke har stemmerett i. Valgstyret vil da se på saken, og stemmen blir godkjent om det er gjort en feil.

Preferansevalg

Skjermbilde av preferansevalg

Rangeringen av kandidater kan gjøres slik. (Rekkefølgen er tilfeldig valgt)

Når man skal avgi stemme i et preferansevalg, gjøres dette ved å rangere kandidater fra én og oppover.

Man behøver ikke rangere flere enn én kandidat, men man kan rangere alle om man skulle foretrekke det.

Rangering av en kandidat foregår ved å angi en rang i boksen «Nr.» på den raden der den aktuelle kandidaten er oppført. Rangen 1 (én) er best, 2 (to) nest best etc. Man kan kun angi en rang med heltall.

Flertallsvalg

Skjermbilde av flertallsvalget

Flertallsvalg med to kandidater.

Når man skal avgi stemme i et flertallsvalg, gjøres dette ved å gi en stemme til så mange kandidater man ønsker, begrenset av et oppgitt antall.

De kandidatene med flest stemmer vinner.

Avstemning

En avstemning fungerer akkurat som et flertallsvalg, bare at man stemmer over andre ting enn personer.

Listevalg

Når man skal avgi stemme i et listevalg er det første man må gjøre, å velge hvilken liste man skal ta utgangspunkt i.

Skjermbilde av listevalg

Valg av liste

Man kan endre rekkefølge, kumulere og slenge til man står igjen med ønsket resultat.

OBS: Efter UiOs valgreglement, har stemmeseddelen kun så mange stemmer som skal velges. Kandidater lenger ned enn dette, vil ikke få noen stemme. UiTs valgreglement har ingen slik regel.

Kontroll av stemmeseddel før levering

Skjermbilde av kontrollsiden

Stemmeseddelen legges frem for kontroll. Klikk på avgi stemme for å godkjenne.

Til slutt får man et bilde av sin stemmeseddel slik den ser ut etter eventuelle endringer.

Ønsker man å levere denne, trykker man på knappen «Avgi stemme». Ønsker man å endre noe, trykker man på knappen «Tilbake».

Ved avgivelse av stemme sendes det en kvittering til din epostkonto. Denne inneholder informasjon om at du har stemt og når dette skjedde. Om du skulle motta en slik kvittering uten at du har stemt, kan det være en indikator på at din brukerkonto er kompromittert. Du bør da ta kontakt med ditt valgstyre eller evalg-drift.

Begrunn stemmegivning

Dersom du ikke står i manntallet, må du begrunne din stemmegivning før stemmen registreres. Skriv en melding om hvorfor du mener du bør kunne stemme. Meldingen og personalia (men ikke stemmeseddelen) kan sees av valgstyret, som kan ta hensyn til saken før valget telles opp. Du skal ikke skrive hva du har stemt.

Noen egenskaper ved valgsystemet

Avgivelse av stemmer temming innenfor og utenfor manntall

Det er ikke sannsynlig at et manntall produsert for et valg ved UiO vil være i overensstemmelse med ethvert UiO‐tilknyttet individs oppfatning av hvem som er stemmeberettiget i et konkret valg. Forbedrede rutiner, erfaring og opprydning i kildesystemer vil alle sammen forhåpentligvis bidra til å minimere eventuell diskrepans mellom et produsert manntall og ideelt manntall. I et konkret tilfelle hvor det reises spørsmål om stemmerett er det imidlertid valgstyret som skal foreta en vurdering og saksbehandling, ikke en elektronisk valgapplikasjon. Av denne grunn er det lagt inn en mulighet for individer som ikke befinner seg i manntallet å allikevel avgi stemme i et valg. Denne stemmen (dog ikke innholdet i den) blir da sendt til valgstyret for saksbehandling.

Andre steder (UiT) legger ut manntallslistene innen valget begynner. Det er også mulig å bruke systemet, vha. listen over kommende valg, til å la brukerne kontrollere om de er korrekt registrert i manntallet.

Anledning til å stemme gjentatte ganger

IT-infrastrukturen tilbyr ingen total sikkerhet på individnivå. Erfaringsmessig er særlig det at enkeltbrukere selv kan komme til å kompromittere sin konto ved å oppbevare passord tilgjengelig, et problem. Det kan heller ikke utelukkes at andre årsaker, f.eks. kompromittering av infrastruktur eller misbruk av rettigheter fra systempersonale, kan forårsake at en eller flere brukerkonti blir kompromittert. Om en konto blir kompromittert vil det teoretisk sett vedkommende som har kompromittert den være i stand til å avgi en stemme på vegne av vedkommende.

Fordi muligheten for at dette kan skje er til stede, må valgsystemet inneholde noen egenskaper for å takle dette. For det første er det klart at om et individ nekter for å ha avgitt en stemme, er det ikke sikkert at man kan imøtegå dette. Hvis denne stemme da er avgitt og man ikke kan kansellere den har man et problem. Konsekvensen av dette er at man i et elektronisk valgsystem enten må ha så rigid sikkerhet rundt tilgangskontrollen av hvem som får avgi stemmer at man kan operere med en ikke‐benektelsespolicy rundt det å avgi stemmer, eller at man rent teknisk må kunne nå stemmen i etterkant for å kansellere den.

UiO har ikke en IT-infrastruktur som kan sikre god nok kontroll i forkant via et webbasert system for stemmeavgivelse. Av denne grunn har man i stedet valgt en løsning hvor alle stemmeberettigede som avgir en stemme (eller om noen kompromitterer deres konto og gjør det på vegne av dem, eller de hevder dette), når som helst kan avgi en ny stemme i samme valg frem til valget stenges. Den gamle stemmen blir da kansellert.

Kvittering for avgitt stemme

Når valgsystemet mottar en stemme sendes en kvittering for at en stemme er avgitt (dog ikke hva det er stemt på) til vedkommende stemmeberettiget sin e‐postadresse. Ved mottak av slik e‐post uten at en har avgitt stemme i det aktuelle valget bør en straks bytte passord og deretter avgi ny stemme.

Koblingen mellom identiteten til stemmegiverne og innholdet i stemmen

Når en stemme blir avgitt, skjer det to ting. For det første genereres det et unikt løpenummer som blir lagret sammen med informasjon om hvem som har avgitt stemmen i en database. Et helt annet sted blir innholdet i stemmen (altså hva man har stemt på) lagret sammen med løpenummeret. Denne siste er kryptert og dermed ikke leselig uten en nøkkel, som oppbevare på en separat maskin.

For opptellingen lastes stemmene ned til maskinen som har nøkkelen. Men i prosessen blir løpenumrene endret, slik at det ikke er mulig å sammenligne løpenumrene med databasen.

Valgstyret kan avgi stemmer for individer

Fordi det i et valg med mange stemmeberettigede er sannsynlig at minst en av disse av ulike årsaker ikke kan anvende den elektroniske valgløsningen, og fordi man selvsagt ikke kan utelukke disse fra å utøve sin stemmerett, kan valgstyret levere stemmer på vegne av individer. Slik avgivelse av stemmer vil nødvendigvis avsløre hva vedkommende stemmer på til det konkrete medlemmet av valgstyret som vil assistere med stemmeavgivelsen. Når slik stemming på vegne av andre forekommer, vil det fremgå av valgprotokollen.

Sikkerheten i valgsystemet er ikke absolutt

Sikkerheten i både et elektronisk og et analogt valgsystem er aldri absolutt. Som i det analoge valgsystemet er det alltid en risiko for at integriteten til valget eller anonymiteten til de som avgir de enkelte stemmer, blir kompromittert. En viktig årsak til dette er at det er umulig å lage et system hvor man ikke må stole på noen. Hvor det i et analogt valg primært var valgstyret og tellekorpset som kunne påvirke et resultat, er det i dette systemet valgstyret og visse systemteknikere på USIT som fyller denne rollen. Valg ved UiO har ikke samme behov for sikkerhet som f.eks. Stortingsvalg, og USIT vil ikke anbefale systemet for Stortingsvalg. Valg ved UiO har imidlertid helst andre problemer, slik som svært lav valgdeltakelse, særlig blant studenter. Av denne grunn er et elektronisk nettbasert valgsystem, som kanskje ikke er egnet for et stortingsvalg, funnet å være velegnet for et valg ved UiO.

The election portal

Logging in

Screenshot of the login page

The login page. Use your username and password from the given institution

To log in, your browser will be directed to the FEIDE login page. FEIDE is a framework for authentication in the university and college sector in Norway. You shall use your regular username and password here. For more information, see http://www.feide.no.

Assert that your user name and password is the correct credentials for the given institution's IT resources.

FEIDE will deliver your Norwegian SSN and your email address to the election portal, and this will be used to authorize you to vote. You can check the values at http://feide.no/content.ap?thisId=1320

Finding an election

Skjermbilde av forsiden

The front page. Start voting by clicking button in left column

After successful login, you will get the front page. This is also reachable from the programme link at the top of the pages.

This page will allow you to see information about elections, as well as voting in them.

There should be at most four tables: (1) The elections in which you can vote, (2) The elections in which you are not authorized to vote, (3) future elections, and (4) closed elections. If you can vote, and in which group, is shown in the right coloumn.

If the table says you have voted, but you haven't voted, please contact evalg-drift. You can also cancel this vote with a new.

To vote, use the button in the left coloumn. You can change your vote until the election ends.

You can also vote in the election where you have no privilege to vote. The election board can then see this, and choose to accept your vote. The election board will not see the contents of your vote, only that it is submitted, as well as a message you will be asked to send.

Preference elections

Screen shot from a preference election

The image shows how you can fill out the ballot.

When voting in a preference election (see preferansevalg), you will be asked to prioritize the candidates.

You don't have to prioritize them all. You can prioritize as many or as few you wish.

Prioritizing candidates is done by filling in the boxes by the candidates. The priority 1 (one) is the highest, followed by 2 (two), and so on. Please use integers to prioritize the candidates.

Approval election

Screen shot from approval election

Approval election

In the approval election, you approve of up to as many candidates as you are asked to. This is done by checking the boxes next to the candidates.

The candidates with the highest approval rates win.

Poll

A poll will seem just as an approval election, but the candidates are not persons.

List election

To vote in a list election (see listevalg), you must first choose the list.

Screen shot from list election

Choosing list

You can change the list by alter the sequence, give an extra vote (cumulate) for some of the candidates, and add persons from other lists.

After UiO rules, you can only give as many votes as the number of candidates to choose, and you can loose influence by having fewer persons on your ballot. After the UiT rules, all your votes will count.

Controlling the ballot

Screen shot of the control page

Your ballot will then be shown for your controll. Submit to accept

At the end, your ballot will be shown. Please check that it is correct.

You can accept the vote by submitting, or go back.

Upon submission, a receipt will be sent to your email account. This will not contain the contents of the ballot. Ved avgivelse av stemme sendes det en kvittering til din epostkonto. Denne inneholder informasjon om at du har stemt og når dette skjedde. Om du skulle motta en slik kvittering uten at du har stemt, kan det være en indikator på at din brukerkonto er kompromittert. Du bør da ta kontakt med ditt valgstyre eller evalg-drift.

Begrunn stemmegivning

Dersom du ikke står i manntallet, må du begrunne din stemmegivning før stemmen registreres. Skriv en melding om hvorfor du mener du bør kunne stemme. Meldingen og personalia (men ikke stemmeseddelen) kan sees av valgstyret, som kan ta hensyn til saken før valget telles opp. Du skal ikke skrive hva du har stemt.

Noen egenskaper ved valgsystemet

Avgivelse av stemmer temming innenfor og utenfor manntall

Det er ikke sannsynlig at et manntall produsert for et valg ved UiO vil være i overensstemmelse med ethvert UiO‐tilknyttet individs oppfatning av hvem som er stemmeberettiget i et konkret valg. Forbedrede rutiner, erfaring og opprydning i kildesystemer vil alle sammen forhåpentligvis bidra til å minimere eventuell diskrepans mellom et produsert manntall og ideelt manntall. I et konkret tilfelle hvor det reises spørsmål om stemmerett er det imidlertid valgstyret som skal foreta en vurdering og saksbehandling, ikke en elektronisk valgapplikasjon. Av denne grunn er det lagt inn en mulighet for individer som ikke befinner seg i manntallet å allikevel avgi stemme i et valg. Denne stemmen (dog ikke innholdet i den) blir da sendt til valgstyret for saksbehandling.

Andre steder (UiT) legger ut manntallslistene innen valget begynner. Det er også mulig å bruke systemet, vha. listen over kommende valg, til å la brukerne kontrollere om de er korrekt registrert i manntallet.

Anledning til å stemme gjentatte ganger

IT-infrastrukturen tilbyr ingen total sikkerhet på individnivå. Erfaringsmessig er særlig det at enkeltbrukere selv kan komme til å kompromittere sin konto ved å oppbevare passord tilgjengelig, et problem. Det kan heller ikke utelukkes at andre årsaker, f.eks. kompromittering av infrastruktur eller misbruk av rettigheter fra systempersonale, kan forårsake at en eller flere brukerkonti blir kompromittert. Om en konto blir kompromittert vil det teoretisk sett vedkommende som har kompromittert den være i stand til å avgi en stemme på vegne av vedkommende.

Fordi muligheten for at dette kan skje er til stede, må valgsystemet inneholde noen egenskaper for å takle dette. For det første er det klart at om et individ nekter for å ha avgitt en stemme, er det ikke sikkert at man kan imøtegå dette. Hvis denne stemme da er avgitt og man ikke kan kansellere den har man et problem. Konsekvensen av dette er at man i et elektronisk valgsystem enten må ha så rigid sikkerhet rundt tilgangskontrollen av hvem som får avgi stemmer at man kan operere med en ikke‐benektelsespolicy rundt det å avgi stemmer, eller at man rent teknisk må kunne nå stemmen i etterkant for å kansellere den.

UiO har ikke en IT-infrastruktur som kan sikre god nok kontroll i forkant via et webbasert system for stemmeavgivelse. Av denne grunn har man i stedet valgt en løsning hvor alle stemmeberettigede som avgir en stemme (eller om noen kompromitterer deres konto og gjør det på vegne av dem, eller de hevder dette), når som helst kan avgi en ny stemme i samme valg frem til valget stenges. Den gamle stemmen blir da kansellert.

Kvittering for avgitt stemme

Når valgsystemet mottar en stemme sendes en kvittering for at en stemme er avgitt (dog ikke hva det er stemt på) til vedkommende stemmeberettiget sin e‐postadresse. Ved mottak av slik e‐post uten at en har avgitt stemme i det aktuelle valget bør en straks bytte passord og deretter avgi ny stemme.

Koblingen mellom identiteten til stemmegiverne og innholdet i stemmen

Når en stemme blir avgitt, skjer det to ting. For det første genereres det et unikt løpenummer som blir lagret sammen med informasjon om hvem som har avgitt stemmen i en database. Et helt annet sted blir innholdet i stemmen (altså hva man har stemt på) lagret sammen med løpenummeret. Denne siste er kryptert og dermed ikke leselig uten en nøkkel, som oppbevare på en separat maskin.

For opptellingen lastes stemmene ned til maskinen som har nøkkelen. Men i prosessen blir løpenumrene endret, slik at det ikke er mulig å sammenligne løpenumrene med databasen.

Valgstyret kan avgi stemmer for individer

Fordi det i et valg med mange stemmeberettigede er sannsynlig at minst en av disse av ulike årsaker ikke kan anvende den elektroniske valgløsningen, og fordi man selvsagt ikke kan utelukke disse fra å utøve sin stemmerett, kan valgstyret levere stemmer på vegne av individer. Slik avgivelse av stemmer vil nødvendigvis avsløre hva vedkommende stemmer på til det konkrete medlemmet av valgstyret som vil assistere med stemmeavgivelsen. Når slik stemming på vegne av andre forekommer, vil det fremgå av valgprotokollen.

Sikkerheten i valgsystemet er ikke absolutt

Sikkerheten i både et elektronisk og et analogt valgsystem er aldri absolutt. Som i det analoge valgsystemet er det alltid en risiko for at integriteten til valget eller anonymiteten til de som avgir de enkelte stemmer, blir kompromittert. En viktig årsak til dette er at det er umulig å lage et system hvor man ikke må stole på noen. Hvor det i et analogt valg primært var valgstyret og tellekorpset som kunne påvirke et resultat, er det i dette systemet valgstyret og visse systemteknikere på USIT som fyller denne rollen. Valg ved UiO har ikke samme behov for sikkerhet som f.eks. Stortingsvalg, og USIT vil ikke anbefale systemet for Stortingsvalg. Valg ved UiO har imidlertid helst andre problemer, slik som svært lav valgdeltakelse, særlig blant studenter. Av denne grunn er et elektronisk nettbasert valgsystem, som kanskje ikke er egnet for et stortingsvalg, funnet å være velegnet for et valg ved UiO.