De Stemwijzer is lek. De belangrijke tool waarmee kiezers aan de hand van een aantal stellingen een stemadvies krijgt blijkt last te hebben van privacy- en beveiligingsproblemen. Wat is er de afgelopen 2 dagen nou precies ontdekt?

De ophef over de Stemwijzer is tweeledig. Aan de ene kant ontdekte een beveiligingsonderzoeker dat er meerdere beveiligingslekken in de website zaten, maar er is nog een ander probleem: het is niet erg anoniem. De Stemwijzer maakt namelijk gebruik van een aantal tools van Google, én stuurt ieder antwoord door naar de makers van de wijzer.

De site van de Stemwijzer maakt gebruik van zowel Google Analytics voor het meten van websitebezoek, als van Google AdSense voor het tonen van advertenties.
 

Analytics

Google Analytics draait op een groot aantal websites op internet, en is een gedetailleerde manier om het bezoek van websites te meten. Dat betekent dat Google ook precies weet wie wat aanklikt op de website. Opvallend is daarbij dat de website elke keer een berihtje naar Analytics stuurt als er een keus is gemaakt. Dat betekent dat Google via Analytics precies kan zien welke aparte keuzes stemmers maken.

Google-data is via Analytics grotendeels geanonimiseerd, maar dat wil niet zeggen dat gegevens niet tot de persoon te herleiden zijn. ProDemos zegt zelf ip-adressen door Google te laten anonimiseren, maar dat geldt alleen voor Googles eigen diensten. Dat betekent dat het bedrijf zelf niets met de gegevens mag doen, maar dat kan wel als Google er bijvoorbeeld om gevraagd wordt in een gerechtelijk bevel. Ook zou het kunnen dat berichten onderweg onderschept worden.
 

Google Analytics is nooit écht anoniem

Daar komt bij dat de stemkeuzes nog steeds te koppelen zijn aan een unieke identifier. Als je die van iemand kunt achterhalen, is het in theorie mogelijk zijn keuzes te onderscheppen.
 

Data voor onderzoek gebruikt

Er staat daarnaast een opvallende clausule in het privacybeleid van de StemWijzer: data wordt "geanonimiseerd" gebruikt voor onderzoek. Dat gebeurt dit jaar voor het eerst. Er wordt ruwe data 'met encryptie' opgeslagen, en aangeboden aan de Universiteit van Amsterdam. Volgens de clausule is de data geanonimiseerd is kan niemand achterhalen vanaf welke computer de antwoorden zijn verstuurd.

Dat wordt bevestigd door de vondst van Kloeze, die ook zag dat alle data ná het stemmen wordt teruggestuurd naar de server van ProDemos. "Je kunt je afvragen of dat nodig is", schrijft hij in een post. De hele stemwijzer wordt namelijk al voor je begint ingeladen. "Je kunt dan je computer van het internet ontkoppelen en nog steeds de Stemwijzer gewoon maken".
 

Advertentienetwerken

Er is ook kritiek op de advertentienetwerken die op de site van de Stemwijzer staan. Ook die komen van Google af, en zijn afkomstig van het DoubleClick-netwerk. Volgens de Stemwijzer zijn advertenties nodig om de kosten te betalen, maar sommige critici zijn het daar niet mee eens. Uit een jaarverslag bleek vorig jaar namelijk dat ruim 90% van de kosten van de Stemwijzer door de overheid werd gesubsidieerd. Advertenties beslaan maar een minimaal deel van de inkomsten, en kunnen volgens critici dan ook makkelijk van de site worden gehaald.
 

Resultaten af te lezen

De resultaten zijn makkelijk uit te lezen

Er is echter meer aan de hand met de website. Die is namelijk lek, en de resultaten zijn makkelijk uit te lezen. Er wordt al maanden gewaarschuwd dat de website niet veilig is, al zijn er sinds die tijd ook wel veel maatregelen ingevoerd. Zo ging het verkeer lange tijd niet over SSL, maar is er inmiddels https geïmplementeerd. Toch zijn er nog meer dan genoeg fouten in de website te vinden.

Dat ontdekte beveiligingsonderzoeker Loran Kloeze, die zijn bevindingen op Twitter zette. Dat is niet eens moeiijk, want volgens Kloeze kon dat gewoon met de standaard debugging-tools die in browsers zitten. Een gedetailleerdere beschrijving heeft Kloeze op zijn blog gezet. Waar het op neer komt, is dat het eindresultaat te vinden is in een php-script op de pagina. Met een python-applicatie die Kloeze schreef kon hij onderscheppen welke resultaten uit de Stemwijzer naar voren kwamen. Zo kan hij monitoren welke partijen het vaakst wordt gegeven. Dat is belangrijke informatie, al zegt de organisatie achter de Stemwijzer dat dat geen representatieve weergave is van de uiteindelijke resultaten.
 

Manipuleren van resultaten

Belangrijker is het secundaire bewijs dat de website lek is. Waar Kloeze slechts data kan uitlezen, zijn er ook aanwijzingen dat de data actief gemanipuleerd is. In de broncode is namelijk ergens de variabele "SijmenRuwhofIsEenLul" te zijn, een verwijzing naar de beveiligingsonderzoeker die vorige week met RTL aantoonde dat het verkiezingsproces onveilig is.

Het lijkt erop alsof data ook te manipuleren is

Het lijkt erop dat het via een soort injectie mogelijk is eigen velden aan de Stemwijzer toe te voegen. De website 'Meedogenloos.nl' heeft inmiddels geclaimd die wijziging te hebben gedaan, maar geeft daar verder geen bewijs of uitleg over. Volgens een Tweakers-forumlid is het mogelijk om een JSON-injectie op te site uit te voeren. Dat gebeurt door een kwetsbaarheid in het AJAX-script dat ervoor zorgt dat de resultaten uiteindelijk weer worden teruggestuurd naar de server van ProDemos - opnieuw dat punt waar Kloeze zich al zorgen over maakte.

Reactie van ProDemos

ProDemos heeft inmiddels gereageerd op de aantijgingen. Volgens de organisatie heeft het al enkele maanden contact met het Nationaal Cyber Security Centrum om diverse beveiligingsproblemen op te lossen, maar zijn er sinds de onthullingen van Kloeze nog extra maatregelen genomen. De instantie erkent dat het mogelijk was dat de code 'SimonRuwhofiseenlul' op de site kon komen, maar voegt daar direct aan toe dat het nooit mogelijk is geweest om stemmen te beïnvloeden.

Het gevaar van onveilige stemwijzers

Onveilige stem-tools zijn zeker nu een heet hangijzer

Ondanks die uitspraak is de beveiliging van de website juist nu een belangrijk onderwerp. Security-experts waarschuwen er namelijk al maanden voor dat de beveiliging van de aankomende verkiezingen gevaar loopt. Vorige week ontdekte RTL bijvoorbeeld al dat de software waarmee de stemmen worden geteld lek was, waardoor het van een afstandje mogelijk is die te onderscheppen en zelfs te manipuleren.

Daarnaast onthulde de Nationaal Coördinator Terrorismebestrijding Dick Schoof vorige week dat Rusland diverse inbraakpogingen had gedaan bij het Ministerie van Algemene Zaken, al werd er tijdens die hacks geen data buitgemaakt.

Inmiddels is ook al bekend dat Rusland achter de hacks zat op de Democratic National Committee, de Amerikaanse Democratische Partij waarvan vorig jaar tienduizenden emails naar buiten kwamen. Amerikaanse inlichtingen- en opsporingsdiensten hebben inmiddels geconcludeerd dat Rusland dat deed om de verkiezingen actief te beïnvloeden.

Waarom start een computer met een SSD binnen enkele seconden op, terwijl een oude harde schijf blijft ratelen? Het vervangen van een HDD door een SSD is de beste upgrade voor een trage laptop of pc. We leggen in dit artikel uit waar die enorme snelheidswinst vandaan komt en wat het fundamentele verschil is tussen deze twee opslagtechnieken.

Iedereen die zijn computer of laptop een tweede leven wil geven, krijgt vaak hetzelfde advies: vervang de oude harde schijf door een SSD. De snelheidswinst is direct merkbaar bij het opstarten en het openen van programma's. Maar waar komt dat enorme verschil in prestaties vandaan? Het antwoord ligt in de fundamentele technologie die schuilgaat onder de behuizing van deze opslagmedia.

De vertraging van mechanische onderdelen

Om te begrijpen waarom een Solid State Drive (SSD) zo snel is, moeten we eerst kijken naar de beperkingen van de traditionele harde schijf (HDD). Een HDD werkt met magnetische roterende platen. Dat kun je vergelijken met een geavanceerde platenspeler. Wanneer je een bestand opent, moet een fysieke lees- en schrijfkop zich naar de juiste plek op de draaiende schijf verplaatsen om de data op te halen. Dat fysieke proces kost tijd, wat we latentie noemen. Hoe meer de data op de schijf verspreid staat, hoe vaker de kop heen en weer moet bewegen en wachten tot de juiste sector onder de naald doordraait. Dit mechanische aspect is de grootste vertragende factor in traditionele opslag.

©Claudio Divizia

Flashgeheugen en directe gegevensoverdracht

Een SSD rekent definitief af met deze wachttijden omdat er geen bewegende onderdelen in de behuizing zitten. De naam 'Solid State' verwijst hier ook naar; het is een vast medium zonder rammelende componenten. In plaats van magnetische platen gebruikt een SSD zogenoemd NAND-flashgeheugen. Dat is vergelijkbaar met de technologie in een usb-stick, maar dan veel sneller en betrouwbaarder. Omdat de data op microchips wordt opgeslagen, is de toegang tot bestanden volledig elektronisch. Er hoeft geen schijf op toeren te komen en er hoeft geen arm te bewegen. De controller van de SSD stuurt simpelweg een elektrisch signaal naar het juiste adres op de chip en de data is direct beschikbaar.

Toegangstijd en willekeurige leesacties

Hoewel de maximale doorvoersnelheid van grote bestanden bij een SSD indrukwekkend is, zit de echte winst voor de consument in de toegangstijd. Een besturingssysteem zoals Windows of macOS is constant bezig met het lezen en schrijven van duizenden kleine systeembestandjes. Een harde schijf heeft daar enorm veel moeite mee, omdat de leeskop als een bezetene heen en weer moet schieten. Een SSD kan deze willekeurige lees- en schrijfopdrachten (random read/write) nagenoeg gelijktijdig verwerken met een verwaarloosbare vertraging. Dat is de reden waarom een pc met een SSD binnen enkele seconden opstart, terwijl een computer met een HDD daar soms minuten over doet.

©KanyaphatStudio

Van SATA naar NVMe-snelheden

Tot slot speelt de aansluiting een rol in de snelheidsontwikkeling. De eerste generaties SSD's gebruikten nog de SATA-aansluiting, die oorspronkelijk was ontworpen voor harde schijven. Hoewel dat al een flinke verbetering was, liepen snelle SSD's tegen de grens van deze aansluiting aan. Moderne computers maken daarom gebruik van het NVMe-protocol via een M.2-aansluiting. Deze technologie communiceert rechtstreeks via de snelle PCIe-banen van het moederbord, waardoor de vertragende tussenstappen van de oude SATA-standaard worden overgeslagen. Hierdoor zijn snelheden mogelijk die vele malen hoger liggen dan bij de traditionele harde schijf.

Misschien heb je wel eens een vraag gesteld aan een AI-chatbot als ChatGPT, Microsoft Copilot of Perplexity. Maar hoe ontwerp je zelf nu zo'n chatbot? Met de juiste tools is daar zelfs weinig tot geen programmeerwerk voor vereist. We bekijken twee uiteenlopende oplossingen.

Een AI-chatbot is een digitale gesprekspartner die wordt aangedreven door kunstmatige intelligentie. Meestal is de intelligentie gebaseerd op een taalmodel dat is getraind om mensachtige gesprekken te voeren. In tegenstelling tot traditionele op regels gebaseerde chatbots, die alleen vooraf ingestelde antwoorden geven, kan een AI-chatbot vrije tekst begrijpen en ‘natuurlijke’ reacties geven.

In dit artikel kijken we naar het bouwen van een eigen chatbot die je op je desktop of mobiel kunt gebruiken en zelfs op een eigen website kunt plaatsen. We bespreken twee manieren. De eenvoudigste is een no-code chatbotplatform dat het AI-gedeelte achter de schermen afhandelt en je via een gebruiksvriendelijke interface laat bepalen hoe de gespreksflow verloopt. Typische voorbeelden zijn Chatfuel en Chatbot voor zakelijke toepassingen. Daarnaast zijn er de meer toegankelijke Poe en Coze, die we hier behandelen. Onze tweede oplossing is technischer, maar flexibeler. Daarbij gebruik je de Application Programming Interface (API) van een AI-taalmodel om de AI-functionaliteit in je eigen omgeving te integreren. Hiervoor werken we graag met de online omgeving Google Colab.

Poe

Laten we starten met een gebruiksvriendelijke optie: het no-code chatbotplatform Poe (www.poe.com). Je kunt hier ook de app voor desktop of mobiel downloaden en installeren, met vrijwel dezelfde interface en functies als in de browser. De eerste keer maak je een account aan of meld je je aan met je Google- of Apple-account. Via Bots and apps kun je met allerlei AI-chatbots praten, maar in dit geval willen we vooral een eigen chatbot maken. Concreet gaat het om het creëren van een eigen ‘persona’ binnen een gekozen AI-model. Zo’n persona kun je zien als het perspectief, de rol of identiteit die je een AI-bot meegeeft.

Klik hiervoor op Create +. Je krijgt nu verschillende opties, zoals Image generation bot, Video generation bot en Prompt bot. Wij kiezen dit laatste.

Creatie

Je hoeft nu eigenlijk alleen maar een onlineformulier in te vullen. We doorlopen kort de belangrijkste onderdelen. Naast het gekozen bottype moet je een naam verzinnen. Omdat deze deel uitmaakt van de url, kies je bij voorkeur een originele, korte naam in kleine letters. Voeg ook een beschrijving toe, die zichtbaar is voor gebruikers van je bot.

Bij Base bot selecteer je een geschikt AI-model, bijvoorbeeld Claude-Haiku-3, GPT-4o-mini, GPT-5 of Grok-4. Afhankelijk van het model gelden er soms beperkingen. Poe-abonnees krijgen doorgaans uitgebreidere toegang tot de duurdere modellen.

Bij Prompt beschrijf je nauwkeurig en uitgebreid hoe de bot moet reageren. De optie Optimize prompt for Previews kun je uitgeschakeld laten. Vul bij Greeting message een welkomstwoord in dat de bot bij elke start toont. Het onderdeel Advanced kun je eigenlijk ongemoeid laten, maar interessant is wel dat je bij Custom temperature het ‘creativiteitsgehalte’ van de bot kunt instellen: hoe hoger de waarde, hoe creatiever en onvoorspelbaarder.

Bij Access kies je de zichtbaarheid van je bot. Wellicht is Only people with the access link de handigste optie, waarna de url zichtbaar wordt en je deze kunt verspreiden. Klik bovenin op Edit picture en kies of ontwerp een passend pictogram. Is alles ingevuld, klik dan onderin op Publish. Je bot is nu klaar voor gebruik. Om je bot te bewerken, hoef je deze maar bij Bots and apps te selecteren en via het knopje met de drie puntjes op Edit te klikken. Ook de optie Delete is beschikbaar.

GPT's van OpenAI

Binnen de omgeving van OpenAI (https://chat.openai.com) kun je ook je eigen AI-chatbots maken, de zogeheten GPT’s. Hiervoor heb je wel een plusabonnement nodig (23 euro per maand). Je bent daarbij ook beperkt tot de GPT-modellen van OpenAI, maar je kunt je creaties wel delen via een link of in de GPT-store.

In het kort werkt dit als volgt. Meld je aan en klik links op GPT’s. Klik rechtsboven op + Maken. Via Configureren stel je alles handmatig in, maar via Maken kan het ook ‘al converserend’. Beschrijf kort wat je GPT moet doen en voor wie. Laat de tool een naam en profielfoto voorstellen en beantwoord de vragen om toon en werking af te stemmen. Test je GPT in de preview en ga daarna naar Configureren, waar je naam, beschrijving, instructies en gespreksopeningen ziet. Bij Kennis kun je bestanden uploaden zodat je GPT ook informatie uit je eigen documenten haalt. Via Nieuwe handeling maken koppel je eventueel acties aan externe API’s, gebruik alleen API’s die je vertrouwt. Bevestig met Maken en bepaal hoe je je GPT deelt: Alleen ik, Iedereen met de link of GPT-winkel (in een zelfgekozen categorie). Rond af met Opslaan. Je kunt de link (https://chatgpt.com/g/<code><naam>) daarna kopiëren en verspreiden. Via GPT’s / Mijn GPT’s kun je eerder gemaakte GPT’s bewerken of verwijderen.

Je kunt ook je ook eigen ‘chatbots’ (GPT’s) ontwerpen, gebruiken en met anderen delen.

Poe biedt ook geavanceerdere mogelijkheden als een Server bot-type (waarmee je ook andere API’s kunt aanroepen). Via Knowledge base kun je verder eigen informatiebronnen toevoegen waaruit de bot kan putten. Voor complexere bots gebruiken we toch liever het no-code platform Coze (www.coze.com) dat veel extra opties kent. Meld je aan met je Google-account, klik op + Create in de linkerkolom en daarna op + Create bij Create agent.

Coze

Coze gebruikt de term agent in plaats van bot om duidelijk te maken dat je er een digitale assistent mee kunt maken die niet alleen met een AI-model antwoorden geeft, maar ook geheugen of context kan gebruiken en meerdere kanalen kan bedienen, zoals een website of een Discord-server, maar zover gaan we hier niet.

Vul een passende naam voor je bot of agent in en schrijf een korte maar duidelijke omschrijving, bijvoorbeeld “Deze bot haalt allerlei informatie uit onze eigen documenten rond computerbeveiliging.” Laat Personal geselecteerd bij Workspace en klik linksonder op het knopje om een geschikt pictogram te uploaden of klik op het sterretje om er een te laten genereren. Klik daarna op Confirm.

Uitwerking

Je komt nu in je dashboard waar je de bot verder vorm kunt geven. Ontwerp de persona door in het linkerdeelvenster een uitvoerige omschrijving van de bot in te vullen. Optimaliseer deze omschrijving snel met het blauwe knopje Auto Optimize prompt rechtsboven. Na bevestiging met Auto-optimize werkt Coze meteen een geoptimaliseerde prompt uit voor de persona. Klik op Replace om deze te gebruiken. In het rechterdeelvenster kun je je bot direct testen. De antwoorden komen uit de kennisdatabank van het geselecteerde model (zoals GPT-4o).

Wil je dat de bot ook uit eigen bronnen put, dan moet je deze eerst uploaden. Dit doe je in het middelste deelvenster, bij

Knowledge, waar je uit Text, Table en Images kunt kiezen. Klik op het plusknopje bij bijvoorbeeld Text en daarna op Create knowledge. Selecteer Text format en geef een naam aan je informatiebundel. Je kunt data ophalen uit bronnen als Notion of Google Doc, maar wij kiezen voor Local documents om eigen bestanden te uploaden. Klik op Create and import en versleep de gewenste documenten naar het venster. Klik daarna op Next (3x) en wat later zijn je documenten verwerkt. Rond af met Confirm en met Add to Agent rechtsboven. Je vindt je informatiebundel nu terug bij Knowledge en de bot put voortaan (ook) uit deze gegevens.

Om je bot beschikbaar te maken, klik je rechtsboven op Publish en daarna op Confirm. Je kunt hem op diverse platformen publiceren, onder meer in de Coze Agent Store. Selecteer een passende categorie en bevestig met Publish.

Extra's

Daarnaast biedt Coze nog diverse andere nuttige opties, zoals talrijke plug-ins. Klik hiervoor op het plusknopje bij Plugins of gebruik het A-knopje om automatisch geschikte plug-ins te laden op basis van je persona-beschrijving. Deze kun je meteen inzetten, eventueel na optimale afstelling via het tandwielpictogram.

API-sleutels

No code-platformen als Poe en Coze zijn handig, maar wil je meer flexibiliteit en schrik je niet terug voor enige basiscodering, dan werk je beter met de API van een AI-model. Deze fungeert als tussenpersoon die je script en de AI-dienst laat communiceren via een set regels en commando’s. We gaan uit van de API van OpenAI (GPT) en maken eerst een sleutel aan om de API-interface te gebruiken. Ga naar https://platform.openai.com/api-keys, meld je aan met je account (zoals Google) en klik op +Create new secret key. Geef de sleutel een naam, bijvoorbeeld aibot, en klik op Create secret key. Klik daarna op Copy en bewaar de sleutel op een veilige plek. Rond af met Done: de sleutel is nu toegevoegd. Je kunt deze hier op elk moment ook weer intrekken.

Interactie

Een snelle manier om een script te maken dat deze API aanroept, is via het gratis Google Colab (https://colab.research.google.com), een online notitieboek voor Python. Meld je aan met je Google-account, klik op + Nieuw notebook of ga naar Bestand en kies Nieuw notebook in Drive, en geef het ipynb-bestand (Interactive PYthon NoteBook) een zinvolle naam. Het notebook wordt automatisch in je Google Drive bewaard en is bereikbaar via het pictogram met de oranje cirkels.

Klik nu op + Code voor je eerste codecel, waarmee je de OpenAI-bibliotheek installeert:

!pip install openai

Voer dit uit met het pijlknopje en klik vervolgens op + Code voor de tweede cel met de volgende code:

from openai import OpenAI

client = OpenAI(api_key="<je_API-sleutel>")

response = client.chat.completions.create(

    model="gpt-3.5-turbo",

    messages=[{"role": "user", "content": "Wat weet je over Haarlem( Nederlands)?"}]

)

print(response.choices[0].message.content)

Je laadt hierbij eerst de geïnstalleerde Python-bibliotheek en zet je geheime sleutel in de clientconfiguratie. Vervolgens stuur je een chataanvraag naar OpenAI en bewaar je het antwoord in de variabele ‘response’. Vervolgens haal je de tekst van het (eerste) antwoord op en druk je dit af in de uitvoer van de code-cel.

Eigen chatbot

 We gaan nu een stap verder en maken er een heuse chatbot van die via een while-lus een doorlopend gesprek kan voeren:

from openai import OpenAI

client = OpenAI(api_key="<je_API-sleutel>")

messages=[

    {"role":"system","content":"Je beantwoordt elke prompt leuk, maar correct, met een rijmschema zoals ABAB of ABBA"}]

while True:

  user_input=input("Jij:")

  if user_input.lower() in ["stop","exit","quit"]:

    break

  messages.append({"role":"user","content":user_input})

  response=client.chat.completions.create(

      model="gpt-4o",messages=messages)

  bot_reply=response.choices[0].message.content

  print("Bot:",bot_reply)

  messages.append({"role":"assistant","content":bot_reply})

Zolang de gebruiker geen stopwoord invoert, blijft de lus actief. De bot antwoordt in de stijl en taal die je zelf hebt vastgelegd in de systeemrol (zie coderegel 3). Met de methode-aanroep messages.append voeg je telkens een nieuw bericht van zowel de gebruiker (user) als de bot (assistant) toe aan de gespreksgeschiedenis.

Mocht je ergens een fout hebben gemaakt in je script, dan is de kans groot dat je via de knop Fout uitleggen nuttige feedback krijgt en met de knop Accepteren (en uitvoeren) de fout zelfs automatisch kunt laten verbeteren.

In het kader ‘Mooi gepresenteerd’ lichten we kort toe hoe je dit script bijvoorbeeld ook op een eigen webpagina kunt laten draaien.

Mooi gepresenteerd

Je Colab-script werkt, maar het oogt niet fraai en je wilt het natuurlijk mooi gepresenteerd met anderen delen. Dit doe je het makkelijkst met Gradio, een opensource-Python-bibliotheek waarmee je snel een webinterface rond je script bouwt. Installeer en importeer daarvoor eerst Gradio in je Colab-omgeving:

!pip install -q gradio

import gradio

Via www.kwikr.nl/colabcode vind je de code (als py-bestand) waarmee je rond het Colab-script met Gradio een eenvoudige webinterface genereert. Deze verschijnt in je Colab-omgeving, maar je krijgt ook een publieke url te zien waar je de interface rechtstreeks kunt openen (https://<code>.gradio.live).

Dankzij de volgende aanroep in de laatste coderegel kunnen bezoekers van deze webpagina je chatbot-script ook als PWA-app op hun pc bewaren en starten:

demo.launch(share=True,pwa=True)

Een alternatief is deze webpagina via een <iframe>-instructie in de html-code van je eigen site op te nemen:

<iframe src=https://<code>.gradio.live></iframe>

Gradio heeft een eenvoudige webinterface gecreëerd voor ons chatbotscript.