SIDN: Veel Nederlandse zorginstellingen geen eigenaar van eigen domeinnaam

Veel Nederlandse zorginstellingen hebben hun domeinnaambeheer niet op orde. Dat zegt Stichting Internet Domeinregistratie Nederland, ofwel SIDN, op basis van eigen onderzoek. Bijna een derde van de onderzochte domeinnamen staat niet op naam van de zorginstelling.

Het onderzoek is uitgevoerd onder 2883 domeinnamen van Nederlandse zorginstellingen en in samenwerking met Z-CERT, een cybersecuritycentrum dat zich richt op de zorgsector. Uit het onderzoek blijkt dat bijna de helft van de onderzochte domeinnamen van zorginstellingen problemen vertoont, schrijft de SIDN. Deze variëren van onjuiste registratiegegevens tot potentieel malafide praktijken.

Bij een derde van de onderzochte domeinregistraties ligt het eigendom buiten de zorginstelling. De domeinnaam staat dan vaak op naam van een IT-dienstverlener of marketingbureau, maar soms ook op naam van een individuele arts of onderzoeker. De SIDN wijst erop dat dit grote problemen kan veroorzaken als een medewerker stopt bij de organisatie of als de dienstverlening van een IT-bedrijf ophoudt.

Daarnaast kan een kwaadwillende de domeinnamen opnieuw registreren en inzetten om toegang te krijgen tot gevoelige gegevens. Hierbij lopen vooral kleine zorginstellingen risico. Daarbij wordt 35 procent van de domeinnamen extern beheerd. Universitaire medische centra, ofwel umc's, scoren ook opvallend hoog, schrijft de stichting. Ongeveer 36 procent van de domeinnamen worden extern beheerd, waarschijnlijk vanwege de grote hoeveelheid domeinnamen waarover umc's beschikken.

SIDN zegt dat 7 procent van de onderzochte domeinnamen gegevens heeft geregistreerd die niet van de organisatie zijn, ook al is de domeinnaam geregistreerd bij de zorginstelling. Bij de domeinnamen van jeugdzorginstellingen is dat 17 procent. Bij de registratie staat dan het privémailadres van een medewerker, een extern webdesignbureau en in een enkel geval zelfs van een lokale sportvereniging, volgens de stichting.

Verder kwam de SIDN tijdens het onderzoek meerdere gevallen van typosquatting tegen. Hierbij wordt een domeinnaam geregistreerd die lijkt op de naam van een merk of organisatie, maar net anders gespeld. De houders van deze domeinnamen hopen ze later te verkopen, bijvoorbeeld aan de betreffende instellingen of kwaadwillenden. Typosquatting kwam het meest voor bij de umc's (10 procent), ziekenhuizen en jeugdzorg (7 procent). De stichting raadt organisaties aan om domeinnamen te registreren die net afwijken van hun domeinnaam om typosquatting te voorkomen.

Aanpassing, 16.16 uur - In het oorspronkelijke bericht staat dat het onderzoek is uitgevoerd onder 2883 zorginstellingen. Dit moesten domeinnamen van zorginstellingen zijn. Het artikel en de titel zijn aangepast.

Reacties (58)

pOZOR jED 25 maart 2025 15:30

Heel misschien SIDN, eens kijken naar de domein handel in Nederland?
Als je ziet hoeveel domeinen er geparkeerd staan bij handelaren, die mensen dolgraag hadden willen registreren.

PageFault @pOZOR jED • 25 maart 2025 15:40

Misschien een soort digitaal "kraken" zoals bij woningen en bedrijfspanden toestaan. Als domein X binnen 1 jaar niet nuttig gebruikt wordt (dus alleen de handelaarspagina laat zien), dan mag iemand anders het overnemen.....

Niemand_Anders @PageFault • 25 maart 2025 15:55

Niet nodig. Gewoon handelaren het volle pond laten betalen voor elk domein. Nu krijg groothandelaren gigantische kortingen (meer dan 90%) waardoor het langduring parkeren voor lange termijn met een hoog volume geen probleem is. Het wordt een ander verhaal als de handelaar 12 euro per jaar voor elk domein moet neerleggen. Dan kost het vastleggen van 1000 domeinen ineens 12.000 per jaar. Men zal dan sneller snoeien in de domeinen onder hun beheer...

3raser @Niemand_Anders • 25 maart 2025 16:39

Krijgen handelaren korting bij de SIDN? Volgens mij ligt die prijs toch redelijk vast op 4,25 euro per jaar.

ComputerGekkie @PageFault • 25 maart 2025 15:51

Maarja, je weet ook niet of iemand het heeft voor andere doeleinden. Ik heb zelf ook een stel domeinen waarbij ik echt niet op elk domein een website of iets vergelijkbaars heb draaien. O.a. op mijn achternaam.me domein heb ik alleen matrix en mail server draaien. Verder serveert het puur 418 errors. Stel dat mensen mijn domein zouden mogen kraken 'want niet nuttig gebruikt' dan ligt het zo op de loer dat er kwaadwillenden zijn die mijn domein kraken om mij geld af te persen zodat ik het kan blijven gebruiken.

Maar ook, buiten het gebruik van het domein voor een website, worden reversed domein namen ook gebruitk voor package names in Java. Zodat bijvoorbeeld in het geval van mijn achternaam.me domein, ik mijn packages kan publiceren als me.achternaam.packagename. Waarom dat dan nuttig is (en niet perse direct zichtbaar), is dat ik met het eigendom van het domein ook een soort eigendom heb over die package namespace en dat eigendom kan bewijzen.

Robbierut4 @ComputerGekkie • 25 maart 2025 17:51

Ik neem aan dat als ik naar jouw domein ga ik niet een reclame pagina te zien krijg van "koop dit domein".

Dus zit wel een verschil tussen handelaren en iemand als jij die het op een andere manier gebruikt.

ComputerGekkie @Robbierut4 • 25 maart 2025 17:53

Ook dan vind ik wel dat ik de vrijheid moet hebben om z’n pagina erop te zetten. Als iemand bereidt is veel euro’s neer te tellen voor mijn domein, be my guest. Tot die tijd maak ik er gebruik van.

RogerWilco2 @ComputerGekkie • 26 maart 2025 11:56

Iemand kan altijd contact met je opnemen.
Dat is wat anders dan "koop dit domein" als enige informatie op je website te hebben.

Maar het is denk ik erg lastig om een regeling te verzinnen.

[Reactie gewijzigd door RogerWilco2 op 26 maart 2025 11:56]

ZinloosGeweldig @RogerWilco2 • 26 maart 2025 14:46

Dat is wat anders dan "koop dit domein" als enige informatie op je website te hebben.

Maar het is denk ik erg lastig om een regeling te verzinnen.

Het is niet alleen lastig, het is feitelijk niet mogelijk om deterministisch vast te stellen dat een handelspagina de enige informatie of dienst die op een domein (domeinen worden voor meer gebruikt dan websites he!) beschikbaar is.

Misschien heb ik op www.fictiefdomein.nl wel een handelspagina draaien, maar op 1168a0e5-cb94-4d78-bb7c-cd72c0e8d500.fictiefdomein.nl een dienst draaien die ik gebruik.

En op www.fictiefdomein.nl/1168a0e5-cb94-4d78-bb7c-cd72c0e8d500.

Je kan niet aan een nameserver vragen "Wat zijn alle subdomeinen waarvoor een DNS records bestaat". Dat is geen bestaande DNS query.

En qua website: zelfs al heb ik DirectoryIndex openstaan, kan iemand die die DirectoryIndex bekijkt niet vaststellen dat die DirectoryIndex alomvattend is.

[Reactie gewijzigd door ZinloosGeweldig op 26 maart 2025 14:46]

RogerWilco2 @Robbierut4 • 26 maart 2025 11:55

Ik denk dat het heel lastig is om een regeling te maken die geen "nuttig" gebruik uitsluit, maar wel veel vormen van "koop dit domein" vangt. Voor de mensen die hier geld aan verdienen kan het gauw uit om de regeling uit te pluizen en dan net door de mazen te glippen.

ari3 @ComputerGekkie • 26 maart 2025 16:58

Er is geen officiële (rechtmatige) registratie van Java package namen. De Java-specificatie noemt het omdraaien van de domeinnaam als conventie, maar alle prefixes kunnen gewoon vrij gebruikt worden. Het registreren van een domeinnaam geeft je in ieder geval geen alleenrecht op het gebruik van die naam als Java package. Natuurlijk kan het niet-uniek zijn van packagenamen tot problemen leiden, dwz. in het classpath wordt alleen de klasse die het eerst gevonden wordt gebruikt en bij het modulepath mag een package maar door één module publiek geëxporteerd worden.

Het uniek maken van packages kan ook door andere unieke IDs gedaan worden, bijvoorbeeld middels een registreerd OID.

RobertMe @PageFault • 25 maart 2025 15:51

(dus alleen de handelaarspagina laat zien)

En als die niks laat zien? Mijn domeinnaam gebruik ik alleen voor een eigen mailadres/domein en self hosted software (intern en extern) en staat dus geen website op (www.<...>.nl krijg je error op dus). Dat moet toch zijn toegestaan dan? Dus dan gaan die handelaren ook gewoon de website er af halen, maar kun je op basis van whois nog steeds zien dat het van een handelaar is, of zetten ze een platform op waarop je kunt checken of het van een handelaar is.

Martinspire @RobertMe • 25 maart 2025 17:53

Mja dit, hoe weet je precies of een domein gebruikt wordt? Ik ga er niet vanuit dat SIDN dat bijhoudt en ook niet wil bijhouden.

enver63

@PageFault • 25 maart 2025 15:50

Als domein X binnen 1 jaar niet nuttig gebruikt wordt (dus alleen de handelaarspagina laat zien), dan mag iemand anders het overnemen.....

Dat zou een heel goede regel zijn. Maar het gaat in tegen het belang van 'handige handelaren', dus het zal wel niet gebeuren. En er is natuurlijk een grijs gebied...

Erwin537 @PageFault • 25 maart 2025 15:55

Ik heb geen website (meer) op mijn domein maar gebruik het nog wel voor mailboxen. Je zou als handelaar dus heel makkelijk de DNS gegevens kunnen instellen voor een mailbox. Niemand die kan zien of die mailbox daadwerkelijk actief wordt gebruikt of niet. Leuk idee, maar niet echt haalbaar.

RogerWilco2 @Erwin537 • 26 maart 2025 11:58

Precies, het gaat heel lastig zijn om met een zinnige regeling te komen.

Snow_King

@PageFault • 25 maart 2025 18:23

Wat is nuttig gebruik? SIDN kan het gebruik niet zien.

Als je het domein enkel voor mail gebruikt bijv, dat weet niemand behalve een MX record. Volume aan berichten kan SIDN niet zien.

Dus dit gaat heel lastig worden

onok

25 maart 2025 15:11

Misschien dit onderzoek ook eens doen bij de miljoen miljard domeinen die de overheid heeft

YouTube: Waarom heeft de overheid zoveel websites | De avondshow met Arjen Lu...

killercow @onok • 25 maart 2025 15:19

niet nodig:
https://organisaties.overheid.nl/domeinen/zoeken

cmpxchg @killercow • 28 maart 2025 07:06

ah agentschap telecom (met spatie) heeft dus geen website, en zonder spatie wel...

killercow @cmpxchg • 28 maart 2025 10:16

Ze heten dan ook niet meer zo:
https://www.rdi.nl/actuee...e-digitale-infrastructuur

MornixRS @onok • 25 maart 2025 15:58

Er zijn altijd wel andere dingen waar je het ook over kunt hebben maar als argument is whatabout niet meer dan een drogreden.

Wouterie @MornixRS • 25 maart 2025 19:26

Ik denk dat dit meer bedoeld is als aanvulling en niet als tegenwerping. Whataboutism heeft als doel om de kritiek te pareren en de aandacht te verleggen, zonder in te gaan op de kritiek zelf. Als hij nou had gezegd dat het onderzoek zich vooral zou moeten richten op de overheidsdomeinen, dan was het zeker whataboutism. Nu is het een 'ook' niet een 'ja maar'.

Sjah @Wouterie • 25 maart 2025 19:30

wat is dat verschijnsel whatabout nou weer?!!

Wouterie @Sjah • 25 maart 2025 19:37

Bedoel je whataboutism? Dat is een retorische techniek waarbij er niet inhoudelijk op de kritiek wordt ingegaan, maar de vraag wordt beantwoord met een wedervraag. Kinderen zijn er bijzonder goed in, maar menig wereldleider is er ook niet vies van. In plaats van inhoudelijk te reageren wordt de aandacht verlegd naar misstanden bij de ander. Bijvoorbeeld wanneer iemand wordt aangesproken op fout parkeren, die persoon dan een relaas begint over de buurman die zijn hond altijd op de stoep laat poepen.
Zeer vermakelijk doch vermoeiend.

SiC123 @Wouterie • 26 maart 2025 19:09

Of precies wat @Sjah (onbewust?) doet

Wouterie @SiC123 • 27 maart 2025 10:35

Tja, ik denk dat we niet teveel moeten doorschieten in de whataboutism-kaart te trekken. Er moet een zekere ruimte zijn voor zijweggetjes en verduidelijking, zolang je maar weer terugkomt op het hoofdpad. Ik ben toch van mening dat er een mate van opzet moet zijn om iemand te betichten van whataboutism en als het per ongeluk is, dan mag het wel wat vriendelijker. We hoeven niet altijd maar uit te gaan van kwade opzet. Dat in het algemeen, niet per se tegen jou

MornixRS @Wouterie • 26 maart 2025 11:24

De suggestie dat men iets anders (ook) moet doen is een afleiding van het huidige onderwerp en in die zin is het een klassieke whatabout. Het gaat niet om de intentie maar het gevolg van een statement.

Wouterie @MornixRS • 27 maart 2025 10:40

Daar ben ik het deels mee eens. Ik vind echter dat er altijd een zekere ruimte moet zijn voor aanvullingen en zijweggetjes, zonder dat al te snel de whataboutism-kaart getrokken wordt. Zolang er uiteindelijk wel weer wordt teruggekeerd op het oorspronkelijke pad natuurlijk. De nuance zit h'm in dat 'ook', precies wat jij tussen haken zet. Het is geen tegenwerping, geen 'negeren van het oorspronkelijke onderwerp' of poging om de aandacht te verleggen. Eerder om het breder te trekken. Dat laatste is gevaarlijk, maar ach, het kan ook wel wat vriendelijker dan meteen drogreden te roepen.

MornixRS @Wouterie • 27 maart 2025 10:47

Daar ben ik het dan ook mee eens. Het was niet perse onvriendelijk bedoeld, het komt in mijn ogen wel vaak voor dat een reactie de aandacht op iets anders vestigt waardoor het oorspronkelijke onderwerp wordt ondergesneeuwd. Nogmaals ik kan niet in het hoofd kijken van diegene die de reactie plaatste maar de clown emoji erbij suggereert toch iets anders dan jouw interpretatie.

Wouterie @MornixRS • 27 maart 2025 10:49

Helemaal mee eens. Het blijft lastig om in te schatten of iemand werkelijk een waardevolle bijdrage in het hoofd had of bezig is om een eigen agenda te volgen. De emoji maakt het niet per se duidelijker inderdaad.

eazyq @onok • 25 maart 2025 15:29

par4 @onok • 25 maart 2025 18:12

Ik snap niet hoe je de domeinen van de overheid koppelt aan dit onderzoek..?

Stukfruit 25 maart 2025 15:33

Wat mij uit dit artikel en de bron niet duidelijk wordt is of het alleen om legitieme zorginstellingen gaat of dat sites van de beruchte zorgcowboys hier ook bij horen.

denan @Stukfruit • 25 maart 2025 15:35

Het betreft legitieme organisaties en geen "zorgcowboys".

HollowGamer @Stukfruit • 25 maart 2025 15:36

Grappige is dat onze minister van Gezondheid getrouwd was met zo'n exemplaar.

RogerWilco2 @HollowGamer • 26 maart 2025 11:59

Ik verwacht niet anders van dit kabinet.

HollowGamer @RogerWilco2 • 26 maart 2025 11:59

Dat was helaas van een vorig kabinet: YouTube: Winst maken in de zorg - Zondag met Lubach (S05)

RogerWilco2 @HollowGamer • 26 maart 2025 12:04

Ah, ik was al aan het zoeken en had niks specifiek gevonden w.b.t. Fleur Agema en Leon de Jong.
Bedankt voor de verduidelijking en link.
Ik was ook geen fan van minister Schippers.

[Reactie gewijzigd door RogerWilco2 op 26 maart 2025 12:05]

swtimmer 25 maart 2025 15:55

Maar is dit niet heel gangbaar dat juist grote overheids instellingen dit hebben uitbesteed aan een KPN oid?

Willen we echt dat 2800 zorginstellingen dit soort administrieve taken insourced?

Heeft het SIDN een case waar het outsourcen van dit, naar een grote partij zoals KPN, tot een probleem heeft geleid?

denan @swtimmer • 25 maart 2025 16:02

Heeft het SIDN een case waar het outsourcen van dit, naar een grote partij zoals KPN, tot een probleem heeft geleid?

Het gaat niet alleen om enorme instellingen met een brede IT portfolio. Er zijn genoeg instellingen die gebruik maken van een lokale webdesigner die de site en domeinregistratie beheert. Ook veel voorbeelden van registraties die door een medewerker (of handige kennis) zijn opgezet.
Voorbeelden genoeg waar het mis gaat, van een partij die oude domeinnamen beheerde en opgeheven werd (waarna er anti vax nieuws op gehost werd) tot een (extern beheerde) verlopen domeinnaam die opnieuw geregistreerd werd om viagra te verkopen, volledig in de huisstijl van de zorginstelling. Extra pijnlijk als er dan ook backlinks aanwezig zijn die op de hoofdsite naar de oude domeinnaam verwijzen.

[Reactie gewijzigd door denan op 25 maart 2025 16:05]

Htbaa @denan • 25 maart 2025 16:12

Wáár het domeinnaam is ondergebracht, grote of kleine partij, doet niet ter zake. Waar het om gaat is dat het domeinnaam op naam van de klant geregistreerd wordt (en dus eigenaar is van). Je ziet helaas nog vaak (en dat is ook wat dit onderzoek uitwijst) dat een domeinnaam op naam van het webbureau/webhoster gezet wordt. Als de verkoper van dit soort domeinnamen omvalt wil het nog wel 's een dingetje zijn om gedurende de afhandeling van het faillissement toegang te krijgen tot je domeinnaam. Want die staat immers op naam van de toko, en niet jouw bedrijf.

the_shadow @swtimmer • 26 maart 2025 07:47

Maar is dit niet heel gangbaar dat juist grote overheids instellingen dit hebben uitbesteed aan een KPN oid?

Zorginstellingen zijn geen overheid, het zijn zelfstandige juridische entiteiten. Soms zijn het non-profits, maar vaker hebben ze een andere rechtsvorm.

RogerWilco2 @swtimmer • 26 maart 2025 12:09

Je kunt toch prima de administratie door een externe partij laten doen, maar wel eisen dat het domein op jouw naam staat?
Je hoeft het niet zelf te doen, maar je contact in de eigen organisatie die dan met je externe webdeveloper praat moet het meenemen.

Maestro.mosjuh 25 maart 2025 16:30

"De stichting raadt organisaties aan om domeinnamen te registreren die net afwijken van hun domeinnaam om typosquatting te voorkomen."

Dat klinkt in theorie natuurlijk leuk, maar is in de praktijk toch bijna niet te doen? Voor zo'n beetje elke naam zijn er honderden, zo niet duizenden, variaties te bedenken - volgens mij is het schier-onmogelijk die allemaal te registreren (nog los van de kosten daarvoor).

Wikipedia:

"Typosquatting is een vorm van misbruik van het internet gebaseerd op het feit dat mensen zich weleens vergissen bij het intypen van een websiteadres. De typosquatter zet een website op, waarvan het adres (domeinnaam) slechts heel weinig verschilt van het adres van een populaire website. Alle internetgebruikers die dezelfde typefout of vergissing maken, komen terecht op de website van de typosquatter."

Hoe kan je een volledige lijst maken van/met mogelijke typefouten?

FanaticNL 25 maart 2025 16:37

Ik neem aan dat heel veel kleine zorginstellingen hun ICT volledig uitbesteden waarbij ook de domeinregistratie wordt geregeld. Zo heel verrassend vind ik dit niet.

De echte vraag is of de zorginstelling het scherp hebben dat de domeinen extern geregistreerd staan en dus iets moeten regelen als een overeenkomst stopt.

Dat het persoonsgebonden geregistreerd staat is niet handig, maar ik ga er vanuit dat dit meestal niet de hoofdwebsite zal zijn. Slechts projectwebsite e.d.

denan @FanaticNL • 25 maart 2025 19:39

Dat het persoonsgebonden geregistreerd staat is niet handig, maar ik ga er vanuit dat dit meestal niet de hoofdwebsite zal zijn. Slechts projectwebsite e.d.

Nee, naast afdelingen (vooral bij grotere ziekenhuizen), apotheken en service/dienstverlening sites zijn er ook hoofdsites geregistreerd op naam van een individu.

Opruimen is, zoals het sidn stuk aangeeft, een klein klusje. En men hoopt dat met deze informatie instellingen getriggerd worden dat te doen.

IPrange.net 25 maart 2025 16:39

Er is hier een mooie website voor https://basisbeveiliging.nl/ hier staan domeinen van de overheid, zorg, onderwijs, politieke partijen en cybersecuritybedrijven op vermeld.

Leuk om eens door heen te zoeken maar ook zorgelijk dat nog we nog een lange weg te gaan hebben om de basis beveiliging bij iedereen op orde te hebben.

Martinspire 25 maart 2025 17:57

Op zich een goed plan, maar we weten wel dat grote partijen vaker beter beschermd zijn tegen DDOS en hack-pogingen. Genoeg bedrijven die zich in het verleden gebrand hebben aan dergelijke zaken en het liever uitbesteden.

Ik denk dat je beter per wet kunt verplichten dat die externe site alsnog moet werken met een domeinnaam die eigendom is van het bedrijf, maar niet dat het helemaal niet meer ergens anders mag staan. Want anders heb je het risico dat een hacker een bedrijf helemaal buitensluit en het lang duurt voordat de controle weer is hersteld. Dan heeft het meer nut dat men daadwerkelijk een plan b heeft, dan dat je domeinen gaat forceren.

mafl 25 maart 2025 19:09

De hoeveelheid domeinnamen onder het TLD zijn gewoon helemaal uit de hand gelopen. Stel nou dat we het hierarchisch hadden gebruikt, zoals het ook is ontworpen, dan:

.nl = nederland
.gov.nl = overheidsinstellingen in nederland
.amsterdam.gov.nl = gemeente amsterdam
etc
of
cs.uu.edu.nl = computer science afdeling van de universiteit utrecht, een nederlandse universiteit

Het was dan voor mensen veel makkelijker geweest om te herkennen of een website legitiem is. eindigt het op een bekend achtervoegsel, dan is het voorvoegsel door de vertrouwensketen ook te vertrouwen. Nu moeten we elke website apart onthouden. Doet ook meteen de deur dicht voor malafide subdomeinregistraties, want die worden door de zonehouders natuurlijk streng gecontroleerd.

gemiste kans, helaas keren we dat niet meer om.

BCC 25 maart 2025 15:23

Is dit de manier waarom het SIDN zijn ongenoegen uit over het kabinetsbesluit om geen verhuizing naar AWS toe te staan? Dit soort onderzoeken op de zorgsector voelt nogal als open deuren intrappen.

Wat is het doel van dit onderzoek?

[Reactie gewijzigd door BCC op 25 maart 2025 15:24]

denan @BCC • 25 maart 2025 15:25

Wat is het doel van dit onderzoek?

Zorginstellingen erop wijzen dat met een paar administratie opruimacties toekomstige problemen voorkomen kunnen worden.

[Reactie gewijzigd door denan op 25 maart 2025 15:26]

killercow @denan • 25 maart 2025 15:27

Daar bestaat Z-cert voor.

denan @killercow • 25 maart 2025 15:29

Daar bestaat Z-cert voor.

En die werkten hier aan mee. Er zijn nog genoeg issues te vinden, hier en daar ook met grote gevolgen (zie het artikel).

[Reactie gewijzigd door denan op 25 maart 2025 15:32]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (58)

Sorteer op:

Weergave: