Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Helft van onderzochte domeinnamen in de zorg administratief niet op orde

Van 30% van de onderzochte domeinregistraties ligt het volledige eigendom buiten de zorginstelling

Verplegend personeel in de gang van een ziekenhuis
  • dinsdag 25 maart 2025

Samen met Z-CERT, het expertisecentrum voor cybersecurity in de zorg, heeft SIDN, beheerder van het .nl-domein, onderzoek gedaan naar de veiligheid van zo'n 2.900 domeinnamen in verschillende zorggerelateerde sectoren. De resultaten laten zien dat domeinnaambeheer niet op orde is bij veel zorginstellingen. Zo staat bijna een derde van de onderzochte domeinnamen niet op naam van de zorginstelling. Ook zijn bij zo'n 17% van de domeinnamen in de jeugdzorg contactgegevens geregistreerd die niet van de zorginstelling zijn.

Groot deel van domeinnamen heeft aandacht nodig

Door de toenemende digitalisering van de zorg, verschuift de focus van fysieke naar digitale veiligheid. Patiëntgegevens, communicatie tussen zorgverleners en zelfs medische apparatuur zijn steeds meer afhankelijk van een betrouwbare en veilige online infrastructuur. Domeinnamen worden hierbij vaak over het hoofd gezien als potentieel risico. Toch laten recente datalekken zien dat kwetsbaarheden in domeinnaambeheer een cruciale rol kunnen spelen in het ontstaan van beveiligingsincidenten.

Uit het onderzoek blijkt dat bijna de helft van de onderzochte domeinnamen van zorginstellingen problemen vertoont. Deze problemen variëren van onjuiste registratiegegevens tot potentieel malafide praktijken. In dit artikel bespreken we de meest voorkomende problemen, de risico’s en geven we handvatten om deze aan te pakken.

Verkeerde contactgegevens

Een deel van de domeinnamen (ongeveer 7%) bevat verkeerde contactgegevens. Hoewel de domeinnaam wel geregistreerd is door de zorginstelling, zijn de bijbehorende contactgegevens niet van de organisatie. Bij de registratie staat dan het privémailadres van een medewerker, een extern webdesignbureau en in een enkel geval zelfs een lokale sportvereniging. Staan de contactgegevens niet op naam van de organisatie, dan kan de domeinnaam zonder medeweten van de zorginstelling worden overgezet naar iemand anders, of worden opgezegd. Het probleem met verkeerde houderdata komt regelmatig voor. Bij jeugdzorg zien we dat ongeveer 17% van de domeinregistraties externe contactgegevens bevat.

Domeinnaam geen eigendom

Bij ongeveer 30% van de onderzochte domeinregistraties ligt het eigendom buiten de zorginstelling. Vaak staat de domeinnaam dan op naam van een IT-dienstverlener of marketingbureau, maar soms ook op naam van een individuele arts of onderzoeker. Dit gebeurt vaak uit gemak: een medewerker of externe partij registreert even snel een domeinnaam, zonder tussenkomst van de IT-afdeling.

Als de dienstverlening van de IT-leverancier stopt, of als de medewerker de organisatie verlaat, kan dit grote problemen veroorzaken. Vaak worden deze domeinnamen nog vertrouwd in interne mailservers en applicaties. Een kwaadwillende kan deze domeinnamen opnieuw registreren en inzetten om toegang te krijgen tot gevoelige gegevens.

Aandachtspunt voor kleine organisaties en ziekenhuizen

Dit risico is vooral hoog bij kleinere organisaties, zoals organisaties in de verpleeg- en verzorgingshuizen en thuiszorg (VVT), maar ook gehandicaptenzorg. Daar wordt rond de 35% van de domeinnamen extern beheerd. Ook universitaire medische centra (UMC) scoren opvallend hoog (36%), waarschijnlijk door het grote aantal domeinnamen dat zij gebruiken en de zelfstandigheid van onderzoekers en afdelingen. Kenmerkend voor ziekenhuizen in het algemeen: zij hebben vaak te maken met websites van patiëntenverenigingen, jaarverslagen of fondsenwervende initiatieven (zoals “Vrienden van…”). Deze sites gebruiken vaak de huisstijl van het ziekenhuis, maar zijn niet in eigen beheer en worden extern gehost.

Olifantenpaadjes en schaduw-IT

Het is begrijpelijk dat zorginstellingen, vooral kleinere, soms kiezen voor snelle oplossingen. Een handige medewerker of externe webdesigner regelt de domeinnaamregistratie, zonder dat de IT-afdeling erbij betrokken is. Dit lijkt efficiënt, maar kan later tot problemen leiden. Het risico van dit soort goedbedoelde ‘schaduw-IT’ is bij de meeste partijen bekend en kent in de praktijk ook pijnlijke voorbeelden. Zo zagen wij een domeinnaam van een ziekenhuis die extern geregistreerd was en niet verlengd werd. De domeinnaam werd opnieuw geregistreerd door een anonieme partij en bevatte een kopie van de echte website, met een bestelportaal voor ongereguleerde medicatie.

Potentieel malafide registraties

Tijdens het onderzoek stuitten we ook op domeinnaamregistraties die mogelijk malafide zijn. Het aantal is gelukkig laag, iets meer dan 2% van alle resultaten. Deze domeinnamen maken vaak gebruik van de naam van een zorginstelling, maar zijn geregistreerd door onbekende partijen, meestal met buitenlandse adressen en anonieme e-mailaccounts.

De focus op dit vlak ligt vooral bij UMC’s en ziekenhuizen. Dit lijkt verband te houden met grotere naamsbekendheid en sterkere online aanwezigheid.

Typosquats

Bij typosquatting worden domeinnamen geregistreerd die sterk lijken op bijvoorbeeld een merknaam of de naam van een bedrijf of instelling, maar met kleine typefouten (bijvoorbeeld “…zieknhuis.nl”). Deze domeinen worden vaak geregistreerd door zogenaamde ‘domainers’, die hopen ze later met winst door te verkopen. Dat kan aan de zorginstelling zelf zijn, of aan een kwaadwillende.

In de tussentijd worden op deze domeinen vaak advertenties gehost, die mogelijk malware verspreiden. We zagen typosquatting het meest bij UMC’s (10%), ziekenhuizen en jeugdzorg (ongeveer 7%).

Er is nog veel te doen, maar er is ook goed nieuws

Bij onze analyse kwamen we veel zaken tegen die verkeerd gingen, maar ook opvallende partijen die alles goed op orde hadden. Zo zagen wij meerdere kleine en grote zorginstellingen die een afdeling verantwoordelijk hadden gemaakt voor het domeinbeleid. En met succes zo blijkt, want wij troffen er geen onvolkomenheden aan. Ook de GGD’s scoorden hier opvallend goed, praktisch alle registratiegegevens waren correct en de domeinnamen stonden op naam van de instelling.

Best practices

Zorginstellingen hebben vaak te maken met kwetsbare doelgroepen en gevoelige patiëntgegevens. Daarom is het essentieel dat de IT-infrastructuur goed functioneert en betrouwbaar is. Niet iedereen kan zich gemakkelijk bewegen in het steeds complexere digitale landschap, maar door alles goed te regelen, voorkom je problemen voor zowel medewerkers als patiënten.

Onze aanbevelingen:

  • Zorg ervoor dat een domeinnaamregistratie altijd op naam van de zorginstelling staat, en de contactgegevens op naam van de IT-afdeling, marketing & communicatie of de directie.

  • Stel een domeinnaambeleid op. Dit geldt vooral voor grotere organisaties met tien of meer domeinnamen. Leg vast hoe en waar een domeinnaam geregistreerd mag worden, wie daarvoor verantwoordelijk is en wat de procedure is.

  • Laat een domeinregistratie nooit verlopen. Een .nl-domeinnaam kost per jaar maar een paar euro als inactieve registratie. Door een ongebruikte naam aan te houden voorkom je dat een andere partij de naam registreert en er misbruik van maakt.

  • Registreer geen domeinnamen met een jaartal. www.gezondin2024.nl is immers een domeinnaam die maar een jaar relevant is.

  • Voorkom een wildgroei aan domeinnamen. Host nieuwe websites bij voorkeur onder de eigen domeinnaam (www.zorginstelling.nl/afdeling) of gebruik een subdomein (afdeling.zorginstelling.nl). Dit houdt het overzichtelijk en versterkt de herkenbaarheid.

  • Monitor je domeinnaamregistraties om potentieel malafide registraties, of medewerkers die op eigen houtje domeinen registreren, snel op te sporen.

  • Overweeg domeinnamen te registreren die sterk lijken op het eigen domein. Zo verklein je voor een relatief klein bedrag het risico op typosquatting.

Als het toch misgaat

Het kan dat je als organisatie alles goed hebt geregeld, maar dat er toch domeinnamen worden geregistreerd die gebruikt worden om misbruik te maken van je naam. De eerste stap is het proactief detecteren van deze registraties, bijvoorbeeld met SIDN Merkbewaking of via een cybersecurityleverancier. Als een domeinnaam is geregistreerd met valse persoonsgegevens, kun je bij SIDN een verificatie van de registratiegegevens aanvragen. Als de identiteit van de domeinnaamhouder niet kan worden geverifieerd, haalt SIDN de domeinnaam binnen enkele dagen uit de .nl-zone.

SIDN kan domeinnamen onder andere toplevels (zoals .com of .eu) niet verwijderen. Maar bij misbruik buiten de .nl-zone zijn andere acties mogelijk. Neem in dat geval rechtstreeks contact op met de partij die de domeinnaam heeft geregistreerd of de website host. Dit is vaak de snelste oplossing.

Levert dat geen resultaat op, dan kun je een zogenaamde WIPO-procedure starten. Dit is een traject waarbij je het eigendom van een domeinnaam kunt overnemen. Een WIPO-procedure kost meestal enkele duizenden euro’s. Deze procedure kun je ook gebruiken voor .nl-domeinnamen die inbreuk maken op je merkrecht, waarbij de houder weliswaar echte persoonsgegevens heeft gebruikt, maar weigert de domeinnaam over te dragen. De in dit artikel beschreven aandachtspunten en ‘best practices’ gelden uiteraard ook buiten de zorg. Door in te zoomen op de zorgsector en zorgspecifieke voorbeelden te noemen, willen we het belang van domeinnamen en de bijbehorende risico’s extra onder de aandacht brengen. Daarbij valt op te merken dat de meeste problemen met wat administratieve handelingen op te lossen zijn. Het eigendom van de domeinnaam overnemen en naar de zorginstelling verhuizen is zo gebeurd en kan veel toekomstige problemen voorkomen!

Gerelateerde artikelen