SIDN heeft ruim 600 domeinnamen van Nederlandse ziekenhuizen en universitaire medische centra onderzocht. Hoewel er kleine verbeteringen zijn te zien zien ten opzichte van 2025, is het beheer daarvan nog lang niet op orde.
SIDN publiceerde vandaag de resultaten van zijn jaarlijkse onderzoek naar domeinnaambeheer in de zorgsector. Van de ruim 600 onderzochte domeinnamen staat bijna een derde (30,8 procent) niet geregistreerd op naam van het ziekenhuis of UMC zelf. In 2025 betrof dat percentage nog 35 procent. Ziekenhuizen deden het opvallend beter dan UMC’s. het aandeel domeinnamen dat niet op eigen naam staat daalde bij ziekenhuis van 30 procent naar 20 procent.
Bij 49 procent van de domeinnamen was administratief alles op orde, tegenover 46,9 procent het jaar ervoor. Die lichte stijging is grotendeels te danken aan een aantal ziekenhuizen die naar aanleiding van vorig jaar’s onderzoek hun domeinnaamportfolio opgeschoond hebben. Bij het aanpassen van de nodige instellingen werden registratiegegevens op naam van het ziekenhuis gezet, met de eigen IT-afdeling als contactpunt.
Domeinen op naam van derde partijen
Een hardnekkig probleem blijft dat domeinnamen staan op naam van IT-dienstverleners, marketingbureaus of individuele medewerkers. Daarbij speelt gemak een grote rol. Iemand registreert snel een domeinnaam zonder de IT-afdeling erbij te betrekken. Als die medewerker vertrekt of de leverancier stopt, kan een kwaadwillende de domeinnaam opnieuw registreren en inzetten voor toegang tot interne mailservers of applicaties. Er gaat daarnaast ook een juridisch risico mee gepaard. Als een IT-leverancier failliet gaat, dan vallen de domeinnamen in de boedel van de curator.
Onjuiste contactgegevens vormen een apart en groeiend probleem. In 11,3 procent van de gevallen kloppen die namelijk niet. Bij ziekenhuizen steeg dit percentage van 9 procent naar 13,9 procent, bij medische centra van 2,5 procent naar 9 procent. Als er een privémailadres of extern bureau als contactpersoon geregistreerd staat, dan kan een domeinnaam zonder medeweten van de zorginstelling worden overgedragen of zelfs worden opgezegd.
Goksites en typosquatting
Dat onzorgvuldig domeinnaambeheer concrete gevolgen heeft, bleek uit meerdere voorbeelden die SIDN tegenkwam. Zo stuitte de organisatie op meerdere goksites en een anabolenwebsite die draaien op domeinnamen die eerder toebehoorden aan zorginstellingen. Verlopen ziekenhuisdomeinen hebben daarnaast een hoge betrouwbaarheidsscore in Google opgebouwd. Dat maakt ze weer aantrekkelijk voor misbruik van onder meer illegale online casino’s noemt de SIDN.
Bij een relatief klein percentage (6,2 procent) van de onderzochte domeinnamen iis sprake van typosquatting. Oftewel namen die sterk lijken op die van een ziekenhuis, maar kleine typefouten bevatten. Zulke domeinen worden ook regelmatig ingezet voor malafide doeleinden. Monitoren van de eigen naam is daartegen een effectieve aanpak.
Martijn Sanders, product owner SIDN Merkbewaking: “We merken dat de bewustwording binnen de ziekenhuizen verbeterd is, maar over het geheel genomen, en vooral bij de UMC’s, zijn er nog stappen nodig. Bij digitale dreiging denken organisaties meestal aan het stelen van online gegevens of het binnendringen van systemen. Maar ook domeinnamen kunnen kwetsbaar zijn en vormen daardoor een populair doelwit voor kwaadwillende.”
Sanders merkt dat zorginstellingen die vorig jaar contact opnamen inmiddels flinke vorderingen hebben gemaakt: “We zien dat de partijen waar wij mee hebben gesproken, maatregelen hebben genomen om het beheer over domeinnamen terug te pakken die niet in eigen beheer waren. Bij deze partijen is dit probleem bijna helemaal opgelost.”