Een groot aantal websites in het onderwijs gebruikt geen HTTPS. Dat blijkt uit onderzoek van digitale transparantie organisatie Open State Foundation. De organisatie deed het onderzoek samen met met het online dashboard Pulse (pulse.openstate.eu).
Van de 6.431 onderzochte unieke onderwijssites ondersteunt slechts een derde een verbinding die ervoor zorgt dat het websiteverkeer versleuteld wordt. Het gaat om scholen in het primair, voortgezet, middelbaar beroepsonderwijs en hoger onderwijs.
Primair onderwijs
Vooral websites in het primair onderwijs doen het niet goed. Slechts 29% van de websites van basisscholen ondersteunt HTTPS. Bij slechts een vijfde van deze websites wordt HTTPS afgedwongen.
Speciaal onderwijs
Websites in het speciaal onderwijs scoren niet veel beter. Van de 466 unieke websites in het speciaal onderwijs heeft 71% geen veilige HTTPS-verbinding. In het voortgezet onderwijs heeft 46% van de onderzochte websites een HTTPS-verbinding. Bij scholen met voortgezet beroepsonderwijs was het percentage websites met een HTTPS-verbinding lager dan bij scholen in het voortgezet onderwijs met HAVO of VWO niveau.
De websites van scholen in het middelbaar beroepsonderwijs zijn beter beveiligd. Van de onderzochte websites in het middelbaar beroepsonderwijs heeft 77% een website met een HTTPS-verbinding. Bij 74% wordt die afgedwongen.
Websites van scholen in het hoger onderwijs scoren het beste. Daar zijn de meeste websites beveiligd met een HTTPS-verbinding. 82% van de websites in het hoger beroepsonderwijs en het wetenschappelijk onderwijs heeft een HTTPS-verbinding. Deze wordt bij respectievelijk 76% en 82% afgedwongen.
Onbeveiligde formulieren en https afdwingen
Uit een steekproef blijkt verder dat verschillende scholen op onbeveiligde websites ook nog onbeveiligde inlogformulieren hebben. Dat geldt zowel voor studenten, docenten en ouders, contact- en afmeldformulieren (bijvoorbeeld wegens ziekte).
Van de 2.055 unieke websites met een HTTPS-verbinding blijkt dat dit bij 590 niet wordt afgedwongen. Bezoekers lopen bij 77% van de scholensites. Bij gebruik van HTTPS worden de gegevens versleuteld. Daardoor zou het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk moeten zijn om te weten welke gegevens verstuurd worden. Daarnaast controleert HTTPS op de integriteit van de informatie zodat aanpassing van de uitgewisselde gegevens niet mogelijk is.
Pulse
In december 2016 lanceerde Open State Foundation het online dashboard Pulse. Gebruikers kunnen daarop zien of een website van de overheid een veilige HTTPS-verbinding ondersteunt. Sindsdien is het aantal overheid websites dat HTTPS ondersteunt gegroeid van 44% naar 70%.
Zorg ook
Het onderwijs is niet de enige sector waar losjes wordt omgesprongen met https. Eerder bleek al uit onderzoek van Open State dat slechts 32% van de websites van zorgaanbieders HTTPS gebruikt.
Open State Foundation en Pulse onderzochten destijds 22.393 websites van zorgaanbieders een HTTPS-verbinding ondersteunt. Begin 2017 heeft het kabinet aangegeven om HTTPS voor alle overheid websites te willen verplichten.
