Nieuwe meting: dienstverlening binnen de EU. 1087 domeinen staan buiten de EU. 410 mailservers ook.

Ook delen 419 overheidsdomeinen data met Google Ads.

Vanaf 9 augustus is op basisbeveiliging.nl te zien vanuit welk land de overheid online diensten verleent. We controleren of dit gebeurt vanuit de EU+GDPR regio. Deze meting is in mei aangekondigd.

In dit artikel wordt gekeken waar de overheid, gemeenten en provincies haar online dienstverlening heeft staan.

Samenvatting

  • 3% van de overheidsdomeinen (1076) komt uit in de Verenigde staten.
  • 10% van de mailservers (407) van de overheid staan in de Verenigde Staten.
  • Overige niet EU+GDPR landen zijn nauwelijks vertegenwoordig en vaak logisch verklaarbaar.
  • Overheidssites gebruiken 42.745 externe bronnen, 62% hiervan staat in de States. Hier is Google verreweg de populairste dienstverlener (analytics, maps, youtube, fonts, tagmanager)
  • 419 overheidsdomeinen delen data doubleclick.net (Google Ads).
  • Er zijn meer dan 300 bedrijven die domeinen van de overheid hosten.
  • Er zijn meer dan 146 bedrijven die e-mail diensten leveren voor de overheid.
  • Er wordt data gehaald van 1637 verschillende externe sites.

Diverse logische uitzonderingen worden in de komende maanden vastgesteld. Verreweg het merendeel van de bevindingen in dit artikel (>99%) valt niet onder deze uitzonderingen.

Wij vragen de Nederlandse overheid om alle online dienstverlening, waar het logisch is, aan te bieden vanaf servers in de EU+GDPR zone. Dit betekent dat honderden domeinen en e-mail diensten moeten worden verplaatst.

Waarom meten we dit?

Omdat we gegevens willen beschermen. Dit zijn niet alleen persoonsgegevens van burgers maar alle mogelijk denkbare gegevens van Nederland.

Als we alleen kijken naar persoonsgegevens mogen deze verwerkt worden in veel landen. Dit is geregeld in de Algemene Verordening Gegevensbescherming, de AVG ofwel GDPR. Deze wet is van toepassing op alle landen in de Europese Unie en de Economische Zone (dus ook Noorwegen, IJsland en Liechtenstein).

De wet geldt ook (nog) in het Verenigd Koninkrijk. Daarnaast heeft de Europese Commissie nog een serie landen aangewezen met vergelijkbare bescherming. Dit zijn o.a. Israël, Japan, Korea en onder voorwaarden de Verenigde Staten en Canada.

Dat iets mag wil nog niet zeggen dat het slim is. In andere landen gelden andere wetten. Overeenkomstige wetten worden misschien niet of anders gehandhaafd. Mogelijk gaan de gegevens die worden opgeslagen over een situatie die elders verboden is (een fictief voorbeeld is het opslaan van informatie over homohuwelijken in Korea). Verder hebben inlichtingendiensten toegang tot de gegevens, direct of op langere termijn. De gegevens moeten vaak letterlijk door een oceaan wat nadelig is voor de beschikbaarheid. Als grenzen worden opgezocht komt ook de geopolitiek om de hoek kijken: de situatie kan zomaar veranderen.

Het opzoeken van de grenzen waar e.e.a. mag staan is ingewikkeld en bijna jaarlijks onderhevig aan (plotselinge) juridische wijzigingen. Het is voor een leek onmogelijk om bij te houden wat wel en niet mag. Er is geen overduidelijk groot voordeel aan het plaatsen van diensten in verre landen. Mogelijk zijn dit kosten, maar gezien de grote en goedkope Amerikaanse dienstverleners nu ook diensten verlenen op servers binnen de EU valt dat argument weg.

Het opslaan van gegevens die niet onder de GDPR vallen is weer een ander hoofdstuk. Met andere gegevens bedoelen we concurrentiegevoelige gegevens, intellectueel eigendom, statistieken, vertrouwelijke stukken enzovoort. Per gegeven zijn er weer andere regels. Regels rondom versleuteling zijn dan mogelijk niet verplicht.

Een groot deel van dit wespennest kan worden voorkomen door gegevens binnen de landsgrenzen of de EU te houden. Dit is ook makkelijk te begrijpen voor personeelsleden en bedrijven die de gegevens verwerken.

Wat keuren we wel en niet goed?

We kijken of een dienst in de EU+GDPR zone valt. Deze zone bevat alle landen op het Europese continent die de GDPR of gelijkwaardige wetgeving toepast. Met deze meting zijn we dus mogelijk iets strenger dan de eisen van de wet, maar wel met een serie argumenten en overwegingen die dat verklaart.

De EU+GDPR zone zijn alle landen in de Europese Economische Zone en landen met gelijkwaardige wetgeving zoals Zwitserland, het Verenigd Koninkrijk en Andorra. Expliciet buiten de boot vallen dus 17 landen die wel (deels) op het Europese continent liggen maar andere wetten hebben, zoals Albanië, Oekraïne en Turkije. De wetgeving van de bijzondere gemeenten (Bonaire, Sint Eustatius, Saba) en de andere landen in het Koninkrijk der Nederlanden (Aruba, Curaçao, Sint-Maarten) is ons (nog) niet geheel duidelijk, dus dit keuren we nu goed.

Alles wat buiten de EU+GDPR zone valt keuren we af tenzij het volstrekt logisch is dat deze dienst er buiten valt. Denk bijvoorbeeld aan een NBSO in Brazilië of een meetproject van het KNMI in Indonesië. Dit wordt per casus bekeken en is nog niet afgerond.

Er wordt op drie plekken gekeken naar locaties: het domein, de e-mail server(s) en de adressen waarop verbinding wordt gemaakt bij het bezoeken van een website. Ieder van deze plekken wordt op de volgende manier beoordeeld:

MetingBinnen EU+GDPRBuiten EU+GDPR
DomeinGoed: OK / GroenProefperiode: Laag / Groen
Vanaf december: Midden / Oranje
Vanaf Okt 2024: Oranje of Rood
E-Mail Server(s)Goed: OK / GroenProefperiode: Laag / Groen
Vanaf december: Midden / Oranje
Vanaf Okt 2024: Oranje of Rood
Inhoud van websiteGoed: OK / GroenLaag / Groen
Meetbeleid op locatiemetingen over tijd

Bij de beoordeling is er sprake van een proefperiode. In deze periode wordt gekeken naar hoe betrouwbaar deze metingen zijn. Mochten de metingen niet betrouwbaar voldoende blijken, dan worden ze niet op oranje gezet en wordt gekeken of deze in de toekomst nog worden gepubliceerd.

Hoe werken de metingen

Voor deze meting wordt een computeradres omgezet naar een fysieke locatie.

Bijvoorbeeld het domein “zutphen.nl”. Hiervan bekijken we naar welk land het internetverkeer wordt gestuurd als we de website bezoeken, als we er een e-mail naar toe sturen en met welke landen informatie wordt gedeeld bij het bezoeken van de site zelf.

Deze drie metingen zien er bijvoorbeeld zo uit:

MetingVoorbeeldLocatie
Locatie van Domeinzutphen.nlNederland (Tilaa)
Locatie van E-mail server(s)zutphen.nl wijst naar mail.zutphen.nlNederland (KPN)
Locatie van de inhoud van de websitezutphen.nl haal informatie op bij google-analytics.comNoord Amerika (Google)
Voorbeeld van metingen

Natuurlijk is dit voorbeeld wat versimpeld. In werkelijkheid zijn er meerdere e-mail servers als achtervang en heeft ieder domein twee adressen: een IPv4 en IPv6 adres. Technisch is er nog veel meer mogelijk, maar ondoorgrondelijkheid en het ontbreken van transparantie is op zichzelf al een veiligheidsrisico.

De locatiegegevens komen uit de database van Maxmind. Dit is een commercieel bedrijf dat wekelijks de database bijwerkt en geld vraagt voor deze data. Deze metingen worden aangevuld met correcties uit de RIPE database (waar Maxmind niet bij mag). Van beiden hebben we toestemming om gegevens op te vragen en te publiceren.

Uit de metingen blijkt dat de fysieke locatie van IPv4 en IPv6 adressen vaak uit elkaar ligt. Hoewel het technisch mogelijk is, is er logisch gezien geen argument om dit te doen. Het lijkt dat IPv6 geolocatie kwalitatief lager is dan IPv4. Daarom hebben we IPv6 niet meegenomen in de beoordelingen.

Hoewel beide organisaties hun best doen om correcte informatie te leveren is er geen garantie. Het internet is namelijk constant in beweging. Daarom hebben wij ook een disclaimer voor alle metingen.

Wanneer we niet weten waar een dienst staat wordt dit niet negatief beoordeeld: er is geen verplichting om transparant te zijn over de fysieke locatie van dienstverlening. Dat is echter wel wenselijk en mogelijk op lange termijn toch een reden om een negatieve beoordeling hieraan toe te kennen.

Bevindingen op domeinen

Domeinen: 1087 adressen buiten de EU+GDPR Zone

In totaal zijn er 38.364 (sub)domeinen. Hiervan staan er 36.994 in de EU+GDPR zone, 1076 in de Verenigde Staten en 283 op een onbekende locatie.

De verdeling per continent van domeinen buiten de EU+GDPR zone is de volgende. Hier is te zien dat vooral domeinen in de States problemen veroorzaken. De domeinen op andere continenten zijn nagenoeg allemaal logisch verklaarbaar en dus geen probleem.

Locatie buiten EU+GDPROverheidGemeenteProvincieTotaal
Afrika33
Azië246
Noord Amerika (Verenigde Staten)566460501076
Zuid Amerika22
Totaal573464501087
Domeinen verdeeld over continenten buiten de EU+GDPR zone.

Er is ook sprake van twee continenten binnen de EU+GDPR zone, dit vanwege de bijzondere gemeenten en de andere landen in het Koninkrijk der Nederlanden. Je ziet dat verreweg de meeste domeinen in Europa staan.

Locatie binnen EU+GDPROverheidGemeenteProvincieTotaal
Europa20.48215.71677536.973
Noord Amerika (Aruba, Curaçao, Sint Maarten, Bonaire, Sint Eustatius, Saba)2121
Totaal20.50315.71677536.994
Domeinen verdeeld over continenten. De meeste domeinen staan verreweg in Europa.

Domeinen: verdeling over landen

Verreweg de meeste domeinen komen uit in Nederland. Het enige land buiten de EU+GDPR zone dat hele procenten van de bezoeken ontvangt is de Verenigde Staten. De enkele sites in Zuid Afrika en dergelijke zijn logisch te verklaren en duiden niet op een probleem.


OverheidGemeenteProvincieProcent
Land / Totaal21.29716.240827100%
Nederland18.87113.84667787.05%
Duitsland841611253.85%
Ierland357802333.11%
Verenigde Staten566460502.80%
België193255141.20%
Onbekend2236220.75%
Verenigd Koninkrijk12189150.59%
Frankrijk313720.18%
Zweden175030.18%
Oostenrijk14160.08%
Finland1260.05%
BES-Eilanden170.04%
Italie70.02%
Tsjechië60.02%
Denemarken60.02%
Polen240.02%
Aruba40.01%
China120.01%
Zuid Afrika30.01%
Brazilie20.01%
Zwitserland20.01%
Estland20.01%
Japan20.01%
Luxemburg20.01%
Singapore10.00%
Verdeling van domeinen verspreid over landen

Domeinen: verdeling van leveranciers in Europa

Dit is de top 25 van de 311 verschillende organisaties die diensten van de overheid aanbieden. Dit wordt geteld per domein. Er wordt niet gekeken welke dienst op deze domeinen staat. We hebben de vele onderzoeksdomeinen van TNO eruit gelaten omdat deze de resultaten met duizenden vertekenen terwijl er weinig op lijkt te draaien.

BedrijfOverheidGemeentenProvincieTotaal
Microsoft Azure15881713853386
KPN10861832422960
Amazon.com7611679412481
Prolocation BV22198572311
Signet B.V.737981401758
SURF B.V.170971716
Ziggo3071156321495
Ziggo Business151106941224
Dienst Uitvoering Onderwijs105921061
Solvinity B.V.74227511018
BIT BV67429814986
Eurofiber Nederland BV176518112806
Capgemini Nederland B.V.593593
Equinix (Netherlands) B.V.236342578
LeaseWeb Netherlands B.V.2792941574
baten-lastendienst Logius547547
True B.V.1713338512
T-Mobile Netherlands36812014502
Intermax Group B.V.44014454
OSSO B.V.12228410416
VANCIS Vancis Advanced ICT Services36516381
Combell NV1222479378
Ministerie van Economische Zaken361361
CloudVPS772653345
Leveranciers van diensten op domeinen (wereldwijd)

Bevindingen over e-mail

E-mail: 410 servers buiten de EU+GDPR Zone

In totaal zijn er 3957 adressen van mailservers gevonden. Hiervan staan er 3547 in de EU, 409 in Noord Amerika en 1 in Azië.

407 van deze adressen wijzen naar diensten in de Verenigde Staten. Dit zijn diverse dienstverleners, die in de tabel hieronder zijn opgesomd.

BedrijfOverheidGemeentenProvinciesTotaal
Google Servers20812220
Cisco Systems Ironport Division4348495
SendGrid1610228
Amazon.com151227
Google Cloud17825
Input Output Flood LLC44
Interserver33
Cogent Communications22
Proofpoint, Inc.22
Rackspace Hosting11
Overzicht aantal mailservers bij dienstverleners uit de Verenigde Staten.

E-mail: Verdeling servers in EU+GDPR landen

De 3547 servers in Europa zijn verdeeld over allerlei landen en dienstverleners.

Europees LandOverheidGemeentenProvinciesTotaal
Nederland1922990272939
Ierland1671344305
Duitsland55425102
Oostenrijk5934396
Verenigd Koninkrijk1718136
België33134
Frankrijk21324
Finland246
Tsjechië33
Polen22
Overzicht verdeling van aantallen mailservers per Europees land

E-mail: Aantal mailservers per dienstverlener

Er zijn 146 dienstverleners gevonden. Dit is de top 20, hierdoor zijn 843 servers op allerlei domeinen niet zichtbaar. Sommige bedrijven zoals Amazon bieden servers in zowel de EU als de US. In het geval van Amazon zagen we al dat er 27 servers buiten de EU staan, de rest van de 105 staan dus wel goed. Domeinen van KNAW zijn achterwege gelaten ivm een wildcard waarop een mailserver staat.

BedrijfsnaamOverheidGemeentenProvinciesTotaal
Microsoft Azure3872729668
E-Zorg B.V.70259329
Ministerie van Economische Zaken272272
CLDIN B.V.1141136233
Google Servers20812220
SSC-ICT Haaglanden189189
SURF B.V.178178
Signet B.V.86541141
Solvinity B.V.1204124
Flowmailer B.V.3585120
KPN5650106
Amazon.com42621105
Cisco Systems Ironport Division4350497
Ziggo Business184361
Cogent Communications46854
Ziggo104050
BIT BV252146
T-Mobile Netherlands321042
Ministerie van Verkeer en Waterstaat/Rijkswatersta4040
Dienst Uitvoering Onderwijs3939
Verdeling van leveranciers van e-mailservers

Bevindingen over Websites

Bronnen buiten de EU+GDPR zone

Tenslotte is er ook gekeken uit welke landen informatie op een website komt. Het gaat dus niet over het domein, maar het bezoek van een site. Bij het bezoeken worden plaatjes, scripts, lettertypen en dergelijke soms van een andere locatie opgehaald. Dit zien we 23.468 keer gebeuren.

Wat opvalt is dat er ongelofelijk veel verbindingen naar Amerikaanse dienstverleners worden gelegd. Bijna exclusief naar Google en een beetje Microsoft. Dit bevat ook 419 keer doubleclick.net. Dit is een onderdeel van Google Ads, wat aangeeft dat Analytics niet goed is ingericht. De meeste Microsoft vermeldingen hebben te maken met Office 365.

Hier is de top 20 meest gebruikte externe bronnen naar buiten de EU+GDPR zone, deze zitten allemaal in de Verenigde Staten:

DomeinOverheidGemeentenProvincieTotaal
fonts.googleapis.com14961385822963
fonts.gstatic.com14741204722750
www.googletagmanager.com13758571062338
region1.google-analytics.com1082666631811
www.google-analytics.com1038676601774
siteimproveanalytics.com164883431090
aadcdn.msauth.net28637318677
www.google.com48715721665
www.gstatic.com42921618663
aadcdn.msftauth.net23433114579
aadcdn.msauthimages.net21923212463
ajax.googleapis.com2711855461
stats.g.doubleclick.net3059717419
maps.googleapis.com1382585401
aadcdn.msftauthimages.net15919114364
www.youtube.com246938347
cuatro.sim-cdn.nl512303284
code.jquery.com1431229274
www.google.nl1495710216
portal.azure.com501423195
De top 20 populairste domeinen waar de overheid bronnen ophaalt om haar sites te maken

Bronnen binnen de EU+GDPR zone

Wat staat er dan eigenlijk wel in de EU regio? We tellen daar nu 14.095 verwijzingen, een stuk minder dan naar de States. Enkel West-Europese landen, namelijk enkel Nederland, Duitsland en Ierland. De andere landen zijn amper vertegenwoordigd met 264 verwijzingen in totaal.

DomeinLandOverheidGemeentenProvincieTotaal
statistiek.rijksoverheid.nlNL1686

1686
login.live.comIE519701321252
*.global.siteimproveanalytics.ioDE164928451137
autologon.microsoftazuread-sso.comNL22643311670
login.microsoftonline.comIE19536615576
cdn-eu.readspeaker.comDE8939415498
cdn1.readspeaker.comDE83353
436
logging.simanalytics.nlIE542313288
fonts.bunny.netDE451883236
use.typekit.netDE130975232
dc.services.visualstudio.comNL751414220
p.typekit.netDE125845214
eu-mobile.events.data.microsoft.comIE741171192
storageportalwe.blob.core.windows.netNL221473172
f1-eu.readspeaker.comDE70928170
websurveys2.govmetric.comIE22126
148
www.simanalytics.nlIE24112
136
consent.cookiebot.comDE922713132
consentcdn.cookiebot.comDE922713132
hitcounter.govmetric.comIE2293
115
De top 20 populairste domeinen waar de overheid bronnen ophaalt om haar sites te maken