Publieke sector verspilt jaarlijks miljoenen aan overbodig theater bij versleuteling websites

Het kost ten minste twee miljoen om te mogen versleutelen, maar de kosten voor bijbehorend arbeid verveelvoudigt dat. Gelukkig is de transitie naar gratis certificaten in volle gang. Dit gaat gepaard met verdere automatisering waardoor vele uren aan foutgevoelig werk verdwijnt.

Dit onderzoek laat zien hoe de markt voor versleutelingscertificaten is verdeeld tussen diverse sectoren. De prijs van een certificaat ligt tussen de 0 en 1045 euro. We onderzoeken hoe de prijs tot stand komt vanuit de grote leveranciers maar ook vanuit de prijsvechters. Daarna kijken we naar hoeveel certificaten in gebruik zijn. Door deze informatie te combineren ontstaat een geïnformeerde schatting wat de publieke sector jaarlijks kwijt is aan certificaten. Tot slot kijken we naar de toekomst van certificaten en de vertrouwensketen.

Inleiding

Iedere website met versleuteling is vergezeld met een certificaat. Hierop staat voor welke site de versleuteling van toepassing is. Dit wordt door een vertrouwde externe partij onderschreven, waardoor bezoekers weten dat ze de juiste site bezoeken. Bij het wegvallen van vertrouwen, zoals bij een verlopen of ingetrokken certificaat, krijgen bezoekers een afschrikkende waarschuwing te zien of kunnen ze de site niet meer gebruiken.

Sinds november biedt basisbeveiliging.nl een certificatenoverzicht. Dit is te vinden in het rapport van een organisatie, bijvoorbeeld hier. Daar kan iedereen zien of er problemen zijn met de gebruikte certificaten van alle organisaties die we meten. Maar we slaan sindsdien ook andere data op, zoals wie de uitgever is. Daar gaan we in dit artikel op inzoomen.

Marktverdeling

Basisbeveiliging meet de Nederlandse overheid, zorg, onderwijs, cybersecurity en politieke partijen. Deze hebben samen ten minste 49.369 webadressen met daarop een certificaat. De vijf grootste leveranciers van certificaten bezit samen 91% van de markt.

Gratis dienstverlener Let’s Encrypt geeft verreweg de meeste certificaten uit. Daarna volgen twee commerciële partijen: DigiCert/QuoVadis en Sectigo. Veel domeinen van onderzoeksinstellingen en het onderwijs worden versleuteld via de vereniging GEANT. Dit is echter geen eigen uitgever maar een kortingsdeal met Sectigo. Daarna volgen 24 kleinere partijen, waarvan gratis provider Google Trust Services 2% van de sites bedient.

Marktverdeling certificatenleveranciers over alle gemeten domeinen. Let’s Encrypt 43%, DigiCert + QuoVadis 18%, Sectigo Limited 18%, GEANT Vereniging 11%, Google Trust Services LLC 2%, Overige 9%.

De overige 9% bestaat uit 23 partijen die minstens 10 certificaten op naam hebben staan. Namen die vaker dan 100 keer voorkomen: certSIGN(846), Trust Provider BV / Networking4all (711), cPanel(558), GlobalSign (530), Amazon (461), Microsoft (282), Cloudflare (219), ZeroSSL (191), “” (145), Acme Co (134), Plesk (132), SomeOrganization (113) en KPN(111). In deze kleine getallen is het certificaat vaker onderdeel van een product of dienst en niet los te koop.

Per sector wisselt de marktverdeling sterk. Bij de overheid zijn juist de twee commerciële leveranciers goed vertegenwoordigd. Voor het onderwijs wordt dit verdeeld tussen GEANT en Let’s Encrypt. Ziekenhuizen zitten er tussenin en GGD’s worden vooral bediend door DigiCert. Let’s Encrypt is de grootste bij het primair onderwijs, Cybersecurity en Politieke partijen.

Marktverdeling certificatenleveranciers voor alle domeinen per sector. Toegankelijke versie aan het eind van het artikel.

Hoe wordt de prijs bepaald?

Als we willen weten hoeveel geld er gaat naar certificaatleveranciers moeten we kijken wie dit zijn en welke prijzen ze vragen. Dit is een lastige opgave omdat prijzen sterk wisselen: tussen de 0 en 1045 euro. De prijs heeft geen invloed op de sterkte van de versleuteling.

Wat maakt dan het ene certificaat duurder dan de andere? Dat heeft te maken met vier eigenschappen die als doel hebben het gevoel van vertrouwen te vergroten.

De eerste eigenschap is extra validatiewerk. Bij de aanschaf van een certificaat wordt op verzoek gecontroleerd of dit wordt gedaan door de juiste organisatie of zelfs door de juiste persoon. De uitgebreidste en dus duurste optie heet “Extended Validation”. In totaal wordt 2.34% van de domeinen een certificaat van dit type gebruikt (1155 / 26156).

We hebben gecontroleerd of de WHOIS informatie op deze domeinen juist was, en dat is het geval voor alle .nl domeinen met dit type certificaat.

De meerwaarde van Extended Validation is aan het dalen. Dat komt omdat browsers sinds 2018 geen speciaal slotje hiervoor tonen. Het certificaat is dus vervangbaar door een ander vertrouwd certificaat zonder dat een bezoeker iets opvalt. Het groene slotje wordt nog wel veelvuldig gebruikt in marketing.

De voorpagina van Sectigo.com in 2024. Hier is nog steeds het groene slotje te zien, terwijl browsers dit sinds 2018 niet meer tonen.

De tweede eigenschap is een verzekerd bedrag. Dit bedrag is vaak psychologisch gekoppeld aan de prijs van het certificaat en loopt tot in de miljoen dollar. Dit bedrag wordt uitgekeerd wanneer het certificaat niet meer betrouwbaar is en de afnemer schade ondervindt. Deze verzekering is voorzien van een oceaan aan kleine letters. Uit onderzoek blijkt dat dit bedrag vooral marketing is om het product te diversificeren.

Of een daadwerkelijke schadeclaim iets gaat opleveren valt nog te bezien. Een inbraak bij leveranciers komt vaak gepaard met enorme reputatieschade, die kan leiden to faillissement. Dit is exact wat er in 2011 met DigiNotar gebeurde. Schade verhalen op een failliet bedrijf heeft weinig kans van slagen.

Dat moderne versleuteling onkraakbaar is spreekt natuurlijk voor zich, maar dat is niet waar de garantie over gaat. De sterkte van de versleuteling ligt volledig aan de inrichting van de afnemer en staat los van het vertrouwen in het certificaat. De leverancier van een certificaat is dus nooit aansprakelijk voor het uitlekken van gegevens bij slechte versleuteling.

De derde eigenschap is extra diensten. Iemand die toch al aan het kopen is wordt verleid om meer uit te geven. Het duurste certificaat van DigiCert bevat ook het gebruik van een plaatje, een security test, diverse monitoring en een beheerportaal. Dit wordt als meest waardevol verkocht, maar is met €1045 voor een jaar tegelijkertijd ook het duurst.

Het duurste certificaat op digicert.com kost 1045 euro en wordt begeleid met allerlei extra diensten.

De laatste eigenschap is het wekken van vertrouwen. Omdat er veel geld wordt betaald voor certificaten is er ook veel geld om een stuk theater op te voeren. Juist omdat het maken van een certificaat nagenoeg gratis is, kan bijna de hele omzet naar marketing en lobby. Dat uit zich in een veelheid van podcasts, whitepapers, lobbyisten, partnerprogramma’s, reclame uitingen, onderhandelaars, enzovoorts.

Door al deze beïnvloeding lijkt het net alsof deze ondernemingen heel relevant en bij de tijd zijn. Maar de innovaties rondom versleuteling komen uitsluitend van de prijsvechters en academici/wetenschappelijk onderzoekers.

Prijsvechten en wegautomatiseren

Aan de andere kant van de markt zitten de prijsvechters. Een van de eerste prijsvechters was Comodo, dat certificaten aanbood voor “voah weinagh”. Dat is overgenomen door Sectigo en hun product PositiveSSL is nog steeds te krijgen voor €12, maar het kost wat zoekwerk.

Vandaag de dag is Let’s Encrypt de grootste prijsvechter. Dit bedrijf biedt volledig geautomatiseerde versleuteling voor niets. Het kost jaarlijks 6.5 miljoen euro om deze organisatie in de lucht te houden. Hiervan gaat ongeveer €2.6 miljoen naar de afdeling voor certificaten.

Het bedrijfsmodel van Let’s Encrypt is sponsoring. Het goedkoopste sponsorbedrag is $12.500. Dat is een behoorlijk bedrag, maar het staat in geen verhouding tot het bedrag dat wordt uitgegeven aan commerciële partijen. Toch zien we geen enkele van de 7500+ door ons gemeten organisaties terug op de sponsorlijst. Ook geen buitenlandse overheid. Dat wil overigens niet zeggen dat er geen geld wordt gegeven: informatie over donateurs is niet publiek.

De populariteit van Let’s Encrypt ligt niet alleen aan de prijs van het certificaat. Het lost ook nog een veel duurder pijnpunt op: beheer. Het tijdig vervangen van certificaten en het correct configureren kost veel inspanning en is foutgevoelig.

Let’s Encrypt heeft dit deel van het beheer geautomatiseerd. Via het ACME protocol wordt op verzoek instant een nieuw certificaat geleverd. Met de tool Certbot wordt dit automatisch geïnstalleerd op het systeem. Basisbeveiliging.nl gebruikt ook Let’s Encrypt voor al haar sites.

De naam ACME is mogelijk een verwijzing naar de tekenfilms van Road Runner / Wile E. Coyote. Wanneer de Coyote een waanzinnige bestelling plaatste uit de postordercatalogus van ACME werd dit onmiddellijk geleverd. De tekenfilm speelt zich af in het midden van een woestijn.

De innovaties van Let’s Encrypt zijn voor iedereen te gebruiken. Hierdoor zijn er meer prijsvechters die dezelfde infrastructuur draaien. Bijvoorbeeld de nummer 5 in ons overzicht: Google Trust Services LLC en ook ZeroSSL die verderop in onze lijst staat. Ook alle commerciële certificatenverstrekkers ondersteunen ACME en certbot.

Wat opvalt bij gebruikers van Let’s Encrypt is primair onderwijs en de cybersecuritysector. Dit zijn financieel gezien tegenpolen. Het primair onderwijs heeft weinig budget en kiest dus voor de voordeligste oplossing. De cybersecuritysector komt na een risicoafweging ook uit bij Let’s Encrypt.

KaartLet’s Encrypt% markt
Onderwijs / Primair1238381%
Politieke Partij162673%
Onderwijs / VO233863%
Cybersecurity75149%
Onderwijs / MBO34931%
Zorg / Ziekenhuis116327%
Onderwijs / Universiteit109823%
Onderwijs / HBO51221%
Overheid268721%
Gemeente172021%
Zorg / GGD12216%
Provincie7514%
Waterschap5512%
Totaal2487943%
Marktaandeel Let’s Encrypt gesorteerd op percentage

Wat kost een certificaat?

Zoals gezegd tussen de 0 en de 1045 euro.

De kosten voor een certificaat bij Let’s Encrypt zijn ongeveer 0.18 eurocent per stuk. Deze moeten iedere 90 dagen worden vervangen, dus jaarlijks kost dit ±0.72 eurocent per site. We hebben hiervoor de projectkosten van 2.6 miljoen euro gedeeld door de 363 miljoen sites die worden bediend.

Bij Sectigo krijg je eenzelfde certificaat en een vorm van validatie voor een van de onderstaande 14 prijzen. Deze prijslijst is afkomstig van Xolphin.com. Sectigo is niet de duurste maar de prijslijst hieronder is wel erg tekenend voor commerciële certificatenleveranciers.

Sectigo noemt prijzen van 12 tot 598 euro voor hetzelfde product. De vorm van validatie en theater om het product heen verschilt mogelijk. De namen van de verschillende producten zijn afkomstig van overgenomen concurrenten. PositiveSSL van Comodo was altijd goedkoop en Sectigo zou deze ‘prijsbewuste’ klanten verliezen als ze hierin iets aanpast.

Het goedkoopste jaarcertificaat bij Sectigo kost 12 euro. Bij Let’s Encrypt kost dit doorberekend slechts 0.72 cent. Sectigo is dus minstens 1600x duurder.

Voor een nieuwe consument is de veelheid aan namen ook verwarrend. Dit is natuurlijk bedoeld om hetzelfde product toch iets anders te laten lijken.

Prijslijst van Sectigo Certificaten. Ze zijn allemaal even sterk, maar de bureaucratie eromheen verschilt. Deze lijst is afkomstig van Xolphin.com.

Dit soort prijslijsten maakt het allemaal erg lastig om te bepalen wat er uiteindelijk wordt betaald. Ook eventuele kortingen, onderhandelingen en dergelijke zullen invloed hebben op de prijs.

We kappen dit oerwoud aan onduidelijkheid door de prijs te kiezen waarmee men adverteert op de hoofdpagina. We surfen naar de site toe en kijken dan naar het simpelste certificaat en kiezen daar de variant zonder validatie en eentje met extended validatie.

We komen dan op de onderstaande prijzen:

LeverancierProduct / CertificaatPrijs (publiek)
DigiCertQVDigicert Basic TLS/SSL€264
DigiCertQVBasic OV + Extended Validation€408
SectigoDomain Validation€91
SectigoExtended Validation€229
Let’s EncryptCertificaat€0
Prijstabel primair geadverteerde certificaten van certificaatleveranciers

Voor GEANT zit dit anders in elkaar. Dit is een kortingsdeal met Sectigo en kost 161 euro per instelling per maand voor onbeperkte aantallen van alle soorten certificaten. Dat is €1932/jaar * (18 universiteiten + 36 hbo + 56 mbo) instellingen is ±€200.000.

Hoeveel certificaten worden er gebruikt?

Nu de prijs bepaald is, willen we weten hoeveel certificaten er zijn gekocht. Om dit te bepalen spelen er twee dingen: de dataset en hergebruik van certificaten.

De dataset van basisbeveiliging.nl is niet volledig. Het vraagt ongelofelijk veel mensuren om alle domeinen in kaart te brengen, wat we met pizza sessies te lijf gaan. In de komende maanden introduceren we ook nog een andere oplossing.

Feit blijft dat met name projectdomeinen ontbreken in onze dataset. We kennen alle hoofddomeinen en daar onder liggende domeinen. Maar we missen dus campagnesites van gemeenten en ziekenhuizen maar ook de vele domeinen voor afstudeerprojecten en dergelijke.

De tweede factor waar we rekening mee moeten houden is hergebruik van certificaten. Een certificaat wordt gemiddeld gebruikt op twee adressen. Dit is niet alleen omdat het “www” subdomein er ook altijd gratis op wordt gezet.

We hebben onderzocht hoeveel sprake er is van hergebruik, dat is te zien in onderstaande tabel.

Hergebruik op aantal adressenHoeveel Certificaten dat dit doet
1 adres18.416
2 adressen6.490
3 tot 51.962
6 tot 10677
11 tot 20354
21 tot 100167
101 tot 106814
Hergebruik van certificaten

Certificaten die meer dan 100 keer worden gebruikt zijn bijna altijd van Let’s Encrypt. Een enkel geval is een wildcard op een site van een politieke partij. Een andere staat op een populair subdomein van Microsoft.

Als we deze data plat slaan, en we rekenen per uniek certificaat één domein, dan is de verhouding: één certificaat wordt gebruikt op ±2.1 adressen. Dit ronden we af naar twee.

SectigoDigiCertQVLet’s Encrypt
Toepassing op domeinen104831062924879
Unieke certificaten5157490011487
Verhouding tussen unieke certificaten en toegepaste domeinen

Wat betalen dus minimaal?

Nemen we de prijs van DigiCert en Sectigo en vermenigvuldigen dat met het aantal domeinen dan hebben we een prijs. Hier moet dus nog 50% vanaf om te compenseren voor hergebruik. Uiteindelijk komt dat neer op een ondergrens van 2 miljoen euro per jaar voor de aanschaf van certificaten.

Berekening ondergrens kosten versleutelingscertificaten

Hier komt de €200.000 van GEANT nog bovenop.

Dit is exclusief verdere beheerskosten en instellingen. Zo stelt het NCSC regelmatig nieuwe eisen op voor sterke versleuteling, deze moeten worden geïmplementeerd per server/site. Verder moeten deze certificaten worden aangevraagd en vervangen, iets dat tijdrovend en foutgevoelig is zonder ACME.

De overige 11% is lastig apart te becijferen maar lijkt vooral gratis te zijn. Dit zijn namelijk twee prijsvechters (ZeroSSL en Google Trust Services) samen met zelf uitgegeven certificaten en certificaten die gekoppeld zijn aan een ander product of dienst.

De kostprijs bij Let’s Encrypt voor de 21101 certificaten in bovenstaande tabel is: 0.72 cent * 21101 = 15193 cent. Ofwel €151,93.

Toekomst van certificaten

De totaalprijs die wordt betaald voor certificaten zal in de komende jaren blijven afnemen. Let’s Encrypt biedt een aanbod dat niemand kan weigeren. Maar er zijn ook andere spelers in opkomst zoals ZeroSSL waar voor $100 jaarlijks een onbeperkte hoeveelheid certificaten is af te nemen.

Het beheer van certificaten is sterk vereenvoudigd door de certbot tool, samen met instant certificaten via het ACME protocol. Inmiddels ondersteunen alle certificatenleveranciers dit. Dit heeft een ontelbaar aantal uren bespaard in het beheer van certificaten.

Voor websites lijkt het vertrouwen in Let’s Encrypt nagenoeg altijd voldoende. Dat blijkt uit dat betaalde certificaten vaak niet voorzien zijn van validatie. De meerwaarde van validatie staat onder druk.

Aan de certificatenindustrie is er alles aan gelegen om relevant te blijven. Er is veel budget om invloed uit te oefenen. Die lobby heeft er bijvoorbeeld voor gezorgd dat de GGD vooral afneemt bij dure leveranciers. Daarnaast blijft het gevoel / illusie van het kunnen kopen van vertrouwen een belangrijk argument.

Er ligt ook een nieuwe kans voor certificaten en de ‘chain of trust’ bij de media. Bijvoorbeeld het kunnen bewijzen dat een foto of video is gemaakt door een bepaalde journalist van een nieuwsorganisatie. Of het publiek hier waarde aan hecht valt nog te bezien.

In dat licht zouden wij graag bewijzen dat dit artikel komt van de Internet Cleanup Foundation. Maar een functionaliteit om dit bewijs te leveren zit niet in ons blogplatform. Daarom hebben we lelijke watermerken toegevoegd aan de screenshots en onszelf een paar keer genoemd: dat is het beste dat we nu kunnen. We zijn benieuwd wat daar van overblijft in eventuele AI kopietjes van dit artikel.

Tegelijkertijd hopen we dat cryptografische herleidbaarheid beperkt wordt toegepast, omdat dit het einde kan betekenen van privacy. Een voorbeeld hiervan zit in het Noord Koreaanse besturingssysteem Red Star OS. Dit voegt een onzichtbaar overzicht van gebruikers toe dat een bestand heeft bekeken en/of aangepast. Dit is niet in het voordeel van de gemiddelde mens of een vrije maatschappij.

Kanttekeningen

  • We zien een vertekening bij politieke partijen. Deze zit bij een partij die 500 subdomeinen van lokale partijen onder hetzelfde certificaat versleuteld. Er wordt in de praktijk dus veel minder gebruik gemaakt van Sectigo ten gunste van Let’s Encrypt. De dataset mist de vele sites van veel lokale partijen.
  • De cybersecuritysector is natuurlijk geen onderdeel van de publieke sector maar de vertekening hierdoor is erg klein.

Bijlage A: Toegankelijke versies diagrammen

Tabeldata Marktverdeling Staafgrafiek


Let’s EncryptDigiCert / QuoVadisSectigoGEANTGoogleOverige
Overheid / Centraal21%48%16%7%1%8%
Overheid / Gemeente21%31%33%0%0%15%
Overheid / Provincie14%37%16%0%0%33%
Overheid / Waterschap12%27%37%0%0%23%
Onderwijs / Universiteit23%0%22%51%0%4%
Onderwijs / HBO21%1%16%56%0%5%
Onderwijs / MBO31%4%14%39%1%10%
Onderwijs / Voortgezet63%5%17%2%6%8%
Onderwijs / Primair81%2%8%0%4%5%
Zorg / Ziekenhuis27%8%27%24%2%13%
Zorg / GGD16%72%7%0%0%5%
Cyber49%9%14%0%7%21%
Politieke partijen73%1%24%0%2%1%
Totaal43%18%18%11%2%9%

Nieuwe kaarten: Hoger Onderwijs. Universiteiten lossen 23% van de hoge risico’s op in de aanloopperiode.

Vanaf 6 maart is de online basisveiligheid van het hoger onderwijs te zien op basisbeveiliging.nl. Voor universiteiten en het hoger beroepsonderwijs is een afzonderlijke kaart gemaakt en zijn aparte statistieken beschikbaar.

Het hoger onderwijs heeft de gebruikelijke twee maanden gehad om e.e.a. nog voor publicatie te op te ruimen. Hier is goed gebruik van gemaakt. We hebben een boel mails ontvangen met vragen, suggesties en bijzonderheden.

Universiteiten werken hard aan veiligheid

In de aanloopperiode van begin januari tot 6 maart is door universiteiten ten minste 23% van de hoge risico’s opgeruimd. Zelfs met de introductie van de nieuwe versleutelde e-mail meting ging men dus vooruit.

Voor universiteiten is ook een nieuwe functionaliteit toegevoegd: het uitsluiten van een sub-subdomeinen. Dit is nodig voor studentensites die draaien onder bijvoorbeeld het “student” subdomein. In dit geval is de universiteit wel de hoster, maar niet de eigenaar: studenten mogen zelf bepalen op welke manier ze iets online zetten.

Er is helaas nog geen universiteit die op oranje of groen staat. Ook de universiteiten met een klein online oppervlak zoals de drie theologische of die voor humanistiek hebben nog hoge risico’s.

In totaal worden er net iets meer dan 8000 adressen gemeten. Dit bestaat uit de hoofdsite en alle subdomeinen. Projectdomeinen zijn niet meegenomen omdat hiervoor geen publiek register bekend is.

Bij de vooraankondiging zijn de hogescholen en universiteiten op 1 kaart gezet. Vanaf de 19e zijn deze uit elkaar gehaald naar verschillende kaarten. Hieronder staan de cijfers de 19e tot het moment van publicatie op 6 maart.

RisicoBegin aanloop
19 januari
Publicatie
6 maart
Verschil
Hoog3.6832.842-23% (841)
Midden6.8425.808-15% (1.034)
Laag25.02923.122-8% (1.907)
Goed52.12549.701-5% (2.424)
Verandering in risico’s bij universiteiten tijdens de aanloopperiode

Drie universiteiten laten grote veranderingen zien over tijd. Hieronder zie je de periode van 1 januari tot begin maart. Er zijn meer instellingen met een daling in hoge risico’s, maar daar is het niet zo duidelijk te zien.

Zakkende hoge risico’s van Universiteit Twente in de aanloopperiode. Zij zakten van 401 naar 113 hoge risico’s tussen 19 januari en 6 maart.
Zakkende hoge risico’s van Radboud Universiteit Nijmegen in de aanloopperiode. Zij zakten van 370 naar 151 hoge risico’s tussen 19 januari en 6 maart.
Zakkend hoge risico’s van Universiteit van Amsterdam in de aanloopperiode. Zij zakten van 114 naar 42 tussen 19 januari en 6 maart.

Hogescholen ook, maar minder zichtbaar

Bij hogescholen zien we aan de oppervlakte niet zo’n sterke daling in het aantal hoge risico’s. Dat is natuurlijk deels omdat de online oppervlakte van hogescholen kleiner is, en dat wordt ook weer verdeeld over meer instellingen.

Een aantal hogescholen mailden ook regelmatig met de vraag extra domeinen toe te voegen. Ook kwamen wij een paar ontbrekende alternatieve hoofddomeinen van hogescholen tegen waar meer infrastructuur onder stond. Dit samen heeft ervoor gezorgd dat een groot deel van de hoge risico’s die zijn opgelost statistisch wegvallen tegen nieuw gemeten hoge risico’s. Als we inzoomen, verderop, zijn wel grote wijzigingen te zien.

Dit is het overzicht van wijzigingen bij hogescholen in de aanloopperiode.

Risico19 januari6 maartVerschil
Hoog13471287-4% (60)
Midden31863102-3% (84)
Laag1102811089+1% (+61)
Goed2170222921+6% (+1219)
Verandering in risico’s bij hogescholen tijdens de aanloopperiode

Opvallend is dat er een boel positieve resultaten bij zijn gekomen. Dit zien we o.a. bij Fontys, die e.e.a. anders hebben ingericht over tijd. In die grafiek zien we dat een maand heel veel ‘interne’ domeinen worden gevonden. Daar is e.e.a. opgeruimd waardoor er positieve resultaten bij kwamen.

Grafiek van Fontys Hogeschool, de verhoging van de risico’s waren ‘interne’ domeinen onder het hera.fhict.nl.

Een aantal hogescholen hebben hard gewerkt om de hoge risico’s weg te krijgen. Hieronder staan de instellingen die opvallen door een sterke daling. De genoemde getallen zijn ook weer van 19 januari tot 6 maart. Het aantal opgeruimde risico’s ligt hoger, dat zie je aan het begin van deze grafieken.

Bij twee grafieken valt op dat er een kleine stijging zit in het aantal op de laatste dag. Dat komt omdat deze grafieken op 7 maart zijn gemaakt. Op 6 maart is de meting rondom ongevraagde volgcookies van midden naar hoog gezet i.v.m. de aangekondigde handhaving van de Autoriteit Persoonsgegevens.

De Hogeschool van Amsterdam laat ook een mooie zakkende lijn zien. Van 42 naar 12 hoge risico’s.
De Hogeschool voor de Kunsten Utrecht zakte in de aanloopperiode van 33 naar 3 hoge risico’s.
Saxion Hogeschool zakte van 13 naar 0, en is helaas op de 7e net weer iets achteruit gegaan. Dit komt omdat volgcookies op de 6e op Hoog risico zijn gezet.
De Pedagogische Hogeschool de Kempel zakte van 3 naar 0.

Er is ook een instelling die opvalt door een stijging van het aantal hoge risico’s van 48 naar 71. Op 17 januari, net buiten het termijn van onze vergelijking, zie je ook al een sterke stijging. Deze instelling mailde regelmatig met extra domeinen en heeft dus een andere strategie gekozen dan de rest. Dat is niet noodzakelijk slecht: nu is er dus inzicht op meer domeinen waardoor er op termijn ook meer veiligheid ontstaat.

Bij Zuyd Hogeschool is het aantal risico’s toegenomen omdat er veel extra domeinen zijn toegevoegd.

Vergelijking in het klassement

Ten opzichte van elkaar doen universiteiten en hogescholen het grofweg even goed. Universiteiten scoren 14 punten het best, hogescholen op de 10 andere. Op een paar punten zijn er wel duidelijke verschillen.

Universiteiten hebben DNSSEC en HTTPS beter op orde. Het gaat over een verschil van meer dan 10%. Hoewel bij universiteiten de kwaliteit van de versleuteling beter is, voldoen er minder adressen aan de versleutelingseisen van het NSCS + DANE. Dat is een interessante tegenstelling.

Hogescholen hebben de eer om RPKI voor hun websites 100% op orde te hebben. Alleen veiligheidsregio’s en waterschappen lukt dat ook. Op de punten waar hogescholen het beter doen dan universiteiten is het verschil nooit groter dan 10%.

Ten opzichte van de rest

Ten opzichte van de vier overheidslagen (centraal, provincies, waterschappen en gemeenten) doen de hogescholen het slechter. Ruim de meeste groene hartjes gaan dan telkens naar de overheidslaag. Zie hier, hier, hier en hier.

Gebaseerd op het aantal beste en slechtste posities in het klassement belanden hogescholen ergens in de middenmoot tussen de zorg, cybersecurity en politieke partijen.

Wanneer alle eerder genoemde lagen tegelijkertijd worden vergeleken zien we dat bijna alle ‘beste’ en ‘slechtste’ scores verdwijnen bij het hoger onderwijs.

Hieronder staat een vergelijking van de twee onderwijslagen ten opzichte van de overheid. Je ziet dat de slechte punten vooral verdeeld worden tussen de onderwijsinstellingen en de overheid de meeste groene hartjes krijgt.

Screenshot van het klassement tijdens het schrijven van dit artikel. De internet_nl_mail_tls meting is met 0% overal niet juist, dit is een bekende bug en is buiten beschouwing gelaten in dit artikel.

Metingen zijn openbare gegevens

De meetresultaten van dit onderzoek zijn openbaar en beschikbaar als open data onder de Creative Commons licentie. De informatie wordt doorlopend bijgewerkt en is in te zien op de site https://basisbeveiliging.nl.

Kleuren op de kaart van Universiteiten en hogescholen bij de eerste publicatie van de kaarten.

Kanttekeningen

  • Universiteiten hebben ook WHOIS met 10% of meer beter op orde dan hogescholen, maar deze meting vereist nog een handmatige naloop om te controleren dat de informatie bij hogescholen daadwerkelijk juist is. Daarom wordt dit verschil niet expliciet genoemd in het artikel.
  • In het klassement is de meting rondom STARTLS+DANE op e-mail weggevallen. Dit is een bekende bug. Hierdoor heeft iedereen een hoogste en laagste waardering erbij gekregen. Netto maakt dat alles vergelijkbaar, maar het geeft wat verwarring. Aan een oplossing wordt gewerkt.
  • Er zijn 36 hogescholen en 18 universiteiten meegenomen. Universiteit Nyenrode ontbrak in de bronbestanden en wordt later toegevoegd ivm de aanloopperiode.
  • Bij de WUR is een stijging te zien. Dit is verklaarbaar omdat de WUR al in het systeem stond vanuit een aantal overheidsprojecten. Deze twee instanties van de WUR zijn samengevoegd in de aanloopperiode. Dat is verwarrend en daardoor niet als aparte grafiek getoond.

Overheid vraagt op meer dan 100 manieren toestemming voor volgcookies. Cookiebanners misleiden en 30% werkt niet

Op 20% van de onderzochte overheidsdomeinen staat een cookiebanner (394 van de 1911). Er wordt op meer dan 100 verschillende manieren om toestemming gevraagd, daarna zijn we gestopt met tellen. Per banner zijn er ook nog eens variaties in positionering, teksten, instellingen en stijl.

30% van de banners lekken ongevraagde volgcookies. Bijna alle banners zijn grafisch misleidend. 23% van de banners vereist meer handelingen om te weigeren dan te accepteren, in enkele gevallen kost weigeren 3 handelingen.

De overheid wil van de cookiebanners op eigen sites af. In veel gevallen kan dat direct. Voor het merendeel van de gevallen moet de site een alternatieve dienst of instellingen gebruiken. Video’s en statistieken zijn de voornaamste bron van ongevraagde volgcookies.

Hoe moet het wel? Er zijn meer dan 300 grotere overheidssites zonder cookiebanner of externe scripts. Deze zijn van een groot aantal opdrachtgevers van de centrale overheid. Gemeenten, provincies en waterschappen lukt dit nog niet.

Ter lering en vermaak bevat dit artikel ruim 20 voorbeelden van slechte cookiebanners op overheidssites. Van 289 van deze banners is ook een bureaubladachtergrond gemaakt en een overzicht van alle verschillende manieren om te weigeren of accepteren.

Vanaf 1 maart 2024 worden ongevraagde tracking cookies rood beoordeeld op basisbeveiliging.nl. Dit sluit aan op aankondiging van de Autoriteit Persoonsgegevens om te gaan handhaven op misleidende banners.

We zagen in november dat 4% van de voorpagina’s van overheidssites ongevraagde volgcookies plaatst. Een actueel overzicht van overheden dat illegaal volgcookies plaatst staat op het volgcookie-overzicht, hier.

Banners gelijktrekken of opruimen?

Wat moet de overheid met al deze banners? Het ultieme antwoord daarop is eenvoudig: opruimen. In de kamerbrief over cookies en online tracking van staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering) en minister Adriaansens (EZK) staat:

“Wij vinden het daarom wenselijk dat er geen third-party cookies of andere tracking gebruikt wordt op overheidswebsites, ongeacht het verkrijgen van toestemming.”

Kamerbrief over cookies en online tracking, september 2023

Een van de kernwoorden in die brief is “onbespied”: een bezoeker moet dus een website van een overheid kunnen bezoeken zonder dat een derde meekijkt. Dat is een hoger doel, waarbij ook geen bronnen van derde partijen worden gebruikt. Dus geen externe opmaak en lettertypen bijvoorbeeld.

Sinds februari 2024 geeft de Autoriteit Persoonsgegevens aan hoe heldere cookiebanners eruit horen te zien. Ze geeft daarbij aan dat ze hierop gaat handhaven en kan zelfs een boete opleggen.

Waarom gebruikt de overheid deze banners?

Op overheidssites zijn er twee hoofdoorzaken voor het gebruik van cookiebanners.

De eerste groep banners is simpelweg overbodig. Op deze banners wordt aangegeven dat er gebruik wordt gemaakt van analytische en functionele cookies. Daarvoor is geen toestemming nodig. Deze banners kunnen per direct de prullenbak in.

Mogelijke oorzaken van deze banners zijn onbekendheid met de regels of juristen die een “slag om de arm” nemen. Vragen om toestemming geeft de indruk dat gegevens kunnen worden gedeeld: het belemmert de gebruiker en maakt de site minder betrouwbaar.

Soms is het verwarrend: het statistiekenpakket (voor analytische doeleinden) van LinkedIn plaatst óók een volgcookie voor marketingsdoeleinden. Dan is toestemming noodzakelijk.

De overige grote groep banners komt door het gemak waarmee opdrachtgevers en websitebureaus online diensten van derde partijen gebruiken. Het gaat dan om functionaliteit voor zaken als video’s, kaarten, captcha’s en statistieken. Dit werkt makkelijk en snel maar men heeft niet scherp wat de gevolgen zijn. Deze besparing in komt uiteindelijk voor rekening van de bezoeker.

Voor de meeste, zo niet alle, online diensten bestaan alternatieven. Maar toegegeven: deze zijn niet allemaal even gangbaar, bekend, goedkoop, makkelijk te vinden of eenvoudig te gebruiken. Het scherp krijgen van alle alternatieven is dan ook een van de uitdagingen bij de overheid. Daarover verderop meer.

De overheid verdient geen geld aan advertenties op haar websites. Hiervoor zijn geen cookiebanners gevonden.

Werken die banners eigenlijk wel?

Op ten minste 30% van de sites met banner werkt deze niet. Er zijn ten minste 41 soorten banners die volgcookies lekken.

Neem het populairste volgcookie is die van YouTube. Dit cookie heet VISITOR_INFO1_LIVE en is door Google als advertentiecookie gedocumenteerd.

Zonder toestemming wordt dit cookie wordt geplaatst op 228 domeinen, terwijl met toestemming het cookie op 262 domeinen wordt geplaatst. Op 34 sites is de cookiebanner effectief.

Maar van die 228 sites zonder toestemming hebben 84 een cookiebanner. Hier komt het VISITOR_INFO1_LIVE cookie dus doorheen.

Wanneer de bekende volgcookies van Facebook, Google en LinkedIn worden meegenomen stijgt het aantal sites met lekkende cookiebanners naar 94.

We hebben over langere termijn 310 overheidssites met cookiebanner gemeten. Dus op 30% van sites met een cookiebanner werkt de banner niet. Een van de populairste cookiebanners, ‘cookieSettingsOverlayToggle’ lekt op 25 sites cookies. In totaal zien we 41 soorten lekkende banners. Deze zijn te vinden in bijlage E.

Voorbeeld van de cookieSettingsOverlayToggle cookiebanner

De 1911 sites zijn tot 200 pagina’s bezocht en tot 3 lagen diep. In totaal gaat het om 310 sites waar deze meting herhaaldelijk succesvol is uitgevoerd over langere termijn. De lijst met sites en de verklaring waarom dit niet gemeten is over het totaal van 394 sites is staat in bijlage E. We zien bij het geven van toestemming op sites met banners geen enorme toename in een nieuw volgcookies, enkel een toename in bestaande volgcookies. We hebben alleen gekeken wat er in het wild gebeurt, er is geen test uitgevoerd van alle banners (met alle instellingen) op alle volgcookies.

Zijn deze banners eerlijk?

Nee. 23 van de 97 onderzochte banners vereisen meer stappen om te weigeren dan te accepteren (23%). Soms kost weigering zelfs drie handelingen, terwijl accepteren er maar één is. In 16 gevallen is weigeren onmogelijk, vaak omdat deze banners over analytische/functionele cookies gaan en dus overbodig zijn.

In de voorbeelden later in dit artikel is duidelijk te zien dat met grafisch ontwerp (dark patterns) een bezoeker makkelijker kan accepteren dan weigeren. Denk dan aan dat de acceptatieknop goed te zien is, een positieve kleur heeft en dergelijke. Nagenoeg alle banners passen dergelijke patronen toe. De autoriteit persoonsgegevens geeft aan dat dit niet mag en hoe het wel moet.

Ook op overheidssites zijn de cookiebanners dus misleidend.

# BannersWeiger stappenAccepteer stappen
331
222
2021
113
212
5311
1onmogelijk3
1onmogelijk2
12onmogelijk1
2onmogelijkonmogelijk
Stappen om te weigeren bij 97 technisch verschillende banners.

Gezocht: alternatieve diensten

Diensten van derden zijn bij de overheid de enige bron van volgcookies. In dit hoofdstuk duiken we in de stand van zaken rond de twee belangrijkste redenen voor ongevraagde volgcookies: video’s en statistieken.

De overheid is op dit moment druk op zoek naar alternatieven. Niet alleen voor diensten die volgcookies plaatsen maar voor alle diensten van derden zoals externe lettertypen.

Wij zullen daarom in kaart brengen waar third-party cookies en scripts gebruikt worden, en welke. Op basis daarvan willen we onderzoeken of we deze kunnen vervangen door (open source) alternatieven, die door de overheid zelf gehost worden, waardoor die informatie niet naar derden gaat. Dit sluit aan bij de ambities omtrent digital commons.

Kamerbrief over cookies en online tracking

Privacyvriendelijke video

Er zijn twee grote videoplatforms in gebruik op sites van de rijksoverheid. Dit zijn YouTube en Rovid. Beiden worden op afstand gevolgd door Vimeo en Kaltura.

YouTube plaatst het meest gebruikte ongevraagde volgcookie, maar levert sinds 2009 het alternatief youtube-noocookie.com voor embedding op sites. 20% van de verzoeken naar YouTube gaat via dat domein. Voor beheerders was het dus altijd al eenvoudig om privacyvriendelijk te werken, maar 80% doet dat niet.

Het andere populaire platform is Rovid. Dit is van de Dienst Publiek en Communicatie van het Ministerie van Algemene Zaken. Dit platform plaatst geen volgcookies. Rovid wordt gebruikt op 268 sites, zoals dranquilo.nl of verbeterjehuis.nl. De speler van Rovid doet functioneel niet onder voor YouTube en heeft soms ook opties om videos te downloaden.

Maar Rovid heeft ook eigenaardigheden. De website waar de video’s vandaan komen, rovid.nl, is blanco. Er is niets te vinden over de dienst, zelfs geen rijksoverheidslogo. Er staat dus niet dat het van de overheid is, welk doel het heeft, wat het kost en wat het allemaal kan. Hierover is gemaild en dit artikel wordt nog aangevuld.

Rovid wordt alleen gebruikt voor de rijksoverheid. Andere overheden zullen dus andere alternatieven moeten zoeken. Een alternatief is dat websites zelf ook video’s kunnen aanbieden zonder gebruik te maken van een externe dienst of scripts. Voor iedere webtechnologie bestaat een groot aantal videospelers.

Alternatieven voor tracking op statistieken

Het statistiekenpakket van LinkedIn plaatst het vaakt ongewenst volgcookies. Google Analytics volgt bezoekers via externe verzoeken naar doubleclick.net wanneer het niet goed is ingericht.

De rijksoverheid kan via Dienst Publiek en Communicatie gebruik maken van een Piwik Pro installatie. Andere overheden zullen dit zelf moeten regelen, maar gelukkig is er een keur aan alternatieven. Matomo is zo’n populair alternatief. Op de website European Alternatives staan nog 30 alternatieven die voldoen aan de AVG.

Showcase slechte cookiebanners

De mensen die vroeger de interface van videorecorders ontwierpen maken tegenwoordig cookiebanners. Menig jurist, grafisch ontwerper en techneut heeft de bingokaart al snel vol met frustraties en irritaties.

Laten we kijken naar ruim 20 verschillende cookiebanners waar iets mis mee is. Deze metingen komen van november 2023. Er zijn wat sites opgeknapt of opgeruimd, maar de meeste staan er nog.

Tactisch onhandig

We beginnen bij politie.nl. Stel je wil een aangifte doen, dan is het fijn om te weten dat er nog een partij op die site zit die ogenschijnlijk geld verdient aan jouw bezoek.

Op het meldpunt integriteit van justitie en veiligheid staat het vinkje “sociale media” standaard aangevinkt. Dat is geen geruststellende gedachte wanneer je net een melding wil maken over de integriteit van een collega. Voor je het weet is je bezoek gekoppeld aan social media en krijg je hier reclames voor.

Ook een tactisch onhandige is die van investinholland.com. Waarom zou iemand investeerders willen afleiden met een vraag over cookies en tracking.

Er zijn meer sites waar vinkjes standaard aan staan. Zo ook op metropoolregioeindhoven.nl laat standaard marketing cookie aan staan.

Alles accepteren

Een kromme vorm van toestemming vragen is vinkjes tonen die uit staan. Daaronder staat dan de knop “alles accepteren”. Die knop aantikken zet dus alle vinkjes aan! De knop “Weigeren” is niet te vinden, waardoor een bezoeker moet nadenken over de andere optie.

Dat zien we bijvoorbeeld op buitenlevenvakanties.nl (ja, is rijksoverheid :))

Op geheugenvannederland.nl staat dit geheugenspelletje ook.

Ook GGD West Brabant doet dit. Met de knop “Ik stem met alles in” wordt toestemming gegeven voor de uitgevinkte opties.

De sites holland.com, nbtc.nl en zonmw.nl gebruiken dezelfde vraagstelling. Daarin wordt gesuggereerd dat “accepteren en doorgaan” de juiste keuze is. Daaronder staat in grijs een tekst waarvan een gebruiker niet kan zien dat het een link is.

Duister ontwerp

Bezoekers wordt door vormgeving verleid om in te stemmen met cookies. Dit is aan de orde van de dag en bijna alle cookiebanners maken zich hier schuldig aan.

Een voorbeeld is de site drenthe.nl. Daar kan men meteen accepteren, of men kan tijd besteden met priegelen in instellingen.

Ook groningen.nl maakt het bezoekers extra moeilijk om te weigeren. Om te weigeren moet je minstens twee stappen nemen. Namelijk eerst “voorkeuren wijzigen” en dan door het volgende doolhof de juiste vinkjes zetten.

Soms is het heel moeilijk om te vinden hoe je kan weigeren. Bijvoorbeeld op haaglandenveilig.nl is onderaan de paarse tekst een linkje te vinden om cookies in te stellen. We vinden het schrijven van het woord “Akkoord” op twee regels wel bijzonder grappig.

Contrast en kleur

Spelen met contrast kan ook zorgen voor meer gebruikers die toestemming geven. Hieronder staat het dialoog van drechtsteden.nl, waarbij de knoppen “Alle cookies weigeren” en “Voorkeuren” lijken uitgeschakeld. Mensen met verminderde visie zullen deze helemaal niet kunnen zien.

Op nidos.nl zie je geel op wit op geel. Dat is ongelofelijk lastig te lezen. Ook staat er bij toestaan een mooie groene knop en een vinkje. Dat zal dan wel de goede optie zijn.

Groen is goed. Dat zien we ook terug op de site nlw.nl.

Meertalig

Op de site van biodiversiteit worden verschillende talen door elkaar gebruikt: Accepteren als moeilijk leesbare link en een grijze knop met “No, thanks”.

Meertaligheid zien we vaker terug, zoals op hunzeenaas.nl. Daar kan je kiezen voor “alle cookies”, “Deny” en “voorkeuren”.

De site meldknop.nl, wat als doel heeft mensen te beschermen, heeft een uitvoerige en meertalige cookiebanner. Hier zijn de keuzes: “all cookies”, “weigeren” en “view preferences”.

Weigeren onmogelijk, an offer you can’t refuse

Diverse sites maken het onmogelijk om te weigeren, zelfs als het gaat om marketingscookies. Maar dat mag toch niet? Of wacht… er staat een link onderaan in de tekst die volledig wegvalt. We zien dit o.a. op de site van veva.nl.

Op risse.nl wordt aangegeven: kom je hier, dan stem je in met hun “cookie beleid” (sic). Er zijn meerdere van dit soort sites, zoals crimediggers.nl.

Nog wat aparte

Rotterdammers blijven Rotterdammers. Dat zie je ook in de vraagstelling en antwoorden op ggdrotterdamrijnmond.nl. Direct accepteren? Ja of Nee. Eigenlijk best duidelijk, en misschien wel de duidelijkste in deze reeks.

Maar gelukkig kan het ook onduidelijker, zoals op de site concernvoorwerk.nl. Hier is het mogelijk om te kiezen uit “Akkoord”, “x” en “x”. Wat doen die “x” knoppen precies?

Drie handelingen nodig om uit te schakelen

Tot slot nog een van onze favoriete sites: vng-international.nl. Dit is een favoriet van basisbeveiliging omdat dit domein zorgt dat de Vereniging van Nederlandse Gemeenten een van de slechtst beveiligde organisaties is op de gemeentekaart. De cookiebanner op deze site is dubbel gemeen: een bezoeker moet naar het slechter vormgegeven “settings” en daar moet het vinkje marketingscookies eerst worden uitgezet. Daarna moet alsnog op “Accept” worden geklikt wat natuurlijk verwaarend is.

Tot slot: hoe moet het dan wel?

Hier ligt een hele grote valkuil: aangeven hoe goede cookiebanners er uitzien. Dat zou betekenen dat het gebruik van deze banners en de tracking erachter wenselijk is. Wij lopen daarom met een grote boog om deze valkuil heen.

Ook het gebruik van scripts van derde partijen is niet wenselijk. De enige externe partij waar iets van mag worden opgevraagd is een andere site van dezelfde organisatie of de overheid.

Er zijn 335 overheidssites van maar dan 20 pagina’s die voldoen aan deze eisen. Het kan dus wel! Opvallend is dat het vele verschillende opdrachtgevers zijn die het is gelukt. Deze meting is uitgevoerd tot 200 pagina’s en maximaal 3 lagen diep per domein.

Helaas lukt het alleen de centrale overheid om aan deze eisen te voldoen. Gemeenten, provincies en waterschappen blijven achter door vaak dezelfde externe diensten.

EigenaarWebsitePagina’s
Dienst Publiek en Communicatie (DPC)government.nl202
Dienst Terugkeer en Vertrek (DT&V)dienstterugkeerenvertrek.nl201
Infrastructuur en Waterstaat (IenW)agendaijsselmeergebied2050.nl183
Ministerie van Volksgezondheid, Welzijn en Sport (VWS)prognosemodelzw.nl182
Ministerie van Volksgezondheid, Welzijn en Sport (VWS)nederlandse-sportraad.nl181
Rijkswaterstaatmagazinesrijkswaterstaat.nl175
Rijksdienst voor het Cultureel Erfgoedcultureelerfgoed.nl172
Onderwijs, Cultuur en Wetenschaptelmeemettaal.nl165
Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)farmatec.nl159
Dienst Justitiële Inrichtingen (DJI)dji.nl154
Ministerie van Volksgezondheid, Welzijn en Sport (VWS)regelhulp.nl144
Ministerie van Volksgezondheid, Welzijn en Sport (VWS)monitorlangdurigezorg.nl142
Uitvoeringsinstituut Werknemersverzekeringen (UWV)competentnl.nl139
Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)bigregister.nl136
Ministerie van Buitenlandse Zaken (BUZA)oecdguidelines.nl136
Landbouw, Natuur en Voedselkwaliteitanimalfreeinnovationtpi.nl135
 Logiuskoopoverheid.nl135
Ministerie van Volksgezondheid, Welzijn en Sport (VWS)tuchtcollege-gezondheidszorg.nl133
Bureau Algemene Bestuursdienst (Bureau ABD)algemenebestuursdienst.nl132
Onderwijs, Cultuur en Wetenschapnieuwsbrievenminocw.nl128

Bijlage A: Bureaubladachtergrond cookietoestemming

Onderstaande afbeelding is op 4K te downloaden. Deze bevat 289 verschillende cookie vraagstellingen vanuit verschillende vormgevingen en technieken. Klik op de afbeelding om deze te downloaden.

Bijlage B: Collage smaakjes cookiebanners

Een van de meest toegepaste cookiebanners lekt op 25 sites volgcookies. Deze heet “cookieSettingsOverlayToggle”. Het leuke van deze banner is dat beheerders een eigen kleurtje kunnen instellen. Wij sparen ze allemaal!

Bijlage C: Toestemming of Weigeren

Bezoekers kunnen op 51 verschillende manieren accepteren: Aanvaarden, Accept, Accept All, Accept Cookies, Accepteer, Accepteer Al Onze Cookies, Accepteer Alle Cookies, Accepteer Alles, Accepteer Cookies, Accepteren, Accepteren En Doorgaan, Akkoord, Akkoord Met Cookies Van Derden, Akkoord Met Functionele Én Marketing Cookies, All Cookies, Alle Cookies, Alle Cookies Accepteren, Alle Cookies Toestaan, Alle Toestaan, Alles Aanvaarden, Alles Accepteren, Alles Toestaan, Allow All, Cookies Accepteren, Cookies Toestaan, Geen Probleem, I Agree, Ik Accepteer Alle Cookies, Ik Begrijp Het, Ik Ga Akkoord, Ik Snap Het, Ik Stem Met Alles In, Ja, “Ja, Dat Is Prima”, “Ja, Ik Accepteer”, “Ja, Ik Accepteer Cookies”, “Ja, Ik Accepteer Deze Cookies”, Keuze Opslaan, Ok, Opslaan, Prima, Prima, Ik Sta Dit Toe, Prima!, Sluit, Sluiten, Sta Cookies Toe, Toestaan, Verberg Deze Melding, Verbergen, Voorkeur Opslaan, Yes, I Accept Cookies From This Website

Ook kunnen ze op 50 manieren weigeren: Afwijzen, Akkoord Met Enkel Functionele Cookies, Alle Cookies Weigeren, Alle Weigeren, Alleen Anonieme Cookies, Alleen De Functionele Cookies, Alleen Functionele Cookies, Alleen Noodzakelijk, Alleen Noodzakelijke Cookies, Alleen Noodzakelijke En Analytische Cookies, Alles Afwijzen, Alles Weigeren, Cookie Instellingen Aanpassen, Cookies Niet Toestaan, Cookies Weigeren, Deny, Enkel Noodzakelijke, Enkel Noodzakelijke Cookies, Ik Ga Niet Akkoord, Ik Stem In Met Selectie, Liever Niet, Minimale Cookies, Nee, “Nee Bedankt”, “Nee, Bedankt”, “Nee, Bedankt.”, “Nee, Dank Je”, “Nee, Ik Accepteer Deze Cookies Niet”, “Nee, Ik Accepteer Geen Cookies”, “Nee, Ik Accepteer Niet”, “Nee, Liever Niet”, “Nee, Weiger Cookies”, Niet Accepteren, Niet Akkoord, Niet Nu, No, No, I Do Not Accept Cookies From This Website, No, Thanks, Ok, Opslaan, Opslaan En Sluiten, Reject All, Save, Weiger, Weiger Cookies, Weigeren, X, Zelf Instellen, Zet Cookies Uit

Bijlage D: Tabel met verschillende keuzes

De 154 combinaties met antwoorden kwamen we tegen tijdens het onderzoek.

AccepterenWeigerenOverig
AanvaardenWeigeren
Accept

Accept allSaveIndividual Privacy Preferences
Accept allReject allCustomize
Accept All
Customize
Accept Cookies
Cookie Settings
Accept cookies
Settings
AccepteerWeigerPrivacybeleid
AccepteerWeiger
Accepteer

Accepteer
Meer weten…
Accepteer
Cookies aanpassen
Accepteer
instellingen
Accepteer
Meer informatie
Accepteer al onze cookiesAlleen de functionele cookies
Accepteer alle cookiesNiet accepterenAanpassen
Accepteer alle cookiesAlleen noodzakelijke en analytische cookies
Accepteer alle cookies
Zelf instellen
Accepteer alle cookies
Cookie instellingen
Accepteer allesAlleen noodzakelijkBekijk instellingen
Accepteer allesAlles afwijzenAanpassen
Accepteer allesok
Accepteer alles
Opslaan
Accepteer cookiesCookie-instellingen aanpassen
ACCEPTEER COOKIESWEIGER COOKIESMeer informatie
Accepteer cookiesWeiger cookies
Accepteer cookies

Accepteer cookies
Cookie-instellingen aanpassen
Accepteer Cookies
Privacy statement
Accepteer cookies
Meer instellingen
AccepterenWeigeren
AccepterenWeigerenPrivacyverklaring
AccepterenWeigerenCookie instellingen
AccepterenWeigerenBekijk voorkeuren
AccepterenNo, thanks
AccepterenNee, bedankt
AccepterenNee, bedanktMeer informatie
AccepterenWeigerBekijk voorkeuren
AccepterenNee, dank je
AccepterenNee, bedankt.
AccepterenNiet accepteren
AccepterenMinimale cookies
AccepterenZelf instellen
AccepterenAfwijzen
AccepterenEnkel noodzakelijke cookies
accepteren
Zelf instellen
Accepteren
Verbergen
Accepteren
Individuele cookie voorkeuren
Accepteren
Instellingen
Accepteren
Cookie instellingen
Accepteren

Accepteren
Meer informatie
Accepteren
Privacybeleid
Accepteren en doorgaanAlle cookies weigerenVoorkeuren opslaan
Accepteren en doorgaanOpslaan en sluiten
Accepteren en doorgaan
Zelf instellen
Accepteren en doorgaan
Opslaan en sluiten
Akkoordxx
AkkoordWeigeren
AkkoordLiever niet
Akkoord
Meer weten?
Akkoord

Akkoord
Cookie instellingen
Akkoord
Info / uitzetten
Akkoord
Meer informatie
Akkoord
Pas je cookie voorkeuren aan
Akkoord
Instellingen
Akkoord
Voorkeuren
Akkoord
Wijzigen
Akkoord met cookies van derdenAlleen functionele cookies
Akkoord met functionele én marketing cookiesAkkoord met enkel functionele cookies
All cookiesWeigerenView preferences
Alle cookiesDenyVoorkeuren
Alle cookies
Zelf instellen
Alle cookies accepterenAlle cookies weigerenVoorkeuren
Alle cookies accepteren
Cookie instellingen aanpassen
Alle cookies toestaanZelf instellen
Alle cookies toestaanAlleen anonieme cookies
Alle cookies toestaanAlleen noodzakelijke cookiesDetails tonen
Alle cookies toestaan
Details tonen
Alle cookies toestaan
Voorkeuren
Alle toestaanAlle weigerenInstellingen
Alle toestaanEnkel noodzakelijkeCookie-instellingen
Alles aanvaardenAlles weigeren
Alles accepterenAlles afwijzenInstellingen
Alles accepterenAlleen noodzakelijkCookie-instellingen
Alles accepterenAlles weigerenInstellingen
Alles accepterenOpslaanOpslaan
Alles accepteren
Instellingen
Alles accepteren
Aangepast
Alles accepteren
Voorkeuren wijzigen
Alles toestaanWeigerenAanpassen
Alles toestaanWeigerenSelectie toestaan
Alles toestaanWeigerenInstellingen
Alles toestaan
Voorkeuren
Allow allDenyAllow selection
Cookies accepteren

Cookies toestaanCookies weigeren
Cookies toestaanCookies weigerenPrivacy en cookies
Cookies toestaanCookies weigerenInformatie over cookies
Cookies toestaanCookies niet toestaan
Cookies toestaanCookies niet toestaanMeer informatie over de cookiewet
Cookies toestaanAlleen noodzakelijke cookies
Cookies toestaan
Cookies weigeren
Cookies toestaan

Geen probleemNiet nu
I Agree
Privacy Preferences
Ik accepteer alle cookies
Ik wil mijn cookies handmatig instellen
Ik accepteer alle cookies
Meer informatie over cookies
Ik begrijp het
Instellingen
Ik begrijp het
Meer informatie
Ik begrijp het
Cookieverklaring
Ik ga akkoordZet cookies uitCookie instellingen
Ik ga akkoordIk ga niet akkoord
Ik ga akkoordNee, weiger cookies
Ik ga akkoord

Ik ga akkoord
Instellingen
Ik ga akkoord
Wijzig voorkeuren
Ik snap het

Ik snap het
Instellingen
Ik stem met alles inIk stem in met selectie
Ik stem met alles in
Zelf instellen
JaNee
Ja, dat is prima
Nee, zelf instellen
Ja, ik accepteerNee, ik accepteer niet
Ja, ik accepteer cookiesNee, ik accepteer geen cookiesIk wil eerst meer weten…
Ja, ik accepteer deze cookiesNee, ik accepteer deze cookies niet
Ja, ik accepteer deze cookiesNee, ik accepteer deze cookies nietInformatie over cookies
Ja, ik accepteer deze cookiesCookies weigeren
Keuze opslaan

OKNiet akkoordDetails tonen
OkNoPrivacy policy
Ok

OK
Learn more
Opslaan

Opslaan
Details
PrimaNee bedankt
Prima, ik sta dit toeNee, liever niet
Prima!Liever niet
Sluit

Sluiten

Sta cookies toe
Instellingen
ToestaanWeigeren
ToestaanWeigerenLees meer
ToestaanAfwijzen
TOESTAAN
INSTELLINGEN
Verberg deze melding

Verbergen
Meer info
Voorkeur opslaan
Privacy statement
Yes, i accept cookies from this websiteNo, I do not accept cookies from this website


X


Verberg deze melding


Wijzig hier jouw cookie-instellingen


Voorkeur wijzigen

Bijlage E: Plaatsing VISITOR_INFO1_LIVE cookie

Dit is het YouTube tracking cookie, gedocumenteerd op de site van google.

Plaatsing volgcookie op sites met toestemming

262x: 2todrive.nl, a1oost.nl, a16rotterdam.nl, a27a12ringutrecht.nl, a27houtenhooipolder.nl, a28a1knooppunthoevelaken.nl, aaenhunze.nl, aanmelder.nl, acceleratethechange.nl, actieleernetwerk.nl, afm.nl, agv.nl, albrandswaard.nl, alescon.nl, alkmaarder-enuitgeestermeer.nl, alleenjijbepaalt.nl, allesoversport.nl, almere.nl, amfors.nl, aorta-lsp.nl, aorta-zorg.nl, apeldoorn.nl, avalex.nl, baanbrekers.org, basismonitoringwadden.nl, bdmuseum.nl, bereikbaarheidvooriedereen.nl, bewegwijzeringsdienst.nl, biodiversity-chm.nl, blankenburgverbinding.nl, bofeb.nl, bs-ob.nl, bsr.nl, buitenplaatselswout.nl, buren.nl, bussum.nl, caop.nl, cbi.eu, coastguard.nl, congresbureau.nl, cultuurparticipatie.nl, cvdm.nl, cvdnederland.nl, dcmr.nl, deafsluitdijk.nl, debetho.nl, defensietalenten.nl, denbosch.nl, derdekamer.nl, diamant-groep.nl, dienstgezondheidjeugd.nl, dmi-ecosysteem.nl, dnb.nl, doemeemetmdt.nl, dommel.nl, drechterland.nl, drechtwerk.nl, drenthe.nl, dronten.nl, duurzaamdoor.nl, duurzaamgww.nl, duurzaamheidsroutea35.nl, ecal.nu, eerstekamer.nl, eindhoven.nl, emco-groep.nl, energieoprijksgrond.nl, enterpriseeuropenetwork.nl, ertms.nl, etten-leur.nl, eumetcal.eu, euphix.org, examenblad.nl, expertisecentrumlyme.nl, farmingthefuture.nl, flevoland.nl, flitspanel.nl, gbtwente.nl, gddiergezondheid.nl, geestmerambacht.nl, gelderland.nl, gemeentebest.nl, gemeentestein.nl, gemeentesudwestfryslan.nl, gezondeschool.nl, ggddrenthe.nl, ggdhollandsnoorden.nl, ggdrotterdamrijnmond.nl, ggdzl.nl, ggdzw.nl, globio.info, gooisemeren.nl, greendeals.nl, grondstoffenscanner.nl, halt.nl, hdsr.nl, hellendoorn.nl, helmond.nl, hetcak.nl, hhdelfland.nl, hofvantwente.nl, holland.com, huisvanhilde.nl, hvcgroep.nl, i-sociaaldomein.nl, ifv.nl, ikbennieuwegein.nl, inovergang.nl, internationalstudy.nl, isob.net, iw4.nl, jaarverslagrechtspraak.nl, kamerindeklas.nl, kansspelautoriteit.nl, kb.nl, kbvg.nl, kennisnetwerkspv.nl, knaw.nl, knmi.nl, kredietbanklimburg.nl, kustwacht.nl, kustwachtnederland.nl, laarbeek.nl, lbio.nl, lcms.nl, lochem.nl, lokale-democratie.nl, loodswezen.nl, maatwerkmultiproblematiek.nl, makingvitalityreality.nl, markermeerijmeer.nl, matra-south.nl, metropoolregioeindhoven.nl, minderwegwerpplastic.nl, mirta2deilvught.nl, mondriaanfonds.nl, monozakelijk.nl, montferland.info, monumenten.nl, move-rdh.nl, muiden.nl, naarden.nl, nak.nl, nationaalsportakkoord.nl, natuurenrecreatieschapijsselmonde.nl, nbso-texas.com, nederweert.nl, nieuwkoop.nl, nieuwsienw.nl, nipv.nl, nl-alerttijdlijn.nl, nlwgroep.nl, nsp-toekomstglb.nl, odbn.nl, odijmond.nl, odmh.nl, odwh.nl, odzob.nl, ofgv.nl, omgevingsdiensthaaglanden.nl, omwb.nl, ondermijningapp.nl, orangecorners.com, overheid.nl, ozhz.nl, parklingezegen.nl, partnersvoorwater.nl, pdok.nl, perined.nl, platformduurzamehuisvesting.nl, politie.nl, politieorkest.nl, politiesport.nl, portofmoerdijk.nl, prismabedrijvenpark.nl, provincie-utrecht.nl, purmerend.nl, raadvoorrechtsbijstand.org, ravbrabantmwn.nl, rbbgroep.nl, rdw.nl, rechtwijzer.nl, recreatieschaprottemeren.nl, recreatieschapvoorneputten.nl, recreatieschapwestfriesland.nl, regionaalarchiefrivierenland.nl, regiorivierenland.nl, regiostedendriehoek.nl, rhcvechtenvenen.nl, rijkswegennoord.nl, risse.nl, rudzuidlimburg.nl, rwsnatura2000.nl, sbr-wonen.nl, schielandendekrimpenerwaard.nl, schonerivieren.org, schoolleidersregistervo.nl, snn.nl, sportakkoord.nl, staatsbosbeheer.nl, stadsbankoostnederland.nl, staten-generaal.nl, stedebroec.nl, steenwijkerland.nl, stichtsevecht.nl, streekarchiefvp.nl, striping.nl, stroomopwaarts.nl, sudwestfryslan.nl, svdj.nl, swb.nl, talentisbelangrijker.nl, terneuzen.nl, teylingen.nl, tno.nl, topsectorenergie.nl, tradewithnl.nl, usar.nl, uwkindenseks.nl, valkenburg.nl, vallei-veluwe.nl, varendoejesamen.nl, veiligheidsberaad.nl, veldhoven.nl, verbredinga27a1.nl, verduurzamingindustrie.nl, vervoerregio.nl, vfpf.nl, vng.nl, vnsc.eu, volgjezorg.nl, vraaghetdepolitie.nl, vredespaleis.nl, vzvz.nl, waddenzee.nl, waterasleverage.org, waterschaplimburg.nl, wdodelta.nl, weekvandeintegriteitrijk.nl, weerbaar-bestuur.nl, weerbaarbestuur.nl, weerbaredigitaleoverheid.nl, werkenbijdefensie.nl, werkenbijderdw.nl, werkenbijdesvb.nl, werkenbijhetom.nl, werksaamwf.nl, werkzaakrivierenland.nl, westerwolde.nl, wezo.nl, wlo2015.nl, wmowerkplaatsen.nl, workinnl.nl, wrij.nl, wsd-groep.nl, wshd.nl, wvs.nl, zeroemissiedoelgroepenvervoer.nl, zoeterwoude.nl, zonmw-jeugdmagazines.nl, zorgpact.nl, zuiderzeeland.nl

Plaatsing volgcookie op sites zonder toestemming

228x: 2todrive.nl, a1oost.nl, a16rotterdam.nl, a27a12ringutrecht.nl, a27houtenhooipolder.nl, a28a1knooppunthoevelaken.nl, aaenhunze.nl, aanmelder.nl, acceleratethechange.nl, actieleernetwerk.nl, agv.nl, albrandswaard.nl, alescon.nl, alkmaarder-enuitgeestermeer.nl, alleenjijbepaalt.nl, allesoversport.nl, almere.nl, amfors.nl, aorta-lsp.nl, aorta-zorg.nl, apeldoorn.nl, avalex.nl, baanbrekers.org, bdmuseum.nl, bereikbaarheidvooriedereen.nl, bewegwijzeringsdienst.nl, bidbook.eu, biodiversiteit.nl, biodiversity-chm.nl, blankenburgverbinding.nl, bofeb.nl, bs-ob.nl, bsgw.nl, bsr.nl, buitenplaatselswout.nl, buren.nl, bussum.nl, caop.nl, cbi.eu, coastguard.nl, concernvoorwerk.nl, cvdm.nl, cvdnederland.nl, deafsluitdijk.nl, debetho.nl, defensietalenten.nl, denbosch.nl, derdekamer.nl, diamant-groep.nl, dmi-ecosysteem.nl, dnb.nl, doemeemetmdt.nl, dommel.nl, drechterland.nl, drechtwerk.nl, dronten.nl, duurzaamgww.nl, duurzaamheidsroutea35.nl, ecal.nu, eerstekamer.nl, eindhoven.nl, energieoprijksgrond.nl, enterpriseeuropenetwork.nl, ertms.nl, etten-leur.nl, eumetcal.eu, euphix.org, examenblad.nl, expertisecentrumlyme.nl, farmingthefuture.nl, flevoland.nl, gbtwente.nl, gddiergezondheid.nl, geestmerambacht.nl, gelderland.nl, gemeentebest.nl, gemeentestein.nl, gezondeschool.nl, ggdhollandsnoorden.nl, ggdrotterdamrijnmond.nl, ggdzl.nl, ggdzw.nl, globio.info, gooisemeren.nl, greendeals.nl, grondstoffenscanner.nl, halt.nl, hellendoorn.nl, helmond.nl, hhnk.nl, hofvantwente.nl, hvcgroep.nl, ikbennieuwegein.nl, inovergang.nl, internationalstudy.nl, isob.net, iw4.nl, jaarverslagrechtspraak.nl, kamerindeklas.nl, kansspelautoriteit.nl, kb.nl, kbvg.nl, kennisnetwerkspv.nl, knaw.nl, knmi.nl, kredietbanklimburg.nl, kustwacht.nl, kustwachtnederland.nl, laarbeek.nl, lbio.nl, lcms.nl, lochem.nl, lokale-democratie.nl, loodswezen.nl, maatwerkmultiprobleemhuishoudens.nl, maatwerkmultiproblematiek.nl, makingvitalityreality.nl, markermeerijmeer.nl, matra-south.nl, metropoolregioeindhoven.nl, minderwegwerpplastic.nl, mirta2deilvught.nl, mondriaanfonds.nl, monozakelijk.nl, montferland.info, move-rdh.nl, muiden.nl, nak.nl, natuurenrecreatieschapijsselmonde.nl, nbso-texas.com, nederweert.nl, nieuwkoop.nl, nieuwsienw.nl, nl-alerttijdlijn.nl, nlwgroep.nl, nsp-toekomstglb.nl, odwh.nl, oisterwijk.nl, omgevingsdiensthaaglanden.nl, ondermijningapp.nl, orangecorners.com, overheid.nl, overlegorgaanfysiekeleefomgeving.nl, ozhz.nl, parklingezegen.nl, parkstad-limburg.nl, partnersvoorwater.nl, pdok.nl, perined.nl, pijnacker-nootdorp.nl, platformduurzamehuisvesting.nl, platformwow.nl, politieorkest.nl, politiesport.nl, portofmoerdijk.nl, prismabedrijvenpark.nl, ravbrabantmwn.nl, rbbgroep.nl, rdw.nl, recreatieschaprottemeren.nl, recreatieschapvoorneputten.nl, recreatieschapwestfriesland.nl, regionaalarchiefrivierenland.nl, regiorivierenland.nl, regiostedendriehoek.nl, rhcvechtenvenen.nl, rijkswegennoord.nl, risse.nl, rudzuidlimburg.nl, rwsnatura2000.nl, sbr-wonen.nl, schonerivieren.org, schoolleidersregistervo.nl, snn.nl, sportakkoord.nl, staatsbosbeheer.nl, stadsbankoostnederland.nl, staten-generaal.nl, stedebroec.nl, steenwijkerland.nl, stichtsevecht.nl, streekarchiefvp.nl, swb.nl, talentisbelangrijker.nl, terneuzen.nl, teylingen.nl, tno.nl, topsectorenergie.nl, tradewithnl.nl, usar.nl, uwkindenseks.nl, varendoejesamen.nl, veiligheidsberaad.nl, veldhoven.nl, verbredinga27a1.nl, verduurzamingindustrie.nl, vervoerregio.nl, vfpf.nl, vng.nl, vnsc.eu, volgjezorg.nl, vraaghetdepolitie.nl, vredespaleis.nl, vzvz.nl, wdodelta.nl, weekvandeintegriteitrijk.nl, weerbaarbestuur.nl, weerbaredigitaleoverheid.nl, werkenbijdefensie.nl, werkenbijdekustwacht.nl, werkenbijderdw.nl, werkenbijdesvb.nl, werkenbijhetom.nl, werksaamwf.nl, werkzaakrivierenland.nl, westerwolde.nl, wezo.nl, wlo2015.nl, wmowerkplaatsen.nl, workinnl.nl, wrij.nl, wsd-groep.nl, wshd.nl, wvs.nl, zeroemissiedoelgroepenvervoer.nl, zoeterwoude.nl, zonmw-jeugdmagazines.nl, zuiderzeeland.nl

Sites met cookiebanners

Er is in totaal op 310 sites succesvol automatisch het cookiebanner gedetecteerd en geaccepteerd. In totaal zijn er 394 sites met een banner maar deze zijn niet allemaal succesvol geautomatiseerd (automatisch toestemming geven of weigeren).

Dit gebrek aan automatisering heeft een veelheid aan oorzaken, maar is vooral toe te schrijven aan broosheid en lastige detecteerbaarheid van de banner. Het is zeldzaam dat een cookiebanner eenvoudig geautomatiseerd kan worden. Enkele voorbeelden:

Sommige banners heten technisch hetzelfde, bijvoorbeeld: “consent_banner” maar hebben knoppen die anders zijn vertaald. Als de software dan zoekt naar “Accepteren” terwijl er “accepteren en doorgaan” staat, gaat toestemming geven niet lukken. Het is veel werk om per site en per banner te zien of de vertaling weer ander is.

Een andere reden is dat het detecteren van de banner kan afhangen van de layout. In sommige gevallen is de layout van de site niet stabiel. Deze krijgt per bezoek of per maand andere interne technische namen. Dan heet iets niet “consent_banner” maar “consent_banner_8eh1oi2ue” of zijn er helemaal geen namen waardoor een verschuiving al e.e.a. kan breken.

Voor het visitor_info1_live cookie wordt er dus op 310 domeinen van de 394 met banner gekeken.

310x: 2todrive.nl, a1oost.nl, a16rotterdam.nl, a27a12ringutrecht.nl, a27houtenhooipolder.nl, a28a1knooppunthoevelaken.nl, a29roadworks.nl, aaenhunze.nl, aaenmaas.nl, aanmelder.nl, aardgasvrijewijken.nl, afeer.nl, afm.nl, afvalcirculair.nl, agendalaadinfrastructuur.nl, agendastad.nl, agendavoorhetwaddengebied2050.nl, alblasserdam.nl, albrandswaard.nl, alkmaar.nl, allesoversport.nl, baanbrekers.org, banenlijn-politie.nl, barendrecht.nl, basismonitoringwadden.nl, bdmuseum.nl, belastingenbollenstreek.nl, beleefdenationaleparken.nl, binnl.nl, bio-enerco.com, biodiversity-chm.nl, biogrondstoffen.com, blankenburgverbinding.nl, boa-expertisecentrum.nl, bodemplus.nl, bodemrichtlijn.nl, bodemvizier.nl, bouwbesluit.com, bouwplaatsirm.nl, bovi2050.nl, brzoplus.nl, bs-ob.nl, buitenplaatselswout.nl, c2000.nl, caop.nl, chemischestoffengoedgeregeld.nl, circulairambachtscentrum.nl, circularfestivals.nl, concernvoorwerk.nl, congresbureau.nl, cultuurparticipatie.nl, cybersecurityalliantie.nl, datahuiswadden.nl, dcmr.nl, deafsluitdijk.nl, defensietalenten.nl, defriesemeren.nl, defryskemarren.nl, denationaleomgevingsvisie.nl, denbosch.nl, denhaag.nl, derondevenen.nl, dienstdommelvallei.nl, dienstgezondheidjeugd.nl, dommel.nl, doortrappen.nl, drechterland.nl, drenthe.nl, dronten.nl, duo-onderwijsonderzoek.nl, duurzaamgww.nl, duurzaamheidsroutea35.nl, eemnes.nl, efsca.org, elburg.nl, emaddc.com, energielabelvoorwoningen.nl, energieoprijksgrond.nl, enkhuizen.nl, ertms.nl, eucaris.net, expertisecentrumwarmte.nl, filmfonds.nl, flevoland.nl, gbtwente.nl, geertruidenberg.nl, gemeenteberkelland.nl, gemeentehw.nl, gemeentelijkeombudsman.nl, gemeentesluis.nl, gemeentesudwestfryslan.nl, ggddrenthe.nl, ggdhollandsnoorden.nl, ggdnog.nl, ggdrotterdamrijnmond.nl, ggdzeeland.nl, ggdzw.nl, goirle.nl, groenalliantiemiddenholland.nl, groningen.nl, halt.nl, hardinxveld-giessendam.nl, hcaict.nl, hdsr.nl, helpdeskwater.nl, hetcak.nl, hhdelfland.nl, hilvarenbeek.nl, hofvantwente.nl, holland.com, hollands-hout.nl, hollandskroon.nl, hoorn.nl, hulpmiddelenwijzer.nl, hunzeenaas.nl, hvcgroep.nl, i-sociaaldomein.nl, ifv.nl, ijmondwerkt.com, ijsselstein.nl, ikbennieuwegein.nl, incidentmanagement.nl, inhuurdeskpolitie.nl, innova58.nl, inovergang.nl, isdbollenstreek.nl, kcbr.nl, kempischbedrijvenpark.com, kenniscentrum-oo.nl, kennisknooppuntparticipatie.nl, lansingerland.nl, laren.nl, lavsinfo.nl, lcms.nl, lcnk.nl, leek.nl, leeuwarden.nl, lelystad.nl, lerenenwerken.nl, leudal.nl, limburg.nl, lma.nl, locov.nl, lokale-democratie.nl, loodswezen.nl, loonopzand.nl, maatwerkmultiproblematiek.nl, markermeerijmeer.nl, meierijstad.nl, meldknop.nl, metropoolregioeindhoven.nl, middendrenthe.nl, mijnkombijdepolitie.nl, mirta2deilvught.nl, mirta20nieuwerkerkgouda.nl, mkdoorn.nl, mobilityhappiness.nl, moerdijk.nl, monozakelijk.nl, montfoort.nl, move-rdh.nl, n3werkzaamheden.nl, n35wijthmennijverdal.nl, naktuinbouw.com, nas-adaptatietool.nl, nationaalmilieuprogramma.nl, nationaalprogrammalokalewarmtetransitie.nl, nationaalsportakkoord.nl, nationaalwaterstofprogramma.nl, nationaleparkenbureau.nl, natuurenrecreatieschapijsselmonde.nl, nederbetuwe.nl, nedmextrade.com, nieuwreijerwaard.eu, nieuwsbzk.nl, nieuwsienw.nl, nipv.nl, nissewaard.nl, niwo.nl, nlog.nl, noordwijk.nl, noordwijkerhout.nl, nplw.nl, nuenen.nl, nunietzwanger.nl, odachterhoek.nl, odbn.nl, oddevallei.nl, odijmond.nl, odmh.nl, odregioarnhem.nl, odregionijmegen.nl, odrivierenland.nl, odru.nl, odzob.nl, ofgv.nl, omgevingswijzer.org, ommen.nl, omwb.nl, on2013.nl, ondermijningapp.nl, orioniswalcheren.nl, oudewater.nl, overbetuwe.nl, papendrecht.nl, parkhitland.nl, perined.nl, personeelsvoorzieningpolitie.nl, pijnacker-nootdorp.nl, platformafvalcirculair.nl, platformduurzamehuisvesting.nl, platformparticipatie.nl, politie.nl, politiecn.com, politievacatures.nl, portofmoerdijk.nl, prismabedrijvenpark.nl, provincie-utrecht.nl, raadvoorrechtsbijstand.org, ravbrabantmwn.nl, rechtwijzer.nl, recreatieschaprottemeren.nl, recreatieschapvoorneputten.nl, regioburgemeesters.nl, regiogv.nl, regiorivierenland.nl, regiostedendriehoek.nl, ridderkerk.nl, rijkscampusonline.nl, rijkswaterstaatdata.nl, rijssen-holten.nl, risse.nl, rozendaal.nl, rudnhn.nl, rudzuidlimburg.nl, ruimtelijkeadaptatie.nl, rwscirculair.nl, rwsleefomgeving.nl, rwsnatura2000.nl, s-bb.nl, sabewazeeland.nl, safe-by-design-nl.nl, samenvoordeklant.nl, samenwerkenaanriviernatuur.nl, schakeldagen.nl, schielandendekrimpenerwaard.nl, schijndel.nl, schonerivieren.org, schoolleidersregistervo.nl, schuldenwijzer.nl, sed-organisatie.nl, sint-oedenrode.nl, slimwatermanagement.nl, smallingerland.nl, snn.nl, sociaalfondsminienw.nl, someren.nl, sonenbreugel.nl, sportakkoord.nl, staatsbosbeheer.nl, stedebroec.nl, stembureauinstructie.nl, stichtingrpo.nl, stichtsevecht.nl, stimuleringsfonds.nl, stimva.nl, strakszwangerworden.nl, striping.nl, stroomopwaarts.nl, sudwestfryslan.nl, svdj.nl, talentisbelangrijker.nl, texel.nl, tno.nl, topcorridors.com, trimbos.nl, uiterwaarde.nl, url, vacaturespolitie.nl, vallei-veluwe.nl, varendoejesamen.nl, veghel.nl, verduurzamingindustrie.nl, verkeersveiligheidscampagnes.nl, via15.nl, vnsc.eu, voorst.nl, vredespaleis.nl, waardigheidentrots.nl, waddenfonds.nl, waddenzee.nl, waddinxveen.nl, waterschaplimburg.nl, weert.nl, werkenbijbarorganisatie.nl, werkenbijdefensie.nl, werkenbijnidos.nl, werkenbijuwvinit.nl, werksaamwf.nl, werkzaakrivierenland.nl, west-brabant.eu, wezo.nl, windopzee.nl, workinnl.nl, wrij.nl, wvs.nl, zetookdeknopom.nl, zichtopnl.nl, zuiderzeeland.nl, zundert.nl

Plaatsing ongevraagde volgcookies op sites MET cookiebanner en expliciet zonder toestemming

84x: 2todrive.nl, a1oost.nl, a16rotterdam.nl, a27a12ringutrecht.nl, a27houtenhooipolder.nl, a28a1knooppunthoevelaken.nl, aaenhunze.nl, aanmelder.nl, albrandswaard.nl, allesoversport.nl, baanbrekers.org, bdmuseum.nl, biodiversity-chm.nl, blankenburgverbinding.nl, bs-ob.nl, buitenplaatselswout.nl, caop.nl, concernvoorwerk.nl, deafsluitdijk.nl, defensietalenten.nl, denbosch.nl, dommel.nl, drechterland.nl, dronten.nl, duurzaamgww.nl, duurzaamheidsroutea35.nl, energieoprijksgrond.nl, ertms.nl, flevoland.nl, gbtwente.nl, ggdhollandsnoorden.nl, ggdrotterdamrijnmond.nl, ggdzw.nl, halt.nl, hofvantwente.nl, hvcgroep.nl, ikbennieuwegein.nl, inovergang.nl, lcms.nl, lokale-democratie.nl, loodswezen.nl, maatwerkmultiproblematiek.nl, markermeerijmeer.nl, metropoolregioeindhoven.nl, mirta2deilvught.nl, monozakelijk.nl, move-rdh.nl, natuurenrecreatieschapijsselmonde.nl, nieuwsienw.nl, ondermijningapp.nl, perined.nl, pijnacker-nootdorp.nl, platformduurzamehuisvesting.nl, portofmoerdijk.nl, prismabedrijvenpark.nl, ravbrabantmwn.nl, recreatieschaprottemeren.nl, recreatieschapvoorneputten.nl, regiorivierenland.nl, regiostedendriehoek.nl, risse.nl, rudzuidlimburg.nl, rwsnatura2000.nl, schonerivieren.org, schoolleidersregistervo.nl, snn.nl, sportakkoord.nl, staatsbosbeheer.nl, stedebroec.nl, stichtsevecht.nl, talentisbelangrijker.nl, tno.nl, varendoejesamen.nl, verduurzamingindustrie.nl, vnsc.eu, vredespaleis.nl, werkenbijdefensie.nl, werksaamwf.nl, werkzaakrivierenland.nl, wezo.nl, workinnl.nl, wrij.nl, wvs.nl, zuiderzeeland.nl

Nemen we de overige volgcookies mee

Dus ook IDE, li_sugr, _fbp en dergelijke:

94x: 2todrive.nl, a1oost.nl, a16rotterdam.nl, a27a12ringutrecht.nl, a27houtenhooipolder.nl, a28a1knooppunthoevelaken.nl, aaenhunze.nl, aaenmaas.nl, aanmelder.nl, albrandswaard.nl, allesoversport.nl, baanbrekers.org, bdmuseum.nl, belastingenbollenstreek.nl, biodiversity-chm.nl, blankenburgverbinding.nl, bs-ob.nl, buitenplaatselswout.nl, caop.nl, concernvoorwerk.nl, cultuurparticipatie.nl, deafsluitdijk.nl, defensietalenten.nl, denbosch.nl, dommel.nl, drechterland.nl, drenthe.nl, dronten.nl, duurzaamgww.nl, duurzaamheidsroutea35.nl, energieoprijksgrond.nl, ertms.nl, flevoland.nl, gbtwente.nl, ggdhollandsnoorden.nl, ggdrotterdamrijnmond.nl, ggdzw.nl, halt.nl, hofvantwente.nl, hvcgroep.nl, ifv.nl, ikbennieuwegein.nl, inovergang.nl, isdbollenstreek.nl, lcms.nl, lerenenwerken.nl, lokale-democratie.nl, loodswezen.nl, maatwerkmultiproblematiek.nl, markermeerijmeer.nl, metropoolregioeindhoven.nl, mirta2deilvught.nl, monozakelijk.nl, move-rdh.nl, natuurenrecreatieschapijsselmonde.nl, nederbetuwe.nl, nieuwsienw.nl, nipv.nl, ondermijningapp.nl, perined.nl, pijnacker-nootdorp.nl, platformduurzamehuisvesting.nl, portofmoerdijk.nl, prismabedrijvenpark.nl, ravbrabantmwn.nl, recreatieschaprottemeren.nl, recreatieschapvoorneputten.nl, regiorivierenland.nl, regiostedendriehoek.nl, risse.nl, rudzuidlimburg.nl, rwsnatura2000.nl, schonerivieren.org, schoolleidersregistervo.nl, snn.nl, sportakkoord.nl, staatsbosbeheer.nl, stedebroec.nl, stichtsevecht.nl, talentisbelangrijker.nl, tno.nl, varendoejesamen.nl, verduurzamingindustrie.nl, vnsc.eu, vredespaleis.nl, waterschaplimburg.nl, werkenbijdefensie.nl, werksaamwf.nl, werkzaakrivierenland.nl, wezo.nl, workinnl.nl, wrij.nl, wvs.nl, zuiderzeeland.nl

Welke Banners lekken, per site

2todrive.nl: #js-cookieTextContainer
a1oost.nl: #cookieSettingsOverlayToggle
a16rotterdam.nl: #cookieSettingsOverlayToggle
a27a12ringutrecht.nl: #cookieSettingsOverlayToggle
a27houtenhooipolder.nl: #cookieSettingsOverlayToggle
a28a1knooppunthoevelaken.nl: #cookieSettingsOverlayToggle
aaenhunze.nl: #tracking-cookies
aaenmaas.nl: #Cookies_question
aanmelder.nl: #hs-eu-cookie-confirmation-button-group
albrandswaard.nl: .cky-consent-bar
allesoversport.nl: .cky-consent-bar
baanbrekers.org: div.cmplz-cookiebanner
bdmuseum.nl: #moove_gdpr_cookie_info_bar
belastingenbollenstreek.nl: .cky-consent-bar
biodiversity-chm.nl: .eu-cookie-compliance-secondary-button
blankenburgverbinding.nl: #cookieSettingsOverlayToggle
bs-ob.nl: #cookie_tool_small
buitenplaatselswout.nl: #cookieSettingsOverlayToggle
caop.nl: #hs-eu-cookie-confirmation-button-group
concernvoorwerk.nl: .avia-cookie-consent
cultuurparticipatie.nl: #CybotCookiebotDialog
deafsluitdijk.nl: .wpgdprc-consent-bar
defensietalenten.nl: .js-cookies-allow
denbosch.nl: .cookie-message__outer-container
dommel.nl: .CookieBar_cookieBarContainer__U9O9H
drechterland.nl: #cookie-law-info-bar
drenthe.nl: (<function Page.get_by_role at 0x7f2475c001f0>, (‘button’,), {‘name’: ‘Alles accepteren’})
dronten.nl: #cookie-law-info-bar
duurzaamgww.nl: .cc-cookies__container
duurzaamheidsroutea35.nl: #cookieSettingsOverlayToggle
energieoprijksgrond.nl: #cookieSettingsOverlayToggle
ertms.nl: #cookieSettingsOverlayToggle
flevoland.nl: .cookie-consent
gbtwente.nl: #cookieWarningDiv
ggdhollandsnoorden.nl: .cky-consent-bar
ggdrotterdamrijnmond.nl: .cookie-notification-bar
ggdzw.nl: div.cmplz-cookiebanner
halt.nl: #CybotCookiebotDialogBodyButtonAccept
hofvantwente.nl: #cookie-outer
hvcgroep.nl: .eu-cookie-compliance-banner
ifv.nl: .cookie-banner-container
ikbennieuwegein.nl: #cookieSettingsOverlayToggle
inovergang.nl: #cookieSettingsOverlayToggle
isdbollenstreek.nl: #cookieInfoWindow
lcms.nl: .eu-cookie-compliance-secondary-button
lerenenwerken.nl: .eu-cookie-compliance-secondary-button
lokale-democratie.nl: (<function Page.get_by_role at 0x7f776d4d81f0>, (‘button’,), {‘name’: ‘Sluit cookiemelding’})
loodswezen.nl: .osano-cm-dialog–type_bar
maatwerkmultiproblematiek.nl: (<function Page.get_by_role at 0x7f88adce81f0>, (‘button’,), {‘name’: ‘Sluit cookiemelding’})
markermeerijmeer.nl: #cookieSettingsOverlayToggle
metropoolregioeindhoven.nl: .ccc-banner__text
mirta2deilvught.nl: #cookieSettingsOverlayToggle
monozakelijk.nl: #cookieSettingsOverlayToggle
move-rdh.nl: #cookieSettingsOverlayToggle
natuurenrecreatieschapijsselmonde.nl: #cookieSettingsOverlayToggle
nederbetuwe.nl: #cookie-outer
nieuwsienw.nl: #cookieSettingsOverlayToggle
nipv.nl: .cookie-banner-container
ondermijningapp.nl: #CybotCookiebotDialog
perined.nl: (<function Page.get_by_role at 0x7f57c0c341f0>, (‘dialog’,), {‘name’: ‘cookieconsent’})
pijnacker-nootdorp.nl: #cookie-law-info-bar
platformduurzamehuisvesting.nl: div.cmplz-cookiebanner
portofmoerdijk.nl: #CybotCookiebotDialog
prismabedrijvenpark.nl: #CybotCookiebotDialog
ravbrabantmwn.nl: #cookie-law-info-bar
recreatieschaprottemeren.nl: #cookieSettingsOverlayToggle
recreatieschapvoorneputten.nl: #cookieSettingsOverlayToggle
regiorivierenland.nl: #CybotCookiebotDialog
regiostedendriehoek.nl: .cky-consent-bar
risse.nl: #we-use-cookies
rudzuidlimburg.nl: #cookieSettingsOverlayToggle
rwsnatura2000.nl: #cookieSettingsOverlayToggle
schonerivieren.org: #CybotCookiebotDialogBodyButtonAccept
schoolleidersregistervo.nl: .optanon-alert-box-wrapper
snn.nl: #cookieinfo-banner
sportakkoord.nl: .cky-consent-bar
staatsbosbeheer.nl: #cookiefloater
stedebroec.nl: #cookie-law-info-bar
stichtsevecht.nl: .js-accept-cookie
talentisbelangrijker.nl: #cookieSettingsOverlayToggle
tno.nl: #ppms_cm_popup_overlay
varendoejesamen.nl: (<function Page.get_by_role at 0x7f5f91af41f0>, (‘dialog’,), {‘name’: ‘cookieconsent’})
verduurzamingindustrie.nl: #cookieSettingsOverlayToggle
vnsc.eu: .js-consent
vredespaleis.nl: (<function Page.get_by_role at 0x7f57c0c341f0>, (‘dialog’,), {‘name’: ‘cookieconsent’})
waterschaplimburg.nl: #Cookies_question
werkenbijdefensie.nl: .js-cookies-allow
werksaamwf.nl: #btnAdjustCookieSettings
werkzaakrivierenland.nl: .eu-cookie-compliance-secondary-button
wezo.nl: .cookieconsent__cookiebar
workinnl.nl: #cookieSettingsOverlayToggle
wrij.nl: .js-cipix-cookiecontrol
wvs.nl: div.cmplz-cookiebanner
zuiderzeeland.nl: .CookieBar_cookieBarContainer__U9O9H

Lekkende banners

Er zijn 41 banners die niet werken, maar het is niet bekend of deze in alle gevallen niet werken of dat er sprake is van een fout in de inrichting. We weten zeker dat op 30% van de sites sprake is van lekkende cookies terwijl er een cookiebanner aanwezig is.

Lekkende bannerLekkende Sites
#btnAdjustCookieSettings1
#cookie-law-info-bar5
#cookie-outer2
#cookie_tool_small1
#cookiefloater1
#cookieinfo-banner1
#cookieInfoWindow:1
#Cookies_question2
#cookieSettingsOverlayToggle25
#cookieWarningDiv1
#CybotCookiebotDialog5
#CybotCookiebotDialogBodyButtonAccept2
#hs-eu-cookie-confirmation-button-group2
#js-cookieTextContainer1
#moove_gdpr_cookie_info_bar1
#ppms_cm_popup_overlay1
#tracking-cookies1
#we-use-cookies1
‘Alles accepteren’1
cookieconsent3
Sluit cookiemelding2
.avia-cookie-consent1
.cc-cookies__container1
.ccc-banner__text1
.cky-consent-bar6
.cookie-banner-container2
.cookie-consent1
.cookie-message__outer-container1
.cookie-notification-bar1
.CookieBar_cookieBarContainer__U9O9H2
.cookieconsent__cookiebar1
.eu-cookie-compliance-banner1
.eu-cookie-compliance-secondary-button4
.js-accept-cookie1
.js-cipix-cookiecontrol1
.js-consent1
.js-cookies-allow2
.optanon-alert-box-wrapper1
.osano-cm-dialog–type_bar:1
.wpgdprc-consent-bar:1
div.cmplz-cookiebanner4

Bijlage F: Overheidssites zonder externe bronnen en zonder tracking

EigenaarWebsitePagina’sExterne Bronnen
 Academie voor Internationale Betrekkingen (AIB/BUZA)academievoorinternationalebetrekkingen.nl66 statistiek.rijksoverheid.nl www.rovid.nl
 Academie voor Internationale Betrekkingen (AIB/BUZA)academyforinternationalrelations.nl61 statistiek.rijksoverheid.nl
 Adviescollege ICT Toetsing (AcICT/BZK)adviescollegeicttoetsing.nl42 statistiek.rijksoverheid.nl www.rovid.nl
 Adviescollege Verloftoetsing TBSverlofadviescollege.nl44 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Adviesraad Migratie (ACVZ)adviesraadmigratie.nl29 statistiek.rijksoverheid.nl
 Belastingdienstbelastingdienst-cn.nl88 statistiek.rijksoverheid.nl
 Belastingdienstwerkelijkeschade.nl65 statistiek.rijksoverheid.nl
 Bureau Algemene Bestuursdienst (Bureau ABD)algemenebestuursdienst.nl132 statistiek.rijksoverheid.nl www.rovid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)farmatec.nl159 statistiek.rijksoverheid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)bigregister.nl136 statistiek.rijksoverheid.nl www.rovid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)toetredingzorgaanbieders.nl115 statistiek.rijksoverheid.nl www.rovid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)diergeneeskunderegister.nl89 statistiek.rijksoverheid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)donorregister.nl79 statistiek.rijksoverheid.nl survey-deploy.platformrijksoverheid.nl www.rovid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)cannabisbureau.nl77 statistiek.rijksoverheid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)registersocialehygiene.nl73 statistiek.rijksoverheid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)sbv-z.nl70 statistiek.rijksoverheid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)uziregister.nl64 statistiek.rijksoverheid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)aanbiedersmedicijnen.nl60 statistiek.rijksoverheid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)zovar.nl59 statistiek.rijksoverheid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)ncpeh.nl53 statistiek.rijksoverheid.nl www.rovid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)cibg.nl51 statistiek.rijksoverheid.nl www.rovid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)gratisvog.nl42 statistiek.rijksoverheid.nl www.rovid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)zorgaanbiedersportaal.nl34 statistiek.rijksoverheid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)zorgcsp.nl32 statistiek.rijksoverheid.nl
 Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)geschilleninstantieszorg.nl26 statistiek.rijksoverheid.nl
 College Ter Beoordeling Van Geneesmiddelenmeldpuntgeneesmiddelentekortendefecten.nl48 statistiek.rijksoverheid.nl
 College Ter Beoordeling Van Geneesmiddelenregulatoryscience.nl39 statistiek.rijksoverheid.nl
 College Ter Beoordeling Van Geneesmiddelenmedicineshortagesdefects.nl35 statistiek.rijksoverheid.nl
 College Ter Beoordeling Van Geneesmiddelencbgjaarverslag.nl28 statistiek.rijksoverheid.nl
 College voor de toelating van gewasbeschermingsmiddelen en biociden (Ctgb)ctgb.nl51 statistiek.rijksoverheid.nl
 College voor Toetsen en Examensstaatsexamensnt2.nl126 statistiek.rijksoverheid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 College voor Toetsen en Examensstaatsexamensvo.nl52 statistiek.rijksoverheid.nl www.rovid.nl
 College voor Toetsen en Examenscentraleeindtoetspo.nl38 statistiek.rijksoverheid.nl www.rovid.nl
 Commissie van Advies inzake Volkenrechtelijke Vraagstukken (CAVV/BUZA)adviescommissievolkenrecht.nl82 statistiek.rijksoverheid.nl
 Commissie van Advies inzake Volkenrechtelijke Vraagstukken (CAVV/BUZA)advisorycommitteeinternationallaw.nl81 statistiek.rijksoverheid.nl
 Defensie (DEF)expertisecentrummggz.nl65 statistiek.rijksoverheid.nl
 Defensie (DEF)braic.nl50 statistiek.rijksoverheid.nl
 Defensie (DEF)bronbeek.nl47
 Dienst Huurcommissiehuurcommissie.nl99 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Dienst ICT Uitvoering (DICTU)dictumagazines.nl34 statistiek.rijksoverheid.nl www.rovid.nl
 Dienst JUSTIS (Justitiële Uitvoeringsdienst Toetsing, Integriteit, Screening)justis.nl74 statistiek.rijksoverheid.nl
 Dienst Justitiële Inrichtingen (DJI)dji.nl154 statistiek.rijksoverheid.nl www.rovid.nl
 Dienst Justitiële Inrichtingen (DJI)in-made.nl108 statistiek.rijksoverheid.nl
 Dienst Justitiële Inrichtingen (DJI)nifp.nl98 statistiek.rijksoverheid.nl www.rovid.nl
 Dienst Justitiële Inrichtingen (DJI)forensischezorg.nl94 statistiek.rijksoverheid.nl www.rovid.nl
 Dienst Justitiële Inrichtingen (DJI)oostvaarderskliniek.nl63 statistiek.rijksoverheid.nl www.rovid.nl intern.rovid.nl
 Dienst Justitiële Inrichtingen (DJI)oidji.nl45 statistiek.rijksoverheid.nl
 Dienst Publiek en Communicatie (DPC)government.nl202 statistiek.rijksoverheid.nl survey-deploy.platformrijksoverheid.nl
 Dienst Publiek en Communicatie (DPC)communicatiekompas.nl69 statistiek.rijksoverheid.nl
 Dienst Publiek en Communicatie (DPC)campagnetoolkits.nl62 statistiek.rijksoverheid.nl
 Dienst Terugkeer en Vertrek (DT&V)dienstterugkeerenvertrek.nl201 statistiek.rijksoverheid.nl www.rovid.nl
 Dienst Uitvoering Onderwijs (DUO/OCW)samenwerkingrijknoord.nl59 statistiek.rijksoverheid.nl
 Dienst Uitvoering Onderwijs (DUO/OCW)odc-noord.nl24
 Dienst Uitvoering Subsidies aan Instellingendus-i.nl86 statistiek.rijksoverheid.nl
 Dienst voor het kadaster en de openbare registers (Kadaster)nationaalgeoregister.nl45 service.pdok.nl
 FMHaaglanden (FMH)fmhaaglanden.nl70 statistiek.rijksoverheid.nl www.rovid.nl
 Gemeenschappelijke Regeling Kempisch Bedrijvenparkkempischbedrijvenpark.com26
 Gemeenschappelijke regeling Syntrophossyntrophos.nl33
 Huis voor klokkenluidershuisvoorklokkenluiders.nl50 statistiek.rijksoverheid.nl
 Infrastructuur en Waterstaat (IenW)agendaijsselmeergebied2050.nl183 statistiek.rijksoverheid.nl www.rovid.nl
 Infrastructuur en Waterstaat (IenW)mirta15papendrechtgorinchem.nl103 statistiek.rijksoverheid.nl www.rovid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Infrastructuur en Waterstaat (IenW)maatwerkvoormensen.nl100 statistiek.rijksoverheid.nl www.rovid.nl
 Infrastructuur en Waterstaat (IenW)versterkencyberweerbaarheid.nl91 statistiek.rijksoverheid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Infrastructuur en Waterstaat (IenW)vrachtwagenheffing.nl83 statistiek.rijksoverheid.nl www.rovid.nl
 Infrastructuur en Waterstaat (IenW)nederlandcirculairin2050.nl82 statistiek.rijksoverheid.nl www.rovid.nl
 Infrastructuur en Waterstaat (IenW)komveiligthuis.nl78 statistiek.rijksoverheid.nl www.rovid.nl
 Infrastructuur en Waterstaat (IenW)nlflag.nl74 statistiek.rijksoverheid.nl
 Infrastructuur en Waterstaat (IenW)beheerdetoekomst.nl69 statistiek.rijksoverheid.nl www.rovid.nl
 Infrastructuur en Waterstaat (IenW)daszogefietst.nl58 statistiek.rijksoverheid.nl www.rovid.nl
 Infrastructuur en Waterstaat (IenW)luchtvaartindetoekomst.nl51 statistiek.rijksoverheid.nl www.rovid.nl
 Infrastructuur en Waterstaat (IenW)nlvergroent.nl47 statistiek.rijksoverheid.nl www.rovid.nl
 Infrastructuur en Waterstaat (IenW)geluidgegevens.nl40 service.pdok.nl
 Infrastructuur en Waterstaat (IenW)innovatiex.nl27 statistiek.rijksoverheid.nl www.rovid.nl
 Infrastructuur en Waterstaat (IenW)mirtoverzicht.nl26 statistiek.rijksoverheid.nl
 Infrastructuur en Waterstaat (IenW)lekker-op-weg.nl20 statistiek.rijksoverheid.nl www.rovid.nl
 Inspectie Gezondheidszorg en Jeugd (IGJ)toezichtsociaaldomein.nl49 statistiek.rijksoverheid.nl www.rovid.nl
 Inspectie Leefomgeving en Transport (ILT)rijksinspecties.nl40 statistiek.rijksoverheid.nl
 Inspectie Overheidsinformatie en Erfgoed (I-OE/OCW)inspectie-oe.nl34 statistiek.rijksoverheid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Inspectie SZWzelfinspectie.nl28 statistiek.rijksoverheid.nl
 Inspectie van het Onderwijs (OI)onderwijsinspectie.nl102 statistiek.rijksoverheid.nl www.rovid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Inspectie Veiligheid Defensie (IVD/DEF)ivd.nl94 statistiek.rijksoverheid.nl www.rovid.nl
 Justitiele ICT Organisatie (JIO/JenV)justitieleictorganisatie.nl55 statistiek.rijksoverheid.nl www.rovid.nl
 Kamer van Koophandeluboregistertrusts.nl61 statistiek.rijksoverheid.nl
 Kanselarij der Nederlandse Ordenlintjes.nl106 statistiek.rijksoverheid.nl www.rovid.nl
 Kanselarij der Nederlandse Ordenroyalhonoursanddecorations.nl68 statistiek.rijksoverheid.nl
 Kiesraadkiesraad.nl62 statistiek.rijksoverheid.nl www.rovid.nl
 Koninklijk Nederlands Meteorologisch Instituut (KNMI)dutchoffshorewindatlas.nl75 statistiek.rijksoverheid.nl
 Koninklijk Nederlands Meteorologisch Instituut (KNMI)knmiprojects.nl74 statistiek.rijksoverheid.nl
 Koninklijk Nederlands Meteorologisch Instituut (KNMI)knmidata.nl52 statistiek.rijksoverheid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Koninklijk Nederlands Meteorologisch Instituut (KNMI)tropomi.eu48 statistiek.rijksoverheid.nl
 Koninklijke Bibliotheekkb.nl53 www.toegankelijkheidsverklaring.nl
 Landbouw, Natuur en Voedselkwaliteitanimalfreeinnovationtpi.nl135 statistiek.rijksoverheid.nl www.rovid.nl
 Landbouw, Natuur en Voedselkwaliteittoekomstglb.nl91 statistiek.rijksoverheid.nl
 Landbouw, Natuur en Voedselkwaliteitstaatvanlandbouwnatuurenvoedsel.nl81 matomo.wur.nl
 Landbouw, Natuur en Voedselkwaliteitlandbouwakkoord.nl66 statistiek.rijksoverheid.nl
 Landbouw, Natuur en Voedselkwaliteitnetwerkplatteland.nl56 statistiek.rijksoverheid.nl www.rovid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Landbouw, Natuur en Voedselkwaliteitnationalebijenstrategie.nl49 statistiek.rijksoverheid.nl www.rovid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Landbouw, Natuur en Voedselkwaliteitpulsefishing.eu49 statistiek.rijksoverheid.nl
 Landbouw, Natuur en Voedselkwaliteittoekomstvisiegewasbescherming2030.nl46 statistiek.rijksoverheid.nl
 Landbouw, Natuur en Voedselkwaliteitverantwoordmestvervoer.nl40 statistiek.rijksoverheid.nl
 Landelijke Adviescommissie Plaatsing Langdurige Forensisch Psychiatrische Zorg (LAP/JenV)landelijkeadviescommissieplaatsing.nl43 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Logiuskoopoverheid.nl135 statistiek.rijksoverheid.nl www.rovid.nl
 Logiusforumstandaardisatie.nl96 statistiek.rijksoverheid.nl
 Logiussbr-nl.nl90 statistiek.rijksoverheid.nl
 Logiusreferentiegrootboekschema.nl62 statistiek.rijksoverheid.nl
 Logiuseherkenning.nl49 statistiek.rijksoverheid.nl
 Logiusdigitoegankelijk.nl48 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Logiuslogius.nl44 statistiek.rijksoverheid.nl
 Logiusstelselvanbasisregistraties.nl21 statistiek.mijn.overheid.nl
 Logiustoegankelijkheidsverklaring.nl20 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)programmasociaaldomein.nl105 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl www.rovid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)topinkomens.nl100 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)volkshuisvestingnederland.nl94 statistiek.rijksoverheid.nl www.rovid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)wetbeschermingklokkenluiders.nl93 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)overheidvannu.nl91 api.subscribe.platformrijksoverheid.nl www.toegankelijkheidsverklaring.nl statistiek.rijksoverheid.nl subscribe.platformrijksoverheid.nl www.rovid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)rijksdienstcn.com84 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)regiosaandegrens.nl82 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)elkeregiotelt.nl80 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)rcihh.nl80 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)oprijk.nl75 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)rijksorganisatieodi.nl73 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)pgdi.nl69 stats.pleio.nl account.pleio.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)nldigitalgovernment.nl64 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)kennisvandeoverheid.nl63 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)two-acs.com61 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)gobiernodireino.nl60 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)denkdoeduurzaam.nl59 statistiek.rijksoverheid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)kennisopenbaarbestuur.nl57 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)politiekeambtsdragers.nl55 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)rabarijk.nl55 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)statiagovernment.com55 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)derijkscampus.nl53 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)doc-direkt.nl53 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)rijksbrededienstverleners.nl52
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)gobernadoraruba.com50 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)vnacs.nl50 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)gouverneuraruba.com49 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)rijksictdashboard.nl49 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)staatscommissietegendiscriminatieenracisme.nl47 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)staatscommissierechtsstaat.nl45 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)geobasisregistraties.nl32 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)gobiernudireino.nl27 statistiek.rijksoverheid.nl
 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)it-academieoverheid.nl21 statistiek.rijksoverheid.nl
 Ministerie van Buitenlandse Zaken (BUZA)oecdguidelines.nl136 statistiek.rijksoverheid.nl
 Ministerie van Buitenlandse Zaken (BUZA)nederlandwereldwijd.nl124 statistiek.rijksoverheid.nl survey-deploy.platformrijksoverheid.nl survey-cache.platformrijksoverheid.nl survey-collect.platformrijksoverheid.nl
 Ministerie van Buitenlandse Zaken (BUZA)sso3w.nl93 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Ministerie van Buitenlandse Zaken (BUZA)oesorichtlijnen.nl79 statistiek.rijksoverheid.nl
 Ministerie van Buitenlandse Zaken (BUZA)werkenvoorinternationaleorganisaties.nl73 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Buitenlandse Zaken (BUZA)netherlandsandyou.nl70 statistiek.rijksoverheid.nl
 Ministerie van Buitenlandse Zaken (BUZA)werkenbijdeeu.nl68 statistiek.rijksoverheid.nl
 Ministerie van Buitenlandse Zaken (BUZA)wpfc2020.com64 statistiek.rijksoverheid.nl
 Ministerie van Buitenlandse Zaken (BUZA)youthatheart.nl53 statistiek.rijksoverheid.nl
 Ministerie van Buitenlandse Zaken (BUZA)advisorycouncilinternationalaffairs.nl46 statistiek.rijksoverheid.nl
 Ministerie van Buitenlandse Zaken (BUZA)netherlandsworldwide.nl42 statistiek.rijksoverheid.nl survey-deploy.platformrijksoverheid.nl
 Ministerie van Buitenlandse Zaken (BUZA)centruminternationaalrecht.nl39 statistiek.rijksoverheid.nl
 Ministerie van Buitenlandse Zaken (BUZA)startmetoesorichtlijnen.nl38 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Economische Zaken en Klimaat (EZK)commissievanaanbestedingsexperts.nl88 statistiek.rijksoverheid.nl
 Ministerie van Economische Zaken en Klimaat (EZK)nationaalgroeifonds.nl88 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Economische Zaken en Klimaat (EZK)regeldrukmonitor.nl78 statistiek.rijksoverheid.nl
 Ministerie van Economische Zaken en Klimaat (EZK)overalsnelinternet.nl77 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl www.rovid.nl
 Ministerie van Economische Zaken en Klimaat (EZK)klimaatakkoord.nl71 statistiek.rijksoverheid.nl nationaalklimaatplatform.nl
 Ministerie van Economische Zaken en Klimaat (EZK)avgregisterrijksoverheid.nl64 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Ministerie van Economische Zaken en Klimaat (EZK)overkernenergie.nl51 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Economische Zaken en Klimaat (EZK)bureautoetsinginvesteringen.nl44 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Ministerie van Economische Zaken en Klimaat (EZK)topsectoren.nl40 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Financiën (FIN)inspectiebtd.nl104 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Financiën (FIN)toolboxbeleidsevaluaties.nl63 statistiek.rijksoverheid.nl
 Ministerie van Financiën (FIN)dsta.nl60 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Financiën (FIN)compensationsns.nl40 statistiek.rijksoverheid.nl
 Ministerie van Financiën (FIN)vergoedingsns.nl36 statistiek.rijksoverheid.nl
 Ministerie van Justitie en Veiligheidadviescommissieweigerendeobservandi.nl64 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Ministerie van Justitie en Veiligheidriec.nl64 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Ministerie van Justitie en Veiligheidjenvacademie.nl61 statistiek.rijksoverheid.nl
 Ministerie van Justitie en Veiligheidstrafrechtketen.nl52 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Ministerie van Justitie en Veiligheiduitelkaarmetkinderen.nl52 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Justitie en Veiligheidinternationalerechtshulp.nl50 statistiek.rijksoverheid.nl
 Ministerie van Justitie en Veiligheidwegwijzermensenhandel.nl49 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Justitie en Veiligheidvorijk.nl38
 Ministerie Van LNVcodexalimentarius.nl44 statistiek.rijksoverheid.nl
 Ministerie van Sociale Zaken en Werkgelegenheidarbeidsmigratieingoedebanen.nl110 statistiek.rijksoverheid.nl
 Ministerie van Sociale Zaken en Werkgelegenheidkennisplatformwerkeninkomen.nl88 statistiek.rijksoverheid.nl
 Ministerie van Sociale Zaken en Werkgelegenheidhoewerktnederland.nl61 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Sociale Zaken en Werkgelegenheidmatchingsgegevens.nl60 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Sociale Zaken en Werkgelegenheidstaatscommissie2050.nl60 statistiek.rijksoverheid.nl
 Ministerie van Sociale Zaken en Werkgelegenheidarboportaal.nl58 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Sociale Zaken en Werkgelegenheidtoetsingscommissievp.nl57 statistiek.rijksoverheid.nl
 Ministerie van Sociale Zaken en Werkgelegenheidwerkenaanonspensioen.nl53 statistiek.rijksoverheid.nl
 Ministerie van Sociale Zaken en Werkgelegenheidwerkaanuitvoering.nl51 statistiek.rijksoverheid.nl
 Ministerie van Sociale Zaken en Werkgelegenheidpostedworkers.nl43 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Sociale Zaken en Werkgelegenheidsocialestabiliteit.nl38 statistiek.rijksoverheid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Ministerie van Sociale Zaken en Werkgelegenheiduwbeslagvrijevoet.nl29 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)prognosemodelzw.nl182 statistiek.rijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)nederlandse-sportraad.nl181 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)regelhulp.nl144 statistiek.rijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)monitorlangdurigezorg.nl142 statistiek.rijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)tuchtcollege-gezondheidszorg.nl133 statistiek.rijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)eenzaam.nl118 statistiek.rijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)avghelpdeskzorg.nl116 statistiek.rijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)volwaardig-leven.nl109 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)eersteenthuis.nl94 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)healthcouncil.nl82 statistiek.rijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)ikvermoedhuiselijkgeweld.nl81 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)huiselijkgeweld.nl76 statistiek.rijksoverheid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)uitkomstgerichtezorg.nl68 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl www.rovid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)ordz.nl67 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)dwangindezorg.nl66 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)doeonbeperktmee.nl64 statistiek.rijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)voordejeugdenhetgezin.nl63 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)gegevensuitwisselingindezorg.nl62 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)informatieberaadzorg.nl58 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl www.rovid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)kansrijkestartnl.nl56 statistiek.rijksoverheid.nl www.rovid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)onderzoekmetmensen.nl56 statistiek.rijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)gezondheidsraad.nl55 statistiek.rijksoverheid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)stilstaanbijcorona.nl55 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)nutriscorevoorbedrijven.nl49 statistiek.rijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)globalhealthhub.nl44 statistiek.rijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)zorgvannu.nl42 statistiek.rijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)zorgvoorinnoveren.nl37 statistiek.rijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)portalfitopjouwmanier.nl29 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)rapporteurverslavingen.nl27 statistiek.rijksoverheid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)nix18.nl26 statistiek.rijksoverheid.nl www.rovid.nl
 Ministerie van Volksgezondheid, Welzijn en Sport (VWS)puurrookvrij.nl22 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl www.rovid.nl
 Monitoring Commissie Corporate Governance Code (MCCGC/EZK)mccg.nl71
 Nationaal Coördinator Antisemitismebestrijding (NCAB/JenV)ncab.nl35 statistiek.rijksoverheid.nl
 Nationaal Coördinator Groningen (NCG/EZK)nationaalcoordinatorgroningen.nl41 statistiek.rijksoverheid.nl
 Nationaal Coördinator tegen Discriminatie en Racisme (NCDR/BZK)bureauncdr.nl50 statistiek.rijksoverheid.nl
 Nationaal Coördinator Terrorismebestrijding en Veiligheid (NTCV)tegengaanradicalisering.nl110 statistiek.rijksoverheid.nl www.rovid.nl
 Nationaal Coördinator Terrorismebestrijding en Veiligheid (NTCV)cybersecurityraad.nl100 statistiek.rijksoverheid.nl
 Nationaal Coördinator Terrorismebestrijding en Veiligheid (NTCV)cybersecuritycouncil.nl64 statistiek.rijksoverheid.nl
 Nationaal Coördinator Terrorismebestrijding en Veiligheid (NTCV)nl-alert.nl40 statistiek.rijksoverheid.nl www.rovid.nl
 Nationaal Cyber Security Centrum (NCSC)ncsc.nl71 statistiek.rijksoverheid.nl
 Nationaal Rapporteur Mensenhandel en Seksueel Geweld tegen Kinderen (Nationaal Rapporteur Mensenhandel/JenV)nationaalrapporteur.nl68 statistiek.rijksoverheid.nl www.rovid.nl
 Nederlandse Arbeidsinspectie voorheen Inspectie Sociale Zaken en Werkgelegenheid (Inspectie SZW/SZW)komuitjeschuld.nl86 statistiek.rijksoverheid.nl www.rovid.nl
 Nederlandse Arbeidsinspectie voorheen Inspectie Sociale Zaken en Werkgelegenheid (Inspectie SZW/SZW)nlarbeidsinspectie.nl51 statistiek.rijksoverheid.nl
 Nederlandse Arbeidsinspectie voorheen Inspectie Sociale Zaken en Werkgelegenheid (Inspectie SZW/SZW)inspectie-checklist.nl34 statistiek.rijksoverheid.nl
 Nederlandse Emissieautoriteit (NEa)emissionsauthority.nl90 statistiek.rijksoverheid.nl
 Nederlandse Voedsel- en Warenautoriteit (NVWA)nvwa.nl56 statistiek.rijksoverheid.nl survey-deploy.platformrijksoverheid.nl www.rovid.nl
 Nederlandse Zorgautoriteit (NZa)ikz.nl73 statistiek.rijksoverheid.nl
 Netherlands Forensisch Instituut (NFI)hansken.nl84 statistiek.rijksoverheid.nl www.rovid.nl
 Netherlands Forensisch Instituut (NFI)forensischinstituut.nl48 statistiek.rijksoverheid.nl www.rovid.nl
 Onderwijs, Cultuur en Wetenschaptelmeemettaal.nl165 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Onderwijs, Cultuur en Wetenschapnieuwsbrievenminocw.nl128 statistiek.rijksoverheid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Onderwijs, Cultuur en Wetenschapaanpaklerarentekort.nl90 statistiek.rijksoverheid.nl www.rovid.nl
 Onderwijs, Cultuur en Wetenschaprcgog.nl76 statistiek.rijksoverheid.nl
 Onderwijs, Cultuur en Wetenschaploketkennisveiligheid.nl45 statistiek.rijksoverheid.nl www.rovid.nl
 Onderwijs, Cultuur en Wetenschapdihoo.nl45 statistiek.rijksoverheid.nl
 Onderwijs, Cultuur en Wetenschapemancipatienota.nl32 statistiek.rijksoverheid.nl www.rovid.nl
 Onderwijs, Cultuur en Wetenschapinformatiehuishouding.nl21 statistiek.rijksoverheid.nl www.rovid.nl
 Openbaar Ministerierijksrecherche.nl74 statistiek.rijksoverheid.nl www.rovid.nl
 P-Direktp-direkt.nl54 statistiek.rijksoverheid.nl www.rovid.nl
 Planbureau voor de Leefomgevingclo.nl58 statistiek.rijksoverheid.nl
 Planbureau voor de Leefomgevingiamcdocumentation.eu51 piwik.pbl.nl
 Platform voor de InformatieSamenlevinginternet.nl65
 Politie / THTCtegenondermijnendecriminaliteit.nl74 statistiek.rijksoverheid.nl www.rovid.nl
 Politie / THTCemm-online.nl69 statistiek.rijksoverheid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Politie / THTCpolitiecn.com69 www.politie.nl
 Raad voor de Kinderbeschermingwordtaakstrafbegeleider.nl42 statistiek.rijksoverheid.nl www.rovid.nl
 Raad voor Strafrechtstoepassing en Jeugdbeschermingrsj.nl57 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl www.rovid.nl
 Rijksacademie voor Financiën Economie en Bedrijfsvoering (Rijksacademie/FIN)nationalacademy.nl94 statistiek.rijksoverheid.nl
 Rijksacademie voor Financiën Economie en Bedrijfsvoering (Rijksacademie/FIN)rijksacademie.nl37 statistiek.rijksoverheid.nl www.rovid.nl
 Rijksdienst voor het Cultureel Erfgoedcultureelerfgoed.nl172 statistiek.rijksoverheid.nl www.rovid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Rijksdienst voor het Cultureel Erfgoederfgoeddeal.nl56 statistiek.rijksoverheid.nl
 Rijksdienst voor het Cultureel Erfgoedherkomstgezocht.nl20 statistiek.rijksoverheid.nl
 Rijksdienst voor Identiteitsgegevensrvig.nl62 statistiek.rijksoverheid.nl
 Rijksdienst voor Identiteitsgegevenssociaalfondspersoneel.nl31 statistiek.rijksoverheid.nl
 Rijksdienst voor Ondernemend Nederlandeuropaomdehoek.nl106 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Rijksdienst voor Ondernemend Nederlandadviescommissiedbe.nl79 statistiek.rijksoverheid.nl
 Rijksdienst voor Ondernemend Nederlandeconomischeveiligheid.nl70 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Rijksdienst voor Ondernemend Nederlandagroberichtenbuitenland.nl63 statistiek.rijksoverheid.nl
 Rijksdienst voor Ondernemend Nederlandeiti.nl54 statistiek.rijksoverheid.nl www.rovid.nl
 Rijksdienst voor Ondernemend Nederlandcentralecommissiedierproeven.nl51 statistiek.rijksoverheid.nl
 Rijksdienst voor Ondernemend Nederlandbedrijvenbeleidinbeeld.nl48 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Rijksdienst voor Ondernemend Nederlandadviescollegeveiligheidgroningen.nl42 statistiek.rijksoverheid.nl
 Rijksdienst voor Ondernemend Nederlandipcei-hydrogen.eu33 statistiek.rvo.nl
 Rijksdienst voor Ondernemend Nederlanddemijnraad.nl25 stats.pleio.nl
 Rijksdienst voor Ondernemend Nederlandcommissiemijnbouwschade.nl24 statistiek.rijksoverheid.nl
 Rijksinspectie Digitale Infrastructuur (RDI)antennebureau.nl40 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)sustainabilitymethod.com90 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)sustainabilitymethod.eu90 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)signalenleefomgeving.nl87 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)kennisplatformveehouderij.nl86 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)biociden.nl82 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)draaiboekpsie.nl79 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)metenvanduurzaamheid.nl77 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)loketgezondleven.nl75 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)eurlsalmonella.eu73 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)e-mjv.nl69 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)sustainabilitymethod.nl65 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)gezondekinderopvang.nl62 statistiek.rijksoverheid.nl www.rovid.nl cstm.rivm.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)kennisnetwerkbiociden.nl62 statistiek.rijksoverheid.nl www.rovid.nl images.nieuwsbrieven.rivm.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)pns.nl61 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl www.rovid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)staatvenz.nl61 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)emissieregistratie.nl53 statistiek.rijksoverheid.nl www.rovid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)veiligtatoeerenenpiercen.nl44 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)bureaubiosecurity.nl42 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)rivmmagazines.nl40 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)equal-life.eu37 statistiek.rijksoverheid.nl www.rovid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)volksgezondheidtoekomstverkenning.nl36 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)risicotoolboxbodem.nl35 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)vtv2018.nl35 statistiek.rijksoverheid.nl www.rovid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)actiemonitoringce.nl34 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)sportenbewegenincijfers.nl34 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)efeat.org33 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)registerexterneveiligheid.nl33 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)monitorgezondheid.nl31 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)vipasbest.nl30 statistiek.rijksoverheid.nl www.rovid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)akkoordverbeteringproductsamenstelling.nl22 statistiek.rijksoverheid.nl
 Rijksinstituut voor Volksgezondheid en Milieu (RIVM)kosteneffectiviteitvanpreventie.nl21 statistiek.rijksoverheid.nl
 Rijksvastgoedbedrijfbinnenhofrenovatie.nl72 statistiek.rijksoverheid.nl www.rovid.nl
 Rijksvastgoedbedrijfcollegevanrijksadviseurs.nl71 statistiek.rijksoverheid.nl www.rovid.nl
 Rijksvastgoedbedrijfcovm.nl62 statistiek.rijksoverheid.nl
 Rijksvastgoedbedrijfrijksvastgoedbedrijf.nl59 statistiek.rijksoverheid.nl www.rovid.nl
 Rijksvoorlichtingsdienstkoninklijkhuis.nl92 statistiek.rijksoverheid.nl
 Rijkswaterstaatmagazinesrijkswaterstaat.nl175 statistiek.rijksoverheid.nl
 Rijkswaterstaattoegangspuntmobiliteit.nl87 statistiek.rijksoverheid.nl www.rovid.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Rijkswaterstaatdcc-ienw.nl70 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl www.rovid.nl
 Rijkswaterstaatrwseconomie.nl50 statistiek.rijksoverheid.nl
 Rijkswaterstaatbodemloket.nl37 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl www.gdngeoservices.nl service.pdok.nl
 Rijkswaterstaatgezondeleefomgeving.nl37 statistiek.rijksoverheid.nl www.rovid.nl
 Rijkswaterstaathwbp.nl27 statistiek.rijksoverheid.nl
 Rijkswaterstaatmvicriteria.nl23
 Sociaal en Cultureel Planbureau (SCP)scp.nl40 statistiek.rijksoverheid.nl
 SSC-ICTssc-ictspecials.nl39 statistiek.rijksoverheid.nl
 Staatsbosbeheer (SBB)kasteelgroeneveld.nl23
 Stichting Administratie Indonesische Pensioenen (SAIP)saip.nl65
 Toetsingscommissie Inzet Bevoegdheden (TIB-IVD/AZ)tib-ivd.nl68 statistiek.rijksoverheid.nl
 Tweede Kamer der Staten-Generaalhouseofrepresentatives.nl66 www.toegankelijkheidsverklaring.nl pwk.tweedekamer.nl
 Uitvoeringsinstituut Werknemersverzekeringen (UWV)competentnl.nl139 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl subscribe.platformrijksoverheid.nl api.subscribe.platformrijksoverheid.nl
 Uitvoeringsinstituut Werknemersverzekeringen (UWV)loonaangifteketen.nl67 statistiek.rijksoverheid.nl www.rovid.nl
 Uitvoeringsorganisatie Bedrijfsvoering Rijk (UBR)rijksinnovatiecommunity.nl104 statistiek.rijksoverheid.nl www.toegankelijkheidsverklaring.nl
 Uitvoeringsorganisatie Bedrijfsvoering Rijk (UBR)rijksinkoopsamenwerking.nl68 statistiek.rijksoverheid.nl www.rovid.nl
 Wetenschappelijk Onderzoek en Documentatiecentrum (WODC)wodc.nl69 statistiek.rijksoverheid.nl
 Wetenschappelijke Raad voor het Regeringsbeleid (WRR)wrr.nl25 statistiek.rijksoverheid.nl www.rovid.nl
 Zorginstituut Nederland (ZIN)kik-v.nl116 statistiek.rijksoverheid.nl www.rovid.nl
Overzicht van grotere overheidssites zonder tracking en externe scripts

Disclaimer

  • De metingen komen van november 2023. Dat betekent dat sommige websites inmiddels zijn bijgewerkt / aangepast.
  • Na 100 verschillende cookiebanners zijn we gestopt met tellen en automatiseren. Het vermoeden is dat er in totaal rond de 150 technisch verschillende cookiebanners in gebruik zijn. Per ±20 sites is er een nieuwe cookiebanner. Begin december, na het onderzoek, vonden we nog bijna 750 nieuwe sites van de overheid.
  • Er zijn 1911 overheidssites gemeten. Er is begonnen met een lijst van 2600 domeinen, hieruit zijn alle redirects en niet bestaande domeinen gefilterd.
  • Domeinen zijn tot 3 lagen diep en tot 200 pagina’s gemeten.
  • Door de grote hoeveelheid overheidssites kan het zijn dat sommige sites niet (meer) van de overheid zijn. We gaan uit van een niet significante hoeveelheid sites: ze zijn allemaal door mensen bekeken en wat afwijkt lijkt in ieder geval op een overheidssite.

De Helpdesk Aflevering 6: Uitzondering op DANE bij Microsoft tot juli

Sinds 7 februari meet basisbeveiliging.nl of e-mailversleuteling voldoet aan de richtlijnen van het NCSC. Deze meting is iets te streng omdat ook DANE als eis is meegenomen. DANE is slechts een overweging is in de richtlijnen, terwijl dit een algemeen bekende kwetsbaarheid voorkomt. Forum Standaardisatie geeft aan dat zowel STARTTLS en DANE verplicht sinds eind 2019 zijn voor e-mail.

Om DANE te kunnen gebruiken is het gebruik van een andere veiligheidseis nodig: DNSSEC. De toepassing van DNSSEC is gangbaar: 100% van de waterschappen en provincies passen dit toe. Ook is het bij 99% van de gemeentedomeinen in gebruik. Cybersecuritybedrijven en politieke partijen zijn hier minder goed in met respectievelijk 79% en 72%.

Microsoft ondersteunt DANE vanaf maart 2024 middels opt-in. Vanaf juli 2024 is het standaard. Het is dus een beetje flauw om dit nu af te keuren op duizenden domeinen, terwijl het over een maand goed is in te stellen.

Met deze uitzondering komen bijna alle onvoldoende metingen te vervallen. De exacte getallen worden in de komende dagen te staan op basisbeveiliging.nl.

Daarom wordt er vanaf 15 februari een uitzondering toegevoegd voor DANE op Microsoft domeinen. Deze uitzondering vervalt automatisch op 1 juli 2024. Dit raakt ongeveer 2000 gemeten domeinen.

Nieuwe meting: versleutelde e-mail. 56% tot 94% voldoet niet aan de richtlijnen van het NCSC (+DANE)

Kleine correctie: er stond dat de meting alleen de richtlijn van het NCSC meten, maar we meten daarbij ook nog of DANE wordt toegepast in dezelfde meting. We zijn aan het kijken of we de NCSC en DANE meting moeten loshalen. Tot nader bericht kan het zijn dat wel wordt voldaan aan de richtlijn van het NCSC, omdat DANE daar (nog) als overweging wordt aangedragen. Het gebruik van DANE voorkomt een bekende kwetsbaarheid, zie links in dit artikel.

Sinds juli 2023 is versleuteling verplicht op alle overheidswebsites. Toen de wet inging voldeed 33% van de overheidssites niet. Het is nog niet bekend wanneer een zelfde soort wet voor e-mail gaat gelden, maar gezien de gevoeligheid van post kan iedereen zien aankomen dat een verplichting niet al te lang meer op zich laat wachten.

Technisch gezien kan mail, net als een website, volgens de NCSC richtlijnen worden versleuteld. Maar er is een belangrijk verschil: van oudsher gaat het afleveren van mail boven versleuteling. Stel dat een mailverwerker alleen hypermoderne cryptografie gebruikt dan kan het zijn dat de mail deels onversleuteld wordt verwerkt. Het is voor een mailverwerker dus van belang om óók minder moderne versleuteling te bieden als achtervang.

Het opzetten van een veilige verbinding gebeurt met opportunistic TLS. De eerste stappen hiervan zijn onversleuteld en dit zorgt voor zwaktes die weer met andere technologieën zoals DANE worden opgelost.

De metingen zijn vanaf 7 februari in te zien op basisbeveiliging.nl. Ontbrekende versleuteling wordt nu beoordeeld met oranje, later dit jaar is dat rood. Niet voldoen aan de richtlijnen van het NCSC blijft voorlopig oranje. Deze meting is september 2023 aangekondigd.

De nieuwe metingen en omvang onderzoek

Deze nieuwe meting bestaat uit twee delen. De eerste is of versleuteling mogelijk is. De tweede is of deze ook kan voldoen aan de richtlijnen van het NCSC. De meting wordt ontwikkeld en onderhouden door internet.nl.

De meting wordt uitgevoerd vanaf de verzendende partij naar de eerste ontvanger. Dus vanaf een burger naar @rijksoverheid.nl. Er wordt niet gemeten of de ontvangende partij zelf in staat is veilig te mailen.

In totaal zijn er 3284 hoofddomeinen gecontroleerd waarop wordt aangegeven dat er iets met e-mail gebeurt (MX). Daarvan waren er 812 die mail weigeren (null MX). Op een domein is het gebruikelijk om meerdere mailservers in verschillende prioriteiten aan te bieden ter redundantie. In 317 gevallen konden niet alle servers van een domein worden gemeten: bijvoorbeeld door beperkte bereikbaarheid. Uiteindelijk is er op 2155 hoofddomeinen een volledige meting uitgevoerd. Er zit een lichte dubbeling in het aantal hoofddomeinen omdat sommige domeinen op meerdere kaarten staan of onder meerdere organisaties vallen. Van de 3284 domeinen zijn er 3075 uniek.

Versleuteling ontbreekt op 19 domeinen

Op 2144, ofwel 99.49%, van alle hoofddomeinen wordt versleuteling toegepast. De onderstaande 10 zijn dus de enige hoofddomeinen waar versleuteling ontbreekt.

Het gaat hier om het hoofddomein van een securitybedrijf, een politieke partij, vijf domeinen uit de zorg en drie van de overheid.

KaartDomeinDoel (vermoedelijk)Nameting
Cybersecuritydigitaleopsporing.nlVoorpagina securitybedrijfinternet.nl
Overheidstandaardplatform.nlOnbekend, placeholderinternet.nl
Overheidkcb.nlVoorpagina Kwaliteits-Controle-Bureauinternet.nl
Overheidtoetsingonline.nlVoorpagina onderzoeksinstellinginternet.nl
Zorgprikjevoormees.nlCampagnesite ziekenhuisinternet.nl
Zorgtransmuraalnetwerk.nlOnbekend, 404internet.nl
Zorgcmua.nlCampagnesite ziekenhuisinternet.nl
Zorghagaradar.nlInternet Surveyinternet.nl
Zorglkch.nlForward naar dienstverlening ziekenhuisinternet.nl
Politieke partijensamenvoornederland.nlVoorpagina politieke partijinternet.nl
Domeinen waar versleuteling ontbreekt

De overige 9 subdomeinen worden vaak gebruikt voor e-mail marketing.

KaartDomeinDoel (vermoedelijk)Nameting
Cybersecuritycampagnes.kpn.comWaarschijnlijk e-mail marketing internet.nl
Overheide.valys.nlE-mail marketing (met deployteq)internet.nl
Overheidtools.rijksinnovatiecommunity.nlOnbekend, onbereikbaarinternet.nl
Overheide.buitenlevenvakanties.nlE-mail marketing (met deployteq)internet.nl
Overheide.kvk.nlE-mail marketing (met deployteq)internet.nl
Overheidv-lab.ubrijk.nlOnbekend, onbereikbaarinternet.nl
Overheidjapan.investinholland.comVoorpagina marketingscampagne Nederlandinternet.nl
Zorge.erasmusmcfoundation.nlE-mail marketing (met deployteq)internet.nl
Zorgmail.ml.adrz.nlMaildiensteninternet.nl
Subdomeinen waar versleuteling ontbreekt

E-mail versleuteling op NCSC niveau

Van de overheden komt de centrale overheid er met 44% er het beste vanaf. Dus wordt er in 56% niet voldaan aan de eisen. Alle andere overheidslagen scoren slechter.

Voldoet aan richtlijn NCSCVoldoet niet aan richtlijn NCSC
Centrale overheid44% (429)56% (553)
Gemeenten41% (160)59% (226)
Waterschappen26% (6)74% (17)
Provincies23% (3)77% (10)
Veiligheidsregio’s6% (1)94% (16)
Veilige e-mail op hoofddomeinen van de overheid

Bij de overige lagen zien we dat de cybersecuritybedrijven het slechtst scoren. Slechts 14 van de 141 bedrijven past voldoende veilige versleuteling toe. We zagen al eerder dat deze sector op alle metingen slecht scoort.


Voldoet aan richtlijn NCSCVoldoet niet aan richtlijn NCSC
Zorg (Ziekenhuizen, GGD)43% (234)57% (311)
Politieke partijen21% (7)79% (27)
Cybersecuritybedrijven9% (14)91% (141)
Veilige e-mail op hoofddomeinen bij zorg, cybersecurity en politieke partijen.

De metingen zijn terug te vinden op basisbeveiliging.nl. Daar is dus precies te zien welke organisaties wel en niet voldoen.

Nieuwe features: Februari 2024

Beter laat dan nooit: Happy new year! Alles dat we in 2023 hebben gedaan staat in het basisbeveiliging jaaroverzicht 2023.

Klassement

Onlangs is het klassement live gegaan. Hierin kan je doelgroepen met elkaar vergelijken op alle metingen. Lees meer hierover in de blogpost.

Upgrades overzicht metingen

De voorste pagina van het rapport bevat een overzicht van alle metingen. Dit wordt o.a. gebruikt voor compliance door een aantal organisaties. Om dit nog makkelijker te maken zijn de volgende dingen toegevoegd:

  • Er staat een datum & tijd op de volledige schermweergave
  • De lijst is als CSV te downloaden, zodat deze makkelijk te delen is met collega’s
  • Als iets vaker dan 1x voorkomt staat het erbij
  • Het verklaringssymbool verschijnt nu alleen als alle bevindingen zijn verklaard
Voorbeeld aantallen in overzicht
Voorbeeld datum en tijd voor compliance doeleinden

Onlangs bekeken

Op de voorpagina en de rapportenpagina staan nu de onlangs bekeken rapporten. Deze lijst wordt in de browser opgeslagen en scheelt weer wat klikken.

Totalen slechtste en beste

De totalen van beste en slechtste worden nu in de tabbladen weergegeven, zoals te zien is in de schermafbeelding hieronder.

Overige kleine wijzigingen

  • De kaart voor de zorg heeft twee subkaarten: GGD en Ziekenhuizen
  • Er zijn ±15.000 domeinen uit de database verwijderd die al een tijd op “soft delete” stonden.
  • De kaarten laden iets sneller omdat popups nu ad-hoc worden aangemaakt
  • De keuzenlijsten van organisaties bij rapporten en de voorpagina worden nu per 100 stuks ingeladen, in plaats van alles in 1x, dat is sneller. Zoeken werkt nog hetzelfde.
  • Er is een uitzondering gemaakt op basis van ISP. Voor cloudflare keuren we een bepaalde open poort goed (tijdelijk).
  • Status pagina bijgewerkt voor previews van nieuwe kaarten.

Nieuw overzicht: klassement. Vergelijk alle metingen van overheid, zorg, cyber en meer…

Vanaf vandaag staat er een klassement op basisbeveiliging.nl. Hierop zie je per meting wie het best en slechtst scoort. Bepaal zelf welke van de 30 doelgroepen je wil vergelijken. Bijvoorbeeld de overheid tegenover de zorg en de cybersecurity sector.

Wie per meting het best scoort krijgt een groen hartje 💚, wie het slechtst scoort krijgt het objectieve en wetenschappelijk correcte poep emoji: 💩. In het geval dat een doelgroep 100% alles op orde heeft dan krijgt die een fonkelend roze hart 💖. In het geval van de huidige 23 metingen zijn er dus 23 groene hartjes te verdienen en 23 poepjes te ontlopen.

Naast dat je zelf de doelgroep kan kiezen, kan je ook de volgorde bepalen van zowel de metingen als de doelgroepen. Daardoor is een rapport te maken dat aansluit op de prioriteiten van je organisatie(s). Deze volgorde wordt in de adresbalk bewaard, zodat deze is te delen. Tenslotte is het overzicht te downloaden als CSV bestand, zodat je het ook makkelijk kan mailen.

Voorbeelden

Hieronder staan drie links naar voorbeeldklassementen. Deze worden hieronder ook kort besproken in dit artikel.

Disclaimer: De screenshots in dit artikel zijn momentopnamen van 23 januari 2024. Deze lijst wordt dagelijks bijgewerkt. De afbeeldingen linken naar het actuele klassement van de besproken lagen.

Klassement overheidslagen

Directe link

In onderstaande afbeelding een voorbeeld van de vier overheidslagen: centraal, provincies, waterschappen en gemeenten. Je ziet bijvoorbeeld dat waterschappen op e-mail goed scoren. Ook zie je dat de waterschappen het beste scoren, daarna provincies, gemeenten en dan de centrale overheid.

Klassement tussen de vier overheidslagen. Klik op de afbeelding om naar de actuele klassementspagina te gaan.

Klassement drie doelgroepen: overheid, cyber en zorg

Directe link

De verdeling ziet er totaal anders uit wanneer drie grote doelgroepen met elkaar worden vergeleken: overheid, cyber en zorg. In dit geval komt de overheid er verreweg het beste vanaf. De lage scores worden nagenoeg gelijk verdeeld over de zorg en cyber. Bijvoorbeeld het aantal illegaal geplaatste tracking cookies is het hoogst bij de cybersecurity. Hopelijk veranderd dit beeld nog sterk.

Klassement tussen overheid, cyber en zorg. Klik op de afbeelding om naar de actuele klassementspagina te gaan.

Klassement 12 ministeries

Directe link

Met een van de kleinere domeinportfolio’s doet MinAZ het verreweg het beste en scoort zelfs op 5 punten perfect. De alfabetische volgorde lijkt ook voor positie 2 de juiste, want MinBZK scoort daarna het best met 4 groene hartjes. Daarmee nemen deze twee samen al zo’n 70% van de positieve punten voor hun rekening.

De negatieve punten worden vooral verdeeld onder BZ, JenV, Defensie en OCW. Waarbij wel gezegd moet worden dat Defensie ook twee punten 100% goed heeft uitgevoerd.

Tot slot is er nog een heldere middenmoot: deze doen het nergens het beste of het slechtste. In het screenshot staat EZK, maar ook VWS krijgt in dit klassement een hartje noch poep emoji.

De eerste vijf van de twaalf ministeries in het klassement tussen de ministeries. Klik op de afbeelding om naar de actuele klassementspagina te gaan.

Basisbeveiliging Jaaroverzicht 2023

Samenvatting

2023 is het eerste jaar dat Basisbeveiliging onderdeel is van overheidsbeleid. Hierdoor is het project verder geformaliseerd met o.a. een code of conduct. Formalisering van de stichting is eind 2023 in gang gezet met o.a. een nieuwe bestuurder.

Het aantal meetpunten is dit jaar met meer dan 10 toegenomen. Mede dankzij nieuwe metingen van projecten als internet.nl, nmap en Nuclei. Ook hebben we zelf een aantal metingen ontwikkeld of aangescherpt. O.a. met dank aan SIDN en RIPE voor het gebruik van data hiervoor.

De twee invloedrijkste metingen van 2023 waren: login portals (Login Plaza / phpMyAdmin) en het gebrek van juiste HTTPS bij de overheid (Wet Digitale Overheid).

Privacy is een van de nieuwe onderwerpen geworden van de metingen dit jaar. We meten o.a. de locatie van servers en hoe men omgaat met volgcookies. Deze metingen haken in op het doel van MinBZK: een burger moet onbespied een website van de overheid kunnen bezoeken.

Er zijn vijf nieuwe kaarten toegevoegd: één voor ieder van de drie bijzondere gemeenten (BES eilanden, openbare lichamen), een kaart met politieke partijen en eentje met cybersecuritybedrijven. Die laatste is ook aangekondigd door branchevereniging Cyberveilig Nederland aan haar leden. We meten nu ook onszelf.

Qua community heeft de stichting nu een Discord server waardoor onze bereikbaarheid verder is toegenomen. Hierop werd tweewekelijks een meeting georganiseerd maar deze moet opnieuw worden ontwikkeld om het interessant te houden. Er zijn 3 fysieke pizza sessies gehouden bij hackerspace Hackalot in Eindhoven, deze blijven onverminderd succesvol.

Er zijn diverse uitingen gedaan over het project door derden. Onder andere heeft het CIP de actuele meting per organisatie meegenomen in haar halfjaarlijkse signalering naar overheden. Er is een aantal keer over resultaten geschreven door binnenlands bestuur en digitale overheid.

De stichting heeft ±15 deelnemers weten te vinden die het project een warm hart toedragen. Ook heeft de stichting haar eerste betaalde onderzoek mogen uitvoeren. Het CIP verstrekt een subsidie voor het project. Ook dank aan onze sponsor CoBytes voor hosting en ondersteuning!

Voor basisbeveiliging en de Internet Cleanup Foundation was dit een geweldig jaar. We bedanken graag iedereen die het project heeft gesteund. Ook dank aan de vele bezoekers/gebruikers van de site: zij hebben een enorme hoeveelheid beveiligingsproblemen opgelost. Dat is waar we het voor doen: een veiliger Nederland.

Fijne dagen en een veilig en gezond 2024 gewenst!

Onderdeel van overheidsbeleid en formalisering project en stichting

Basisbeveiliging is eind 2022 onderdeel geworden van het Actieplan Nederlandse Cybersecuritystrategie van de NCTV en de werkagenda Waardengedreven Digitaliseren van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Onze partner bij de overheid is het Centrum voor Informatiebeveiliging en Privacybescherming.

Dat is een grote eer, wat ook vereist dat we als project en stichting verder professionaliseren. Daarin zijn in 2023 een aantal stappen gezet. Een van de belangrijkste is onze code of conduct: hierin staat binnen welke ethische grenzen we handelen.

Daarnaast hebben we een aantal stukken geschreven die transparant maken hoe we werken. Bijvoorbeeld is er nu een meetbeleid waarin staat wat gemeten wordt, hierop kennen we ook een aantal uitzonderingen. Een publicatiebeleid waarin staat wat we publiceren en welke afwegingen worden gemaakt. De stichting heeft nu ook een disclaimer. Voor organisaties die op een nieuwe kaart worden geplaatst vatten we deze stukken samen in een how-to.

De geformaliseerde werkwijze heeft er ook voor gezorgd dat er dit jaar duizenden e-mails zijn verstuurd rondom aankondigingen van nieuwe metingen en organisaties die binnenkort op de kaart staan. Zo kunnen zij zich voorbereiden op wat gaat komen.

Het jaar samengevat in Cijfers

  • Website
    • 13 nieuwe publieke meetpunten, nog 3 aangekondigd
    • 5 nieuwe kaarten
  • ±5.000 bezoeken per maand (baseline, zonder acties)
    • Talloze nieuwe features
  • Community
    • 82 mensen in onze Discord server
    • 3 pizza sessies
    • 5 brieven met stickers voor de sticker swap
  • Communicatie
    • 30 blogposts
    • 160.000 impressies op linkedin
    • 11 artikelen/referenties door derden
    • 350 organisaties bereikt via CIP Signalering
    • 3 lezingen gegeven
  • Helpdesk
    • >250 verklaringen
    • >70 “working on it” mailtjes
  • Merch / Ontwerpen
    • 2 stickers (phpMyAdmin en Niet Veilig)
    • 1 cyber penning (ONE Conference)
    • 2 dibond borden (phpMyAdmin en Niet Veilig)

Bezoekersstatistieken

Sinds eind december wordt er gebruik gemaakt van Matomo, een on-premise statistiekplatform. Hierdoor wordt het duidelijk welke delen van de site populair zijn en welke niet. Op basis van deze gegevens wordt de site in 2024 verder geoptimaliseerd. Op basis van een extrapolatie van doordeweekse bezoeken wordt de site ±5000 keer per maand bezocht: daarbij hebben we nog geen beeld hoeveel effect acties en aankondigingen hebben.

Nieuwe domeinen

Gemeten op 7 december


Nieuwe domeinen
Kaart / Totaal22988
Overheid9522 (+25%)
Cybersecuritybedrijven4490 (nieuwe kaart)
Politieke partijen3469 (nieuwe kaart)
Gemeenten3050 (+10%)
Zorg2229 (+9%)
Provincies128 (+9%)
Waterschappen59 (+4%)
Veiligheidsregios41 (+4%)
Aantal nieuwe domeinen op basisbeveiliging

Nieuwe kaarten / doelgroepen

Kaart Cybersecuritybedrijven

1 december is er een kaart toegevoegd met de veiligheid van cybersecuritybedrijven. We vonden dat deze in 20 van de 23 metingen slechter scoren dan de overheid. De bedrijven zijn bezig met het verhogen van hun eigen baseline en het aantal organisaties dat groen scoort is in een week na lancering gegroeid van 3 naar 6: nog 124 te gaan.

Kaart met veiligheid van cybersecuritybedrijven

Kaart Politieke partijen

De andere nieuwe doelgroep is de landelijke politiek. We vonden dat geen van de partijen voldoende scoorde. Er zijn 70 partijen gemeten, dit is later teruggebracht naar 26 die meededen aan de Tweede Kamerverkiezingen. Geen van de partijen scoorde voldoende. De initiële top 3 onveiligste partijen bestond uit Bij1, VVD en de Piratenpartij. In de aanloop van de verkiezingen lostte 7 politieke partijen bevindingen op en zijn een stuk veiliger geworden. Dit waren de Piratenpartij, SGP, PvdD, 50+, Volt, CU en BBB. 116 hoge en 488 midden risico’s werden opgelost. De top 3 onveiligste partijen tijdens de verkiezingen waren Bij1, VVD en D66.

Kaart politieke partijen op 6 december 2023

Kaarten bijzondere gemeenten

De kaarten van Bonaire, St Eustatius en Saba staan nog in de beginfase en bevatten op dit moment nog maar 1 organisatie per stuk. De bedoeling is om in 2024 de rest van de overheden en andere relevante publieke dienstverlening op deze eilanden (mits aanwezig) toe te voegen. Daarbij moet nog worden uitgezocht of hiervoor nog speciale uitzonderingen moeten worden gemaakt.

Nieuwe kaarten van de bijzondere gemeentes Saba, St. Eustatius en Bonaire

Nieuwe metingen

In 2023 zijn er 13 nieuwe meetpunten gepubliceerd. Er zijn nog 3 meetpunten vooraangekondigd die nog niet zijn gepubliceerd.

Tijdlijn publicatie nieuwe meetpunten 2023

Januari

Er wordt gecontroleerd op versienummers. Omdat versienummers alleen bruikbaar zijn voor aanvallers dienen deze niet gepubliceerd te worden. Lees verder.

Februari

De metingen over RPKI en Security.txt van internet.nl zijn toegevoegd. In de plaatjes hieronder zie je de adoptie van security.txt bij Nederlandse gemeenten. Links Mei 2023 met 32 organisaties. Rechts November 2023 met 179 gemeenten die dit gebruiken. Lees verder.

Maart

Er zijn metingen toegevoegd over website headers en login portals. We vonden dat er meer dan 300 phpMyAdmin installaties open stonden op sites van de overheid. Dit aantal hoort 0 te zijn. Lees verder.

April

Privacymetingen zijn toegevoegd. Er wordt gekeken of een bezoek aan een website gedeeld wordt met 3e partijen. Wanneer dit een van de grote marketingsbedrijven is wordt dit als onvoldoende gemarkeerd.

Mei

Er wordt gemeten op eigenaarschap van domeinen. Met toestemming van het SIDN wordt automatisch gekeken of de “registrar” staat op de juiste organisatie. We vonden dat 8% van de domeinen niet herleidbaar is naar de overheid. Lees verder.

Juli

De Wet Digitale Overheid is ingegaan. Dit vereist dat websites van de overheid alleen bereikbaar zijn via een versleutelde verbinding, en dat deze versleuteling wordt afgedwongen met een HSTS header. We vonden dat 33% van de overheidsdomeinen niet voldeed aan deze eisen bij de ingang van deze wet. Lees verder.

Augustus

We hebben gemeten waar e-mail servers en webservers worden gehost. We vonden dat 3% van de webservers in de VS staat, en 10% van de mailservers. Daardoor wordt er veel verkeer gedeeld met een gebied waar andere wetten gelden. Er zijn drie pogingen gedaan om dat te legaliseren, grote kans dat het weer opnieuw illegaal wordt. Lees verder.

Ook is in augustus onderzoek gedaan naar het gebruik van Google Analytics bij de overheid. We vonden dat 23% van de installaties gegevens lekt naar Google Ads: dit is verboden zonder toestemming. Lees verder.

November

Er wordt gemeten hoeveel verboden tracking cookies worden geplaatst op sites van de overheid en andere gemeten doelgroepen. We vonden dat op 4% van de hoofdsites van de overheid sprake is van tracking cookies. In totaal gaat het over honderden domeinen waar dergelijke cookies worden uitgegeven. Lees verder. De actuele stand van zaken is te zien op de speciale tracking cookies pagina.

December

t.b.d.

Nieuwe features

Bijna iedere maand zijn er nieuwe features opgeleverd voor basisbeveiliging. De onderstaande slide geeft daar een beeld van.

Tijdlijn nieuwe features op basisbeveiliging.nl in 2023

Januari

Follow-up scans toegevoegd. Sommige meetresultaten vragen om een bevestiging of uitzondering. Deze wordt uitgevoerd met een follow-up. Het is mogelijk om een serie aan metingen uit te voeren afhankelijk van de uitkomsten van een eerdere meting. In de praktijk worden er 5 follow-up scans gebruikt.

Februari

Er zijn een paar nieuwe scanners toegevoegd. Nuclei en OpenWPM.

Maart

Het maandoverzicht geeft nu per kaart de grote cijfers en trendlijnen per meting weer. Een voorbeeld is hier te vinden.

Gezien de grote hoeveelheid organisaties is een zoekbalk toegevoegd op de voorpagina.

Lees verder: updates maart 2023.

April

Voortgang pagina is toegevoegd

De zoekbalk ondersteunt vanaf nu niet alleen de namen en domeinen van organisaties maar ook de alternatieve (oude) namen of namen vanuit de volksmond. Dit is vooral praktisch wanneer een overheidsorganisatie van naam wijzigt zoals Agentschap Telecom naar Rijksinspectie Digitale Infrastructuur. Als extra is het mogelijk om te zoeken op alternatieven namen zoals Oeteldonk voor ‘s-Hertogenbosch en Torenstad voor Zutphen. Ook middeleeuwse namen van steden zijn toegevoegd. Dit staat op de voorpagina, hier.

Lees verder: updates april 2023.

Mei

Owasp Amass is toegevoegd voor meer subdomeinen.

Domeininformatie van het SIDN wordt ingelezen om zo vervallen domeinen makkelijk te kunnen opsporen en verwijderen.

De website ondersteunt nu geolocatie voor bevindingen. Het is dus mogelijk om bevindingen in je buurt te zien.

Lees verder: updates mei 2023.

Juni

Het is nu mogelijk om een uitzondering op een meting toe te voegen op basis van de inhoud van een website.

De risicotabel is opgedeeld in tabellen per onderwerp.

Bevindingen bevatten nu een “bedankt” / “wordt aan gewerkt” knop.

Lees verder: updates juni 2023.

Juli

Publicatie van documentatie: uitzonderingen op het meetbeleid, een disclaimer en een responsible disclosure pagina.

De privacy scan is aangezet op alle domeinen, niet alleen meer op hoofdsites.

Er is filtering toegevoegd aan rapporten.

Lees verder: updates juli 2023.

Augustus

Publicatie van documentatie: meetbeleid en “binnenkort op basisbeveiliging, wat nu”.

Bevindingen hebben nu ook een OpenCRE (Common Requirement Enumeration) nummer. Hierdoor linken bevindingen naar eisen uit standaarden zoals CWE, CAPEC, NIST-800 53, NIST-800 63b, Cloud Control Matrix, ISO27001, ISO27002, en NIST SSDF.

De HSTS meting is herschreven en er is een G1 overheidscertificaat toegevoegd als vertrouwd.

Lees verder: updates augustus 2023.

November

Expert overzichten toegevoegd voor certificaten en cookies.

Expert view over certificaten

Lees verder: updates november 2023.

December

Een volgcookie dashboard en monitor toegevoegd aan het hoofdmenu van de website.

Dashboard volgcookies geeft aan hoeveel % van de gemeten organisaties ongevraagde volgcookies plaatst

De kaarten van waterschappen en veiligheidsregio’s zijn opgeruimd. Ook maken ze nu gebruik van vlakken, waardoor goed te zien is welk gebied valt onder welk waterschap / veiligheidsregio. Dit ziet er ook mooier uit op de website.

Kaarten met gebieden van waterschappen en veiligheidsregio’s

Rapporten zijn nu beter deelbaar met directe links naar een specifiek domein en tabblad. Bijvoorbeeld cookies op een bepaalde website.

Lees verder: updates december 2023.

Communicatie

Publicaties/verwijzingen door derden

  • 5x binnenlands bestuur
  • 2x digitaleoverheid.nl
  • 1x iBestuur
  • 1x agconnect
  • 1x internetconsultatie.nl (oproep in een consultatie)
  • 1x CIP (halfjaarlijkse signalering)

Overzicht met verwijzingen staat hier.

Openbare lezingen / Conferenties

Er zijn op drie conferenties lezingen gegeven over het project:

  • Feb: Hacker Hotel
  • Sep: OSCAL (keynote), cfp, (nog geen video)
  • Okt: ONE Conference, video

Ook hadden we een stand op de ONE conference. In de ochtend zag deze er zo uit:

Stand op de ONE conference

LinkedIn posts


IndrukkenInteracties (likes e.d.)Comments
(geschreven)
Reposts
(gedeeld)
Onderwerp / TOTAAL1621581706158102
Nieuwe kaart Cybersecuritybedrijven109291311112
Ongevraagde Tracking Cookies51108117
7 politieke partijen veiliger37455038
Cyber kaartje ONE24814431
Post-ONE conference27699332
Veiligheid Politieke partijen589192168
Google Analytics918687413
Diensten buiten de EU13224167175
Wet WDO / Ontbreken HTTPS345902803114
Vooraankondiging spreken ONE39409691
8% domeinen zonder whois54686237
10% phpMyAdmin Weg78988572
Login Portals / phpMyAdmin456093044116
1800 overheidssites84638645
Actieplan Cybersecurity28554851
En er zijn wat followers bijgekomen, nu op 783 🙂

Helpdeskverzoeken

Dit jaar hebben we het concept van “bedankt” en “we gaan ermee aan de slag” mails toegevoegd. Dit om de hoeveelheid interacties te verhogen en een idee te krijgen wie de site gebruikt. We hebben ook enkele fanmails ontvangen. Ook is er 5x gebruik gemaakt van de sticker swap.

We hebben de volgende aantallen mails ontvangen (tot 6 dec 2023):

  • 250 verklaringen en/of hulpvragen. De belangrijkste onderwerpen waren HSTS, verklaringen rondom niet vertrouwde TLS verbindingen en onjuiste metingen (bugs en uitzonderingsgevallen).
  • 70 “we gaan ermee aan de slag” e-mails
  • 1 “dank voor het meten” e-mails

Sponsoring

Onze hoster CoBytes heeft dit jaar een aantal abuse meldingen weggewerkt naar aanleiding van de metingen voor Login Plaza. Ook is onze servercapaciteit geüpgraded van 32 naar 72 gig ram, waardoor er ruimte is ontstaan voor complexere metingen. Waarvoor uiteraard veel dank!

Onze andere sponsoren Sentry en Gitlab blijven ons ook ondersteunen.

Merch / Ontwerpen

Er zijn 3 fysieke items gemaakt: 2 soorten stickers, 2 soorten dibond borden en een cyber penning.

De phpMyAdmin sticker is gemaakt n.a.v. Login Plaza, waar was ontdekt dat de overheid 300 installaties van phpMyAdmin online heeft staan. We hebben het project voorzien van een passend (mooier) logo. Dit blijven we doen tot het aantal installaties op 0 staat. Waarschijnlijk betaald de overheid ook niets voor deze software, maar plukt hier wel de vruchten van.

De Niet Veilig sticker is een sticker voor algemeen gebruik. Het is een verwarrend ontwerp wat groen en een positieve vink gebruikt om te zeggen dat iets niet voldoet. De stickers hebben een formaat van 5×5 centimeter.

De Cyber penning is gemaakt voor de ONE conference. Deze is gemaakt van fluor oranje plastic met een gouden folie opdruk. Het formaat is 9x5x0.1cm. Tijdens de ONE zijn er 420 penningen weggegeven.

Contactinformatie

Meer informatie over de stichting staat op de “over ons” pagina, hier.

Nieuwe kaart: Cybersecuritybedrijven in basis slechter beveiligd dan overheid

Cybersecuritybedrijven zijn de fundering van de Nederlandse online veiligheid. Van de vitale sector tot de rijksoverheid: alle organisaties die iets voor de maatschappij betekenen gebruiken diensten van deze bedrijven. Bijvoorbeeld voor het oplossen van een digitale brand tot aan het testen van de online weerbaarheid.

Maar hoe goed zijn deze bedrijven zelf eigenlijk beveiligd? En waar ga je naar toe als deze bedrijven het niet goed doen? Vanaf 7 december 2023 laat basisbeveiliging.nl zien hoe het staat met de online basisveiligheid deze sector. We meten doorlopend meer dan 4000 domeinen van 130 bedrijven.

Het doel van deze meting is om de Nederlandse cybersecurityindustrie als meester in hun vak neer te zetten. Helaas zit de sector nog niet op het gewenste niveau. De sector is bedenker van veel van de veiligheidsmaatregelen die we meten.

Belangrijkste bevindingen

  • Slechts enkele van de 130 gemeten organisaties scoren goed op alles, een stuk of 20 komen heel dicht in de buurt. Op het hoogtepunt scoorden 3 organisaties goed.
  • De overheid scoort beter op 20 van de 23 gemeten punten. Op 7 punten meer dan 10%.
  • Gemeenten scoren beter op 18 van de 23 gemeten punten. Op 8 punten is het verschil meer dan 10%.
  • Op dit moment worden er 124 tracking cookies geplaatst zonder toestemming

Tijdslijn

In de cyberwereld werkt men met een tijdslijn wanneer een nieuwe kwetsbaarheid openbaar wordt gemaakt. Voor de vorm:

  • 17 jul: branchevereniging Cyberveilig Nederland stuurt vooraankondiging aan haar leden
  • 30 sep: Eerste vooraankondiging via e-mail en contactformulieren
  • 4 okt: vooraankondiging op een presentatie + stand op de ONE Conference
  • 16 okt: extra aankondiging naar bedrijven die óók op de kaart wilden
  • 20 nov: laatste vooraankondiging
  • 7 dec: publicatie

Een kleine 10 bedrijven heeft in de tussentijd gereageerd en e.e.a. opgepakt. Dit zijn zowel grotere als kleinere namen. Soms heeft dit geleid tot diepgaande interessante discussie. Ook is er een uitzondering gemaakt voor de sector.

Een aantal bedrijven hebben ons gevraagd om óók op de kaart te komen. Dat vinden we erg sportief en dat is hoe we de sector kennen.

Wie worden er gemeten

Deze meting gaat over cybersecuritybedrijven en -organisaties. Maar alleen die zich actief richten op de Nederlandse markt. Ze hebben hier een kantoor, tenminste twee medewerkers en “cyber” is onderdeel van de core business. Het kan natuurlijk zijn dat er een bedrijf teveel of te weinig op de kaart staat, als dat het geval is passen we dat natuurlijk op verzoek aan.

Voor deze bedrijven is een uitzondering gemaakt in de metingen. Zij mogen gebruik maken van bronnen van 3e partijen als Google en Facebook zonder dat invloed heeft op het oordeel. Voor de overheid zijn we dus strenger. Ongevraagd volgcookies plaatsen mag natuurlijk nog steeds niet.

Nog geen perfectie

Er is op moment van publiceren 1 organisatie van de 130 die alles op orde heeft. Op het hoogtepunt waren dit er 3, maar er zijn wat regressies geweest.

Op dit moment meten we 594 hoger risico kwetsbaarheden. Wij gebruiken wel een andere graadmeter voor risico’s dan de sector. Dat staat uitgelegd in ons publicatiebeleid. Het totaal aantal gemeten domeinen is 4490.

Zetten we de bevindingen van alle metingen onder elkaar, dan zie je dat er nergens 100% voldoende op wordt gescoord. Het beste scoort de fysieke locatie van de webserver met ±94%. De hekkensluiters zijn het weghalen van versienummers en de toepassing van de industriestandaard security.txt met respectievelijk ±4% en ±6%.

Een verklaring van onderstaande termen staat in het meetbeleid, maar is ook terug te zien op de statistiekpagina van cybersecuritybedrijven.

Maatregel% goed% Hoog% Midden% laag
DNSSEC76.88%23.13%
Kwaliteit van versleuteling82.37%0.35%17.29%
Vertrouwen in versleuteling90.64%9.36%
Sites met ontbrekende versleuteling75.94%5.19%18.87%
Veilig bestandsoverdracht (FTP)87.17%12.83%
Weghalen van versienummers4.34%7.54%88.12%
Eigenaar van internetadres (WHOIS)86.05%13.95%
Fysieke locatie van webserver93.87%6.13%
Fysieke locatie van mailserver78.86%21.14%
Fysieke locatie bronnen website9.95%90.05%
TLS voldoet aan NCSC33.77%66.23%
Security.txt5.7%73.42%20.89%
RPKI (website)83.13%16.88%
DMARC88.67%11.33%
DKIM82.59%17.41%
SPF92.12%7.88%
RPKI (e-mail)91.3%8.7%
Prio veilige versie website (HSTS)63.54%36.46%
Header: x-content-type-options60.4%39.6%
Header: x-frame-options67.33%32.67%
Website is volledig in eigen beheer46.47%53.53%
Website respecteert privacy78.56%21.44%
Website plaatst volgcookies91.26%8.74%
Cijfers veiligheid cybersecuritybedrijven December 2023

De overheid doet het beter…

We stelden aan het begin van dit artikel de vraag: Waar moet je naar toe als de cybersecuritybedrijven niet meer leveren? Blijkbaar is dat naar de overheid. Niet dat daar alles goed gaat, maar de overheid scoort beter (💚) op 20 van de 23 gemeten punten. Ook gemeenten scoren beter op 18 van de 23 punten. In een aantal gevallen is dat met meer dan 10% (💖).

MaatregelCyber
% goed
Gemeenten
% goed
Overheid
% Goed
DNSSEC76.88%98.1% 💚💖91.71% 💚💖
Kwaliteit van versleuteling82.37%91.36% 💚90.32% 💚
Vertrouwen in versleuteling90.64% 💚84.29%87.56%
Sites met ontbrekende versleuteling75.94%73.94%83.38% 💚
Veilig bestandsoverdracht (FTP)87.17%95.92% 💚89.05% 💚
Weghalen van versienummers4.34%8.1% 💚8.97% 💚
Eigenaar van internetadres (WHOIS)86.05%91.35% 💚90.83% 💚
Fysieke locatie van webserver93.87%96.86% 💚97.36% 💚
Fysieke locatie van mailserver78.86%94.7% 💚💖94.08% 💚💖
Fysieke locatie bronnen website9.95%7.47%34.81% 💚💖
TLS voldoet aan NCSC33.77%75.99% 💚💖59.49% 💚💖
Security.txt5.7%7.88% 💚29.22% 💚💖
RPKI (website)83.13%96.92% 💚💖94.4% 💚💖
DMARC88.67%98.18% 💚93.47% 💚
DKIM82.59%95.07% 💚💖68.78%
SPF92.12%97.98% 💚96.78% 💚
RPKI (e-mail)91.3% 💚88.64%89.9%
Prio veilige versie website (HSTS)63.54%86.22% 💚💖76.68% 💚💖
Header: x-content-type-options60.4%80.75% 💚💖66.43% 💚
Header: x-frame-options67.33%81.44% 💚💖69.71% 💚
Website is volledig in eigen beheer46.47%45.14%50.5% 💚
Website respecteert privacy78.56%86.7% 💚86.81% 💚
Website plaatst volgcookies91.26%97.97% 💚97.21% 💚
Verschil in toepassing van beveiligingsmaatregelen tussen cybersecuritybedrijven, de centrale overheid en gemeenten. De centrale overheid en gemeenten doen het in bijna alle gevallen beter.

Een meetresultaat weggevallen

We zien dat veel organisaties Cloudflare gebruiken. De uitzondering hierop is aangescherpt maar nog niet 100% dekkend uitgevoerd. Daarom is deze meetwaarde niet in bovenstaande tabel meegenomen. Van organisaties die cloudflare gebruiken verwachten we dat er op poorten 8080 en 8443 een cloudflare foutmelding langskomt wanneer hier niets op geconfigureerd staat.

Een achterliggende oorzaak?

De soms behoorlijk grote verschillen laten zich niet altijd verklaren. We hadden verwacht dat de cybersecurityindustrie zou voldoen aan de eisen die ze zelf heeft bedacht en test bij klanten. Mogelijk dat er veel sprake is van maatwerk op de eigen omgeving.

In de aanloop naar de publicatie hadden we meer verklaringen verwacht. We hadden het idee dat sommige tooling van deze bedrijven een bijzondere inrichting vereist die niet veilig oogt maar dat wel is. Tot nu toe zijn die verklaringen uit gebleven. Een verklaring over HSTS preloading hebben we afgeketst omdat dit een goede defense in depth maatregel is maar oude browsers niet dekt.

Een groot verschil tussen de overheid en de sector is dat de overheid eisen stelt aan zichzelf. Zo is er de pas toe of leg uit lijst van Forum Standaardisatie, hierop staan een aantal van de gemeten punten als eis opgesteld. Ook is er de wet digitale overheid dat een bepaald niveau van versleuteling vereist. Hier zie je dat de overheid meer dan twee keer zo goed scoort (76% vs 34%) op goede versleuteling. Verder zijn er diverse andere organisaties zoals het NCSC voortdurend bezig om de weerbaarheid van de overheid te vergroten. De cyberindustrie kan hiervan afkijken.

Blijvend huiswerk voor onszelf

De oorsprong van het idee om deze sector te meten was dat we ook onszelf wilden kunnen terugvinden op basisbeveiliging. We hebben ons dus ook toegevoegd op de kaart, al zijn we niet commercieel en houden we het bij de basis.

Op het moment van schrijven scoren we oranje. Dit was enkele weken goed, maar ergens is er iets omgevallen dus dat zijn we nu aan het oplossen. Toen we begonnen met onszelf te meten scoorden we 8 hoog, 14 midden en 56 laag. Dit was daarvoor nog hoger als je terugkijkt in de grafieken, vooral omdat we veel testdomeinen van anderen aan onze organisatie hadden gevoegd. Inmiddels scoren we 1 midden en 61 laag risico.

Een lastige bij het oplossen van problemen is de afhankelijkheid van leveranciers. Ook onze hostingsponsor CoBytes heeft weer een leverancier die RPKI moest instellen, dat is inmiddels gelukt. Ook zagen we dat de documentatie van dit project bij readthedocs stond, die Google Analytics gebruikt: daar zijn we dus weg.

Natuurlijk weten we bij onszelf nog wel wat kwetsbaarheden te vinden, dit zijn de “known knowns” in de industrie. Dergelijke kwetsbaarheden kunnen we misschien voor onszelf, maar niet voor anderen, zomaar blootleggen. We houden ons natuurlijk aan ons publicatiebeleid.

Contact

Voor correspondentie over deze resultaten zijn we te bereiken via e-mail op info@internetcleanup.foundation. Ook zijn we bereikbaar via Discord.

Kaart met samenvatting van basisveiligheid Nederlandse cybersecuritybedrijven in december 2023.

Updates December 2023

Security van Cybersecuritybedrijven

De kaart met security van cybersecuritybedrijven staat live. We vonden dat ze op 20 van de 23 metingen op dit moment slechter presteren dan de overheid. We hopen op beterschap de komende periode. Lees hier het hele artikel.

Dashboard volgcookies

De voorpagina van basisbeveiliging is aangepast. Een aantal menu-items zijn even weggehaald omdat ze wat onderhoud nodig hebben. In plaats daarvan hebben we een volgcookie dashboard toegevoegd. Hierop zie je per doelgroep hoeveel procent van de gemeten organisaties zonder toestemming volgcookies plaatst.

Eerste fase opruiming kaarten

Kaarten van veiligheidsregio’s en waterschappen bestaan nu uit vlakken, dat ziet er een stuk mooier uit. Ook zijn er enkele domeinen toegevoegd en was er een ontbrekende organisatie toegevoegd.

Onderdelen van rapporten zijn nu met een directe link te zien

Het is nu mogelijk om links te delen van tabbladen in de rapportages. Ook kan je daar filteren welk domein je wil zien. Zo kan je bijvoorbeeld de volgcookies van bepaalde politieke partijen direct bekijken.

Kaarten toegevoegd van de bijzondere gemeenten

De bijzondere gemeenten, of openbare lichamen, of BES eilanden hebben ieder een eigen kaart gekregen. Deze kaarten bevatten nu nog een enkele organisatie, er zullen er ongetwijfeld meer zijn, dus die voegen we toe in 2024.

Vertalingen van kaartlagen

Kaartlagen kunnen nu vertaald worden in meerdere talen zonder dat de broncode hoeft worden aangepast. Dit maakt het toevoegen van nieuwe kaarten een stuk makkelijker.

Andere kleine wijzigingen

De risicosamenvattingstabel is nu ook op volledig scherm te openen. De lijst wordt al snel te groot.

Er zijn kleine wijzigingen gemaakt voor betere weergave op mobiele telefoons.