Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.
0: Samenvatting
Uw organisatie heeft op 9 of 10 februari een e-mail ontvangen over het transparant worden van de online veiligheid van de overheid. Deze e-mail is afkomstig van de Internet Cleanup Foundation en is verstuurd naar alle regionale overheden en CERT / CISRT organisaties van alle Europese lidstaten.
Vanaf 10 mei wordt de online beveiliging van uw organisatie openbaar op de website SecurityBaseline.eu. Vanaf 10 februari tot en met 10 mei is deze website beschikbaar via de directe link in de ontvangen e-mail. Via die weg zijn de meetresultaten in te zien zodat er nog eventueel verbeteringen uitgevoerd kunnen worden voor publicatie. Wij meten uw online veiligheid dagelijks tot wekelijks zodat verbeteringen ook zichtbaar worden. Wij blijven meten, ook na publicatie.
De gemeten diensten en gepubliceerde informatie zijn zorgvuldig afgewogen en voegen geen nieuwe risico’s toe aan uw online omgevingen. Onze aanpak maakt uw omgevingen transparanter waardoor ze beter beheersbaar worden en daardoor beter zijn te beveiligen. Dit doen wij op eigen initiatief, vanuit een stichting zonder winstoogmerk, in onze vrije tijd. Wij zijn als Europese burger intrinsiek gemotiveerd om een aandeel te leveren in het maken van een veilig, soeverein en privacyvriendelijk online Europa en hebben ruime ervaring met deze manier van werken.
Het initiatief om Europa te meten is een herhaling van onze aanpak om de online beveiliging van belangrijke organisaties in Nederland te meten. Hiermee zijn we in 2016 begonnen. Dit is zo succesvol en praktisch dat onze website en activiteiten zijn opgenomen in beleidsstukken van het Nederlandse Ministerie van Veiligheid en Justitie en het Nederlandse Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
Door de toenemende digitalisering van overheden en de onlangs toegenomen druk op soevereiniteit van online overheden hebben wij besloten om alle overheden in Europa te gaan meten. Wij meten overheden als eerste sector per land omdat zij in staat zijn richtlijnen en wetten op te stellen voor zichzelf en voor anderen.
Uitgebreide achtergrondinformatie over ons en dit initiatief staat op deze pagina. De Internet Cleanup Foundation wenst iedereen een veilig online Europa toe.
Elger Jonker, Johan Bloemberg, Wouter Goyen
Inhoudsopgave
- Wat gaat er gebeuren
- Casus: Nederland gemeten sinds 2016
- Tijdslijn van inzage, publicatie en scope
- Beleid van de Internet Cleanup Foundation
- Bereikbaarheid
- Hoe zijn de kaarten en aankondigingen tot stand gekomen
- Financieel overzicht
1: Wat gaat er gebeuren
Vanaf 10 mei wordt de online basisveiligheid van uw organisatie gepubliceerd op https://securitybaseline.eu. De gepubliceerde informatie kan kwetsbaarheden bevatten in uw online infrastructuur maar verhoogt het bestaande risico niet. Tot aan de publicatie kunt u uw kwetsbaarheden inzien via de links die u heeft ontvangen in die e-mail.
Tussen 10 februari en 10 mei zitten drie maanden de tijd. Deze drie maanden noemen wij de periode van aanloop. Deze periode sluit aan op het tijdspad dat gebruikelijk is binnen de “Coordinated Vulnerability Disclosure” richtlijnen van meerdere Europese lidstaten. In principe is alles wat wij meten en publiceren al openbare informatie. Wij gebruiken deze periode dus niet om te voldoen aan het proces van Coordinated Vulnerability Disclosure, maar om gebruik te maken van de bestaande routes en processen binnen de Europese lidstaten die zijn aangelegd om informatieveiligheid te versterken.
Op onze website ziet u kaarten van verschillende lagen van uw overheid. Op deze kaarten wordt de veiligheid aangeduid met de kleur van een stoplicht: rood, oranje en groen. Groen betekent dat alles op orde is en rood betekent dat er één of meerdere kwetsbaarheden aanwezig zijn. Bij oranje is wel actie nodig is maar minder snel dan bij rood. In de voorbeeldcasus van Nederland, verderop op deze pagina, is te zien hoe Nederland ervoor staat. Deze kaart staat namelijk al openbaar, omdat dit sinds al vele jaren openbare informatie is.
Wij zijn ervan bewust dat onze aanpak misschien vragen oproept of niet meteen als prettig of waardevol wordt ervaren. Wij zijn ons ook bewust dat de cultuur tussen verschillende Europese landen sterk wisselt. Ons doel is om een weerbaarder online Europa te maken. Transparantie is daarvoor een passend middel. Wij gaan ervan uit dat de overheid Europese burgers goed wil beschermen. Dit moet zich vertalen in een hoge kwaliteit online dienstverlening. Juist dit is onafhankelijk meetbaar en verifieerbaar: dat is wat wij bieden.
2: Casus: Nederland gemeten sinds 2016
Wij zijn in 2016 begonnen met het meten van de belangrijkste websites van Nederlandse gemeenten. Dit is in de loop der jaren uitgebreid naar alle websites van alle Nederlandse overheden. Ook voeren wij dezelfde metingen uit op alle Nederlandse onderwijsinstellingen, de zorg en vitale infrastructuur. Deze gegevens zijn openbaar voor iedereen. Het gaat om ongeveer 330.000 adressen van 10.000 organisaties gemeten in 25 conclusies. Deze informatie is door iedereen in te zien.
In Nederland heeft ons initiatief geleid tot honderdduizenden verbeteringen op het gebied van informatiebeveiliging. Door het gebruik van toonaangevende metingen, van onder andere internet.nl en onze eigen privacymetingen, helpen wij het land waar we wonen al jaren veilig te worden en te blijven.
Dit succes is ook de reden dat Nederland als enige land al openbaar zichtbaar is op SecurityBaseline.eu: bijna alle organisaties scoren namelijk al groen, waar in dezelfde scope en metingen bijna alle andere Europese overheidsorganisaties nog onvoldoende veilig scoren. Nederland loopt dus al heel wat jaren voor op de rest van Europa. Dat komt niet alleen door ons, maar ook door het adopteren en sturen op standaarden door de overheid en het hebben van wetgeving voor bijvoorbeeld versleuteling.
De Nederlandse overheid heeft een open cultuur. Deze cultuur is ook in wetgeving vastgelegd door de “Wet Open Overheid“: iedere burger heeft daardoor recht op tot publieke informatie zonder aan voorwaarden te hoeven voldoen. De Nederlandse overheid wil dus transparant zijn en is daardoor ook benaderbaar. De overheid durft aan te geven waar verbeteringen nodig zijn, dit is waarom ons initiatief om de Nederlandse overheid te meten ook goed is ontvangen.
Onze website en activiteiten staan in beleidsstukken van het Nederlandse Ministerie van Veiligheid en Justitie en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
In Nederland voeren we ook allerlei onderzoeken uit. Wij hebben bijvoorbeeld de volgende ontdekkingen gedaan, de artikelen zijn in het Nederlands:
- Nederlandse overheid mist vele duizenden sites in haar overzichten (2025)
- De overheid vraagt op 100 verschillende manieren toestemming om bezoekers te volgen (2024)
- 4% van overheidssites plaatsen ongevraagd volgkoekjes om bezoekers te volgen (2023)
- 33% van de overheidssites voldoet niet aan de wet om juiste versleuteling op websites toe te passen (2023)
- 7% van mail naar de Nederlandse overheid loopt via niet Europese partijen (2024)
Op de onderstaande schermafbeeldingen is een tussentijdse versie te zien van de kaarten van Nederlandse provincies en gemeenten. Deze is gehaald van SecurityBaseline.eu en is al openbaar te bekijken omdat nagenoeg alles op orde is.
De onderstaande schermafbeelding is genomen van onze Nederlandse site: basisbeveiliging.nl. Hierop zijn drie lagen van de overheid te zien. Wat opvalt is dat de kleur op de kaarten overwegend rood is. Dat komt doordat we in Nederland niet alleen de belangrijkste site meten van een organisatie maar ook alle sites voor bijvoorbeeld projecten (nieuwe wijken, nieuwe snelwegen, campagnes en dergelijke). Er is te zien dat bij gemeenten 62% van de 26.655 gemeten adressen van gemeentes goed scoort.
3: Tijdlijn van inzage, publicatie, scope
De tijdlijn van publicatie is als volgt:
- 10 februari 2026: E-mail met korte vooraankondiging en link naar deze tekst
- 10 februari 2026: Start periode van inzage in metingen en verbeteringen
- Inzageperiode 10 feb – 10 mei:
- Compleet maken gemeten overheden
- Aanscherpen TLS metingen vanuit internet.nl volgens richtlijnen NCSC-NL 2025 11
- Mogelijke toevoeging nieuwe meting en visualisatie over digitale soevereiniteit
- Enkel hoofddomeinen en subdomeinen overheden, geen domeinen voor projecten
- Wijzigingsverzoeken kunnen worden ingediend, alleen het officiële domein wordt geaccepteerd of vervangen. Andere verzoeken voor extra domeinen worden bewaard tot na deze periode
- 10 mei 2026: Publicatie bevindingen met onderzoeksartikel waarin landen met elkaar vergeleken worden
- Periode na 10 mei 2026:
- Toevoegen van meer overheden en sites, mogelijk ook projectdomeinen
- Wijzigingsverzoeken voor nieuwe domeinen worden geaccepteerd
In de scope tabel hieronder staan al onze websites en welke informatie erop te vinden is. Hier is te zien dat het aantal organisaties van SecurityBaseline met ruim 75.000 groot is. Het aantal aanverwante domeinen is met 120.000 nog laag: dit zal nog groeien tot een gemiddelde van 10 subdomeinen per domein.
| Website | Organisaties | Omvang internetadressen | Metingen |
|---|---|---|---|
| SecurityBaseline.eu (de nieuwe website) | Alle regionale Europese overheden + CSIRT organisaties (76.575) | Belangrijkste domein + subdomeinen (120.257) | Alle 25 meetpunten: beveiliging, privacy en soevereiniteit |
| Basisbeveiliging.nl | De hele Nederlandse overheid, vitaal, onderwijs, zorg, politiek, cybersecurity (11.843) | Alle domeinen voor zover we deze kunnen vinden (361.688) | Alle 25 meetpunten: beveiliging, privacy en soevereiniteit |
| Basisbeveiliging.be (is niet meer nodig na 10 mei) | Regionale overheden van België (640) | Belangrijkste domein + subdomeinen (5.789) | FTP, DMARC, DKIM, SPF, DNSSEC |
| Basistoegankelijk.nl | De hele Nederlandse overheid, vitaal, onderwijs, zorg, politiek, cybersecurity (11.843) | Alle domeinen voor zover we deze kunnen vinden (361.688) | 94 meetpunten over toegankelijkheid van websites |
4: Beleid van de Internet Cleanup Foundation
SecurityBaseline publiceert veiligheidsmetingen op een weloverwogen manier. Onze overwegingen zijn gebundeld in onze code of conduct. Wij meten dagelijks tot wekelijks.
SecurityBaseline werkt volgens het volgende proces:
Welke domeinen van organisaties precies worden gemeten staat in het domeinenbeleid. Alle metingen die op deze domeinen worden uitgevoerd zijn gebundeld in het meetbeleid. Omdat het onmogelijk is om alle beslissingen in IT-infrastructuur op dezelfde manier te behandelen kunnen organisaties uitzonderingen verklaren. Dit heet “pas toe of leg uit” of “comply or explain”. Een groot deel van deze verklaringen wordt automatisch toegevoegd door geautomatiseerde uitzonderingen op het meetbeleid. Een goede verklaring voldoet aan een aantal eisen.
Wat precies wel en niet gepubliceerd wordt staat omschreven in het publicatiebeleid. De scans die worden uitgevoerd wijzen zo duidelijk mogelijk terug naar SecurityBaseline, waar mogelijk direct naar de scaninfo pagina (English only). Alle metingen en publicaties vallen onder deze disclaimer (English only).
5: Bereikbaarheid
De Internet Cleanup Foundation is te bereiken via twee wegen:
1: Email naar info@internetcleanup.foundation. Wij zullen mails in vreemde talen omzetten naar het Nederlands of Engels. Het kan zijn dat er hierdoor nuance verloren gaat. Alle mail wordt gelezen, maar het kan soms meerdere weken duren voordat we tijd vinden om te reageren.
2: Discord: Bezoek ons discord kanaal op https://discord.gg/FzadeDrptx vraag naar Elger, Johan of Wouter. Daar is ook een kanaal voor ondersteuning te vinden waar diverse onderwerpen worden behandeld.
6: Hoe zijn de kaarten en aankondigingen tot stand gekomen
De kaarten zijn gebaseerd op de openbare gegevens van Open Street Map (gebieden en namen van overheden), in combinatie met openbare gegevens van Wikidata (adressen van websites). Voor de CSIRT laag is er handmatig een lijst verzameld van organisaties en locaties. In totaal zijn er 90 kaarten samengesteld. Alle Europese landen die het verdrag van de Europese Economische Ruimte hebben getekend worden gemeten samen met Zwitserland. Wij nemen Zwitserland mee omdat dit een van de weinige landen is die al hun internetdomeinen via open data beschikbaar stelt, wat vooruitstrevend is.
Wij hebben met opzet de belangrijkste overheidswebsite onderdeel gemaakt van het CSIRT. Dit is natuurlijk niet hoe de verantwoordelijkheid formeel is belegd. We zien dit meer als een sociale verantwoordelijkheid. We hopen dat via deze weg de belangrijkste website van de overheid beter wordt beveiligd mocht dat nodig zijn.
Vanwege de 24 talen die in Europa worden gesproken zijn de belangrijkste pagina’s van deze website en van SecurityBaseline.eu vertaald in al deze talen. De vertaling is uitgevoerd door DeepL, tenzij de taal niet beschikbaar was (bijvoorbeeld Maltees en IJslands). Het vertalen van websites op deze schaal blijkt prijzig. We zijn er trots op dat het merendeel van alle tekst op de site beschikbaar is in de meeste Europese talen, waaronder Iers en Grieks, al zitten er soms foutjes in de vertalingen.
De vooraankondiging naar overheden en CSIRT organisaties is gedaan via e-mails in de officiële talen van de lidstaat. Deze vooraankondiging is gestuurd naar alle e-mail adressen van de lokale overheden en CSIRT organisaties voor zover deze vindbaar waren. Een deel hiervan komt uit Wikidata, een deel hiervan is automatisch verzameld en gefilterd met zelfgeschreven software. In totaal zijn er tienduizenden e-mails verstuurd. E-mails worden eenmalig verstuurd om overlast te voorkomen. Wij verwachten dat overheden met elkaar praten, en dat de lijnen tussen de CSIRT en de lokale overheden goed lopen. Mochten we dus een organisatie zijn vergeten of niet kunnen bereiken, dan dient dit bestaande sociale netwerk als achtervang.
Met 90 nieuwe kaarten en vele duizenden overheden is de kans groot dat we er weleens naast zitten. Onze excuses voor het ongemak. Wij nemen de periode van inzage de tijd om de kaarten en informatie op de sites verder op orde te krijgen.
7: Hoe zit dit financieel in elkaar?
Wij zijn de Internet Cleanup Foundation uit Nederland. Wij zijn een klein team van drie mensen die met veel kennis en een klein budget de wereld beter proberen te verbeteren. Contactinformatie en gegevens van onze stichting zijn te vinden op de pagina “Over Ons“.
Dit project wordt uitgevoerd op eigen initiatief, met eigen middelen en in de eigen tijd. Er is geen betaling of bedrag nodig om gebruik te maken van onze bevindingen of rapportages. Er zijn ook geen betaalmuren voor het bekijken van informatie of het hergebruik hiervan door anderen. Al onze bevindingen zijn beschikbaar als open data.
Dit initiatief doen we dus vanuit onszelf. Maar onze dagelijkse activiteiten worden financieel ondersteund door onder andere het SIDN Fonds, het Centrum voor Informatiebeveiliging en Privacybescherming, de Rijksinspectie voor Digitale Infrastructuur, de Nederlandse overheid en meer dan 30 deelnemende organisaties van onze stichting. Wij krijgen technische middelen gesponsord vanuit CoBytes, Procolix, SURF, Sentry, Hack42 en GitLab.
Overige inkomsten halen wij uit:
- Onderzoeksopdrachten,
- Ontwikkelen van nieuwe metingen en platformen,
- Deelnemersbijdragen van deelnemers aan onze stichting,
- Op verzoek uitvoeren van metingen van sectoren.
Het is mogelijk om ons te sponsoren of te ondersteunen vanuit een overheid, zolang onze onafhankelijke positie gewaarborgd blijft. Neem hiervoor contact op met elger@internetcleanup.foundation. Voor alle overige vragen: gebruik de adressen in het hoofdstuk Bereikbaarheid.
Het is mogelijk om deelnemer te worden van onze stichting. Wij hebben deze optie op SecurityBaseline.eu met opzet nog niet beschikbaar gemaakt omdat dit mogelijk gezien wordt alsof wij een commerciële onderneming zijn. Dit zal later beschikbaar worden met voldoende duiding. Neem voor vroegtijdig deelnemerschap contact op met elger@internetcleanup.foundation.
8: Meer over ons
Contactinformatie en gegevens van onze stichting zijn te vinden op de pagina “Over Ons“.