Ook delen 419 overheidsdomeinen data met Google Ads.
Vanaf 9 augustus is op basisbeveiliging.nl te zien vanuit welk land de overheid online diensten verleent. We controleren of dit gebeurt vanuit de EU+GDPR regio. Deze meting is in mei aangekondigd.
In dit artikel wordt gekeken waar de overheid, gemeenten en provincies haar online dienstverlening heeft staan.
Samenvatting
- 3% van de overheidsdomeinen (1076) komt uit in de Verenigde staten.
- 10% van de mailservers (407) van de overheid staan in de Verenigde Staten.
- Overige niet EU+GDPR landen zijn nauwelijks vertegenwoordig en vaak logisch verklaarbaar.
- Overheidssites gebruiken 42.745 externe bronnen, 62% hiervan staat in de States. Hier is Google verreweg de populairste dienstverlener (analytics, maps, youtube, fonts, tagmanager)
- 419 overheidsdomeinen delen data doubleclick.net (Google Ads).
- Er zijn meer dan 300 bedrijven die domeinen van de overheid hosten.
- Er zijn meer dan 146 bedrijven die e-mail diensten leveren voor de overheid.
- Er wordt data gehaald van 1637 verschillende externe sites.
Diverse logische uitzonderingen worden in de komende maanden vastgesteld. Verreweg het merendeel van de bevindingen in dit artikel (>99%) valt niet onder deze uitzonderingen.
Wij vragen de Nederlandse overheid om alle online dienstverlening, waar het logisch is, aan te bieden vanaf servers in de EU+GDPR zone. Dit betekent dat honderden domeinen en e-mail diensten moeten worden verplaatst.
Waarom meten we dit?
Omdat we gegevens willen beschermen. Dit zijn niet alleen persoonsgegevens van burgers maar alle mogelijk denkbare gegevens van Nederland.
Als we alleen kijken naar persoonsgegevens mogen deze verwerkt worden in veel landen. Dit is geregeld in de Algemene Verordening Gegevensbescherming, de AVG ofwel GDPR. Deze wet is van toepassing op alle landen in de Europese Unie en de Economische Zone (dus ook Noorwegen, IJsland en Liechtenstein).
De wet geldt ook (nog) in het Verenigd Koninkrijk. Daarnaast heeft de Europese Commissie nog een serie landen aangewezen met vergelijkbare bescherming. Dit zijn o.a. Israël, Japan, Korea en onder voorwaarden de Verenigde Staten en Canada.
Dat iets mag wil nog niet zeggen dat het slim is. In andere landen gelden andere wetten. Overeenkomstige wetten worden misschien niet of anders gehandhaafd. Mogelijk gaan de gegevens die worden opgeslagen over een situatie die elders verboden is (een fictief voorbeeld is het opslaan van informatie over homohuwelijken in Korea). Verder hebben inlichtingendiensten toegang tot de gegevens, direct of op langere termijn. De gegevens moeten vaak letterlijk door een oceaan wat nadelig is voor de beschikbaarheid. Als grenzen worden opgezocht komt ook de geopolitiek om de hoek kijken: de situatie kan zomaar veranderen.
Het opzoeken van de grenzen waar e.e.a. mag staan is ingewikkeld en bijna jaarlijks onderhevig aan (plotselinge) juridische wijzigingen. Het is voor een leek onmogelijk om bij te houden wat wel en niet mag. Er is geen overduidelijk groot voordeel aan het plaatsen van diensten in verre landen. Mogelijk zijn dit kosten, maar gezien de grote en goedkope Amerikaanse dienstverleners nu ook diensten verlenen op servers binnen de EU valt dat argument weg.
Het opslaan van gegevens die niet onder de GDPR vallen is weer een ander hoofdstuk. Met andere gegevens bedoelen we concurrentiegevoelige gegevens, intellectueel eigendom, statistieken, vertrouwelijke stukken enzovoort. Per gegeven zijn er weer andere regels. Regels rondom versleuteling zijn dan mogelijk niet verplicht.
Een groot deel van dit wespennest kan worden voorkomen door gegevens binnen de landsgrenzen of de EU te houden. Dit is ook makkelijk te begrijpen voor personeelsleden en bedrijven die de gegevens verwerken.
Wat keuren we wel en niet goed?
We kijken of een dienst in de EU+GDPR zone valt. Deze zone bevat alle landen op het Europese continent die de GDPR of gelijkwaardige wetgeving toepast. Met deze meting zijn we dus mogelijk iets strenger dan de eisen van de wet, maar wel met een serie argumenten en overwegingen die dat verklaart.
De EU+GDPR zone zijn alle landen in de Europese Economische Zone en landen met gelijkwaardige wetgeving zoals Zwitserland, het Verenigd Koninkrijk en Andorra. Expliciet buiten de boot vallen dus 17 landen die wel (deels) op het Europese continent liggen maar andere wetten hebben, zoals Albanië, Oekraïne en Turkije. De wetgeving van de bijzondere gemeenten (Bonaire, Sint Eustatius, Saba) en de andere landen in het Koninkrijk der Nederlanden (Aruba, Curaçao, Sint-Maarten) is ons (nog) niet geheel duidelijk, dus dit keuren we nu goed.
Alles wat buiten de EU+GDPR zone valt keuren we af tenzij het volstrekt logisch is dat deze dienst er buiten valt. Denk bijvoorbeeld aan een NBSO in Brazilië of een meetproject van het KNMI in Indonesië. Dit wordt per casus bekeken en is nog niet afgerond.
Er wordt op drie plekken gekeken naar locaties: het domein, de e-mail server(s) en de adressen waarop verbinding wordt gemaakt bij het bezoeken van een website. Ieder van deze plekken wordt op de volgende manier beoordeeld:
| Meting | Binnen EU+GDPR | Buiten EU+GDPR |
| Domein | Goed: OK / Groen | Proefperiode: Laag / Groen Vanaf december: Midden / Oranje Vanaf Okt 2024: Oranje of Rood |
| E-Mail Server(s) | Goed: OK / Groen | Proefperiode: Laag / Groen Vanaf december: Midden / Oranje Vanaf Okt 2024: Oranje of Rood |
| Inhoud van website | Goed: OK / Groen | Laag / Groen |
Bij de beoordeling is er sprake van een proefperiode. In deze periode wordt gekeken naar hoe betrouwbaar deze metingen zijn. Mochten de metingen niet betrouwbaar voldoende blijken, dan worden ze niet op oranje gezet en wordt gekeken of deze in de toekomst nog worden gepubliceerd.
Hoe werken de metingen
Voor deze meting wordt een computeradres omgezet naar een fysieke locatie.
Bijvoorbeeld het domein “zutphen.nl”. Hiervan bekijken we naar welk land het internetverkeer wordt gestuurd als we de website bezoeken, als we er een e-mail naar toe sturen en met welke landen informatie wordt gedeeld bij het bezoeken van de site zelf.
Deze drie metingen zien er bijvoorbeeld zo uit:
| Meting | Voorbeeld | Locatie |
| Locatie van Domein | zutphen.nl | Nederland (Tilaa) |
| Locatie van E-mail server(s) | zutphen.nl wijst naar mail.zutphen.nl | Nederland (KPN) |
| Locatie van de inhoud van de website | zutphen.nl haal informatie op bij google-analytics.com | Noord Amerika (Google) |
Natuurlijk is dit voorbeeld wat versimpeld. In werkelijkheid zijn er meerdere e-mail servers als achtervang en heeft ieder domein twee adressen: een IPv4 en IPv6 adres. Technisch is er nog veel meer mogelijk, maar ondoorgrondelijkheid en het ontbreken van transparantie is op zichzelf al een veiligheidsrisico.
De locatiegegevens komen uit de database van Maxmind. Dit is een commercieel bedrijf dat wekelijks de database bijwerkt en geld vraagt voor deze data. Deze metingen worden aangevuld met correcties uit de RIPE database (waar Maxmind niet bij mag). Van beiden hebben we toestemming om gegevens op te vragen en te publiceren.
Uit de metingen blijkt dat de fysieke locatie van IPv4 en IPv6 adressen vaak uit elkaar ligt. Hoewel het technisch mogelijk is, is er logisch gezien geen argument om dit te doen. Het lijkt dat IPv6 geolocatie kwalitatief lager is dan IPv4. Daarom hebben we IPv6 niet meegenomen in de beoordelingen.
Hoewel beide organisaties hun best doen om correcte informatie te leveren is er geen garantie. Het internet is namelijk constant in beweging. Daarom hebben wij ook een disclaimer voor alle metingen.
Wanneer we niet weten waar een dienst staat wordt dit niet negatief beoordeeld: er is geen verplichting om transparant te zijn over de fysieke locatie van dienstverlening. Dat is echter wel wenselijk en mogelijk op lange termijn toch een reden om een negatieve beoordeling hieraan toe te kennen.
Bevindingen op domeinen
Domeinen: 1087 adressen buiten de EU+GDPR Zone
In totaal zijn er 38.364 (sub)domeinen. Hiervan staan er 36.994 in de EU+GDPR zone, 1076 in de Verenigde Staten en 283 op een onbekende locatie.
De verdeling per continent van domeinen buiten de EU+GDPR zone is de volgende. Hier is te zien dat vooral domeinen in de States problemen veroorzaken. De domeinen op andere continenten zijn nagenoeg allemaal logisch verklaarbaar en dus geen probleem.
| Locatie buiten EU+GDPR | Overheid | Gemeente | Provincie | Totaal |
| Afrika | 3 | | | 3 |
| Azië | 2 | 4 | | 6 |
| Noord Amerika (Verenigde Staten) | 566 | 460 | 50 | 1076 |
| Zuid Amerika | 2 | | | 2 |
| Totaal | 573 | 464 | 50 | 1087 |
Er is ook sprake van twee continenten binnen de EU+GDPR zone, dit vanwege de bijzondere gemeenten en de andere landen in het Koninkrijk der Nederlanden. Je ziet dat verreweg de meeste domeinen in Europa staan.
| Locatie binnen EU+GDPR | Overheid | Gemeente | Provincie | Totaal |
| Europa | 20.482 | 15.716 | 775 | 36.973 |
| Noord Amerika (Aruba, Curaçao, Sint Maarten, Bonaire, Sint Eustatius, Saba) | 21 | 21 | ||
| Totaal | 20.503 | 15.716 | 775 | 36.994 |
Domeinen: verdeling over landen
Verreweg de meeste domeinen komen uit in Nederland. Het enige land buiten de EU+GDPR zone dat hele procenten van de bezoeken ontvangt is de Verenigde Staten. De enkele sites in Zuid Afrika en dergelijke zijn logisch te verklaren en duiden niet op een probleem.
| Overheid | Gemeente | Provincie | Procent | |
| Land / Totaal | 21.297 | 16.240 | 827 | 100% |
| Nederland | 18.871 | 13.846 | 677 | 87.05% |
| Duitsland | 841 | 611 | 25 | 3.85% |
| Ierland | 357 | 802 | 33 | 3.11% |
| Verenigde Staten | 566 | 460 | 50 | 2.80% |
| België | 193 | 255 | 14 | 1.20% |
| Onbekend | 223 | 62 | 2 | 0.75% |
| Verenigd Koninkrijk | 121 | 89 | 15 | 0.59% |
| Frankrijk | 31 | 37 | 2 | 0.18% |
| Zweden | 17 | 50 | 3 | 0.18% |
| Oostenrijk | 14 | 16 | 0.08% | |
| Finland | 12 | 6 | 0.05% | |
| BES-Eilanden | 17 | 0.04% | ||
| Italie | 7 | 0.02% | ||
| Tsjechië | 6 | 0.02% | ||
| Denemarken | 6 | 0.02% | ||
| Polen | 2 | 4 | 0.02% | |
| Aruba | 4 | 0.01% | ||
| China | 1 | 2 | 0.01% | |
| Zuid Afrika | 3 | 0.01% | ||
| Brazilie | 2 | 0.01% | ||
| Zwitserland | 2 | 0.01% | ||
| Estland | 2 | 0.01% | ||
| Japan | 2 | 0.01% | ||
| Luxemburg | 2 | 0.01% | ||
| Singapore | 1 | 0.00% |
Domeinen: verdeling van leveranciers in Europa
Dit is de top 25 van de 311 verschillende organisaties die diensten van de overheid aanbieden. Dit wordt geteld per domein. Er wordt niet gekeken welke dienst op deze domeinen staat. We hebben de vele onderzoeksdomeinen van TNO eruit gelaten omdat deze de resultaten met duizenden vertekenen terwijl er weinig op lijkt te draaien.
| Bedrijf | Overheid | Gemeenten | Provincie | Totaal |
| Microsoft Azure | 1588 | 1713 | 85 | 3386 |
| KPN | 1086 | 1832 | 42 | 2960 |
| Amazon.com | 761 | 1679 | 41 | 2481 |
| Prolocation BV | 2219 | 85 | 7 | 2311 |
| Signet B.V. | 737 | 981 | 40 | 1758 |
| SURF B.V. | 1709 | 7 | 1716 | |
| Ziggo | 307 | 1156 | 32 | 1495 |
| Ziggo Business | 151 | 1069 | 4 | 1224 |
| Dienst Uitvoering Onderwijs | 1059 | 2 | 1061 | |
| Solvinity B.V. | 742 | 275 | 1 | 1018 |
| BIT BV | 674 | 298 | 14 | 986 |
| Eurofiber Nederland BV | 176 | 518 | 112 | 806 |
| Capgemini Nederland B.V. | 593 | 593 | ||
| Equinix (Netherlands) B.V. | 236 | 342 | 578 | |
| LeaseWeb Netherlands B.V. | 279 | 294 | 1 | 574 |
| baten-lastendienst Logius | 547 | 547 | ||
| True B.V. | 171 | 333 | 8 | 512 |
| T-Mobile Netherlands | 368 | 120 | 14 | 502 |
| Intermax Group B.V. | 440 | 14 | 454 | |
| OSSO B.V. | 122 | 284 | 10 | 416 |
| VANCIS Vancis Advanced ICT Services | 365 | 16 | 381 | |
| Combell NV | 122 | 247 | 9 | 378 |
| Ministerie van Economische Zaken | 361 | 361 | ||
| CloudVPS | 77 | 265 | 3 | 345 |
Bevindingen over e-mail
E-mail: 410 servers buiten de EU+GDPR Zone
In totaal zijn er 3957 adressen van mailservers gevonden. Hiervan staan er 3547 in de EU, 409 in Noord Amerika en 1 in Azië.
407 van deze adressen wijzen naar diensten in de Verenigde Staten. Dit zijn diverse dienstverleners, die in de tabel hieronder zijn opgesomd.
| Bedrijf | Overheid | Gemeenten | Provincies | Totaal |
| Google Servers | 208 | 12 | 220 | |
| Cisco Systems Ironport Division | 43 | 48 | 4 | 95 |
| SendGrid | 16 | 10 | 2 | 28 |
| Amazon.com | 15 | 12 | 27 | |
| Google Cloud | 17 | 8 | 25 | |
| Input Output Flood LLC | 4 | 4 | ||
| Interserver | 3 | 3 | ||
| Cogent Communications | 2 | 2 | ||
| Proofpoint, Inc. | 2 | 2 | ||
| Rackspace Hosting | 1 | 1 |
E-mail: Verdeling servers in EU+GDPR landen
De 3547 servers in Europa zijn verdeeld over allerlei landen en dienstverleners.
| Europees Land | Overheid | Gemeenten | Provincies | Totaal |
| Nederland | 1922 | 990 | 27 | 2939 |
| Ierland | 167 | 134 | 4 | 305 |
| Duitsland | 55 | 42 | 5 | 102 |
| Oostenrijk | 59 | 34 | 3 | 96 |
| Verenigd Koninkrijk | 17 | 18 | 1 | 36 |
| België | 33 | 1 | 34 | |
| Frankrijk | 21 | 3 | 24 | |
| Finland | 2 | 4 | 6 | |
| Tsjechië | 3 | 3 | ||
| Polen | 2 | 2 |
E-mail: Aantal mailservers per dienstverlener
Er zijn 146 dienstverleners gevonden. Dit is de top 20, hierdoor zijn 843 servers op allerlei domeinen niet zichtbaar. Sommige bedrijven zoals Amazon bieden servers in zowel de EU als de US. In het geval van Amazon zagen we al dat er 27 servers buiten de EU staan, de rest van de 105 staan dus wel goed. Domeinen van KNAW zijn achterwege gelaten ivm een wildcard waarop een mailserver staat.
| Bedrijfsnaam | Overheid | Gemeenten | Provincies | Totaal |
| Microsoft Azure | 387 | 272 | 9 | 668 |
| E-Zorg B.V. | 70 | 259 | 329 | |
| Ministerie van Economische Zaken | 272 | 272 | ||
| CLDIN B.V. | 114 | 113 | 6 | 233 |
| Google Servers | 208 | 12 | 220 | |
| SSC-ICT Haaglanden | 189 | 189 | ||
| SURF B.V. | 178 | 178 | ||
| Signet B.V. | 86 | 54 | 1 | 141 |
| Solvinity B.V. | 120 | 4 | 124 | |
| Flowmailer B.V. | 35 | 85 | 120 | |
| KPN | 56 | 50 | 106 | |
| Amazon.com | 42 | 62 | 1 | 105 |
| Cisco Systems Ironport Division | 43 | 50 | 4 | 97 |
| Ziggo Business | 18 | 43 | 61 | |
| Cogent Communications | 46 | 8 | 54 | |
| Ziggo | 10 | 40 | 50 | |
| BIT BV | 25 | 21 | 46 | |
| T-Mobile Netherlands | 32 | 10 | 42 | |
| Ministerie van Verkeer en Waterstaat/Rijkswatersta | 40 | 40 | ||
| Dienst Uitvoering Onderwijs | 39 | 39 |
Bevindingen over Websites
Bronnen buiten de EU+GDPR zone
Tenslotte is er ook gekeken uit welke landen informatie op een website komt. Het gaat dus niet over het domein, maar het bezoek van een site. Bij het bezoeken worden plaatjes, scripts, lettertypen en dergelijke soms van een andere locatie opgehaald. Dit zien we 23.468 keer gebeuren.
Wat opvalt is dat er ongelofelijk veel verbindingen naar Amerikaanse dienstverleners worden gelegd. Bijna exclusief naar Google en een beetje Microsoft. Dit bevat ook 419 keer doubleclick.net. Dit is een onderdeel van Google Ads, wat aangeeft dat Analytics niet goed is ingericht. De meeste Microsoft vermeldingen hebben te maken met Office 365.
Hier is de top 20 meest gebruikte externe bronnen naar buiten de EU+GDPR zone, deze zitten allemaal in de Verenigde Staten:
| Domein | Overheid | Gemeenten | Provincie | Totaal |
| fonts.googleapis.com | 1496 | 1385 | 82 | 2963 |
| fonts.gstatic.com | 1474 | 1204 | 72 | 2750 |
| www.googletagmanager.com | 1375 | 857 | 106 | 2338 |
| region1.google-analytics.com | 1082 | 666 | 63 | 1811 |
| www.google-analytics.com | 1038 | 676 | 60 | 1774 |
| siteimproveanalytics.com | 164 | 883 | 43 | 1090 |
| aadcdn.msauth.net | 286 | 373 | 18 | 677 |
| www.google.com | 487 | 157 | 21 | 665 |
| www.gstatic.com | 429 | 216 | 18 | 663 |
| aadcdn.msftauth.net | 234 | 331 | 14 | 579 |
| aadcdn.msauthimages.net | 219 | 232 | 12 | 463 |
| ajax.googleapis.com | 271 | 185 | 5 | 461 |
| stats.g.doubleclick.net | 305 | 97 | 17 | 419 |
| maps.googleapis.com | 138 | 258 | 5 | 401 |
| aadcdn.msftauthimages.net | 159 | 191 | 14 | 364 |
| www.youtube.com | 246 | 93 | 8 | 347 |
| cuatro.sim-cdn.nl | 51 | 230 | 3 | 284 |
| code.jquery.com | 143 | 122 | 9 | 274 |
| www.google.nl | 149 | 57 | 10 | 216 |
| portal.azure.com | 50 | 142 | 3 | 195 |
Bronnen binnen de EU+GDPR zone
Wat staat er dan eigenlijk wel in de EU regio? We tellen daar nu 14.095 verwijzingen, een stuk minder dan naar de States. Enkel West-Europese landen, namelijk enkel Nederland, Duitsland en Ierland. De andere landen zijn amper vertegenwoordigd met 264 verwijzingen in totaal.
| Domein | Land | Overheid | Gemeenten | Provincie | Totaal |
| statistiek.rijksoverheid.nl | NL | 1686 | 1686 | ||
| login.live.com | IE | 519 | 701 | 32 | 1252 |
| *.global.siteimproveanalytics.io | DE | 164 | 928 | 45 | 1137 |
| autologon.microsoftazuread-sso.com | NL | 226 | 433 | 11 | 670 |
| login.microsoftonline.com | IE | 195 | 366 | 15 | 576 |
| cdn-eu.readspeaker.com | DE | 89 | 394 | 15 | 498 |
| cdn1.readspeaker.com | DE | 83 | 353 | 436 | |
| logging.simanalytics.nl | IE | 54 | 231 | 3 | 288 |
| fonts.bunny.net | DE | 45 | 188 | 3 | 236 |
| use.typekit.net | DE | 130 | 97 | 5 | 232 |
| dc.services.visualstudio.com | NL | 75 | 141 | 4 | 220 |
| p.typekit.net | DE | 125 | 84 | 5 | 214 |
| eu-mobile.events.data.microsoft.com | IE | 74 | 117 | 1 | 192 |
| storageportalwe.blob.core.windows.net | NL | 22 | 147 | 3 | 172 |
| f1-eu.readspeaker.com | DE | 70 | 92 | 8 | 170 |
| websurveys2.govmetric.com | IE | 22 | 126 | 148 | |
| www.simanalytics.nl | IE | 24 | 112 | 136 | |
| consent.cookiebot.com | DE | 92 | 27 | 13 | 132 |
| consentcdn.cookiebot.com | DE | 92 | 27 | 13 | 132 |
| hitcounter.govmetric.com | IE | 22 | 93 | 115 |