onderwijs

Nieuwe kaarten: MBO en Voortgezet Onderwijs – Eerste veilige onderwijsinstelling op de kaart!

Vanaf 10 april toont basisbeveiliging.nl ook de basisveiligheid van het Middelbaar Beroepsonderwijs (MBO) en het Voortgezet onderwijs (VO). Er worden meer dan 6000 domeinen van 700 instellingen gemeten. De eerste onderwijsinstelling die overal goed op scoort is het Jordan Montessori Lyceum Utrecht. Gefeliciteerd 🎉

Vergeleken met Universiteiten en HBO’s scoren MBO’s en VO’s over het algemeen slechter. Door het vaak kleine online oppervlak van VO’s ligt hier wel een kans om relatief makkelijk en snel op groen komen te staan. Dit is precies wat het Jordan Montessori Lyceum heeft gedaan.

Het VO kunnen we op een nieuwe manier vergelijken: op denominatie. Dit kan verschillen blootleggen tussen onderwijs dat wordt gegeven vanuit een levensbeschouwing / godsdienst en openbaar onderwijs. Er zit een verschil maar dat is klein. Netto past iedereen voldoende tot goede versleuteling toe op websites en e-mail.

Bij MBO’s zien we een paar organisaties die verbeteringen hebben toegepast, maar helaas zijn er tegelijkertijd ook een aantal organisaties verslechterd. De meeste zijn ongeveer gelijk gebleven.

Tot slot zien we dat de gebruikte openbare gegevensset van DUO te wensen overlaat qua naamgeving van de instelling. Deze zijn soms ondoorgrondelijk. Omdat de instellingen deze informatie enkel zelf mogen bijwerken loopt deze informatie hopeloos achter op de werkelijkheid. Een alternatieve databron is gevonden maar mocht niet worden gebruikt. Domeinen zullen we dus van DUO halen, maar de namen zijn onbruikbaar.

Resultaten vergeleken met andere lagen

Geen enkele HBO of Universiteit scoort voldoende. Ook geen enkele MBO. Pas bij het voortgezet onderwijs komt de eerste echte groene organisatie in beeld. Dit is het Jordan Montessori Lyceum die met 8 adressen toch wel meer online aanbiedt dan een gemiddelde VO-instelling. Zelfs meer dan een aantal MBO’s.

Bij het vergelijken van de scores van de huidige vier onderwijslagen op basisbeveiliging zien we dat de goede punten vooral gaan naar Universiteiten en de slechte punten naar het Voortgezet Onderwijs. Maar de verdeling van de goede punten laat geen overduidelijke voorloper zien. Het VO heeft ook een kans om goed te scoren omdat het gaat over veel leveranciers en een klein online oppervlak per instelling. In de tabel hieronder zie je de verschillen per meting.

Tabel vergelijking basisveiligheid vier onderwijssectoren. De meting “eigenaar van het internetadres” vereist nog handwerk. De meting “NCSC+DANE” voor e-mail wordt nog niet opgesomd.

Vergeleken met andere doelgroepen zoals gemeenten scoren zowel MBO als het VO slechts op 3 van de 23 meetpunten beter. Eigenlijk zijn dit er twee omdat we nog met de hand een controle moeten uitvoeren op de domeinhouder. Men scoort enkel beter op de fysieke locatie van de server en RPKI.

Bijzonder en openbaar voortgezet onderwijs vergeleken

28% van de VO instellingen scoort Oranje. Dat is een stuk meer dan de 14% van de MBO’s. De kaart van VO-instellingen is ook erg leuk om te zien omdat de spreiding van de instellingen zo groot is. Wat dan meteen opvalt is dat deze kaart gaten heeft. Dit komt omdat we alleen de hoofdvestigingen en samenwerkingsverbanden van de instellingen hebben ingeladen. Er missen 233 nevenvestigingen. Deze volgen zo snel mogelijk.

De gebruikte dataset van DUO heeft het veld denominatie. Dit geeft aan of de onderwijsinstelling openbaar is, of dat hier les wordt gegeven vanuit een bepaalde levensbeschouwing of godsdienst. Dit is leuk omdat we nu kunnen checken of dit invloed heeft op online veiligheid. Dit hebben we gedaan met drie verschillende metingen uit verschillende bronnen.

De eerste is kwaliteit van versleuteling van de website volgens Qualys SSL Labs. Zij beoordelen volgens het Amerikaanse schoolsysteem (A tot F, van goed tot slecht). We zien dat het bijzonder onderwijs met meer B metingen iets achter loopt op openbaar. Het best scoren de kleinste groepen: die uit de denominatie “overige” en een aantal samenwerkingen. We zien dat nagenoeg iedereen redelijk tot uitmuntende versleuteling toepast op haar sites.

Denominatie / Beoordeling	A+	A	B
Bijzonder	21% (629)	48% (1454)	31% (930)
Openbaar	22% (226)	56% (568)	21% (218)
Onbekend	27% (98)	60% (219)	13% (48)
Algemeen bijzonder	40% (75)	39% (73)	20% (38)
Overige	44% (38)	48% (41)	8% (7)

Kwaliteit van versleuteling in het Voortgezet Onderwijs. Het aantal F en C beoordelingen zijn verwaarloosbaar en uit de tabel gelaten. Ook metingen waar “scan error” terug kwam hebben we buiten de meting gelaten.

De tweede steekproef is het plaatsen van ongevraagde volgkoekjes. Deze worden gebruikt om bezoekers van de site te volgen om daarna advertenties aan te bieden. 77% van de MBO instellingen doet dit en “slechts” 28% van de VO instellingen.

In totaal vinden we daar 11917 cookies, 890 hiervan zijn volgcookies. Bij de spreiding van cookies zien we ongeveer hetzelfde patroon ontstaan als bij versleuteling. Maar in dit geval lopen bijzonder en openbaar onderwijs gelijk: 8% van de geplaatste cookies zijn volgcookies.

	Onbekend	Functioneel	Marketing	Statistiek
Bijzonder	58% (4419)	6% (469)	8% (620)	27% (2074)
Openbaar	60% (1697)	6% (179)	8% (215)	26% (723)
Algemeen bijzonder	78% (505)	9% (56)	5% (34)	8% (49)
Onbekend	43% (242)	7% (38)	1% (8)	49% (277)
Overig Samen	79% (245)	6% (18)	4% (13)	12% (36)

Verdeling soorten cookies op websites in het voorgezet onderwijs.

Het aantal onbekende cookies is vrij hoog, dat komt waarschijnlijk omdat in het onderwijs andere software wordt gebruikt dan bij de overheid, hiervan zijn de cookies nog niet geclassificeerd. We hebben op basis van de statistieken van cookiedatabase wel zekerheid dat wereldwijd de populairste cookies in beeld zijn. Dit verdient misschien nog nader onderzoek.

De derde en laatste vergelijking doen we op basis van versleuteling in e-mail. Deze meting is afkomstig van internet.nl. Nagenoeg alle domeinen worden versleuteld, er zijn er maar 4 waar geen versleuteling wordt toegepast. 97% van de domeinen voldoen niet aan de eisen waar de overheid aan moet voldoen, dat komt in alle gevallen door het ontbreken van DANE. Het bijzonder onderwijs doet het net iets beter maar dit gaat over hele kleine aantallen.

	Geslaagd	Gezakt
Bijzonder	4% (18)	96% (417)
Openbaar	1% (2)	99% (169)
Onbekend	4% (3)	96% (82)
Algemeen bijzonder	0% (0)	100% (11)
Overige Samen	0% (0)	100% (9)

Verdeling e-mail dat voldoet aan overheidseisen: STARTTLS en DANE. Nagenoeg alle gezakte domeinen zakken door een gebrek aan DANE.

MBO’s gaan vooruit en achteruit maar staan vooral stil

De best scorende VO-instelling heeft werk verricht om een goede score te halen. Dit is te zien in de meethistorie van het Jordan Montessori. Het is lastig om dit soort vooruitgang te duiden bij kleine organisaties omdat dienstverlening kan wisselen, metingen niet altijd goed gaan ivm rate limitis/firewalls en dergelijke.

Bij MBO’s is dat eenvoudiger omdat het online oppervlak groter is. Daar zien we ook wel verschillen in de afgelopen maanden. Zo zien we de hoeveelheid hoge risico’s bij de volgende instellingen zakken.

Deltion

Grafisch lyceum

Achteruitgang zien we ook

Bij Firda verliepen een aantal certificaten tijdens het meten

Noordpoort Groningen, waar een aantal certificaten zijn verlopen

Bij ROC Rivor worden volgcookies gemeten op het laatste moment

Werken met vervuilde data van DUO

Gegevens over het onderwijs worden als open data gepubliceerd gepubliceerd door de Dienst Uitvoering Onderwijs (DUO). Deze informatie wordt door de instellingen zelf bijgehouden en is in slechte staat. Wij bieden bij dezen alvast onze excuses aan dat de gegevens op basisbeveiliging.nl achterhaald kunnen zijn.

Een belangrijk probleem in de data van DUO is dat de naam van de instelling in 100% van de gevallen onjuist is. De naam is nu namelijk een samenraapsel en verhaspeling van allerlei informatie die slaat op de instelling. Vaak genoeg komt de echte naam niet eens voor in de registratie.

Bijvoorbeeld: “W v Oranje Coll Chr SGM v Ath Havo Mavo Vbo Lwoo”. Hierin zit een afgekorte naam, een geloofsovertuiging/denominatie, een samenwerkingsverband en diverse onderwijsstructuren. Er zit dus van alles in, behalve de door mensen gebruikte naam van de instelling. Hier hoort te staan “Willen van Oranje College”.

Namen bevatten ook vaak een plaatsnaam en rechtsvorm en al deze zaken worden op alle mogelijke manieren afgekort en samengevoegd. Daardoor verouderd deze informatie extreem snel en is dit veld waardeloos.

Naast namen zien we ook dat domeinen vaak achterhaald zijn. Ook zijn er instellingen te vinden die alleen basisonderwijs geven maar nog wel bij voortgezet onderwijs staan.

Er is een goede databron, maar deze mogen we niet gebruiken. Deze bron is scholenopdekaart.nl van Vensters. Dit is een samenwerking van Kennisnet, PO-raad en de VO-raad (publieke instellingen). We hebben een uitzondering aangevraagd op het gebruik van deze informatie maar niet gekregen. Basisbeveiliging wordt beperkt door het punt “geen afgeleide werken”.

Basisbeveiliging mag de data van DUO niet bijwerken, dat mogen alleen de instellingen. Omdat het verschil in kwaliteit tussen DUO en Vensters zo groot is lijkt het dat Vensters deze data niet mag of kan bijwerken bij DUO. Dus er zijn nu twee officiële bronnen. Met de wijzigingen die basisbeveiliging krijgt via pizza sessies en via de mail zijn er nu dus drie databronnen. We proberen wel de informatie van DUO (op basis van BRIN) bij te houden, behalve de naam dan.

Tot slot

Alle gemeten gegevens en rapporten zijn in te zien op de site basisbeveiliging.nl. Deze informatie wordt automatisch bijgewerkt.

Nieuwe kaarten: Hoger Onderwijs. Universiteiten lossen 23% van de hoge risico’s op in de aanloopperiode.

Vanaf 6 maart is de online basisveiligheid van het hoger onderwijs te zien op basisbeveiliging.nl. Voor universiteiten en het hoger beroepsonderwijs is een afzonderlijke kaart gemaakt en zijn aparte statistieken beschikbaar.

Het hoger onderwijs heeft de gebruikelijke twee maanden gehad om e.e.a. nog voor publicatie te op te ruimen. Hier is goed gebruik van gemaakt. We hebben een boel mails ontvangen met vragen, suggesties en bijzonderheden.

Universiteiten werken hard aan veiligheid

In de aanloopperiode van begin januari tot 6 maart is door universiteiten ten minste 23% van de hoge risico’s opgeruimd. Zelfs met de introductie van de nieuwe versleutelde e-mail meting ging men dus vooruit.

Voor universiteiten is ook een nieuwe functionaliteit toegevoegd: het uitsluiten van een sub-subdomeinen. Dit is nodig voor studentensites die draaien onder bijvoorbeeld het “student” subdomein. In dit geval is de universiteit wel de hoster, maar niet de eigenaar: studenten mogen zelf bepalen op welke manier ze iets online zetten.

Er is helaas nog geen universiteit die op oranje of groen staat. Ook de universiteiten met een klein online oppervlak zoals de drie theologische of die voor humanistiek hebben nog hoge risico’s.

In totaal worden er net iets meer dan 8000 adressen gemeten. Dit bestaat uit de hoofdsite en alle subdomeinen. Projectdomeinen zijn niet meegenomen omdat hiervoor geen publiek register bekend is.

Bij de vooraankondiging zijn de hogescholen en universiteiten op 1 kaart gezet. Vanaf de 19e zijn deze uit elkaar gehaald naar verschillende kaarten. Hieronder staan de cijfers de 19e tot het moment van publicatie op 6 maart.

Risico	Begin aanloop 19 januari	Publicatie 6 maart	Verschil
Hoog	3.683	2.842	-23% (841)
Midden	6.842	5.808	-15% (1.034)
Laag	25.029	23.122	-8% (1.907)
Goed	52.125	49.701	-5% (2.424)

Verandering in risico’s bij universiteiten tijdens de aanloopperiode

Drie universiteiten laten grote veranderingen zien over tijd. Hieronder zie je de periode van 1 januari tot begin maart. Er zijn meer instellingen met een daling in hoge risico’s, maar daar is het niet zo duidelijk te zien.

Zakkende hoge risico’s van Universiteit Twente in de aanloopperiode. Zij zakten van 401 naar 113 hoge risico’s tussen 19 januari en 6 maart.

Zakkende hoge risico’s van Radboud Universiteit Nijmegen in de aanloopperiode. Zij zakten van 370 naar 151 hoge risico’s tussen 19 januari en 6 maart.

Zakkend hoge risico’s van Universiteit van Amsterdam in de aanloopperiode. Zij zakten van 114 naar 42 tussen 19 januari en 6 maart.

Hogescholen ook, maar minder zichtbaar

Bij hogescholen zien we aan de oppervlakte niet zo’n sterke daling in het aantal hoge risico’s. Dat is natuurlijk deels omdat de online oppervlakte van hogescholen kleiner is, en dat wordt ook weer verdeeld over meer instellingen.

Een aantal hogescholen mailden ook regelmatig met de vraag extra domeinen toe te voegen. Ook kwamen wij een paar ontbrekende alternatieve hoofddomeinen van hogescholen tegen waar meer infrastructuur onder stond. Dit samen heeft ervoor gezorgd dat een groot deel van de hoge risico’s die zijn opgelost statistisch wegvallen tegen nieuw gemeten hoge risico’s. Als we inzoomen, verderop, zijn wel grote wijzigingen te zien.

Dit is het overzicht van wijzigingen bij hogescholen in de aanloopperiode.

Risico	19 januari	6 maart	Verschil
Hoog	1347	1287	-4% (60)
Midden	3186	3102	-3% (84)
Laag	11028	11089	+1% (+61)
Goed	21702	22921	+6% (+1219)

Verandering in risico’s bij hogescholen tijdens de aanloopperiode

Opvallend is dat er een boel positieve resultaten bij zijn gekomen. Dit zien we o.a. bij Fontys, die e.e.a. anders hebben ingericht over tijd. In die grafiek zien we dat een maand heel veel ‘interne’ domeinen worden gevonden. Daar is e.e.a. opgeruimd waardoor er positieve resultaten bij kwamen.

Grafiek van Fontys Hogeschool, de verhoging van de risico’s waren ‘interne’ domeinen onder het hera.fhict.nl.

Een aantal hogescholen hebben hard gewerkt om de hoge risico’s weg te krijgen. Hieronder staan de instellingen die opvallen door een sterke daling. De genoemde getallen zijn ook weer van 19 januari tot 6 maart. Het aantal opgeruimde risico’s ligt hoger, dat zie je aan het begin van deze grafieken.

Bij twee grafieken valt op dat er een kleine stijging zit in het aantal op de laatste dag. Dat komt omdat deze grafieken op 7 maart zijn gemaakt. Op 6 maart is de meting rondom ongevraagde volgcookies van midden naar hoog gezet i.v.m. de aangekondigde handhaving van de Autoriteit Persoonsgegevens.

De Hogeschool van Amsterdam laat ook een mooie zakkende lijn zien. Van 42 naar 12 hoge risico’s.

De Hogeschool voor de Kunsten Utrecht zakte in de aanloopperiode van 33 naar 3 hoge risico’s.

Saxion Hogeschool zakte van 13 naar 0, en is helaas op de 7e net weer iets achteruit gegaan. Dit komt omdat volgcookies op de 6e op Hoog risico zijn gezet.

De Pedagogische Hogeschool de Kempel zakte van 3 naar 0.

Er is ook een instelling die opvalt door een stijging van het aantal hoge risico’s van 48 naar 71. Op 17 januari, net buiten het termijn van onze vergelijking, zie je ook al een sterke stijging. Deze instelling mailde regelmatig met extra domeinen en heeft dus een andere strategie gekozen dan de rest. Dat is niet noodzakelijk slecht: nu is er dus inzicht op meer domeinen waardoor er op termijn ook meer veiligheid ontstaat.

Bij Zuyd Hogeschool is het aantal risico’s toegenomen omdat er veel extra domeinen zijn toegevoegd.

Vergelijking in het klassement

Ten opzichte van elkaar doen universiteiten en hogescholen het grofweg even goed. Universiteiten scoren 14 punten het best, hogescholen op de 10 andere. Op een paar punten zijn er wel duidelijke verschillen.

Universiteiten hebben DNSSEC en HTTPS beter op orde. Het gaat over een verschil van meer dan 10%. Hoewel bij universiteiten de kwaliteit van de versleuteling beter is, voldoen er minder adressen aan de versleutelingseisen van het NSCS + DANE. Dat is een interessante tegenstelling.

Hogescholen hebben de eer om RPKI voor hun websites 100% op orde te hebben. Alleen veiligheidsregio’s en waterschappen lukt dat ook. Op de punten waar hogescholen het beter doen dan universiteiten is het verschil nooit groter dan 10%.

Ten opzichte van de rest

Ten opzichte van de vier overheidslagen (centraal, provincies, waterschappen en gemeenten) doen de hogescholen het slechter. Ruim de meeste groene hartjes gaan dan telkens naar de overheidslaag. Zie hier, hier, hier en hier.

Gebaseerd op het aantal beste en slechtste posities in het klassement belanden hogescholen ergens in de middenmoot tussen de zorg, cybersecurity en politieke partijen.

Wanneer alle eerder genoemde lagen tegelijkertijd worden vergeleken zien we dat bijna alle ‘beste’ en ‘slechtste’ scores verdwijnen bij het hoger onderwijs.

Hieronder staat een vergelijking van de twee onderwijslagen ten opzichte van de overheid. Je ziet dat de slechte punten vooral verdeeld worden tussen de onderwijsinstellingen en de overheid de meeste groene hartjes krijgt.

Screenshot van het klassement tijdens het schrijven van dit artikel. De internet_nl_mail_tls meting is met 0% overal niet juist, dit is een bekende bug en is buiten beschouwing gelaten in dit artikel.

Metingen zijn openbare gegevens

De meetresultaten van dit onderzoek zijn openbaar en beschikbaar als open data onder de Creative Commons licentie. De informatie wordt doorlopend bijgewerkt en is in te zien op de site https://basisbeveiliging.nl.

Kleuren op de kaart van Universiteiten en hogescholen bij de eerste publicatie van de kaarten.

Kanttekeningen

Universiteiten hebben ook WHOIS met 10% of meer beter op orde dan hogescholen, maar deze meting vereist nog een handmatige naloop om te controleren dat de informatie bij hogescholen daadwerkelijk juist is. Daarom wordt dit verschil niet expliciet genoemd in het artikel.
In het klassement is de meting rondom STARTLS+DANE op e-mail weggevallen. Dit is een bekende bug. Hierdoor heeft iedereen een hoogste en laagste waardering erbij gekregen. Netto maakt dat alles vergelijkbaar, maar het geeft wat verwarring. Aan een oplossing wordt gewerkt.
Er zijn 36 hogescholen en 18 universiteiten meegenomen. Universiteit Nyenrode ontbrak in de bronbestanden en wordt later toegevoegd ivm de aanloopperiode.
Bij de WUR is een stijging te zien. Dit is verklaarbaar omdat de WUR al in het systeem stond vanuit een aantal overheidsprojecten. Deze twee instanties van de WUR zijn samengevoegd in de aanloopperiode. Dat is verwarrend en daardoor niet als aparte grafiek getoond.

Updates April 2024
Website portfolio bijgewerkt Het website portfolio is een onderbelichte feature van basisbeveiliging. Dit overzicht is bijgewerkt waardoor het beter inzetbaar is voor veiligheidsdoelen. Bijvoorbeeld controle of alle sites de verwachte layout hebben … Lees verder "Updates April 2024"
Nieuwe kaarten: MBO en Voortgezet Onderwijs – Eerste veilige onderwijsinstelling op de kaart!
Vanaf 10 april toont basisbeveiliging.nl ook de basisveiligheid van het Middelbaar Beroepsonderwijs (MBO) en het Voortgezet onderwijs (VO). Er worden meer dan 6000 domeinen van 700 instellingen gemeten. De eerste onderwijsinstelling die … Lees verder "Nieuwe kaarten: MBO en Voortgezet Onderwijs – Eerste veilige onderwijsinstelling op de kaart!"
Publieke sector verspilt jaarlijks miljoenen aan overbodig theater bij versleuteling websites
Het kost ten minste twee miljoen om te mogen versleutelen, maar de kosten voor bijbehorend arbeid verveelvoudigt dat. Gelukkig is de transitie naar gratis certificaten in volle gang. Dit gaat gepaard met … Lees verder "Publieke sector verspilt jaarlijks miljoenen aan overbodig theater bij versleuteling websites"
Nieuwe kaarten: Hoger Onderwijs. Universiteiten lossen 23% van de hoge risico’s op in de aanloopperiode.
Vanaf 6 maart is de online basisveiligheid van het hoger onderwijs te zien op basisbeveiliging.nl. Voor universiteiten en het hoger beroepsonderwijs is een afzonderlijke kaart gemaakt en zijn aparte statistieken beschikbaar. Het … Lees verder "Nieuwe kaarten: Hoger Onderwijs. Universiteiten lossen 23% van de hoge risico’s op in de aanloopperiode."
Overheid vraagt op meer dan 100 manieren toestemming voor volgcookies. Cookiebanners misleiden en 30% werkt niet
Op 20% van de onderzochte overheidsdomeinen staat een cookiebanner (394 van de 1911). Er wordt op meer dan 100 verschillende manieren om toestemming gevraagd, daarna zijn we gestopt met tellen. Per banner … Lees verder "Overheid vraagt op meer dan 100 manieren toestemming voor volgcookies. Cookiebanners misleiden en 30% werkt niet"
De Helpdesk Aflevering 6: Uitzondering op DANE bij Microsoft tot juli
Sinds 7 februari meet basisbeveiliging.nl of e-mailversleuteling voldoet aan de richtlijnen van het NCSC. Deze meting is iets te streng omdat ook DANE als eis is meegenomen. DANE is slechts een overweging … Lees verder "De Helpdesk Aflevering 6: Uitzondering op DANE bij Microsoft tot juli"
Nieuwe meting: versleutelde e-mail. 56% tot 94% voldoet niet aan de richtlijnen van het NCSC (+DANE)
Kleine correctie: er stond dat de meting alleen de richtlijn van het NCSC meten, maar we meten daarbij ook nog of DANE wordt toegepast in dezelfde meting. We zijn aan het kijken … Lees verder "Nieuwe meting: versleutelde e-mail. 56% tot 94% voldoet niet aan de richtlijnen van het NCSC (+DANE)"
Updates Februari 2024
Beter laat dan nooit: Happy new year! Alles dat we in 2023 hebben gedaan staat in het basisbeveiliging jaaroverzicht 2023. Klassement Onlangs is het klassement live gegaan. Hierin kan je doelgroepen met … Lees verder "Updates Februari 2024"
Nieuw overzicht: klassement. Vergelijk alle metingen van overheid, zorg, cyber en meer…
Vanaf vandaag staat er een klassement op basisbeveiliging.nl. Hierop zie je per meting wie het best en slechtst scoort. Bepaal zelf welke van de 30 doelgroepen je wil vergelijken. Bijvoorbeeld de overheid … Lees verder "Nieuw overzicht: klassement. Vergelijk alle metingen van overheid, zorg, cyber en meer…"
Basisbeveiliging Jaaroverzicht 2023
Samenvatting 2023 is het eerste jaar dat Basisbeveiliging onderdeel is van overheidsbeleid. Hierdoor is het project verder geformaliseerd met o.a. een code of conduct. Formalisering van de stichting is eind 2023 in … Lees verder "Basisbeveiliging Jaaroverzicht 2023"
Nieuwe kaart: Cybersecuritybedrijven in basis slechter beveiligd dan overheid
Cybersecuritybedrijven zijn de fundering van de Nederlandse online veiligheid. Van de vitale sector tot de rijksoverheid: alle organisaties die iets voor de maatschappij betekenen gebruiken diensten van deze bedrijven. Bijvoorbeeld voor het … Lees verder "Nieuwe kaart: Cybersecuritybedrijven in basis slechter beveiligd dan overheid"
Updates December 2023
Security van Cybersecuritybedrijven De kaart met security van cybersecuritybedrijven staat live. We vonden dat ze op 20 van de 23 metingen op dit moment slechter presteren dan de overheid. We hopen op … Lees verder "Updates December 2023"
Ongevraagde tracking cookies op hoofdwebsites: 4% bij de overheid en zorg, 20% bij politieke partijen en cybersecuritybedrijven
Vanaf 9 november publiceert basisbeveiliging metingen over tracking cookies. Met deze technologie worden bezoekers van websites gevolgd door adverteerders. Om dat te mogen moet een bezoeker expliciet toestemming geven. Bij deze nieuwe … Lees verder "Ongevraagde tracking cookies op hoofdwebsites: 4% bij de overheid en zorg, 20% bij politieke partijen en cybersecuritybedrijven"
7 politieke partijen veiliger, meer dan 100 problemen opgelost
Van de 70 politieke partijen die staan ingeschreven bij de kiesraad doen er uiteindelijk 26 mee aan de Tweede Kamerverkiezingen 2023. De overige partijen hebben we van de kaart gehaald. De samenwerkende … Lees verder "7 politieke partijen veiliger, meer dan 100 problemen opgelost"
Updates November 2023
Nieuwe meting over ongevraagde tracking cookies De nieuwe meting over ongevraagde tracking cookies staat nu online. In het artikel hierover is te lezen dat we honderden van dergelijke cookies hebben gevonden bij … Lees verder "Updates November 2023"
Online veiligheid van politieke partijen in beeld gebracht: geen scoort voldoende
De verkiezingscampagnes zijn inmiddels in volle gang. Dit jaar doen er 70 partijen mee, waarvan er 64 een website hebben. Vanaf 2 oktober is te zien of al deze websites voldoen aan … Lees verder "Online veiligheid van politieke partijen in beeld gebracht: geen scoort voldoende"
De helpdesk aflevering 5: Waarom geen Google Analytics?
We krijgen regelmatig de vraag waarom basisbeveiliging Google Analytics negatief beoordeelt bij haar privacymeting. Er wordt dan verklaard dat Analytics is ingericht volgens de handleiding van de Autoriteit Persoonsgegevens. De Autoriteit geeft … Lees verder "De helpdesk aflevering 5: Waarom geen Google Analytics?"
Updates Augustus 2023
Meting toegevoegd over de locatie van dienstverlening (in de EU+GDPR zone) Er wordt gekeken waarvandaan online diensten worden verleend: van de server, e-mail server(s) en waar de inhoud van de website vandaan … Lees verder "Updates Augustus 2023"
Nieuwe meting: dienstverlening binnen de EU. 1087 domeinen staan buiten de EU. 410 mailservers ook.
Ook delen 419 overheidsdomeinen data met Google Ads. Vanaf 9 augustus is op basisbeveiliging.nl te zien vanuit welk land de overheid online diensten verleent. We controleren of dit gebeurt vanuit de EU+GDPR … Lees verder "Nieuwe meting: dienstverlening binnen de EU. 1087 domeinen staan buiten de EU. 410 mailservers ook."
1/3e overheidssites voldoet niet aan HTTPS eisen, ontbreekt volledig op 56 adressen
Vanaf 1 Juli 2023 is het toepassen van HTTPS verplicht voor de overheid. Dat betekent dat communicatie met alle websites en webapplicaties versleuteld moet gebeuren. Hierdoor worden bezoekers van deze applicaties beschermd … Lees verder "1/3e overheidssites voldoet niet aan HTTPS eisen, ontbreekt volledig op 56 adressen"