Domeinnaambeheer ziekenhuizen en UMC’s beter, maar nog niet op orde

Vooral ziekenhuizen laten verbetering zien

Bij iets minder dan de helft van alle onderzochte domeinnamen (49%) was administratief alles op orde, in 2025 was dit percentage iets lager: 46,9%. Ook hier zijn vooral de ziekenhuizen verantwoordelijk voor deze vooruitgang, daar ging het percentage domeinnamen waar alles op de juiste manier is geregeld omhoog van 53,7% naar 59%. Opvallend hierbij is dat deze stijging ontstaat door een aantal ziekenhuizen die vorig jaar de domeinnaamportfolio flink opgeschoond hebben. Alle registratiegegevens zijn aangepast en op naam van het ziekenhuis gezet, met de eigen IT-afdeling als contact.

Domeinnamen op naam van andere partij

Een ander terugkerend probleem zijn domeinnamen die geen eigendom van het ziekenhuis of medisch centrum zijn. In veel gevallen staat de domeinnaam dan op naam van een derde partij zoals een IT-dienstverlener of marketingbureau, maar soms ook op naam van een individuele arts of onderzoeker. Vaak gebeurt dit uit gemak: een medewerker of externe partij registreert even snel een domeinnaam, zonder tussenkomst van de IT-afdeling.

Maar als de dienstverlening van de IT-leverancier stopt, of als de medewerker de organisatie verlaat, kan dit grote problemen veroorzaken. Vaak worden deze domeinnamen nog vertrouwd in interne mailservers en applicaties. Een kwaadwillende kan deze domeinnamen opnieuw registreren en inzetten om toegang te krijgen tot gevoelige gegevens. Een ander, vaak onderbelicht risico, is dat de domeinnamen juridisch eigendom zijn van de IT-leverancier. Als dit bedrijf failliet gaat, dan zijn de domeinnamen deel van de inboedel die de curator beheert.

Onjuiste contactgegevens

Het percentage domeinnamen waar onjuiste contactgegevens aan gekoppeld zijn, steeg het afgelopen jaar. In 11,3% van de onderzochte domeinnamen is dit het geval, bij zowel ziekenhuizen (van 9% in 2025 naar 13,9% nu) als medische centra (van 2,5% naar 9%) gaat het om een significante toename.

Bij de registratie staat dan bijvoorbeeld het privémailadres van een medewerker, een extern webdesignbureau of een ander individu vermeld. Staan de contactgegevens niet op naam van de organisatie, dan kan de domeinnaam zonder medeweten van de zorginstelling worden overgezet naar iemand anders, of worden opgezegd. Ook hier zien wij hetzelfde beeld als vorig jaar. Veel ‘vriendenvan’- of personeelsverenigingwebsites vallen buiten het beheer/eigendom van het ziekenhuis, maar maken wel gebruik van de huisstijl en logo's van de zorginstelling. Opvallend is de toename van websites die ingezet worden voor peilingen naar de kwaliteit van de zorg, of zogeheten “PROMS”-websites. Die laatste zijn sites die gebruikt worden om bij patiënten de gezondheid, kwaliteit van leven en/of functioneren te beoordelen. Vaak worden deze ook door een externe partij beheerd en ook deze zijn volledig in de stijl van het ziekenhuis. Het risico bij bovenstaande gevallen is dat dit soort sites buiten het zicht van de IT-beheerders of securitymedewerkers van het ziekenhuis valt, maar wel vertrouwd wordt door patiënten en medewerkers.

Goksites en anabolen

Dat onzorgvuldig domeinnaambeheer tot ongewenste situaties kan leiden, blijkt uit de voorbeelden die onze onderzoekers langs zagen komen. Zo kwamen we meerdere goksites tegen die de naam van een ziekenhuis in de domeinnaam misbruikten. Vaak betreft dit websites die ooit wel eigendom van een zorgverlener waren, maar opgezegd zijn. Omdat deze websites een hoge betrouwbaarheidsscore hebben in Google, gebruiken illegale online casino's deze domeinnamen ook om goksites aan te bieden. Ook stuitten de onderzoekers op een website waar anabolen worden aangeboden, die op een domeinnaam wordt gehost, die eerder van een medisch centrum was.

Typosquatting

Ook kwamen tijdens het onderzoek domeinnamen aan het licht die vermoedelijk voor malafide doeleinden werden geregistreerd. Zo is er bij 6,2% van de onderzochte domeinnamen sprake van typosquatting: domeinnamen die sterk lijken op bijvoorbeeld een merknaam of de naam van een bedrijf of instelling, maar met kleine typefouten (bijvoorbeeld “…zieknhuis.nl”). Regelmatig monitoren van de eigen naam is hier een effectieve aanpak. Dat is ook nodig, omdat typosquats vaak voor malafide doeleinden ingezet worden.

Bewustwording verbeterd

Martijn Sanders, product owner SIDN Merkbewaking bij SIDN: “We merken dat de bewustwording binnen de ziekenhuizen verbeterd is, maar over het geheel genomen, en vooral bij de UMC’s, zijn er nog stappen nodig. Bij digitale dreiging denken organisaties meestal aan het stelen van online gegevens of het binnendringen van systemen. Maar ook domeinnamen kunnen kwetsbaar zijn en vormen daardoor een populair doelwit voor kwaadwillende.”

Sanders merkt dat bij de ziekenhuizen en medisch centra die naar aanleiding van het onderzoek van vorig jaar contact hebben gezocht met SIDN, binnen een jaar al flinke stappen zijn gezet: “We zien dat de partijen waar wij mee hebben gesproken, maatregelen hebben genomen om het beheer over domeinnamen terug te pakken die niet in eigen beheer waren. Bij deze partijen is dit probleem bijna helemaal opgelost.”

We presenteren de onderzoeksresultaten aan zorginstellingen tijdens de vakbeurs Zorg&ICT 2026 in Jaarbeurs Utrecht. Geïnteresseerden kunnen zich aanmelden voor de presentatie van Martijn Sanders op dinsdag 14 of woensdag 15 april van 12:15 – 12:45 uur of langskomen in onze stand op het cybersecurityplein van de beurs.