Eén overheid, minder domeinnamen

De grote hoeveelheid domeinnamen bij de Rijksoverheid is te verklaren vanuit communicatieoogpunt. De aanname is dat een domeinnaam de zichtbaarheid van een campagne of project helpt vergroten. Maar het leidt uiteindelijk tot een versnipperd landschap waarin het voor burgers juist lastig is om te zien wanneer ze online met de Rijksoverheid te maken hebben.

Daar komt bij dat domeinnamen niet langer alleen communicatiemiddelen zijn. Ze zijn ook digitale assets met gevolgen voor technisch beheer, informatiebeveiliging en herkenbaarheid. Dat vraagt om andere keuzes. Het nieuwe internetdomeinbeleid van de Rijksoverheid moet die omslag ondersteunen.

Niet alleen een marketingmiddel

Het oorspronkelijke domeinnaambeleid uit 2011 was vooral gericht op eenduidigheid en transparantie van beleid en gebruik, de bescherming van de juridische positie en de beheersing van kosten. Inmiddels is de context veranderd. “Het heette vroeger domeinnaambeleid, nu internetdomeinbeleid. De scope is veel breder geworden,” zegt Dirk Maats, senior beleidsmedewerker bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). “We hebben het integraler aangepakt. Niet alleen communicatie, maar ook technische kaders en informatiebeveiliging spelen een rol.”

Er zijn verschillende redenen voor die bredere aanpak. Het aantal digitale dreigingen is flink toegenomen. De afhankelijkheid van digitale dienstverlening groeit. En domeinnamen worden steeds vaker gebruikt voor applicaties, e-mail en koppelingen tussen systemen. Daarmee verschuift de rol van een domeinnaam van marketingmiddel naar essentieel onderdeel van de digitale keten.

3 sporen voor meer herkenbaarheid

De actualisatie van het beleid staat niet op zichzelf. Sinds 2019 werkt de Rijksoverheid aan 3 samenhangende sporen om herkenbaarheid van de digitale overheid te verbeteren.

Naast het nieuwe beleid is er een Register Internetdomeinen Overheid (RIO) gerealiseerd. Burgers kunnen daarin controleren of een domeinnaam van de overheid is. Ook loopt een parallel spoor rond een mogelijke uniforme domeinextensie. Deze 3 sporen moeten samen zorgen voor meer herkenbaarheid.

Het beleid zelf is begin dit jaar vastgesteld en geldt sindsdien als beleidskader voor hoe organisaties van de Rijksoverheid omgaan met internetdomeinen. Bestaande domeinnamen blijven voorlopig bestaan, maar nieuwe aanvragen worden strenger beoordeeld, volgens het ‘bestaand tenzij’-principe.

Minder losse campagne-domeinnamen

In de praktijk betekent het beleid dat losse domeinnamen minder vanzelfsprekend worden. Robin Gelhard, senior adviseur online overheid bij BZK verduidelijkt: “Binnen BZK hebben we zo’n 300 publieke websites en nog veel meer domeinnamen. Als collega’s een domeinnaam willen inzetten - bijvoorbeeld voor webcontent of -toepassing - kloppen ze bij ons aan. Dan kijken we: kan de content op Rijksoverheid.nl, of past de content of toepassing bij een bestaande domeinnaam? Alleen als dat niet kan, kijken we naar een nieuwe domeinnaam.”

Vaak blijkt een nieuwe domeinnaam niet altijd nodig. Een project kan bijvoorbeeld onder een bestaande domeinnaam worden geplaatst. Bijvoorbeeld in de vorm van een subdomein of als pad achter het webadres. Dat maakt de afzender duidelijker en versterkt bestaande domeinnamen.

Een voorbeeld is het coronadashboard dat tijdens de COVID 19-pandemie werd gebruikt. Dat werd onder coronadashboard.rijksoverheid.nl gepubliceerd. Daarmee was direct duidelijk dat het om een rijksbrede voorziening ging. Een losse domeinnaam had die herkenbaarheid hoogstwaarschijnlijk verminderd.

Marketing versus Rijksoverheid

Het beleid schuurt soms met communicatiepraktijk. Campagnes vragen om korte, herkenbare domeinnamen. Zeker in radio- en tv-spots. Maar dat levert ook extra domeinnamen op.

Het beleid probeert dat gedrag te veranderen. Een logisch pad op een bestaande domeinnaam heeft de voorkeur. Nieuwe domeinnamen blijven mogelijk, maar zijn niet langer het uitgangspunt.

Door de losse initiatieven (vaak door andere projectteams ontwikkeld) te koppelen aan het bredere thema of de organisatie, versterk je ook de communicatieve waarde van de bestaande domeinnaam.

Wie is waarvoor verantwoordelijk?

De rolverdeling is duidelijk. BZK is eigenaar van het beleid. De departementen hebben daarnaast een of meerdere domeinnaamliaisons: een gemandateerde contactpersoon die beoordeelt of een nieuw domeinnaam nodig is en aanvragen indient. De Dienst Publiek en Communicatie (DPC), onderdeel van het ministerie van Algemene Zaken, voert het beleid uit in de rol van registrar en houder van domeinnamen van de Rijksoverheid. DPC levert ook publieke DNS-diensten voor het merendeel van deze domeinnamen.

Dave Buis, adviseur domeinnaam- en DNS-beheer bij DPC: “Als uitvoerder van het beleid beheren we duizenden domeinnamen en publieke DNS-zones. We geven daarnaast gevraagd en ongevraagd advies aan domeinnaamliaisons, onze poortwachters bij de departementen.”

De domeinnaamliaison beoordeelt of een nieuwe domeinnaam nodig is. Daarna wordt de aanvraag getoetst aan het beleid. Zo ontstaat meer centrale regie, zonder dat alle beslissingen op één plek liggen.

Domeinnamen zijn geen wegwerpartikelen

Een belangrijk motief voor het nieuwe beleid is informatiebeveiliging. Domeinnamen werden in het verleden vaak als tijdelijk gezien. Dat brengt risico’s met zich mee.

“In het verleden werden domeinnamen nogal eens gezien als wegwerpartikelen,” zegt Gelhard. “Maar als je een domeinnaam vrijgeeft, kan iemand anders ermee aan de haal gaan. Er kunnen nog backlinks bestaan, actieve mailstromen of gebruikersaccounts op andere platformen. Dat kan risico’s opleveren. Daarom geven we sommige domeinnamen bewust niet vrij.”

Ook phishing speelt een rol. Bij veel domeinnamen is niet direct duidelijk dat ze van de Rijksoverheid zijn. Namen met slogans of afkortingen verraden de afzender niet en logo’s zijn eenvoudig te imiteren. Als er daarnaast veel verschillende domeinnamen worden gebruikt, wordt het voor burgers lastig om echtheid te beoordelen. Consistent gebruik van herkenbare domeinnamen helpt dat te beperken.

De geopolitieke situatie versterkt dat belang. Er is sprake van meer digitale dreigingen. Centrale registratie en betere regie op domeinnamen zijn daarom noodzakelijk. Het nieuwe beleid sluit ook aan bij toekomstige verplichtingen uit de Cyberbeveiligingswet (Cbw).

Stand van zaken rond gov.nl

Parallel aan het nieuwe internetdomeinbeleid loopt het traject rond een mogelijke uniforme domeinextensie voor de Rijksoverheid. In 2023 is een principebesluit genomen om te kiezen voor de extensie .gov.nl. Om inzicht te krijgen in de financiële en organisatorische gevolgen voert BZK momenteel een uitvoeringstoets uit.

Invoering van een uniforme domeinextensie als gov.nl is technisch mogelijk, maar niet in één keer. Migratie zou gefaseerd moeten plaatsvinden. De kosten zitten vooral in de aansturing en ondersteuning van de overgang. Ondertussen heeft de Tweede Kamer een motie aangenomen waarin is uitgesproken dat het wenselijk is dat alle overheidssites naar één domeinextensie gaan.

Een eventuele uniforme domeinextensie als gov.nl zou de herkenbaarheid verder vergroten. Maar het is ook een grote operatie. Daarom wordt eerst de impact onderzocht. Dit vormt nog geen definitief beleid; hiervoor is eerst politieke instemming vereist.

Terugdraaien is lastig

In de praktijk heeft de Rijksoverheid te maken met een groot aantal domeinnamen die al zijn geregistreerd. Dat is lastig terug te draaien.

“We hebben soms te maken met voldongen feiten,” zegt Gelhard. “Een domeinnaam is al geregistreerd zonder medeweten van de centrale directie Communicatie en wordt al genoemd in nieuwsberichten of Kamerbrieven. Dan zit je eraan vast. Sinds 2011 moeten Rijksoverheidsdomeinnamen via DPC worden geregistreerd, maar soms gebeurt dat toch via andere registrars, zonder afstemming.”

Het beleid moet daarom niet alleen kaders en richtlijnen meegeven, maar ook gedrag veranderen. Dat kost tijd. Organisaties moeten zich bewust worden van de gevolgen van het in gebruik nemen van een nieuwe domeinnaam.

Doorlopend werk

Het doel is de groei van het aantal domeinnamen af te remmen en op termijn te laten dalen. Dat gebeurt geleidelijk. Sommige organisaties zijn al begonnen met opschonen. Uiteindelijk draait het om grip krijgen op domeinnamen als digitale assets, zodat de Rijksoverheid veilige en herkenbare digitale dienstverlening kan aanbieden.

Het werk is nooit af. Nieuwe initiatieven blijven komen. Technologie verandert. Het aantal dreigingen neemt toe. Het internetdomeinbeleid is daarom geen eindpunt, maar een kader dat voortdurend wordt toegepast en aangescherpt.

Zoals Buis het samenvat: “Het doel is om grip te krijgen op de digitale keten. Dat betekent: heldere taken en verantwoordelijkheden, duidelijke technische kaders, en meer sturing op informatiebeveiliging. Een proces van lange adem, maar noodzakelijk voor een herkenbare en betrouwbare digitale overheid.”