Het beheer van domeinnamen door Nederlandse ziekenhuizen en universitaire medische centra (umc’s) laat een lichte verbetering zien ten opzichte van vorig jaar, maar vertoont nog steeds duidelijke tekortkomingen. Dat blijkt uit recent onderzoek van SIDN, verantwoordelijk voor het beheer en de registratie van alle .nl-domeinnamen.
SIDN onderzocht ruim 600 domeinnamen die lijken op namen van ziekenhuizen en umc’s. Daaruit blijkt dat 30,8 procent van deze domeinnamen niet op naam staat van de betreffende zorginstelling. Dat is een verbetering ten opzichte van 2025, toen dit nog 35 procent was. Vooral algemene ziekenhuizen hebben vooruitgang geboekt: daar daalde het aandeel domeinnamen dat niet op eigen naam staat van 30 naar 20 procent.
Administratief vaak niet op orde
Hoewel er vooruitgang zichtbaar is, blijft het algemene beeld dat het domeinnaambeheer in de zorgsector onvoldoende op orde is. Bij 49 procent van de onderzochte domeinnamen was de administratie volledig correct ingericht. In 2025 lag dit percentage nog op 46,9 procent.
De verbetering komt met name door een aantal ziekenhuizen dat het afgelopen jaar actief het eigen domeinnaamportfolio heeft opgeschoond. Registratiegegevens zijn daarbij gecorrigeerd en domeinnamen zijn op naam van de organisatie gezet, met de eigen IT-afdeling als contactpunt.
Risico’s bij externe registratie
Een structureel probleem blijft dat domeinnamen regelmatig op naam staan van derden, zoals IT-dienstverleners, marketingbureaus of individuele medewerkers. Dit gebeurt vaak uit praktische overwegingen, bijvoorbeeld wanneer snel een domeinnaam wordt geregistreerd buiten de IT-afdeling om.
Volgens SIDN brengt dit aanzienlijke risico’s met zich mee. Wanneer een externe partij wegvalt of een medewerker vertrekt, kan de controle over de domeinnaam verloren gaan. Omdat dergelijke domeinnamen vaak nog gekoppeld zijn aan interne systemen en mailservers, ontstaat een potentieel toegangspunt voor kwaadwillenden. Daarnaast kunnen domeinnamen juridisch eigendom zijn van een externe partij, bijvoorbeeld bij een faillissement.
Toename onjuiste contactgegevens
Opvallend is volgens het onderzoek de stijging van het aantal domeinnamen met onjuiste contactgegevens. In 11,3 procent van de gevallen zijn deze gegevens niet correct, tegenover lagere percentages in 2025. Zowel bij ziekenhuizen als umc’s is sprake van een duidelijke toename.
Het gaat bijvoorbeeld om privémailadressen van medewerkers of gegevens van externe partijen. Hierdoor kan een domeinnaam zonder medeweten van de zorginstelling worden overgedragen of opgeheven.
SIDN signaleert daarnaast dat websites van personeelsverenigingen, ‘vrienden van’-initiatieven en zogeheten PROMS-platforms vaak buiten het zicht van IT- en securityafdelingen vallen, terwijl ze wel de uitstraling van de zorginstelling hebben.
Misbruik en typosquatting
De gevolgen van gebrekkig beheer worden zichtbaar in concrete voorbeelden. Onderzoekers van SIDN troffen onder meer meerdere goksites aan die gebruikmaken van domeinnamen met verwijzingen naar ziekenhuizen. Ook werd een website gevonden waarop anabolen worden aangeboden via een domeinnaam die eerder eigendom was van een medisch centrum.
Daarnaast blijkt 6,2 procent van de onderzochte domeinnamen te vallen onder zogeheten typosquatting: domeinnamen die sterk lijken op bestaande namen, maar kleine typefouten bevatten. Deze worden vaak ingezet voor malafide doeleinden, zoals phishing.
Verdere stappen nodig
Volgens Martijn Sanders, product owner Merkbewaking bij SIDN, is er wel sprake van groeiende aandacht voor het onderwerp. SIDN ziet een verbeterde bewustwording bij ziekenhuizen, maar er zijn – vooral bij UMC’s – nog verdere stappen nodig.
“Bij digitale dreiging denken organisaties meestal aan het stelen van online data of het binnendringen van systemen. Maar ook domeinnamen kunnen kwetsbaar zijn en vormen daardoor een populair doelwit voor kwaadwillenden.”
Sanders schetst dat instellingen die eerder met SIDN in gesprek gingen, inmiddels concrete verbeteringen hebben doorgevoerd om het beheer over domeinnamen terug te pakken die niet in eigen beheer waren. “Bij deze partijen is dit probleem bijna helemaal opgelost.”
