Inhaalslag bij ziekenhuizen: Meer grip op eigen domeinnamen
Nederlandse ziekenhuizen en universitaire medische centra (UMC’s) hebben hun digitale voordeur nog niet goed op slot. Hoewel er een lichte verbetering zichtbaar is, staat een groot deel van de domeinnamen nog steeds niet op naam van de zorginstelling zelf. Dit leidt tot bizarre en gevaarlijke situaties, waarbij opgezegde ziekenhuisdomeinen nu worden gebruikt voor het aanbieden van illegale goksites en anabolen.
Dat blijkt uit een nieuw onderzoek van SIDN, de beheerder van het .nl-domein, dat op 9 april 2026 is gepubliceerd. Onderzoekers namen ruim 600 domeinnamen onder de loep die horen bij of lijken op die van Nederlandse ziekenhuizen. De resultaten laten zien dat administratieve slordigheid directe risico's oplevert voor de patiëntveiligheid en de reputatie van de zorg.
Ziekenhuizen boeken winst, UMC’s blijven achter
Het goede nieuws is dat de reguliere ziekenhuizen een inhaalslag hebben gemaakt. Het percentage domeinnamen dat niet op naam van het ziekenhuis zelf stond, daalde van 30% naar 20%. Volgens SIDN komt dit doordat een aantal instellingen hun portfolio flink hebben opgeschoond na eerdere waarschuwingen.
Bij de UMC’s is het beeld minder rooskleurig. Over de gehele linie staat nog steeds 30,8% van de onderzochte domeinnamen niet op naam van de instelling zelf. Vaak zijn deze geclaimd door een marketingbureau, een IT-leverancier of zelfs een individuele arts die "even snel" een website wilde voor een onderzoek of een patiëntenvereniging.
Het gevaar van 'vergeten' domeinen
Wanneer een domeinnaam op naam van een externe partij staat, verliest het ziekenhuis de controle. Als een marketingbureau failliet gaat, valt de domeinnaam in de inboedel van de curator. Nog gevaarlijker is het wanneer domeinen worden opgezegd.
Onderzoekers stuitten op domeinnamen die voorheen van medische centra waren, maar nu worden misbruikt door kwaadwillenden. Vanwege de hoge betrouwbaarheidsscore die deze namen nog hebben in zoekmachines zoals Google, zijn ze goud waard voor illegale online casino's. Ook vonden de onderzoekers een site voor anabole steroïden op een oud zorgdomein.
De opkomst van PROMS en peilingen
Een nieuwe blinde vlek zijn de zogeheten "PROMS"-websites (Patient Reported Outcome Measures), die worden gebruikt om de kwaliteit van leven van patiënten te meten. Deze sites, vaak volledig in de huisstijl van het ziekenhuis, worden dikwijls door externe partijen beheerd buiten het zicht van de centrale IT-afdeling. "Het risico is dat dit soort sites vertrouwd worden door patiënten en medewerkers, terwijl securitymedewerkers van het ziekenhuis er geen zicht op hebben," waarschuwt Martijn Sanders van SIDN.
Typosquatting: loeren op typefouten
Naast administratieve chaos is er ook sprake van opzet door criminelen. Bij 6,2% van de gevallen is er sprake van typosquatting: domeinnamen met een kleine spelfout (zoals ...zieknhuis.nl) die worden geregistreerd om patiënten te misleiden of inloggegevens te stelen.
SIDN adviseert zorginstellingen dan ook dringend om hun eigen naam en variaties daarop actief te monitoren. De resultaten van het onderzoek zullen uitgebreid worden gepresenteerd tijdens de vakbeurs Zorg&ICT 2026, die volgende week in Utrecht plaatsvindt. "Bewustwording is de eerste stap," aldus Sanders, "maar vooral bij de UMC’s zijn er echt nog stappen nodig om de digitale infrastructuur veilig te krijgen."
Meer over ziekenhuis
Over Witold Kepinski
