Regie op Internetdomeinen

Domeinportfolio beheer

Domeinportfolio beheer, hoe pak je dat aan?

Beheer het domeinportfolio. Zorg voor centraal overzicht en beperk de omvang van het domeinportfolio. Met zicht op internetdomeinen wordt de beheerlast minder en is het makkelijker sturen op aspecten als veiligheid, toegankelijkheid, grootte, overlappende informatie, en relevantie van het domeinnaamportfolio.

Wat betekent dit?

• Het in beeld hebben van alle internetdomeinen en bijbehorende contactpersonen ( zoals eigenaren en beheerders);
• Minder versplinterende beschikbaarheid aan informatie.

Hoe bereik je dit?

• Houd via een centraal aanspreekpunt binnen de organisatie een overzicht bij waarin alle internetdomeinen van het domeinportfolio te vinden zijn;
• Voeg internetdomeinen met overlappende informatie, waar mogelijk, samen;
• Stel een beslisboom vast voor registratie van nieuwe internetdomeinen.

Wat levert het op?

• Door een centraal overzicht wordt het mogelijk processen te automatiseren, zoals het monitoren op 'compliancy'; waardoor de beheerlast van het domeinportfolio vermindert.
• Door inzicht in het domeinportfolio weet je wat er speelt en worden risico’s omtrent internetdomeinen beperkt;
• Een beperking van de omvang van het domeinportfolio vermindert de beheerlast voor de organisatie en vergroot de herkenbaarheid voor de burger.

De praktijk

Wat gaat er goed?

Dienst Publiek en Communicatie (DPC) van het Ministerie van Algemene Zaken houdt centraal een overzicht bij met daarin alle internetdomeinen van de Rijksoverheid.

Wat gaat er fout?

Binnen overheidsorganisaties heerst nog vaak het beeld dat er geen gezamenlijke verantwoordelijkheid bestaat voor het totale domeinportfolio.

Domeinportfolio beheer, voorbeelden uit de praktijk

Domeinnaamregister Dienst Publieke Communicatie

Dienst Publiek en Communicatie (DPC) van het Ministerie van Algemene Zaken is verantwoordelijk voor de uitvoer van het domeinnaambeleid van de Rijksoverheid. Om een centraal overzicht te bewaren van al haar domeinen, maakt DPC gebruik van het Domeinnaamregister. In het Domeinnaamregister staan alle domeinnamen van de Rijksoverheid, optioneel aangevuld met sub domeinen waarvan DPC het monitoren waard vindt.

Het Domeinnaamregister bevat karakteristieke kenmerken van domeinen zoals de DNS-beheerder, verantwoordelijke organisatie, liaison, gebruiksdoel en verschillende kwaliteitscriteria, zoals de testresultaten van Internet.nl.

Door een centraal overzicht te bewaren, houden rijksoverheidsorganisaties grip op aspecten als veiligheid, kwaliteit en de levenscyclus van domeinen. De informatie in het Domeinnaamregister is beschikbaar voor rijksambtenaren of via de eigen liaison te verkrijgen.De domeinen in het register die een website als gebruiksdoel hebben (de rijksoverheidswebsites) worden iedere laatste donderdag van de maand bijgewerkt en gepubliceerd in het Websiteregister Rijksoverheid, inclusief bezoekcijfers en verschillende kwaliteitscriteria opgenomen, zoals de testresultaten van Internet.nl. Deze lijst websites wordt vaak gebruikt door organisaties om te controleren of al hun websites aan de wettelijke verplichtingen voldoen, zoals bijvoorbeeld ten aanzien van web archivering, de cookiewet en toegankelijkheid.

Voor de AVG en de standaarden op de ‘Pas toe of leg uit’-lijst is het organisaties aan te raden de totaallijst met alle domein(nam)en te raadplegen, omdat deze aspecten zich niet beperken tot uitsluitend de websites.

Gebrek aan inzicht

Binnen overheidsorganisaties heerst nog vaak het beeld dat er geen gezamenlijke verantwoordelijkheid bestaat voor het totale domeinportfolio. Een organisatie focust zich vooral op haar hoofddomeinen, zoals de websites en emaildomeinen die vaak de naam dragen en het merk zijn van de organisatie.

De (denk)fout die dan wordt gemaakt is dat alle internetdomeinen, die geen onderdeel zijn van de ‘hoofd- en sub domeinen’ maar wel onder de organisatie vallen, niet dezelfde prioriteit krijgen of zelfs los van het geheel worden gezien.

Door dit gebrek aan eigenaarschap is er onvoldoende inzicht waar alle internetdomeinen voor worden gebruikt en in welke mate internetdomeinen, bijvoorbeeld relevant, veilig en toegankelijk zijn. Overheidsorganisaties hebben overzicht over het bredere domeinnaamportfolio nodig om alle risico’s te kunnen beheersen.

Alleen met een centraal overzicht is toezicht op het gehele domeinportfolio mogelijk en kan een overheidsorganisatie alle risico’s beheersen die van toepassing zijn op ieder internetdomein apart, en daarmee op het domeinportfolio in zijn geheel.

Levenscyclus internetdomeinen

Beheers de levenscyclus van internetdomeinen. Verouderde en overbodige informatie op het internet vermindert de vindbaarheid en legitimiteit van relevante overheidsinformatie voor burgers en bedrijven.

Wat betekent het?

• Meer actuele en minder overbodige internetdomeinen;
• Een duidelijk communicatie- en gebruiksdoel voor elk internetdomein;
• Elk domein wordt actief beheerd en stopgezet en uitgefaseerd, zodra die niet meer nodig is.

Hoe bereik je dit?

• Heb bij aanvraag van een nieuw internetdomein direct al een plan voor de levenscyclus
• Meet bezoekersaantallen en conversie van internetdomeinen. Stem hiervoor targets af bij aanvang internetdomein;
• Faseer internetdomeinen die targets niet halen gecontroleerd uit.

Wat levert het op?

• Een relevant en actueel domeinportfolio – elk internetdomein wordt aan de hand van een vooraf opgesteld plan actief beheerd;
• Een gemiddelde doorlooptijd voor internetdomeinen waar een tijdelijk communicatiedoel voor bestaat;
• De vindbaarheid en legitimiteit van informatie op de internetdomeinen wordt vergroot voor burgers en bedrijven.

De praktijk

Wat gaat er goed?

• Bij projecten bij organisaties waar het domeinportfolio werd opgeschoond, blijkt dat veel internetdomeinen al lange tijd overbodig waren maar nog steeds niet zijn opgeheven.

Wat gaat er fout?

• Het is verstandig om al vóór het registreren van een website na te denken over de levenscyclus en het gebruiksdoel.

Levenscyclus internetdomeinen, voorbeelden uit de praktijk

Het niet tijdig uitfaseren van internetdomeinen

Bij projecten van organisaties waar het domeinportfolio werd opgeschoond, blijkt dat veel internetdomeinen al lange tijd overbodig waren maar nog steeds niet zijn opgeheven. Bij het opschoontraject ‘VWS op het web’ van het Ministerie Volksgezondheid, Welzijn en Sport werden er ongeveer 1000 internetdomeinen gevonden, waarvan er 400 geschrapt konden worden.

Zo’n situatie kan je makkelijk voorkomen door elk internetdomein tijdig uit te faseren. Bij een tijdelijke website is het bijvoorbeeld verleidelijk om de site nog ‘even’ in de lucht te houden, terwijl het niet meer loont om de site te verbeteren. Er is zelfs extra tijd en mogelijk geld mee gemoeid om de site uit te faseren, ondanks dat de hostingkosten minimaal zijn. Het is daarom van belang om periodiek de vraag te stellen of dit communicatiekanaal nog nodig is. Direct bij aanvang moet al duidelijk zijn of en wanneer de site offline gehaald kan worden.

Laat je niet verrassen door nieuwe eisen, maar zorg ervoor dat je site blijft voldoen of trek tijdig de stekker eruit. Een ‘redirect’ naar een archiefversie kan een mooie oplossing zijn om de content toegankelijk te houden.

Let op: Zorg ervoor dat het uitfaseren zorgvuldig gebeurt. Van sommige domeinnamen wil je niet dat ze (te vroeg) weer beschikbaar komen in de markt. Het is in het verleden meermaals gebeurd dat phishing vanaf vrijgegeven internetdomeinen plaatsvindt, of mensen vertrouwelijke mails naar deze adressen sturen, omdat ze niet weten dat het is uitgefaseerd.

Gecontroleerd uitfaseren kan onder meer door een domein nog enige tijd op binnenkomende e-mail te monitoren, vrijgeven kan dan eventueel nadat zeker is dat er geen (vertrouwelijke) informatie meer binnenkomt.

Een plan voor elke website

De relevantie van websites dient voortdurend in de gaten te worden gehouden. Vooral om ervoor te zorgen dat de content en informatie klopt, actueel is en de doelgroep wordt bereikt. Dat kan je doen door naar bezoekersaantallen te kijken, door de feedback van de doelgroep goed in de gaten te houden en misschien ook door er specifiek naar te vragen bij je doelgroep.

Het is verstandig om al vóór het registreren van een website na te denken over de levenscyclus: hoe lang verwacht je dat de website relevant is, in welke vorm en voor welk doel; wanneer verwacht je dat de website zal worden gearchiveerd en na verloop van tijd opgeheven of overgedragen wordt aan een andere partij?

Bij de Rijksoverheid is het bijvoorbeeld verplicht dat je voor elke PRO-website bij registratie een exit-strategie handhaaft. Op basis van de exit-strategie kan er bijvoorbeeld jaarlijks worden getoetst of de website nog wel relevant is of niet. Zo voorkom je dat een website verwaarloosd raakt of onnodig lang in de lucht blijft. Leer meer over het beleid van de Rijksoverheid als het gaat om online middelen.

Verplichte richtlijnen

Laat internetdomeinen voldoen aan open standaarden en web eisen. Internetdomeinen die niet voldoen aan eisen die daaraan gesteld worden, leveren risico's op voor zowel gebruikers als de organisatie zelf.

Wat betekent het?

• Op de hoogte zijn en blijven van veranderingen op het gebied van web eisen en open standaarden;
• Meer inzicht krijgen in de staat en status van internetdomeinen;
• Snel kunnen schakelen wanneer internetdomeinen niet voldoen aan web eisen en open standaarden.

Hoe bereik je dit?

• Internetdomeinen zijn ‘compliant-by-design’: compliancy van internetdomeinen zit in contractuele afspraken met de leverancier;
• Voortdurend meten van de compliancy van internetdomeinen;
• Het in huis hebben van de nodige kennis en expertise op het gebied van web eisen en open standaarden.

Wat levert het op?

• Door het constant of periodiek monitoren van de status van internetdomeinen, zijn problemen meteen zichtbaar en worden risico’s maximaal beperkt;
• Doordat internetdomeinen al bij inkoop ‘compliant-by-design’ zijn, wordt de totale beheerlast minder.

De praktijk

Wat gaat er fout?

• Het is belangrijk om te voldoen aan verplichte richtlijnen voor internetdomeinen. Anders kan er heel wat fout gaan, zoals het bij het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) in april 2020 fout ging met e-mail spoofing.

Wat gaat er goed?

• Open standaarden voorkomen zwakke schakels in beveiliging, borgen samenwerking tussen ICT-systemen en maken digitale informatie toegankelijker voor gebruikers.

Verplichte richtlijnen voorbeelden uit de praktijk

Onveilige e-mail

E-mail is onveilig; het is vatbaar voor ‘spoofing’, een trucje waarbij iemand een e-mail kan verzenden met ieder willekeurig e-mailadres als afzender. Zo kunnen mails worden verzonden namens organisaties die daar geen weet van hebben. Aanvallen waarbij misbruik wordt gemaakt van deze kwetsbaarheid, kunnen leiden tot grote schade.

Onduidelijkheid over de echtheid van e-mails ondermijnt tevens het vertrouwen in digitale overheidscommunicatie. Gelukkig kunnen organisaties ‘spoofing’ voorkomen door veiligheidsstandaarden toe te passen. Echter worden die door lang niet alle overheidsorganisaties gebruikt. In april 2020 kwamen het RIVM en Rijksoverheid.nl nog in het nieuws omdat zij vatbaar waren voor e-mailvervalsing. Binnen enkele uren na melding door de journalist was een zogenoemde strikte DMARC-policy toegepast die de kwetsbaarheid oplost. Lees meer over het bestrijden van e-mailfraude.

Open Standaarden

Open standaarden zijn onmisbaar voor een effectieve overheid. Ze voorkomen zwakke schakels in beveiliging, borgen samenwerking tussen ICT-systemen en maken digitale informatie toegankelijker voor gebruikers.

We noemen standaarden ‘open’ als de documentatie laagdrempelig beschikbaar is en de standaard onder gelijkwaardige condities te gebruiken is. Het gebruik van open standaarden verbetert de communicatie tussen partijen, omdat de ICT-systemen elkaar begrijpen en bevordert leveranciersonafhankelijkheid.

Open internetstandaarden zoals DNSSEC, HTTPS, DMARC en IPv6 maken het internet voor iedereen toegankelijker, veiliger en betrouwbaarder. Met Internet.nl kan je eenvoudig controleren of een website of e-mailsysteem voldoet aan verplichte internetstandaarden. Diverse overheidsorganisaties maken tevens gebruik van een afgeschermde dashboardomgeving om grotere sets domeinen periodiek te controleren op het voldoen aan verplichte internetstandaarden. Neem contact op met vraag@internet.nl voor meer informatie.

Herkenbare naamgeving

Hanteer herkenbare en eenduidige naamgeving van internetdomeinen. Wanneer er over de echtheid van internetdomeinen van de overheid verwarring bestaat heeft dat een negatieve impact op het vertrouwen van burgers.

Wat betekent het?

• Focus op een beperkt aantal hoofddomeinnamen – beschouw ze als het merk van je organisatie;
• Zorg voor duidelijke communicatie over wat de domeinnaam precies inhoudt.

Hoe bereik je dit?

• Registreer herkenbare en aansprekende domeinnamen;
• Maak gebruik van sub domeinen in plaats van nieuwe hoofddomeinen.

Wat levert het op?

• De naamgeving van internetdomeinen is duidelijk, herkenbaar en niet dubbelzinnig;
• Door de focus op een beperkt aantal domeinnamen is er weinig verwarring over de echtheid van domeinen;
• Het vertrouwen in de echtheid van domeinnamen van de overheid wordt vergroot.

De praktijk

Wat gaat er fout?

 

• Zonder eenduidige naamgeving is het voor de burger lastig om overheidswebsites te onderscheiden van private websites.

Wat gaat er goed?

• Voor domeinnamen van de Rijksoverheid worden afspraken gemaakt over communicatie van domeinnamen voor websites, sociale media en mobiel.

Herkenbare naamgeving voorbeelden uit de praktijk

Moeilijk herkenbare overheidswebsites

Zonder eenduidige naamgeving is het voor de burger lastig om overheidswebsites te onderscheiden van private websites. Neem als voorbeeld de domeinen zelfzorgcovid19.nl en databronnencovid19.nl. Je ziet aan de naamgeving niet welke van deze twee websites van de overheid is. Bij de domeinen reizentijdenscorona.rijksoverheid.nl, coronadashboard.rijksoverheid.nl en wobcovid19.rijksoverheid.nl is dit wel meteen duidelijk.

Het gebruik van sub domeinen van ‘sterke merken’ helpt de herkenbaarheid vergroten. Daarnaast is het verstandig als de domeinnaamextensie voor overheidswebsites in ieder geval op .nl eindigt. In september 2020 zorgde de website onbedoeldzwanger.info voor verwarring. De website van het ministerie van VWS – bedoeld om mensen te informeren over mogelijke hulp bij zwangerschap, waaronder ook abortus – maakt gebruik van het .info domein, terwijl het domein onbedoeldzwanger.nl al in gebruik was door een anti-abortus organisatie. Lees meer over dit incident.

Domeinnaambeleid Rijksoverheid

Soms is het voor burgers lastig om domeinnamen van de Rijksoverheid te onderscheiden van private domeinnamen. Daarom zijn er voor domeinnamen van de Rijksoverheid afspraken gemaakt over communicatie van domeinnamen voor websites, social media en mobiel. Deze zorgen onder andere voor eenduidigheid en transparantie van beleid en gebruik. De Dienst Publiek en Communicatie (DPC) voert alle domeinnaamregistraties van de Rijksoverheid uit.

DPC is tevens ‘registrar’ en houder van alle domeinnamen van de Rijksoverheid. De Rijksoverheid hanteert criteria voor het gebruik van toplevel-domeinen. Daarbij is .nl het uitgangspunt voor alle rijksdomeinregistraties. Is de .nl-domeinnaam niet beschikbaar/verkrijgbaar, dan komt de naam ook niet in aanmerking voor gebruik via andere toplevel-domeinen zoals .eu of .com, deze routeren immers altijd naar het gelijkluidende .nl-domein.

De toplevel-domeinen .aw-, .cw- en .sx worden slechts gebruikt door de betreffende landen. Overige toplevel-domeinen worden niet gebruikt voor Rijksoverheidsdoeleinden. Op de website van Stichting Internet Domeinregistratie Nederland kunt u controleren wie de ‘registrar’ en houder is van een .nl-domeinnaam.

Interne beheersing, hoe pak je dat aan?

De verantwoordelijkheden voor content en beheer van internetdomeinen liggen vaak verspreid over en binnen verschillende organisatieonderdelen. Voor een goede coördinatie is een centrale controle met mandaat vereist om samenhang en effectiviteit van het domeinportfolio te bewaken.

Wat betekent het?

• Vaststellen en communiceren van beleid, procedures en verantwoordelijkheden;
• Meer mandaat organiseren om op te treden tegen internetdomeinen die niet compliant zijn.

Hoe bereik je dit?

• Stel een beslisboom vast voor registratie van nieuwe internetdomeinen;
• Richt de rol in van poortwachter voor registraties van internetdomeinen;
• Richt rollen in die samenwerking faciliteren tussen bijv. communicatie en ‘product owners'.

Wat levert het op?

• Voor belangrijke en noodzakelijke activiteiten rond internetdomeinen zijn eenduidige afspraken en procedures gemaakt;
• Binnen de organisatie is het duidelijk wie wat doet omtrent internetdomeinen. Hierdoor zijn verantwoordelijkheden expliciet en kan er sneller worden gehandeld.

De praktijk

Wat gaat er goed ?

• Het maken van duidelijke afspraken en procedures binnen de overheid rondom de registratie en oprichting van nieuwe internetdomeinen voorkomt problemen;
• Het is belangrijk dat binnen de organisatie de rol van de poortwachter is belegd om de wildgroei van internetdomeinen tegen te gaan.

Interne beheersing voorbeelden uit de praktijk

Routekaart voor nieuwe websites

Het maken van duidelijke afspraken en procedures binnen de overheid rondom de registratie en oprichting van nieuwe internetdomeinen voorkomt problemen. Zo is het ministerie Sociale Zaken en Werkgelegenheid een routekaart aan het opstellen voor iedereen binnen de organisatie die eraan denkt om een nieuwe website te lanceren. Een routekaart helpt potentiële website-eigenaars op de juiste weg. Men wordt zich hiermee bewust dat het goed beheer van een website meer is dan alleen de vormgeving en content. Door het borgen van regels over hoe om te gaan met het aanmaken van nieuwe websites, zullen websites vaker al vanaf de start voldoen aan veiligheids- en toegankelijkheidseisen. Dit voorkomt reparaties achteraf.

De rol van de poortwachter

Het is belangrijk dat binnen de organisatie de rol van de poortwachter is belegd. De wildgroei van internetdomeinen is mede te wijten aan het feit dat er geen zicht en sturing is op het proces van oprichting van online middelen. Net zoals een centraal overzicht maakt de poortwachtersfunctie het mogelijk om de registratie (en oprichting) van internetdomeinen in goede banen te leiden.

Binnen de Rijksoverheid wordt de poortwachtersfunctie per organisatie ingevuld door de rol van de liaison, die in het domeinnaambeleid is vastgelegd. De liaison heeft de taak om registratieverzoeken te beoordelen en door te geven aan de Dienst Publieke Communicatie (DPC) die het centrale overzicht heeft van de Rijksoverheid.

De strikte liaison constructie blijkt het meest effectief: DPC gaat alleen in op de registratieverzoeken die via de liaisons zelf lopen en dus niet van een andere medewerker van de betreffende Rijksorganisatie.