Toepassing van internetstandaarden voor websites van bedrijven, 2024

1. Introductie

1.1 Achtergrond

In 2020 is het CBS in opdracht van het ministerie van Economische Zaken samen met Platform Internetstandaarden een onderzoek begonnen naar het gebruik van internetstandaarden op websites van bedrijven in Nederland. Het doel van dit onderzoek is om in kaart te brengen in hoeverre bedrijven per bedrijfsgrootteklasse en bedrijfstak (veilige) internetstandaarden gebruiken.

Het toepassen van internetstandaarden verhoogt de veiligheid, betrouwbaarheid en toegankelijkheid van het internet. In dit onderzoek wordt de webtool Internet.nl van Platform Internetstandaarden gebruikt om websites van bedrijven te toetsen. Met deze tool kan een website getoetst worden op het gebruik van bijna veertig internetstandaarden. Op basis van deze testen wordt een eindscore toegekend als percentage tussen 0 en 100 procent. Een website met een eindscore van 100 procent voldoet aan alle eisen om de website zo veilig, betrouwbaar en toegankelijk mogelijk te maken.

In dit onderzoek wordt de scanmethodiek van Internet.nl toegepast op een representatieve steekproef van bedrijvenwebsites. De websites die gescand worden zijn verkregen uit de CBS-enquête ‘ICT-gebruik bij bedrijven’ (verder kortweg ‘ICT-enquête’ genoemd) voor de jaren 2020 t/m 2024 (CBS, 2020, 2021, 2022a, 2023b,2024a). In deze enquête wordt gevraagd of een bedrijf een eigen website heeft, en zo ja, wat de website (domeinnaam of URL) is met de meeste bezoekers (de hoofdwebsite). Deze websites worden vervolgens met de webtool Internet.nl gescand. Doordat de websites via een representatieve steekproef verkregen zijn, kan per bedrijfsgrootteklasse en bedrijfstak bepaald worden in welke mate veilige internetstandaarden worden toegepast op de websites van bedrijven.

De resultaten van eerdere scans zijn gepubliceerd in drie eerdere longreads (CBS, 2022b, 2023c, 2024b). In het rapport dat nu verschijnt zijn twee nieuwe scans toegevoegd. Deze zijn in januari 2025 uitgevoerd op de websites die zijn verkregen uit de ICT-enquête van 2024. Ook is de analysemethode met terugwerkende kracht vanaf 2020 verbeterd. Hierdoor konden meer websites worden meegenomen in de analyses. De cijfers in dit rapport kunnen daarom licht verschillen van de cijfers in eerdere publicaties (CBS, 2022b, 2023c, 2024b). Een overzicht van alle scandata wordt gegeven in tabel 2.1.2.

1.2 Type scans

Met één URL kan met de webtool Internet.nl twee typen scans worden uitgevoerd: een scan naar het gebruik van internetstandaarden op de website en een scan naar het gebruik van internetstandaarden op de bijbehorende e-mailserver. Beide type scans leveren uiteindelijk per domeinnaam een score tussen de 0 en 100 procent op. Deze score wordt door Internet.nl berekend aan de hand van de uitslag van bijna veertig onderliggende testen voor zowel de websitescan als de e-mailscan.

De testen van de websitescan zijn onder te verdelen in vijf categorieën, namelijk:

  • IPv6: Bereikbaarheid via een modern internetadres.
  • DNSSEC: Gebruik van een ondertekende domeinnaam.
  • HTTPS: Gebruik van een beveiligde verbinding.
  • Beveiligingsopties: Gebruik van ingestelde applicatie-beveiligingsopties.
  • RPKI: Autorisatie voor routering.

Iedere categorie bestaat weer uit losse subtesten waarmee bepaald wordt of een bedrijf slaagt voor de categorie of niet. In tabel A.2.1 wordt een overzicht van de categorieën van de websitescan met alle onderliggende subtesten gegeven.

De testen van de e-mailscan zijn ook op te delen in vijf categorieën, namelijk:

  • IPv6: Bereikbaarheid via een modern internetadres.
  • DNSSEC: Gebruik van een ondertekende domeinnaam.
  • DMARC, DKIM, SPF: Authenticatie als protectie tegen phishing via e-mail.
  • STARTTLS en DANE: Beveiligde e-mailserververbinding.
  • RPKI: Autorisatie voor routering.

Iedere categorie bestaat uit losse subtesten waarmee bepaald wordt of een bedrijf slaagt voor de categorie of niet. In tabel A.3.1 wordt een overzicht van de categorieën van de e-mailscan met alle onderliggende subtesten gegeven.

In dit rapport worden de resultaten van zowel de website- als e-mailscans gepresenteerd. De e-mailscans zijn hierbij pas toegevoegd vanaf 2023. In hoofdstuk 2 wordt eerst de methode beschreven die gebruikt is om de Internet.nl-scans uit te voeren en te analyseren. De resultaten van de websitescans en e-mailscans worden achtereenvolgens in hoofdstuk 3 en hoofdstuk 4 besproken. Een overzicht van alle onderliggende website- en e-mailtesten wordt in bijlage B en C gegeven. In hoofdstuk 5 worden de conclusies van dit onderzoek gegeven.