Hoe veilig zijn je data en je privacy eigenlijk als je een website van een verzekeraar bezoekt of er handelingen verricht (declaraties)?
Een aantal indicatieve factoren onderzocht in navolging van de vorige test van verzekeraar websites op privacy en tracking (Verzekeraar Websites op 'Privacy' vergeleken) , nu een vervolg met meegenomen diverse algemene security tests als scores van SSl labs, scores op security headers en de implementatie van Strict Transport Security HSTS.

Nieuw overzicht
Leverde dat een nieuwe lijst en nieuwe inzichten op?
Kijk maar mee met een hernieuwd spreadsheet overzicht uit de andere forum post.
De meest ongunstige tabel aangevuld met andere parameters, de tabel met wat er op een site gebeurt als je haar bezoekt maar nog geen toestemming hebt gegeven voor het plaatsen van cookies.

Als je net geland bent, wat gebeurt en wel, of juist niet wat je graag wel had gezien dat er gebeurde qua security?


De Sortering Privacy Security List
Start referentie is de 3e tabel van vorig topic "Verzekeraar Websites op 'Privacy' vergeleken".
De sortering, ja, dat is een lastige, wat weegt zwaarder?
Hoe sorteer je dan?
Voor diverse volgordes valt wat te zeggen, al heb je dat probleem niet als je gewoon goed scoort !
Helaas is dat niet zo.

De sortering die ik heb aangehouden is een vervolg, eentje met nadruk op security en daarna op de privacy die voor verbetering vatbaar is.
De score van SSL labs heb ik steeds als security-slotsortering gebruikt omdat de variatie hierin het kleinst is, met andere woorden, de meesten liggen op dit punt dicht bijelkaar, scoren wel een A of A+.
Maar niet allemaal.

Toegepaste sorteervolgorde :

1e sortering binnen 'tabel'
- HSTS implementatie
- Security Headers score
- SSL Labs score

2e sortering binnen 'tabel'
- En daarna apart binnen het vijftal tiental gesorteerd op het minste aantal trackers en verbindingen.

Dat levert een interessant lijstje op dat een soort gemiddelde oplevert tussen verschillende soorten securitymaatregelen en risico's die je als bezoekers loopt.

Zo kan het zijn dat een website van een verzekeraar die notoir veel aan tracking doet c.q. reclame toont, toch wat omhoog schit omdat zij op sommige security punten goed scoort.
Niet onbelangrijk als je zoveel externe actoren op je website toelaat.
Hoe meer partijen actief hoe belangrijker het is dat de security dan ook he-le-maal toppie joppie is!

Is het super toppie joppie op dit soort sites met veel reclame en tracking, nou nee, en das dan weer jammer, te jammer voor de klant die dus relatief veel lasten draagt ; anderen bieden meer privacy en meer security (en misschien toch ook nog wel een lagere premie).

Maar, maar , maar (!),
zoals het met dit soort voor discussie vatbare sorteringen gaat, zitten er altijd wel wat gekke uitzonderingen tussen die wellicht een te hoge plaats of juist een te lage kregen; wat is alsnog belangrijker, de security header grade op het aantal trackers op een website?
Antwoord, zelf beoordelen zie de data als een richtlijn en overzicht, het is uiteindelijk jouw shop event (maar ik zou zelf niet gaan voor de verzekeraars die het minst presteren, het zegt toch wat).

Dus : Conclusies op basis van de tabel en de losse data mag je wederom helemaal zelf trekken voor je eigen tip-top-10 als je een verzekeraar zoekt of aan het einde van het jaar wil gaan switchen.


• Van zuinig data verzamelen en goede beveiliging naar minder beveiliging en meer verzamelen met meer 'reclame en evenzo vele externe verbindingen'

Bij (nog) Niet gegeven akkoord op de cookiemelding

Top
1) DSW : SSL labs: A, Sec.Headrs: B, HSTS: Ja , 2 'trackers' met 7 èxt. Connecties
2) Stad Holland Zorgverzekeraar : SSL labs: A, Sec.Headrs: B, HSTS: Ja , 2 'trackers' met 7 èxt. Connecties
3) Twente Zorgverzekeraar : SSL labs: A, Sec.Headrs: B, HSTS: Ja , 2 'trackers' met 7 èxt. Connecties
4) ONVZ : SSL labs: A+, Sec.Headrs: A, HSTS: Ja , 3 'trackers' met 7 èxt. Connecties
5) PNO : SSL labs: A+, Sec.Headrs: A, HSTS: Ja , 7 'trackers' met 9 èxt. Connecties

Subtop
6) Zekur : SSL labs: A, Sec.Headrs: C, HSTS: Ja , 3 'trackers' met 4 èxt. Connecties
7) Pro life : SSL labs: B, Sec.Headrs: B, HSTS: Ja , 3 'trackers' met 5 èxt. Connecties
8) Zilveren Kruis : SSL labs: B, Sec.Headrs: B, HSTS: Ja , 3 'trackers' met 8 èxt. Connecties
9) OZF : SSL labs: B, Sec.Headrs: B, HSTS: Ja , 4 'trackers' met 9 èxt. Connecties
10) Avero ACHMEA : SSL labs: B, Sec.Headrs: B, HSTS: Ja , 5 'trackers' met 7 èxt. Connecties

Verder
11) United customers : SSL labs: B, Sec.Headrs: D , HSTS: Ja (met min) 3 'trackers' met 6 èxt. Connecties
12) Univé : SSL labs: A+, Sec.Headrs: D , HSTS: Ja , 3 'trackers' met 8 èxt. Connecties
13) Holland Zorg : SSL labs: A+, Sec.Headrs: D , HSTS: Ja , 4 'trackers' met 5 èxt. Connecties
14) DE FRIESLAND : SSL labs: A, Sec.Headrs: D , HSTS: Ja (met min) 4 'trackers' met 6 èxt. Connecties
15) Umc zorgverzekering : SSL labs: C, Sec.Headrs: D , HSTS: Ja , 4 'trackers' met 8 èxt. Connecties
16) Salland zorgverzekeringen : SSL labs: A+, Sec.Headrs: D , HSTS: Ja , 5 'trackers' met 3 èxt. Connecties
17) VGZ : SSL labs: C, Sec.Headrs: D , HSTS: Ja , 5 'trackers' met 13 èxt. Connecties
18) CZ : SSL labs: B, Sec.Headrs: D , HSTS: Ja , 5 'trackers' met 15 èxt. Connecties
19) Bewuzt Zorgverzekerd : SSL labs: A+, Sec.Headrs: D , HSTS: Ja , 6 'trackers' met 13 èxt. Connecties
20) ZorgDirect : SSL labs: A+, Sec.Headrs: D , HSTS: Ja , 15 'trackers' met 18 èxt. Connecties

Twijfel?
21) De Amersfoortse : SSL labs: A, Sec.Headrs: D , HSTS: Nee , 3 'trackers' met 3 èxt. Connecties
22) Menzis : SSL labs: A, Sec.Headrs: D , HSTS: Nee , 4 'trackers' met 5 èxt. Connecties
23) AnderZorg : SSL labs: A, Sec.Headrs: D , HSTS: Nee , 4 'trackers' met 6 èxt. Connecties
24) BESURE;D : SSL labs: A, Sec.Headrs: D , HSTS: Nee , 4 'trackers' met 7 èxt. Connecties
25) National Academic : SSL labs: A, Sec.Headrs: D , HSTS: Nee , 5 'trackers' met 7 èxt. Connecties
26) iZA : SSL labs: A, Sec.Headrs: D , HSTS: Nee , 5 'trackers' met 12 èxt. Connecties
27) CZ Direct : SSL labs: A, Sec.Headrs: F, HSTS: Nee , 5 'trackers' met 12 èxt. Connecties
28) FBTO : SSL labs: B , Sec.Headrs: C, HSTS: Nee , 5 'trackers' met 13 èxt. Connecties
29) Promovendum : SSL labs: A, Sec.Headrs: D , HSTS: Nee , 9 'trackers' met 9 èxt. Connecties
30) Ditzo : SSL labs: A, Sec.Headrs: D , HSTS: Nee , [/b]9[/b] 'trackers' met 20 èxt. Connecties

Laat maar nog even?
31) OHRA : SSL labs: A, Sec.Headrs: F, HSTS: Nee , 2 'trackers' met 7 èxt. Connecties
32) IpTiQ : SSL labs: A, Sec.Headrs: F, HSTS: Nee , 3 'trackers' met 4 èxt. Connecties
33) iZZ : SSL labs: A, Sec.Headrs: F, HSTS: Nee , 4 'trackers' met 4 èxt. Connecties
34) Zorgcollectief FNV : SSL labs: A, Sec.Headrs: F, HSTS: Nee , 4 'trackers' met 7 èxt. Connecties
35) PMA : SSL labs: A, Sec.Headrs: F, HSTS: Nee , 7 'trackers' met 9 èxt. Connecties
36) VvAA : SSL labs: A, Sec.Headrs: F, HSTS: Nee , 10 'trackers' met 12 èxt. Connecties
37) Hema verzekeringen : SSL labs: F, Sec.Headrs: F, HSTS: Nee , 11 'trackers' met 13 èxt. Connecties

(foutjes voorbehouden, heb mijn best gedaan die te voorkomen, dubbele iZA verwijderd en eerder weggevallen FBTO weer meegenomen)


En natuurlijk het (extra) data overzicht waarop de tabel gebaseerd is.
De basis data omtrent de privacy en tracking staat onder de andere posting ,
https://www.security.nl/posting/559223/Verzekeraar+Websites+op+'Privacy'+vergeleken


• Verzekeraars op alfabetische volgorde

Basis info bij nog geen akkoord geven op de cookiemelding, daarna wordt het aantal tracker meestal meer en ook het aantal verbindingen, zie informatie eerder topic.
(foutjes voorbehouden, zie het als een indicatie, check het zelf en misschien verandert het plots ook wel ten positieve aankomende tijd, je weet het niet .. ;-)


= = =


• AnderZorg

AnderZorg : 4 trackers', met 6 èxterne connecties

https://www.anderzorg.nl/

Score ssllabs.com : A
Score securityheaders.com : D

HSTS : Nee

https://www.ssllabs.com/ssltest/analyze?d=www.anderzorg.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.anderzorg.nl


= = =


• Avero ACHMEA

Avero ACHMEA : 5 trackers', met 7 èxterne connecties

https://www.averoachmea.nl/

Score ssllabs.com : B
Score securityheaders.com : B

HSTS : Ja

https://www.ssllabs.com/ssltest/analyze?d=www.averoachmea.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.averoachmea.nl


= = =


• BESURE;D

BESURE;D : 4 trackers', met 7 èxterne connecties , (zag geen verschil voor/na cookie toestemming)

https://www.besured.nl/

Score ssllabs.com : A
Score securityheaders.com : D

HSTS : Nee

https://www.ssllabs.com/ssltest/analyze?d=www.besured.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.besured.nl


= = =


• Bewuzt Zorgverzekerd

Bewuzt Zorgverzekerd : 6 trackers', met 13 èxterne connecties , (zag geen verschil voor/na cookie toestemming)

https://www.bewuzt.nl/

Score ssllabs.com : A+
Score securityheaders.com : D

HSTS : Ja

https://www.ssllabs.com/ssltest/analyze?d=www.bewuzt.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.bewuzt.nl


= = =


• CZ

CZ : 5 trackers', met 15 èxterne connecties

https://www.cz.nl/

Score ssllabs.com : B
Score securityheaders.com : D

HSTS : Ja

Melding (observatory.mozilla.org 4etab 3rd party tests) : This site uses a Symantec cert issued on or after June 1, 2016, and will be distrusted by Firefox 63 and Chrome 70. Please replace its certificate immediately.
Volgens ssl labs : "This server's certificate will be distrusted by Google and Mozilla from September 2018."

https://www.ssllabs.com/ssltest/analyze?d=www.cz.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.cz.nl


= = =


• CZ Direct

CZ Direct : 5 trackers', met 12 èxterne connecties

https://www.czdirect.nl

Score ssllabs.com : A
Score securityheaders.com : F

HSTS : Nee

Melding (observatory.mozilla.org 4etab 3rd party tests) : This site uses a Symantec cert issued on or after June 1, 2016, and will be distrusted by Firefox 63 and Chrome 70. Please replace its certificate immediately.
Volgens ssl labs : "This server's certificate will be distrusted by Google and Mozilla from September 2018."

https://www.ssllabs.com/ssltest/analyze?d=www.czdirect.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.czdirect.nl


= = =


• De Amersfoortse

De Amersfoortse : 3 trackers', met 3 èxterne connecties

https://www.amersfoortse.nl/

Score ssllabs.com : A
Score securityheaders.com : D

HSTS : Nee

https://www.ssllabs.com/ssltest/analyze?d=www.amersfoortse.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.amersfoortse.nl


= = =


• De Friesland

De Friesland : 4 trackers', met 6 èxterne connecties

https://www.defriesland.nl/consumenten/default.aspx

Score ssllabs.com : A
Score securityheaders.com : D

HSTS : Ja-

Melding securityheaders.com : "Strict-Transport-Security The "max-age" directive is too small. The minimum recommended value is 2592000 (30 days). "

https://www.ssllabs.com/ssltest/analyze?d=www.defriesland.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.defriesland.nl


= = =


• Ditzo

Ditzo : 9 trackers', met 20 èxterne connecties

https://www.ditzo.nl/

Score ssllabs.com : A
Score securityheaders.com : D

HSTS : Nee

https://www.ssllabs.com/ssltest/analyze?d=www.ditzo.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.ditzo.nl


= = =


• DSW

DSW : 2 trackers', met 7 èxterne connecties , (zag geen verschil voor/na cookie toestemming)

https://web.dsw.nl/consumenten

Score ssllabs.com : A
Score securityheaders.com : B

HSTS : Ja

https://www.ssllabs.com/ssltest/analyze?d=web.dsw.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=web.dsw.nl


= = =


• FBTO

FBTO

https://www.fbto.nl/paginas/default.aspx

5 'trackers' connectie met eigen domein èn 13 èxterne connecties voor akkoord cookiemelding

Score ssllabs.com : B
Score securityheaders.com : C

HSTS : Nee

https://www.ssllabs.com/ssltest/analyze?d=www.fbto.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.fbto.nl


= = =


• Hema verzekeringen

Hema verzekeringen : 11 trackers', met 13 èxterne connecties

https://verzekerdbijhema.nl/

Score ssllabs.com : F
Score securityheaders.com : F
HSTS : Nee

https://www.ssllabs.com/ssltest/analyze?d=verzekerdbijhema.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=verzekerdbijhema.nl


= = =


• Holland Zorg

Holland Zorg : 4 trackers', met 5 èxterne connecties

https://www.hollandzorg.com/nl

Score ssllabs.com : A+
Score securityheaders.com : D

HSTS : Ja

https://www.ssllabs.com/ssltest/analyze?d=www.hollandzorg.com
https://securityheaders.com/?followRedirects=on&hide=on&q=www.hollandzorg.com


= = =


• IpTiQ

IpTiQ : 3 trackers', met 4 èxterne connecties , (zag geen cookie melding)

https://www.iptiq.com/nl/

Score ssllabs.com : A
Score securityheaders.com : F

HSTS : Nee

https://www.ssllabs.com/ssltest/analyze?d=www.iptiq.com
https://securityheaders.com/?followRedirects=on&hide=on&q=www.iptiq.com


= = =


• iZA

iZA : 5 trackers', met 12 èxterne connecties

https://www.iza.nl/

Score ssllabs.com : A
Score securityheaders.com : D

HSTS : Nee

https://www.ssllabs.com/ssltest/analyze?d=www.iza.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.iza.nl


= = =


• iZZ

iZZ : 4 trackers', met 4 èxterne connecties , (zag geen cookie melding)

https://www.izz.nl/

Score ssllabs.com : A
Score securityheaders.com : F

HSTS : Nee

https://www.ssllabs.com/ssltest/analyze?d=www.izz.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.izz.nl


= = =


• Menzis

Zorgcollectief FNV : 4 trackers', met 7 èxterne connecties

https://www.fnvmenzis.nl/

Score ssllabs.com : A
Score securityheaders.com : F

HSTS : Nee

https://www.ssllabs.com/ssltest/analyze?d=www.fnvmenzis.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.fnvmenzis.nl


= = =


• National Academic

National Academic : 5 trackers', met 7 èxterne connecties , (zag geen verschil voor/na cookie toestemming)

https://www.nationalacademic.nl/

Score ssllabs.com : A
Score securityheaders.com : D

HSTS : Nee

https://www.ssllabs.com/ssltest/analyze?d=www.nationalacademic.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.nationalacademic.nl


= = =


• OHRA

OHRA : 2 trackers', met 7 èxterne connecties

https://www.ohra.nl/

Score ssllabs.com : A
Score securityheaders.com : F

HSTS : Nee

Melding (observatory.mozilla.org , 4e tab 3rd party tests) : This site uses a Symantec cert issued on or after June 1, 2016, and will be distrusted by Firefox 63 and Chrome 70. Please replace its certificate immediately.
Volgens ssl labs : "This server's certificate will be distrusted by Google and Mozilla from September 2018."

https://www.ssllabs.com/ssltest/analyze?d=www.ohra.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=www.ohra.nl


= = =


• ONVZ

ONVZ : 3 trackers', met 7 èxterne connecties , (zag geen verschil voor/na cookie toestemming)

https://www.onvz.nl/

Score ssllabs.com : A+
Score securityheaders.com : A

HSTS : Ja

https://www.ssllabs.com/ssltest/analyze?d=www.onvz.nl
https://securityheaders.com/?followRedirects=on&hide=on&q=https://www.onvz.nl


= = =


Wordt vervolgd