Deze organisaties kunnen dit al prima regelen. Daar hebben ze de klant niet voor nodig.
Het gaat om Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, en de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert. Vraag of je klant onder NEN7510 valt, pas dan je registratiemethode aan en ontzorg je klanten.

SIDN zoekt als dienst ook al op logo's als betaalde service voor een klant.(SIDN-Logodetectie) En je signaleert ook al voor andere partijen dat er misbruik van gelijkende domeinnamen wordt gemaakt (SIDN-Merkbewaking). Dit is wel een slimme en goedkope manier om een nieuw product aan te kondigen.

Alleen jammer dat het linksom of rechtsom via de verzekeringspremies moet worden betaald door ons allemaal.

Kunnen we deze taken van nationale (cyber-)veiligheid niet beter nationaliseren onder defensie? Dat scheelt een paar manjaar aan commerciele en administratieve krachten die we dan kunnen inzetten voor echte (cyber-)defense.

Volgens SIDN gebeurt dit vaak uit gemak.
Gemak en luiheid zijn onuitroeibaar en heeft al veel ellende veroorzaakt. Komt meestal voor bij mensen met een te hoog salaris.

Even los van het feit dat het product al jaren bestaat is het doel van het onderzoek zorginstellingen erop te wijzen dat men de administratie moet opruimen. Er staan ook aardig wat voorbeelden in waarbij het mis gaat. Zo lastig is het niet om het eigendom bij de instelling neer te leggen, met wat opruimwerk is het op orde en voorkom je in de toekomst potentiele problemen.

Je mag alleen wat je volgens het afgesloten contract aan de een levert niet zomaar opeens aan een ander gaan leveren, zelfs niet als duidelijk lijkt dat het wel voor die ander bedoeld zal zijn. Dat zou contractbreuk zijn. En die instellingen waar het eigenlijk bij hoort moeten niet alleen in de administratie van SIDN eraan gekoppeld worden, die moeten zelf besluiten dat ze de rekeningen gaan betalen en zelf geregeld hebben dat ze hun domeinnaam verlengen voor die verloopt. Die organisaties moeten hier sowieso zelf dingen voor doen die SIDN of Z-CERT niet voor ze kan regelen. Men kan ze op de situatie wijzen, maar ik zie niet in hoe SIDN op eigen houtje de registratie om kan zetten.

Hebben ook gecontroleerd of de zorginstelling het in hun contracten hebben staan
dat ze de domeinnaam krijgen bij problemen ?

De vraag is hoe nuttig dat is als de contactgegevens op naam staan van iemand buiten de instelling (de sportvereniging?). Met een IT leverancier kun je dat nog wel afhechten, de vraag is alleen of iedereen dat doet.

Er is een nog groter risico indien het domein later opgezegd wordt. Hoewel een domein dan in quarantine gaat wordt het uiteindelijk door iemand anders overgenomen. En die persoon kan dan een mailbox aansluiten en ontvangt dan alle emails die op dat moment nog naar dat domein worden verstuurd. Te hopen is dat de patienten en doctors dat domein niet meer gebruiken, maar uit ervaring weet ik dat er nog best gevoelige emails binnen kunnen komen.
Zo had ik ooit een domein overgenomen dat ruim zes maanden daarvoor was opgeheven. De vorige eigenaar was overleden en de nabestaanden gaven er geen aandacht aan. De betreffende eigenaar was een journalist met meerdere sociale-media accounts en lid van diverse nieuwsbrieven. En ja, de "wachtwoord vergeten" optie maakte het mogelijk voor mij om op bijna alles opnieuw in te loggen en rond te snuffelen. Nou ja, ik ben ingelogd en heb direct die accounts verwijderd, maar toch... Het geeft aan hoe gevoelig het kan zijn. Daarna de mailbox maar weggehaald zodat dit domein nu al 4 jaar geen emails meer ontvangt.
Maar stel je eens voor dat dit het domein van een zorginstelling is en alle emails opeens in handen komen van de nieuwe eigenaar! Dat is een enorm probleem conform de AVG/GDPR!
Het grootste probleem kan ontstaan bij een faillisement van je IT-leverancier. De curator kan dan gewoon het domein doorverkopen aan de hoogste bieder. Dan heb je als zorgverlener echt een probleem. Zeker als je de curator niet wilt betalen. Het domein en eventuele hosting en mailboxen vallen dan onder het faillissementsboedel. De curator moet wel rekening houden met de AVG en dus de privacy waarborgen, maar hoe controleer je dat? Als de koper aangeeft de AVG te respecteren dan ben je alsnog alles kwijt. Klantgegevens gaan niet over, want dat vereist een verwerking van persoonsgegevens en de curator en koper hebben dat recht niet.
Hoe dan ook, een faillisement van de IT-leverancier die het domein, de host en de mailboxen beheert is een extreem risico en het zou zorgverlenbers wettelijk verboden moeten zijn om niet zelf de eigenaar van dit alles te zijn! Dus domein op naam van de zorgverlener en de hosting en mailboxen goed veilig stellen (binnen Europa, want AVG!) en hoge boetes voor zorgverleners die daar niet aan voldoen!

De IT'er s in de zorg doen aan standaardisatie, gebruiken forum voor standaardisatie. Deze schrijven over registraties via DPC - https://www.forumstandaardisatie.nl/publicaties/regie-op-internetdomeinen - Het probleem zit voornamelijk in management en media/communicatie medewerkers. Deze gaan, niet gehinderd door enige kennis DNS registraties doen bij de eerste site die google teruggeeft. Met als gevolg een wildgroei aan DNS namen, met alle beveiligingsproblemen er achteraan.

Hyarchisch gezien...
Wereldwijd is helemaal niemand een eigenaar van de root.
En daarom...
Wereldwijd is helemaal niemand een eigenaar van een TLD.
Zelfs een .gov of .mil en zelfs .arpa heeft geen eigenaar, wel een registrant.
En daarom...
Wereldwijd is helemaal niemand een eigenaar van een domeinnaam.
Ook zorginstellingen dus nooit.

Wereldwijd -en tegenwoordig met TLD's als .space en .moon en .earth ook daarbuiten- echt niemand.

Zelfs als je per sé het verschil tussen gebruiksrecht en eigendom niet wenst te willen begrijpen...
...het zou toch gek zijn wanneer je eigenaar zou zijn, maar toch jaarlijks moet betalen voor eigendom.

Al had .ro dat overigens aanvankelijk; enkel een eenmalige registratie-fee.
Maar ook daar evenmin; nog steeds geen eigendom, maar slechts gebruiksrecht aan de registrant.