De afgelopen jaren kregen zorginstellingen met meerdere gevoelige datalekken te maken die het gevolg waren van een verlopen domeinnaam. Een vandaag gepresenteerd stappenplan moet dat in de toekomst voorkomen. De handreiking verlopen domeinnamen (pdf) is opgesteld door het ministerie van Volksgezondheid in samenwerking met stichting Z-CERT en zorginstellingen.

In 2019 lekte Bureau Jeugdzorg Utrecht door een verlopen domeinnaam de dossiers van duizenden kinderen. Vorig jaar kreeg Jeugdriagg met een datalek te maken, dat in 2015 de naam in de Kenter Jeugdhulp veranderde. De zorginstelling behandelt duizenden gezinnen met problemen. De domeinnaam jeugdriagg.nl ging drie jaar na de naamswijziging offline. In plaats van de domeinnaam aan te houden werd die opgeheven en kon zo door RTL Nieuws worden geregistreerd.

In het nu verschenen stappenplan wordt zorginstellingen uitgelegd wat ze kunnen doen om dit soort datalekken te voorkomen. Als eerste moet de organisatie alle domeinnamen in kaart brengen, waar die voor worden gebruikt, welke applicaties/systemen informatie uitwisselen met de domeinnaam, of er een mailserver aan verbonden is, wie de eigenaar en aanvrager van de domeinnaam is en moet de periode en het doel worden vastgelegd waarvoor de domeinnaam is geregistreerd. Al deze informatie moet op een centrale plek zijn ondergebracht.

Daarnaast moeten organisaties voorkomen dat een domeinnaam onbedoeld verloopt en het beheer van domeinnamen centraal worden geregeld. Wanneer een domeinnaam wordt uitgefaseerd moet dit op een nette manier gebeuren en is het nodig om medewerkers en partners hierover te informeren, wijzigingen in applicaties door te voeren, een overgangsperiode in te stellen en het verkeer op de oude domeinnaam te monitoren.

“Verreweg de makkelijkste manier om een datalek te voorkomen is door de oude domeinnaam aan te houden. Een domeinnaam kost vaak maar een tientje per jaar”, zo laat de handreiking weten. In sommige gevallen kan het onwenselijk of zelfs onmogelijk zijn om de domeinnaam te blijven verlengen, bijvoorbeeld in het geval van een faillissement. Zorginstellingen wordt aangeraden om een niet meer gebruikte domeinnaam tenminste nog tien jaar aan te houden, met de voorwaarde dat er al minstens een jaar geen netwerkverkeer overheen gaat.

Image

Source