Toepassing van Internetstandaarden voor websites van bedrijven

2. Methodebeschrijving

2.1 Statistische analyse van het gebruik van internetstandaarden voor websites van bedrijven

Enquête ‘ICT-gebruik bij bedrijven’

De domeinnamen die in dit onderzoek gebruikt worden, zijn verkregen uit de enquête ‘ICT-gebruik bij bedrijven’ (kort: de ICT-enquête). In deze jaarlijkse enquête onderzoekt het CBS het gebruik van informatie- en communicatietechnologie (ICT) door bedrijven. Er wordt op verschillende aspecten van ICT-gebruik ingegaan, zoals ‘ICT-veiligheid’, ‘ICT en personeel’ en ‘software- en hardwaregebruik’. De gegevens worden uiteindelijk uitgesplitst naar bedrijfsgrootteklasse en bedrijfstak gepubliceerd op Statline.

2.1.1(a) Bedrijven met een website per bedrijfsgrootteklasse.
breakdown2022 (% van bedrijven)2021 (% van bedrijven)2020 (% van bedrijven)
2 of meer werkzame personen777871
250 of meer werkzame personen989796
50 tot 250 werkzame personen959591
10 tot 50 werkzame personen929283
2 tot 10 werkzame personen747568
ZZP'ers34

2.1.1(b) Bedrijven met een website per bedrijfstak.
breakdown2022 (% van bedrijven)2021 (% van bedrijven)2020 (% van bedrijven)
ICT-sector868779
Gezondheids- en welzijnszorg899088
Verhuur/overige zakelijke dnst.777570
Special. zakelijke diensten797772
Verhuur en handel van onr. goed556051
Financiële dienstverlening748262
Informatie en communicatie848980
Horeca788369
Vervoer en opslag535254
Handel787973
Bouwnijverheid687157
Energie, water, afvalbeheer716161
Industrie838379

In de ICT-enquête wordt gevraagd of het bedrijf een website heeft. In figuur 2.1.1(a) is te zien dat ruim drie op de vier (77 procent) van de bedrijven met twee of meer werknemers deze vraag positief beantwoordt. Grote bedrijven hebben vaker een eigen website hebben dan kleine bedrijven: in 2022 had van de bedrijven met 250 en meer werknemers 98 procent een website tegen 76 procent van de bedrijven met 2 tot 10 werknemers. ZZP’ers zijn pas recent toegevoegd en worden in dit onderzoek alleen bij de scans van 2022 en 2023 meegenomen. Voor deze laatste twee jaren worden de websites van dezelfde ICT-enquête 2022 genomen; daarom wordt in figuur 2.1.1 alleen het jaar 2022 getoond. ZZP’ers geven het minst vaak aan dat ze een website hebben: in 2022 had ruim één op de drie (34 procent) van de ZZP’ers een website.

Aan bedrijven die aangeven een website te hebben, wordt in de ICT-enquête vervolgens gevraagd om de URL (Uniform Resource Locator oftewel het internetadres) van de website gevraagd. Als het bedrijf meerdere websites heeft, wordt gevraagd de URL van de website met de meeste bezoekers per dag op te geven (de hoofdwebsite). Op deze manier heeft een bedrijf altijd hooguit één website gekoppeld. De websites die op deze manier verkregen zijn, vormen de invoer van de veiligheidsscan van Internet.nl, de website-scantool van Platform Internetstandaarden.

2.1.2 Detail van de Internet.nl scans
LabelScandatumEnquêtejaarWebsitescanE-mailscan
20202020-10-222020JaNee
20212022-03-312021JaNee
20222022-12-242022JaNee
20232023-04-062022JaJa

Websitescan bij Internet.nl

De websites die uit de ICT-enquête verkregen worden, zijn vervolgens met de API van Internet.nl gescand. Op deze manier is er per bedrijf met een website een score voor het gebruik van internetstandaarden van de website verkregen. Ook worden alle uitslagen van de onderliggende subtesten geleverd, zodat per internetstandaard bepaald kan worden of hier aan voldaan wordt. Doordat is gewerkt met een statistisch representatieve steekproef, kunnen ook de landelijke gemiddelden van de uitkomsten per bedrijfsgrootteklasse en bedrijfstak worden berekend.

De Internet.nl webtool kan zowel de website als de e-mail van een bedrijf testen op het gebruik van (veilige) internetstandaarden. De scan van de websites is vier keer gedaan op basis van drie verschillende steekproeven voor de jaren 2020, 2021 en 2022 (Zie Statline enquêtes CBS, 20202021b2022a). De vierde scan is gedaan op basis van de steekproef van 2022, alleen zijn de websites nogmaals 5 maanden later gescand. De details van de scandata zijn in tabel 2.1.2 terug te vinden. Per scan is de steekproef van websites van het bijbehorende enquêtejaar gebruikt. De scans worden dan ook aangeduid met de referentiejaren van de ICT-enquête 2020, 2021 en 20222); de scan uitgevoerd in april 2023 is weliswaar gebaseerd op de steekproef van de enquête van 2022, maar wordt voor de duidelijkheid toch met 2023 aangeduid omdat de scan in april 2023 uitgevoerd is.

In figuren 2.1.3(a) en 2.1.3(b) worden de verdelingen van de bedrijfsgrootteklassen en bedrijfstakken voor de achtereenvolgende jaren gegeven. Merk op dat in 2022 voor het eerst ook ZZP’ers aan de enquête deelnamen met de grootteklasse van één werkzame persoon. Voor de verdeling over de bedrijfstakken worden altijd alleen de bedrijven met twee of meer werkzame personen meegenomen. Dit geldt ook voor alle gepresenteerde statistieken voor de bedrijfstakken in dit rapport. Daarnaast wordt in figuur 2.1.3(b) de verdeling over de bedrijfstakken getoond. In de resultaten zullen we ook de uitkomsten voor de ICT-sector presenteren; hierbij moet wel opgemerkt worden dat dit een samengestelde bedrijfstak is.

2.1.3(a) Verdeling van de gescande domeinnamen over de bedrijfsgrootteklassen.
 2023202220212020
250 of meer werkzame personen8,798519,682129,7271912,7643
50 tot 250 werkzame personen25,332326,841125,68232,3643
10 tot 50 werkzame personen24,853827,165625,867231,0782
2 tot 10 werkzame personen26,23624,125822,015823,7932
ZZP`ers14,779412,185416,7078

2.1.3(b) Verdeling van de gescande domeinnamen over de bedrijfstakken.
sbi_digit1_statline2023202220212020
Gezondheid en welzijnszorg8,689778,556518,036789,09091
Verhuur/overige zakelijke dnst.11,207411,013711,476611,567
Special. zakelijke dienstver.14,239313,952913,997114,4942
Verhuur/handel onr.goed2,32812,008572,264061,29112
Financiële dienstverlening1,786682,10232,439181,7775
Informatie/Communicatie11,50519,333159,393968,95826
Horeca3,708723,79624,484333,29855
Vervoer/Opslag4,764485,644085,497536,20799
Handel16,161316,918915,773317,2886
Bouwnijverheid4,250144,867434,753274,93456
Energie/water/afval1,624261,573381,538561,40608
Industrie19,734720,23320,345219,6852

Ophoging van de eindscore

Zoals gezegd wordt per domeinnaam een eindscore bepaald met de scanmethodiek van Internet.nl die weergeeft hoe goed de website van het bedrijf internetstandaarden toepast. Deze eindscore wordt berekend met subtesten die opgedeeld zijn naar de vijf categorieën die in paragraaf 1.2 gegeven zijn. Doordat de websites uit een representatie steekproef verkregen zijn, is het mogelijk om de gemiddelde score van de testuitslag per bedrijfsgrootteklasse en bedrijfstak te berekenen. Hiertoe wordt het gewogen gemiddelde met weegfactoren berekend, waarbij de weegfactor verkregen wordt door per bedrijfsgrootteklasse en bedrijfstak het aantal bedrijven in de populatie te delen door het aantal bedrijven in de steekproef. De uiteindelijk grootteklassen en bedrijfstakken die in dit rapport worden gebruikt, zijn opgenomen in tabel A.1.1 en tabel A.1.2

2.2 Verdeling van de website over de verschillende domeinextensies

2.2.1(a) Verdeling van de domeinextensies per bedrijfsgrootteklasse.
 .nl (% van bedrijven met website).com (% van bedrijven met website).eu (% van bedrijven met website)overig (% van bedrijven met website)
2 of meer werkzame personen81,813,11,83,3
250 of meer werkzame personen71,324,42,32
50 tot 250 werkzame personen64,2302,73,1
10 tot 50 werkzame personen78,316,82,22,7
2 tot 10 werkzame personen83,611,21,73,5
ZZP`ers83,610,91,63,8

2.2.1(b) Verdeling van de domeinextensies per bedrijfstak.
 .nl (% van bedrijven met website).com (% van bedrijven met website).eu (% van bedrijven met website)overig (% van bedrijven met website)
ICT-Sector75,916,51,75,9
Gezondheid en welzijnszorg85,58,11,25,2
Verhuur/overige zakelijke dnst.85,58,51,14,9
Special. zakelijke dienstver.81,413,31,43,9
Verhuur/handel onr.goed91,370,71
Financiële dienstverlening80,413,133,5
Informatie/Communicatie7618,30,55,2
Horeca8310,40,56
Vervoer/Opslag83,513,11,42
Handel80,413,64,11,8
Bouwnijverheid93,83,80,32,1
Energie/water/afval79,115,63,51,9
Industrie8015,422,7

In de figuren 2.2.1(a) en 2.2.1(b) wordt per bedrijfsgrootteklasse en bedrijfstak de verdeling getoond van de domeinextensies over de meeste voorkomende extensies: .nl.com en .eu. De figuur is gebaseerd op de websites verkregen uit de ICT-bedrijven enquête van het jaar 2022. Alle overige extensies zijn in één categorie overig samengenomen. Deze verdeling geeft dus de verdeling van de domeinextensies van de hoofdwebsite van bedrijven. Veel bedrijven hebben meerdere websites, dus de verdeling van alle websites bij elkaar genomen kan verschillen.

De verdeling per bedrijfsgrootteklasse getoond in figuur 2.2.1(a), toont aan dat .nl de meest voorkomende domeinextensie (of top level domain/tld) is: ruim 80 procent van de bedrijven met website met twee of meer werknemers heeft .nl als domeinextensie voor de hoofdwebsite. Ook is te zien dat .nl vaker voorkomt voor kleinere bedrijven, terwijl grote bedrijven met vijftig werknemers of meer relatief wat vaker .com als domeinextensie opgeven. Toch geeft ook van deze groep minimaal 60 procent van de bedrijven aan .nl als domeinextensie te hebben.

Naast .nl wordt ook .com vaak opgegeven als domeinnaamextensie: tot zo’n 30 procent van de bedrijven met 50 tot 250 werknemers. ZZP’ers gebruiken het minst vaak .com als domeinextensie: slechts 10 procent van de ZZP’ers gebruikt .com. De domeinextensie .eu heeft als derde nog een klein aandeel. Daarna zijn er nog veel domeinextensies (meer dan 70 verschillenden) die met zijn allen niet meer dan 4 procent van het totaal uitmaken. Deze domeinextensies worden met de categorie overig aangeduid.

Figuur 2.2.1(b) toont tenslotte de verdeling van domeinnaamextensies per bedrijfstak voor alle bedrijven met website met twee of meer werknemers. Het gebruik van de domeinextensie .nl ligt rond de 80 procent voor alle bedrijfstakken, waarbij de ‘Gezondheid en welzijnszorg’ en ‘Verhuur/overige zakelijke diensten‘ met ruim 85 procent van de bedrijven relatief wat vaker .nl gebruikt, terwijl de ‘Informatie/Communicatie’ bedrijfstak met 76 procent van de bedrijven relatief wat minder .nl gebruikt.

2.3 Enkele internetstandaarden van alle .nl-websites volgens SIDN

In dit rapport wordt het gebruik van (veilige) internetstandaarden bij websites van bedrijven in kaart gebracht. Uitgesplitst naar bedrijfsgrootte en bedrijfstak wordt gepresenteerd welke percentage van bedrijven volgens Internet.nl de internetstandaarden correct toepast voor hun website. Per bedrijf wordt altijd hooguit één website gekoppeld zoals deze in de ICT-enquête door het bedrijf zelf ingevuld is. Er wordt gevraagd naar de website met gemiddeld de meeste bezoekers per dag, hier aangeduid als de hoofdwebsite van het bedrijf. In dit rapport wordt dus de bedrijfseenheid als statistische eenheid gebruikt.

De Stichting Internet Domeinregistratie Nederland (SIDN, 2023) rapporteert op hun dashboard (SIDN Lab, 2023) de tijdseries van een aantal internetstandaarden van alle websites met een .nl domeinextensie. In de rapportage van de SIDN is de website zelf de statistische eenheid: per internetstandaard wordt gerapporteerd welk percentage van alle websites met een .nl-domeinextensie deze standaard toepast. Door het verschil in statistische eenheid kunnen de cijfers in dit rapport dus niet direct vergeleken worden met de percentages van bedrijven die de veiligheidskenmerken toepast. Toch is het zinnig om enkele kenmerken naast elkaar te leggen zodat we kunnen zien of de trends in ieder geval ongeveer hetzelfde zijn.

Fig. 2.3.1 laat de ontwikkeling van vijf veiligheidskenmerken zien als percentage van alle websites met een .nl-domeinnaam zoals gemeten door het SIDN. Het gaat om de volgende kenmerken:

  • DNSSEC Percentage van alle .nl-websites dat is beveiligd met DNSSEC.

  • IPv6 Percentage van alle .nl-websites dat bereikbaar is via IPv6.

  • TLS Percentage van alle .nl-websites waarbij de verbinding tussen de webserver en gebruiker met TLS versleuteld is.

  • HSTS Percentage van alle .nl-websites met een HTTP Strict-Transport-Security HTTP-header (HSTS) waarmee ze browser laten weten dat de website alleen met HTTPS benaderd dient te worden.

  • RPKI Percentage van alle .nl-websites dat Autorisatie voor routering gebruikt. Hiermee kunnen netwerkbeheerders valideren of een gepubliceerde route tussen netwerken geldig is.

2.3.1 Ontwikkeling van veiligheidskenmerken van websites met een .nl-domeinnaam.
 DNSSEC (% van .nl-domeinnamen)IPv6 (% van .nl-domeinnamen)TLS (% van .nl-domeinnamen)HSTS (% van .nl-domeinnamen)RPKI (% van .nl-domeinnamen)
jan '1953,539,731,1
feb '1953,839,230,4
mrt '1954,139,531,1
apr '1954,240,031,8
mei '1954,340,532,4
jun '1954,540,632,6
jul '1954,441,033,4
aug '1954,441,233,9
sep '1954,541,434,2
okt '1954,642,034,6
nov '1954,642,535,8
dec '1954,742,736,5
jan '2054,843,136,48,5
feb '2054,943,536,88,7
mrt '2055,043,737,78,8
apr '2055,244,038,69,2
mei '2055,444,538,89,3
jun '2055,446,739,410,0
jul '2055,647,039,810,1
aug '2055,547,140,09,7
sep '2055,547,240,19,6
okt '2055,547,540,59,7
nov '2055,447,840,89,9
dec '2055,748,241,210,049,9
jan '2156,048,841,410,850,1
feb '2156,249,041,911,750,1
mrt '2156,245,946,311,051,2
apr '2156,450,143,412,052,1
mei '2156,249,943,711,453,7
jun '2156,150,343,412,153,0
jul '2156,150,443,912,354,0
aug '2156,645,844,112,553,4
sep '2157,050,543,813,058,9
okt '2157,150,744,012,762,6
nov '2157,150,544,313,259,9
dec '2157,051,044,513,159,3
jan '2257,149,045,113,258,2
feb '2257,346,048,914,157,4
mrt '2257,445,346,714,358,5
apr '2257,346,645,815,958,5
mei '2257,446,846,416,258,5
jun '2257,450,843,315,358,5
jul '2257,651,043,015,158,5
aug '2257,847,143,415,079,0
sep '2257,845,844,515,679,0
okt '2257,846,443,515,479,0
nov '2257,951,443,615,578,0
dec '2257,951,644,415,780,2
jan '2358,451,544,315,781,3
Bron: SIDN, 2022
De grafieken op het dashboard van SIDN tonen aan dat een steeds groter wordend aandeel van de .nl-websites de internetstandaarden correct toepast. In dit rapport kunnen we deze trend vergelijken met het toepassen van veiligheidsstandaarden per bedrijfsgrootteklasse en bedrijfstak. Voor de scans in dit rapport zijn alle domeinextensies meegenomen zijn, niet alleen .nl-websites. In paragraaf 2.2 is aangetoond dat rond de 80 procent van de hoofdwebsite bij bedrijven een .nl-website is. Toch zijn de uitkomsten in dit rapport niet direct te vergelijken met de cijfers gepresenteerd bij SIDN, omdat in dit rapport alleen de hoofdwebsite van ieder bedrijf genomen wordt, terwijl bedrijven best meerdere websites kunnen hebben. Daarnaast worden bij SIDN alle .nl-websites meegenomen, ook websites die geen eigendom zijn van een bedrijf, maar bijvoorbeeld eigendom zijn van particulieren of domain resellers. Direct vergelijken is dus niet mogelijk, maar we kunnen wel trends naast elkaar leggen. 
2) De scan van de websites uit het enquêtejaar 2021 is pas begin 2022 uitgevoerd. Hierdoor is de interval niet geheel equidistant. Het streven is om de scan over de websites van een enquêtejaar in december van dat enquetejaar uit te voeren, zoals met de laatste scan van 2022 gedaan is.