Nederlandse websites zijn beter beveiligd dan vijf jaar geleden. Maar hoe goed scoren we eigenlijk? En waar zitten de blinde vlekken?
Ik heb de meest recente data bij elkaar gezocht over HTTPS, DNSSEC, e-mailbeveiliging en security headers bij Nederlandse bedrijfswebsites. De conclusie: we scoren boven het Europese gemiddelde, maar het MKB loopt flink achter op grote bedrijven. En met de nieuwe Cybersecuritywet (NIS2) die in 2026 van kracht wordt, is dat een probleem dat steeds urgenter wordt.
Het totaalplaatje: Nederlandse bedrijfswebsites scoren 68%
Het CBS meet jaarlijks samen met het Platform Internetstandaarden hoe goed Nederlandse bedrijven moderne internetstandaarden toepassen. De meest recente meting (2024-scan, gepubliceerd januari 2025) laat zien:
- Gemiddelde score alle bedrijven met website: 68,0%
- Dat is een stijging van 7,6 procentpunt sinds 2020 (toen: 60,4%)
- Grote bedrijven (250+ werknemers) die de volledige test halen: 25,1%
- Kleine bedrijven (2-10 werknemers): slechts 13,7%
Die kloof is veelzeggend. Grotere bedrijven hebben IT-afdelingen, budgetten en bewustzijn. Kleinere bedrijven vertrouwen op hun hostingprovider of webdesigner. En die leveren niet altijd een optimale configuratie af.
Bron: CBS, Toepassing van internetstandaarden voor websites van bedrijven 2024
HTTPS: bijna universeel, maar niet overal
HTTPS (de beveiligde verbinding die je ziet aan het slotje in je browser) is inmiddels de standaard. Wereldwijd gebruikt 92,6% van de top 100.000 websites HTTPS als standaardprotocol (W3Techs, januari 2026). Over alle websites gemeten is dat 87,0%.
Dat klinkt goed, en dat is het ook. Vijf jaar geleden was HTTPS nog lang niet zo vanzelfsprekend. De opkomst van gratis SSL-certificaten via Let’s Encrypt heeft daar enorm aan bijgedragen. Het totale aantal SSL-certificaten op het internet is inmiddels gegroeid tot meer dan 110 miljoen (januari 2026).
Maar HTTPS alleen is niet genoeg. Een beveiligde verbinding zegt niets over de kwaliteit van de beveiliging erachter. Daarvoor moet je kijken naar de andere standaarden.
DNSSEC: het vergeten beveiligingslaagje
DNSSEC (Domain Name System Security Extensions) beschermt tegen DNS-manipulatie. Simpel gezegd: het voorkomt dat iemand je bezoekers stilletjes naar een nep-versie van je website kan sturen.
Nederland scoort hier behoorlijk. Dankzij SIDN (de beheerder van alle .nl-domeinen) is DNSSEC-ondersteuning voor .nl-domeinen goed geregeld. Het staat standaard aan bij de meeste Nederlandse registrars.
Toch laat de CBS-meting zien dat niet alle bedrijfswebsites DNSSEC correct hebben geconfigureerd. Het is een van de standaarden waar het gat tussen grote en kleine bedrijven groot is. De hostingprovider levert het vaak wel, maar de configuratie moet ook correct doorlopen via de registrar.
E-mailbeveiliging: SPF, DKIM en DMARC
E-mail is een van de grootste aanvalsvectoren. Phishing-mails die eruitzien alsof ze van jouw bedrijf komen, zijn een reëel probleem. Drie standaarden beschermen hiertegen:
- SPF (Sender Policy Framework): definieert welke servers namens jouw domein mogen mailen
- DKIM (DomainKeys Identified Mail): voegt een digitale handtekening toe aan je e-mails
- DMARC (Domain-based Message Authentication): vertelt ontvangende mailservers wat ze moeten doen met e-mails die de SPF/DKIM-check niet halen
Het CBS en internet.nl meten de adoptie van deze standaarden al jaren. Het gebruik groeit, maar er is nog veel ruimte. Vooral bij de DMARC-policy is het verschil merkbaar: veel bedrijven hebben wel een DMARC-record, maar met een zwakke policy (p=none) die in de praktijk niets blokkeert.
Internet.nl raadt aan om minimaal `p=quarantine` of `p=reject` te gebruiken voor DMARC, en `~all` of `-all` voor SPF. Dat zijn de configuraties die daadwerkelijk bescherming bieden.
RPKI: de verrassende koploper
RPKI (Resource Public Key Infrastructure) is een standaard voor routeringsbeveiliging. Het voorkomt dat internetverkeer via verkeerde routes wordt geleid, ook wel BGP-hijacking genoemd.
Dit is verrassend genoeg de best nageleefde standaard bij Nederlandse bedrijfswebsites: 80-84% voldoet. Voor overheidssites ligt dat percentage zelfs op 92-93% (meting medio 2024). De groei is indrukwekkend: van 68% in augustus 2022 naar 88% in januari 2025 voor de gehele .nl-zone.
De Nederlandse overheid had als doel gesteld dat alle overheden uiterlijk eind 2024 RPKI geïmplementeerd moesten hebben. Die druk heeft geholpen, ook bij commerciële partijen.
Bron: internet.nl, SIDN
Security headers: het ondergeschoven kindje
Security headers zijn HTTP-headers die de browser vertellen hoe een website beveiligd moet worden. Denk aan:
| Header | Wat het doet |
|---|---|
| HSTS (Strict-Transport-Security) | Dwingt HTTPS af, voorkomt downgrade-aanvallen |
| CSP (Content-Security-Policy) | Beperkt welke bronnen een pagina mag laden, beschermt tegen XSS |
| X-Frame-Options | Voorkomt dat je site in een iframe geladen wordt (clickjacking) |
| X-Content-Type-Options | Voorkomt MIME-type sniffing |
| Referrer-Policy | Beperkt welke informatie wordt meegegeven bij klikken op links |
Dit is het gebied waar Nederlandse websites het minst goed scoren. HSTS-adoptie groeit langzaam, maar CSP (Content Security Policy) wordt nog altijd door een minderheid van sites correct geïmplementeerd. Het is technisch complexer dan de andere standaarden, en veel CMS-systemen (waaronder WordPress) maken het niet makkelijk om een strikte CSP te configureren.
Als je wilt weten hoe jouw website scoort, kun je gratis testen op internet.nl. Je krijgt een gedetailleerd rapport met uitleg per onderdeel.
Nederland vs. Europa
Nederland scoort bovengemiddeld op de meeste webstandaarden in Europa. Dat komt door een combinatie van factoren:
- Sterke digitale infrastructuur (AMS-IX, hoge internetpenetratie)
- Actieve rol van SIDN en Platform Internetstandaarden
- De internet.nl test als gratis, laagdrempelig meetinstrument
- Overheidsdruk via het “pas toe of leg uit”-principe
Maar “bovengemiddeld” betekent niet “goed genoeg”. Het Cybersecurity Assessment Netherlands 2025 (gepubliceerd door NCTV) waarschuwt dat veel digitale incidenten worden veroorzaakt door een gebrek aan basale “digitale hygiëne”. De dreiging wordt complexer, maar de verdediging hoeft dat niet te zijn. Het gaat om het consequent toepassen van de basis.
De NIS2-factor: nieuwe wetgeving in 2026
De Cybersecuritywet (Cbw), de Nederlandse implementatie van de Europese NIS2-richtlijn, wordt verwacht in het tweede kwartaal van 2026. Deze wet stelt strengere eisen aan cybersecurity voor bedrijven in essentiële en belangrijke sectoren.
Voor hosting- en websitebedrijven betekent dit:
- Verplichte risicobeoordeling en beveiligingsmaatregelen
- Meldplicht bij ernstige incidenten
- Mogelijke boetes bij niet-naleving
De KVK raadt bedrijven aan om nu al te beginnen met voorbereidingen. Of je nu verplicht valt onder de wet of niet: de basismaatregelen (HTTPS, sterke wachtwoorden, updates, back-ups) zijn voor iedereen relevant.
Wat kun je zelf doen?
De meeste verbeteringen zijn eenvoudiger dan je denkt:
Test je site. Ga naar internet.nl en voer je domeinnaam in. Je krijgt een duidelijk rapport over wat goed gaat en wat beter kan.
Praat met je hoster. Veel beveiligingsstandaarden (DNSSEC, RPKI, HSTS) worden op serverniveau geconfigureerd. Een goede hostingprovider heeft dit voor je geregeld. Zo niet, dan is dat een signaal. In mijn overzicht van de beste webhosting neem ik beveiliging mee als beoordelingscriterium.
WordPress-gebruikers: update altijd. De meeste WordPress-hacks komen door verouderde plugins en themes. Meer tips in mijn gids over WordPress beveiligen.
Stel DMARC in voor je e-mail. Als je een eigen domein hebt, configureer dan SPF, DKIM en DMARC met een strikte policy. Je hostingprovider of e-mailprovider kan je hierbij helpen.
Meer achtergrond over de Nederlandse hostingmarkt en beveiliging vind je in mijn hosting feiten en cijfers overzicht.
Bronnen
| Bron | Wat |
|---|---|
| CBS | Toepassing internetstandaarden door bedrijven (2024-meting) |
| internet.nl | Testresultaten, standaarden-uitleg, RPKI-data |
| W3Techs | HTTPS-adoptie wereldwijd, SSL-certificaatstatistieken |
| NCSC / NCTV | Cybersecurity Assessment Netherlands 2025 |
| Platform Internetstandaarden | Metingen in samenwerking met CBS |
| SIDN | DNSSEC- en RPKI-data voor .nl-domeinen |
| KVK | Voorlichting NIS2/Cybersecuritywet |
| Qualys SSL Pulse | TLS-protocoladoptie (top websites) |
Mis je een standaard of bron in dit overzicht? Laat het me weten — ik wil deze analyse zo compleet en actueel mogelijk houden.
Klopt dit nog?
Help ons deze pagina actueel te houden
Bedankt voor je feedback!