App hardening: per app de juiste instellingen
Welke privacy-instellingen zet je aan in Signal, Firefox, je e-mailclient, wachtwoordmanager en meer? Per app uitgelegd, per dreigingsniveau.
App hardening: per app de juiste instellingen
Je hebt de goede apps geïnstalleerd. Maar standaardinstellingen zijn niet altijd privacyvriendelijk — ook bij open-source apps. Dit artikel loopt de meest gebruikte privacy-apps door en vertelt precies welke instellingen je aanpast.
Hoe dit artikel werkt
Per app: wat het doet, welke instellingen je aanpast, en waarom. Instellingen zijn gemarkeerd als:
- Basis — doe dit altijd
- Gevorderd — voor hogere risicogebruikers
- Optioneel — hangt af van gebruik
Signal / Molly
Signal is de standaard voor versleutelde berichten. Molly is een geharde fork — als je GrapheneOS gebruikt, gebruik dan Molly.
Basis-instellingen
Registratie-lock inschakelen Instellingen → Account → Registratie-lock → Aan
Voorkomt dat iemand met jouw telefoonnummer een nieuwe Signal-installatie activeert zonder jouw PIN.
Geblokkeerde schermafbeeldingen Instellingen → Privacy → Schermbeveiliging → Aan
Voorkomt dat berichten zichtbaar zijn in de app-switcher of schermafbeeldingen.
Notificatie-inhoud verbergen Instellingen → Meldingen → Inhoud weergeven → Nooit
Anders zijn berichten zichtbaar in pushmeldingen op het vergrendelscherm.
Telefoonnummer verbergen Instellingen → Privacy → Telefoonnummer → Wie kan mijn nummer zien → Niemand
Standaard is je telefoonnummer zichtbaar voor iedereen in Signal. Dit beperkt het tot je contacten of niemand.
Gevorderd
Berichten automatisch laten verdwijnen Stel per gesprek een standaard berichtverdwijningstijd in. Begin met 1 week voor dagelijkse gesprekken, korter voor gevoelige inhoud.
Notebookmodus (Molly) Molly heeft een extra optie: database-versleuteling met apart wachtwoord, los van je telefoonvergrendeling. Als iemand je telefoon heeft maar niet het Molly-wachtwoord, kan hij de berichten niet lezen.
Firefox
Firefox is privacyvriendelijker dan Chrome, maar standaard nog steeds vol met telemetrie en sync-functies die je data naar Mozilla sturen.
Basis-instellingen
Telemetrie uitschakelen Instellingen → Privacy en beveiliging → Firefox-gegevens verzamelen en gebruiken → Alles uitvinken
Enhanced Tracking Protection Instellingen → Privacy en beveiliging → Verbeterde bescherming tegen volgen → Strikt
HTTPS-Only Mode Instellingen → Privacy en beveiliging → HTTPS-only modus → Inschakelen in alle vensters
Blokkeert onversleutelde HTTP-verbindingen. Op de weinige sites die dit breken, kun je een uitzondering toevoegen.
Firefox Sync uitschakelen Als je geen sync gebruikt: Instellingen → Sync → Afmelden of nooit aanmelden. Sync stuurt je bladwijzers, geschiedenis en wachtwoorden naar Mozilla-servers.
Gevorderd (about:config)
Open about:config en pas het volgende aan:
| Instelling | Waarde | Effect |
|---|---|---|
privacy.resistFingerprinting | true | Bemoeilijkt browser-fingerprinting |
geo.enabled | false | Schakelt locatie-API uit |
media.peerconnection.enabled | false | Voorkomt WebRTC IP-lek bij VPN-gebruik |
browser.send_pings | false | Schakelt hyperlink tracking uit |
network.cookie.cookieBehavior | 1 | Blokkeert third-party cookies |
dom.battery.enabled | false | Verbergt batterijstatus (trackingvector) |
Essentiële extensies
uBlock Origin — tracker- en adblocker. Zet “Geavanceerde modus” aan voor maximale controle.
Configuratie: ga naar het dashboard → Filterlijsten → vink naast de standaard ook aan:
- EasyList
- EasyPrivacy
- uBlock filters — Privacy
LocalCDN — vervangt veelgebruikte CDN-bibliotheken (jQuery, Bootstrap) lokaal, zodat externe CDN’s je bezoeken niet kunnen volgen.
ClearURLs — haalt tracking-parameters weg uit URLs (zoals ?utm_source=, ?fbclid=).
Wat je niet nodig hebt
Privacy Badger, Disconnect, Ghostery — deze zijn overbodig als je uBlock Origin correct hebt ingesteld. Meer extensies = grotere fingerprint.
Vanadium (GrapheneOS)
Vanadium is de standaardbrowser van GrapheneOS. Het is een geharde versie van Chromium zonder telemetrie. Je hoeft weinig te configureren.
Wat al goed staat:
- Geen Google-sync
- Geen crashrapporten
- Geen telemetrie
- Sandboxed per-site
Wat je aanpast: Instellingen → Privacy en beveiliging → Veilig browsen → Geen bescherming (veilig browsen stuurt bezochte URLs naar Google)
Instellingen → Siterechten → Loop alles door: locatie, camera, microfoon, meldingen → Blokkeren als standaard
KeePassDX / KeePassXC
Lokale wachtwoordmanagers — geen cloud, geen sync tenzij jij dat inricht.
Basis-instellingen
Sterk masterwachtwoord Minimaal 16 tekens, mix van letters, cijfers en symbolen. Dit is het enige wachtwoord dat je moet onthouden — maak het goed.
Database beveiligen met sleutelbestand Naast het masterwachtwoord kun je een sleutelbestand toevoegen. Zonder dat bestand (op een aparte USB of locatie) kan de database niet geopend worden — ook niet als iemand het masterwachtwoord weet.
KeePassDX (Android): Instellingen → Beveiliging → Schermafbeeldingen blokkeren → Aan Instellingen → Beveiliging → Automatisch vergrendelen → 30 seconden
KeePassXC (Desktop): Tools → Instellingen → Beveiliging → Database vergrendelen na inactiviteit → 5 minuten Tools → Instellingen → Beveiliging → Wis klembord na → 10 seconden (kopieert wachtwoorden automatisch weg)
Gevorderd
Database opslaan op versleuteld medium Sla de .kdbx-database op in je versleutelde thuismap (Linux: standaard als full-disk-encryption aan is). Nooit op een onversleutelde USB of clouddienst.
Back-up strategie Database kopie op: versleutelde externe schijf + offline locatie (bijv. thuis in een lade). Sync via Syncthing als je meerdere apparaten gebruikt — maar nooit naar Google Drive of Dropbox.
Proton Mail / Thunderbird
Proton Mail (webmail)
Twee-factor authenticatie inschakelen Instellingen → Beveiliging → Twee-factor authenticatie → Hardware key of TOTP-app
Proton Pass wachtwoordmanager niet gebruiken als je KeePass al hebt Twee wachtwoordmanagers is één te veel.
Externe afbeeldingen blokkeren Instellingen → E-mail → Externe inhoud laden → Geblokkeerd
Externe afbeeldingen in e-mails zijn tracking pixels — ze melden de afzender wanneer je de mail opent.
Thunderbird met OpenPGP
Zie de PGP-gids voor volledige setup. Snel samengevat:
Instellingen → Account-instellingen → End-to-end-versleuteling → Voeg sleutel toe
Schakel in: “Berichten standaard versleutelen” voor gesprekken waarbij beide partijen OpenPGP ondersteunen.
VPN-client (Mullvad / ProtonVPN)
Mullvad
Kill switch inschakelen Instellingen → Kill switch → Aan
Als de VPN-verbinding wegvalt, blokkeert de kill switch alle internet. Zonder dit lekt je echte IP-adres.
DNS-lek preventie Mullvad gebruikt automatisch zijn eigen DNS. Controleer op mullvad.net/nl/check of er geen lek is.
DAITA (Mullvad-specific) Instellingen → DAITA → Aan
Verdedigt tegen verkeersanalyse door de grootte en timing van datapakketten te maskeren. Nieuwere functie, enige performancekost.
Lockdown-modus Instellingen → VPN-instellingen → Blokkeer wanneer VPN niet verbonden is → Aan
Blokkeert internet zelfs bij opstart vóór de VPN verbonden is.
ProtonVPN
Stealth-protocol Als VPN geblokkeerd wordt (hotels, scholen, autoritaire netwerken): Instellingen → Protocol → Stealth
Verbergt VPN-verkeer als normaal HTTPS.
NetShield (DNS-blokkering) Instellingen → NetShield → Malware + advertenties blokkeren
Orbot (Tor op Android)
Actieve apps instellen Orbot → App-keuze → selecteer welke apps via Tor lopen
Gebruik dit voor apps waarbij anonimiteit van je IP-adres belangrijk is: browser, communicatie-apps.
Niet voor alle apps tegelijk Tor is traag. Gebruik het selectief, niet als algemene VPN-vervanger.
Gecombineerd met VPN Je kunt Orbot samen met een VPN gebruiken: VPN → Tor (Tor ziet de VPN-IP, niet je echte IP). Of Tor → VPN (VPN-aanbieder ziet Tor-exit-node). Beide hebben trade-offs — kies bewust.
F-Droid
Automatische updates uitschakelen / handmatig controleren F-Droid → Instellingen → Automatisch bijwerken → Uit
Kijk zelf welke updates er zijn voordat je installeert. F-Droid-updates zijn trager dan Play Store — dat is normaal en een bewuste keuze.
IzzyOnDroid repo toevoegen Meer apps, goed onderhouden. Zie de F-Droid-gids.
Verborgen apps tonen F-Droid → Instellingen → Toon verborgen apps → Aan
Sommige apps zijn standaard verborgen omdat ze root vereisen of experimenteel zijn. Dit laat ze zichtbaar worden.
Samenvatting per dreigingsniveau
Normaal gebruik (de meeste mensen)
| App | Kritische instelling |
|---|---|
| Signal | Notificatie-inhoud verbergen, schermbeveiliging aan |
| Firefox | Telemetrie uit, tracking protection op Strikt, uBlock Origin |
| KeePass | Sterk masterwachtwoord, auto-lock 5 min |
| VPN | Kill switch aan |
Verhoogd risico (activist, journalist, kleine ondernemer)
Alles hierboven, plus:
| App | Kritische instelling |
|---|---|
| Signal/Molly | Registratie-lock, berichten laten verdwijnen, nummer verbergen |
| Firefox | privacy.resistFingerprinting aan, WebRTC uit |
| KeePass | Sleutelbestand, database op versleuteld medium |
| Mullvad | DAITA aan, lockdown-modus |
| Orbot | Browser + communicatie via Tor |
Hoog risico (bronbescherming, apparaatconfiscatie mogelijk)
Alles hierboven, plus:
- Molly met database-encryptie los van telefoonvergrendeling
- Geen cloudback-ups van wat dan ook
- PGP voor e-mail (zie PGP-gids)
- GrapheneOS profielen voor scheiding (zie profielgids)
- Auto-reboot op 18-24 uur ingesteld
Zie ook:
- GrapheneOS hardening gids
- F-Droid: aanbevolen apps
- Signal en Molly review — meest aanbevolen messenger
- KeePassXC review — wachtwoordmanager
- Thunderbird review — privacy e-mailclient
- ProtonVPN review — VPN met open-source clients
- PGP: versleutelde communicatie
- VPN: wat het doet en wat niet