CalyxOS vs GrapheneOS — welk privacybetriebssysteem past bij jou?
GrapheneOS en CalyxOS zijn beide Android-forks gericht op privacy, maar ze maken fundamenteel andere keuzes. GrapheneOS prioriteert beveiliging boven alles. CalyxOS prioriteert gebruiksgemak met redelijke privacy.
CalyxOS vs GrapheneOS
GrapheneOS en CalyxOS zijn beide Android-forks gericht op privacy, maar ze maken fundamenteel andere keuzes. GrapheneOS prioriteert beveiliging boven alles. CalyxOS prioriteert gebruiksgemak met redelijke privacy.
Dit is geen morele ranglijst. De juiste keuze hangt af van je base profile, je toestelopties en hoeveel extra frictie je echt wilt onderhouden.
De kern van het verschil
GrapheneOS: Maximale hardening van het Android-systeem. Elk stukje code is bekeken op beveiligingsimplicaties. Google Services worden geïsoleerd uitgevoerd in een sandbox — ze hebben geen extra rechten. De ontwikkelaar (Daniel Micay) heeft een achtergrond in beveiligingsonderzoek.
CalyxOS: Gebruiksvriendelijke privacy-Android. Standaard ingebouwde tools zoals microG (open-source vervanging voor Google Services), F-Droid, Mozilla Location Service. Makkelijker te gebruiken, maar minder agressief gehardend.
Vergelijkingstabel
| GrapheneOS | CalyxOS | |
|---|---|---|
| Beveiligingsfocus | Extreem | Goed |
| Gebruiksgemak | Middel | Goed |
| Google Services | Geïsoleerde sandbox | microG (gedeeltelijke vervanging) |
| App-compatibiliteit | Goed (via sandbox) | Goed (via microG) |
| Ondersteunde hardware | Pixel | Pixel, Fairphone 4/5 en geselecteerde Motorola-modellen |
| Frequentie beveiligingsupdates | Zeer snel | Snel |
| Verified Boot | Ja | Ja |
| Open-source | Vrijwel volledig | Vrijwel volledig |
| Aanbevolen voor | Higher-risk of expliciet security-first | Balanced privacy-aware of toegankelijkere overstap |
GrapheneOS in detail
GrapheneOS wordt ontwikkeld door de GrapheneOS Foundation, een Canadese non-profit, met een klein team van beveiligingsonderzoekers. Het project wordt gefinancierd via donaties en werkt samen met hardware-partners.
Wat GrapheneOS toevoegt aan AOSP (Android Open Source Project):
- Hardened malloc: Vervanger voor de standaard geheugenbeheerder met extra beveiligingscontroles
- Hardened WebView: Chromium-gebaseerde WebView met extra sandboxing
- Exploit mitigations: Extra bescherming tegen geheugenfouten en heap-spraying
- Permissions overhaul: Gedetailleerder rechtenbeheer — je kunt netwerktoegang per app blokkeren (niet mogelijk op standaard Android)
- Sandboxed Google Play: Google Play Services draaien in een geïsoleerde sandbox zonder speciale systeemrechten
- Attack surface reduction: Veel functionaliteit standaard uitgeschakeld
Sandboxed Google Play: Dit is de belangrijkste innovatie. Op standaard Android heeft Google Play Services systeem-niveau rechten — het is in feite een bevoorrechte achtergrondservice. Op GrapheneOS draait het als een gewone app zonder extra rechten. Bijna alle Android-apps blijven werken, maar Google heeft geen speciale toegang meer.
Hardware vereisten: Uitsluitend Pixel-telefoons. GrapheneOS gebruikt de Titan M2-beveiligingschip (Pixel 6+) en ondersteunt verified boot met gebruikerconfigureerbare keys — essentieel voor de beveiligingsgaranties.
CalyxOS in detail
CalyxOS wordt ontwikkeld door het Calyx Institute, een non-profit Amerikaanse organisatie. Het richt zich op het toegankelijk maken van privacy-Android voor mensen die geen security experts zijn.
Let op (april 2026): Het Calyx Institute ondergaat een reorganisatie na het vertrek van kernteamleden in augustus 2025. Releases zijn vertraagd maar het project is niet gestopt — raadpleeg calyxos.org/news voor de actuele status voor je installeert.
Wat CalyxOS biedt:
- microG: Open-source implementatie van de Google Mobile Services API. Apps die Google Services nodig hebben werken hiermee, zonder Google’s eigen code. Dat vraagt wel iets meer vertrouwen dan de sandbox-aanpak van GrapheneOS.
- F-Droid ingebouwd: Open-source app store standaard geconfigureerd
- Mozilla Location Service: Vervanging voor Google’s locatiebepaling
- Datura Firewall: Per-app netwerktoegang (vergelijkbaar met GrapheneOS)
- Seedvault: Versleutelde cloud-backup compatibel met Nextcloud
microG vs Sandboxed Google Play:
| microG (CalyxOS) | Sandboxed Google Play (GrapheneOS) | |
|---|---|---|
| Compatibiliteit | wisselend (zie plexus.app) | ~99% apps |
| Privacyniveau | Goed | Beter |
| Transparantie | Open-source | Closed-source, maar geïsoleerd |
| Push notificaties | Via microG | Via Play Services (geïsoleerd) |
microG heeft hogere app-compatibiliteit dan vroeger, maar sommige apps die afhankelijk zijn van specifieke Google Services API’s werken niet. Sandboxed Google Play op GrapheneOS werkt met vrijwel alle apps.
Wanneer kies je GrapheneOS?
GrapheneOS is beter als:
- Beveiliging absoluut prioriteit heeft (journalist, activist, advocaat, personen met hoog risico)
- Je bereid bent iets meer te leren over app-installatie en configuratie
- Je primair gebruik maakt van open-source of web-gebaseerde apps
- Je een Pixel 6 of nieuwer hebt
Onderhoudslast: midden. Deze keuze is alleen sterk als je die extra leercurve ook echt wilt blijven dragen.
Zie ook de GrapheneOS en Pixel 9 review voor installatie-instructies.
Wanneer kies je CalyxOS?
CalyxOS is beter als:
- Je stap wil zetten van standaard Android naar privacy-Android zonder al te steile leercurve
- Je afhankelijk bent van apps die microG-compatibel zijn
- Je een Fairphone hebt (CalyxOS ondersteunt Fairphone 4 en 5; GrapheneOS niet)
- Privacybescherming zonder perfecte beveiliging voldoet
Onderhoudslast: midden, maar meestal lager in frictie dan GrapheneOS voor lezers die vooral een haalbare overstap willen.
Andere opties
LineageOS: Bredere hardware-ondersteuning, minder beveiligingsaandacht dan GrapheneOS/CalyxOS. Meer een “custom ROM” dan een privacy-OS.
/e/OS (Murena): Gebruiksvriendelijke privacy-Android met eigen cloud-diensten (Murena cloud). Gericht op mensen die zo weinig mogelijk technische kennis nodig hebben. Minder beveiligd dan GrapheneOS.
DivestOS: GrapheneOS-gebaseerd maar met bredere hardware-ondersteuning (inclusief oudere Pixels en andere apparaten). Goed middenweg voor oudere hardware.
Praktisch: welk apparaat?
Voor GrapheneOS: Pixel 9a is de beste prijs/kwaliteit keuze in 2026. Pixel 10a als je de nieuwste hardware wil (draait op Tensor G4, net als de Pixel 9-serie). De Pixel 10 heeft Tensor G5 maar is aanzienlijk duurder. Alle modellen hebben 7 jaar ondersteuning. Voor UWB heb je de Pixel 10 Pro nodig — de basis Pixel 10 heeft geen UWB.
Voor CalyxOS: Pixel 7 of nieuwer (beste ondersteuning), of Fairphone 4/5 en geselecteerde Motorola-modellen als je al zo’n toestel hebt of repareerbare hardware belangrijk vindt.
Fairphone overweging: Fairphone heeft ethische inkoop en repareerbaarheid, maar de hardware-beveiligingsondersteuning (beveiligingschip, verified boot kwaliteit) is minder sterk dan Pixel. Voor CalyxOS een goede keuze; voor GrapheneOS niet beschikbaar.
Conclusie
Er is geen universeel antwoord. GrapheneOS is de sterkste beveiligingskeuze en geschikt voor mensen met hogere profielen of wie de best mogelijke Android-beveiliging wil. CalyxOS is toegankelijker en voldoende voor de meeste mensen die weg willen van Google zonder security expert te worden.
Beide zijn aanzienlijk beter dan standaard Android.
Overkill wordt het wanneer je GrapheneOS kiest omdat het “het beste” klinkt, terwijl CalyxOS of zelfs een beter ingestelde standaardtelefoon realistischer voor je zou zijn. Andersom wordt CalyxOS de verkeerde keuze als je risico of werkelijke eisen duidelijk meer hardening vragen dan het project biedt.
Volgende stap
Terug naar de keuze
- Moet je van telefoon wisselen? — of is een zwaarder OS überhaupt de juiste stap?
Reviews
- GrapheneOS en Pixel 9 review — installatie en setup
- Signal en Molly review — veilig berichtenverkeer op privacy-Android
Apps en verdere setup
- Privacy apps voor Android — apps die goed werken op beide systemen