PrivacyGear .nl
Actueel Zoeken EN
PrivacyGear .nl
GrapheneOS

Google Play op GrapheneOS: hoe werkt de sandbox?

De meest gestelde vraag over GrapheneOS: “Kan ik nog gewoon mijn apps gebruiken?” Het antwoord is genuanceerd — en dat is precies waarom dit artikel bestaat.

Google Play op GrapheneOS: hoe werkt de sandbox?

Google Play op GrapheneOS: hoe werkt de sandbox?

De meest gestelde vraag over GrapheneOS: “Kan ik nog gewoon mijn apps gebruiken?” Het antwoord is genuanceerd — en dat is precies waarom dit artikel bestaat.

Deze keuze hangt vooral af van je base profile:

  • balanced privacy-aware: sandboxed Google Play is vaak een realistische middenweg
  • higher-risk: installeer het alleen als de appnoodzaak zwaarder weegt dan extra Google-blootstelling

Normale Google Play vs. sandboxed Google Play

Op een gewone Android-telefoon heeft Google Play Diensten vrijwel onbeperkte toegang tot het systeem. Het loopt op de achtergrond, heeft toegang tot locatie, contacten, microfoon en meer — zelfs als je de Play Store zelf niet gebruikt. Dit is geen bug, het is ontwerp.

Sandboxed Google Play draait als een gewone app in een geïsoleerde omgeving. Het heeft geen speciale systeemrechten. Het kan alleen zien wat jij het expliciet toestaat — net als elke andere app op GrapheneOS.

Wat het wél kan: apps installeren, updates downloaden, pushmeldingen doorsturen. Wat het niet kan: op de achtergrond locatiedata verzamelen zonder jouw toestemming, toegang krijgen tot andere apps of systeemdata.

Bankieren-apps: werken die?

Grotendeels ja. De meeste Nederlandse bankieren-apps werken op sandboxed Google Play.

ING, ABN AMRO en bunq zijn gerapporteerd als werkend door de GrapheneOS-gemeenschap. DigiD-app werkt ook. Rabobank werkt momenteel niet op GrapheneOS.

Er zijn uitzonderingen. Sommige apps gebruiken Google Play Integrity API om te controleren of het toestel “gecertificeerd” is. GrapheneOS slaagt die check niet altijd — dit verandert per update en per app. Apps kunnen GrapheneOS ook ondersteunen via de standaard Android hardware attestation API, die wél werkt. Enkele Europese banken hebben dit al gedaan, maar de adoptie van Play Integrity API groeit sneller dan de overstap naar hardware attestation.

Als een bankieren-app weigert te starten: controleer of de app bijgewerkt is, en check de GrapheneOS-gemeenschap voor de actuele status van jouw app.

Alternatieven voor Google Play

F-Droid

Open-source apps, geen account vereist, geen tracking. De selectie is beperkter dan Google Play maar bevat de meeste privacyvriendelijke alternatieven die je nodig hebt.

Let op: Google heeft aangekondigd dat vanaf september 2026 alle Android-apps geregistreerd moeten zijn door geverifieerde ontwikkelaars — ook bij sideloading en alternatieve stores. F-Droid verzet zich hiertegen, maar de situatie is onzeker. Volg f-droid.org voor updates.

Aurora Store

Een open-source client die anoniem apps downloadt uit de Google Play Store — zonder Google-account. Niet alle apps werken via Aurora (apps met DRM of complexe licentiecontroles kunnen problemen geven), maar de meeste doen het goed.

Directe APK-installatie

Voor apps die een officiële APK aanbieden (Signal, Brave, ProtonMail) kun je direct van de ontwikkelaar installeren. Dit omzeilt de Play Store volledig.

Wanneer installeer je sandboxed Google Play wel?

  • Je hebt apps nodig die echt niet anders beschikbaar zijn
  • Je bankieren-app werkt niet via Aurora
  • Je wil een zo normaal mogelijk Android-ervaring met betere beveiliging dan standaard

Adoptiefrictie: laag. Onderhoudslast: laag tot midden. Voor veel lezers is dit juist de manier om GrapheneOS werkbaar te houden.

Wanneer installeer je het niet?

  • Je wil maximale isolatie van Google-diensten
  • Je bent bereid open-source alternatieven te gebruiken voor alle functies
  • Je accepteert dat sommige apps niet werken

Dat laatste punt is belangrijk: deze route is alleen verantwoord als je die beperkingen ook echt wilt blijven dragen.

De afweging uitgesproken

Sandboxed Google Play is een compromis. Het is aanzienlijk veiliger dan normale Google Play, maar je deelt nog steeds data met Google — minder dan voorheen, maar niet nul. Als Google als onderdeel van je dreigingsmodel staat, installeer het dan niet.

Als je dreigingsmodel gaat over adverteerders, datalekken en algemene tracking — dan is sandboxed Google Play prima. Het is een realistisch middenpunt tussen volledig open en volledig gesloten.

Overkill wordt het vooral wanneer je het weigert uit principe terwijl je daardoor terugvalt op een toestel- of appkeuze die je slechter volhoudt. Voor veel lezers is een werkbare GrapheneOS-setup met sandboxed Google Play beter dan een ideologisch “schone” setup die dagelijks stukloopt.

Je kunt het altijd installeren, testen, en weer verwijderen. GrapheneOS maakt dat makkelijk.

Volgende stap

App-scheiding verder doordenken

Basissetup

← Terug naar gidsen