Veilige laptop: hardware, OS en instellingen uitgelegd
Welke laptop kies je voor privacy, welk besturingssysteem past erbij, en hoe richt je hem in? Een complete gids van hardware tot dagelijks gebruik.
Veilige laptop: hardware, OS en instellingen uitgelegd
Een veilige laptop begint niet bij software — het begint bij hardware. Niet alle laptops zijn gelijk. En als je de hardware goed hebt, maakt het OS het af.
Dit artikel loopt door de hele stack: welke laptop, welk OS, welke instellingen, en hoe je dat vertaalt naar dagelijks gebruik.
Waarom je laptop een probleem is
Standaard laptops (Windows, macOS) zijn gebouwd voor gemak, niet voor privacy:
- Windows stuurt diagnostische data naar Microsoft. Cortana, telemetrie, advertentie-ID — het staat standaard aan.
- macOS is gesloten-source. Apple versleutelt je schijf, maar zij hebben de sleutels voor hun eigen systemen. iCloud-integratie is overal.
- Firmware — de code die draait vóór het OS — is op de meeste laptops gesloten en onverifieerbaar.
Voor de gemiddelde gebruiker is het risico behapbaar. Voor iemand die serieus privacy neemt, is het een probleem.
Hardware: welke laptop kiezen
Wat maakt hardware “veilig”?
Drie criteria:
1. Open firmware-ondersteuning Laptops die Coreboot ondersteunen — open-source firmware in plaats van gesloten BIOS — zijn transparanter. Je kunt verifiëren wat er draait vóór het OS.
2. Linux-compatibiliteit Niet elke laptop werkt goed met Linux. Wi-Fi drivers, touchpad, slaapstand — sommige fabrikanten leveren alleen Windows-drivers.
3. Repareerbaarheid en transparantie Hardware die je zelf kunt openen, upgraden, en controleren. Framework en ThinkPad zijn hier de standaard.
Aanbevolen hardware
ThinkPad (Lenovo) — beste algehele keuze
ThinkPads zijn de standaard in de Linux-wereld. Goede driver-ondersteuning, degelijke bouw, makkelijk te openen en upgraden. Refurbished ThinkPads zijn betaalbaar en goed getest.
Aanbevolen modellen:
- ThinkPad X1 Carbon — licht, lang accuduur, uitstekende Linux-ondersteuning
- ThinkPad T-serie (T480, T490, T14) — degelijk, uitbreidbaar, goedkoop refurbished
- ThinkPad X230 — oud maar volledig Coreboot-ondersteund, populair in de beveiligingsgemeenschap
Koop refurbished: een ThinkPad T480 met 16GB RAM en SSD is voor €200-300 te vinden. Doet alles wat je nodig hebt.
Framework Laptop — beste voor repareerbaarheid
Framework is modulair: scherm, batterij, poorten, toetsenbord — allemaal zelf te vervangen. Goede Linux-ondersteuning, transparant bedrijf.
Duurder dan een refurbished ThinkPad, maar je koopt iets wat je tien jaar kunt gebruiken.
System76 — Linux-first fabrikant
Americaans bedrijf dat laptops verkoopt met Linux voorgeïnstalleerd. Hardware specifiek getest met hun eigen Pop!_OS. Hogere prijs, maar je hebt meteen een werkend systeem.
Wat te vermijden:
- Goedkope Chromebooks met gesloten firmware
- Gaming laptops (slecht accuduur, Windows-afhankelijke GPU-drivers)
- Surface laptops (gesloten hardware, slechte Linux-ondersteuning)
Besturingssysteem kiezen
De hoofdkeuze: welke Linux-distributie?
Zie de Linux-distro gids voor een uitgebreide vergelijking. Kort samengevat:
Voor beginners:
- Linux Mint — dichtstbij Windows-gevoel, stabiel, goede hardware-ondersteuning
- Ubuntu — groot ecosysteem, veel documentatie, eenvoudige installatie
- Pop!_OS — goed voor gaming en nieuwe hardware, gemaakt door System76
Voor privacy en beveiliging:
- Fedora — cutting-edge, sterke SELinux-integratie, gesponsord door Red Hat
- Debian — stabiel, minimalistisch, lang ondersteund
- Tails — alles via Tor, geen traces op schijf, voor tijdelijk anoniem gebruik
- Whonix — virtuele machines voor compartimentalisatie, voor gevorderde gebruikers
Voor gevorderd gebruik:
- Arch Linux — maximale controle, minimale installatie, veel werk
- NixOS — reproduceerbare configuratie, declaratief systeem
→ Begin met Linux Mint of Fedora als je nieuw bent. Ga naar Debian of Fedora als je meer controle wil.
Installatie: wat je goed moet doen
Full-disk encryptie inschakelen
Dit is het belangrijkste. Zonder schijfversleuteling kan iedereen die je laptop in handen krijgt — dief, douane, collega — je bestanden lezen.
Tijdens installatie biedt elke grote distro dit aan. Zeg altijd ja.
Linux Mint / Ubuntu: Vink “Versleutel de installatie voor beveiliging” aan tijdens de installatie.
Fedora: Kies “Versleutelen van mijn gegevens” in de installatie-wizard.
Het systeem vraagt bij elke opstart om een wachtwoord vóór het laden van het OS. Dit is normaal en correct.
→ Altijd inschakelen. Geen uitzondering.
BIOS/UEFI beveiligen
Stel een BIOS-wachtwoord in. Dit voorkomt dat iemand met fysieke toegang het systeem opstart van een USB-stick om de versleuteling te omzeilen.
Schakel ook Secure Boot in als je distro dit ondersteunt (Fedora en Ubuntu doen dit standaard).
Swap versleutelen
Als je swap-ruimte gebruikt (virtueel geheugen), zorg dan dat die ook versleuteld is. Anders kan gevoelige data — wachtwoorden, documenten — in plaintext op de schijf belanden.
Bij full-disk-encryptie tijdens installatie is dit meestal automatisch. Controleer het:
cat /proc/swaps
lsblk -fAls swap niet versleuteld is: gebruik cryptsetup of schakel swap uit als je genoeg RAM hebt.
Na installatie: instellingen
Firewall aanzetten
sudo ufw enable
sudo ufw statusUFW (Uncomplicated Firewall) staat standaard uit op veel distros. Zet hem aan. De standaardinstellingen blokkeren inkomende verbindingen en laten uitgaande toe.
Automatische updates inschakelen
Beveiligingsupdates moeten snel komen. Op Ubuntu/Mint:
Instellingen → Software & Updates → Updates → Beveiligingsupdates → Meteen installeren
Op Fedora:
sudo dnf install dnf-automatic
sudo systemctl enable --now dnf-automatic.timerSchijmversleuteling status controleren
lsblk -fZoek naar crypto_LUKS in de TYPE-kolom. Als dat er staat, is de partitie versleuteld.
Wachtwoordmanager installeren
Gebruik KeePassXC — open-source, lokale opslag, geen cloud.
sudo apt install keepassxc # Ubuntu/Mint
sudo dnf install keepassxc # FedoraOf Bitwarden als je sync tussen apparaten wil.
Privacy-instellingen per distro
Telemetrie uitzetten
Ubuntu: Ubuntu stuurt crashrapporten naar Canonical.
Instellingen → Privacy → Diagnostiek → Nooit sturen
Of via terminal:
sudo apt purge ubuntu-report popularity-contest apport apport-gtkFedora: Fedora vraagt tijdens installatie of je anonieme statistieken wil sturen. Kies nee. Als je al hebt geïnstalleerd:
sudo dnf remove abrtLinux Mint: Geen telemetrie standaard. Niets te doen.
Privacy-gericht DNS instellen
Zelfde als bij GrapheneOS: standaard DNS van je provider ziet al je zoekopdrachten.
Stel Quad9 of Mullvad in via Instellingen → Netwerk → [verbinding] → DNS → Automatisch → Uit → voer in: 9.9.9.9
Of gebruik systemd-resolved voor DNS-over-TLS:
sudo nano /etc/systemd/resolved.confVoeg toe:
DNS=9.9.9.9
DNSOverTLS=yessudo systemctl restart systemd-resolvedBrowser: het belangrijkste dagelijkse gereedschap
Firefox (hardened)
Firefox is de standaard keuze. Maar standaard Firefox heeft telemetrie en enkele privacy-problemen.
Aanbevolen aanpassingen in about:config:
| Instelling | Waarde | Reden |
|---|---|---|
privacy.resistFingerprinting | true | Bemoeilijkt browser-fingerprinting |
network.cookie.cookieBehavior | 1 | Blokkeert third-party cookies |
geo.enabled | false | Geen locatietoegang |
media.peerconnection.enabled | false | Voorkomt WebRTC IP-lek |
browser.send_pings | false | Schakelt hyperlink-auditing uit |
Extensies:
- uBlock Origin — adblocker en tracker-blocker, essentieel
- LocalCDN — vervangt CDN-verzoeken lokaal
- ClearURLs — verwijdert tracking-parameters uit URLs
Mullvad Browser
Gemaakt door het Mullvad-team samen met het Tor-project. Hardened Firefox met fingerprint-bescherming ingebouwd. Geen telemetrie. Goed alternatief als je Firefox niet zelf wil configureren.
Download via mullvad.net/browser.
Tor Browser
Voor anoniem browsen. Traag maar effectief. Zie de VPN-gids voor wanneer Tor de juiste keuze is.
Veilig gebruik in de praktijk
Schijf vergrendeld houden
Vergrendel het scherm wanneer je weggaat. Stel auto-lock in op 2-5 minuten.
GNOME: Instellingen → Privacy → Scherm vergrendelen → Na 2 minuten
Bij een cold boot (opnieuw opstarten) staat het systeem in de sterkste versleutelingstoestand — vergelijkbaar met BFU op GrapheneOS.
Webcam en microfoon
Plak een webcam-afdekker op de camera als je hem niet gebruikt. Goedkoop, effectief, en het signaal dat je serieus bent.
Controleer welke apps toegang hebben tot microfoon in je systeeminstellingen.
Geen onbekende USB-apparaten
USB-drives van onbekende herkomst: niet aansluiten. USB-aanvallen (BadUSB) zijn reëel.
Als je een gevonden USB-drive wil inspecteren: doe het in een geïsoleerde VM, niet op je hoofdsysteem.
Verdere stappen
Als je meer isolatie wil:
- Gebruik Qubes OS — een OS gebouwd rondom compartimentalisatie via virtuele machines. Elke taak in een eigen VM. Complex, maar het veiligste wat beschikbaar is voor laptopgebruik.
Als je Tor standaard wil:
- Tails — een live OS dat je van USB draait. Laat geen traces achter op de computer. Ideaal voor gevoelige taken.
Als je PGP nodig hebt:
- Zie de PGP-gids voor versleutelde e-mail en bestandsuitwisseling.
Samenvatting
| Windows | macOS | Linux (hardened) | |
|---|---|---|---|
| Telemetrie | Veel | Matig | Geen (afhankelijk van distro) |
| Schijfversleuteling | Optioneel (BitLocker) | Standaard | Standaard bij installatie |
| Open-source | Nee | Deels | Volledig |
| Firmware-controle | Geen | Geen | Mogelijk (Coreboot) |
| Privacy-controle | Beperkt | Beperkt | Volledig |
Een veilige laptop is geen eenmalige actie — het is een combinatie van hardware die je kunt vertrouwen, software die je kunt controleren, en gewoonten die je data beschermen.
Zie ook:
- Welke Linux-distro kiezen?
- Van Windows naar Linux
- VPN: wat het doet en wat niet
- PGP: versleutelde communicatie
- Bitwarden review — aanbevolen wachtwoordmanager
- KeePassXC review — offline alternatief voor Bitwarden
- Tails OS review — anoniem besturingssysteem op USB
- iStorage datAshur Pro review — versleutelde USB-opslag
- Browser vergelijking: Firefox, Brave en Tor — privacyvriendelijke browser kiezen
- USB vingerafdrukscanner review — biometrische login op desktop of oudere laptop