Waarom een VPN alleen je privacy niet beschermt – en wat wel
Best beveiligde telefoon 2025
Google Pixel 9a GrapheneOS VPN Versleuteld
Google Pixel 9 GrapheneOS VPN Versleuteld
Best beveiligde router 2025
CryptHub V3 Draagbare 4G VPN Versleutelde Router
CryptHub V2 Draagbare 4G VPN Versleutelde Router
Je hebt een VPN geïnstalleerd. Misschien betaal je voor een van de grote namen – NordVPN, ExpressVPN, Surfshark. Je ziet het sloticoontje, de “connected” badge en je denkt: opgelost. Mijn internet is nu privé.
Hier is de ongemakkelijke waarheid: een VPN alleen maakt je niet privé. Niet eens in de buurt.
Een VPN doet één specifiek ding goed – het versleutelt de verbinding tussen je apparaat en een server, waardoor je verkeer verborgen blijft voor je ISP en iedereen op je lokale netwerk. Dat is nuttig. Maar het is slechts één laag in een veel groter geheel en de meeste mensen doen alsof het de hele oplossing is.
Deze gids legt uit wat een VPN eigenlijk beschermt, wat niet, waar de echte gaten zitten en wat je precies moet doen om ze te dichten.
Laten we de marketing weglaten en het hebben over wat er echt gebeurt als je een VPN inschakelt.
Stel je je internetverbinding voor als een weg tussen je huis en elke website die je bezoekt. Normaal gesproken kan je internetprovider elke stop die je maakt zien – elke website, elke zoekopdracht, elke download. Zij bezitten de weg.
Een VPN bouwt een privétunnel door die weg. Je ISP kan zien dat je de tunnel gebruikt, maar ze kunnen niet zien wat erin zit of waar het naartoe gaat. Het verkeer verlaat de VPN-server en gaat vanaf daar verder naar de website.
Dat is het. Dat is wat een VPN doet. Specifiek:
- Het verbergt je surfgedrag voor je internetprovider – ze zien versleuteld verkeer dat naar de VPN-server gaat. Ze kunnen niet zien welke websites je bezoekt.
- Het maskeert je IP-adres van websites – websites zien het IP-adres van de VPN-server, niet dat van jou. Dit maakt het opsporen van basislocaties moeilijker.
- Het versleutelt verkeer op openbare Wi-Fi – Als je op een netwerk van een coffeeshop of luchthaven zit, kan niemand in de buurt je verkeer afluisteren.
Dat is allemaal echt nuttig. Maar let op wat er ontbreekt in deze lijst – en dat is waar de problemen beginnen.
Dit is waar de meeste mensen het mis hebben. Dit is wat je VPN niet kan doen:
Het stopt het volgen door websites niet.
Google, Facebook, Amazon – ze hebben je IP-adres niet nodig om je te volgen. Ze gebruiken cookies, browser fingerprinting, inlogsessies en tracking pixels. Op het moment dat je via een VPN inlogt op Gmail, weet Google precies wie je bent. Je IP is veranderd, maar je identiteit niet.
Het beschermt je DNS-query’s (meestal) niet.
DNS is het systeem dat websitenamen omzet in IP-adressen. Veel VPN apps lekken DNS queries buiten de tunnel, wat betekent dat je ISP nog steeds kan zien welke sites je bezoekt, zelfs met de VPN aan. Dit wordt een DNS lek genoemd en het komt schrikbarend vaak voor – zelfs bij betaalde VPN’s.
Het beschermt geen andere apparaten in je netwerk.
Een VPN app op je telefoon beschermt je telefoon. Je smart TV, beveiligingscamera’s, IoT-apparaten, de laptop van je partner – geen van deze zijn gedekt. Ze zijn nog steeds volledig blootgesteld aan je ISP en iedereen die je router compromitteert.
Het beschermt je niet tegen malware of phishing.
Als je op een kwaadaardige link klikt of geïnfecteerde software downloadt, doet een VPN niets. De malware draait op je apparaat, binnen de versleutelde tunnel. Het is alsof je je autodeuren op slot doet terwijl er al iemand op de achterbank zit.
Het maakt je niet anoniem.
Dit is de grootste misvatting. Een VPN verschuift het vertrouwen van je internetprovider naar de VPN-aanbieder. Als je VPN logboeken bijhoudt (en veel VPN’s doen dat, ondanks dat ze het tegendeel beweren), dan hebben ze een compleet overzicht van waar je online ook bent geweest. Je bent niet anoniem – je hebt alleen verplaatst wie jou kan zien.
Dit is de vraag die niemand wil stellen. Je betaalt een bedrijf om al je internetverkeer via hun servers te routeren. Alles. Elke site die je bezoekt, elk bericht dat je verstuurt via een onversleuteld kanaal, elk bestand dat je downloadt. Dat is een enorme hoeveelheid vertrouwen.
Dus wie verdient het?
De meeste commerciële VPN’s doen dat niet. Dit is waarom:
- NordVPN – Kreeg in 2018 te maken met een serverbreuk die pas in 2019 bekend werd gemaakt. De gecompromitteerde server zou gebruikt kunnen zijn om verkeer te onderscheppen.
- HideMyAss – Overhandigde gebruikerslogs aan de FBI in 2011 ondanks dat het zichzelf als een no-logs service verkoopt. Een gebruiker werd gearresteerd op basis van deze logs.
- PureVPN – Claimde “zero logs” maar voorzag de FBI van verbindingslogs die hielpen bij het identificeren van een cyberstalker in 2017.
- Gratis VPN’s – Hola VPN werd betrapt op het verkopen van bandbreedte van gebruikers als een botnet. Facebook’s Onavo VPN verzamelde alle surfgegevens van gebruikers. Als je niet betaalt, ben je het product.
Twee providers die we echt vertrouwen:
Mullvad – Gevestigd in Zweden. Geen e-mail nodig om je aan te melden, alleen een willekeurig gegenereerd rekeningnummer. Accepteert contant geld per post. Is meerdere keren onafhankelijk gecontroleerd. Toen de Zweedse politie in april 2023 een inval deed in hun kantoren, vonden ze niets – omdat er echt niets te vinden was. Er bestonden geen logboeken.
IVPN – Gevestigd in Gibraltar. Open-source apps, onafhankelijke audits, transparant eigendom, geen tracking. Accepteert ook contant geld en cryptocurrency.
Als je VPN-provider meer uitgeeft aan YouTube-sponsoring dan aan beveiligingsaudits, dan zegt dat alles wat je moet weten.
VPN-marketing laat het klinken als kogelvrij. De werkelijkheid is het daar niet mee eens.
DNS-lekken leggen je surfgedrag bloot
In 2020 testten onderzoekers van Comparitech 20 populaire VPN-apps en ontdekten dat zes ervan DNS-query’s lekten. Gebruikers dachten dat ze beschermd waren, terwijl hun internetproviders elke site die ze bezochten konden zien. De VPN was verbonden. Het pictogram was groen. En het werkte niet.
WebRTC lekken onthullen je echte IP
WebRTC is een browserfunctie die wordt gebruikt voor videogesprekken. Het kan je VPN volledig omzeilen en je echte IP-adres blootgeven aan elke website die daarom vraagt. De meeste VPN apps blokkeren dit niet standaard. Je zou het nooit weten, tenzij je het getest hebt.
Storing in de noodschakelaar
Wanneer een VPN-verbinding wegvalt (wat regelmatig gebeurt), moet je apparaat al het verkeer stoppen. Dat is wat een kill switch doet. Maar veel VPN apps hebben defecte kill switches die het verkeer tijdens de herverbinding secondenlang laten lekken – genoeg tijd om je echte IP en DNS queries bloot te leggen.
VPN provider inbeslagnames en gerechtelijke bevelen
Als je VPN actief is in een Five Eyes land (VS, VK, Canada, Australië, Nieuw-Zeeland) of een EU-jurisdictie die onderworpen is aan wetten voor gegevensbewaring, kunnen ze wettelijk worden gedwongen om te beginnen met het loggen of overhandigen van gegevens – vaak onder een spreekverbod waardoor ze je dit niet kunnen vertellen.
Waar het op neerkomt: Een VPN is een single point of failure. Als het faalt, lekt, logt of gecompromitteerd wordt, stort je hele privacymodel in elkaar. Daarom zou het nooit je enige bescherming moeten zijn.
Een VPN is één laag. Hier lees je hoe je een echte privacy-stack opbouwt – te beginnen met de meest impactvolle veranderingen.
Stap 1: Neem een VPN die je echt kunt vertrouwen
Stap over op Mullvad of IVPN. Zeg de door influencers gesponsorde VPN die je gebruikt op. Zet het op always-on met de kill switch ingeschakeld. Gebruik op Android de ingebouwde instelling “Blokkeer verbindingen zonder VPN”. Geen uitzonderingen.
Stap 2: Herstel je DNS
Zelfs met een VPN moet je versleutelde DNS apart configureren. Gebruik DNS-over-HTTPS (DoH) of DNS-over-TLS (DoT) met Quad9 (9.9.9.9) of Mullvad DNS. Dit beschermt je DNS-query’s zelfs als het VPN lekt of wegvalt. Stel het indien mogelijk in op het niveau van de router – dat dekt elk apparaat.
Stap 3: Bescherm je hele netwerk, niet slechts één apparaat
Installeer een VPN op routerniveau zodat elk apparaat op je netwerk gedekt is – smart tv’s, camera’s, IoT-apparaten, telefoons van gasten. Een VPN app op je telefoon helpt je Ring deurbel of de tablet van je kind niet. Onze CryptHub routers hebben dit ingebouwd.
Stap 4: WebRTC-lekken blokkeren
In Firefox: ga naar about:config en stel media.peerconnection.enabled in op false. In Brave: het is standaard geblokkeerd. In Chrome: heb je een extensie nodig zoals WebRTC Leak Prevent. Of gebruik Chrome gewoon niet.
Stap 5: Test je VPN regelmatig
Bezoek ipleak.net of dnsleaktest.com met je VPN aan. Controleer of je echte IP niet verschijnt. Controleer of DNS queries via de VPN gaan en niet via je ISP. Doe dit maandelijks – updates en configuratiewijzigingen kunnen dingen in stilte kapot maken.
Stap 6: Browsertracking stoppen
Een VPN verbergt je IP. Het houdt geen cookies, vingerafdrukken of op inloggen gebaseerde tracking tegen. Gebruik Vanadium (op GrapheneOS), Brave of Firefox met uBlock Origin. Wis cookies regelmatig. Gebruik aparte browserprofielen voor verschillende activiteiten. Surf nooit ingelogd bij Google.
Stap 7: Versleutel je apparaten
Als iemand fysiek toegang heeft tot je apparaat, is een VPN geschiedenis het minste van je problemen. Volledige schijfversleuteling op elk apparaat – BitLocker op Windows, FileVault op Mac, LUKS op Linux, sterke PIN op Android. Hier valt niet over te onderhandelen.
Stap 8: GrapheneOS gebruiken op je telefoon
Stock Android lekt gegevens naar Google op systeemniveau – locatie, app-gebruik, netwerkactiviteit. Een VPN kan dit niet tegenhouden omdat het OS zelf het probleem is. GrapheneOS verwijdert dat allemaal en geeft je netwerkcontrole per app, sensorcontrole en profielisolatie. Het is de grootste privacy-upgrade die je op mobiel kunt maken.
Stap 9: Verhard je router
Vervang je ISP-router. Installeer OpenWRT. Configureer versleutelde DNS, VPN op routerniveau, schakel WPS en UPnP uit, segmenteer IoT-apparaten op een apart netwerk. Of koop een CryptHub router die dit allemaal uit de doos doet.
Stap 10: Minimaliseer wat je deelt
De beste versleuteling ter wereld kan geen gegevens beschermen die je al hebt weggegeven. Verwijder ongebruikte accounts. Schrijf je niet meer in met je echte e-mail. Gebruik SimpleLogin of AnonAddy voor wegwerpadressen. Betaal waar mogelijk met cryptocurrency of contant geld. Hoe minder gegevens er op servers staan, hoe minder er kan uitlekken, verkopen of dagvaarden.
“Als ik al een VPN-app heb, waarom heb ik dan een privacyrouter nodig?” Eerlijke vraag. Hier is het verschil:
| Bescherming | VPN-app | Privacy Router |
|---|---|---|
| Apparaten | Alleen het apparaat waarop het staat | Elk apparaat in je netwerk |
| Altijd actief | Alleen als je eraan denkt het aan te zetten | 24/7, geen actie nodig |
| DNS bescherming | Vaak lekken | Versleutelde DNS op netwerkniveau |
| IoT-apparaten | Niet beschermd | Volledig beschermd |
| ISP zichtbaarheid | Verborgen op één apparaat | Verborgen voor het hele huishouden |
| Betrouwbaarheid noodstopschakelaar | Varieert, mislukt vaak | Netwerkniveau, geen hiaten |
Een VPN app is als het dragen van een kogelvrij vest. Een privacy-router is als een harnas om het hele huis. Beide hebben hun plaats – maar de router is het fundament.
Beste opstelling: Een CryptHub privacy router thuis voor volledige netwerkbeveiliging, plus een Mullvad of IVPN app op je telefoon voor onderweg.
CryptHub V1 Thuis VPN Versleutelde Router
CryptHub V2 Draagbare 4G VPN Versleutelde Router
CryptHub V3 Draagbare 4G VPN Versleutelde Router
Is een gratis VPN veilig om te gebruiken?
Nee. Gratis VPN’s moeten op de een of andere manier geld verdienen en dat “op de een of andere manier” zijn bijna altijd jouw gegevens. Hola VPN verkocht de bandbreedte van gebruikers als een botnet. Facebook’s Onavo VPN verzamelde alle surfgegevens. Veel gratis VPN’s injecteren advertenties, volgen je activiteiten en verkopen die aan derden. Als je niet voor het product betaalt, ben jij het product. Gebruik Mullvad of IVPN – beide kosten rond de €5/maand en zijn onafhankelijk gecontroleerd.
Kan mijn internetprovider zien dat ik een VPN gebruik?
Je ISP kan zien dat je verbonden bent met een VPN server en hoeveel gegevens er stromen. Ze kunnen niet zien wat er in de tunnel zit – geen website URL’s, geen inhoud, geen DNS queries (mits goed geconfigureerd). Sommige ISP’s beperken het VPN-verkeer; het gebruik van WireGuard op poort 443 kan dit helpen voorkomen. Voor volledige ISP blindheid configureer je het VPN op router niveau zodat al het huishoudelijk verkeer wordt versleuteld, niet slechts één apparaat.
Heb ik nog steeds een VPN nodig als ik GrapheneOS gebruik?
Ja, absoluut. GrapheneOS beschermt je apparaat en controleert welke apps toegang hebben. Een VPN beschermt je netwerkverkeer tegen je ISP, openbare Wi-Fi-snuffelaars en iedereen die de verbinding tussen jou en het internet in de gaten houdt. Ze lossen verschillende problemen op en werken het beste samen. Op GrapheneOS stel je Mullvad of IVPN in als always-on VPN met “Blokkeer verbindingen zonder VPN” ingeschakeld voor maximale bescherming.
Een VPN is een nuttig hulpmiddel. We zeggen niet dat je er geen meer moet gebruiken. Maar als het het enige is dat tussen jou en surveillance staat, ben je blootgesteld op manieren die je je waarschijnlijk niet realiseert.
Echte privacy is niet één app of één abonnement. Het zijn lagen – versleutelde DNS, een verharde router, een veilig besturingssysteem, slimme surfgewoonten en ja, een betrouwbare VPN. Elke laag vangt op wat de anderen missen.
Begin met het overstappen naar een VPN die je echt kunt vertrouwen. Doorloop dan de stappen in deze gids. Je hoeft vandaag niet alles te doen – maar doe iets. Want het VPN pictogram op je scherm is niet het schild dat je denkt dat het is.
Bouw de lagen op. Begin met de fundering.
