Terug naar Blog
privacybeveiligingencryptieverificatieopen sourcebeveiligingsaudits

Je bent voorgelogen: Hoe je ontdekt welke "privé" apps onzin zijn

Snugg Team|11 januari 2026|10 min leestijd
Je bent voorgelogen: Hoe je ontdekt welke "privé" apps onzin zijn


De leugen die ik drie jaar geloofde

In 2020 stapte ik over naar Zoom voor werk omdat ze beweerden "end-to-end encryptie" te hebben.

Ik geloofde ze.

Ik had gevoelige klantgesprekken op Zoom. Bestuursvergaderingen. Vertrouwelijke discussies. Allemaal "versleuteld", toch?

Fout.

Beveiligingsonderzoekers lazen Zooms code en bewezen dat ze logen. Zoom kon alles zien en horen.

Zoom verontschuldigde zich (min of meer), veranderde hun marketing en ging verder. Maar dit is wat me echt stoorde:

Ik had geen manier om te weten dat ze logen totdat iemand anders ze betrapte.

En toen realiseerde ik me: Ik heb bedrijven vertrouwd die me recht in mijn gezicht voorlogen, en ik had geen idee hoe ik het verschil kon zien.

Klinkt dat bekend?

Elke app beweert "privé" te zijn

Open de website van een willekeurige app. Wat zeggen ze?

  • "Militaire encryptie"

  • "Bankbeveiliging"

  • "We nemen privacy serieus"

  • "Je gegevens zijn beschermd"

  • "End-to-end versleuteld"


Hier is het probleem: Iedereen zegt dit. Zelfs de apps die liegen.

De leugenaars

Zoom: Zei "end-to-end versleuteld" → Onderzoekers bewezen dat het onwaar was

TikTok: Zei dat ze geen gegevens delen met China → Dat deden ze wel

Telegram: Zegt "militaire beveiliging" → Beveiligingsexperts zijn het er niet mee eens

LinkedIn: Zei dat ze geen AI trainen met je gegevens → Dat doen ze wel

Facebook: Zegt dat ze om privacy geven → LOL

Het patroon? Marketingclaims zijn betekenisloos.

Woorden zijn goedkoop. Bewijs is alles.

Je hoeft geen tech-expert te zijn

Dit is wat ik leerde na het Zoom-incident:

Je hoeft encryptie niet te begrijpen om leugenaars te herkennen.

Je hoeft alleen te weten welke vragen je moet stellen.

Denk eraan als het kopen van een tweedehands auto:

  • Je hoeft geen monteur te zijn

  • Maar je moet weten of de kilometerteller is teruggedraaid

  • En of de papieren in orde zijn

  • En of er een onderhoudshistorie is


Hetzelfde geldt voor privacyclaims. Je hoeft geen cryptograaf te zijn—je moet alleen de rode vlaggen kennen.

Laat me het je laten zien.

Rode vlag #1: Vage marketingtermen

"Militaire encryptie"

Wat ze willen dat je denkt: "Wow, het leger gebruikt dit. Moet super veilig zijn!"

Wat het eigenlijk betekent: Niets specifieks.

Het leger gebruikt verschillende encryptiestandaarden. Sommige uitstekend, sommige verouderd, sommige geheim. "Militair" vertelt je niet welke.

Eerlijk gezegd: Als iemand "militair" zegt maar je niet het daadwerkelijke algoritme vertelt (zoals "AES-256" of "ChaCha20"), kletsen ze waarschijnlijk uit hun nek.

"Bankbeveiliging"

Wat ze willen dat je denkt: "Banken zijn veilig, dus dit moet veilig zijn!"

Wat het eigenlijk betekent: Ook betekenisloos.

Sommige banken gebruiken nog steeds SMS-codes (super onveilig). Sommige gebruiken hardware tokens (veilig). "Bankniveau" kan allebei betekenen.

Eerlijk gezegd: Banken worden de hele tijd gehackt. Dit is niet de flex die ze denken.

"We nemen privacy serieus"

Wat ze willen dat je denkt: "Ze geven om mijn privacy!"

Wat het eigenlijk betekent: Letterlijk niets.

Elk platform zegt dit. Zelfs Facebook zegt dit.

Meta verdiende vorig jaar $110 miljard aan advertenties. Dat geld kwam van het schenden van je privacy. Maar ze zeggen nog steeds dat ze het "serieus nemen."

Eerlijk gezegd: Als ze niet uitleggen HOE ze privacy beschermen met specifieke technische details, zeggen ze alleen maar woorden.

Rode vlag #2: "Versleuteld" zonder "end-to-end" te zeggen

Deze is enorm.

Er zijn drie soorten encryptie:

1. Transportencryptie (HTTPS)

  • Beschermt gegevens terwijl ze naar hun servers reizen
  • Het bedrijf kan nog steeds alles lezen
  • Elke website heeft dit (zelfs oplichtersites)

2. Rust-encryptie

  • Gegevens worden versleuteld wanneer ze op hun servers zijn opgeslagen
  • Het bedrijf kan ze nog steeds ontsleutelen en lezen
  • Beschermt alleen tegen hackers

3. End-to-end encryptie (E2E)

  • Alleen jij en de ontvanger kunnen het lezen
  • Het bedrijf KAN het niet lezen (wiskundig onmogelijk)
  • Dit is de enige die echt privacy beschermt
Hier is de truc die platforms gebruiken:

Ze zeggen "We versleutelen je gegevens" (technisch waar—HTTPS)
Maar ze zeggen niet "We KUNNEN je gegevens niet lezen" (want dat kunnen ze wel)

Echte voorbeelden:

  • Discord: Zegt "versleuteld" → Ze kunnen alles lezen

  • Telegram: Zegt "versleuteld" → Normale chats zijn niet E2E

  • Facebook Messenger: Zegt "versleuteld" → Standaard chats zijn niet E2E

  • Signal: Zegt "end-to-end versleuteld" → Ze kunnen je berichten echt niet lezen

  • WhatsApp: Zegt "end-to-end versleuteld" → Berichtinhoud is beschermd (maar Meta verzamelt alle metadata)


De vraag die je moet stellen: "Is het end-to-end versleuteld, of kan het bedrijf mijn gegevens lezen?"

Rode vlag #3: Aangepaste encryptie

Professionele beveiligingsexperts hebben een gezegde:

"Iedereen kan encryptie maken die zo sterk is dat HIJ het niet kan breken. De truc is encryptie maken die zo sterk is dat NIEMAND ANDERS het ook kan breken."

Vertaling: Verzin geen eigen encryptie. Gebruik wat experts hebben getest.

Standaard encryptie-algoritmen (gebruikt door echte veilige apps):

  • AES-256

  • ChaCha20

  • Curve25519

  • RSA-4096


Deze zijn decennialang door duizenden experts getest. We weten dat ze werken.

Aangepaste encryptie = Rode vlag

Waarom? Omdat het bedrijf ofwel:
1. Arrogant is (denkt slimmer te zijn dan elke cryptograaf ter wereld)
2. Incompetent is (begrijpt niet waarom dit gevaarlijk is)
3. Liegt (aangepaste encryptie is makkelijker om backdoors in te zetten)

Echt voorbeeld: Telegram

Gebruikt aangepaste encryptie genaamd "MTProto." Beveiligingsexperts hebben meerdere problemen ermee gevonden.

Ondertussen gebruikt Signal standaard algoritmen die elke expert vertrouwt.

Welke zou jij vertrouwen?

Groene vlag #1: Open source code

Dit is het grootste verschil tussen betrouwbare en louche apps.

Gesloten bron: "Vertrouw ons, het is veilig"
Open source: "Hier is onze code. Controleer het zelf."

Waarom dit belangrijk is

Herinner je de leugen van Zoom over encryptie? Beveiligingsonderzoekers ontdekten het alleen omdat ze Zooms code reverse-engineerden.

Als Zoom open source was geweest, zou de leugen meteen zijn ontdekt.

Echte voorbeelden:

  • Signal: Volledig open source op GitHub → Iedereen kan hun claims verifiëren

  • WhatsApp: Gesloten bron → Je moet Meta vertrouwen (lol)

  • Snugg: Zal volledig open source zijn bij lancering → Verifieer alles zelf


De test: Ga naar hun website. Zoek naar een "GitHub" of "Open Source" link.

Als ze beweren privé te zijn maar je de code niet laten zien, is dat superverdacht.

Groene vlag #2: Onafhankelijke beveiligingsaudits

Betrouwbare platforms betalen externe beveiligingsbedrijven om hun code te auditen en de resultaten te publiceren.

Waar je op moet letten:

  • Audit van een echt bedrijf (Trail of Bits, Cure53, NCC Group)

  • De audit is recent (binnen 2 jaar)

  • De audit is openbaar (je kunt hem lezen)

  • Ze hebben de gevonden problemen opgelost


Rode vlaggen:
  • "We zijn geaudit" maar publiceren het rapport niet

  • De audit is 5+ jaar oud

  • Kunnen het auditbedrijf niet noemen

  • "Geen problemen gevonden" (elke echte audit vindt iets)


Echte voorbeelden:
  • Signal: Meerdere openbare audits, allemaal gepubliceerd, problemen opgelost

  • Telegram: Biedt beloningen maar geen uitgebreide openbare audits

  • Snugg: Audit gepland met Trail of Bits voor lancering


De test: Zoek "[App-naam] security audit" en kijk of je het echt kunt lezen.

Groene vlag #3: Ze zijn eerlijk over beperkingen

Rode vlag: "We zijn 100% veilig tegen alles!"
Groene vlag: "Dit is wat we beschermen EN wat niet."

Geen beveiliging is perfect. Eerlijke bedrijven geven dat toe.

Voorbeeld: Signals eerlijkheid

Wat Signal beschermt:

  • Berichtinhoud (versleuteld)

  • Gesprekken (versleuteld)

  • Sommige metadata (sealed sender)


Wat Signal NIET beschermt:
  • Je telefoon als iemand hem steelt

  • Screenshots

  • Als je berichten doorstuurt naar iemand anders


Ze zijn er open over. Dat is betrouwbaar.

Vergelijk met louche apps:

"Militaire beveiliging!" (Wat betekent dat eigenlijk?)
"100% veilig!" (Onmogelijk)
"Complete privacy!" (Zo werkt het niet)

De test: Leggen ze beperkingen uit, of beloven ze perfectie?

De simpele verificatiechecklist

Je hoeft geen code te begrijpen. Stel gewoon deze vragen:

1. Is de code openbaar?

  • Ga naar hun website
  • Zoek naar "GitHub" of "Open Source" link
  • Als ze privacy claimen maar geen code laten zien → verdacht

2. Is het geaudit?

  • Google "[App-naam] security audit"
  • Kun je het auditrapport echt lezen?
  • Als audit geheim is of niet bestaat → verdacht

3. Is het end-to-end versleuteld?

  • Zegt het specifiek "end-to-end"?
  • Of alleen "versleuteld" (wat niets betekent)?
  • Als vaag over E2E → verdacht

4. Welke encryptie gebruiken ze?

  • Noemen ze specifieke algoritmen?
  • Of zeggen ze alleen "militair"?
  • Als ze het algoritme niet noemen → verdacht

5. Vertrouwen beveiligingsexperts het?

  • Zoek meningen op Reddit r/privacy
  • Bekijk HackerNews-discussies
  • Als experts sceptisch zijn → verdacht

6. Hoe verdienen ze geld?

  • Abonnement? (Goed—afgestemde prikkels)
  • Advertenties? (Slecht—hebben je gegevens nodig)
  • "Gratis" zonder uitleg? (Zeer slecht—verkopen je gegevens)
  • Als bedrijfsmodel afhankelijk is van gegevens → niet betrouwbaar
Score:
  • 5-6 ja: Waarschijnlijk betrouwbaar (verifieer nog steeds zelf)
  • 3-4 ja: Ga verder met extreme voorzichtigheid
  • 0-2 ja: Vertrouw deze app niet

Echte voorbeelden: Laten we een paar apps controleren

Signal — BETROUWBAAR

1. Open source? Ja (github.com/signalapp)
2. Geaudit? Meerdere openbare audits
3. E2E versleuteld? Ja, alles
4. Specifieke encryptie? Signal Protocol, volledig gedocumenteerd
5. Vertrouwen experts het? Ja, universeel
6. Bedrijfsmodel? Non-profit donaties

Verdict: Claims geverifieerd. Signal is legitiem.

WhatsApp — GEMENGD

1. Open source? Nee (gesloten bron)
2. Geaudit? Gebruikt Signal Protocol (geaudit) maar app is gesloten
3. E2E versleuteld? Ja, maar uitgebreide metadata-verzameling
4. Specifieke encryptie? Gebruikt Signal Protocol
5. Vertrouwen experts het? Encryptie ja, Meta-eigenaarschap nee
6. Bedrijfsmodel? Meta-advertenties

Verdict: Berichten zijn versleuteld, maar Meta verzamelt al het andere over je. Op zijn best half betrouwbaar.

Telegram — LOUCHE

1. Open source? Clients ja, server nee
2. Geaudit? Beloningsprogramma maar zorgen blijven
3. E2E versleuteld? Alleen "Geheime Chats" (niet standaard)
4. Specifieke encryptie? Aangepast MTProto (experts sceptisch)
5. Vertrouwen experts het? Gemengd tot negatief
6. Bedrijfsmodel? Onduidelijk (hoe verdienen ze geld?)

Verdict: De meeste chats zijn niet E2E versleuteld. Aangepaste encryptie is twijfelachtig. Bedrijfsmodel onduidelijk. Niet betrouwbaar.

Zoom — LEUGENAAR (Historisch)

1. Open source? Nee
2. Geaudit? Niet toen ze de claim maakten
3. E2E versleuteld? Zeiden ja, onderzoekers bewezen nee
4. Specifieke encryptie? Vage claims
5. Vertrouwen experts het? Betrapten ze op liegen
6. Bedrijfsmodel? Freemium/Business

Verdict: Logen letterlijk over E2E-encryptie. Perfect voorbeeld waarom verificatie belangrijk is.

Huidige status: Biedt nu E2E voor sommige functies, maar vertrouwen is weg.

"Maar ik ben niet technisch..."

Goed nieuws: Dat hoeft ook niet.

Hier is de drie-vragenversie:

Vraag 1: Is het open source?

  • Zoek naar GitHub-link op hun website

  • Ja of Nee


Vraag 2: Is het geaudit?
  • Google "[App-naam] security audit"

  • Kun je het vinden en lezen?

  • Ja of Nee


Vraag 3: Vertrouwen beveiligingsexperts op Reddit/HackerNews het?
  • Zoek discussies op r/privacy

  • Lees wat experts zeggen

  • Vertrouwd of Sceptisch


Als alle drie JA → Waarschijnlijk oké
Als er één NEE is → Wees sceptisch

Dat is het. Je hebt net geleerd de meeste privacyleugens te herkennen.

Hoe zit het met "nieuwe" apps die nog niet zijn geaudit?

Goede vraag. Niet elke app is oud genoeg voor openbare audits.

Groene vlaggen voor nieuwe apps:

  • Open source (zodat experts het KUNNEN auditen)

  • Gebruiken standaard encryptie (niet aangepast)

  • Hebben audit gepland/in uitvoering

  • Zijn transparant over niet geaudit zijn

  • Team bevat beveiligingsexperts


Rode vlaggen voor nieuwe apps:
  • Gesloten bron EN niet geaudit

  • Aangepaste encryptie

  • Claimen perfecte beveiliging

  • Willen niet committeren aan toekomstige audits

  • Anoniem team


Voorbeeld: Snugg (Dat zijn wij)

We zijn nieuw. Hoe zou je ons moeten evalueren?

  • Zal open source zijn bij lancering (verifieer de code)

  • Gebruikt standaard encryptie (TweetNaCl.js: XSalsa20-Poly1305)

  • Beveiligingsaudit gepland met Trail of Bits voor lancering

  • Transparant dreigingsmodel gepubliceerd

  • Team bevat beveiligingsadviseurs


Onze mening: Vertrouw ons niet zomaar. Als we lanceren, verifieer alles zelf. Dat is letterlijk het punt van dit artikel.

De conclusie: Je hebt leugenaars vertrouwd

Dit is wat ik leerde na het Zoom-incident:

Bedrijven liegen de hele tijd over privacy. De meeste gebruikers komen er nooit achter.

Maar jij hoeft niet een van die gebruikers te zijn.

De simpele versie:

1. Zoek naar open source → Kunnen experts het verifiëren?
2. Zoek naar openbare audits → Is het geverifieerd?
3. Zoek naar specifieke details → Of alleen marketing?
4. Vraag wat experts denken → Check Reddit r/privacy
5. Controleer het bedrijfsmodel → Hebben ze je gegevens nodig om geld te verdienen?

Als een platform hier goed op scoort, is het waarschijnlijk betrouwbaar.

Als niet, ga ervan uit dat ze liegen totdat het tegendeel bewezen is.

Waarom dit belangrijk is

Je hebt waarschijnlijk jarenlang apps gebruikt waarvan je dacht dat ze privé waren.

Misschien zijn ze dat. Misschien niet.

De vraag is: Hoe zou je het weten?

Tot nu toe zou je het niet weten. Je zou ze gewoon moeten vertrouwen.

Maar vertrouwen zonder verificatie is hoe we Zooms leugens, TikToks gegevensdeling en Facebooks hele bedrijfsmodel kregen.

Je verdient beter dan "vertrouw ons."

Je verdient apps die je kunt verifiëren.

Wat Snugg anders doet

We hebben Snugg gebouwd om vanaf dag één verifieerbaar te zijn.

Waar we ons aan committeren:

  • Open source → Controleer onze code op GitHub

  • Openbare audits → Lees de auditrapporten

  • Standaard encryptie → Geen aangepaste crypto-onzin

  • Eerlijke beperkingen → We vertellen je wat we niet beschermen

  • Transparant bedrijfsmodel → Abonnementen, niet surveillance


Wat je moet doen:

Als we lanceren, vertrouw ons niet zomaar. Verifieer ons.

Gebruik dit artikel. Controleer onze code. Lees onze audit. Vraag beveiligingsexperts wat ze denken.

Als onze claims niet overeenkomen met de realiteit, roep ons ter verantwoording.

Zo zou het moeten werken.

Bronnen om meer te leren

Wil je apps zelf verifiëren?

Communities waar beveiligingsexperts apps bespreken:

  • r/privacy (Reddit)

  • news.ycombinator.com (Hacker News)

  • @privacyguides@mastodon.social (Mastodon)


Privacygidsen:
  • EFF's Surveillance Self-Defense: ssd.eff.org

  • Security Planner: securityplanner.org


Auditbedrijven om op te letten:
  • Trail of Bits: trailofbits.com

  • NCC Group: nccgroup.com

  • Cure53: cure53.de


Als een app zegt geaudit te zijn door een van deze bedrijven, kun je dat meestal vertrouwen (zolang het rapport openbaar is).

Snelle referentiekaart

Print dit uit of maak een screenshot:

Rode vlaggen (Niet vertrouwen)

  • "Militair" zonder specificaties
  • "Bankbeveiliging" zonder details
  • "Versleuteld" maar niet "end-to-end"
  • Aangepaste encryptie
  • Gesloten bron
  • Geen openbare audits
  • Bedrijfsmodel vereist je gegevens
  • Vage of geen technische details

Groene vlaggen (Mogelijk betrouwbaar)

  • Open source code
  • Openbare beveiligingsaudits
  • Zegt specifiek "end-to-end versleuteld"
  • Noemt specifieke algoritmen
  • Eerlijk over beperkingen
  • Beveiligingsexperts vertrouwen het
  • Bedrijfsmodel heeft je gegevens niet nodig
  • Transparant team
Vuistregel: Als ze het niet kunnen (of willen) bewijzen, geloof het niet.

Eén laatste ding

Na Zoom veranderde ik hoe ik apps evalueer.

Oud ik: "Ze zeiden dat het versleuteld is, dus het moet veilig zijn."
Nieuw ik: "Laat me de code zien, laat me de audit zien, of ik geloof je niet."

Het is geen cynisme. Het is realisme.

Bedrijven hebben bewezen dat ze zullen liegen over privacy om gebruikers te winnen.

De enige verdediging is verificatie.

En nu weet je hoe.

Probeer Snugg

We bouwen een platform dat je echt kunt verifiëren.

Wat ons anders maakt:

  • Open source (controleer de code zelf)

  • Onafhankelijk geaudit (lees de rapporten)

  • End-to-end versleuteld (alles, niet alleen berichten)

  • Geen advertenties (abonnementsmodel)

  • Minimale metadata (we kunnen je niet profileren)


Maar vertrouw ons niet. Verifieer ons als we lanceren.

Schrijf je in op de wachtlijst →

Vragen?

"Is dit niet paranoïde?"

Is het paranoïde om bedrijven niet te vertrouwen die bewezen hebben dat ze liegen? Zoom loog. TikTok loog. Facebook liegt constant. Dit is realisme, geen paranoia.

"Wat als ik gewoon wil gebruiken wat iedereen gebruikt?"

Dat is oké. Maar je weet tenminste wat je opgeeft. Geïnformeerde toestemming is belangrijk.

"Kunnen audits vervalst worden?"

Gerenommeerde bedrijven (Trail of Bits, NCC Group, Cure53) zetten hun hele bedrijf in op eerlijke audits. Liegen zou ze vernietigen. Dus hoewel technisch mogelijk, is het extreem onwaarschijnlijk.

"Hoe zit het met apps die niet open source kunnen zijn?"

Bank-apps bijvoorbeeld kunnen hun code vaak niet openstellen. Dat is oké—maar dan moeten ze beter meerdere audits, regelgevende compliance en transparantierapporten hebben. Meer controle voor gesloten bron.

Deel dit als je iemand kent die nog steeds denkt dat "versleuteld" automatisch "privé" betekent.

Over Snugg: We bouwen een sociaal platform dat je echt kunt verifiëren. Open source, geaudit, end-to-end versleuteld. Geen surveillance, geen leugens.

Meer informatie: snugg.social
Vragen: hello@snugg.social

Over de auteur - Sam Bartlett

Ik ben jachtexpert in het Caribisch gebied en oprichter van Snugg. Na 15 jaar te hebben gezien hoe sociale mediaplatforms advertenties boven echte connecties stellen, besloot ik het alternatief te bouwen. Eerder bouwde en runde ik een succesvol zeilvakantiebedrijf dat jarenlang bovenaan de Google-zoekresultaten stond, totdat algoritmewijzigingen het organische bereik vernietigden. Ik ben geen ontwikkelaar of privacy-activist – gewoon iemand die het zat was dat platforms hun doel vergaten. Als ik niet aan Snugg werk of jachten inspecteer, wens ik dat iedereen meer tijd had om te zeilen op prachtige plekken (of voor wat hen ook maar vreugde brengt).

Neem contact op:

Dit bericht delen

Klaar voor echte privacy?

Schrijf je in op onze wachtlijst en behoor tot de eersten die een echt privé sociaal platform ervaren.

Op wachtlijst plaatsen