Zelfrijdende auto’s op de weg, slimme assistenten in huis en software die bepaalt of je een lening krijgt - het is allemaal geen toekomstmuziek meer. AI heeft een steeds grotere impact op ons dagelijks leven en verstookt ook heel wat energie met de bijbehorende CO₂-uitstoot. Reden te meer om eens dieper na te denken over hoe we als maatschappij met AI willen omgaan.

AI (artificial intelligence, ofwel kunstmatige intelligentie) speelt een steeds belangrijkere rol in ons dagelijks leven. De technologie biedt heel wat voordelen: slimme assistenten verstaan je spraak, je smartphone verbetert je typefouten en binnenkort hoeven we misschien zelf niet meer te rijden omdat onze auto dat voor ons doet.

Maar het gebruik van AI roept ook heel wat vragen op. Niet alleen over privacy, maar zelfs nog veel fundamenteler: wíllen we al die taken wel door computers laten uitvoeren? Willen we bijvoorbeeld wel volledig door een algoritme laten bepalen wie een lening krijgt, zonder enige menselijke inbreng? En nog extremer: willen we wel een drone in oorlogsgebied automatisch laten bepalen of iemand een burger of vijandige soldaat is om die dan neer te schieten?

01 Van grondrechten tot ethische beginselen

In april 2019 publiceerde de ‘High-Level Expert Group on AI’ van de Europese Commissie ethische richtlijnen voor betrouwbare AI. Dit deden ze om een kader te bieden om over dit soort vragen na te denken en beslissingen over het gebruik van AI te kunnen nemen die mensen in hun waarde laten.

De expertgroep baseert zich op grondrechten die in de EU-verdragen, het Handvest van de grondrechten van de EU en de internationale mensenrechtenwetgeving opgenomen zijn. Het gaat dan bijvoorbeeld om respect voor de menselijke waardigheid, vrijheid van het individu, respect voor democratie, justitie en de rechtsstaat, gelijkheid, non-discriminatie en solidariteit en rechten van burgers (zoals het recht op behoorlijk bestuur en het recht op inzage in openbare documenten). Bij de ontwikkeling en het gebruik van AI mogen die grondrechten nooit in het gedrang komen, vindt de expertgroep.

De auteurs noemen in hun rapport vier ethische beginselen die in die grondrechten geworteld zijn en die ontwikkelaars en gebruikers van AI altijd zouden moeten naleven: respect voor de menselijke autonomie, preventie van schade, rechtvaardigheid en verantwoording. Door deze beginselen na te leven, zouden we met AI het individuele en collectieve welzijn kunnen verbeteren.

©PXimport

02 Respect voor de menselijke autonomie

Een belangrijk grondrecht is de vrijheid van het individu: ieder is vrij om zijn eigen levenskeuzes te maken. Daaronder vallen ook de vrijheid van meningsuiting en het recht op een privéleven. Een AI-systeem mag mensen daarom niet onterecht onderwerpen of tot iets dwingen, maar ook niet misleiden of manipuleren.

Een AI-systeem dat dit ethische beginsel omarmt, zou juist ontworpen moeten zijn om de menselijke cognitieve, sociale en culturele vaardigheden aan te vullen en te versterken. Zo zou een AI-systeem op de werkvloer dat respect heeft voor de autonomie van de werknemers juist ondersteunend zijn en het werk nog zinvoller maken. Bovendien betekent respect voor de menselijke autonomie ook dat er altijd menselijke controle moet zijn op de werkprocessen van het AI-systeem.

03 Preventie van schade

Een AI-systeem mag geen schade veroorzaken of vergroten bij mensen, zowel op fysiek als mentaal gebied. Hieronder vallen ook regels dat het systeem robuust en veilig moet zijn, zodat het niet misbruikt kan worden. Maar het gaat verder: een AI-systeem dat bijvoorbeeld ongelijkheid vergroot of de machtsverhoudingen tussen werkgever en werknemers verandert doordat die eerste meer informatie krijgt over zijn werknemers, gaat in tegen deze richtlijn.

Ook tussen een bedrijf en zijn klanten of consumenten, of tussen een overheid en zijn burgers is er die scheeftrekking van de machtsverhoudingen. We zien dan ook momenteel dat veel bedrijven en overheden AI juist (willen) inzetten om hun macht te vergroten, en dat is een rechtstreekse inbreuk op dit beginsel.

04 Rechtvaardigheid

Rechtvaardigheid is een breed begrip dat ook nog eens cultureel bepaald is. Dit is waarschijnlijk dan ook het moeilijkste ethische beginsel om in de praktijk te brengen. Toch zijn er enkele algemene regels: een AI-systeem zou niemand mogen discrimineren, stigmatiseren, ongelijke kansen geven of arbitrair in zijn keuzevrijheid beperken.

Discriminatie hoeft overigens niet bewust ingebouwd te zijn: het kan ook een ‘bug’ zijn. Zo werkt gezichtsherkenning doorgaans minder goed bij een donkere huid, waardoor gekleurde personen vaker verkeerd geïdentificeerd worden.

Rechtvaardigheid betekent ook dat tegengestelde belangen altijd afgewogen moeten worden en dat de inzet van een AI-systeem evenredig moet zijn met het doel. De inzet van gezichtsherkenning om iemand publiekelijk aan de schandpaal te nagelen na het oversteken bij rood licht, is bijvoorbeeld een onevenredig gebruik van de technologie en dus niet rechtvaardig. Tenminste in Europa; in China vindt men dit heel normaal.

05 Verantwoording

Minstens zo belangrijk als de vorige beginselen is dat de werking van een AI-systeem verantwoord moet kunnen worden. De processen van het systeem dienen transparant te zijn en de mogelijkheden en het doel dienen openbaar te zijn. Bovendien moeten de beslissingen die een AI-systeem neemt te verklaren zijn voor wie er de gevolgen van ondervindt. Als je een aanvraag voor een lening doet en die wordt geweigerd door het systeem, heb je recht op een betere verklaring dan “Computer says no”. De computer moet een redenering kunnen geven als: je bent geweigerd omdat je loon te laag is en je in het verleden een lening tijdelijk niet hebt afbetaald. Als je zo’n antwoord krijgt, kun je dit tenminste aanvechten door tegenargumenten te geven.

06 Checklist voor bedrijven

Allemaal goed en wel, maar dat blijven vrij vage ethische richtlijnen. Hoe werk je dat in de praktijk uit? Verrassend genoeg biedt het rapport van de Europese Commissie aan de voorgaande beginselen ook heel praktische richtlijnen in de vorm van een lijst met zeven concrete vereisten waaraan elk AI-systeem zou moeten voldoen. Op basis van feedback is er in juli 2020 een herziene versie van die richtlijnen gepubliceerd: Assessment List for Trustworthy Artificial Intelligence (ALTAI) for self-assessment.

Bij elk van deze vereisten worden methodes vermeld die bedrijven kunnen gebruiken om hun AI-systeem aan de vereisten te laten voldoen. Eén van die concrete vereisten is bijvoorbeeld het belang van privacy en ‘data governance’ (gegevenskwaliteitsbeheer). De checklist beklemtoont dat verzamelde persoonsgegevens vertekend, onvolledig, onnauwkeurig, of fout kunnen zijn. Dit moet verholpen worden vóórdat het systeem met deze gegevens getraind wordt. Bovendien moet elke stap - zoals het plannen, trainen, testen en installeren - getest en gedocumenteerd worden om de integriteit te waarborgen. En de algoritmes, gegevens en ontwerpprocessen moeten te evalueren zijn door interne en externe controleurs.

Bij de vereisten staat ook dat een AI-systeem zich tegenover een gebruiker niet als mens mag voordoen: het moet altijd als AI-systeem herkenbaar zijn. Bovendien moet een AI-systeem toegankelijk zijn voor iedereen ongeacht, leeftijd, geslacht of beperkingen. Opmerkelijk is ook dat de checklist erop wijst dat de energieconsumptie tijdens het trainen van een AI-systeem geminimaliseerd moet worden. Bedrijven die met AI bezig zijn, kunnen de richtlijnen consulteren of een webtools voor de checklist volgen.

©PXimport

07 Van ethiek naar wetgeving

Ethische richtlijnen zijn nuttig. Maar volgens digitale burgerrrechtenorganisatie Acces Now en consumentenverenigingen ANEC en BEUC (die alle drie een lid in de expertgroep hadden) is dit maar een eerste stap. Zonder bijbehorende wetgeving en controles kunnen we niet verzekeren dat AI-systemen de rechten van gebruikers respecteren. Aan de wetgeving wordt al gewerkt (zie het kader ‘Europese regelgeving rond AI’), maar zal die gehandhaafd kunnen worden?

Access Now signaleert ook dat de Europese Commissie in de expertgroep voornamelijk vertegenwoordigers uit het bedrijfsleven heeft geplaatst, en dat de richtlijnen daardoor niet voldoende de mens centraal stellen. De organisatie stelt ook voor om de uitdagingen rond AI meer in termen van mensenrechten te bespreken, zoals ze in 2018 hebben gedaan in hun publicatie ‘Human rights in the age of artificial intelligence’.

08 Wie is er verantwoordelijk?

Iets anders waar het rapport van de Europese Commissie aan voorbijgaat, is het probleem van verantwoordelijkheid. Als een zelfrijdende auto door een fout een dodelijk ongeval veroorzaakt, wie is dan de schuldige? De auto? Maar apparaten zijn geen levende wezens, dus daar kunnen we geen verantwoordelijkheid aan toekennen.

De producent dan? Op zich verschilt een AI-systeem zoals een zelfrijdende auto niet zoveel van elk ander product. Als een klassieke auto door een fout plots tijdens een manoeuvre blokkeert en daardoor een ongeval veroorzaakt, zal de producent verantwoordelijk gesteld worden. Zo ook bij een zelfrijdende auto.

Europese regelgeving rond AI

09 Complexe oorzaken

Maar het is veel complexer dan dat: een zelfrijdend systeem bestaat uit zoveel subsystemen van zoveel andere bedrijven, en is getraind op zoveel data uit allerlei bronnen, dat het heel moeilijk te bepalen is wat precies de fout veroorzaakt heeft. Misschien ligt de fout wel in een verkeerde training door een werknemer die op een vrijdagavond vroeger naar huis wilde, waardoor de auto de situatie verkeerd ingeschat heeft. Of misschien kwam de auto in een situatie waarin er gewoon geen juiste oplossing was (zie het kader ‘Het trolleyprobleem’).

Stellen we dan degene die de keuze in een algoritme gegoten heeft verantwoordelijk voor elke dode die uit die keuze voortvloeit? En die complexiteit leidt weer tot andere problemen. Elon Musk heeft aangegeven dat Tesla de verantwoordelijkheid aanvaardt in het geval van een ongeval, op voorwaarde dat de software een fout gemaakt heeft. En hoe bepaal je dat? Door de auto tijdens het rijden continu alle mogelijke gegevens te laten verzamelen en naar Tesla te sturen. We kopen de verantwoordelijkheid van de producent dus af met onze privacy.

10 Te veel vertrouwen in AI

Producenten van AI-systemen stellen de capaciteiten altijd mooier voor dan ze zijn. Daardoor hebben politici, overheidsdiensten maar ook wij allemaal te veel vertrouwen in AI, terwijl veel systemen nog helemaal niet zo goed werken dat we ze in de plaats van menselijke experts zouden kunnen gebruiken. Je kunt je schouder ophalen met de boodschap dat het allemaal wel zal verbeteren, maar ondertussen wordt AI wel in heel wat domeinen toegepast of overwogen waar het juist tot extra risico’s leidt. Het ‘Berkman Klein Center for Internet & Society’ van de Universiteit van Harvard publiceerde in 2018 een overzicht van de risico’s in het rapport ‘Artificial Intelligence & Human Rights: Opportunities & Risks’.

Het trolleyprobleem

©PXimport

11 Mensenrechten onder druk

Het rapport gaat met zes domeinen in op de impact van AI op mensenrechten. Opvallend is dat er maar een domein is waarin de auteurs de positieve impact groter zien dan de negatieve impact: diagnostiek in de gezondheidszorg. In het strafrecht, de financiële sector, onderwijs, online content moderation en human resources weegt momenteel de negatieve impact door of is de impact nog onduidelijk.

De problemen zijn afhankelijk van het domein, maar hetzelfde komt vaak terug: het systeem beoordeelt iemand nog te vaak fout en er is geen enkel verweer tegen doordat de beslissing niet transparant genomen wordt. Omdat de gebruikers (politiemensen, rechters, hr-personen, bankiers) blindelings vertrouwen in de technologie waarmee ze mensen beoordelen, zijn ze niet geneigd om de bezwaren van de slachtoffers serieus te nemen. Het is nu eenmaal gemakkelijk om de verantwoordelijkheid voor een moeilijke beslissing naar een computer door te schuiven.

12 Dichter bij huis

Dit is geen ver-van-mijn-bedshow. In Nederland koppelde de overheid van 2014 tot 2020 persoonsgegevens van burgers uit verschillende databases aan elkaar om risicoprofielen op te stellen. Het systeem heette SyRI (Systeem Risico Indicatie) en was ondanks grote bezwaren van het toenmalige College Bescherming Persoonsgegevens en de Raad van State ingevoerd, zonder enige vorm van inzicht in wat er met de gegevens van burgers gebeurt.

De gemeenten, het UWV, de Sociale Verzekeringsbank, de Inspectie SZW en de Belastingdienst konden allemaal van SyRI gebruikmaken als ze bijvoorbeeld fraude met uitkeringen, toeslagen of belastingen vermoedden. Het systeem ging dan aan het rekenen en bepaalde zo welke adressen een verhoogd risico op fraude hadden. Dat kon niet zomaar: er was een hele procedure. Een gemeente kon bijvoorbeeld toestemming vragen om een specifieke wijk te onderzoeken.

In de vijf jaar dat het systeem actief was, hebben vijf gemeenten dat gedaan, maar uit onderzoek van de Volkskrant bleek dat bij geen van die algoritmische onderzoeken een fraudegeval ontdekt werd. Gegevens waren vaak niet meer actueel of verkeerd ingevuld, of er was te weinig personeel. SyRI was bovendien helemaal niet transparant: bewoners van ‘zwakkere’ wijken kwamen onder een vergrootglas te liggen terwijl ze helemaal niet wisten welke privacygevoelige gegevens over hen gebruikt werden. Door het groeiende protest over de gang van zaken besloot Rotterdam om het fraudeonderzoek met SyRI stop te zetten. In het begin van 2020 oordeelde de rechtbank dat de wetgeving die de inzet van SyRI regelde in strijd was met artikel 8 van het Verdrag voor de Rechten voor de Mens, dat het recht op respect voor het privéleven beschermt.

AI voor iedereen

Ondertussen profiteren bedrijven zoals Google, Facebook en Amazon van de grote hoeveelheden gegevens waarover ze beschikken om krachtige AI-toepassingen te trainen, die zelden in het voordeel van gebruikers zijn. Als je de website Google AI zou bezoeken, zou je niet geloven dat dit hetzelfde bedrijf is dat 80% van het webverkeer traceert met cookies of trackers. Als we even voorbijgaan aan de privacy-inbreuken van Google, bevat de website van Google AI een interessante houding tegenover AI. Google wil met AI naar eigen zeggen technologieën ontwikkelen die belangrijke problemen oplossen en mensen in hun dagelijks leven helpen.

©PXimport

De mens centraal

Het bedrijf somt zelfs enkele principes op die het volgt in zijn keuze om specifieke AI-toepassingen al dan niet te ontwikkelen. Zo mag een AI-technologie volgens Google geen vooroordelen creëren of versterken, moet ze verantwoording kunnen geven en moet ze de maatschappij van voordeel zijn. Google heeft zelfs een People + AI Guidebook gepubliceerd voor wie zelf een AI-systeem ontwikkelt en daarbij wil weten hoe dit het best de mens centraal stelt. Hoe mooi al deze principes en richtlijnen ook zien, Google krijgt veel kritiek van onderzoekers omdat het zelf deze richtlijnen vaak overtreedt.

15 Energieslokoppen

AI heeft nog een ander probleem: technieken zoals deep learning vragen enorm veel rekenkracht. Bij deep learning wordt een neuraal netwerk opgesteld met een groot aantal lagen neuronen tussen invoer en uitvoer. De beste netwerken worden altijd groter. Zo had GPT-2 van OpenAI in 2019 ‘slechts’ 1,5 miljard parameters nodig, terwijl de opvolger GPT-3 vorig jaar maar liefst 175 miljard parameters vereiste. Ook de rekenkracht die nodig was om beide modellen te trainen nam sterk toe: GPT-2 vereiste enkele tientallen petaflopdagen, terwijl dat bij GPT-3 al meerdere duizenden petaflopdagen bedroeg. Honderd keer zoveel rekenkracht, en dus energieverbruik, op een jaar tijd.

Energieverbruik betekent meestal ook een CO₂-voetafdruk. In 2019 publiceerden computerwetenschappers van de University of Massachusetts de studie ‘Energy and Policy Considerations for Deep Learning in NLP’. Daarin schatten ze dat het productieklaar maken van een enkel neuraal netwerk even veel CO₂ uitstoot als vijf auto’s tijdens hun hele levensduur. En in 2020 schatten studenten van de universiteit van Kopenhagen dat het trainen van GPT-3 een even grote CO₂-voetafdruk heeft als 700.000 km rijden met een nieuwe auto. Ze ontwikkelden een tool, carbontracker om het energieverbruik en de CO₂-voetafdruk van het trainen van een deeplearningmodel te schatten.

©PXimport

16 Inzicht in de CO₂-voetafdruk

In hun publicatie ‘Quantifying the Carbon Emissions of Machine Learning’ hebben onderzoekers van Element AI en het instituut Mila in Montréal de factoren blootgelegd die een impact hebben op de CO₂-voetafdruk van het trainen van een deeplearningmodel. Op basis hiervan hebben ze de Machine Learning Emissions Calculator ontwikkeld. Je vult hier in bij welke cloudprovider en in welke regio je het model traint, om welk hardwaretype het gaat en hoeveel uren het trainen in totaal duurde.

Je krijgt dan niet alleen de CO₂-uitstoot te zien, maar ook suggesties om die te verbeteren, bijvoorbeeld het model in een andere regio trainen of naar een andere cloudprovider overstappen. Daar zijn grote verschillen tussen. Zo draait het Google Cloud Platform voor een groter deel op hernieuwbare energie dan Amazon Web Services. Bedrijven die de impact van hun AI-toepassingen op het milieu willen beperken, kunnen op deze manier de juiste keuzes maken.

©PXimport

17 Steeds minder verbetering

Het gigantische energieverbruik van de steeds groter wordende AI-modellen is vaak ook gewoon niet meer te verantwoorden. Want de modellen worden wel beter, maar het energieverbruik groeit sterker dan de verbetering van de prestaties. Dat is al jaren zo. Het computervisiemodel ResNeXt uit 2017 verbruikte bijvoorbeeld 35% meer energie bij het trainen dan de voorganger ResNet uit 2015, maar was slechts 0,5% nauwkeuriger.

Als AI-onderzoekers op dezelfde manier blijven doorgaan, zullen ze dus grotere en grotere modellen maken die steeds meer energie vragen, en dat om steeds kleiner wordende verbeteringen te realiseren. Een van de redenen waarom deze verspilling blijft gebeuren, is omdat veel AI-onderzoekers geobsedeerd zijn om met hun algoritme op de eerste plaats te raken in een van de vele gepubliceerde benchmarks. Het levert de onderzoekers faam op, zelfs al is hun algoritme maar een fractie van een procent beter dan de nummer twee.

18 Intelligenter dan domme berekeningen

AI-onderzoekers zouden dus beter ook naar de energiekosten kijken, en wetenschappelijke artikels en onderzoeksvoorstellen zouden hierop ook beoordeeld moeten worden. Maar het is ook duidelijk dat de huidige aanpak van steeds maar grotere modellen niet meer vol te houden is. We hebben vooral nieuwe fundamentele inzichten in AI nodig. Zodat we AI-algoritmes kunnen ontwikkelen die niet alleen intelligenter zijn dan brute rekenkracht, maar ook niet zoveel kostbare energie verspillen. Zo komt ons menselijke brein toe met een gemiddeld energieverbruik van nog geen 20 watt!

Naar verwachting stappen dit jaar weer ruim 1,2 miljoen mensen over van zorgverzekering. Verstandig, maar het kan nóg slimmer. Wie overstapt via CashbackXL profiteert namelijk dubbel: je bespaart op de premie én ontvangt cashback-punten die je kunt inwisselen voor keiharde euro's.

We zitten midden in het overstapseizoen. Tot en met 31 december heb je de tijd om je huidige zorgverzekering op te zeggen en een nieuwe te kiezen. De ontevredenheid over de hoge premies is voor velen de belangrijkste reden om te wisselen. Daarnaast kiezen steeds meer mensen voor een minder uitgebreide aanvullende verzekering om de kosten te drukken. Er valt vaak honderden euro's per jaar te besparen door simpelweg te vergelijken. Maar waarom zou je genoegen nemen met alléén een lagere premie?

Punten scoren (en cashen!)

Als je via CashbackXL overstapt, ontvang je voor elke nieuw afgesloten zorgverzekering bij de grote vergelijkers Poliswijzer.nl, Zorgkiezer en Overstappen.nl 2.750 punten. Deze punten zijn geld waard: 1 punt staat gelijk aan € 0,01. Dit betekent dat je per overstap € 27,50 extra voordeel pakt.
Of je nu kiest voor a.s.r., VGZ Bewuzt, OHRA, Zilveren Kruis Ziezo of een van de vele andere verzekeraars uit de lijst: als je via de juiste vergelijker overstapt, pak je die bonus mee. In onderstaand overzicht zie je bij welke vergelijker je moet zijn voor een specifieke verzekeraar.

💡Slimme tip: zo krijg je meerdere cashbacks op één adres

Stappen jij en je partner allebei over? Let dan even goed op. Normaal gesproken geldt de regel: één cashback per vergelijker, per adres/gezin. Maar daar is een slimme oplossing voor. Wil je voor meerdere gezinsleden een cashback ontvangen? Sluit de verzekeringen dan af bij verschillende vergelijkers.

Voorbeeld: Jij sluit je nieuwe verzekering af via Poliswijzer.nl (2.750 punten) en je partner sluit af via Overstappen.nl (ook 2.750 punten). Zo ontvang je op hetzelfde adres twee keer de cashback!

Voorwaarden puntenactie zorgverzekering 2026

Wil je in aanmerking komen voor deze actie, lees dan onderstaande voorwaarden even aandachtig door:

• Je moet 18 jaar of ouder zijn.
• Het moet gaan om een nieuwe verzekering (als je verlengt bij je huidige verzekeraar (ook al sluit je een andersoortige verzekering af) dan geldt dat hier niet als overstappen.
• Alle genoemde cashbacks gelden altijd voor elk eigen risico.

Zo werkt de zorgverzekerings-cashback

Wil jij 2026 financieel goed beginnen? Volg dan deze stappen voor de perfecte tracking:

1. Maak een account aan op CashbackXL.
2. Klik bovenaan in de blauwe balk op Zorgverzekering 2026.
3. Bekijk in het overzicht welke verzekeraar via welke vergelijker (Poliswijzer, Zorgkiezer of Overstappen) beschikbaar is.
4. Klik op de link en start de vergelijking. Let op: accepteer alle cookies op de site van de vergelijker en zet je adblocker uit. Dit is noodzakelijk om de punten te kunnen registreren.
5. Sluit de verzekering af.
6. Je aankoop wordt geregistreerd en na goedkeuring in april 2026 kun je jouw punten verzilveren in euro's.

Je inloggegevens alleen met een wachtwoord beveiligen is vragen om problemen. Steeds meer diensten en apps bieden daarom tweefactorauthenticatie (2FA) aan, of ze verplichten dit zelfs. Naast een wachtwoord heb je dan een tweede factor nodig. Vaak gebruik je hiervoor je smartphone, maar wat doe je als je (tijdelijk) geen telefoon hebt?

Wachtwoorden kun je vergeten, of ze worden gehackt. Daarom is het niet handig om de toegang tot een dienst of app alleen met een wachtwoord te beveiligen. Voor meer veiligheid voeg je daar een tweede authenticatiemethode aan toe. We hebben het over het aanmelden via 2FA (tweefactorauthenticatie oftewel tweestapsverificatie).

Bij 2FA heb je naast iets wat je weet, meestal een wachtwoord, ook iets wat je 'hebt' of 'bent' nodig om in te loggen. Zo'n tweede factor is vaak een unieke, eenmalige code via een authenticator-app op je smartphone. Het kan ook een sms-code, pushmelding, hardwaresleutel of een biometrische beveiliging zijn. Zo kan een aanvaller met je wachtwoord niet binnendringen, want hij heeft ook die tweede factor nodig. Een geraden of gelekt wachtwoord is dus niet meer voldoende, wat de veiligheid verhoogt.

Smartphone

Veel 2FA-oplossingen werken via een smartphone, bijvoorbeeld met de authenticator-app van Authy, Google of Microsoft, of via sms-berichten naar je telefoon. Dit is handig, maar er zijn ook nadelen. Je hebt altijd je telefoon nodig en bij een lege batterij, verlies of diefstal kom je mogelijk niet bij je accounts. Ook al je je in een gebied zonder mobiel bereik bevindt, is het lastig of onmogelijk om een sms te ontvangen.

2FA via sms is bovendien kwetsbaar voor praktijken als sim-swapping. Hierbij zet een aanvaller jouw telefoonnummer om naar een eigen simkaart om zo sms-codes te ontvangen. Je smartphone kan ook besmet raken (via phishing) met malware. Ook daarmee kan een aanvaller andere 2FA-codes onderscheppen.

Het kan ook zijn dat je geen smartphone voor je werk hebt en dat je je privételefoon liever niet gebruikt voor werkgerelateerde 2FA-authenticaties. Je kunt er natuurlijk ook nog bewust voor kiezen om geen eigen smartphone te hebben.

Gelukkig bestaan er veilige alternatieven om je ook zonder smartphone via 2FA aan te kunnen melden, zoals de rest van dit artikel duidelijk maakt.

Lees ook: Waarom je beter geen sms voor tweestapsverificatie kunt gebruiken

Desktop-authenticator

Veel mensen gebruiken als tweede factor een eenmalige code via een authenticator-app. Daarvoor bestaan verschillende gratis mobiele apps, maar je kunt ook je desktop of laptop inzetten. Je hoeft geen virtuele Android-omgeving op te zetten met een tool als BlueStacks om zo bijvoorbeeld de mobiele Android-authenticator van Google of Microsoft te kunnen draaien. Installeer gewoon de desktopversies, zoals het Zwitserse Proton of het Zweedse Yubico.

We vertellen je in het kort hoe je hiermee bij Google aanmeldt. De procedure bij andere diensten en apps gaat op een vergelijkbare manier. Surf naar https://myaccount.google.com en open Beveiliging. Kies Tweestapsverificatie en zorg dat deze is ingeschakeld. Klik bij tweede stap op Authenticator en daarna op Authenticator instellen. Er verschijnt een QR-code, maar voor je desktop-app klik je op Kun je de code niet scannen. Je krijgt nu de nodige gegevens om de geheime sleutel (zie kader Werking digitale token) handmatig in te voeren.

Als je dit in je authenticator-app hebt ingesteld (zie de alineaProton Authenticator), klik je op Volgende en voer je de code in die de app genereert. Je kunt nu definitief tweestapsverificatie bij Google aanzetten. Bij de volgende aanmeldingen voer je nu voortaan naast je wachtwoord ook de gevraagde code in.

Proton Authenticator

We nemen Proton Authenticator voor Windows als voorbeeld (ook beschikbaar voor macOS en Linux). De installatie bedraagt slechts enkele muisklikken. Start daarna de app start op en klik op Create new code. Vul bij Title bijvoorbeeld Google account in en plak de sleutel van 32 tekens in het veld Secret.

Bij Issuer kun je Google opgeven. Via Advanced options pas je eventueel instellingen aan als de dienst specifieke eisen heeft voor het aantal cijfers (standaard 6), tijdsinterval (standaard 30 seconden), algoritme (standaard SHA1) of type (standaard TOTP, maar kies STEAM voor het Steam-gameplatform van Valve). Klik op Save code om de code toe te voegen.

Via het tandwielpictogram kun je onder meer je codes back-uppen, exporteren, importeren en ook synchroniseren tussen apparaten via een gratis Proton-account. Na het aanmaken verschijnt de code in het hoofdvenster, met een geanimeerd pictogram dat de resterende geldigheidsduur toont. Je hoeft deze code nu maar bij de juiste dienst in te vullen als tweede factor, naast je wachtwoord.

©TvD | ID.nl

TOTP-wachtwoordmanager

Wachtwoorden zijn vooralsnog niet verdwenen (zie ook kader Zonder wachtwoord) en daarom is een wachtwoordmanager aan te raden. Zo hoef je al je wachtwoorden niet zelf te onthouden, voorkom je dat je ze achteloos noteert en vermijd je te veel dezelfde of simpele varianten.

Enkele wachtwoordmanagers ondersteunen ook TOTP-codes voor 2FA, zodat je geen aparte authenticator-app nodig hebt. Gratis opties voor Windows-desktop zijn onder meer Bitwarden en KeePassXC.

We nemen KeePassXC als voorbeeld, dat ook voor macOS en Linux beschikbaar is. Je installeert de tool met enkele muisklikken. Bij de eerste start klik je op Database aanmaken, voer je een naam en eventueel een omschrijving in. Klik daarna op Doorgaan. Laat de instellingen gerust ongewijzigd en klik op Doorgaan. Geef een sterk hoofdwachtwoord in (twee keer) en bevestig met Gereed. Kies een locatie voor de database en klik op Opslaan.

Voer in het hoofdvenster de accountgegevens in, zoals Titel, Gebruikersnaam, Wachtwoord en URL, en bevestig met OK. Het item wordt toegevoegd. Klik er met de rechtermuisknop op, kies TOTP / TOTP instellen en vul de Geheime sleutel in. Pas via Aangepaste instellingen eventueel de parameters aan en bevestig met OK. Om de TOTP-code te zien, kies je TOTP / TOTP (QR code) weergeven in het contextmenu.

Je kunt ook de KeePassXC-browserextensie downloaden en installeren om je online wachtwoorden en TOTP-codes automatisch in de browser in te vullen.

Hardwaresleutel

In plaats van een digitale sleutel kun je ook een fysieke hardwaresleutel gebruiken als tweede factor. Zo'n sleutel is extra veilig omdat deze via internet niet kan worden gekopieerd of gestolen. Ook phishers maken nauwelijks kans, want de sleutel is gekoppeld aan de originele website-url van de dienst. Zelfs als iemand je sleutel heeft, blijft je wachtwoord nodig en vaak ook een pincode of biometrie om de sleutel te gebruiken. Bij verlies rest meestal alleen een alternatieve tweede factor, zoals een TOTP-code of back-upcodes (zie hieronder), tenzij je een reservesleutel hebt.

We nemen als voorbeeld een YubiKey 5 NFC USB-A van Yubico (circa 60 euro). Dit kan ook een ander merk of type zijn, zoals Feitian, Nitrokey of SoloKeys. Ga in Windows 11 naar Instellingen, kies Accounts / Aanmeldingsopties en selecteer Beveiligingssleutel / Beheren. Plaats de sleutel in de pc en activeer deze. Klik op Toevoegen bij Pincode voor beveiligingssleutel. Je kunt ook de Yubico Authenticator downloaden die ook beschikbaar is voor macOS en Linux. Ga door met installeren en start als administrator op. Open nu Passkeys, klik op Set PIN, voer tweemaal een pincode in en klik op Save.

We nemen opnieuw Google als voorbeeld, waar je inmiddels tweestapsverificatie hebt ingeschakeld. Op de webpagina van je Google-account open je Beveiliging en klik je op Toegangssleutels en beveiligingssleutels. Kies + Toegangssleutel maken, klik op Ander apparaat gebruiken, selecteer Beveiligingssleutel en klik op Volgende en daarna op OK (twee keer). Voer de pincode van de sleutel in, bevestig met OK en activeer de sleutel. Deze is nu bruikbaar als tweede factor.

Back-upcodes

We hebben nu al twee methoden om ons via een desktop-pc of laptop bij 2FA aan te melden: digitale TOTP-codes en een hardwaresleutel. Heb je ook een toegangssleutel, bijvoorbeeld gekoppeld aan je Windows Hello-inlogmethode, dan zijn het er zelfs drie opties. Al is dit eigenlijk geen klassieke 2FA maar een methode zonder wachtwoord (zie kader Zonder wachtwoord).

De meeste diensten die 2FA ondersteunen, bieden ook back-upcodes aan, hoewel deze eigenlijk bedoeld zijn als noodingreep. We raden je in elk geval aan deze te genereren of te downloaden en offline te bewaren, bijvoorbeeld in een kluis of andere water- en brandveilige plek. Laat ze zeker niet rondslingeren en deel ze nooit digitaal.

Voor je Google-account bijvoorbeeld werkt dit als volgt. Meld je opnieuw aan op je accountpagina, open Beveiliging, scrol naar beneden en klik op Back-upcodes en daarna op Back-upcodes genereren. Google maakt direct tien codes aan die je kunt downloaden en/of afdrukken. Dit is meestal voldoende om problematische aanmeldingen op te lossen. Je kunt op elk moment weer tien nieuwe codes aanmaken, waarmee de vorige tien codes automatisch ongeldig worden.