Waarom de incognitomodus van je browser je veel minder beschermt dan je denkt
Veel mensen openen een incognitovenster zodra ze iets willen opzoeken dat ze liever voor zichzelf houden. Begrijpelijk, want de naam klinkt alsof je online onzichtbaar wordt voor de rest van de wereld. Maar dat is niet zo. De incognitomodus heeft wel degelijk nut, alleen niet op de manier die veel mensen denken.
Geen tijd om heel het artikel te lezen? In het kort:
De incognitomodus verbergt je surfgedrag alleen voor andere gebruikers van hetzelfde apparaat, niet voor je internetprovider, de websites die je bezoekt of je werkgever. Je IP-adres is in incognitomodus gewoon zichtbaar voor de buitenwereld. Browserfingerprinting maakt je bovendien herkenbaar op basis van je schermresolutie, lettertypen en browserinstellingen, zelfs zonder cookies. Inloggen op een account maakt je direct identificeerbaar, ongeacht het browservenster. Voor echte online privacy heb je een VPN nodig: die versleutelt je verkeer en schermt je IP-adres af.
Lees ook: Anoniem online? Dit is wat een VPN wel (en juist niet) doet
Wat de incognitomodus wél doet
Als je een incognitovenster opent in Chrome, een InPrivate-venster in Edge of een privévenster in Firefox of Safari, start je browser een tijdelijke sessie die volledig los staat van je gewone profiel. Je zoekgeschiedenis wordt niet bewaard, cookies worden na afloop gewist en ingevulde formulieren verdwijnen zodra je het venster sluit.
Dat is handig als je een verjaardagscadeau wilt zoeken op een computer die je deelt met het feestvarken, de artikellimiet van een nieuwssite wilt omzeilen, of even wilt controleren of een webshop jou een andere prijs toont dan een nieuwe bezoeker. Voor die doeleinden werkt privé browsen precies zoals het hoort.
Wat de incognitomodus níet doet
Het probleem zit hem in wat de modus níét doet. Je IP-adres is gewoon zichtbaar voor elke website die je bezoekt. Je internetprovider, Ziggo, KPN, T-Mobile of wie dan ook, ziet precies welke sites je bezoekt en wanneer. Op een bedrijfs- of schoolnetwerk heeft de netwerkbeheerder toegang tot dezelfde informatie, ook als je in een privévenster zit. En log je ergens in, op Google, Facebook of je e-mail, dan koppel je je activiteit direct aan je echte identiteit. Vanaf dat moment weet de dienst precies wie je bent, incognito of niet. Er is nog een veelgemaakte denkfout: de incognitomodus beschermt je niet tegen virussen of phishing. Klik je in een privévenster op een malafide link, dan is je apparaat net zo kwetsbaar als altijd. En bovenop dat alles is er nog een techniek die de meeste mensen niet kennen, maar die adverteerders en dataverzamelaars volop inzetten: browserfingerprinting.
Altijd herkenbaar via je digitale vingerafdruk, ook als je incognito surft
Zelfs zonder in te loggen kunnen websites je herkennen, via een techniek die browserfingerprinting heet. Je browser lekt voortdurend kleine stukjes informatie over je apparaat en instellingen: je schermresolutie, je tijdzone, de taal van je besturingssysteem, welke lettertypen er geïnstalleerd zijn en hoe je grafische kaart bepaalde vormen weergeeft. Afzonderlijk stelt elk van die gegevens weinig voor. Maar samen vormen ze een combinatie die jou onderscheidt van vrijwel elke andere gebruiker op het internet, zonder dat er ook maar één cookie bij komt kijken. Die combinatie heet browserfingerprinting.
Een concreet voorbeeld: een website ziet niet alleen dat je Chrome gebruikt op een Windows-laptop, maar ook dat jouw scherm precies 1440 bij 900 pixels is, dat je Arial en Calibri hebt geïnstalleerd maar niet Garamond, dat je tijdzone Europa/Amsterdam is en welke plug-ins of extensies je browser heeft geïnstalleerd. Die combinatie is uniek genoeg om jou bij een volgend bezoek te herkennen, ook als je een nieuw privévenster opent, je cookies hebt gewist of een ander wifi-netwerk gebruikt. Net als je eigen vingerafdruk dus: uniek, en altijd naar jou te herleiden.
In 2024 moest Google in de Verenigde Staten miljarden browsegegevens vernietigen en zijn privacymelding aanpassen. De aanklacht: het bedrijf had via Google Analytics en IP-registraties gewoon data verzameld van gebruikers die dachten dat de incognitomodus hen daartegen beschermde. De rechter oordeelde dat Google gebruikers had misleid over de werkelijke bescherming die de modus bood. Kort voor de geplande rechtszitting, in het voorjaar van 2024, troffen de partijen een schikking.
Die schikking had concrete gevolgen. Google moest vóór 31 maart 2024 de melding die verschijnt als je een incognitovenster opent herschrijven zodat duidelijk staat dat websites en diensten, waaronder Google zelf, gewoon data blijven verzamelen. Daarnaast werd de derde-partij-cookieblokkering in incognitomodus standaard ingeschakeld, en Google moet die instelling minimaal vijf jaar handhaven.
Wanneer de incognitomodus gewoon niet genoeg is
In vrijwel alle situaties waarbij je echt anoniem wilt zijn, is de incognitomodus onvoldoende. Publiek wifi in een café: de netwerkeigenaar kan je verkeer in principe monitoren. Surfen op het werk: de IT-afdeling heeft een compleet beeld van je browsegedrag. Medische informatie opzoeken die je liever privé houdt: je internetprovider registreert die zoekopdrachten gewoon.
Zo surf je wél anoniem
Voor echte online privacy heb je meer nodig. Een VPN (Virtual Private Network) is een goede eerste stap: daarmee wordt je internetverkeer versleuteld en je IP-adres gemaskeerd, zodat je provider en bezochte websites alleen zien dat je een VPN gebruikt, en niet welke sites je bezoekt. We plaatsen daar wel meteen een kanttekening bij: de VPN-aanbieder zelf kan je verkeer wel zien. Kies daarom een betrouwbare partij die aantoonbaar geen gebruikslogs bijhoudt. Mullvad en ProtonVPN zijn bekende voorbeelden: beide diensten hebben hun no-logs-beleid laten controleren door onafhankelijke externe partijen en zijn gewoon te gebruiken in Nederland.
De combinatie van een VPN met de incognitomodus is sterker dan elk van de twee apart: de VPN beschermt je op netwerkniveau, de incognitomodus zorgt dat er op je apparaat zelf geen sporen achterblijven: geen geschiedenis, geen cookies, geen ingevulde formulieren.
Wil je minder gevolgd worden door adverteerders en browserfingerprinting tegengaan, dan zijn browsers als Brave of Firefox met extensies als uBlock Origin en Privacy Badger een goed startpunt. Die zorgen ervoor dat je browser er voor websites uitziet als die van miljoenen anderen, waardoor je veel moeilijker individueel te herkennen bent.
Wil je maximaal anoniem zijn, dan is er de Tor Browser: die stuurt je verkeer via meerdere servers wereldwijd. Dat maakt het bijzonder moeilijk om je te volgen, maar Tor is merkbaar trager dan een gewone browser. Het is daardoor vooral een keuze voor mensen die serieuze redenen hebben om anoniem te blijven, zoals journalisten of activisten in landen met internetcensuur.
Lees ook: Tor Browser: voor als je online privacy je lief is
Een simpele vuistregel
De incognitomodus doet wat hij belooft: hij zorgt dat er niets achterblijft op je eigen apparaat – maar meer ook niet. Wie daarmee denkt onzichtbaar te zijn voor de buitenwereld, komt dus bedrogen uit. Het goede nieuws is dat echte online privacy niet ingewikkeld hoeft te zijn. Begin met een VPN en een privacybewuste browser. Meer heb je in de meeste gevallen niet nodig.
