Wil je bepaalde webdiensten die binnen je netwerk draaien op een veilige manier beschikbaar maken van buitenaf, zodat je ze bijvoorbeeld onderweg of op reis kunt gebruiken? Dan is een reverse proxy een ideale oplossing. We laten in dit artikel zien hoe je dit opzet met Nginx en hoe je dit vervolgens optimaal kunt beveiligen.

Code downloaden

Het is vaak erg praktisch om de webinterface van apparaten zoals je NAS beschikbaar te maken voor toegang van buitenaf. Hetzelfde valt te zeggen voor webdiensten die in je netwerk draaien. Denk aan toepassingen als Nextcloud, Airsonic, een WordPress-blog of software voor thuisautomatisering zoals Home Assistant en Domoticz. Het geeft vaak geen goed gevoel om deze toepassingen publiek toegankelijk te maken door een poort in de router open te zetten. De toepassingen zijn immers standaard niet altijd (goed) beveiligd. 

Het kan ook zijn dat je de beveiliging niet voldoende kent of vertrouwt. Veel veiliger is het gebruik van een reverse proxy die al het verkeer afvangt. Daarmee kun je ook meteen de toegang beveiligen en eventueel toegangsbeperkingen instellen. Zo kun je bijvoorbeeld alleen bepaalde ip-adressen toelaten of alleen lokale netwerkgebruikers. Ook een extra beveiliging met gebruikersnaam en wachtwoord is mogelijk. In dit artikel laten we zien hoe je een reverse proxy kunt gebruiken en hoe je extra toegangsbeperkingen instelt!

Werking een reverse proxy

Een reverse proxy is (bij voorkeur) een aparte server in je netwerk die verzoeken doorsluist naar de doelserver en daardoor als een soort schild werkt. Geen enkele gebruiker communiceert immers rechtstreeks met de doelserver. De reverse proxy mag een lichte server zijn, er worden geen zware eisen aan gesteld. Zelfs een Raspberry Pi is geschikt. Op basis van een domeinnaam kan de reverse proxy beslissen voor welke webdienst het verkeer is bedoeld. Je kunt deze server dus flexibel voor uiteenlopende toepassingen inzetten. 

Bovendien kun je ook direct een https-certificaat van bijvoorbeeld Let’s Encrypt gebruiken om verkeer via een versleutelde verbinding mogelijk te maken. Dat is met name belangrijk voor toegang van buitenaf, om te voorkomen dat bijvoorbeeld inloggegevens onderschept kunnen worden. Het https-adres kun je behalve voor toegang vanaf internet ook – zonder de bekende certificaatfouten – vanuit je lokale netwerk gebruiken. Dit wordt steeds vaker aanbevolen, ook met het oog op ransomware.

Als extra beveiliging kun je op het niveau van de reverse proxy allerlei toegangsbeperkingen instellen. Denk aan autorisatie of het uitsluiten van ip-adressen. Een reverse proxy kan overigens niet alleen de veiligheid verbeteren, maar ook de prestaties of betrouwbaarheid. Al richten we ons in deze masterclass op het beveiligingsaspect.

Router instellen

Je zou een reverse proxy op dezelfde server kunnen draaien als de webdienst(en) die je daarmee wilt benaderen, zolang er geen poortconflicten zijn. Een apart systeem is echter veiliger, bij voorkeur met Linux als besturingssysteem. Als proxyserver gebruiken we het bekende Nginx, wat voor dit doel ook een van de populairste opties is. Je zou datzelfde systeem met Nginx overigens ook prima voor het hosten van een blog kunnen gebruiken, het één sluit het ander niet uit. We gaan zowel poort 80 (http-verkeer) als 443 (https-verkeer) doorsturen vanaf de router naar de proxyserver, middels portforwarding. Beide poorten zijn nodig voor het aanvragen van certificaten en afhandelen van http- en https-verkeer. 

Ook laten we straks het http-verkeer omleiden naar https (door de proxyserver). Het instellen van portforwarding verschilt per router. Op www.portforward.com vind je eventueel instructies per merk en model router. De principes zijn wel steeds gelijk. Je stuurt het externe inkomende verkeer naar een bepaald poortnummer door naar een bepaald ip-adres en poort binnen je lokale netwerk. Extern kiezen we poort 80. Dit verkeer sturen we door naar het ip-adres van de proxyserver en eveneens poort 80. We maken ook zo’n regel voor poort 443. Vergeet niet om de configuratie in je router te bewaren voordat je verdergaat.

©PXimport

Subdomeinen instellen

We kiezen ervoor om de proxyserver steeds op basis van de domeinnaam te laten beslissen steeds voor welke dienst verkeer bestemd is. In deze masterclass gebruiken we één domeinnaam met voor elke webdienst een aparte subdomein. Een domeinnaam kost afhankelijk van je provider vanaf zo’n 8 euro per jaar. De gewenste subdomeinen kun je gratis en onbeperkt toevoegen zolang je zelf de DNS-instellingen beheert. Stel dat je bijvoorbeeld domein.nl hebt gekozen als domeinnaam, dan kun je nextcloud.domein.nl gebruiken voor Nextcloud en nas.domein.nl voor je NAS.

We zorgen er op de proxyserver voor dat de subdomeinen via een geautomatiseerd proces een Let’s Encrypt-certificaat krijgen. De eerste stap is het instellen van de subdomeinen bij de provider. Als voorbeeld gebruiken we het domein xda.nl bij provider TransIP. Voor de DNS-instellingen kun je terecht in het controlepaneel. Als naam vullen we bijvoorbeeld nextcloud in, zodat de Nextcloud-installatie straks bereikbaar is via nextcloud.xda.nl. We kiezen voor een zogeheten A-record waardoor we als waarde direct het ip-adres van de internetverbinding thuis kunnen invullen. Je voegt op vergelijkbare wijze subdomeinen toe voor andere webdiensten die je hebt draaien. Let op dat het na een DNS-wijziging tot 24 uur kan duren voordat de wijzigingen merkbaar zijn, door caches van onder meer je internetprovider.

©PXimport

Installatie reverse proxy

Zoals gezegd gebruiken we Nginx als reverse proxy. Er worden geen hoge eisen gesteld aan het systeem. Je kunt zelfs een Raspberry Pi gebruiken. Wij kiezen hier voor een kleine server met Ubuntu, maar je zou eventueel ook een virtualisatieplatform kunnen gebruiken zoals Proxmox VE of kunnen werken met Docker. Zorg dat je toegang hebt tot de opdrachtregel, bijvoorbeeld via ssh. Vervolgens installeer je Nginx met het commando:

sudo apt install nginx

Start hierna de webserver met:

service nginx start

Bezoek vervolgens het ip-adres van de server en controleer of de welkomstpagina van Nginx verschijnt. We gaan vervolgens Certbot installeren voor het maken van Let’s Encrypt-certificaten. We kiezen ervoor om de versie uit de pakketbronnen van Ubuntu te installeren. Hiervoor geef je de opdracht:

sudo apt install certbot python3-certbot-nginx

Voor instructies voor andere besturingssystemen kun je ook altijd kijken op https://certbot.eff.org/instructions.

©PXimport

Configuratie voor Nextcloud

In Nginx gaan we voor elke clouddienst een apart configuratiebestand maken met daarin alle vereiste details. Je zou eventueel ook alles in één configuratiebestand kunnen zetten, maar aparte bestanden zijn overzichtelijker, zeker als je veel extra opties gaat gebruiken. Op basis van de (sub)domeinnaam zijn diensten van elkaar te onderscheiden. We noemen dat ook wel de hostnaam. Je kunt één configuratie als zogeheten default gebruiken. Die configuratie wordt dan altijd gebruikt als de hostnaam niet wordt herkend. Als voorbeeld maken we een configuratiebestand voor Nextcloud. De locatie van configuratiebestanden is standaard /etc/nginx/conf.d. Blader naar deze map met het commando:

cd /etc/nginx/conf.d

Maak daarna het configuratiebestand met:

nano nextcloud.conf

In eerste instantie hoef je hier alleen onderstaande regels in te zetten:

server {

listen 80;

server_name nextcloud.xda.nl;

}

Controleer de configuratie op eventuele fouten met:

nginx -t

Certificaat maken

We kunnen nu het Let’s Encrypt-certificaat maken met de opdracht certbot. De eerste keer wordt om een e-mailadres gevraagd en moet je akkoord gaan met de gebruiksvoorwaarden. Hierna kun je steeds kiezen voor welke naam je het certificaat wilt maken. We drukken in dit voorbeeld op 1 voor nextcloud.xda.nl. Als laatste kies je of http-verkeer moet worden omgeleid naar https. Dat betekent dat iemand die de http-pagina (http://nextcloud.xda.nl) bezoekt, wordt doorgezet naar de https-pagina (https://nextcloud.xda.nl). We raden aan dit te gebruiken. Certbot zal de configuratie hierop aanpassen. Open vervolgens het configuratiebestand met teksteditor nano en bekijk wat er is veranderd:

nano nextcloud.conf

De inhoud van het configuratiebestand behandelen we in de volgende paragraaf. Ook voegen we een blok toe voor de reverse proxy.

©PXimport

Blok voor reverse proxy

In de aangepaste configuratie zie je twee blokken, elk omsloten door server {}. Een van deze blokken bevat maar enkele regels, waaronder deze:

server {

listen 80;

server_name nextcloud.xda.nl;

return 301 https://$server_name$request_uri;

}

Dit blok ‘luistert’ naar poort 80 voor http-verkeer, zoals aangeven achter listen, en dan specifiek naar de domeinnaam nextcloud.xda.nl, zoals aangeven achter server_name. Het blok bevat vervolgens alleen de doorverwijzing naar https achter return met een 301 response-code (‘moved permanently’). Het andere blok is voor de https-configuratie. Aan dat blok zijn verwijzingen naar de ssl-certificaten toegevoegd, zodat we daar niets meer aan hoeven te doen. Wel moeten we de regels voor de reverse proxy nog toevoegen binnen een blok location. Deze configuratie kan per webdienst soms wat afwijken. Enkele keren zijn aanvullende parameters nodig of gewenst. De configuratie voor Nextcloud is zoals in het volgende codeblok.

©PXimport

Parameters voor proxyserver

De cruciale parameter is proxy_pass. Hierachter zet je het adres van Nextcloud waar de verzoeken naar doorgestuurd moeten worden. Dat kan een ip-adres zijn, maar ook een domeinnaam. In ons voorbeeld is dat http://10.0.10.230. Je kunt er ook een poortnummer in opnemen, zoals http://10.0.10.230:8000. De andere opties, zoals de regels met proxy_set_header, kunnen verschillen per webdienst en zijn niet altijd nodig. De hier getoonde regels zijn optimaal voor Nextcloud. De headers informeren de doelserver onder meer over het originele ip-adres en de originele hostnaam van de bezoeker. Controleer na het maken van de aanpassing de configuratie met:

nginx -t

Herstart vervolgens de webserver met:

service nginx reload

Controleer daarna of je de Nextcloud-installatie via https://nextcloud.xda.nl kunt bereiken en of de browser het certificaat accepteert. Deze domeinnaam is slechts ons eigen experimentele domein, dus als jij als lezer dit letterlijk in je browser intikt, dan werkt dat natuurlijk niet.

©PXimport

Toegang via een niet-vertrouwd domein

©PXimport

Alleen lokale netwerktoegang?

Wil je de toegang om veiligheidsredenen beperken tot enkele ip-adressen of gewoon alle gebruikers op het lokale netwerk? Je zou dat eventueel in de configuratie van Nextcloud kunnen regelen. Maar het is veel handiger om dit gewoon op het niveau van de reverse proxy in te stellen. Je hoeft maar enkele regels aan de configuratie toe te voegen. En je kunt dezelfde regels gemakkelijk in andere configuratiebestanden gebruiken. Je kunt ook, zoals we hierna toelichten, de regels in een apart bestand zetten waar je in je configuratiebestand(en) naar verwijst. Met de aanpassing die we gaan maken, is toegang alleen mogelijk via het lokale netwerk. Evengoed kan nog steeds https://nextcloud.xda.nl worden gebruikt. Je profiteert dus van een veilige https-verbinding met een geldig https-certificaat en een eenvoudig te onthouden adres. We voegen hiervoor enkele blokkades op ip-adres toe.

Whitelisten gebruiken

Via allow- en deny-regels kun je individuele ip-adressen blokkeren of toegang geven. Ook kun je via één regel een compleet adresbereik toegang geven, bijvoorbeeld alle gebruikers op je lokale netwerk. De aanpassingen maken we in het blok location. De regels zet je bovenaan, zodat ze direct van kracht zijn en je deze ook direct herkent. Wil je een bepaald ip-adres toegang geven, dan voeg je een regel allow toe met daarachter het ip-adres. Dat werkt echter alleen voor internetadressen. Het probleem is namelijk dat verzoeken vanuit je lokale netwerk worden omgeleid in je router, waardoor ze altijd van je router afkomstig lijken te zijn. Er wordt in dat geval dus niet naar het werkelijke ip-adres gekeken van de gebruiker. Dat kun je in het logbestand controleren met de opdracht:

cat /var/log/nginx/access.log

Hier zie je voor elk verzoek steeds een regel die begint met het geregistreerde ip-adres. Hier gebruiken we allow en deny daarom alleen om bepaalde gebruikers vanaf internet toe te laten en daarnaast álle gebruikers op het lokale netwerk. Eventueel stel je met de geo-module wat flexibeler toegangsrestricties in, maar in deze masterclass gebruiken we die niet.

©PXimport

Regels maken

Om individuele gebruikers op basis van het ip-adres toegang te geven, vul je gewoon het ip-adres in achter de aanduiding allow. Als voorbeeld geven we de gebruiker met ip-adres 80.70.123.50 toegang. Daarnaast geven we alle gebruikers op het lokale netwerk toegang. Je kunt zo’n adresbereik in de zogenoemde CIDR-notatie invullen. Dat is in dit voorbeeld 10.0.10.0/24, maar in jouw situatie kan het ook bijvoorbeeld iets zijn als 192.168.1.0/24. Sluit af met een deny all om het andere verkeer te blokkeren. De configuratie is dan als volgt:

allow 80.70.123.50;

allow 10.0.10.0/24;

deny all;

Zulke regels worden stap voor stap doorlopen, totdat er een passende regel is. In dit voorbeeld zal de gebruiker met ip-adres 80.70.123.50 toegang krijgen. Ook zullen alle gebruikers in het lokale netwerk 10.0.10.0/24 toegang krijgen. Dat zijn alle adressen van 10.0.10.1 tot en met 10.0.10.255. Als er nog geen match is, zal de volgende regel met deny all ervoor zorgen dat alle andere ip-adressen worden geblokkeerd. Vergeet niet om de configuratie weer actief te maken met:

service nginx reload

Als je het handig vindt kun je dit soort regels ook in een apart bestand zetten (zie het kader ‘Whitelist via configuratiebestand’) waar je vervolgens naar verwijst.

Whitelist via configuratiebestand

Toegang via wachtwoord

Wil je de toegang nog wat beter beveiligen, dan gebruik je http-authenticatie. Er zijn dan een gebruikersnaam en wachtwoord nodig om in te loggen. We hebben een kleine tool nodig om een wachtwoordbestand te maken. Als voorbeeld gebruiken we apache2-utils. Let wel, we gaan de webserver (Apache) waar deze tool voor is ontwikkeld niet installeren op dit systeem, omdat het zou conflicteren met Nginx. Maar deze losse tool kunnen we prima installeren en gebruiken. De apache2-utils-tool installeer je met de opdracht:

sudo apt install apache2-utils

Maak hierna een map aan waarin het wachtwoordbestand wordt bewaard met:

mkdir /etc/apache2

Met de volgende opdracht voeg je een gebruiker toe (hier: gertjan):

sudo htpasswd -c /etc/apache2/.htpasswd gertjan

Er wordt daarbij twee keer om het wachtwoord gevraagd. De optie -c zorgt ervoor dat het wachtwoordbestand wordt aangemaakt. Voor elke volgende gebruiker die je toevoegt, moet je deze optie daarom weglaten, zoals:

sudo htpasswd /etc/apache2/.htpasswd peter

In het blok location voor je reverse proxy maak je de authenticatie actief door de volgende twee regels toe te voegen:

auth_basic "Toegang beperkt";

auth_basic_user_file /etc/apache2/.htpasswd;

©PXimport

Methodes combineren

Je kunt toegangsrestricties voor ip-adressen en authenticatie combineren. Zo kun je er bijvoorbeeld voor kiezen om gebruikers alleen toegang te geven als ze een geldig ip-adres hebben én zijn geautoriseerd. Je begint in het blok location dan met een regel satisfy all, gevolgd door de regels met allow en deny om bepaalde ip-adressen of adresreeksen toe te laten dan wel te blokkeren. Daarna volgen dan de regels voor authenticatie. Dit ziet er bijvoorbeeld als volgt uit:

satisfy all;

allow 10.0.10.0/24;

deny all;

auth_basic "Toegang beperkt";

auth_basic_user_file /etc/apache2/.htpasswd;

Een andere optie is het gebruik van satisfy any in plaats van satisfy all. Met deze kleine aanpassing wordt verkeer toegelaten als de gebruiker aan één van de condities daaronder voldoet. Dat betekent dat deze ofwel een geldig ip-adres moet hebben óf een geldige authenticatie. Dat komt er in de praktijk op neer, dat alleen om authenticatie wordt gevraagd vanaf een niet-toegelaten ip-adres.

Automatisch vernieuwen certificaten

Wanneer je Windows 11 (opnieuw) installeert, vereist Microsoft dat je je aanmeldt met een Microsoft-account of dat je er eentje aanmaakt. En dat terwijl je je voorheen in Windows 10 gewoon met een offline account kunt aanmelden. Wij laten je zien hoe je dat ook in Windows 11 doet, rechtstreeks tijdens de installatieprocedure.

Microsoft wil maar al te graag dat je een Microsoft-account hebt en deze ook gebruikt bij het aanmelden van Windows 11. Behalve dat je hiermee in geval van het vergeten van je installatiecode het besturingssysteem makkelijker opnieuw kunt activeren, biedt een Microsoft-account niet heel veel extra voordelen in Windows 11 zelf. Het enige wat met zo'n account makkelijker gaat is het instellen van e-mail en OneDrive, maar dat zijn ook diensten waar je je later bij kunt aanmelden.

Installatieprocedure

In een van de laatste stappen van de installatieprocedure, of wanneer je een Windows 11-laptop hebt gekocht, word je - om de laatste instellingen toe te passen - gevraagd om in te loggen bij een Microsoft-account, of er eentje aan te maken.

©MG | ID.nl

Wanneer je in bovenstaand scherm bent aangekomen, lijkt het alsof je hier niet meer uit kunt komen: je moet óf een account invullen, óf er eentje aanmaken, óf een stap terug gaan met de pijl rechtsboven in beeld. Toch kun je hier nog iets anders doen, namelijk een opdrachtprompt openen. En dat is handig, want met een opdrachtprompt tijdens de installatie van Windows 11 kun je alvast dingen regelen voordat Windows 11 zelf is opgestart. Het omzeilen van het aanmaken of invoeren van een Microsoft-account bijvoorbeeld. Om de opdrachtprompt te openen, moet je de volgende toetscombinatie intypen:

Shift+F10

Let op: bij sommige computers zoals laptops kan het zijn dat je ook de Functietoets Fn moet indrukken om de F10-knop te kunnen gebruiken. De opdracht wordt in dat geval dan:

Shift+Fn+F10

Na het indrukken van deze toetscombinatie wordt een zwart venster voor de opdrachtprompt geopend.

©MG | ID.nl

In dit scherm voor je een speciale opdracht in waarmee we de verplichte invoer voor een Microsoft-account gaan omzeilen. Zodra Windows 11 heeft gedetecteerd dat jouw computer een werkende verbinding heeft, blijf je op dat accountscherm hangen, maar ook wanneer er nog geen verbinding is gemaakt, wil Microsoft toch eerst dat je verbinding maakt en daarna alsnog met een Microsoft-account aan de slag gaat.

Nu de opdrachtprompt is geopend, schakelen we die online functie uit. Voer exact de volgende opdracht in:

start ms-cxh:localonly

Gevolgd door een druk op de Enter-toets. Dat zit eruit als hieronder:

©MG | ID.nl

Nadat je op Enter hebt gedrukt, verschijnt er een nieuw venster met de mogelijkheid om een lokaal account (dus zonder Microsoft-account) aan te maken. Goed om te weten: dit account is ook meteen een administrator-account.

©MG | ID.nl

Je kunt hier dus gewoon een normale (voor- en achter)naam opgeven, een e-mailadres is dan niet nodig. Je kunt ervoor kiezen om nu een wachtwoord in te vullen, maar als je dat doet, krijg je ook direct drie controlevragen die je moet opgeven; dat kun je niet skippen. Sla je het aanmaken van een wachtwoord nu over, dan kun je dat later in Windows 11 alsnog doen.

Nadat je de benodigde gegevens hebt ingevuld, worden de laatste installatiestappen voltooid, en wordt de computer nog een keertje opnieuw opgestart. Daarna kun je je aanmelden met het nieuwe account en voer je nog een aantal stappen uit met betrekking tot functies als locatie, diagnostische gegevens en handschriftherkenning.

Account aanpassen

Het account waarmee je je aanmeldt is een administrator-account. In dat geval doe je er goed aan om een wachtwoord in te stellen als je dat nog niet hebt gedaan in de hierboven uitgelegde stap. Om een wachtwoord in te stellen, klik je op de Startknop, en vervolgens op je accountnaam en kies je voor Mijn account beheren.

©MG | ID.nl

Je komt nu in het instellingenscherm terecht voor je account. Scroll naar de knop Aanmeldingsopties en daarna op Wachtwoord.

©MG | ID.nl

Nu kun je een wachtwoord naar wens opgeven, de eisen zijn hier niet streng, maar uiteraard kies je wel voor een lastig te raden wachtwoord. Wel ben je verplicht om een geheugensteuntje op te geven, maar dat is minder lastig dan drie extra beveiligingsvragen die je normaliter bij het installatiescherm moet opgeven. Bij de geheugensteun mag het wachtwoord (vanzelfsprekend) niet gebruikt worden .

©MG | ID.nl

Wachtwoord en geheugensteun ingevoerd? Dan ben je in principe klaar en kun je je systeem verder gaan configureren. Eventueel kun je nu ook nieuwe extra accounts aanmaken via het onderdeel Andere gebruikers in het instellingenscherm.

Je pakt je telefoon om even snel iets te bekijken – en ineens ben je zomaar een uur verder, omdat je niet kon stoppen met scrollen. En onderweg ben je meestal niet blijven hangen bij blije kattenfilmpjes, maar bij rampen, slecht nieuws en roddel. Of bij posts van mensen die allemaal mooier of rijker lijken dan jij. Doomscrolling dus. Slecht voor je humeur en zelfbeeld én zonde van je tijd. Maar gelukkig kun je er iets tegen doen.

Lees ook: Minder afleiding van je telefoon met deze 6 apps

Wat is doomscrolling?

Doomscrolling is eindeloos blijven scrollen door berichten, filmpjes en posts die je eigenlijk alleen maar onrustig maken. Dat begon ooit met nieuws, maar geldt tegenwoordig ook voor sociale media. Denk aan TikTok, Instagram of X waar je urenlang blijft scrollen, maar waar je zelden wijzer of rustiger van wordt. Het algoritme weet precies wat je aandacht trekt – en hoe het je blijft vasthouden.

De term ontstond rond 2020, tijdens de COVID-19-pandemie, toen mensen massaal thuis zaten en constant updates zochten over het virus. Maar het fenomeen heeft zich sindsdien uitgebreid naar alle vormen van nieuws of posts waar je je slechter van gaat voelen.

Waarom blijven we scrollen?

Apps zijn zo ontworpen dat ze je aandacht vasthouden. Elke swipe of nieuwe video geeft een kleine prikkel in je brein: een signaal dat er misschien iets interessants komt. Soms zit er iets tussen dat écht boeit, maar vaak blijft het bij vluchtige prikkels. Ondertussen raakt je hoofd vol, maar je krijgt er weinig voor terug.

Hoe weet je of je doomscrollt?

Er bestaat geen test waarmee je kunt checken of je een doemscroller bent. Maar er zijn wel duidelijke signalen. Je zit in de gevarenzone wanneer je:

🚩 Gedachteloos nieuws- of socialmedia-apps opent, vaak meerdere keren per dag
🚩 Je daarna leeg, onrustig of somber voelt
🚩 Moeite hebt om te stoppen, terwijl je eigenlijk wel weet dat het nergens toe leidt
🚩 's Avonds of 's ochtends lang op je telefoon zit zonder duidelijk doel
🚩 Niet toekomt aan andere dingen, of je gejaagd voelt als je niets checkt

Herkenbaar? Dan is het tijd om je scrollgedrag te doorbreken. Dat is niet makkelijk, maar het kan wel. Onderstaande tips helpen je op weg.

©Gorodenkoff

Wat kun je doen tegen doomscrolling?

1. Beperk je schermtijd en las schermvrije tijdstippen in

Geef jezelf vaste momenten waarop je iets mag checken. Bijvoorbeeld: 's ochtends 15 minuten nieuws, 's avonds 10 minuten social media. Stel een timer in, zodat je niet ongemerkt blijft hangen. Je kunt ook met jezelf afspreken dat je bijvoorbeeld één uur per dag niet op je scherm kijkt. Of in het weekend pas na twaalf uur 's middags je telefoon pakt. Ook is het mogelijk om tijdslimieten in te stellen voor bepaalde apps. Hieronder lees je hoe je dat doet op een iPhone en op een Android-toestel.

Scherm- en apptijd beperken op iPhone

Wil je op vaste tijden niet gestoord worden? Stel dan apparaatvrije tijd in op je iPhone. Tijdens die periodes zijn alleen telefoongesprekken, berichten en apps die je zelf toestaat beschikbaar. Ga naar Instellingen > Schermtijd, tik op App- en websiteactiviteit en schakel dit in als dat nog niet gebeurd is. Kies daarna voor Apparaatvrije tijd en stel via Gepland de begin- en eindtijd in. Je kunt kiezen voor elke dag hetzelfde tijdstip of per dag variëren. Vlak voor de ingestelde tijd krijg je een herinnering.

Ook kun je tijdslimieten instellen voor apps of hele categorieën, zoals sociale netwerken of games. Ga naar Instellingen > Schermtijd > Applimieten > Voeg limiet toe en selecteer de gewenste apps of categorieën. Tik op Volgende, stel de limiet in en gebruik eventueel Pas dagen aan voor verschillende limieten per dag. Rond af met Voeg toe.

Scherm- en apptijd beperken op je Android-telefoon

Rustmomenten op je Android-toestel stel je in via de Bedtijdmodus. Tijdens deze periodes worden je schermkleuren aangepast (bijvoorbeeld naar grijstinten) en kun je meldingen dempen of het scherm automatisch laten uitschakelen. Ga naar Instellingen > Digitaal welzijn en ouderlijk toezicht > Bedtijdmodus en stel in wanneer de modus moet starten en eindigen. Je kunt dit voor elke dag apart instellen of een vast schema kiezen.

Wil je appgebruik beperken? Ga dan naar Digitaal welzijn > Dashboard en kies de app die je wilt beperken. Tik op het zandlopertje naast de app en stel een dagelijkse limiet in. Zodra de limiet is bereikt, is de app de rest van die dag niet meer toegankelijk.

2. Zet meldingen uit

Pushmeldingen van nieuwsapps, sociale media of video-apps zorgen dat je telkens toch weer gaat kijken en scrollen. Zet ze uit. Wat je niet ziet, open je ook minder snel.

3. Richt je telefoon prikkelarmer in

Zet socialmedia- en nieuwsapps niet op je beginscherm. Of verwijder ze helemaal. Wil je ze toch echt bezoeken, dan kan dat via de browser. Dat is een extra handeling vergeleken met een app, maar juist daarom doe je het misschien minder vaak.  

Verder kun je er ook voor kiezen om de grijstintenmodus in te schakelen. Dat zorgt voor minder afleiding en een beeld dat rustiger is.

Op een iPhone ga je hiervoor naar Instellingen > Toegankelijkheid > Weergave en tekstgrootte > Kleurfilters en schakel je de optie in. Op een Android-smartphone ga je hiervoor naar Instellingen -> Toegankelijkheid -> Kleurfilters. Hier schakel je de optie Grijstinten in. Afhankelijk van je toestel kunnen deze menu-opties een iets andere naam hebben.

©ID.nl

4. Volg niet alles en iedereen

Kies één of twee betrouwbare nieuwsbronnen. Ontvolg accounts die vooral onrust of negativiteit brengen. Kies liever voor mensen of media die je inspireren, informeren of aan het denken zetten. Een account waar je geen energie van krijgt, maar dat je energie kost: dat kun je beter ontvolgen.

Stoppen met doom-scrolling? Het kan!

Doomscrolling gaat allang niet meer alleen over nieuws. Ook gedachteloos scrollen langs filmpjes, reacties of meningen op sociale media hoort erbij. Het lijkt onschuldig, maar kost tijd, energie en aandacht — en levert weinig op.

Het goede nieuws: je kunt ermee stoppen. Niet in één keer, maar stap voor stap. Door bewuster te kiezen wat je leest en wanneer. Door je telefoon minder het ritme van je dag te laten bepalen. En door ruimte te maken voor dingen die je echt iets opleveren.