Een groeiend aantal bedrijven maakt gebruik van een responsible disclosure-beleid voor het afhandelen van datalekken. Volgens ethische hackers is dat een goede zaak, maar ‘RD-beleid’ is bepaald niet zonder fouten. In dit artikel gaan we daar wat dieper op in.

Mischa van Geelen was dertien jaar toen hij een lek in de website van VakantieVeilingen ontdekte. Het was het eerste lek dat hij ooit zelf ontdekte, en hij heeft er nu – vijf jaar later – meer dan 500 op zijn naam staan. Nog steeds vindt hij regelmatig softwarelekken in websites of bij bedrijven. Daarbij doorloopt hij de routine die zowel hij als het bedrijfsleven heeft verfijnd: een melding doen bij de juiste persoon, een duidelijke beschrijving van het probleem aandragen en een mogelijke oplossing voorstellen.

Inmiddels loopt hij tegen minder muren aan dan vroeger, toen responsible disclosure nog maar voor een handjevol bedrijven gebruikelijk was. Anno 2017 hebben veel bedrijven op een of andere manier spelregels opgesteld om ethische hackers tegemoet te komen. En terecht, want door datalekken op een nette en verantwoordelijke manier af te handelen voorkom je dat mensen misbruik maken van bugs in je systeem. Bovendien laat je aan de buitenwereld zien dat je professioneel met je it-security omgaat.

Whitehat-hackers

Van Geelen noemt zich inmiddels ‘ethisch hacker’, een titel die veel whitehat-hackers en beveiligingsonderzoekers die aan responsible disclosure doen zichzelf aanmeten. Hun dagelijks werk is in veel gevallen op een of andere manier gerelateerd aan het zoeken naar datalekken: ze werken freelance of in dienst als beveiligingsconsultants, of ze werken in de informatica. In sommige gevallen is het opsporen van datalekken deel van hun werk als pen-testers (‘penetration testers’), maar één ding hebben ze vrijwel allemaal gemeen: het ‘responsible disclosen’ van datalekken doen ze vrijwillig, vanuit een gevoel voor ethiek en een liefde voor veiligheid.

Steeds meer Nederlandse bedrijven tonen interesse in responsible disclosure als beveiligingsmethode. Het kan immers helpen veiliger te blijven tegen datalekken door juist samen te werken met hackers in plaats van ze als de vijand te zien. Bij responsible disclosure houden bedrijven en hackers zich zoals gezegd aan een aantal spelregels voor het melden van kwetsbaarheden in websites of systemen. Op die manier kunnen datalekken op een verantwoorde manier worden doorgegeven, wat moet leiden tot veiliger ict.

Veel van die spelregels liggen voor de hand: een hacker mag vrijelijk rondneuzen in een systeem zonder daarvoor te worden aangepakt, maar moet het bedrijf dan wel tijd geven een lek te dichten zonder het vroegtijdig openbaar te maken. Vanzelfsprekend mag daarbij geen schade aan het systeem worden veroorzaakt en mag de hacker geen persoonsgegevens kopiëren, als hij die vindt.

Een responsible disclosure-beleid kan per bedrijf verschillen, maar er zijn een paar regels die (bijna) altijd naar voren komen.

Garantie: De belangrijkste afspraak is de garantie dat het bedrijf het lek actief dicht en geen aangifte doet, en dat de hacker zich aan de afgesproken regels van het bedrijf houdt.

Uitleg: Een hacker moet het lek zo duidelijk mogelijk uiteenzetten, op een manier die volledig te reproduceren is.

Tijdspanne: Er moet een redelijke tijd zijn een lek te dichten: niet te lang, niet te kort. Houdt een bedrijf zich niet aan die tijd, dan mag de hacker het lek openbaar maken.

Houd het heel: Een hacker mag geen ddos- of bruteforce-aanvallen uitvoeren om een lek te ontdekken, geen gegevens kopiëren en niets in het systeem kapotmaken of permanent veranderen.

Scope: Een bedrijf geeft van tevoren aan welke onderdelen wel of juist niet beschikbaar zijn om kwetsbaarheden over te melden. Testomgevingen zijn bijvoorbeeld vaak uitgesloten van deelname en lekken in systemen met persoonsgegevens worden vaak urgenter behandeld of beter beloond.

Nationaal Cyber Security Centrum-leidraad

Het is moeilijk te zeggen hoeveel bedrijven in Nederland inmiddels een actief RD-beleid hebben. In elk geval maken alle Nederlandse overheidsinstellingen gebruik van een dergelijk beleid, verzameld onder de leidraad van het Nationaal Cyber Security Centrum (NCSC). De grote banken hebben eveneens een eigen beleid, net als de NS en de meeste verzekeraars. Grote bedrijven lijken steeds meer heil te zien in het tegemoetkomen van hackers die datalekken ontdekken en dat op een verantwoordelijke manier willen melden.

Maar belangrijker dan het aantal beleidsmaatregelen dat wordt opgesteld, is de houding van die bedrijven. “Toen ik vijf jaar geleden een melding deed bij ABN Amro, hadden ze geen responsible disclosure-beleid beschikbaar”, vertelt Mischa van Geelen. “Ze reageerden er zelfs heel vijandig op. ‘Wie ben jij? En waarom vertel je ons hoe we onze beveiliging moeten regelen?’, vroegen ze.” Volgens Van Geelen zien bedrijven anno 2017 de waarde van responsible disclosure in, onder meer omdat het niet meer de vraag is óf, maar wannéér je wordt gehackt.

Die manier van werken slaat bij steeds meer bedrijven aan. Het is namelijk een relatief goedkope manier om gaten in software op te sporen, zonder dat je daar een peperduur team aan pen-testers op hoeft los te laten en zonder dat je ontwikkelaars dagen kwijt zijn met bugfixes. Aan de andere kant geeft het hackers de kans hun eigen kennis op niveau te houden en dient het als een waardevol visitekaartje.

Veel hackers zijn immers blij met de mogelijkheid om een lek op een correcte manier te melden, zonder daarbij in de problemen te komen. Niettemin is responsible disclosure verre van perfect. Zoals je verderop kunt lezen, draait het idee volledig om wederzijds vertrouwen, zonder enige garanties dat de spelregels worden nageleefd.

Binnen de tijd

©PXimport

Een belangrijk punt in een RD-beleid is de tijd die een hacker het bedrijf gunt om een lek te dichten. In de meeste gevallen wordt die vooraf gespecificeerd in het beleid, maar bij uitzonderlijke situaties kan er ook in overleg een andere tijdspanne worden afgesproken. Met zo’n afspraak weten beide partijen waar ze aan toe zijn: de hacker weet daarmee dat zijn lek serieus wordt genomen en het bedrijf heeft een belangrijke motivatie om het lek ook daadwerkelijk te dichten – anders wordt het openbaar gemaakt en kan het makkelijk worden misbruikt. Maar wat is een realistische tijdspanne om een bug te fixen? En wie bepaalt dat? Als de hacker die het lek ontdekt daar anders over denkt dan het bedrijf, kan dat frictie opleveren.

Dat gebeurde bijvoorbeeld tijdens de Heartbleed-bug die begin 2014 werd ontdekt in OpenSSL. Het Finse onderzoeksbedrijf Codenomicon besloot Heartbleed wel te melden aan onder meer CloudFare, maar niet aan andere grote webdiensten die eveneens van OpenSSL gebruikmaakten. Daardoor werd een groot deel van het internet kwetsbaar voor de bug toen die eenmaal openbaar werd gemaakt.

Volgens sommige critici had Heartbleed dan ook niet zozeer met responsible disclosure te maken, maar met marketing van een tot dan toe relatief obscuur Fins beveiligingsbedrijf dat na bekendwording van het lek internationale aandacht kreeg. Codenomicon vond dat het rechtvaardig handelde door het lek te melden aan het Finse National Cyber Security Center, maar de afhandeling leidde tot een discussie over hoelang onderzoekers moeten wachten voordat zij een lek openbaar maken en aan wie je dat allemaal moet melden. Wie heeft dan de sterkste hand?

Beloning voor ethisch hacken

En daar komt de ethiek om de hoek kijken, zowel de kracht als de achilleshiel van responsible disclosure. Een goed RD-beleid zorgt dat het bedrijf een hacker tegemoetkomt, én andersom. Het mes moet in zo’n geval aan twee kanten snijden, maar buiten een ‘gentlemen’s agreement’ biedt een responsible disclosure-beleid geen enkele juridische garanties. In theorie kan een bedrijf ook na het repareren van een datalek aangifte doen tegen een hacker, en niets weerhoudt de hacker ervan om het lek alsnog vroegtijdig openbaar te maken. Je kunt je daarom afvragen wat de reden is dat hackers daaraan zouden meedoen.

Terwijl bedrijven een RD in de regel opstellen uit praktische of financiële overwegingen, doen whitehat-hackers voornamelijk aan RD voor de eer – al speelt er voor hackers wel meer dan alleen hun gevoel voor rechtvaardigheid en ethisch besef. Loran Kloeze, een ethisch hacker die onder meer bekend werd toen hij liet zien dat de Stemwijzer lek was, zegt dat ook hackers niet helemaal altruïstisch te werk gaan. “Hackers dragen het aantal RD’s op hun naam als een eremedaille, iets waarmee je kunt laten zien hoe goed je bent. Opdrachtgevers of klanten kijken juist daarnaar, niet naar een diploma. Een groot aantal disclosures op je naam is waardevoller dan welke opleiding dan ook.”

Daarom is een ‘hall of fame’ ook zo belangrijk. Daarop wordt een overzicht geplaatst van de hackers die een lek hebben gevonden en een korte beschrijving met wat er precies is gerepareerd. Niet dat zo’n website veel bezoekers trekt, maar dat is ook niet de bedoeling. Ethisch hackers kunnen zulke vermeldingen in hun eigen portfolio opnemen om te laten zien wat ze waard zijn.

©PXimport

Responsible disclosure gaat doorgaans gepaard met een beloning, maar wat dat concreet inhoudt, verschilt per bedrijf. Soms is het een klein geldbedrag, soms een t-shirt of een ander cadeautje –PCM-uitgever Reshift geeft bijvoorbeeld soms een Raspberry Pi-pakket weg voor het melden van een lek. Eigenlijk doet de aard van de beloning er ook niet toe, vindt Van Geelen. Toen hij een aantal jaren geleden na heel lang mailen en overtuigen een cadeaubon kreeg voor het melden van een lek bij ABN Amro (dat toen nog geen officieel RD-beleid had), voelde hij zich afgescheept.

“Ze bleven maar vragen: ‘Wat wil je dán?’ Ze begrepen het maar niet. Het ging me helemaal niet om die cadeaubon of om geld, of wat dan ook. Het enige wat ik wilde, is een oprecht bedankje.” Het is een sentiment dat bij meer hackers speelt. Serieus genomen worden, voelen alsof je hebt bijgedragen aan een veiliger wereld. Daarom was Van Geelen ook blijer met zijn eerste hack op VakantieVeilingen. Daarvoor kreeg hij niet alleen een cadeaubon, maar ook een stage aangeboden – iets waar hij in zijn verdere carrière veel meer aan heeft gehad dan aan een geldbedrag.

Loran Kloeze onderschrijft het feit dat de beloning niet het belangrijkst is. Kloeze richt zich sowieso grotendeels op overheidsinstellingen, en die geven geen geldbedragen weg maar enkel t-shirts. “Je doet het vanuit je ethisch besef en het feit dat je de wereld een stukje veiliger wilt maken.”

Geld verdienen met ethisch hacken

Toch is er een groeiende groep hackers die probeert te leven van dergelijke datalekken, al heb je het dan al snel over ‘bug bounty’s’ – een op het eerste gezicht identieke, maar toch iets andere tak van sport. Het zijn vooral grote techbedrijven met miljoenen gebruikers die geld over hebben voor het spotten van datalekken. Apple was daar vrij laat mee en begon pas halverwege 2016 met het uitloven van premies voor het vinden van bugs. Toch is Apple een van de interessantere bedrijven om datalekken bij te melden. Een lek in de boot firmware van iOS levert bijvoorbeeld al 200.000 dollar op.

Op die manier zijn er hackers die volgens Kloeze kunnen leven van hun bug bounty’s. “Als je wekelijks een bug van 250 euro vindt en eens per jaar een écht grote, dan kun je daar prima van leven.”

Daar staat tegenover dat het tegenwoordig steeds lucratiever wordt om bugs aan derde partijen te verkopen. Bedrijven zoals Zerodium bieden bijvoorbeeld het viervoudige van Apple voor eenzelfde lek in iOS. En voor een hacker is er maar één ding dat hem laat kiezen tussen 200.000 dollar van Apple en 1 miljoen van Zerodium: zijn gevoel. Kloeze: “Uiteindelijk wil je toch elke avond rustig slapen, en dat wordt voor velen een stuk lastiger als ze weten dat hun lek kan worden gebruikt door een regime als Noord-Korea. Net als gewone criminaliteit kun je ook hier de afweging maken, en dan is de vraag hoever je bereid bent te gaan.”

Volgens Mischa van Geelen zit het verschil hem voornamelijk in de houding van de hacker. “Bug bounty’s doe je voor het geld, maar responsible disclosure doe je vanuit een gevoel voor ethiek. Bovendien maakt het voor veel hackers ook niet uit of ze er geld voor krijgen; dat verdienen ze vaak ook wel met consultancy-werk.” En daarbij is een goed portfolio, met veel RD’s op je naam, juist een goed visitekaartje.

Er is ook een aantal bedrijven dat op professionele schaal op zoek gaat naar lekken, zoals Google, dat permanent beveiligingsonderzoekers in dienst heeft op de Project Zero-divisie. Project Zero komt regelmatig in het nieuws als het een lek heeft gevonden bij bijvoorbeeld Microsoft, waar de softwaregigant dan niet tijdig iets aan heeft gedaan.

Grijs gebied

Responsible disclosures bevatten in de meeste gevallen een belangrijke clausule over aansprakelijkheid, maar de regels rondom hacken en verantwoordelijkheid stroken niet altijd even goed met elkaar. Loran Kloeze zegt bijvoorbeeld alleen aan RD te doen met bedrijven die al een beleid hebben. Hij kijkt daarom met name op sites van de overheid, omdat die in samenwerking met het NCSC een duidelijk beleid heeft opgesteld dat voor alle sites geldt. Als een website of bedrijf dat niet heeft, komt Kloeze er niet aan. Om één simpele reden: hij wil niet in de problemen komen. “Een responsible disclosure-beleid nodigt een hacker uit om zonder angst voor repercussies op zoek te gaan naar een lek. Als er niet zo’n beleid is, dan heb je niks op zo’n website te zoeken.”

Volgens Kloeze is het überhaupt niet mogelijk om een datalek te vinden zonder dat je actief in een systeem loopt te porren, dus iedereen die een lek vindt in een website waar geen RD van toepassing is, is volgens hem per definitie al fout. “Als je een website gebruikt zoals die bedoeld is en dan een fout ontdekt, ja, dan mag je inderdaad wel even een mailtje sturen met ‘joh, let hier eens op’. Maar dat is vrijwel nooit het geval. Om een bug te vinden, moet je actief zoeken, testen, reproduceren en verschillende dingen proberen. Dan ben je al heel snel ongeoorloofd aan het rondneuzen op een systeem waar je niks te zoeken hebt, omdat je er niet voor bent uitgenodigd.”

Juridisch gezien is een responsible disclosure-beleid niet sluitend. Het zegt niks, behalve dan dat het bedrijf geen intentie heeft je te vervolgen – maar ook dat kan gewoon veranderen. Bovendien heeft het OM daar niets mee te maken, zegt Kloeze. “Dat kan altijd nog besluiten achter je aan te gaan, al is dat onwaarschijnlijk.” Er zijn nog geen gevallen bekend van veroordelingen voor hacking waarbij gebruik werd gemaakt van responsible disclosure.

Daar is Mischa van Geelen het niet mee eens. Hij ziet het beleid van het NCSC juist als richtlijn om als ethisch hacker te opereren – of een bedrijf nu een beleid heeft of niet. “Zolang je het volgens de regels speelt, moet je een lek gewoon kunnen melden. Dan houd je je natuurlijk aan alle regels: je zorgt dat je niks stuk maakt, dat je je lek niet openbaar maakt ... Als je dat doet, vind ik dat je het gewoon moet kunnen melden.”

Volgens het NCSC ligt de situatie iets genuanceerder en is de leidraad vooral bedoeld om bedrijven te stimuleren hun eigen beleid op te zetten, maar houdt het OM per geval wel rekening met ‘proportioneel en subsidiair handelen’.

Meerwaarde van responsible disclosure

De meeste hackers vinden dat responsible disclosure waardevol kan zijn voor bedrijven, al vindt Kloeze wel dat dat proportioneel moet zijn. “Voordat je meteen zo’n beleid opstelt, moet je je eerst afvragen of je dat überhaupt wel nodig hebt. De slager om de hoek heeft daar doorgaans weinig aan, maar dat verandert als hij bijvoorbeeld een koelcel heeft die hij via internet kan aansturen, of als hij een klantensysteem begint.”

Een responsible disclosure-beleid moet dan ook in verhouding staan met de data die je verwerkt, maar omdat steeds meer bedrijven in toenemende mate gebruikmaken van persoonlijke data, groeit de vraag naar een goede omgang eveneens. Niet alleen juridisch (bijvoorbeeld door de meldplicht datalekken), maar ook ethisch, zoals een goed RD-beleid.

Waar de hackers het eens zijn over de meerwaarde van zo’n beleid, zetten de meeste ook kanttekeningen bij de effectiviteit. Het is nooit dé definitieve oplossing voor het beveiligingsprobleem, denkt Mischa van Geelen. “Responsible disclosure is alsof je met hagel op je systemen gaat schieten, in de hoop dat er iets wordt geraakt. Je moet er nooit van uitgaan dat je daarmee volledig veilig wordt.”

Hij zegt daarom dat een goed RD-beleid eerder een toevoeging op het bestaande beveiligingsbeleid moet zijn. Dat bevestigt het NCSC: “Organisaties zijn zelf verantwoordelijk voor hun beveiliging, maar goede beveiliging is zo sterk als je zwakste schakel. RD kan een zeer belangrijke bijdrage leveren aan het ontdekken van zulke zwakke plekken.”

Daarnaast is het belangrijk te onthouden dat responsible disclosure-meldingen altijd door vrijwilligers worden gedaan, en dat die je niets verplicht zijn. Ze kunnen daarom nooit garanderen dat ze alle gaten uit je systeem vissen, maar een oprecht bedankje is wel het minste wat je voor ze kunt doen.

Responsible disclosure-beleid opzetten

Wil je tot slot voor je eigen bedrijf een responsible disclosure-beleid (helpen) opzetten? Denk dan aan de volgende zaken:

Scope: Geef aan welke onderdelen een hacker mag testen en welke niet. Vallen daar bijvoorbeeld ook testomgevingen onder?

Beloning: Bedenk welke beloning je een hacker geeft. Is dat een geldbedrag, een t-shirt of iets unieks van jouw bedrijf? Zorg ook dat je bepaalt voor welke meldingen je welke beloning geeft: niet alle lekken hoeven gelijkwaardig te worden behandeld.

Wall of fame: Hackers gebruiken een RD-melding ook op hun cv. Kom ze tegemoet door een publieke wall of fame op te stellen met wie je heeft geholpen met welk probleem.

Doe een pen-test: Als je je systeem meteen toegankelijk maakt voor iedereen, kan dat al snel tot veel reacties leiden. Laat je bedrijf daarom eerst pen-testen door een professioneel bedrijf, zodat de belangrijkste gaten kunnen worden gedicht.

Laat je RD-beleid nakijken: Er zijn genoeg ethische hackers die, al dan niet betaald, een RD-beleid voor je kunnen opstellen of er op z’n minst doorheen kunnen lopen.

Wees eerlijk: Wees eerlijk over je bug-fixes en je progressie. Houd de hacker op de hoogte, ook als het repareren onverhoopt langer duurt dan verwacht.

Bij ID.nl zijn we gek op apparaten die het dagelijks leven nét een beetje makkelijker maken. En wat is er nu – zeker tijdens warme dagen – makkelijker dan altijd ijsblokjes of ijskoud water binnen handbereik? We zetten vijf modellen op een rij die uitblinken in comfort en gebruiksgemak.

Samsung RS6HA8880B1 (Family Hub)

Ben je op zoek naar een koelkast die meer doet dan alleen koelen? De Samsung RS6HA8880B1 is een slimme Amerikaanse koelkast met een indrukwekkende inhoud van 614 liter. Dankzij SpaceMax-technologie blijft de buitenmaat compact, terwijl de binnenkant verrassend ruim is. Het geïntegreerde Family Hub-scherm doet dienst als digitaal prikbord, kookassistent en entertainmenthub. Met camera's binnenin zie je zelfs onderweg wat er nog in de koelkast ligt. De ijs- en waterdispenser is aangesloten op de waterleiding en bevat een UV-nanofilter voor optimale hygiëne. Twin Cooling Plus zorgt voor aparte luchtstromen in het koel- en het vriesgedeelte, wat de versheid van jouw voedsel ten goede komt.

Hisense RS694N4TFE

Zoek je een ruime en betaalbare koelkast met ijsdispenser? Dan zit je goed met de Hisense RS694N4TFE. Deze stijlvolle zwarte side-by-side heeft een inhoud van 562 liter, verdeeld over een koel- en een vriesgedeelte. Het apparaat beschikt over Total No Frost, wat handmatig ontdooien overbodig maakt. De Multi Air Flow-technologie zorgt voor een gelijkmatige temperatuurverdeling, wat bederf tegengaat. Handig: de ijs- en waterdispenser werkt met een intern waterreservoir van 4,5 liter, zodat een vaste aansluiting niet nodig is.

LG GSXE90EVDD

Deze ruime Amerikaanse koelkast van LG biedt met 628 liter voldoende plek voor alles wat je gekoeld wilt bewaren. Het model combineert een fraai zwart design met slimme technologie zoals LinearCooling, waarmee temperatuurschommelingen worden geminimaliseerd. Dankzij No Frost en de water- en ijsdispenser met waterleidingaansluiting geniet je van optimaal gemak. De inverter-compressor maakt het apparaat stil en energiezuinig. Dit model is bovendien voorzien van de InstaView-functie, waarbij je door twee keer kloppen de inhoud kunt bekijken zonder de deur te openen.

Bosch KAD93AIDP (Serie 6)

De Bosch KAD93AIDP is een solide en stijlvolle keuze met een netto-inhoud van 533 liter. Dankzij de anti-fingerprint RVS-look blijft hij er netjes uitzien, ook bij intensief gebruik. De VarioZone-indeling biedt flexibiliteit, met uitneembare plateaus en lades. De ijs- en waterdispenser levert zowel ijsblokjes als crushed ice, en is aangesloten op een vaste waterleiding. Total No Frost voorkomt ijsvorming, en met functies als superkoelen en supervriezen ben je altijd voorbereid op grotere hoeveelheden boodschappen.

Siemens KF96DAXEA (iQ500)

Met zijn French-door ontwerp en een inhoud van 574 liter biedt de Siemens KF96DAXEA een moderne uitstraling en veel gebruiksgemak. Deze koelkast beschikt over een hyperFresh-lade op 0 °C voor vlees en vis, en houdt dankzij multiAirflow een constante temperatuur. De water- en ijsdispenser werkt via een vaste aansluiting, en levert naast ijsblokjes ook crushed ice. Het model is voorzien van ledverlichting, een digitaal display en een deur-alarm. Met een geluidsniveau van 39 dB is hij bovendien opvallend stil.

Wanneer je naar Windows 11 overstapt, zijn er ongetwijfeld zaken waaraan je moet wennen. Maar soms kunnen die dingen ronduit irritant zijn. Daarom bekijken we de grootste ergernissen van Windows 11 én de manieren om ze te verhelpen.

Wat voor de een ergernis is, kan voor de ander simpelweg een verrassende functie zijn. Alles draait om persoonlijke perceptie. We zijn in de fora van Windows 11-gebruikers gedoken om de pijnpunten te vinden. De belangrijkste klachten zijn: de dagelijkse prestatieproblemen die worden veroorzaakt door te veel achtergrondprocessen, Microsoft stuurt je voortdurend richting haar betaalde diensten en overdreven bemoeizucht bij meldingen, badges en reclame. In plaats van te klagen, zorgen wij voor een oplossing. 

Opstartvertraging

Onnodige opstartapps zijn altijd al een bron van ergernis geweest in Windows. Ze belasten de pc doordat ze waardevolle cpu-bronnen aanspreken en zorgen voor een opstartvertraging. Windows 11 bevat zelfs meer bloatware dan Windows 10. Bloatware is een term voor toepassingen die je niet nodig hebt en die het systeem afremmen. Deze toepassingen worden vaak voor de aankoop op nieuwe apparaten geïnstalleerd of ze sluipen op je pc via downloads waarin ze gebundeld zitten. Hoe meer programma’s je hebt, hoe meer achtergrondprocessen die het opstarten kunnen vertragen.

Je kunt ze te slim af zijn door ze te beëindigen in Taakbeheer. Klik met de rechtermuisknop op de taakbalk en kies voor Taakbeheer. Klik met de rechtermuisknop op alle processen die zijn gekoppeld aan ongebruikte applicaties en gebruik de opdracht Beëindigen. Daarna schakel je de onnodige opstartapps definitief uit. Druk op Windows-toets+I om de Instellingen te openen. Ga naar Apps / Opstarten en zet de apps uit waarvan je niet wilt dat ze samen met het systeem automatisch opstarten.

Wees terughoudend wat betreft toepassingen die automatisch opstarten.

Nieuwsfeeds uitschakelen

Widgets zijn een soort mini-apps. Ze tonen bijvoorbeeld de weersverwachting, een overzicht van je agenda-afspraken of de voetbalresultaten. Standaard toont Microsoft ook zijn nieuwsfeed van het MSN-netwerk, wat doorgaans geen toegevoegde waarde heeft. Oorspronkelijk waren widgets bedoeld om nieuwsfeeds en sociale media in het besturingssysteem te integreren.

Sommige gebruikers houden ervan, anderen haten de widgets hartgrondig, omdat er toch al van alle kanten steeds meer nieuws en sociale info op ons afkomen. Wie zit te wachten op de volgende vondst die meer van hetzelfde levert? Als je tot deze laatste groep behoort, dan kun je de functie uitschakelen. Ga naar Instellingen / Persoonlijke instellingen / Taakbalk / Taakbalkitems en schakel daar Widgets uit.

Gebruik je de widgets zelden of nooit, zet ze dan uit.

OneDrive beperken

Microsoft heeft er een handje van om je met zachte hand naar haar online opslagdienst OneDrive te dirigeren. Bij de eerste set-up krijg je de vraag om OneDrive te gebruiken en daarna maakt OneDrive automatisch en zonder waarschuwing verschillende back-upmappen op OneDrive aan. Dat lijkt op een assertieve dienstverlening, maar de waarheid is dat je als gebruiker op die manier sneller tegen de limiet van 5 gigabyte gratis OneDrive-opslagruimte aanbotst. Het is een marketingtactiek van Microsoft waardoor je gedwongen wordt om te upgraden. Hierdoor ga je sneller overwegen om een betaald abonnement te nemen. Met een Personal Microsoft 365-account krijg je 1 TB aan opslag en 6 TB met een Microsoft Family-abonnement.

Je kunt je overigens afvragen in hoeverre hier een loopje wordt genomen met je privacy. Online back-ups zijn handig, maar ben je ermee gediend dat je gegevens op de servers van Microsoft worden opgeslagen? Misschien wil je liever gebruikmaken van een andere online back-updienst? Nu wordt de indruk gewekt dat de concurrentie tweede keuze is. Ben je het niet eens met deze overijverige OneDrive-synchronisatie, dan klik je met rechts op het pictogram van OneDrive in het systeemvak. Vervolgens selecteer je het tandwieltje rechtsboven om de Instellingen van OneDrive te openen om naar het tabblad Synchroniseren en back-up maken te gaan. Dan klik je op Back-up beheren. Daar kun je aangeven om documenten, afbeeldingen of je bureaublad niet online te bewaren.

Bepaal zelf de mappen waarvan OneDrive een back-up moet maken.

OneDrive ontkoppelen

Wanneer je OneDrive niet vaak gebruikt, kun je deze dienst op je Windows-apparaat ontkoppelen en zelfs verwijderen. Door de koppeling met je Microsoft-account zijn de persoonlijke bestanden in OneDrive beschikbaar op elk apparaat waarop je bent ingelogd met hetzelfde Microsoft-account. Je bent dus niet meer aan een vaste werkplek gebonden. Door te ontkoppelen weet je zeker dat de lokale map niet meer kan synchroniseren met de online opslag.

Klik met rechts in het systeemvak op het pictogram van OneDrive (het wolkje). Kun je dit pictogram niet zien? Klik dan eerst op het PijltjeOmhoog van het systeemvak. Daarna open je het instellingenvenster van OneDrive en ga je naar het tabblad Account. Onder je account selecteer je Deze pc ontkoppelen / Account ontkoppelen. De gegevens die al in OneDrive staan, blijven hierdoor onaangeroerd en de speciale OneDrive-map op de computer verandert in een normale map. Je kunt er bestanden in plaatsen, verwijderen en verplaatsen, maar ze worden niet langer automatisch gesynchroniseerd in de cloud.

Ook al ontkoppel of verwijder je OneDrive, de virtuele map blijft staan in het navigatievenster van Windows Verkenner.

Weg met OneDrive en Edge

Ben je OneDrive echt helemaal beu? Weet dan dat je OneDrive zelfs kunt verwijderen. Het zal je Windows-pc niet beschadigen. Ga naar Instellingen / Apps en open het lijstje met Geïnstalleerde apps. Daar vind je Microsoft OneDrive. Klik op de drie puntjes achter de naam van deze app en selecteer Verwijderen net zoals je dat met elk ander programma zou doen. Het duurt een paar seconden voor de app is verwijderd. Ondertussen heeft Microsoft er ook voor gezorgd dat je op dezelfde manier de browser Edge kunt verwijderen. In het begin van Windows 11 was deze functie nog lichtgrijs gemarkeerd.

Dankzij de nieuwe antimonopoliewet kun je sinds maart 2024 ook de browser van Microsoft verwijderen.

Game Bar voor niet-gamers

De instellingen van Windows 11 bevatten een speciaal onderdeel bedoeld voor gaming. Wanneer je de toetscombinatie Windows-toets+G gebruikt, open je de Windows Game Bar. Daarmee kun je schermafdrukken en clips vastleggen van games die door Microsoft zijn geverifieerd. Eigenlijk is deze functie bedoeld voor het vastleggen van Xbox-games, maar je kunt hem ook gebruiken voor schermopnames van gewone programma’s.

Geen kwaad woord over de Windows Game Bar. Maar als je geen of zelden games speelt, heeft het geen zin om de Game Bar en Game Mode op de computer in te schakelen. Bovendien kan deze applicatie veel cpu en geheugen gebruiken. Om de Game Bar uit te schakelen, ga je weer naar het instellingenvenster van Windows. Daar kies je Gaming / Game Bar. Vervolgens schakel je bovenaan de optie uit bij Je controller mag Game Bar openen. Daarna ga je terug naar het venster Gaming en je kiest het tabblad Gamemodus om ook hier de optie Gamemodus uit te zetten.

Ben je geen gamer, schakel dan de Game Bar uit.

Badges in de kiem smoren

Windows 11 toont voortdurend meldingen op de taakbalk die je waarschuwen voor onder meer updates en nieuwe e-mail. Deze zogenaamde badges staan standaard ingeschakeld. Ze blijven eindeloos opduiken. Bankwebsites sturen je constant badges, maar ook browserextensies doen dat. Het wordt snel te veel van het goede. Nogal wat gebruikers ergeren zich hieraan, wat heel begrijpelijk is.

Je kunt de badges uitschakelen door met rechts op de taakbalk te klikken en dan te kiezen voor Taakbalkinstellingen. Scrol aan de rechterkant naar beneden en klik op Taakbalk. Vervolgens scrol je nog wat verder naar beneden tot je bij Gedrag van taakbalk bent. Hier kun je de optie uitschakelen bij Badges weergeven in taakbalk-apps. Dit is trouwens ook de plaats waar je de uitlijning van de taakbalk wijzigt. Standaard staan de pictogrammen gecentreerd op de taakbalk. Hier kun je aangeven dat die links moeten worden uitgelijnd. Hierdoor wordt het Startmenu aan de linkerkant weergegeven zoals vroeger.

In de taakbalk kun je de badges verbergen.

Terug naar bekend startmenu

Mis je het startmenu van Windows 10? Er is een interessante tweak waarbij je het Windows 11-startmenu vervangt door het type uit Windows 10. Download Open-Shell van de GitHub-website. De laatste versie op het moment van schrijven is OpenshellSetup 4.4.195. Je hebt de keuze tussen een zelfuitvoerbaar exe-bestand of een gecomprimeerd 7Z-bestand. Wij gaan voor het exe-bestand.

In de set-upwizard schakel je de opties Classic Explorer en Classic IE uit. De optie Create a start menu folder moet aangevinkt blijven. Zodra het installatieproces voltooid is, open je via Windows Zoeken de Open-Shell Menu Settings. Daarna kun je kiezen tussen de Classic Style, Classic with two columns of Windows 7 style.

Misschien wil je ook de knop naar het startmenu aanpassen zodat deze op die van Windows 10 lijkt. Hiervoor vink je de optie Replace start button aan. Vervolgens kies je een van de drie voorstellen uit, of je klikt op Pick Image. Zoek op het web naar een afbeelding van het Windows 10-startmenu en selecteer die. Wil je op je schreden terugkeren en Open-Shell verwijderen? Dat doe je via Instellingen / Apps / Geïnstalleerde apps. Selecteer Open-Shell en gebruik de optie Verwijderen.

Geef het startmenu zijn oude look terug.

Advertenties uitschakelen

Windows 11 genereert een unieke identifier, een zogenaamde reclame-ID, om je activiteiten te volgen. Hiervoor gebruikt Microsoft je zoekopdrachten, eerdere aankopen van Microsoft-producten en online activiteiten die gekoppeld zijn aan je Microsoft-account. Adverteerders kunnen die gebruiken om jou gerichte advertenties te sturen wanneer je apps gebruikt. Ben je gevoelig voor je privacy, dan zet je hier ook het mes in.

Open Instellingen en ga naar Privacy en beveiliging. Klik rechts op het onderdeel Algemeen. Zet de schakelaar uit bij Laat apps me persoonlijke advertenties zien door mijn reclame-id te gebruiken. Doe hetzelfde bij Websites hebben toegang tot mijn lijst met talen zodat er inhoud kan worden weergegeven die relevant is voor mijn locatie. Optioneel schakel je ook de optie daaronder uit: Start en zoekresultaten door Windows laten verbeteren door app-lanceringen bij te houden. Tot slot zet je ook de vierde optie uit: Suggesties voor inhoud in de app Instellingen weergeven.

Draag zorg voor je privacy en schakel reclamemeldingen uit.

Meldingen uitschakelen

In het Berichtencentrum komen ook systeemwaarschuwingen, ongelezen berichten, nieuwe artikelen van je favoriete websites en meer meldingen binnen. Deze kunnen nuttig zijn om je op de hoogte te houden van wat er gebeurt, maar het is best mogelijk dat de hoeveelheid meldingen en geluiden overweldigend is en op je zenuwen gaat werken. Daarom kun je meldingen uitschakelen om afleiding te minimaliseren. Open de Instellingen en klik op Systeem. Aan de rechterkant klik je op de pagina Meldingen. Hier kun je de schakelaar Meldingen uitschakelen omzetten. Wil je nog verder gaan, dan zet je de schakelaar Niet storen aan.

Zo, dat scheelt een hoop afleiding.

Snoeien in bloatware

Een nieuwe pc komt met een hoop bloatware en bij Windows 11 is dat niet anders. Het gaat om software waar je niet om hebt gevraagd. Bloatware neemt niet alleen geheugenruimte in beslag, hij verslechtert ook de prestaties van het systeem. Meestal gaat het om spelletjes, testversies van beveiligingssuites en virusscanners, cloudservices en zelfs fotoboeken.

Er zijn freewaretools die scannen naar bloatware, ook wel crapware genoemd, om die automatisch te verwijderen. Maar als je er niet goed in thuis bent, kun je hiermee meer kwaad dan goed doen. Sommige applicaties zijn immers noodzakelijk voor de goede werking van het systeem. De website Should I Remove It is gespecialiseerd in het vinden en verwijderen van bloatware. Hier vind je uitgebreide overzichten van bloatware bij alle belangrijke computermerken. Neem bijvoorbeeld Toshiba, die heeft meer dan dertig applicaties die als testversie worden geïnstalleerd. Snoei de bloatware dus handmatig. Dat doe je via Instellingen / Apps / Geïnstalleerde apps. Daar zie je alle programma’s die op de machine zijn geïnstalleerd. Blader door de lijst en controleer welke programma’s je kunt verwijderen.

Volgens de website Should I Remove It bevat een Toshiba de meeste bloatware.