Een groeiend aantal bedrijven maakt gebruik van een responsible disclosure-beleid voor het afhandelen van datalekken. Volgens ethische hackers is dat een goede zaak, maar ‘RD-beleid’ is bepaald niet zonder fouten. In dit artikel gaan we daar wat dieper op in.

Mischa van Geelen was dertien jaar toen hij een lek in de website van VakantieVeilingen ontdekte. Het was het eerste lek dat hij ooit zelf ontdekte, en hij heeft er nu – vijf jaar later – meer dan 500 op zijn naam staan. Nog steeds vindt hij regelmatig softwarelekken in websites of bij bedrijven. Daarbij doorloopt hij de routine die zowel hij als het bedrijfsleven heeft verfijnd: een melding doen bij de juiste persoon, een duidelijke beschrijving van het probleem aandragen en een mogelijke oplossing voorstellen.

Inmiddels loopt hij tegen minder muren aan dan vroeger, toen responsible disclosure nog maar voor een handjevol bedrijven gebruikelijk was. Anno 2017 hebben veel bedrijven op een of andere manier spelregels opgesteld om ethische hackers tegemoet te komen. En terecht, want door datalekken op een nette en verantwoordelijke manier af te handelen voorkom je dat mensen misbruik maken van bugs in je systeem. Bovendien laat je aan de buitenwereld zien dat je professioneel met je it-security omgaat.

Whitehat-hackers

Van Geelen noemt zich inmiddels ‘ethisch hacker’, een titel die veel whitehat-hackers en beveiligingsonderzoekers die aan responsible disclosure doen zichzelf aanmeten. Hun dagelijks werk is in veel gevallen op een of andere manier gerelateerd aan het zoeken naar datalekken: ze werken freelance of in dienst als beveiligingsconsultants, of ze werken in de informatica. In sommige gevallen is het opsporen van datalekken deel van hun werk als pen-testers (‘penetration testers’), maar één ding hebben ze vrijwel allemaal gemeen: het ‘responsible disclosen’ van datalekken doen ze vrijwillig, vanuit een gevoel voor ethiek en een liefde voor veiligheid.

Steeds meer Nederlandse bedrijven tonen interesse in responsible disclosure als beveiligingsmethode. Het kan immers helpen veiliger te blijven tegen datalekken door juist samen te werken met hackers in plaats van ze als de vijand te zien. Bij responsible disclosure houden bedrijven en hackers zich zoals gezegd aan een aantal spelregels voor het melden van kwetsbaarheden in websites of systemen. Op die manier kunnen datalekken op een verantwoorde manier worden doorgegeven, wat moet leiden tot veiliger ict.

Veel van die spelregels liggen voor de hand: een hacker mag vrijelijk rondneuzen in een systeem zonder daarvoor te worden aangepakt, maar moet het bedrijf dan wel tijd geven een lek te dichten zonder het vroegtijdig openbaar te maken. Vanzelfsprekend mag daarbij geen schade aan het systeem worden veroorzaakt en mag de hacker geen persoonsgegevens kopiëren, als hij die vindt.

Een responsible disclosure-beleid kan per bedrijf verschillen, maar er zijn een paar regels die (bijna) altijd naar voren komen.

Garantie: De belangrijkste afspraak is de garantie dat het bedrijf het lek actief dicht en geen aangifte doet, en dat de hacker zich aan de afgesproken regels van het bedrijf houdt.

Uitleg: Een hacker moet het lek zo duidelijk mogelijk uiteenzetten, op een manier die volledig te reproduceren is.

Tijdspanne: Er moet een redelijke tijd zijn een lek te dichten: niet te lang, niet te kort. Houdt een bedrijf zich niet aan die tijd, dan mag de hacker het lek openbaar maken.

Houd het heel: Een hacker mag geen ddos- of bruteforce-aanvallen uitvoeren om een lek te ontdekken, geen gegevens kopiëren en niets in het systeem kapotmaken of permanent veranderen.

Scope: Een bedrijf geeft van tevoren aan welke onderdelen wel of juist niet beschikbaar zijn om kwetsbaarheden over te melden. Testomgevingen zijn bijvoorbeeld vaak uitgesloten van deelname en lekken in systemen met persoonsgegevens worden vaak urgenter behandeld of beter beloond.

Nationaal Cyber Security Centrum-leidraad

Het is moeilijk te zeggen hoeveel bedrijven in Nederland inmiddels een actief RD-beleid hebben. In elk geval maken alle Nederlandse overheidsinstellingen gebruik van een dergelijk beleid, verzameld onder de leidraad van het Nationaal Cyber Security Centrum (NCSC). De grote banken hebben eveneens een eigen beleid, net als de NS en de meeste verzekeraars. Grote bedrijven lijken steeds meer heil te zien in het tegemoetkomen van hackers die datalekken ontdekken en dat op een verantwoordelijke manier willen melden.

Maar belangrijker dan het aantal beleidsmaatregelen dat wordt opgesteld, is de houding van die bedrijven. “Toen ik vijf jaar geleden een melding deed bij ABN Amro, hadden ze geen responsible disclosure-beleid beschikbaar”, vertelt Mischa van Geelen. “Ze reageerden er zelfs heel vijandig op. ‘Wie ben jij? En waarom vertel je ons hoe we onze beveiliging moeten regelen?’, vroegen ze.” Volgens Van Geelen zien bedrijven anno 2017 de waarde van responsible disclosure in, onder meer omdat het niet meer de vraag is óf, maar wannéér je wordt gehackt.

Die manier van werken slaat bij steeds meer bedrijven aan. Het is namelijk een relatief goedkope manier om gaten in software op te sporen, zonder dat je daar een peperduur team aan pen-testers op hoeft los te laten en zonder dat je ontwikkelaars dagen kwijt zijn met bugfixes. Aan de andere kant geeft het hackers de kans hun eigen kennis op niveau te houden en dient het als een waardevol visitekaartje.

Veel hackers zijn immers blij met de mogelijkheid om een lek op een correcte manier te melden, zonder daarbij in de problemen te komen. Niettemin is responsible disclosure verre van perfect. Zoals je verderop kunt lezen, draait het idee volledig om wederzijds vertrouwen, zonder enige garanties dat de spelregels worden nageleefd.

Binnen de tijd

©PXimport

Een belangrijk punt in een RD-beleid is de tijd die een hacker het bedrijf gunt om een lek te dichten. In de meeste gevallen wordt die vooraf gespecificeerd in het beleid, maar bij uitzonderlijke situaties kan er ook in overleg een andere tijdspanne worden afgesproken. Met zo’n afspraak weten beide partijen waar ze aan toe zijn: de hacker weet daarmee dat zijn lek serieus wordt genomen en het bedrijf heeft een belangrijke motivatie om het lek ook daadwerkelijk te dichten – anders wordt het openbaar gemaakt en kan het makkelijk worden misbruikt. Maar wat is een realistische tijdspanne om een bug te fixen? En wie bepaalt dat? Als de hacker die het lek ontdekt daar anders over denkt dan het bedrijf, kan dat frictie opleveren.

Dat gebeurde bijvoorbeeld tijdens de Heartbleed-bug die begin 2014 werd ontdekt in OpenSSL. Het Finse onderzoeksbedrijf Codenomicon besloot Heartbleed wel te melden aan onder meer CloudFare, maar niet aan andere grote webdiensten die eveneens van OpenSSL gebruikmaakten. Daardoor werd een groot deel van het internet kwetsbaar voor de bug toen die eenmaal openbaar werd gemaakt.

Volgens sommige critici had Heartbleed dan ook niet zozeer met responsible disclosure te maken, maar met marketing van een tot dan toe relatief obscuur Fins beveiligingsbedrijf dat na bekendwording van het lek internationale aandacht kreeg. Codenomicon vond dat het rechtvaardig handelde door het lek te melden aan het Finse National Cyber Security Center, maar de afhandeling leidde tot een discussie over hoelang onderzoekers moeten wachten voordat zij een lek openbaar maken en aan wie je dat allemaal moet melden. Wie heeft dan de sterkste hand?

Beloning voor ethisch hacken

En daar komt de ethiek om de hoek kijken, zowel de kracht als de achilleshiel van responsible disclosure. Een goed RD-beleid zorgt dat het bedrijf een hacker tegemoetkomt, én andersom. Het mes moet in zo’n geval aan twee kanten snijden, maar buiten een ‘gentlemen’s agreement’ biedt een responsible disclosure-beleid geen enkele juridische garanties. In theorie kan een bedrijf ook na het repareren van een datalek aangifte doen tegen een hacker, en niets weerhoudt de hacker ervan om het lek alsnog vroegtijdig openbaar te maken. Je kunt je daarom afvragen wat de reden is dat hackers daaraan zouden meedoen.

Terwijl bedrijven een RD in de regel opstellen uit praktische of financiële overwegingen, doen whitehat-hackers voornamelijk aan RD voor de eer – al speelt er voor hackers wel meer dan alleen hun gevoel voor rechtvaardigheid en ethisch besef. Loran Kloeze, een ethisch hacker die onder meer bekend werd toen hij liet zien dat de Stemwijzer lek was, zegt dat ook hackers niet helemaal altruïstisch te werk gaan. “Hackers dragen het aantal RD’s op hun naam als een eremedaille, iets waarmee je kunt laten zien hoe goed je bent. Opdrachtgevers of klanten kijken juist daarnaar, niet naar een diploma. Een groot aantal disclosures op je naam is waardevoller dan welke opleiding dan ook.”

Daarom is een ‘hall of fame’ ook zo belangrijk. Daarop wordt een overzicht geplaatst van de hackers die een lek hebben gevonden en een korte beschrijving met wat er precies is gerepareerd. Niet dat zo’n website veel bezoekers trekt, maar dat is ook niet de bedoeling. Ethisch hackers kunnen zulke vermeldingen in hun eigen portfolio opnemen om te laten zien wat ze waard zijn.

©PXimport

Responsible disclosure gaat doorgaans gepaard met een beloning, maar wat dat concreet inhoudt, verschilt per bedrijf. Soms is het een klein geldbedrag, soms een t-shirt of een ander cadeautje –PCM-uitgever Reshift geeft bijvoorbeeld soms een Raspberry Pi-pakket weg voor het melden van een lek. Eigenlijk doet de aard van de beloning er ook niet toe, vindt Van Geelen. Toen hij een aantal jaren geleden na heel lang mailen en overtuigen een cadeaubon kreeg voor het melden van een lek bij ABN Amro (dat toen nog geen officieel RD-beleid had), voelde hij zich afgescheept.

“Ze bleven maar vragen: ‘Wat wil je dán?’ Ze begrepen het maar niet. Het ging me helemaal niet om die cadeaubon of om geld, of wat dan ook. Het enige wat ik wilde, is een oprecht bedankje.” Het is een sentiment dat bij meer hackers speelt. Serieus genomen worden, voelen alsof je hebt bijgedragen aan een veiliger wereld. Daarom was Van Geelen ook blijer met zijn eerste hack op VakantieVeilingen. Daarvoor kreeg hij niet alleen een cadeaubon, maar ook een stage aangeboden – iets waar hij in zijn verdere carrière veel meer aan heeft gehad dan aan een geldbedrag.

Loran Kloeze onderschrijft het feit dat de beloning niet het belangrijkst is. Kloeze richt zich sowieso grotendeels op overheidsinstellingen, en die geven geen geldbedragen weg maar enkel t-shirts. “Je doet het vanuit je ethisch besef en het feit dat je de wereld een stukje veiliger wilt maken.”

Geld verdienen met ethisch hacken

Toch is er een groeiende groep hackers die probeert te leven van dergelijke datalekken, al heb je het dan al snel over ‘bug bounty’s’ – een op het eerste gezicht identieke, maar toch iets andere tak van sport. Het zijn vooral grote techbedrijven met miljoenen gebruikers die geld over hebben voor het spotten van datalekken. Apple was daar vrij laat mee en begon pas halverwege 2016 met het uitloven van premies voor het vinden van bugs. Toch is Apple een van de interessantere bedrijven om datalekken bij te melden. Een lek in de boot firmware van iOS levert bijvoorbeeld al 200.000 dollar op.

Op die manier zijn er hackers die volgens Kloeze kunnen leven van hun bug bounty’s. “Als je wekelijks een bug van 250 euro vindt en eens per jaar een écht grote, dan kun je daar prima van leven.”

Daar staat tegenover dat het tegenwoordig steeds lucratiever wordt om bugs aan derde partijen te verkopen. Bedrijven zoals Zerodium bieden bijvoorbeeld het viervoudige van Apple voor eenzelfde lek in iOS. En voor een hacker is er maar één ding dat hem laat kiezen tussen 200.000 dollar van Apple en 1 miljoen van Zerodium: zijn gevoel. Kloeze: “Uiteindelijk wil je toch elke avond rustig slapen, en dat wordt voor velen een stuk lastiger als ze weten dat hun lek kan worden gebruikt door een regime als Noord-Korea. Net als gewone criminaliteit kun je ook hier de afweging maken, en dan is de vraag hoever je bereid bent te gaan.”

Volgens Mischa van Geelen zit het verschil hem voornamelijk in de houding van de hacker. “Bug bounty’s doe je voor het geld, maar responsible disclosure doe je vanuit een gevoel voor ethiek. Bovendien maakt het voor veel hackers ook niet uit of ze er geld voor krijgen; dat verdienen ze vaak ook wel met consultancy-werk.” En daarbij is een goed portfolio, met veel RD’s op je naam, juist een goed visitekaartje.

Er is ook een aantal bedrijven dat op professionele schaal op zoek gaat naar lekken, zoals Google, dat permanent beveiligingsonderzoekers in dienst heeft op de Project Zero-divisie. Project Zero komt regelmatig in het nieuws als het een lek heeft gevonden bij bijvoorbeeld Microsoft, waar de softwaregigant dan niet tijdig iets aan heeft gedaan.

Grijs gebied

Responsible disclosures bevatten in de meeste gevallen een belangrijke clausule over aansprakelijkheid, maar de regels rondom hacken en verantwoordelijkheid stroken niet altijd even goed met elkaar. Loran Kloeze zegt bijvoorbeeld alleen aan RD te doen met bedrijven die al een beleid hebben. Hij kijkt daarom met name op sites van de overheid, omdat die in samenwerking met het NCSC een duidelijk beleid heeft opgesteld dat voor alle sites geldt. Als een website of bedrijf dat niet heeft, komt Kloeze er niet aan. Om één simpele reden: hij wil niet in de problemen komen. “Een responsible disclosure-beleid nodigt een hacker uit om zonder angst voor repercussies op zoek te gaan naar een lek. Als er niet zo’n beleid is, dan heb je niks op zo’n website te zoeken.”

Volgens Kloeze is het überhaupt niet mogelijk om een datalek te vinden zonder dat je actief in een systeem loopt te porren, dus iedereen die een lek vindt in een website waar geen RD van toepassing is, is volgens hem per definitie al fout. “Als je een website gebruikt zoals die bedoeld is en dan een fout ontdekt, ja, dan mag je inderdaad wel even een mailtje sturen met ‘joh, let hier eens op’. Maar dat is vrijwel nooit het geval. Om een bug te vinden, moet je actief zoeken, testen, reproduceren en verschillende dingen proberen. Dan ben je al heel snel ongeoorloofd aan het rondneuzen op een systeem waar je niks te zoeken hebt, omdat je er niet voor bent uitgenodigd.”

Juridisch gezien is een responsible disclosure-beleid niet sluitend. Het zegt niks, behalve dan dat het bedrijf geen intentie heeft je te vervolgen – maar ook dat kan gewoon veranderen. Bovendien heeft het OM daar niets mee te maken, zegt Kloeze. “Dat kan altijd nog besluiten achter je aan te gaan, al is dat onwaarschijnlijk.” Er zijn nog geen gevallen bekend van veroordelingen voor hacking waarbij gebruik werd gemaakt van responsible disclosure.

Daar is Mischa van Geelen het niet mee eens. Hij ziet het beleid van het NCSC juist als richtlijn om als ethisch hacker te opereren – of een bedrijf nu een beleid heeft of niet. “Zolang je het volgens de regels speelt, moet je een lek gewoon kunnen melden. Dan houd je je natuurlijk aan alle regels: je zorgt dat je niks stuk maakt, dat je je lek niet openbaar maakt ... Als je dat doet, vind ik dat je het gewoon moet kunnen melden.”

Volgens het NCSC ligt de situatie iets genuanceerder en is de leidraad vooral bedoeld om bedrijven te stimuleren hun eigen beleid op te zetten, maar houdt het OM per geval wel rekening met ‘proportioneel en subsidiair handelen’.

Meerwaarde van responsible disclosure

De meeste hackers vinden dat responsible disclosure waardevol kan zijn voor bedrijven, al vindt Kloeze wel dat dat proportioneel moet zijn. “Voordat je meteen zo’n beleid opstelt, moet je je eerst afvragen of je dat überhaupt wel nodig hebt. De slager om de hoek heeft daar doorgaans weinig aan, maar dat verandert als hij bijvoorbeeld een koelcel heeft die hij via internet kan aansturen, of als hij een klantensysteem begint.”

Een responsible disclosure-beleid moet dan ook in verhouding staan met de data die je verwerkt, maar omdat steeds meer bedrijven in toenemende mate gebruikmaken van persoonlijke data, groeit de vraag naar een goede omgang eveneens. Niet alleen juridisch (bijvoorbeeld door de meldplicht datalekken), maar ook ethisch, zoals een goed RD-beleid.

Waar de hackers het eens zijn over de meerwaarde van zo’n beleid, zetten de meeste ook kanttekeningen bij de effectiviteit. Het is nooit dé definitieve oplossing voor het beveiligingsprobleem, denkt Mischa van Geelen. “Responsible disclosure is alsof je met hagel op je systemen gaat schieten, in de hoop dat er iets wordt geraakt. Je moet er nooit van uitgaan dat je daarmee volledig veilig wordt.”

Hij zegt daarom dat een goed RD-beleid eerder een toevoeging op het bestaande beveiligingsbeleid moet zijn. Dat bevestigt het NCSC: “Organisaties zijn zelf verantwoordelijk voor hun beveiliging, maar goede beveiliging is zo sterk als je zwakste schakel. RD kan een zeer belangrijke bijdrage leveren aan het ontdekken van zulke zwakke plekken.”

Daarnaast is het belangrijk te onthouden dat responsible disclosure-meldingen altijd door vrijwilligers worden gedaan, en dat die je niets verplicht zijn. Ze kunnen daarom nooit garanderen dat ze alle gaten uit je systeem vissen, maar een oprecht bedankje is wel het minste wat je voor ze kunt doen.

Responsible disclosure-beleid opzetten

Wil je tot slot voor je eigen bedrijf een responsible disclosure-beleid (helpen) opzetten? Denk dan aan de volgende zaken:

Scope: Geef aan welke onderdelen een hacker mag testen en welke niet. Vallen daar bijvoorbeeld ook testomgevingen onder?

Beloning: Bedenk welke beloning je een hacker geeft. Is dat een geldbedrag, een t-shirt of iets unieks van jouw bedrijf? Zorg ook dat je bepaalt voor welke meldingen je welke beloning geeft: niet alle lekken hoeven gelijkwaardig te worden behandeld.

Wall of fame: Hackers gebruiken een RD-melding ook op hun cv. Kom ze tegemoet door een publieke wall of fame op te stellen met wie je heeft geholpen met welk probleem.

Doe een pen-test: Als je je systeem meteen toegankelijk maakt voor iedereen, kan dat al snel tot veel reacties leiden. Laat je bedrijf daarom eerst pen-testen door een professioneel bedrijf, zodat de belangrijkste gaten kunnen worden gedicht.

Laat je RD-beleid nakijken: Er zijn genoeg ethische hackers die, al dan niet betaald, een RD-beleid voor je kunnen opstellen of er op z’n minst doorheen kunnen lopen.

Wees eerlijk: Wees eerlijk over je bug-fixes en je progressie. Houd de hacker op de hoogte, ook als het repareren onverhoopt langer duurt dan verwacht.

Dankzij slimme technologie voeg je comfort en luxe aan jouw badkamer toe. Denk aan vochtbestendige wifi- en bluetooth-speakers voor ontspannende muziek en speciale televisies voor je favoriete programma's. En met behulp van waterdichte e-readers hoef je je tijdens urenlange badderen geen moment te vervelen. Zelfs weegschalen, spiegels en douchekoppen zijn tegenwoordig slimmer dan ooit.

Vochtbestendige speaker: Sonos Roam 2

Natte handen? Geen probleem, want de Sonos Roam 2 bedien je met jouw stem. Verder is deze draadloze luidspreker IP67-gecertificeerd, waardoor er geen vocht kan binnendringen. Volgens de fabrikant houdt de oplaadbare accu het ongeveer tien uur vol, zodat je niet afhankelijk bent van netstroom. Handig is dat de Roam 2 met andere Sonos-speakers kan samenwerken. Verbind het apparaat met wifi en bepaal in een app welke afspeellijst, podcast of radiozender je wilt horen. Is er in jouw badkamer geen wifi-dekking? Koppel in dat geval een smartphone via bluetooth en stream alsnog muziek. De Roam 2 is in verschillende kleurstellingen te koop, namelijk zwart, wit, rood, blauw en groen.

Slimme douchekop: Hydrao Aloe

Met deze slimme douchekop bespaar je eenvoudig op het waterverbruik. Tussen de sproeistralen bevinden zich vijf ledlampen. Die geven het actuele waterverbruik weer. Aan het begin van de douchebeurt is de verlichting groen, maar na iedere tien liter toont de Hydrao Aloe een andere kleur. Bij rode knipperende lampjes heb je meer dan veertig liter water verbruikt. Je past het lichtschema in een app op je smartphone desgewenst aan. Deze douchekop is in drie uitvoeringen te koop.

Waterdichte e-reader: Kobo Libra Colour

Op de Kobo Libra Colour zie je alle boekomslagen, illustraties, afbeeldingen en notities in kleur. Ondanks het ruime schermformaat van 7 inch valt het gewicht mee. Dat bedraagt nog geen 200 gram. Lees dus gerust uren achtereen in bad. Met een interne opslagcapaciteit van 32 GB kun je flink wat e-books en luisterboeken opslaan. Je gebruikt de Libra Colour optioneel ook voor het maken van aantekeningen, al heb je daarvoor de los verkrijgbare Kobo Stylus 2 nodig. Deze e-reader is in een zwarte en witte behuizing te koop.

Badkamer-tv: SplashVision ESI-22

Vanuit bad heb je alle tijd om je favoriete tv-programma's te bewonderen. Dat kan natuurlijk met een geschikte smartphone of tablet, maar het is comfortabeler om een vochtbestendige televisie te plaatsen. SplashVision fabriceert beeldbuizen voor badkamers, zoals de ESI-22. Je monteert dit model in of op de wand. Een beelddiagonaal van 22 inch lijkt misschien klein, maar wegens de korte kijkafstand voldoet het meestal prima. Tegen een stevige meerprijs koop je deze televisie eventueel in een groter formaat van 27 of 32 inch. Installeer vanuit het besturingssysteem Google TV diverse bekende video-apps en kijk naar scherpe Full-HD-beelden. De ESI-22 is in drie smaken te koop, namelijk zwart, wit en grijs. Een waterdichte afstandsbediening is inbegrepen.

Infrarood spiegel met wifi: Eurom Sani Mirror LED wifi 600

Is het vaak koud in jouw badkamer? De Eurom Sani Mirror LED wifi 600 is een badkamerspiegel en infraroodpaneel in één. Dit is aangename stralingswarmte die aanvoelt met zonnestralen op je huid. Mooi meegenomen is dat de spiegel vanwege de verwarmingsfunctie niet meer beslaat. Er is aan de achterzijde ook nog ledverlichting ingebouwd. Gebruik de bedieningsknoppen aan de onderzijde om de temperatuur en verlichting te reguleren. Wanneer je het apparaat met wifi verbindt, stel je in de Eurom Smart-app eventueel een weekschema in. Kies tussen een spiegel met een witte of zwarte rand.

Vochtbestendige speaker: JBL Flip 7

De JBL Flip 7 vult jouw badkamer moeiteloos met heldere klanken. Een pluspunt is dat je de behuizing zowel rechtop als liggend kunt neerzetten. In combinatie met een batterijduur tot maximaal zestien uur vind je vast wel een geschikte plek. Valt de behuizing onverhoopt op de harde badkamervloer, dan is er nog geen man overboord. Zelfs na een val van één meter hoogte blijft de Flip 7 gewoon doorspelen. Bovendien voldoet deze robuuste bluetooth-speaker aan de IP68-norm. Het product is in allerlei vrolijke kleuren verkrijgbaar.

Slimme wc: Creavit WQ Smart Toilet

De Creavit WQ Smart Toilet oogt weliswaar als een doodnormale wc, maar niets is minder waar. Dit exemplaar heeft namelijk een zogeheten verwarmde onderdouche met föhnfunctie. Extra hygiënisch dus! Bovendien heeft het toilet een verwarmde zitting. Je kiest hierbij tussen zes temperatuurstanden. Gebruik de bijgesloten afstandsbediening om deze luxe wc te bedienen, zoals de temperatuur en de verlichting.

Waterdichte e-reader: Amazon Kindle (2024)

Deze Amazon Kindle is een betaalbaar leesmaatje voor in bad. Ondanks de relatief lage aanschafprijs voldoet de lichte behuizing aan de IPx8-norm. Hij is dus volledig waterdicht! Je kunt dit leesapparaat met één hand bedienen, want het 6inch-scherm is lekker compact. Sla aan de hand van 16 GB interne opslag al je favoriete e-books op. Je schaft deze uitvoering van de Kindle in een zwart of groen jasje aan.

Badkamer-tv: Sylvox 32" Smart Mirror YV

Met de Sylvox Smart Mirror haal je een badkamerspiegel en televisie ineen in huis. Het schermdiagonaal bedraagt 32 inch. Gunstig is dat Google TV is ingebakken. Voeg vanuit de Play Store bijvoorbeeld Netflix, Disney+ of YouTube toe en kijk naar video's in Full-HD-kwaliteit. Via HDMI en usb kun je ook nog externe bronnen aansluiten. Je gebruikt voor de bediening de aanraaktoetsen of waterdichte afstandsbediening. Let goed op welk type je aanschaft, want er is een opbouw- én inbouwmodel beschikbaar. Je betaalt voor laatstgenoemde optie honderd euro extra.

Lees ook: De geheime codes van Netflix: zo ontdek je verborgen genres en films

Vochtbestendige speaker: Sonoro Stream

De Sonoro Stream is speciaal ontwikkeld voor vochtige ruimtes. De afstandsbediening is namelijk waterdicht, waardoor je dit handzame audiosysteem probleemloos met natte handen bedient. Je kunt op verschillende manieren luisteren. Allereerst is er een bluetooth-adapter ingebouwd. Koppel dus een smartphone en open je favoriete muziek-app. De Stream kan ook rechtstreeks afspeellijsten en podcasts bij Spotify ophalen. Verbind het apparaat hiervoor met wifi. Dat geeft je meteen ook toegang tot tienduizenden internetradiostations van over de hele wereld. Mooi meegenomen is de aanwezigheid van een DAB+-tuner, zodat je bekende radiostations in een hoge audiokwaliteit kunt ontvangen. Het Duitse merk ontwikkelt dit product in drie kleurstellingen.

Spiegel met speakers: Mawialux Catina

Daar zit muziek in! Deze uitvoering van de Mawialux Catina bevat namelijk twee speakers. Verbind jouw smartphone met bluetooth en laat een afspeellijst op deze spiegel los. Verder heeft de Catina ook een datum- en tijdsaanduiding. Bepaal daarnaast de kleurtemperatuur van de dimbare achtergrondverlichting. Nuttig is de geïntegreerde spiegelverwarming. Je hebt hierdoor geen last van condensvorming. Let goed op welke versie je koopt, want de Catina is ook zonder interne speakers te koop. Het goedkoopste model meet 80 × 50 centimeter.

Waterdichte e-reader: PocketBook InkPad 4

Zoek je een ruime, waterbestendige e-reader, dan is de PocketBook InkPad 4 een interessante kandidaat. Vanwege het riante schermdiagonaal van 7,8 inch stel je bijvoorbeeld gemakkelijk grotere letters in. Dankzij een respectabele resolutie van 1872 × 1404 pixels ogen tekst en beeld erg scherp. Liever luisteren? De behuizing bevat een speaker, zodat je een audioboek, liedje of podcast kunt opzetten. Deze e-reader heeft 32 GB interne opslag.

Slimme weegschaal: Robi S11

Een uitgebreide slimme weegschaal hoeft helemaal niet zoveel geld te kosten. Neem bijvoorbeeld de Robi S11. Naast je gewicht meet je hiermee onder meer het vetpercentage, de spiermassa en het buikvet. Hiervoor gebruikt deze weegschaal acht sensors. Bekijk de resultaten op het uitgebreide display. Via bluetooth communiceert de S11 met diverse geschikte apps op je smartphone, zoals Fitbit, Samsung Health, Google Fit en Apple Gezondheid.

Vochtbestendige speaker: AquaSound EMN30-RW N-Joy

Als je onder de douche of in bad altijd naar muziek luistert, is een gespecialiseerd audio-inbouwsysteem het overwegen waard. AquaSound ontwikkelt geschikte producten, waaronder de hier besproken EMN30-RW N-Joy. Deze set bestaat uit een controller, bluetooth-versterker (30 watt) en twee inbouwspeakers. Tegen een meerprijs is er ook een versterker met een hoger uitgangsvermogen van vijftig of zeventig watt verkrijgbaar. Met behulp van de inbegrepen magnetische wandhouder kies je voor het 5inch-bedieningsdisplay een centrale plek in de badkamer. Kies hierop bijvoorbeeld Spotify, Deezer of Tidal en tik vervolgens op je favoriete afspeellijst. De speakers zijn in verschillende kleuren beschikbaar.

Wifi-badkamerspiegel: Bella Mirror Smart spiegel 60cm

Een slimme spiegel hoeft helemaal niet zo duur te zijn. Dit exemplaar van Bella Mirror heeft een bescheiden diameter van zestig centimeter, waardoor hij makkelijk in een bescheiden badkamer past. Verbind de spiegel via de Quality Heating-app met het draadloze thuisnetwerk om de tijd, de datum en het weerbericht te tonen. Een pluspunt is de anticondensoptie. Zodra je deze functie activeert, kan de spiegel niet beslaan. Er is ook nog heldere ledverlichting ingebouwd. Dit product is met een zwart of goudkleurig frame verkrijgbaar. Ten slotte kun je ook nog voor een frameloos ontwerp kiezen.

Handdoekverwarmer met wifi: Eurom Sani Bathroom Radiator 1000 wifi

De breed verkrijgbare Eurom Sani elektrische badkamerradiator ondersteunt een riant uitgangsvermogen van 1000 watt. Kies tussen twee standen. Zo kun je kortstondig de handdoeken tot maximaal zeventig graden opwarmen. Als alternatief verwarm je de hele badkamer tot een temperatuur van 37 graden. Verbind de radiator met wifi om de temperatuur op afstand te reguleren. Je kunt hierbij ook een tijdschema instellen. Op die manier stap je 's ochtends altijd in een voorverwarmde badkamer!

Vochtbestendige speaker: Sony XB100

Haal met de Sony XB100 een betaalbare IP67-gecertificeerde bluetooth-speaker van een bekend merk in huis. Je schaft een zwarte, grijze, blauwe óf oranje uitvoering aan. De behuizing van 7,6 × 7,6 × 9,5 centimeter is zéér compact. Verwacht dan ook geen groots geluid, maar voor deuntjes in de badkamer is dat ook helemaal niet nodig. Je luistert tenslotte veelal op korte afstand naar muziek of radio. Een volgeladen accu is goed voor een luistertijd van zo'n zestien uur. Het Japanse elektronicaconcern levert een riempje mee. Gebruik dat om de XB100 ergens aan op te hangen.

Waterdichte e-reader: Kobo Clara BW

De Kobo Clara BW is de goedkoopste e-reader van Kobo. Wie het apparaatje per ongeluk in bad laat vallen, leest daarna gewoon weer verder. De IPx8-gecertificeerde behuizing is namelijk bestand tegen zestig minuten onderdompelen. Het zwart-witte e-inkscherm van 6 inch voldoet voor leesfanaten prima. Vanwege een resolutie van 1448 × 1072 pixels ogen de letters scherp. Er is 16 GB interne opslag ingebouwd, waardoor je duizenden e-books kunt opslaan. Overige pluspunten zijn de voorgrondverlichting en het lichte gewicht van 174 gram.

Als je de specificatielijst van een moderne televisie of monitor bekijkt, zie je achter het kopje 'verversingssnelheid' vaak een getal staan gevolgd door 'Hz'. Jarenlang was 50 of 60 Hz de standaard, maar tegenwoordig pronken fabrikanten met 100, 120 of zelfs 144 Hz. Klinkt sneller, en sneller is meestal beter, maar wat betekent het nou eigenlijk voor jouw kijkervaring? Is het een noodzaak voor iedereen, of vooral leuk voor fanatieke gamers?

Om te begrijpen wat die Hertz (Hz) doet, moet je een televisie of monitor niet zien als een statisch schilderij, maar als een soort digitale flipbook. Het beeld dat je ziet, wordt immers continu opnieuw opgebouwd. Een standaard 60Hz-scherm ververst het beeld 60 keer per seconde. Dat is voor het menselijk oog snel genoeg om een vloeiende beweging waar te nemen bij normaal tv-kijken, zoals het nieuws of een dramaserie. Een 120Hz-scherm doet dat dus dubbel zo vaak: 120 keer per seconde.

©DC Studio

Waarom zou je meer beelden per seconde willen?

Het grootste voordeel van een hogere verversingssnelheid is soepelheid. Hoe meer beelden er per seconde worden getoond, hoe vloeiender bewegingen eruitzien. Bij 60 Hz kunnen snelle acties soms wat schokkerig ogen of last hebben van bewegingsonscherpte, ook wel 'motion blur' genoemd. Bij 120 Hz blijven details scherp, zelfs als de camera snel draait of als er bijvoorbeeld een raceauto voorbij raast. Daarnaast voelt de besturing van games directer aan. Tussen het moment dat je een knop indrukt en het moment dat je actie op het scherm ziet, zit minder tijd. Dat verschil in milliseconden lijkt verwaarloosbaar, maar je brein pikt het direct op als een responsievere ervaring.

Het verschil tussen 120 en 144 Hz (en hoger)

Terwijl 120 Hz de nieuwe gouden standaard is voor televisies, zie je bij computermonitors vaak getallen als 144 Hz, 165 Hz of zelfs 240 Hz en hoger. Het principe blijft hetzelfde, maar de toepassing verschilt. 120 Hz is de limiet voor de huidige generatie spelcomputers, zoals de PlayStation 5 en Xbox Series X. Televisies richten zich daarom specifiek op dat getal. Pc-gamers hebben echter vaak krachtiger videokaarten die nóg meer beelden per seconde kunnen produceren. Daarom zie je monitors met 144 Hz of meer.

Is het verschil tussen 120 en 144 Hz zichtbaar? Voor de gemiddelde gebruiker nauwelijks. Waar de stap van 60 naar 120 Hz een wereld van verschil is die bijna iedereen direct ziet, is de stap naar 144 Hz of hoger vooral voer voor professionele e-sporters die elke mogelijke fractie van een seconde winst nodig hebben. Voor de consument die een monitor zoekt voor thuisgebruik en gaming, is alles boven de 120 Hz doorgaans een uitstekende keuze.

©ER | ID.nl

Heb jij het nodig?

Het antwoord op die vraag hangt volledig af van wat je met je scherm doet; of dat nu een tv of een gamemonitor is. Kijk je voornamelijk lineaire televisie, films en series via streamingdiensten? Dan is een 120Hz-scherm geen harde noodzaak, aangezien films doorgaans in 24 beelden per seconde worden geschoten. Toch hebben 100/120Hz-panelen in televisies vaak wel een betere beeldkwaliteit en kunnen ze die films rustiger weergeven dan goedkopere 60Hz-panelen.

Ben je echter een gamer? Dan is het antwoord volmondig ja. De nieuwste spelcomputers en moderne videokaarten zijn gemaakt om die hoge snelheden te benutten. Games spelen soepeler, zien er scherper uit tijdens actiescènes en je reageert sneller op wat er gebeurt. Als je nu een nieuwe tv of monitor koopt met het oog op de toekomst en gaming, is 120 Hz of hoger eigenlijk een vereiste op je wensenlijstje. Let er bij televisies wel op dat je beschikt over een HDMI 2.1-aansluiting, want alleen die kabel kan de enorme hoeveelheid data van 4K-beeld met 120 Hz verwerken.

Drie tv's met 120 Hz of meer

De meeste high-end tv's van dit moment ondersteunen 120 Hz voor spelcomputers (PS5/Xbox Series X) en gaan zelfs tot 144 Hz als je ze aan een krachtige gaming-pc hangt.

Als we kijken naar de huidige generatie televisies, kunnen we niet om de LG OLED evo C5 heen. Dit is de gloednieuwe opvolger van de populaire C4 en wordt gezien als de standaard voor gamers en filmliefhebbers. Hij beschikt over vier HDMI 2.1-poorten die de volle 144 Hz ondersteunen, wat hem toekomstbestendig maakt voor pc-gamers, terwijl hij naadloos samenwerkt met de PlayStation 5 en Xbox Series X op 120 Hz. Het nieuwe paneel heeft een nog hogere helderheid dan zijn voorganger, waardoor HDR-beelden nog meer impact hebben.

Daarnaast is de Samsung OLED S95F een absolute blikvanger in de winkels. Waar Samsung vorig jaar hoge ogen gooide met de S95D, doet de F-serie er nog een schepje bovenop met een vernieuwde antireflectielaag die nog beter werkt in lichte kamers. Dit model combineert de diepe zwartwaarden van OLED met de intense kleuren van Quantum Dots. Ook dit scherm ondersteunt verversingssnelheden tot 144 Hz en beschikt over de uitgebreide Gaming Hub van Samsung, waarmee je zelfs zonder console games kunt streamen.

Voor wie liever geen OLED wil, is de Samsung Neo QLED QN90F de meest courante keuze in het high-end lcd-segment. Dit 2025-model maakt gebruik van geavanceerde Mini-LED-technologie, waardoor de helderheid veel hoger ligt dan bij OLED-schermen. Dat maakt hem ideaal voor een zonovergoten woonkamer. Met een verversingssnelheid die oploopt tot 144 Hz en een extreem lage invoervertraging, is dit voor veel competitieve gamers de favoriete keuze.

Drie monitors met 120 Hz of meer

Bij monitors ligt de standaard tegenwoordig al hoger dan 120 Hz, omdat snelheid de uitkomst van een potje schieten of racen bepaalt. Deze modellen zijn populair op Kieskeurig.

Op het gebied van monitoren zien we dat 240 Hz langzaam de nieuwe standaard wordt voor de serieuze gamer. Een model dat momenteel erg goed scoort op Kieskeurig is de LG UltraGear 27GR83Q. Dit is een 27-inch IPS-scherm met een razendsnelle verversingssnelheid van 240 Hz. In tegenstelling tot oudere modellen biedt dit scherm een extreem snelle responstijd van 1 milliseconde, waardoor je in snelle shooters geen last hebt van wazige beelden. Het is een van de meest complete monitoren van dit moment die zowel voor pc als console geschikt is.

Zoek je de absolute top in beeldkwaliteit, dan is de Samsung Odyssey G6 (G60SD) een model dat je veel ziet. Dit is een moderne OLED-monitor met een verversingssnelheid van maar liefst 360 Hz. Hoewel dat misschien overkill klinkt, zorgt de combinatie van de OLED-techniek en deze snelheid voor een ongekend vloeiende en scherpe ervaring. Het scherm heeft bovendien een nieuw koelsysteem waardoor de kans op inbranden – een angst bij oudere OLED-monitoren – aanzienlijk is verkleind.

Voor wie een beperkter budget heeft maar wel snelheid wil, is de MSI MAG 27CQ6F een actuele hardloper. Dit is een gebogen scherm (Curved) met een snelheid van 180 Hz, wat net dat beetje extra soepelheid geeft ten opzichte van de standaard 144 Hz-schermen. Het paneel biedt een hoog contrast en is daarmee een uitstekende instapper voor wie zijn game-ervaring wil upgraden zonder direct de hoofdprijs te betalen.