Een groeiend aantal bedrijven maakt gebruik van een responsible disclosure-beleid voor het afhandelen van datalekken. Volgens ethische hackers is dat een goede zaak, maar ‘RD-beleid’ is bepaald niet zonder fouten. In dit artikel gaan we daar wat dieper op in.

Mischa van Geelen was dertien jaar toen hij een lek in de website van VakantieVeilingen ontdekte. Het was het eerste lek dat hij ooit zelf ontdekte, en hij heeft er nu – vijf jaar later – meer dan 500 op zijn naam staan. Nog steeds vindt hij regelmatig softwarelekken in websites of bij bedrijven. Daarbij doorloopt hij de routine die zowel hij als het bedrijfsleven heeft verfijnd: een melding doen bij de juiste persoon, een duidelijke beschrijving van het probleem aandragen en een mogelijke oplossing voorstellen.

Inmiddels loopt hij tegen minder muren aan dan vroeger, toen responsible disclosure nog maar voor een handjevol bedrijven gebruikelijk was. Anno 2017 hebben veel bedrijven op een of andere manier spelregels opgesteld om ethische hackers tegemoet te komen. En terecht, want door datalekken op een nette en verantwoordelijke manier af te handelen voorkom je dat mensen misbruik maken van bugs in je systeem. Bovendien laat je aan de buitenwereld zien dat je professioneel met je it-security omgaat.

Whitehat-hackers

Van Geelen noemt zich inmiddels ‘ethisch hacker’, een titel die veel whitehat-hackers en beveiligingsonderzoekers die aan responsible disclosure doen zichzelf aanmeten. Hun dagelijks werk is in veel gevallen op een of andere manier gerelateerd aan het zoeken naar datalekken: ze werken freelance of in dienst als beveiligingsconsultants, of ze werken in de informatica. In sommige gevallen is het opsporen van datalekken deel van hun werk als pen-testers (‘penetration testers’), maar één ding hebben ze vrijwel allemaal gemeen: het ‘responsible disclosen’ van datalekken doen ze vrijwillig, vanuit een gevoel voor ethiek en een liefde voor veiligheid.

Steeds meer Nederlandse bedrijven tonen interesse in responsible disclosure als beveiligingsmethode. Het kan immers helpen veiliger te blijven tegen datalekken door juist samen te werken met hackers in plaats van ze als de vijand te zien. Bij responsible disclosure houden bedrijven en hackers zich zoals gezegd aan een aantal spelregels voor het melden van kwetsbaarheden in websites of systemen. Op die manier kunnen datalekken op een verantwoorde manier worden doorgegeven, wat moet leiden tot veiliger ict.

Veel van die spelregels liggen voor de hand: een hacker mag vrijelijk rondneuzen in een systeem zonder daarvoor te worden aangepakt, maar moet het bedrijf dan wel tijd geven een lek te dichten zonder het vroegtijdig openbaar te maken. Vanzelfsprekend mag daarbij geen schade aan het systeem worden veroorzaakt en mag de hacker geen persoonsgegevens kopiëren, als hij die vindt.

Een responsible disclosure-beleid kan per bedrijf verschillen, maar er zijn een paar regels die (bijna) altijd naar voren komen.

Garantie: De belangrijkste afspraak is de garantie dat het bedrijf het lek actief dicht en geen aangifte doet, en dat de hacker zich aan de afgesproken regels van het bedrijf houdt.

Uitleg: Een hacker moet het lek zo duidelijk mogelijk uiteenzetten, op een manier die volledig te reproduceren is.

Tijdspanne: Er moet een redelijke tijd zijn een lek te dichten: niet te lang, niet te kort. Houdt een bedrijf zich niet aan die tijd, dan mag de hacker het lek openbaar maken.

Houd het heel: Een hacker mag geen ddos- of bruteforce-aanvallen uitvoeren om een lek te ontdekken, geen gegevens kopiëren en niets in het systeem kapotmaken of permanent veranderen.

Scope: Een bedrijf geeft van tevoren aan welke onderdelen wel of juist niet beschikbaar zijn om kwetsbaarheden over te melden. Testomgevingen zijn bijvoorbeeld vaak uitgesloten van deelname en lekken in systemen met persoonsgegevens worden vaak urgenter behandeld of beter beloond.

Nationaal Cyber Security Centrum-leidraad

Het is moeilijk te zeggen hoeveel bedrijven in Nederland inmiddels een actief RD-beleid hebben. In elk geval maken alle Nederlandse overheidsinstellingen gebruik van een dergelijk beleid, verzameld onder de leidraad van het Nationaal Cyber Security Centrum (NCSC). De grote banken hebben eveneens een eigen beleid, net als de NS en de meeste verzekeraars. Grote bedrijven lijken steeds meer heil te zien in het tegemoetkomen van hackers die datalekken ontdekken en dat op een verantwoordelijke manier willen melden.

Maar belangrijker dan het aantal beleidsmaatregelen dat wordt opgesteld, is de houding van die bedrijven. “Toen ik vijf jaar geleden een melding deed bij ABN Amro, hadden ze geen responsible disclosure-beleid beschikbaar”, vertelt Mischa van Geelen. “Ze reageerden er zelfs heel vijandig op. ‘Wie ben jij? En waarom vertel je ons hoe we onze beveiliging moeten regelen?’, vroegen ze.” Volgens Van Geelen zien bedrijven anno 2017 de waarde van responsible disclosure in, onder meer omdat het niet meer de vraag is óf, maar wannéér je wordt gehackt.

Die manier van werken slaat bij steeds meer bedrijven aan. Het is namelijk een relatief goedkope manier om gaten in software op te sporen, zonder dat je daar een peperduur team aan pen-testers op hoeft los te laten en zonder dat je ontwikkelaars dagen kwijt zijn met bugfixes. Aan de andere kant geeft het hackers de kans hun eigen kennis op niveau te houden en dient het als een waardevol visitekaartje.

Veel hackers zijn immers blij met de mogelijkheid om een lek op een correcte manier te melden, zonder daarbij in de problemen te komen. Niettemin is responsible disclosure verre van perfect. Zoals je verderop kunt lezen, draait het idee volledig om wederzijds vertrouwen, zonder enige garanties dat de spelregels worden nageleefd.

Binnen de tijd

©PXimport

Een belangrijk punt in een RD-beleid is de tijd die een hacker het bedrijf gunt om een lek te dichten. In de meeste gevallen wordt die vooraf gespecificeerd in het beleid, maar bij uitzonderlijke situaties kan er ook in overleg een andere tijdspanne worden afgesproken. Met zo’n afspraak weten beide partijen waar ze aan toe zijn: de hacker weet daarmee dat zijn lek serieus wordt genomen en het bedrijf heeft een belangrijke motivatie om het lek ook daadwerkelijk te dichten – anders wordt het openbaar gemaakt en kan het makkelijk worden misbruikt. Maar wat is een realistische tijdspanne om een bug te fixen? En wie bepaalt dat? Als de hacker die het lek ontdekt daar anders over denkt dan het bedrijf, kan dat frictie opleveren.

Dat gebeurde bijvoorbeeld tijdens de Heartbleed-bug die begin 2014 werd ontdekt in OpenSSL. Het Finse onderzoeksbedrijf Codenomicon besloot Heartbleed wel te melden aan onder meer CloudFare, maar niet aan andere grote webdiensten die eveneens van OpenSSL gebruikmaakten. Daardoor werd een groot deel van het internet kwetsbaar voor de bug toen die eenmaal openbaar werd gemaakt.

Volgens sommige critici had Heartbleed dan ook niet zozeer met responsible disclosure te maken, maar met marketing van een tot dan toe relatief obscuur Fins beveiligingsbedrijf dat na bekendwording van het lek internationale aandacht kreeg. Codenomicon vond dat het rechtvaardig handelde door het lek te melden aan het Finse National Cyber Security Center, maar de afhandeling leidde tot een discussie over hoelang onderzoekers moeten wachten voordat zij een lek openbaar maken en aan wie je dat allemaal moet melden. Wie heeft dan de sterkste hand?

Beloning voor ethisch hacken

En daar komt de ethiek om de hoek kijken, zowel de kracht als de achilleshiel van responsible disclosure. Een goed RD-beleid zorgt dat het bedrijf een hacker tegemoetkomt, én andersom. Het mes moet in zo’n geval aan twee kanten snijden, maar buiten een ‘gentlemen’s agreement’ biedt een responsible disclosure-beleid geen enkele juridische garanties. In theorie kan een bedrijf ook na het repareren van een datalek aangifte doen tegen een hacker, en niets weerhoudt de hacker ervan om het lek alsnog vroegtijdig openbaar te maken. Je kunt je daarom afvragen wat de reden is dat hackers daaraan zouden meedoen.

Terwijl bedrijven een RD in de regel opstellen uit praktische of financiële overwegingen, doen whitehat-hackers voornamelijk aan RD voor de eer – al speelt er voor hackers wel meer dan alleen hun gevoel voor rechtvaardigheid en ethisch besef. Loran Kloeze, een ethisch hacker die onder meer bekend werd toen hij liet zien dat de Stemwijzer lek was, zegt dat ook hackers niet helemaal altruïstisch te werk gaan. “Hackers dragen het aantal RD’s op hun naam als een eremedaille, iets waarmee je kunt laten zien hoe goed je bent. Opdrachtgevers of klanten kijken juist daarnaar, niet naar een diploma. Een groot aantal disclosures op je naam is waardevoller dan welke opleiding dan ook.”

Daarom is een ‘hall of fame’ ook zo belangrijk. Daarop wordt een overzicht geplaatst van de hackers die een lek hebben gevonden en een korte beschrijving met wat er precies is gerepareerd. Niet dat zo’n website veel bezoekers trekt, maar dat is ook niet de bedoeling. Ethisch hackers kunnen zulke vermeldingen in hun eigen portfolio opnemen om te laten zien wat ze waard zijn.

©PXimport

Responsible disclosure gaat doorgaans gepaard met een beloning, maar wat dat concreet inhoudt, verschilt per bedrijf. Soms is het een klein geldbedrag, soms een t-shirt of een ander cadeautje –PCM-uitgever Reshift geeft bijvoorbeeld soms een Raspberry Pi-pakket weg voor het melden van een lek. Eigenlijk doet de aard van de beloning er ook niet toe, vindt Van Geelen. Toen hij een aantal jaren geleden na heel lang mailen en overtuigen een cadeaubon kreeg voor het melden van een lek bij ABN Amro (dat toen nog geen officieel RD-beleid had), voelde hij zich afgescheept.

“Ze bleven maar vragen: ‘Wat wil je dán?’ Ze begrepen het maar niet. Het ging me helemaal niet om die cadeaubon of om geld, of wat dan ook. Het enige wat ik wilde, is een oprecht bedankje.” Het is een sentiment dat bij meer hackers speelt. Serieus genomen worden, voelen alsof je hebt bijgedragen aan een veiliger wereld. Daarom was Van Geelen ook blijer met zijn eerste hack op VakantieVeilingen. Daarvoor kreeg hij niet alleen een cadeaubon, maar ook een stage aangeboden – iets waar hij in zijn verdere carrière veel meer aan heeft gehad dan aan een geldbedrag.

Loran Kloeze onderschrijft het feit dat de beloning niet het belangrijkst is. Kloeze richt zich sowieso grotendeels op overheidsinstellingen, en die geven geen geldbedragen weg maar enkel t-shirts. “Je doet het vanuit je ethisch besef en het feit dat je de wereld een stukje veiliger wilt maken.”

Geld verdienen met ethisch hacken

Toch is er een groeiende groep hackers die probeert te leven van dergelijke datalekken, al heb je het dan al snel over ‘bug bounty’s’ – een op het eerste gezicht identieke, maar toch iets andere tak van sport. Het zijn vooral grote techbedrijven met miljoenen gebruikers die geld over hebben voor het spotten van datalekken. Apple was daar vrij laat mee en begon pas halverwege 2016 met het uitloven van premies voor het vinden van bugs. Toch is Apple een van de interessantere bedrijven om datalekken bij te melden. Een lek in de boot firmware van iOS levert bijvoorbeeld al 200.000 dollar op.

Op die manier zijn er hackers die volgens Kloeze kunnen leven van hun bug bounty’s. “Als je wekelijks een bug van 250 euro vindt en eens per jaar een écht grote, dan kun je daar prima van leven.”

Daar staat tegenover dat het tegenwoordig steeds lucratiever wordt om bugs aan derde partijen te verkopen. Bedrijven zoals Zerodium bieden bijvoorbeeld het viervoudige van Apple voor eenzelfde lek in iOS. En voor een hacker is er maar één ding dat hem laat kiezen tussen 200.000 dollar van Apple en 1 miljoen van Zerodium: zijn gevoel. Kloeze: “Uiteindelijk wil je toch elke avond rustig slapen, en dat wordt voor velen een stuk lastiger als ze weten dat hun lek kan worden gebruikt door een regime als Noord-Korea. Net als gewone criminaliteit kun je ook hier de afweging maken, en dan is de vraag hoever je bereid bent te gaan.”

Volgens Mischa van Geelen zit het verschil hem voornamelijk in de houding van de hacker. “Bug bounty’s doe je voor het geld, maar responsible disclosure doe je vanuit een gevoel voor ethiek. Bovendien maakt het voor veel hackers ook niet uit of ze er geld voor krijgen; dat verdienen ze vaak ook wel met consultancy-werk.” En daarbij is een goed portfolio, met veel RD’s op je naam, juist een goed visitekaartje.

Er is ook een aantal bedrijven dat op professionele schaal op zoek gaat naar lekken, zoals Google, dat permanent beveiligingsonderzoekers in dienst heeft op de Project Zero-divisie. Project Zero komt regelmatig in het nieuws als het een lek heeft gevonden bij bijvoorbeeld Microsoft, waar de softwaregigant dan niet tijdig iets aan heeft gedaan.

Grijs gebied

Responsible disclosures bevatten in de meeste gevallen een belangrijke clausule over aansprakelijkheid, maar de regels rondom hacken en verantwoordelijkheid stroken niet altijd even goed met elkaar. Loran Kloeze zegt bijvoorbeeld alleen aan RD te doen met bedrijven die al een beleid hebben. Hij kijkt daarom met name op sites van de overheid, omdat die in samenwerking met het NCSC een duidelijk beleid heeft opgesteld dat voor alle sites geldt. Als een website of bedrijf dat niet heeft, komt Kloeze er niet aan. Om één simpele reden: hij wil niet in de problemen komen. “Een responsible disclosure-beleid nodigt een hacker uit om zonder angst voor repercussies op zoek te gaan naar een lek. Als er niet zo’n beleid is, dan heb je niks op zo’n website te zoeken.”

Volgens Kloeze is het überhaupt niet mogelijk om een datalek te vinden zonder dat je actief in een systeem loopt te porren, dus iedereen die een lek vindt in een website waar geen RD van toepassing is, is volgens hem per definitie al fout. “Als je een website gebruikt zoals die bedoeld is en dan een fout ontdekt, ja, dan mag je inderdaad wel even een mailtje sturen met ‘joh, let hier eens op’. Maar dat is vrijwel nooit het geval. Om een bug te vinden, moet je actief zoeken, testen, reproduceren en verschillende dingen proberen. Dan ben je al heel snel ongeoorloofd aan het rondneuzen op een systeem waar je niks te zoeken hebt, omdat je er niet voor bent uitgenodigd.”

Juridisch gezien is een responsible disclosure-beleid niet sluitend. Het zegt niks, behalve dan dat het bedrijf geen intentie heeft je te vervolgen – maar ook dat kan gewoon veranderen. Bovendien heeft het OM daar niets mee te maken, zegt Kloeze. “Dat kan altijd nog besluiten achter je aan te gaan, al is dat onwaarschijnlijk.” Er zijn nog geen gevallen bekend van veroordelingen voor hacking waarbij gebruik werd gemaakt van responsible disclosure.

Daar is Mischa van Geelen het niet mee eens. Hij ziet het beleid van het NCSC juist als richtlijn om als ethisch hacker te opereren – of een bedrijf nu een beleid heeft of niet. “Zolang je het volgens de regels speelt, moet je een lek gewoon kunnen melden. Dan houd je je natuurlijk aan alle regels: je zorgt dat je niks stuk maakt, dat je je lek niet openbaar maakt ... Als je dat doet, vind ik dat je het gewoon moet kunnen melden.”

Volgens het NCSC ligt de situatie iets genuanceerder en is de leidraad vooral bedoeld om bedrijven te stimuleren hun eigen beleid op te zetten, maar houdt het OM per geval wel rekening met ‘proportioneel en subsidiair handelen’.

Meerwaarde van responsible disclosure

De meeste hackers vinden dat responsible disclosure waardevol kan zijn voor bedrijven, al vindt Kloeze wel dat dat proportioneel moet zijn. “Voordat je meteen zo’n beleid opstelt, moet je je eerst afvragen of je dat überhaupt wel nodig hebt. De slager om de hoek heeft daar doorgaans weinig aan, maar dat verandert als hij bijvoorbeeld een koelcel heeft die hij via internet kan aansturen, of als hij een klantensysteem begint.”

Een responsible disclosure-beleid moet dan ook in verhouding staan met de data die je verwerkt, maar omdat steeds meer bedrijven in toenemende mate gebruikmaken van persoonlijke data, groeit de vraag naar een goede omgang eveneens. Niet alleen juridisch (bijvoorbeeld door de meldplicht datalekken), maar ook ethisch, zoals een goed RD-beleid.

Waar de hackers het eens zijn over de meerwaarde van zo’n beleid, zetten de meeste ook kanttekeningen bij de effectiviteit. Het is nooit dé definitieve oplossing voor het beveiligingsprobleem, denkt Mischa van Geelen. “Responsible disclosure is alsof je met hagel op je systemen gaat schieten, in de hoop dat er iets wordt geraakt. Je moet er nooit van uitgaan dat je daarmee volledig veilig wordt.”

Hij zegt daarom dat een goed RD-beleid eerder een toevoeging op het bestaande beveiligingsbeleid moet zijn. Dat bevestigt het NCSC: “Organisaties zijn zelf verantwoordelijk voor hun beveiliging, maar goede beveiliging is zo sterk als je zwakste schakel. RD kan een zeer belangrijke bijdrage leveren aan het ontdekken van zulke zwakke plekken.”

Daarnaast is het belangrijk te onthouden dat responsible disclosure-meldingen altijd door vrijwilligers worden gedaan, en dat die je niets verplicht zijn. Ze kunnen daarom nooit garanderen dat ze alle gaten uit je systeem vissen, maar een oprecht bedankje is wel het minste wat je voor ze kunt doen.

Responsible disclosure-beleid opzetten

Wil je tot slot voor je eigen bedrijf een responsible disclosure-beleid (helpen) opzetten? Denk dan aan de volgende zaken:

Scope: Geef aan welke onderdelen een hacker mag testen en welke niet. Vallen daar bijvoorbeeld ook testomgevingen onder?

Beloning: Bedenk welke beloning je een hacker geeft. Is dat een geldbedrag, een t-shirt of iets unieks van jouw bedrijf? Zorg ook dat je bepaalt voor welke meldingen je welke beloning geeft: niet alle lekken hoeven gelijkwaardig te worden behandeld.

Wall of fame: Hackers gebruiken een RD-melding ook op hun cv. Kom ze tegemoet door een publieke wall of fame op te stellen met wie je heeft geholpen met welk probleem.

Doe een pen-test: Als je je systeem meteen toegankelijk maakt voor iedereen, kan dat al snel tot veel reacties leiden. Laat je bedrijf daarom eerst pen-testen door een professioneel bedrijf, zodat de belangrijkste gaten kunnen worden gedicht.

Laat je RD-beleid nakijken: Er zijn genoeg ethische hackers die, al dan niet betaald, een RD-beleid voor je kunnen opstellen of er op z’n minst doorheen kunnen lopen.

Wees eerlijk: Wees eerlijk over je bug-fixes en je progressie. Houd de hacker op de hoogte, ook als het repareren onverhoopt langer duurt dan verwacht.

Voor veel mensen is hun e-mailprogramma nog altijd het belangrijkste digitale hulpmiddel, maar lang niet iedereen haalt alles eruit. En dat kost tijd. Veel handmatig terugkerende taken kun je automatiseren. Of het nu gaat om het sorteren van berichten, het opstellen van standaardantwoorden of het plannen van verzendtijden: over al deze opties beschikt jouw mailprogramma al.

Misschien vind je dit ook interessant: 10 e-mailhacks: van overvolle inbox naar opgeruimd staat netjes

Een overvolle inbox leidt niet alleen tot stress, maar kost ook veel tijd bij het zoeken naar belangrijke berichten. Door slimme filters in te stellen, komt daar verandering in. Filters zorgen ervoor dat binnenkomende e-mails automatisch worden gesorteerd, gelabeld of doorgestuurd op basis van door jou bepaalde criteria.

In Gmail vind je deze functie via het tandwielpictogram rechtsboven. Klik op het radertje voor instellingen en daarna op Alle instellingen bekijken. Ga vervolgens naar het tabblad Filters en geblokkeerde adressen. Kies voor Nieuw filter maken.

In Outlook vind je vergelijkbare mogelijkheden via het menu met het radertje en het tabblad E-mail. Klik op Regels en dan op Nieuwe regel toevoegen. In Apple Mail ga je naar Mail in de menubalk, kies je voor Instellingen en klik je op het tabblad Regels.

Opgeruimd staat netjes

Het instellen van een effectieve filter begint met het bepalen van je specifieke behoeften. Wil je bijvoorbeeld alle berichten van je team in een aparte map verzamelen? Stel dan een filter in dat zoekt naar e-mailadressen met het domein van je bedrijf en deze automatisch verplaatst naar een speciale teammap.

Voor frequente nieuwsbrieven kun je een filter maken dat alle e-mails met 'nieuwsbrief' in de onderwerpregel naar een toegewezen map verplaatst. Een praktische toepassing is het automatisch labelen van e-mails waarin bepaalde projectcodes voorkomen. Als je bijvoorbeeld werkt aan 'Project Phoenix', kun je een filter instellen dat alle e-mails met deze term in het onderwerp of de inhoud voorziet van een specifiek label of verplaatst naar de projectmap. Experimenteer met verschillende filtercriteria om te ontdekken welke combinatie het beste werkt voor jouw specifieke workflow.

Handtekeningen

Handtekeningen doen meer dan alleen contactgegevens weergeven; ze kunnen dynamische informatie bevatten die automatisch wordt aangepast op basis van de ontvanger of het tijdstip. In Outlook ga je naar Bestand / Opties / E-mail / Handtekeningen om geavanceerde handtekeningen te maken. Gmail-gebruikers vinden deze functie onder Instellingen / Algemeen / Handtekening. Apple Mail biedt handtekeningopties via Mail / Instellingen / Handtekeningen.

Een fijne functie is het gebruik van voorwaardelijke handtekeningen. In Outlook kun je bijvoorbeeld verschillende handtekeningen maken en deze koppelen aan specifieke e-mailaccounts of zelfs aan bepaalde ontvangers. Zo kun je een formele handtekening gebruiken voor externe communicatie en een informelere voor interne berichten. De variabelen in Outlook (zoals %Company% of %Phone%) worden automatisch gevuld met informatie uit je profiel, wat zorgt voor consistentie en tijdsbesparing bij het onderhouden van je contactinformatie.

Overweeg om html-elementen toe te voegen aan je handtekening voor een professionelere uitstraling. Voeg bijvoorbeeld een gepersonaliseerde afspraaklink toe die rechtstreeks naar je agenda verwijst, zodat ontvangers met één klik een vergadering kunnen plannen. Of integreer een dynamische banner die je nieuwste producten of diensten promoot. Ook kun je informatieve links naar veelgestelde vragen of kennisartikelen opnemen, wat het aantal routinevragen in je inbox kan verminderen. Zorg er wel voor dat je handtekening niet te groot of afleidend wordt – houd het professioneel en functioneel.

Uitgestelde verzending

Het timen van e-mails kan heel belangrijk zijn voor de effectiviteit ervan. De functie voor uitgestelde verzending stelt je in staat om e-mails voor te bereiden wanneer het jou uitkomt, maar ze te laten bezorgen op een ander moment. In Gmail activeer je deze functie tijdens het opstellen van een bericht door op het kleine driehoekje naast de knop Verzenden te klikken en Verzenden plannen te selecteren. Vervolgens kun je een specifieke datum en tijd kiezen of een van de voorgestelde tijdstippen selecteren.

Outlook-gebruikers kunnen een vergelijkbare functie vinden in het Opties-tabblad tijdens het opstellen van een e-mail. Klik op Verzenden plannen en specificeer wanneer het bericht moet worden verzonden. In Apple Mail klik je ook op het pijltje naast de verzendknop, en vervolgens op Stuur later. Het inplannen van mails is meer dan alleen een technische truc; het is een strategisch communicatiemiddel.

E-mailsjablonen

Het herhaaldelijk typen van vergelijkbare e-mails is een verborgen productiviteitsdief. E-mailsjablonen bieden een elegante oplossing voor dit probleem. In Gmail kun je sjablonen instellen door eerst Geavanceerde instellingen te activeren. Ga naar Instellingen / Geavanceerd en schakel Templates in. Tijdens het opstellen van een e-mail kun je nu via de drie puntjes rechtsonder kiezen voor Templates / Concept opslaan als sjabloon. Bij toekomstig gebruik selecteer je simpelweg het gewenste sjabloon via hetzelfde menu.

Outlook-gebruikers kunnen sjablonen maken door een nieuwe mail te openen, naar Invoegen / Apps / Mijn sjablonen te gaan en op + Sjabloon te klikken. In Apple Mail kun je werken met tekstfragmenten via de ingebouwde tekstvervanging van macOS. Ga naar Systeeminstellingen / Toetsenbord / Tekst en voeg daar je veelgebruikte tekstfragmenten toe met bijbehorende snelkoppelingen.

Herinneringen

Een van de meest onderschatte functies in e-mailprogramma's is de mogelijkheid om automatische herinneringen in te stellen voor berichten waarop je een antwoord verwacht. In Outlook kun je een bericht markeren voor opvolging door op de Opvolgen-vlag te klikken in een geopend bericht. Door met de rechtermuisknop op deze vlag te klikken, kun je een specifieke herinneringsdatum instellen en zelfs aangeven dat je een herinnering wilt ontvangen als je geen antwoord hebt gekregen.

Gmail-gebruikers kunnen de Snooze-functie inzetten om berichten tijdelijk te verbergen en op een later tijdstip weer te laten verschijnen. Klik met de rechtermuisknop op een bericht en selecteer Snoozen. Vervolgens kun je kiezen wanneer het bericht weer in je inbox moet verschijnen.

Voor Apple Mail-gebruikers biedt de ingebouwde Herinnering-functie vergelijkbare mogelijkheden. Selecteer een bericht, klik rechts en kies Herinnering. Vervolgens kun je aangeven wanneer je aan dit bericht herinnerd wilt worden.

Productiever

De functies die we in dit artikel hebben besproken, vormen slechts het topje van de ijsberg als het gaat om de verborgen mogelijkheden van je e-mailprogramma. Door filters en regels in te stellen, creëer je een inbox die automatisch sorteert en prioriteiten stelt. Slimme handtekeningen zorgen voor consistente, professionele communicatie, terwijl uitgestelde verzending garandeert dat je berichten op het optimale moment aankomen.

Met sjablonen elimineer je het repetitieve typewerk en dankzij geautomatiseerde follow-ups blijft geen enkele belangrijke e-mail onbeantwoord. Deze functies werken samen om je dagelijkse e-mailroutine drastisch te versnellen en je communicatie te professionaliseren. Door nu tijd te investeren in het ontdekken en instellen van deze verborgen e-mailkrachten, win je in de toekomst uren aan productieve tijd terug. Die tijd kun je besteden aan echt waardevol werk in plaats van aan het beheren van je inbox.

Afgelopen jaar hebben Kieskeurig.nl en ID.nl de beste televisies laten testen door expert Eric Beeckmans. Met Black Friday om de hoek en daarna al weer de feestdagen in het verschiet, is dit het moment om zo'n televisie voor een mooie prijs in de wacht te slepen. Bekijk snel alle gesteste tv's met de linkjes naar de goedkoopste winkels!

Panasonic TV‑55Z90BE6 - Score 9/10

De Panasonic TV‑55Z90BE6 gebruikt een Master OLED Pro‑paneel, waardoor beelden met hoge piekhelderheid, fraaie kleuren en veel detail worden getoond. Alle HDR‑formaten worden ondersteund en de fabriekskalibratie is uitstekend. De tv bevat een goede geluidssectie en een draaibare voet. De prijs ligt echter hoog en in België ontbreken een aantal apps. DTS‑decodering wordt niet ondersteund.

Pluspunten
Zeer goede piekhelderheid, mooie kleuren en goede bewegingen dankzij Master OLED Pro en goede kalibratie
Handige draaibare voet en degelijk geluid

Minpunten
Geen DTS‑ondersteuning
Gebrek aan lokale smart‑tv‑apps (vooral in België)

Lees de volledige review

LG OLED65C54LA - Score 8/10

De LG OLED65C54LA is een kleine update van LG’s populaire C‑serie. Het paneel biedt betere piekhelderheid en een uitstekende fabriekskalibratie. De tv ondersteunt Dolby Vision en HDR10, en dankzij vier HDMI 2.1‑poorten is hij geschikt voor gamen. WebOS 25 reageert snel en LG belooft vijf jaar software‑updates, maar de startpagina bevat advertenties. Daarnaast ontbreken HDR10+ en DTS‑ondersteuning.

Pluspunten
Hoge piekhelderheid en uitstekende HDR‑beelden met brede kijkhoek
Vier HDMI 2.1‑poorten met sterke gamingfuncties; goede fabriekskalibratie

Minpunten
Advertenties in het WebOS‑startscherm
Geen HDR10+‑ of DTS‑ondersteuning

Lees de volledige review

Samsung The Frame Pro (2025) - Score 7/10

De Samsung The Frame Pro combineert een mat QLED‑scherm met een draadloze One Connect‑box. De matte coating voorkomt reflecties en de helderheid is verbeterd ten opzichte van eerdere Frames, maar de contrastweergave blijft achter bij andere topmodellen. De draadloze box verhoogt de input‑lag voor gamers, terwijl de micro‑HDMI‑ingang dit probleem oplost maar minder praktisch is. Het toestel heeft een slank design met verwisselbare lijsten en ondersteunt AirPlay 2 en Google Cast. De prijs is hoger dan die van de gewone Frame.

Pluspunten
Mat scherm met goede piekhelderheid en slank design; bijpassende lijsten en One Connect‑box
Vijf HDMI 2.1‑poorten, uitgebreide smart‑software en zeven jaar updates

Minpunten
Beperkte verbetering van contrast; geluid blijft middelmatig
Input‑lag via de draadloze box; geen Dolby Vision of DTS

Lees de volledige review

Sony Bravia 8 II K‑65XR8M2 - Score 8/10

De Sony Bravia 8 II K‑65XR8M2 levert een indrukwekkend beeld met veel detail, goede schaduwwerking en sterke beeldverwerking. De OLED‑tv ondersteunt Dolby Vision en gebruikt Google TV, maar heeft slechts twee HDMI 2.1‑poorten (maximaal 4K @ 120 Hz) en haalt een iets lagere piekhelderheid dan concurrenten. Dankzij het Acoustic Surface‑audiosysteem klinkt hij beter dan veel platte tv’s en Sony Pictures Core biedt toegang tot films.

Pluspunten
Zeer goede beeldverwerking met mooie schaduwdetails en groot kleurbereik
Degelijk geluid dankzij Acoustic Surface; Google TV met veel apps

Minpunten
Lager piekniveau dan sommige concurrenten
Slechts twee HDMI 2.1‑poorten voor gaming

Lees de volledige review

TCL 55C6K - Score 8,9/10

De TCL 55C6K is een betaalbare mini‑LED‑tv met 180 local‑dimmingzones. In SDR levert hij mooie kleuren, maar in HDR is het contrast en de piekhelderheid relatief beperkt. Filmmaker‑ en film­modus zijn goed gekalibreerd en Google TV biedt een uitgebreid app‑aanbod. Twee HDMI 2.1‑poorten ondersteunen 4K @ 120 Hz en variabele refresh rates. Voor de prijs biedt de tv goede prestaties, al is de C6K soms duurder dan de betere C7K.

Pluspunten
Goede kleuren en kalibratie in SDR met Filmmaker‑modus; 180 dimmingzones
Ondersteunt Dolby Vision IQ, HDR10+ en twee HDMI 2.1‑poorten met gaming­functies

Minpunten
HDR‑prestaties beperkt door matige piekhelderheid en contrast
Het aantal dimmingzones beperkt de kijkhoek; eARC gebruikt een van de HDMI‑poorten

Lees de volledige review

Philips 65OLED950 - Score 9/10

De Philips 65OLED950 is een high‑end OLED‑tv met het META‑3‑paneel, waardoor hij recordbrekende piekhelderheid en contrast levert. De vierzijdige Ambilight en uitstekende beeldverwerking maken HDR‑content zeer indrukwekkend. De tv ondersteunt alle HDR‑formaten, heeft goede gamingfuncties met twee HDMI 2.1‑poorten en biedt Google TV en AirPlay 2. Het geluid is ruimtelijk met Dolby Atmos en DTS:X, al zijn er soms lichte banding‑artefacten in donkere scènes.

Pluspunten
META 3‑paneel met zeer hoge piekhelderheid en vierzijdige Ambilight
Breed HDR‑aanbod, goede beeldverwerking en goede geluidsweergave

Minpunten
Soms banding in donkere scènes
Slechts twee HDMI 2.1‑poorten

Lees de volledige review

Samsung QE65S95F - Score 9/10

De Samsung QE65S95F is een qd‑oled‑tv met een helderder scherm en matte coating. De beeldkwaliteit is uitstekend met diepe zwartwaarden, perfecte kijkhoeken en een groot kleurbereik. De One Connect‑box maakt het mogelijk om de tv kabelvrij op te hangen, maar de geluidskwaliteit is matig en er ontbreekt Google Cast. Met vier HDMI 2.1‑poorten en Tizen OS (met zeven jaar updates) is hij aantrekkelijk voor gamers.

Pluspunten
Zeer hoge piekhelderheid en perfect contrast; matte coating vermindert reflecties
Vier HDMI 2.1‑poorten, uitstekende kalibratie en uitgebreide gaming‑functies

Minpunten
Matige geluidskwaliteit
Geen Google Cast, Dolby Vision of DTS

Lees de volledige review

LG OLED EVO 65G56LS - Score 9/10

De LG OLED EVO 65G56LS (G5) tilt OLED naar een nieuw niveau. De tv gebruikt een vernieuwd paneel met hoge piekhelderheid en groot kleurbereik; het dynamische Filmmaker‑profiel is nagenoeg referentiekwaliteit. Het Alpha 11‑procesor en WebOS 25 zorgen voor soepele beelden en handige AI‑functies, al leveren die laatste weinig meerwaarde. De ingebouwde luidsprekers klinken goed, maar DTS ontbreekt. Gamers profiteren van vier HDMI 2.1‑poorten en 4K @ 144 Hz. De prijs is hoog, maar LG levert vijf jaar software‑updates.

Pluspunten
Hoog piekniveau en brede kleurweergave dankzij nieuw OLED‑paneel; uitstekende beeldverwerking
Vier HDMI 2.1‑poorten en 4K @ 144 Hz; WebOS 25 met vijf jaar updates

Minpunten
Advertenties op het startscherm en geen HDR10+ of DTS
AI‑functies voegen weinig toe; adviesprijs is hoog

Lees de volledige review

LG OLED65B4 - Score 9/10

De LG OLED65B4 biedt OLED‑prestaties tegen een relatief lage prijs. Het paneel is iets minder helder dan de topmodellen, maar biedt toch een mooi contrast en goede HDR‑beelden in Dolby Vision. De Alpha8‑processor levert nette beeldverwerking, al kunnen lichte banding‑verschijnselen in kleurverlopen voorkomen. WebOS 24 met vijf jaar updates is gebruiksvriendelijk. Vier HDMI 2.1‑poorten ondersteunen 4K @ 120 Hz en VRR.

Pluspunten
Mooie HDR‑beelden met goede kleurweergave en contrast; vier HDMI 2.1‑poorten
Betaalbare prijs voor oled‑prestaties; WebOS 24 met vijf jaar updates

Minpunten
Advertenties op het startscherm
Geen HDR10+‑ondersteuning en mogelijk banding in kleurverlopen

Lees de volledige review

LG OLED65C4 - Score 9/10

De LG OLED65C4 bouwt voort op de C‑lijn en blijft een referentie voor wie een high‑end tv wil zonder de prijs van een G‑model. Hij gebruikt de Alpha9‑processor voor goede beeldverwerking en levert een hoge piekhelderheid met uitstekende kalibratie. WebOS 25 is snel, maar het startscherm bevat advertenties. De tv ondersteunt HDR10 en Dolby Vision, al is er geen HDR10+; de dynamische tonemapping compenseert dit. Vier HDMI 2.1‑poorten en goede gamemogelijkheden maken de tv compleet.

Pluspunten
Hoge piekhelderheid en goede beeldverwerking met Alpha9; nauwkeurige kalibratie
Vier HDMI 2.1‑poorten met uitstekende gamingfuncties

Minpunten
Advertenties in het WebOS‑startscherm
Geen HDR10+‑ondersteuning

Lees de volledige review

Samsung QE55QN85D - Score 8/10

De Samsung QE55QN85D is een Neo QLED‑tv met solide prestaties maar zonder echte uitschieters. Het mini‑LED‑paneel biedt veel helderheid, goede contrasten en een groot kleurbereik; de Filmmaker‑modus is netjes gekalibreerd. Tizen Smart Hub levert veel functies en vier HDMI 2.1‑poorten maken de tv geschikt voor gamers. Geluid is redelijk, maar Dolby Vision en DTS ontbreken en het aantal dimmingzones beperkt de uniformiteit.

Pluspunten
Hoge piekhelderheid met goede contrasten en kleuren; nette kalibratie
Vier HDMI 2.1‑poorten en veel smart‑functies

Minpunten
Geen Dolby Vision of DTS
Beperkt aantal dimmingzones en matige kijkhoek

Lees de volledige review