End-to-end-encryptie bij cloudopslag: wat het betekent en welke aanbieders het standaard bieden
End-to-end-encryptie (E2E) betekent dat bestanden op je eigen apparaat worden versleuteld vóór de upload en dat de aanbieder geen sleutel bezit. Van de grote aanbieders bieden er drie dit standaard aan. Dit is wat het inhoudt en hoe je kiest.
Wat end-to-end-encryptie werkelijk betekent
Cloudopslag met end-to-end-encryptie (E2E) versleutelt bestanden op het apparaat van de gebruiker vóór de upload. De encryptiesleutel verlaat het apparaat nooit, waardoor de aanbieder de bestanden niet kan ontsleutelen — zelfs niet op gerechtelijk bevel. Dit verschilt van encryptie 'at rest', waarbij de aanbieder de bestanden op zijn servers versleutelt maar de sleutel zelf beheert. Server-side-encryptie beschermt tegen een gestolen schijf; E2E beschermt tegen een dagvaarding. Reguliere consumentencloudopslag van Google, Microsoft, Apple (zonder ingeschakelde Advanced Data Protection) en Dropbox is uitsluitend server-side versleuteld.
Welke aanbieders bieden E2E standaard in 2026
Drie aanbieders in onze vergelijkingsset bieden E2E standaard op elk abonnement, inclusief de gratis varianten: Proton Drive (gevestigd in Zwitserland, opensource-clients op GitHub, volgens proton.me/drive/security), Sync.com (Canadese zero-knowledge-architectuur met AES-256 + RSA-2048, volgens sync.com/security) en MEGA (gevestigd in Auckland, AES-128-bestandssleutels afgeleid van het wachtwoord, opensource-clients, volgens mega.io/security). pCloud en IDrive bieden E2E als optie (pCloud Crypto-add-on; IDrive private-key-modus). Backblaze B2 is uitsluitend server-side versleuteld — voeg zelf een E2E-laag toe met rclone+crypt of restic.
Wat je inlevert met E2E
E2E-architecturen kunnen geen server-side-zoekopdrachten, geen server-side-thumbnailgeneratie, geen server-side-documentvoorbeelden en geen wachtwoordherstel bieden. Een verloren of vergeten encryptiesleutel betekent dat de data onherstelbaar is — Proton Drive vangt dit op met een afdrukbare herstelzin die de gebruiker bij de registratie moet bewaren. De meeste gebruikers zullen de afwegingen rond zoeken/thumbnails in 2026 niet merken, omdat de client-apps voorbeelden lokaal genereren; de afweging rond wachtwoordherstel is reëel en is de grootste bron van supportverzoeken bij E2E-aanbieders.
Wanneer standaard E2E ertoe doet
Het doet vooral ertoe wanneer het dreigingsmodel omvat dat de cloudaanbieder gedwongen wordt om data vrij te geven — een dagvaarding, een gerechtelijk bevel, een overheidsverzoek. Voor gevoelige persoonlijke bestanden (belastingaangiften, medische documenten, juridische contracten) schakelt standaard E2E de aanbieder uit als mogelijke bron van openbaarmaking. Voor dagelijkse fotoback-ups of mediasynchronisatie kan E2E overdreven zijn — de operationele afwegingen (geen server-side-zoekopdrachten, geen herstelbaar wachtwoord) wegen voor de meeste gebruikers zwaarder dan de verlaging van het openbaarmakingsrisico.
Bronnen
Proton Drive beveiliging: proton.me/drive/security. Sync.com beveiliging: sync.com/security. MEGA beveiliging: mega.io/security. pCloud versleutelde opslag: pcloud.com/encrypted-cloud-storage.html. IDrive beveiliging: idrive.com/online-backup-security. Backblaze B2 beveiliging: backblaze.com/cloud-storage/security. Alle URL's geraadpleegd op 2026-04-30.