Zijn iCloud-foto's end-to-end versleuteld?
Standaard zijn iCloud-foto's niet end-to-end versleuteld. Apple slaat ze op met versleutelingssleutels die het zelf beheert en kan ze ontsleutelen wanneer dat wettelijk vereist is. Het inschakelen van Advanced Data Protection verandert dat: je vertrouwde apparaten hebben de sleutels, Apple niet. ADP is opt-in, standaard uitgeschakeld en vereist herstelinstelling voordat je het kunt inschakelen.
iCloud-foto's zijn versleuteld - maar onder standaard gegevensbescherming bewaart Apple de versleutelingssleutels en kan het je foto's inzien als reactie op een rechterlijk bevel of voor accountherstel. Met Advanced Data Protection ingeschakeld worden iCloud-foto's echt end-to-end versleuteld: je apparaten bewaren de sleutels, Apple heeft niets. ADP moet handmatig worden ingeschakeld. Het is niet de standaard en het werd in februari 2025 verwijderd voor VK-gebruikers door een overheidseisen die Apple wettelijk niet kon weigeren.
Wat 'versleuteld' betekent als Apple de sleutels bewaart
iCloud versleutelt je foto's wel. Die bewering is waar en tegelijk misleidend als je daar stopt.
Onder standaard gegevensbescherming - de standaard voor elk Apple-account - zijn je foto's versleuteld tijdens transport en opgeslagen in een versleuteld formaat op Apple's servers. De versleuteling is echt. Wat de kleine lettertjes zeggen is dat Apple de versleutelingssleutels bewaart in hardwarebeveiligingsmodules in zijn eigen datacenters. Apple's supportdocumentatie is duidelijk: de sleutels zijn toegankelijk voor Apple-servers en Apple kan je helpen je gegevens te herstellen als je de toegang tot je account verliest.
Die architectuur heeft een naam: server-side versleuteling. De aanbieder versleutelt de gegevens en de aanbieder bewaart de sleutel. Het beschermt je foto's tegen iemand die de opslaglaag binnenbreekt zonder inloggegevens. Het beschermt ze niet tegen Apple zelf, tegen een rechterlijk bevel gericht aan Apple, of tegen een inbreuk op de sleutelbeheersystemen. Als journalisten en onderzoekers iCloud beschrijven als doelwit voor handhavingsverzoeken, is dat het mechanisme dat ze beschrijven. De gegevens zijn opvraagbaar omdat Apple ze kan opvragen.
Dit is geen verborgen gebrek. Apple publiceert het in zijn iCloud-gegevensbeveiligingsoverzicht. Het is de bewuste afweging voor accountherstel: je kunt je foto's terugkrijgen na het verlies van je apparaat precies omdat Apple ze namens jou kan ontsleutelen.
Vijftien iCloud-gegevenscategorieen zijn end-to-end versleuteld onder standaardbescherming, waaronder Wachtwoorden en Sleutelhanger, Gezondheidsgegevens en een aantal andere. iCloud-foto's, iCloud-back-up, Notities en de meeste andere niet.
Advanced Data Protection: wanneer iCloud-foto's echt end-to-end versleuteld worden
Advanced Data Protection voor iCloud, dat Apple op 7 december 2022 aankondigde, verandert het sleutelbeheermodel voor de meeste iCloud-gegevens. Als ADP is ingeschakeld, bewaren je vertrouwde apparaten de versleutelingssleutels, niet Apple. Het aantal gegevenscategorieen dat is beveiligd met end-to-end versleuteling stijgt van 15 naar 25, en iCloud-foto's is een van de toevoegingen.
Een opmerking over dat aantal categorieen: Apple's oorspronkelijke aankondiging in december 2022 vermeldde dat de dekking uitbreidde van 14 naar 23 categorieen. Huidige Apple-ondersteuningspagina's vermelden 25. Apple heeft de ADP-dekking uitgebreid sinds de lancering. Dit artikel gebruikt 25 als het huidige getal uit live Apple-ondersteuningsdocumentatie en vermeldt de discrepantie voor de nauwkeurigheid.
Ivan Krstić, Apple's hoofd Security Engineering and Architecture, beschreef het bij de lancering: Advanced Data Protection is Apple's hoogste niveau van cloudgegevensbeveiliging en geeft gebruikers de keuze om het overgrote deel van hun meest gevoelige iCloud-gegevens te beschermen met end-to-end versleuteling, zodat deze alleen op hun vertrouwde apparaten kunnen worden ontsleuteld.
Die beschrijving is nauwkeurig. Met ADP ingeschakeld kan Apple je foto's niet lezen. Ook niet een partij die Apple een rechterlijk bevel bezorgt voor je iCloud-fotogegevens - Apple heeft niets te overhandigen, omdat het de sleutel niet meer heeft. Dit is echte end-to-end versleuteling, hetzelfde model dat beveiligde berichtenapps toepassen op berichten.
ADP is een echte privacyverbetering. Als het ingeschakeld is, wordt iCloud echte end-to-end versleutelde fotoopslag. Als je iCloud gebruikt voor foto's die je privaat wilt houden en je niet in het VK woont, is het inschakelen van ADP de installatieomzet waard.
Wat ADP nog steeds niet beschermt
De dekking is breed maar niet volledig. Drie categorieen vallen buiten end-to-end versleuteling, zelfs als ADP is ingeschakeld.
Mail, Contacten en Agenda. Apple's redenering is interoperabiliteit: deze diensten wisselen gegevens uit met externe systemen - e-mailservers, CalDAV-providers, CardDAV-diensten - en standaardversleuteling is vereist voor die uitwisseling. Apple versleutelt deze gegevens, maar bewaart de sleutels.
Gedeelde albums in Foto's. Een album dat is gedeeld met andere mensen of gepubliceerd met een URL voor 'iedereen met de link' is toegankelijk op het web. Die toegang vereist dat Apple de inhoud kan leveren, wat server-side sleutels vereist. De foto's in je persoonlijke bibliotheek zijn end-to-end versleuteld als ADP is ingeschakeld; dezelfde foto's in een gedeeld album zijn dat niet.
iWork-samenwerking. Realtime bewerking van gedeelde Keynote-, Numbers- en Pages-documenten gaat via Apple's servers voor bemiddeling. Die coordinatie vereist servertoegang tot de inhoud.
Dit is niet Apple dat onzorgvuldig is. Het zijn de architectuurkosten van functies die een server in het midden vereisen. Als je end-to-end versleutelde foto's wilt, houd ze dan buiten Gedeelde albums.
Controleren of ADP is ingeschakeld en hoe je het inschakelt
ADP is standaard niet ingeschakeld. Om te controleren: open Instellingen op je iPhone, tik op je naam bovenaan, tik op iCloud, scrol naar beneden en tik op Advanced Data Protection. Als je 'Advanced Data Protection is ingeschakeld' ziet, is het actief. Als je een prompt ziet om het in te schakelen, is het dat niet.
Het inschakelen vereist twee dingen die Apple zal vragen voordat de schakelaar iets doet: tweefactorauthenticatie op je Apple-account en minimaal een herstelmethode - een herstelcontact (een andere persoon met een Apple-apparaat) of een herstelsleutel (een reeks van 28 tekens die je op een veilige plek bewaart). Dit is verplicht, niet optioneel. Apple kan je niet helpen end-to-end versleutelde gegevens te herstellen als je de toegang verliest, dus je moet je eigen herstelpad instellen voordat ADP wordt ingeschakeld.
Het inschakelen van ADP op een apparaat schakelt het in voor je volledige Apple-account op alle compatibele apparaten. Het is accountbreed. Apparaten moeten iOS 16.2, iPadOS 16.2, macOS 13.1 of later draaien.
De duurzaamheidsvraag: wat er in het VK gebeurde
In februari 2025 verwijderde Apple Advanced Data Protection voor VK-gebruikers. De directe oorzaak was een Technical Capability Notice uitgegeven door het VK Home Office onder de Investigatory Powers Act, die eiste dat Apple toegang zou bieden tot versleutelde gebruikersgegevens opgeslagen in iCloud.
In plaats van een achterdeur te bouwen, trok Apple ADP terug voor het VK. VK-gebruikers die ADP al hadden ingeschakeld, ontvingen op 21 februari 2025 meldingen met de instructie het uit te schakelen of het risico te lopen de toegang tot hun iCloud-accounts te verliezen. Nieuwe VK-gebruikers kunnen ADP helemaal niet inschakelen. De 15 standaard versleutelde categorieen blijven beschermd; alles andere - Foto's, Back-up, Notities en de rest van de 25 ADP-categorieen - keerde terug naar standaard (Apple-bewaart-de-sleutels) versleuteling voor VK-accounts.
De oorspronkelijke notice eiste naar verluidt toegang tot iCloud-gegevens van alle wereldwijde gebruikers. Na aanzienlijke druk van Amerikaanse wetgevers en, volgens berichtgeving in augustus 2025, een verklaring van de Amerikaanse Director of National Intelligence dat het VK de bredere eis had ingetrokken, wijzigde het Home Office de order zodat deze alleen VK-gebruikers betrof. Apple liet daarna zijn juridisch bezwaar tegen de herziene notice vallen. Het Investigatory Powers Tribunal wees het beroep af op 14 oktober 2025, met als reden een 'verandering van omstandigheden.'
Apple's verklaring op dat punt: 'We zijn ernstig teleurgesteld dat de bescherming van ADP niet beschikbaar is voor onze klanten in het VK, gezien de voortdurende toename van datalekken en andere bedreigingen voor de privacy van klanten.'
Per juni 2026 is ADP nog steeds niet beschikbaar voor VK-gebruikers volgens Apple's eigen ondersteuningspagina op support.apple.com/en-gb/122234. Privacy International en Liberty hebben actieve juridische bezwaren tegen de bewakingsorders van het Home Office die doorlopen tot 2026, maar die zaken zijn bedoeld om de orders te betwisten, niet om ADP als nabijgelegen uitkomst te herstellen. Of ADP zal terugkeren naar het VK is een open vraag zonder bevestigd antwoord op het moment van schrijven.
De VK-zaak is relevant voor gebruikers overal om een reden: het is een gedocumenteerd proof of concept. Een overheid kan een platformbrede schakelaar uitschakelen voor de gebruikers van een heel land zonder dat die gebruikers individueel worden aangevallen of op de hoogte gesteld. Het mechanisme - een geheime kennisgeving op grond van een nationale veiligheidswet - is niet uniek voor het VK. De Investigatory Powers Act heeft equivalenten in andere rechtsgebieden. Het punt is niet om te alarmeren; het punt is dat 'het platform belooft end-to-end versleuteling' anders is dan 'het vermogen van het platform om end-to-end versleuteling te leveren is juridisch duurzaam.' Dat zijn twee afzonderlijke beweringen.
Waar Vaultaire past: een andere architectuur
Vaultaire is een andere architectuur, geen vervanging voor alles wat ADP doet.
ADP is platformniveau, accountgebonden en cloudgekoppeld. De gegevens staan nog steeds in iCloud; de innovatie is dat Apple de sleutel niet meer heeft. Je krijgt iCloud's synchronisatie, toegang via meerdere apparaten en back-up, met de sleutelbewaring verplaatst naar je apparaten. Dat is een goede afweging voor de meeste mensen.
Vaultaire is apparaatlocaal. Je foto's gaan standaard niet naar een server. Wanneer je een patroon tekent op het 5x5-raster, genereert dat patroon direct een AES-256-GCM-sleutel. Het is geen wachtwoord dat wordt vergeleken met iets dat ergens is opgeslagen. Er wordt niets geupload. Er is geen account, geen e-mail, geen referentie-opslag. De sleutel bestaat alleen op je apparaat, elke keer dat je het patroon tekent opnieuw afgeleid.
De optionele versleutelde iCloud-back-up werkt als volgt: als je ervoor kiest een kluis te back-uppen, wordt die versleuteld op je apparaat voordat het ooit iCloud bereikt. Apple ontvangt ciphertext die het niet kan lezen, op dezelfde manier als het ciphertext ontvangt van een Berichten-back-up met ADP ingeschakeld. Vaultaire heeft ook geen sleutel voor je back-up. De sleutel is je patroon en alleen jij hebt het.
Dit is wat zero-knowledge versleuteling in de praktijk betekent: de serviceprovider had de sleutel nooit, dus een inbreuk op de provider is geen inbreuk op je gegevens.
Het verschil met ADP is waar de controle ligt. Met ADP en iCloud worden je foto's gesynchroniseerd via je apparaten en zijn ze herstelbaar als je een herstelcontact hebt ingesteld. Dat is handig voor de meeste mensen. Met Vaultaire blijven foto's lokaal tenzij je ze expliciet back-upt, en herstel hangt volledig af van je patroon en je herstelzin. Er is geen cloud-side terugvaloptie.
Geen enkel model is strikt superieur. ADP geeft je echte end-to-end versleuteling plus het gemak van iCloud-synchronisatie en herstel. Vaultaire geeft je accountloze, serverloze versleuteling voor bestanden die je volledig off-platform wilt houden, met optionele versleutelde back-up naar iCloud voor bestanden waarbij alleen-lokaal te kwetsbaar is. Voor privacygevoelige foto's specifiek - documenten, privecorrespondentie opgeslagen als afbeeldingen, alles wat je niet onder een rechterlijk bevel naar boven wilt zien komen - verwijdert het apparaatlocale model de cloud volledig uit het bedreigingsoppervlak.
Je kunt beide gebruiken. De meeste mensen die Vaultaire gebruiken, gebruiken iCloud-foto's nog steeds voor hun dagelijkse bibliotheek, met ADP ingeschakeld.
Gerelateerd:
- End-to-end versleuteling voor foto's, uitgelegd
- Scant Apple Intelligence je foto's?
- Zero-knowledge versleuteling, uitgelegd
- Versleutelde iCloud-back-up: versleuteld voordat het je telefoon verlaat
- Wat het privacybeleid van cloudopslag voor foto's werkelijk zegt
Bronnen
- Apple Support: iCloud data security overview
- Apple Support: How to turn on Advanced Data Protection for iCloud
- Apple Platform Security: Advanced Data Protection for iCloud
- Apple Newsroom: Apple advances user security with powerful new data protections (December 7, 2022)
- Apple Support UK: Apple can no longer offer Advanced Data Protection in the United Kingdom to new users
- Privacy Guides: The UK Government Forced Apple to Remove Advanced Data Protection (February 28, 2025)
- Digit.fyi: Apple backdoor encryption appeal case dismissed (October 2025)
- Privacy International: PI Apple TCN Challenge
Veelgestelde vragen
Zijn iCloud-foto's standaard end-to-end versleuteld?
Nee. Onder standaard gegevensbescherming slaat Apple iCloud-foto's op met versleutelingssleutels die het beheert in zijn eigen datacenters. Apple kan je foto's ontsleutelen wanneer vereist: voor accountherstel en als reactie op geldige rechterlijke bevelen. Slechts 15 iCloud-gegevenscategorieen zijn standaard end-to-end versleuteld; Foto's is daar geen van.
Wat doet Advanced Data Protection eigenlijk met mijn foto's?
Met ADP ingeschakeld sluiten iCloud-foto's aan bij de 25 iCloud-gegevenscategorieen die gebruikmaken van end-to-end versleuteling. Je vertrouwde apparaten bewaren de sleutels, niet Apple. Apple kan je foto's niet lezen, ze niet overdragen als reactie op een rechterlijk bevel voor iCloud-gegevens en ze niet herstellen als je je account verliest. Herstel is jouw verantwoordelijkheid - dat is waarom ADP vereist dat je een herstelcontact of herstelsleutel instelt voordat het wordt geactiveerd.
Kan Apple mijn iCloud-foto's zien?
Onder standaard gegevensbescherming: ja, Apple kan iCloud-foto's inzien en ontsleutelen wanneer vereist. Onder Advanced Data Protection: nee, Apple heeft geen sleutel tot je end-to-end versleutelde gegevens. De 15 standaardcategorieen - inclusief Gezondheid en Sleutelhanger-wachtwoorden - zijn altijd ontoegankelijk voor Apple, ongeacht de ADP-status.
Hoe schakel ik Advanced Data Protection in?
Open Instellingen, tik op je naam, tik op iCloud, scrol naar beneden en tik op Advanced Data Protection. Je hebt tweefactorauthenticatie nodig en minimaal een herstelmethode ingesteld - een herstelcontact of een herstelsleutel. Apparaten moeten iOS 16.2 of later draaien. Het inschakelen op een apparaat activeert het voor je hele Apple-account.
Welke gegevens zijn niet gedekt door Advanced Data Protection?
Mail, Contacten en Agenda zijn niet end-to-end versleuteld, zelfs niet met ADP ingeschakeld, omdat ze gegevens moeten uitwisselen met externe servers. Gedeelde albums in Foto's zijn ook niet end-to-end versleuteld: ze zijn toegankelijk op het web. iWork realtime samenwerkingsdocumenten zijn ook niet gedekt. Alles wat is gedeeld 'met iedereen met de link' valt buiten ADP's bescherming.
Kan de overheid via Apple toegang krijgen tot mijn iCloud-foto's?
Onder standaard gegevensbescherming: ja, een geldig rechterlijk bevel gericht aan Apple kan resulteren in het overdragen van je foto's. Met ADP ingeschakeld heeft Apple geen sleutel om over te dragen. De VK-zaak van februari 2025 toonde aan dat een overheid een platform ook kan dwingen ADP voor een heel land uit te schakelen, waardoor gebruikers van end-to-end bescherming teruggaan naar standaardbescherming zonder hun individuele toestemming.
Wat is een iCloud-fotokluis?
De uitdrukking beschrijft het gebruik van iCloud-foto's als plek om gevoelige foto's op te slaan. Met ADP ingeschakeld functioneren iCloud-foto's als echte end-to-end versleutelde cloudopslag voor foto's. De praktische beperking is dat dit nog steeds accountgebonden is: toegang vereist je Apple-account en de duurzaamheid van de versleuteling hangt af van Apple's vermogen om het te handhaven onder juridische druk in jouw rechtsgebied.
Is er een manier om foto's op te slaan die Apple niet kan inzien?
Ja, twee manieren. Schakel ten eerste Advanced Data Protection in: Apple verliest de sleutel en kan je foto's niet ontsleutelen. Gebruik ten tweede een lokale kluis-app die foto's op je apparaat versleutelt voor eventuele upload - Apple ontvangt ciphertext die het niet kan lezen. Het lokale model verwijdert de cloud volledig uit het bedreigingsoppervlak; ADP houdt je in het iCloud-ecosysteem met sleutelbewaring verplaatst naar je apparaten.