Ga naar hoofdinhoud
50% korting alle plannen, beperkte tijd. Vanaf $2.48/mo
21 min left
Beveiliging en netwerk

De beste vijflaagse zelf-gehoste privacy-stack

J Door Jonas 21 min leestijd
The best five-layer self-hosted privacy stack: WireGuard, Vaultwarden, SearXNG, Nextcloud with Immich, and Mattermost or Rocket.Chat on a VPS you control.

In maart 2025, meldde Krebs on Security dat Amerikaanse federale onderzoekers een cryptodiefstal van $150 miljoen direct hadden gekoppeld aan de LastPass-inbreuk van 2022. Het mechanisme was simpel: sommige klanten bewaarden seed phrases in LastPass Secure Notes, aanvallers verkregen versleutelde kluis-back-ups, en zwakke of oudere kluisbeschermingen lieten sommige kluisinhoud offline kraken.

De les is niet dat LastPass uniek onzorgvuldig was. De les is dat elke inbreuk waarover je leest het te gelde maken is van iemands data terwijl de excuus-e-mail in je inbox zit. Zelf-hosten verandert wie dat met je data kan doen. Het verandert niet het feit dat iemand het altijd kan.

Dit artikel is voor lezers wiens dreigingsmodel commerciële data-blootstelling is, oftewel Big Tech-monetisatie en leverancier-inbreuken, niet surveillance op staatsniveau, hoog-risico-journalistiek, activisme of juridische discovery. De architectuur hieronder is een vijflaagse stack voor dat specifieke dreigingsmodel.

De korte versie

Deze stack heeft vijf lagen. Elke laag verwijdert één veelvoorkomende Big Tech-afhankelijkheid, maar geen ervan maakt je onzichtbaar.

  • Netwerk: WireGuard vervangt een commerciële VPN en beperkt zichtbaarheid voor je ISP of lokale netwerk.
  • Identiteit: Vaultwarden vervangt gehoste wachtwoordmanagers en vermindert blootstelling aan inbreuken aan de leverancierskant.
  • Zoeken: SearXNG vermindert zoekprofilering door zoekopdrachten via je VPS te proxyen en ze buiten je ingelogde zoekaccount te houden.
  • Bestanden en foto's: Nextcloud AIO en Immich vervangen Google Drive en Google Photos, en snijden cloud-contentscanning en cross-product-datakoppeling weg.
  • Teamcommunicatie: Mattermost of Rocket.Chat verplaatsen de teamchat-geschiedenis weg van Slack, Discord of Teams.
  • Belangrijkste limieten: Je VPS-provider kan nog steeds infrastructuurmetadata zien, je ISP kan nog steeds zien dat je verbinding maakt met je server, en deze stack is niet gebouwd voor tegenstanders op staatsniveau.
  • Jurisdictienotitie: EU-hosting versterkt het data-soevereiniteitsargument, maar het is geen magisch schild.

Zelf-hosten verschuift vertrouwen, het verwijdert het niet

Trust-shift diagram: the top half shows data flowing from a user through their ISP to SaaS vendors like Google, Microsoft, and Meta with profile-aggregation arrows; the bottom half shows data flowing from the user through the ISP to a VPS provider and self-hosted services, with the SaaS vendors removed.

Er is een al lang lopend argument op Hacker News, en het is op het eerste gezicht correct: "zelf-hosten op een VPS lost privacy niet op, je vertrouwt gewoon een andere leverancier." Iedereen die een privacy-architectuur ontwerpt zou hier direct mee om moeten gaan in plaats van eromheen. Het eerlijke antwoord is dat de vertrouwensverschuiving asymmetrisch is. Het is niet equivalent.

Begin met wat zelf-hosten vermindert. Het businessmodel van je SaaS-provider is niet langer om je data te ontginnen, want de provider is weg. Blootstelling aan inbreuken aan de leverancierskant verandert van vorm: de kluis van Vaultwarden is client-side versleuteld, maar server-leesbare diensten zoals Nextcloud, Mattermost en Rocket.Chat hebben nog steeds goede hardening, back-ups en toegangscontrole nodig.

De LastPass-les was niet dat kluisversleuteling nooit bestond. Het was dat gestolen versleutelde kluis-back-ups, onversleutelde metadata, oudere KDF-instellingen en zwakke master-wachtwoorden een offline kraakpad creëerden. Gedragsprofilering over diensten heen krimpt ook, want er is minder cross-service-data voor één bedrijf om samen te stellen. Abonnements-lock-in daalt.

Nu, wat zelf-hosten niet elimineert. De hypervisor van je VPS-provider kan in principe het geheugen van je VM lezen. Je VPS-provider ziet je metadata op infrastructuurniveau: met welke IP's je verbinding maakt, wanneer, en hoeveel data er beweegt.

Je ISP ziet nog steeds dat je verbinding maakt met je server. Jurisdictionele juridische verzoeken gelden nog steeds op het niveau van de VPS-provider, en een gerechtelijk bevel is nog steeds een gerechtelijk bevel. Een gecompromitteerde VPS, app, database of beheerdersaccount kan nog steeds data blootleggen.

Het vertrouwensrekenwerk is wat ertoe doet. Een VPS-provider heeft minder commerciële prikkel om je data te ontginnen dan Google of Meta, want de maandelijkse vergoeding is het businessmodel, en je data niet. Een VPS-provider heeft minder geaggregeerde data over jou, namelijk je ene server, niet je zoekgeschiedenis, locatiegeschiedenis en inbox gecombineerd.

In de EU opereert de provider onder de AVG en specifieke contractuele voorwaarden. Niets hiervan maakt een VPS veiliger dan Google in elke dimensie. Het is een ander dreigingsmodel met een ander blootstellingsprofiel, en voor het dreigingsmodel dat dit artikel behandelt, is het een betekenisvolle verbetering.

Er is nog één onderscheid dat de moeite waard is om precies over te zijn. Privacy is "ze weten niet wat ik doe". Anonimiteit is "ze weten niet dat ik het ben die het doet". Zelf-hosten op een commerciële VPS verbetert privacy tegenover SaaS-leveranciers en externe platforms.

Het geeft je geen anonimiteit tegenover je VPS-provider. Als je anonimiteit nodig hebt, gebruik je Tor, geen VPS, en de rest van dit artikel is het verkeerde gereedschap.

Belangrijkste conclusie van deze sectie: Een VPS verschuift je vertrouwen van een SaaS-leverancier wiens businessmodel het te gelde maken van je data is, naar een infrastructuurprovider wiens businessmodel het verkopen van een server is. Voor het dreigingsmodel van de meeste lezers is dat een betekenisvolle verbetering, maar het is geen onzichtbaarheid.

De vijflaagse stack in één oogopslag

The five-layer self-hosted privacy stack at a glance: network, identity, search, files and photos, and communications, each with its recommended app and what it replaces.

Vijf lagen, in deze volgorde ingezet: netwerk, identiteit, zoeken, bestanden, communicatie. Elke pakt een aparte dreiging aan. Je kunt ze gefaseerd inzetten, en je kunt lagen overslaan die niet op jou van toepassing zijn. Het model is nuttiger dan een app-lijst omdat het schaalt met je zorgen in plaats van met het aantal diensten dat op je server draait.

LaagAanbevolen appVervangtBeschermt tegenBeschermt NIET tegenRAM-ondergrens
NetwerkWireGuardCommerciële VPNISP- en lokale-netwerk-waarnemers, aanvallers op publieke Wi-FiVPS-provider die je egress ziet, DNS-lekken tenzij geconfigureerdOnder 100 MB
IdentiteitVaultwardenLastPass, 1Password (gehost)Wachtwoordinbreuken aan de leverancierskant, hergebruik van inloggegevensZwak master-wachtwoord, geen 2FA, phishing, apparaatcompromitteringOnder 200 MB
ZoekenSearXNGGoogle Search, BingZoekopdracht-profilering, advertentietargeting op basis van zoekopdrachtenTracking op sites die je daadwerkelijk bezoekt, browser-fingerprinting~250 MB
Bestanden en foto'sNextcloud AIO + ImmichGoogle Drive, Google PhotosCloud-leverancier-contentscanning, cross-product-datakoppelingVPS-opslagvolumes (versleuteling at rest is jouw verantwoordelijkheid), apparaatkant-compromittering4 GB floor for Nextcloud AIO alone; 8 GB / 4 vCPU safer once Immich ML is enabled
CommunicatieMattermost of Rocket.ChatSlack, Discord (teamgebruik)Berichtarchivering en contentscanning aan de leverancierskantEnd-to-end-versleuteling (deze zijn standaard niet E2EE)Mattermost: 2 GB ondergrens; Rocket.Chat: 4 GB+

Belangrijkste conclusie van deze sectie: Begin met WireGuard, Vaultwarden en SearXNG als je de lichtste privacy-stack wilt. Voeg Nextcloud, Immich en teamchat pas toe nadat je klaar bent voor hoger RAM-gebruik, opslagplanning, back-ups en meer beheerwerk.

Laag 1: de netwerklaag (WireGuard)

Network layer: WireGuard running on a VPS routes a user's traffic so it egresses from the server instead of the home connection, hiding browsing from the ISP and local network.

Het configuratiebestand van WireGuard voor een typische opzet met één gebruiker is twaalf regels. De handshake voltooit in één round trip en gebruikt het Noise protocol framework. De kernelmodule zit sinds 5.6 in mainline Linux, wat betekent dat het protocol dat je in 2026 inzet hetzelfde is dat al jaren geaudit en stabiel is. Dit is de juiste standaard.

Wat deze laag aanpakt: ISP- en lokale-netwerk-waarnemers die anders elk domein zouden zien waarmee je verbinding maakt, aanvallers op publieke Wi-Fi, en je thuis-IP dat wordt blootgesteld aan elke dienst die je bezoekt. Je verkeer gaat uit via je VPS in plaats van vanuit je appartement.

Wat het niet aanpakt: het zicht van je VPS-provider op je verkeers-egress. Zij zien waarmee je VPN-eindpunt verbinding maakt, wanneer, en hoeveel. WireGuard verbergt verkeer voor je ISP. Het verbergt verkeer niet voor de server die de egress bedient.

DNS-lekken zijn ook een apart probleem en worden niet automatisch afgehandeld; je moet je VPN-clients richten op een resolver die je vertrouwt. Draai Unbound op dezelfde VPS, of gebruik een vertrouwde upstream via DoT of DoH. Volledige DNS-laag-advertentieblokkering met Pi-hole is een apart onderwerp en niet het juiste om voor de meeste gebruikers te combineren met een VPN-egress (meer hierover hieronder).

WireGuard versus de alternatieven, kort. OpenVPN werkt nog steeds. De handshake is groter, de metadata-voetafdruk is groter, en de doorvoer is lager. Er is geen reden om het te kiezen voor een nieuwe deployment tenzij je specifiek een functie nodig hebt die WireGuard niet biedt.

Tailscale is een andere tool: het is een zero-config mesh gebouwd op WireGuard en is uitstekend om je eigen zelf-gehoste diensten over machines heen aan elkaar te knopen. Het is niet wat je wilt als privacy-egress naar het internet, want het coördinatievlak wordt gehost door Tailscale.

Let op: het veranderen van de standaardpoort 51820/UDP kan low-effort scans verminderen, maar het laat WireGuard niet lijken op gewoon HTTPS-verkeer en omzeilt geen serieuze filtering. Behandel het als scanvermindering, niet als stealth.

Voor deployment hebben we een stap-voor-stap WireGuard-opzetgids voor Ubuntu die past bij deze architectuur.

Belangrijkste conclusie van deze sectie: WireGuard op je VPS geeft je een private netwerk-egress die je ISP niet kan inspecteren, maar het verbergt je verkeer niet voor de VPS-provider die de egress bedient.

Laag 2: de identiteitslaag (Vaultwarden)

Identity layer: Vaultwarden, a Rust reimplementation of the Bitwarden API, runs on the VPS and serves official Bitwarden clients so the password vault leaves breach-prone vendor infrastructure.

Vaultwarden draait in minder dan 200 MB RAM. Het is een Rust-herimplementatie van de Bitwarden API, compatibel met elke officiële Bitwarden-client (browserextensies, desktop-apps, mobiele apps), en het vereist niet de zware referentie-image van de Bitwarden-server. Voor één gebruiker of een huishouden is dit de juiste maat.

Wat deze laag aanpakt: wachtwoordinbreuken aan de leverancierskant, zoals de LastPass-achtige fout, waarbij kluisinhoud lekte en uiteindelijk offline werd ontsleuteld. Hergebruik van inloggegevens over diensten heen wordt mechanisch moeilijker zodra je een wachtwoordmanager hebt die je daadwerkelijk gebruikt. Aggregatie van identiteitsprofielen over diensten heen daalt, want geen enkele derde partij ziet de lijst.

Wat het niet aanpakt: je eigen OpSec. Een zwak master-wachtwoord, geen 2FA op de kluis, of een succesvolle phishing-aanval op jou verslaat deze laag volledig. Een gecompromitteerd apparaat met een ingelogde browserextensie verslaat het nog vollediger. Vaultwarden is een kluis, geen vervanging voor de basics.

Er is één operationele waarschuwing die meer dan elke andere in deze stack ertoe doet. Je wachtwoordmanager zelf-hosten betekent dat jij verantwoordelijk bent voor back-ups. Een VPS die op het verkeerde moment uitvalt, of een server die je per ongeluk wist, sluit je buiten van elk account dat deze laag beschermt.

XDA Developers heeft dit risico ook direct behandeld, waarschuwend dat een zelf-gehoste wachtwoordmanager je kan buitensluiten van belangrijke accounts als toegang, back-ups of herstelplanning falen.

Waarschuwing: draai geautomatiseerde versleutelde back-ups van de Vaultwarden-datamap. Bewaar een versleutelde offline export, sla herstelcodes apart op, en test herstel op een reserve-apparaat of tijdelijke container. Vertrouw niet op één enkele VPS-back-up. Dit is niet optioneel. Dit is de prijs van het uit de leverancier-infrastructuur halen van de kluis.

Als je later single sign-on centraliseert over meerdere zelf-gehoste diensten, is Authentik de open-source identiteitsprovider waar de meeste mensen uiteindelijk uitkomen. Dat is een geavanceerde laag en valt buiten de scope van de kern-stack.

Voor deployment is onze Vaultwarden zelf-host-gids de deployment-begeleider. Voor een diepere blik op het landschap van wachtwoordmanagers, zie onze gids voor de beste zelf-gehoste wachtwoordmanagers.

Belangrijkste conclusie van deze sectie: Vaultwarden verplaatst je wachtwoordkluis uit inbreukgevoelige leverancier-infrastructuur, maar het legt de back-up- en herstellast bij jou, en die last is reëel.

Laag 3: de zoek- en browselaag (SearXNG)

Search layer: SearXNG on the VPS receives a query, fans it out to upstream engines like Google, Bing, and DuckDuckGo, strips identifying parameters, and returns a unified result page.

Een SearXNG-instantie ontvangt je zoekopdracht, waaiert hem uit naar upstream-engines (Google, Bing, DuckDuckGo, anderen die je inschakelt), strip sommige identificerende parameters, en retourneert een verenigde resultatenpagina.

Je zoekopdrachten bereiken Google, maar ze bereiken Google als zoekopdrachten vanaf je VPS, niet vanaf je ingelogde zoekaccount. Een instantie met één gebruiker creëert geen grote anonimiteitspool, dus upstream-engines kunnen zoekpatronen nog steeds associëren met die VPS-IP.

Wat deze laag aanpakt: zoekopdracht-profilering, gedrags-advertentietargeting gekoppeld aan je ingelogde zoekgeschiedenis, en het lange geheugen van een zoekaccount. Het "waarom zie ik advertenties voor het ding dat ik gisteren zocht"-probleem wordt verminderd op het niveau van het zoekaccount.

Wat het niet aanpakt: tracking door sites waar je daadwerkelijk doorheen klikt. Cookies, fingerprinting en trackers op pagina's van derden zijn een browserkant-probleem, geen zoekkant-probleem. Gebruik een geharde browserconfiguratie om dat aan te pakken.

SearXNG anonimiseert je ook niet tegenover de upstream-zoekmachine als je VPS er alleen je zoekopdrachten naartoe stuurt; geaggregeerd verkeer van een drukke instantie verbergt individuele gebruikers in de ruis, maar een instantie met één gebruiker kan er nog steeds uitzien als het zoekpatroon van één gebruiker.

Whoogle Search is het lichtere alternatief. Het is een Google-front-end, simpeler, en doet één ding. SearXNG aggregeert meerdere engines, wat nuttiger is als je reden om Google te verlaten niet specifiek Google was. Kies op basis van hoeveel bronnen je daadwerkelijk wilt.

Eén operationele notitie voor instanties met één gebruiker. SearXNG stuurt zoekopdrachten door naar upstream-engines, en Google kan verdachte verkeerspatronen rate-limiten. Een enkele gebruiker raakt dit zelden. Een kleine publieke instantie zou kunnen. Als zoekopdrachten beginnen te falen, verlaag dan het aantal upstream-engines, stem de limiter-instellingen van SearXNG af, of leun meer op minder vijandige upstream-engines.

Belangrijkste conclusie van deze sectie: SearXNG proxyt je zoekopdrachten via je VPS en houdt ze buiten je ingelogde zoekaccount. Het vermindert directe zoekprofilering, maar een private instantie met één gebruiker creëert geen grote anonimiteitspool.

Laag 4: de bestanden- en fotolaag (Nextcloud AIO + Immich)

Files and photos layer: Nextcloud AIO provides file sync, calendar, and contacts while Immich handles photos with timeline view and on-server facial recognition, replacing Google Drive and Google Photos.

Nextcloud AIO is de all-in-one Docker-deployment van Nextcloud en is het pad van de minste weerstand naar een werkende bestandssync-, agenda-, contacten- en documentsamenwerkingsserver.

Immich is de fotopendant: tijdlijnweergave, mobiele auto-upload vanaf iOS en Android, Google Photos-achtige gezichtsherkenning verwerkt op je eigen server of gekozen ML-host, en een eerlijke communityconsensus dat het de meest bruikbare Google Photos-vervanging is die momenteel wordt uitgebracht.

Dit zijn geen lichtgewicht applicaties. Nextcloud AIO moet worden behandeld als een basislijn van 4 GB / 2 vCPU; de machine learning, thumbnailgeneratie en eerste bibliotheekscan van Immich zullen gebruiken wat je geeft.

Wat deze laag aanpakt: cloud-opslag-leverancierscanning, foto-contentherkenning, en cloudkant-verwerking die een gevoelige persoonlijke bibliotheek binnen een leveranciersaccount houdt, en datacentralisatie op accountniveau die bestanden, foto's, zoekopdrachten, locatiegeschiedenis en identiteitssignalen onder één bedrijfsaccount houdt.

Dit vervangen door een server die jij beheert doorbreekt die centralisatie.

Wat het niet aanpakt: de bytes leven nog steeds op een opslagvolume dat je VPS-provider bedient. Versleuteling at rest is jouw verantwoordelijkheid, standaard niet die van hen. Apparaatkant-compromittering is een apart probleem; als je telefoon geroot is, is de Nextcloud-client erop blootgesteld ongeacht waar de server leeft.

Als je enige behoefte is "houd deze mappen gesynchroniseerd tussen mijn apparaten", dan is Syncthing de simpelere tool. Het is peer-to-peer, heeft geen server ertussen, en doet die ene klus goed. Het is geen vervanging voor de agenda-, contacten- en samenwerkingsfuncties die Nextcloud biedt; het is een vervanging voor de bestandssync-subset.

Voor Immich specifiek doet één praktische dimensioneringsregel ertoe. Nextcloud AIO moet worden behandeld als een basislijn van 4 GB / 2 vCPU. Immich is geen lichte foto-sidecar zodra machine learning, thumbnails en een eerste bibliotheekscan in beeld komen. Plan rond 6-8 GB RAM voor Immich-zware opzetten, vooral tijdens migratie.

Voor deployment hebben we een Nextcloud vs ownCloud-vergelijking voor gebruikers die nog steeds tussen de twee kiezen, en een breder overzicht van zelf-gehoste cloudplatforms met een web-UI als je het vakgebied verkent.

Belangrijkste conclusie van deze sectie: Nextcloud en Immich kunnen bestanden en foto's uit Google-achtige cloudaccounts halen, maar ze zijn de eerste laag in deze stack die serieus RAM, opslag, back-upplanning en migratiegeduld nodig heeft.

Laag 5: de communicatielaag (Mattermost of Rocket.Chat)

Communications layer: a self-hosted Mattermost or Rocket.Chat server keeps a team's chat history off Slack, Discord, and Microsoft Teams, with the server admin in control instead of a SaaS vendor.

Slack-werkruimtes zijn doorzoekbaar door Slack. Discord scant content op ToS-overtredingen. Microsoft Teams bewaart chatrecords onder het beleid van je tenant, wat beleid is dat je IT-organisatie kan zien.

Voor team- of familiechat die niet op een van die plekken zou moeten leven, is een zelf-gehoste Mattermost of Rocket.Chat het standaardantwoord. Deze laag gaat over het uit SaaS houden van teamarchieven, niet over privé end-to-end-chat.

Wat deze laag aanpakt: berichtarchivering aan de leverancierskant, contentscanning aan de leverancierskant, en het verlies van toegang dat gebeurt wanneer de leverancier besluit dat je account een probleem is. De berichtgeschiedenis van je team staat op jouw server.

Wat het niet aanpakt, en dit doet ertoe: end-to-end-versleuteling. Mattermost en Rocket.Chat zijn standaard niet E2EE. De serverbeheerder kan berichten lezen. De serverbeheerder ben nu jij, wat beter is dan dat het de werknemers van een SaaS-leverancier zijn, maar het principe doet nog steeds ertoe voor het dreigingsmodel van je team.

Voor één-op-één veilige berichtgeving is Signal het juiste antwoord, geen zelf-gehoste server. Als de communicatielaag standaard E2EE moet zijn, kijk dan naar Matrix/Element of gebruik in plaats daarvan Signal voor persoonlijke chats. Zelf-hosten lost teamberichten op zonder leverancier; het vervangt Signal niet voor persoonlijke dreigingsmodellen.

Mattermost versus Rocket.Chat. Beide zijn geldig. Mattermost is strakker, meer enterprise-gevormd, en heeft minder optionele functies standaard ingeschakeld. Rocket.Chat is breder, integreert meer kanaaltypes, en heeft een groter plugin-ecosysteem. Beide zijn prima voor het typische privacy-stack-gebruiksgeval van een klein team of familiechat.

Kanttekening voor 2026: Controleer de exacte gratis editie voordat je Mattermost inzet. Mattermost Entry heeft een geschiedenislimiet van 10.000 berichten, terwijl Team Edition die limiet vermijdt maar zijn eigen limieten heeft. Voor Rocket.Chat budgetteer je meer dan een kleine VPS van 1 GB omdat MongoDB, uploads en integraties overhead toevoegen.

Belangrijkste conclusie van deze sectie: Een zelf-gehoste Mattermost of Rocket.Chat verwijdert het chatarchief van je team van een SaaS-leverancier, maar als je echte end-to-end-versleuteling tussen twee mensen nodig hebt, is Signal nog steeds het juiste gereedschap.

Wat je NIET moet zelf-hosten (en waarom)

Sommige dingen die eruitzien alsof ze in een privacy-stack thuishoren, doen dat niet. Ze opsommen is deel van het bouwen van een stack die het vertrouwen waard is.

E-mail. Zelf-host geen e-mail als je niet al een ervaren Linux-operator bent die dat specifiek wil. PrivacyGuides heeft hier een duidelijk en bekend standpunt over, en het is het juiste: alleen gevorderde gebruikers zouden hun eigen mailserver moeten draaien. De redenen zijn geen technische nieuwsgierigheid. SPF, DKIM en DMARC moeten geconfigureerd en correct gehouden worden.

IP-reputatie moet verdiend en onderhouden worden. Spamfiltering is een permanente staat van zaken. Het deliverability-gevecht met Gmail is geen opzetstap; het is een doorlopende conditie. Voor iedereen anders is een beheerde privacy-respecterende provider echt het juiste antwoord voor deze laag.

Proton Mail, Tuta (voorheen Tutanota) en Mailbox.org zijn allemaal goede keuzes. Dit is een harde regel van dit artikel: zelf-host geen e-mail voor algemene-doelgroep-privacy.

Pi-hole als de primaire DNS-resolver van je thuisnetwerk, op een VPS. Pi-hole is geweldig. Het op een VPS zetten als de recursieve resolver voor het hele internet van je huishouden is een single point of failure die het internet breekt voor iedereen in huis wanneer de VPS hapert. Pi-hole hoort op een Raspberry Pi thuis. Het is geen deel van deze stack.

Gefedereerde sociale media. Mastodon, Pleroma en de rest zijn interessant en aanverwant. Adoptie is de belangrijkste beperking, niet privacy. Ze zijn het juiste antwoord voor sommige mensen, maar niet kern voor een privacy-stack die gericht is op het van Big Tech-servers afhalen van je eigen data.

Anonimiteitstools. Tor, I2P, mixnets. Ander dreigingsmodel, ander artikel. Als je ze nodig hebt, weet je dat al.

De samenvatting: Proton Mail of een gelijke is een beheerd alternatief voor één specifieke laag, en dat erkennen is deel van een stack die het gebruiken waard is. Zelf-hosten helpt waar die providers de volledige workflow niet dekken: foto's, zoeken, aangepaste analytics, en teamchat. Voor algemene-doelgroep-privacy is e-mail de ene laag die deze stack zou moeten uitbesteden.

Belangrijkste conclusie van deze sectie: De meeste gebruikers zouden geen e-mail moeten zelf-hosten. Een privacy-respecterende beheerde provider zoals Proton Mail is echt het betere antwoord voor die ene laag, en dat erkennen is deel van het bouwen van een betrouwbare stack.

Waar het te draaien: VPS-dimensionering en jurisdictie

VPS sizing for the privacy stack: a minimum stack of WireGuard, Vaultwarden, and SearXNG runs on a small VPS, while adding Nextcloud and then Immich raises the RAM and vCPU floor.

De dimensioneringsvraag is niet abstract. Deze stack heeft drie praktische vormen: de lichte privacy-kern, de bestandenlaag, en de fotozware versie die Immich machine learning in de mix brengt. De sprong van de ene naar de volgende is niet cosmetisch. Bestanden, thumbnails, gezichtsherkenning en eerste-bibliotheek-migratie zijn wat een kleine VPS in een echt serverbudget veranderen.

Deployment-vormInbegrepen appsRealistische VPS-ondergrens
Minimaal levensvatbare stackWireGuard, Vaultwarden, SearXNG2 GB RAM / 1 vCPU
Nextcloud-basislijnWireGuard, Vaultwarden, SearXNG, Nextcloud AIO4 GB RAM / 2 vCPU
Bestanden- en fotostackWireGuard, Vaultwarden, SearXNG, Nextcloud AIO, Immich8 GB RAM / 4 vCPU
Opslag- en back-upnotitieVooral Nextcloud en ImmichNVMe-opslag + off-server back-ups

Lees de tabel zo:

  • Minimale stack dekt de drie lagen met het hoogste rendement: netwerk, identiteit en zoeken.
  • Nextcloud-basislijn heeft meer ruimte nodig omdat PHP, databasewerk, bestandsindexering, sync-taken en de web-UI allemaal samen draaien.
  • Bestanden- en fotostack heeft een groter budget nodig omdat Immich machine learning, thumbnails, gezichtsherkenning en de eerste fotobibliotheek-scan de server hard kunnen raken tijdens migratie.
  • Opslag doet ertoe omdat compute slechts de helft van het plan is. Bestanden en foto's hebben ruimte nodig om te groeien, back-ups weg van de VPS, en een herstelpad dat nog steeds werkt als de server weg is.

Dan is er jurisdictie. In juni 2025, getuigde Microsoft tegenover het Franse parlement dat het niet kon garanderen dat in de EU gehoste data beschermd zou zijn tegen Amerikaanse juridische toegang. Die getuigenis verplaatste het data-soevereiniteitsargument uit de theorie en in het reguliere beleidsdebat.

Voor gebruikers die data-soevereiniteit prioriteren doen bedrijfsjurisdictie, datacenterlocatie, contracten, versleutelingsmodel en back-uplocatie er allemaal toe.

If CLOUD Act blootstelling is deel van de zorg, behandel een EU-datacenter alleen niet als het volledige antwoord. Een niet-Amerikaans gevestigde provider met een Europese regio past schoner dan de EU-regio van een Amerikaans gevestigde hyperscaler, maar dat maakt de data nog steeds niet juridisch onaantastbaar.

De kanttekening: Jurisdictie is wrijving, geen onkwetsbaarheid. Een Duits gerechtelijk bevel is nog steeds een gerechtelijk bevel. Een Nederlands ook. En een Zwitsers juridisch verzoek ook. Europese hosting kan sommige directe blootstelling aan Amerikaans gevestigde cloudproviders verminderen en lokaal juridisch proces toevoegen, maar het maakt data niet juridisch onaantastbaar.

Voor het dreigingsmodel van de meeste lezers is de toegevoegde wrijving nuttig. Het is geen magisch schild.

Belangrijkste conclusie van deze sectie: De lichte stack kan op een kleine VPS draaien, maar bestanden en foto's veranderen het budget. Gebruik 4 GB / 2 vCPU als Nextcloud-alleen-basislijn, en plan dichter bij 8 GB / 4 vCPU voor een fotozware Immich-opzet. Cloudzy Marketplace verlaagt de opzetinspanning voor de kern-apps, terwijl jurisdictie juridische wrijving toevoegt, geen onzichtbaarheid.

Hoe de stack in te zetten zonder de opzet in het project te veranderen

Je kunt elke laag handmatig bouwen. Dat is prima als het opzetwerk deel van de aantrekkingskracht is. Voor de meeste lezers is het dat niet. Het punt van deze stack is om weg te komen van de datazwaartekracht van Big Tech, niet om een week te besteden aan het debuggen van Docker, poorten, DNS en servicebestanden voordat de eerste app überhaupt draait.

Het pad met minder wrijving is om te beginnen vanaf een werkende VPS-image en van daaruit te harden. Cloudzy Marketplace bevat één-klik VPS-images voor WireGuard, Vaultwarden, SearXNG, Nextcloud AIO en andere zelf-gehoste tools, zodat de basis-deployment niet het deel is dat het weekend opslokt.

Het werk dat nog steeds ertoe doet is het werk dat geen marketplace voor je kan doen: DNS, firewallregels, back-ups, toegangscontroles, updates en hersteltests.

De server eronder doet ook nog steeds ertoe. Deze stack is opslag, netwerk, regiokeuze en ruimte, niet alleen app-namen in een tabel. Cloudzy geeft je NVMe-ondersteunde VPS-infrastructuur, volledige root-toegang, 13 regio's, 40 Gbps-netwerk, 99,95% uptime, en een 14-daagse niet-goed-geld-terug-periode.

Begin klein voor WireGuard, Vaultwarden en SearXNG. Schaal omhoog voor Nextcloud. Plan serieuzer voor Immich zodra machine learning, thumbnails en fotomigratie in beeld komen.

Hoe te beginnen

Vijf lagen, elk gericht op een specifieke dreiging. Geen ervan claimt je onzichtbaar te maken. Allemaal verminderen ze specifieke commerciële data-blootstelling die je momenteel standaard accepteert.

Kies de ene laag die je meest concrete huidige pijn aanpakt. Als je ooit een inbreuk-notificatie-e-mail hebt geopend, dan is dat de identiteitslaag. Als je advertenties hebt opgemerkt die je volgen over sites die je nooit hebt bezocht, dan is dat de zoeklaag. Zet die in. De architectuur schaalt. De beslissing om te beginnen hoeft dat niet.

De opzet van elke afzonderlijke laag duurt hooguit een weekend. De configuratiebestanden zijn kort. Er is geen reden dat het ingewikkelder zou moeten zijn dan dit.

Veelgestelde vragen

Beschermt zelf-hosten op een VPS echt mijn privacy, of vertrouw ik gewoon een andere leverancier?

Ja, voor dit dreigingsmodel. Het verschuift vertrouwen van SaaS-leveranciers die gebruikersdata te gelde maken naar een VPS-provider die infrastructuur verkoopt. Dat vermindert commerciële blootstelling en cross-service-profilering, maar het verbergt geen VPS-metadata, ISP-verbindingsrecords, gecompromitteerde apparaten of surveillance op staatsniveau.

Wat is de minimale zelf-gehoste privacy-stack waarmee ik zou moeten beginnen?

Begin met WireGuard, Vaultwarden en SearXNG. Die dekken netwerkzichtbaarheid, inbreukrisico bij wachtwoordleveranciers, en ingelogde zoekprofilering op een VPS met 2 GB RAM. Voeg Nextcloud later toe; voeg Immich pas toe nadat je meer RAM, opslag en back-updiscipline hebt.

Is hosten in Frankfurt of Amsterdam echt beter voor privacy dan de VS?

Europese regio's kunnen sommige directe blootstelling aan Amerikaans gevestigde providers verminderen, maar ze maken data niet juridisch onaantastbaar. Bedrijfsjurisdictie, datacenterlocatie, contracten, versleuteling en back-uplocatie doen er allemaal toe. Duitse, Nederlandse of Zwitserse juridische verzoeken kunnen nog steeds van toepassing zijn.

Moet ik mijn e-mail zelf-hosten voor privacy?

Voor bijna iedereen, nee. E-mail zelf-hosten vereist SPF, DKIM, DMARC, IP-reputatie, spamfiltering en constant deliverability-werk. Gebruik een beheerde privacy-provider zoals Proton Mail, Tuta of Mailbox.org. PrivacyGuides beveelt zelf-gehoste e-mail alleen aan voor gevorderde gebruikers.

Waar beschermt WireGuard me eigenlijk tegen?

WireGuard routeert verkeer via je VPS, en beperkt wat je ISP en lokale netwerk kunnen zien. Het verbergt egress-verkeer niet voor de VPS-provider. Zij kunnen nog steeds verbindingsmetadata, bestemmings-IP's, timing en volume zien. Het is privacy tegenover je ISP, geen onzichtbaarheid.

Delen

Meer van de blog

Blijf lezen.

Klaar om uit te rollen? Vanaf $2,48/mnd.

Onafhankelijke cloud, sinds 2008. AMD EPYC, NVMe, 40 Gbps. 14 dagen niet-goed-geld-terug.