Dagelijks worden er wereldwijd meer dan 350 miljard e-mails verstuurd — en het overgrote deel daarvan reist onversleuteld of slechts gedeeltelijk beschermd over het internet. Standaard e-mail is vergelijkbaar met een ansichtkaart: iedereen die het bericht onderweg onderschept, kan de inhoud lezen. PGP-encryptie verandert die ansichtkaart in een verzegelde, ondoordringbare kluis die alleen de bedoelde ontvanger kan openen.
In dit artikel leggen we uit wat PGP precies is, hoe het werkt, waarom je het nodig hebt, en welke e-mailproviders het ondersteunen — inclusief alternatieven die eigen end-to-end encryptie (E2EE) of zero-access encryptie bieden.
Wat is PGP-encryptie?
PGP staat voor Pretty Good Privacy en is een encryptiemethode die in 1991 werd ontwikkeld door Phil Zimmermann, een Amerikaanse activist die geloofde dat iedereen recht heeft op vertrouwelijke communicatie. Inmiddels is de open standaard OpenPGP (vastgelegd in RFC 9580) de meest gebruikte standaard voor e-mailversleuteling ter wereld en beschikbaar op alle grote platformen: Windows, macOS, Linux, Android en iOS.
PGP combineert twee vormen van cryptografie om zowel veiligheid als snelheid te garanderen:
- Asymmetrische encryptie (publieke-sleutelcryptografie) — elke gebruiker heeft een sleutelpaar: een publieke sleutel die je vrij deelt, en een privésleutel die alleen jij bezit. Wanneer iemand jou een bericht stuurt, versleutelt diegene het met jouw publieke sleutel. Alleen jouw privésleutel kan het bericht ontcijferen.
- Symmetrische encryptie — voor de eigenlijke berichtinhoud genereert PGP een willekeurige sessiesleutel. Dit is snel en efficiënt. Die sessiesleutel wordt vervolgens versleuteld met de publieke sleutel van de ontvanger en meegestuurd met het bericht.
- Digitale handtekeningen — met je privésleutel kun je een bericht “ondertekenen”. De ontvanger verifieert de handtekening met jouw publieke sleutel, waardoor zeker is dat het bericht echt van jou komt en onderweg niet is gewijzigd.
Het resultaat: alleen jij en de bedoelde ontvanger kunnen het bericht lezen — niet je e-mailprovider, niet je internetprovider, en niet een eventuele aanvaller die het verkeer onderschept.
Hoe werkt PGP in de praktijk?
Het versleutelingsproces van PGP verloopt in een aantal stappen, maar moderne e-mailproviders en -clients verbergen het meeste werk achter de schermen:
- Sleutelpaar aanmaken — je genereert een publieke en een privésleutel. De publieke sleutel deel je (via een sleutelserver, je website, of direct). De privésleutel bewaar je veilig, bij voorkeur beveiligd met een sterk wachtwoord.
- Publieke sleutels uitwisselen — voordat je versleuteld kunt communiceren, moet je de publieke sleutel van je contactpersoon hebben én die persoon de jouwe. Sommige providers automatiseren dit via het Web Key Directory (WKD)-protocol.
- Bericht versleutelen — bij het versturen genereert PGP een willekeurige sessiesleutel, versleutelt de inhoud daarmee, en versleutelt vervolgens die sessiesleutel met de publieke sleutel van de ontvanger.
- Bericht ontsleutelen — de ontvanger gebruikt zijn privésleutel om de sessiesleutel te ontcijferen, en daarmee de inhoud van het bericht.
- Handtekening verifiëren — als de afzender het bericht heeft ondertekend, controleert de ontvanger de digitale handtekening met de publieke sleutel van de afzender.
Belangrijk: PGP versleutelt de inhoud van je bericht en bijlagen, maar niet alle metadata. Afzender, ontvanger, datum/tijd en — bij de meeste implementaties — de onderwerpregel blijven zichtbaar. Volledig anoniem mailen is met PGP alleen niet mogelijk.
Waarom heb je PGP-encryptie nodig?
Er zijn meerdere redenen waarom PGP-encryptie relevant is — niet alleen voor activisten of IT-professionals, maar voor iedereen die waarde hecht aan de vertrouwelijkheid van digitale communicatie.
1. Je e-mailprovider kan meelezen
De meeste grote e-maildiensten — Gmail, Outlook, Yahoo Mail — gebruiken alleen TLS-encryptie. Dat betekent dat je bericht onderweg tussen servers versleuteld is, maar op de server zelf in leesbare vorm wordt opgeslagen. Je provider (en dus potentieel ook overheden of hackers) kan technisch gezien bij je berichten. Bij Yahoo worden e-mails zelfs actief gescand voor advertentiedoeleinden.
2. Bescherming tegen onderschepping
E-mail reist via meerdere servers voordat het bij de ontvanger aankomt. Op elk van die punten kan een bericht worden onderschept. PGP zorgt ervoor dat zelfs als iemand het bericht onderschept, de inhoud onleesbaar blijft — alleen de ontvanger met de juiste privésleutel kan het ontcijferen.
3. Authenticatie en integriteit
Met een digitale PGP-handtekening bewijs je dat het bericht daadwerkelijk van jou afkomstig is en niet is gewijzigd. Dit beschermt tegen phishing en spoofing — aanvallen waarbij iemand zich voordoet als een ander.
4. Compliance en wetgeving
Voor bedrijven en professionals die werken met gevoelige gegevens (denk aan zorg, juridisch, financieel) kan e-mailversleuteling noodzakelijk zijn om te voldoen aan wetgeving zoals de AVG/GDPR en sectorspecifieke regelgeving. PGP biedt een bewezen, open standaard om aan die eisen te voldoen.
5. Onafhankelijkheid van één provider
Omdat OpenPGP een open standaard is, ben je niet gebonden aan één specifieke dienst. Je kunt PGP gebruiken met verschillende e-mailclients en -providers. Dat maakt het een toekomstbestendige keuze — ongeacht welke provider je morgen gebruikt.
PGP vs. TLS vs. E2EE vs. zero-access: wat is het verschil?
E-mailbeveiliging kent verschillende niveaus, en het is essentieel om te begrijpen wat elk niveau wel én niet beschermt:
- TLS (Transport Layer Security) — versleutelt e-mail onderweg tussen servers. De meeste providers ondersteunen dit, maar het beschermt niet tegen de provider zelf. Zodra het bericht aankomt, kan het onversleuteld worden opgeslagen. Gmail, Outlook en Yahoo gebruiken standaard alleen TLS.
- PGP/OpenPGP — een open standaard voor end-to-end encryptie. Het bericht is versleuteld van afzender tot ontvanger. Werkt met sleutelparen en is provider-onafhankelijk. Vereist dat beide partijen PGP gebruiken. Versleutelt inhoud en bijlagen, maar meestal niet de onderwerpregel.
- S/MIME — vergelijkbaar met PGP maar gebaseerd op certificaten van een centrale autoriteit (CA). Wordt vooral in zakelijke omgevingen gebruikt, maar is complexer en duurder om in te richten.
- End-to-end encryptie (E2EE) — een overkoepelend begrip: alleen afzender en ontvanger kunnen het bericht lezen. PGP is een vorm van E2EE, maar sommige providers (zoals Tuta Mail) gebruiken een eigen E2EE-protocol dat meer versleutelt dan PGP (inclusief onderwerpregels en metadata).
- Zero-access encryptie — je e-mail is versleuteld opgeslagen op de server en de provider zelf kan de inhoud niet lezen. Proton Mail en Tuta Mail bieden dit standaard. Dit beschermt je ook als de servers worden gehackt.
E-mailproviders met PGP-ondersteuning
De volgende providers bieden ingebouwde PGP-functionaliteit, waardoor je versleuteld kunt mailen zonder aparte software te installeren:
Proton Mail — PGP + zero-access + E2EE
Proton Mail, gevestigd in Zwitserland, is gebouwd op OpenPGP en combineert dit met zero-access encryptie. Berichten tussen Proton-gebruikers worden automatisch end-to-end versleuteld. Voor ontvangers buiten het Proton-ecosysteem kun je PGP gebruiken (als zij ook een PGP-sleutel hebben) óf een beveiligde link sturen die de ontvanger naar een versleuteld portaal leidt.
Proton ondersteunt daarnaast het Web Key Directory (WKD)-protocol, waarmee publieke sleutels automatisch worden gevonden — ook bij andere providers die WKD ondersteunen. Dat maakt PGP-encryptie een stuk laagdrempeliger dan handmatig sleutels uitwisselen.
- Encryptie: OpenPGP, E2EE (standaard tussen Proton-gebruikers), zero-access encryptie voor alle opgeslagen berichten
- Gratis plan: 1 GB opslag
- Land: Zwitserland
- Eigen domein: ja (betaald plan)
- Extra: Proton VPN, Proton Drive, Proton Calendar, open-source
StartMail — PGP met één klik
StartMail, van het team achter de privacyzoekmachine StartPage, maakt PGP-encryptie toegankelijk voor niet-technische gebruikers. Met één klik versleutel je je berichten — zonder dat je zelf sleutels hoeft te beheren. StartMail is volledig Nederlands en valt onder de AVG.
- Encryptie: PGP (met één klik), optioneel handmatig sleutelbeheer
- Gratis plan: nee
- Land: Nederland
- Eigen domein: ja (afhankelijk van abonnement)
- Extra: onbeperkt aliassen, geen tracking, geen advertenties
Mailfence — PGP + digitale handtekeningen
Mailfence uit België ondersteunt OpenPGP-encryptie en digitale handtekeningen, gecombineerd met samenwerkingstools en documentbeheer. Een sterke optie voor wie PGP wil combineren met productiviteit.
- Encryptie: OpenPGP, E2EE, digitale handtekeningen
- Gratis plan: ja
- Land: België
- Eigen domein: ja (betaald plan)
- Extra: samenwerkingstools, documentauthenticatie, contactbeheer
Mailbox.org — PGP en S/MIME in webmail
Mailbox.org uit Duitsland biedt ingebouwde PGP- en S/MIME-ondersteuning direct in de webmail-interface — zonder dat je aparte plugins of software nodig hebt. De dienst versleutelt inkomende berichten automatisch met je publieke PGP-sleutel als je dit inschakelt, zodat berichten versleuteld op de server worden opgeslagen.
- Encryptie: PGP en S/MIME (ingebouwd in webmail), optionele encryptie at rest
- Gratis plan: nee (vanaf €1/maand)
- Land: Duitsland
- Eigen domein: ja
- Extra: agenda, cloudopslag, documenten, draait op groene energie
Posteo — Betaalbare PGP-optie
Posteo uit Duitsland biedt optionele PGP-encryptie en kan inkomende berichten automatisch versleutelen met je publieke sleutel. Een no-nonsense keuze voor wie eenvoud en betaalbaarheid zoekt.
- Encryptie: optionele PGP, encryptie at rest mogelijk
- Gratis plan: nee (vanaf €1/maand)
- Land: Duitsland
- Eigen domein: nee
- Extra: draait op groene energie, dataminimalisatie
E-mailproviders met eigen E2EE (zonder klassiek PGP)
Niet alle privacygerichte providers gebruiken PGP. Sommige hebben een eigen encryptieprotocol ontwikkeld dat bepaalde beperkingen van PGP omzeilt — zoals het versleutelen van onderwerpregels en meer metadata.
Tuta Mail — Eigen E2EE-protocol met kwantumveilige encryptie
Tuta Mail (voorheen Tutanota) uit Duitsland gebruikt bewust geen PGP, maar een eigen encryptieprotocol. Daardoor kan Tuta méér versleutelen dan PGP-providers: niet alleen de berichtinhoud en bijlagen, maar ook de onderwerpregel, het volledige adresboek en agenda-metadata. Sinds 2024 gebruikt Tuta bovendien een hybride protocol met kwantumveilige algoritmen (ML-KEM), waarmee het als eerste e-maildienst bescherming biedt tegen toekomstige kwantumcomputers.
Naar ontvangers buiten Tuta werkt het met een wachtwoord-beveiligde mailbox — veilig, maar de ontvanger moet het wachtwoord via een ander kanaal ontvangen.
- Encryptie: eigen E2EE-protocol (AES + ECC + ML-KEM), zero-access, géén PGP
- Gratis plan: ja (1 GB)
- Land: Duitsland
- Eigen domein: ja (betaald plan)
- Extra: versleutelde agenda en contacten, geen Google-integraties, open-source, desktop-apps
- Let op: geen IMAP-ondersteuning, alleen toegankelijk via eigen apps
Vergelijkingstabel: encryptie per provider
| Provider | Land | PGP-ondersteuning | E2EE standaard | Zero-access | Onderwerpregel versleuteld | Gratis plan |
|---|---|---|---|---|---|---|
| Proton Mail | Zwitserland | Ja (ingebouwd) | Ja (onderling) | Ja | Nee* | Ja (1 GB) |
| Tuta Mail | Duitsland | Nee (eigen protocol) | Ja (onderling) | Ja | Ja | Ja (1 GB) |
| Mailbox.org | Duitsland | Ja (ingebouwd) | Via PGP | Via PGP | Nee | Nee |
| StartMail | Nederland | Ja (één klik) | Via PGP | Nee | Nee | Nee |
| Mailfence | België | Ja (ingebouwd) | Ja (via PGP) | Nee | Nee | Ja |
| Posteo | Duitsland | Ja (optioneel) | Via PGP | Optioneel | Nee | Nee |
* Proton Mail versleutelt de onderwerpregel momenteel niet via PGP. Dit is een bekende beperking van het OpenPGP-protocol die in toekomstige versies mogelijk wordt opgelost.
De beperkingen van PGP — eerlijk is eerlijk
PGP is krachtig, maar niet perfect. Wees je bewust van deze beperkingen voordat je er volledig op vertrouwt:
- Beide partijen moeten meedoen. PGP-encryptie werkt alleen als zowel de afzender als de ontvanger PGP gebruiken. Stuur je een versleuteld bericht naar iemand zonder PGP, dan wordt het onversleuteld bezorgd (tenzij je een beveiligde link/portaal gebruikt).
- Sleutelbeheer vergt discipline. Je moet publieke sleutels uitwisselen, verificeren en beheren. Bij verlies van je privésleutel verlies je toegang tot al je versleutelde berichten.
- Metadata blijft zichtbaar. Afzender, ontvanger, datum/tijd en bij de meeste implementaties de onderwerpregel worden niet versleuteld. Volledige anonimiteit biedt PGP niet.
- Gebruiksgemak. Hoewel providers als StartMail en Proton Mail PGP sterk vereenvoudigen, blijft het voor minder technische gebruikers complexer dan providers met een eigen E2EE-protocol (zoals Tuta Mail).
- Geen kwantumbestendigheid (nog). De huidige PGP-standaard is niet bestand tegen toekomstige kwantumcomputers. Tuta Mail is momenteel de enige provider die hier al op inspeelt met hybride kwantumveilige encryptie.
PGP of eigen E2EE — wat past bij jou?
De keuze tussen een PGP-provider en een provider met eigen E2EE-protocol hangt af van je situatie:
- Kies PGP als je met diverse contacten communiceert die verschillende e-maildiensten gebruiken, als je een open standaard verkiest boven propriëtaire oplossingen, of als je PGP al gebruikt voor andere doeleinden (zoals bestandsversleuteling of softwareondertekening).
- Kies eigen E2EE als je een zo eenvoudig mogelijke ervaring wilt zonder sleutelbeheer, als je ook onderwerpregels en metadata wilt versleutelen, of als je voornamelijk mailt met mensen die dezelfde dienst gebruiken.
- Combineer beide — providers als Proton Mail en Mailfence bieden zowel automatische E2EE (onderling) als PGP-compatibiliteit (naar buiten). Zo krijg je het beste van twee werelden.
Aan de slag met PGP: praktische tips
- Start met een provider die PGP ingebouwd heeft — bij Proton Mail, StartMail en Mailbox.org hoef je geen aparte software te installeren.
- Maak een back-up van je privésleutel — bewaar deze op een veilige, offline locatie. Verlies van je privésleutel betekent permanent verlies van toegang tot versleutelde berichten.
- Gebruik een sterk wachtwoord voor je privésleutel en schakel tweefactorauthenticatie (2FA) in op je e-mailaccount.
- Deel je publieke sleutel — upload deze naar een sleutelserver of publiceer hem op je website. Hoe makkelijker je contacten je sleutel vinden, hoe meer mensen versleuteld met je zullen mailen.
- Verifieer sleutels — controleer vingerafdrukken (fingerprints) van publieke sleutels via een tweede kanaal (telefoon, persoonlijk) om man-in-the-middle-aanvallen te voorkomen.
- Overweeg een eigen domein — dan kun je later van provider wisselen zonder je e-mailadres te veranderen. Zo blijf je flexibel.
Conclusie
PGP-encryptie is na meer dan dertig jaar nog altijd de meest gebruikte open standaard voor e-mailversleuteling — en met goede reden. Het biedt end-to-end bescherming die onafhankelijk is van je e-mailprovider, is bewezen veilig en wordt breed ondersteund. De technologie is in die drie decennia flink toegankelijker geworden: bij providers als Proton Mail, StartMail en Mailfence is PGP ingebouwd en werkt het met een paar klikken.
Zoek je maximale versleuteling inclusief onderwerpregels en metadata, en wil je zo min mogelijk configureren? Dan is Tuta Mail met zijn eigen kwantumveilige E2EE-protocol een uitstekend alternatief. En wil je het meest complete pakket — PGP naar buiten, automatische E2EE naar binnen, plus zero-access encryptie voor alle opgeslagen mail? Dan is Proton Mail de logische keuze.
Welke optie je ook kiest: elke stap richting versleutelde e-mail is een stap weg van de onveilige standaard. Begin vandaag — probeer een gratis plan en ontdek hoe prettig het is om te weten dat alleen jij en je ontvanger je berichten kunnen lezen.