Techniek
Home Assistant Beveiliging: Zo Beveiligt u Uw Smart
Home Assistant beveiliging is een onderwerp dat menig enthousiasteling uitstelt totdat het te laat is. U heeft een P1 meter aangesloten, automatiseringen ingesteld voor uw verwarming en misschien zelfs uw elektrische auto gepland op het goedkoopste stroomuurtje — maar hoe goed is uw installatie beveiligd tegen ongewenste bezoekers van buitenaf? Een slecht beveiligde Home Assistant-installatie biedt hackers niet alleen toegang tot uw domotica, maar mogelijk ook tot uw thuisnetwerk en de apparaten daarop. Dit artikel beschrijft de meest effectieve maatregelen die u in 2026 kunt nemen om uw smart home goed te beschermen.
Waarom Home Assistant beveiliging serieus nemen?
Home Assistant draait op een apparaat in uw woning — doorgaans een Raspberry Pi, een mini-pc of een NAS — en heeft standaard toegang tot vrijwel alles in uw thuisnetwerk. Slimme lampen, sloten, thermostaten, sensoren en energiemeters: ze zijn allemaal bereikbaar vanuit de Home Assistant-interface. Wie onbevoegd toegang krijgt, kan apparaten bedienen, schema’s wijzigen of uw verbruiksgegevens inzien.
Volgens cijfers van het Nationaal Cyber Security Centrum (NCSC) neemt het aantal aanvallen op IoT-apparaten in Nederlandse huishoudens elk jaar toe. In 2025 werden meer dan 340.000 Nederlandse IoT-apparaten aangetroffen in openbare scans van bekende beveiligingsorganisaties — apparaten die zonder goede beveiliging bereikbaar zijn via het internet. Dat zijn deurbellen, thermostaten, slimme stekkers én home automation servers zoals Home Assistant.
Als u al een slimme meter uitleest via de P1-poort of uw energieverbruik realtime monitort, dan heeft uw Home Assistant-installatie toegang tot gevoelige verbruiksdata. Dat maakt beveiliging extra relevant.
De vijf pijlers van Home Assistant beveiliging
Een goed beveiligde Home Assistant-installatie steunt op vijf pijlers: authenticatie, externe toegang, netwerksegmentatie, software-updates en add-on beheer. Hieronder behandelen we elke pijler afzonderlijk.
1. Twee-factor-authenticatie (2FA) inschakelen
De eerste en eenvoudigste maatregel is twee-factor-authenticatie inschakelen op uw Home Assistant-account. Ga naar Profiel → Beveiliging en activeer de TOTP-authenticator (Time-based One-Time Password). Gebruik hiervoor een app zoals Google Authenticator, Aegis (open source, aanbevolen) of Bitwarden Authenticator.
Met 2FA heeft een aanvaller naast uw wachtwoord ook uw telefoon nodig om in te loggen. Dit blokkeert verreweg de meeste geautomatiseerde aanvallen. Stel 2FA in voor elke gebruikersaccount op uw installatie, inclusief eventuele gastaccounts.
2. Externe toegang via VPN in plaats van directe poortopening
Veel gebruikers openen een poort in hun router om Home Assistant van buitenaf bereikbaar te maken. Dit is de meest risicovolle methode. Een open poort is 24 uur per dag zichtbaar voor geautomatiseerde scanners wereldwijd.
De veiligste alternatieve methoden zijn:
- Nabu Casa (Home Assistant Cloud): de officiële cloudoplossing van de Home Assistant-ontwikkelaars. Kosten: €6,50 per maand in 2026. Versleutelde verbinding zonder poortopening. Inkomsten ondersteunen de doorontwikkeling van Home Assistant.
- WireGuard VPN: een moderne, lichtgewicht VPN die u via de WireGuard add-on direct op Home Assistant OS kunt draaien. Toegang tot uw netwerk alleen na VPN-verbinding.
- Tailscale: een mesh-VPN gebaseerd op WireGuard, met gratis tier voor persoonlijk gebruik. Installeerbaar als Home Assistant add-on. Bijzonder gebruiksvriendelijk voor beginners.
- Cloudflare Tunnel: gratis dienst van Cloudflare die een versleutelde tunnel opzet zonder inkomende poorten. Vereist een eigen domeinnaam.
Het NCSC adviseert gebruik van VPN voor beveiligde externe toegang tot thuisnetwerken en bedrijfssystemen. Datzelfde advies geldt voor uw home automation server.
3. Netwerksegmentatie: IoT-apparaten isoleren
Vrijwel alle moderne routers — en zeker routers van Asus, Ubiquiti, TP-Link Omada en Synology — ondersteunen VLAN’s (Virtual Local Area Networks) of een apart IoT-gastnetwerk. Door uw slimme apparaten op een apart netwerksegment te plaatsen, voorkomt u dat een gecompromitteerd apparaat toegang krijgt tot uw laptop, NAS of telefoon.
Een praktische indeling voor een Nederlands huishouden:
| Netwerksegment | Apparaten | Internettoegang |
|---|---|---|
| Hoofdnetwerk | Laptops, telefoons, NAS, Home Assistant server | Ja |
| IoT VLAN | Slimme lampen, stekkers, sensoren, thermostaat | Beperkt (alleen update-servers) |
| Gastnetwerk | Bezoekers, tijdelijke apparaten | Ja, geïsoleerd |
Home Assistant staat op het hoofdnetwerk en communiceert via firewall-regels met het IoT VLAN. Zo blijft de controle centraal, maar zijn de apparaten onderling geïsoleerd. Als u Zigbee-apparaten koppelt aan Home Assistant, hoeven die apparaten helemaal geen eigen internetverbinding: de Zigbee-coördinator communiceert lokaal. Dit is extra veilig.
4. Software en add-ons actueel houden
Home Assistant brengt maandelijks een nieuwe versie uit met bugfixes en beveiligingspatches. Schakel automatische meldingen in via Instellingen → Systeem → Updates en installeer updates binnen enkele dagen na release. In 2025 werden meerdere kwetsbaarheden in oudere Home Assistant-versies gepubliceerd, waaronder een authenticatie-bypass in versie 2024.1 die extern misbruikt kon worden.
Controleer ook regelmatig uw geïnstalleerde add-ons. Verwijder add-ons die u niet meer gebruikt. Installeer uitsluitend add-ons uit de officiële Home Assistant add-on store of bekende, actief onderhouden community-repositories. Controleer bij elke community add-on het GitHub-profiel: wanneer was de laatste commit? Hoeveel sterren en issues zijn er?
5. Sterke wachtwoorden en gebruikersbeheer
Gebruik voor elk Home Assistant-account een uniek, sterk wachtwoord van minimaal 16 tekens. Een wachtwoordmanager zoals Bitwarden (gratis, open source) of 1Password maakt dit behapbaar. Gebruik nooit het wachtwoord van uw e-mailaccount of andere diensten.
Maak geen onnodige gebruikersaccounts aan. Als u Home Assistant deelt met een partner of huisgenoot, geef dan alleen de benodigde rechten. Via Instellingen → Personen kunt u instellen of iemand beheerderrechten heeft of alleen als gewone gebruiker inlogt.
Home Assistant beveiliging controleren met ingebouwde tools
Home Assistant beschikt over een ingebouwde beveiligingschecker. Navigeer naar Instellingen → Systeem → Reparaties. Hier verschijnen waarschuwingen wanneer Home Assistant een potentieel beveiligingsprobleem detecteert, zoals een add-on die met te veel rechten draait of een verouderde integratie.
Aanvullend kunt u de gratis tool ha-checker gebruiken, beschikbaar via HACS (Home Assistant Community Store). Dit script analyseert uw configuratie en geeft een rapport met aandachtspunten.
Voor wie externe toegang heeft ingesteld: controleer uw Home Assistant-logs (Instellingen → Systeem → Logboek) periodiek op mislukte inlogpogingen. Meerdere pogingen vanuit hetzelfde IP-adres wijzen op een brute-force-aanval. De fail2ban-integratie blokkeert automatisch IP-adressen na een configureerbaar aantal mislukte pogingen.
Gebruikt u een Home Assistant energiedashboard om uw verbruik bij te houden? Zorg dan dat dit dashboard niet publiek toegankelijk is zonder inloggen. Controleer dit via Instellingen → Dashboards en zet publieke toegang uit voor gevoelige weergaven.
Back-ups: de vergeten beveiligingsmaatregel
Beveiliging betekent ook: kunnen herstellen na een incident. Home Assistant biedt ingebouwde back-upfunctionaliteit. Stel automatische dagelijkse back-ups in via Instellingen → Systeem → Back-ups. Bewaar back-ups op een externe locatie — niet alleen op de Home Assistant-server zelf.
Handige opties voor off-site back-up opslag:
- Google Drive of OneDrive via de officiële back-up add-on
- Een NAS in uw thuisnetwerk via Samba
- Een Nextcloud-instantie (zelfgehost of gehuurd)
Een volledige Home Assistant-back-up bevat uw configuratie, add-ons, automatiseringen en integraties. Bij een hardware-defect of ransomware-aanval heeft u uw installatie binnen een uur hersteld.
Als u meerdere geautomatiseerde processen draait — zoals uw cv-ketel gekoppeld aan Home Assistant of automatisch laden op dynamische tarieven — is een betrouwbare back-up extra waardevol. Uitval van uw Home Assistant-server door corruptie kan namelijk leiden tot onverwacht gedrag van verwarmingssystemen of laadpalen.
Kosten van een goed beveiligde Home Assistant-installatie
Betere beveiliging hoeft nauwelijks geld te kosten. Hier een overzicht van de gangbare opties in 2026:
| Maatregel | Kosten (2026) | Moeilijkheidsgraad |
|---|---|---|
| 2FA met TOTP-app | Gratis | Laag |
| Tailscale VPN | Gratis (persoonlijk gebruik) | Laag |
| Nabu Casa | €6,50/maand | Laag |
| WireGuard add-on | Gratis | Gemiddeld |
| VLAN-segmentatie (router upgrade) | €60–€200 eenmalig | Hoog |
| Automatische back-ups naar cloud | Gratis (tot opslaglimiet provider) | Laag |
De meeste maatregelen zijn gratis en vergen minder dan een uur insteltijd. VLAN-segmentatie vraagt een router die dit ondersteunt — de standaard provider-router (zoals de Experia Box van KPN of de ConnectBox van Ziggo) ondersteunt dit doorgaans niet. Een eigen router zoals de TP-Link Omada of een UniFi Dream Router biedt volledige VLAN-ondersteuning.
Bent u net begonnen met domotica en zoekt u een kostenefficiënte aanpak? Lees dan ook ons overzicht van goedkope smart home producten voor een slim budget. Goede beveiliging hoeft uw totale investering niet te verhogen.
Aanwezigheidsdetectie en privacy
Aanwezigheidsdetectie is een populaire functie in Home Assistant: de verwarming gaat lager als u het huis verlaat, de verlichting past zich aan op basis van wie er thuis is. Maar aanwezigheidsdetectie verzamelt ook locatiegegevens. Verwerk die data lokaal, niet via cloudservices van derden.
De Home Assistant Companion App (beschikbaar voor iOS en Android) stuurt locatiegegevens rechtstreeks naar uw eigen server. Geen externe partij heeft toegang. Combineer dit met de slimme aanwezigheidsdetectie in Home Assistant op basis van Bluetooth of Wi-Fi-aanwezigheid voor extra privacyvriendelijke tracking binnenshuis.
Vermijd cloudgebaseerde aanwezigheidsdetectie van derde partijen die data opslaan op externe servers. De Autoriteit Persoonsgegevens wijst erop dat locatiegegevens als bijzondere persoonsgegevens gelden en extra bescherming vereisen.
Snelstart: beveiligingschecklist voor Home Assistant
Gebruik onderstaande checklist om uw installatie snel te beoordelen:
- 2FA ingeschakeld voor alle gebruikersaccounts
- Geen open poorten naar Home Assistant in uw router
- Externe toegang via Nabu Casa, Tailscale of WireGuard
- Home Assistant en alle add-ons up-to-date
- Automatische dagelijkse back-ups naar externe locatie
- IoT-apparaten op apart netwerksegment of gastnetwerk
- Sterke, unieke wachtwoorden voor alle accounts
- Logboek periodiek controleren op mislukte inlogpogingen
- Ongebruikte add-ons en integraties verwijderd
- Geen gevoelige dashboards publiek toegankelijk
Hoeveel punten kon u afvinken? Drie of minder? Dan verdient uw installatie dringend aandacht. Zeven of meer? Dan staat u er goed voor. Werkt u ook met automatisch ingeplande wasmachine- en vaatwassercycli op basis van dynamische tarieven, dan is een stabiele en beveiligde Home Assistant-installatie helemaal cruciaal — uitval of manipulatie van uw automatiseringen kan direct gevolgen hebben voor uw energiekosten.
Veelgestelde vragen over Home Assistant beveiliging
Is Home Assistant standaard veilig na installatie?
Home Assistant heeft een redelijke basisbeveiliging: er is geen standaardwachtwoord en externe toegang is niet standaard ingeschakeld. Maar voor gebruik buiten uw thuisnetwerk en bij gevoelige apparatuur zijn aanvullende maatregelen zoals 2FA en VPN noodzakelijk.
Kan ik Home Assistant gebruiken zonder internetverbinding?
Ja. Home Assistant werkt volledig lokaal. Veel integraties — waaronder Zigbee, Z-Wave, P1 meter en lokale Tuya-apparaten — vereisen geen internetverbinding. U heeft internet alleen nodig voor externe toegang, cloudintegraties en updates.
Wat is veiliger: Nabu Casa of een eigen VPN?
Beide zijn veilig mits correct geconfigureerd. Nabu Casa is eenvoudiger voor beginners en wordt beheerd door de Home Assistant-ontwikkelaars. Een eigen WireGuard of Tailscale VPN geeft meer controle en is gratis, maar vraagt iets meer technische kennis.
Hoe herken ik dat mijn Home Assistant-installatie gehackt is?
Signalen zijn onder andere: onverwachte apparaatacties, onbekende inlogpogingen in het logboek, hoog netwerkverkeer van de Home Assistant-server, of plotselinge configuratiewijzigingen. Controleer uw logboek regelmatig en stel meldingen in bij meerdere mislukte inlogpogingen.
Moet ik een aparte router kopen voor VLAN-segmentatie?
Standaard provider-routers zoals de KPN Experia Box of Ziggo ConnectBox ondersteunen geen VLAN’s. Voor VLAN-segmentatie heeft u een eigen router nodig, zoals de TP-Link Omada serie (vanaf circa €60) of een UniFi Dream Router (vanaf circa €200). Dit is een eenmalige investering die ook uw algehele netwerkkwaliteit verbetert.
Hoe vaak moet ik een back-up maken van Home Assistant?
Dagelijks is ideaal. Stel automatische back-ups in en bewaar minimaal zeven dagelijkse back-ups op een externe locatie zoals Google Drive of een NAS. Na grote configuratiewijzigingen of updates maakt u altijd eerst handmatig een back-up.
Redactie Thuisbatterijmagazine
Onafhankelijke redactie
Gratis advies over verduurzamen
Bereken hoeveel jij kunt besparen. Onafhankelijk advies, geen verplichtingen.