PrivacyNotes beta

Help & FAQ

Antwoorden en stapsgewijze gidsen: beveiliging, synchronisatie, prijzen en overstappen vanuit andere apps.

// Aan de slag

Kan ik PrivacyNotes proberen zonder een account aan te maken?

Ja. De demo op try.privacynotes.app is de volledige app met voorbeeldinhoud: geen aanmelding, geen e-mail, en niets van wat je typt wordt bewaard. Hij draait volledig in je browser en stuurt nooit iets naar onze servers.

Het tabblad sluiten wist alles, en dat is precies de bedoeling. Ben je klaar om je notities te bewaren, maak dan een echte kluis aan op privacynotes.app. Demo-inhoud gaat niet mee, dus kopieer eerst wat je wilt houden.

Heb ik een e-mailadres nodig om me aan te melden?

Nee. Een nieuwe kluis is een vers gegenereerde herstelzin van 12 woorden, meer niet. Geen e-mail, geen gebruikersnaam, geen telefoonnummer, geen verificatiestap. Meld je je aan met de herstelzin, dan zouden we je niet eens kunnen mailen als we het wilden, want we komen nooit te weten wie je bent.

Heb je liever een vertrouwde manier? Aanmelden met Google, Apple of GitHub kan ook. Die route vertelt ons onvermijdelijk het e-mailadres dat aan je provideraccount hangt, maar je notities blijven hoe dan ook end-to-end versleuteld, en onder de motorkap krijg je nog steeds een herstelzin.

Hoe haal ik mijn notities uit een andere app hierheen?

Open Instellingen > Importeren & exporteren en kies je bron. Er zijn speciale importers voor Apple Notes, Obsidian, Standard Notes, Google Keep, Simplenote, Samsung Notes en Bitwarden (logins, kaarten en beveiligde notities belanden in de Kluis), plus een algemene Markdown-importer voor elke map met .md-bestanden.

Importeren gebeurt volledig op je apparaat: je geëxporteerde bestanden worden gelezen, versleuteld en lokaal opgeslagen, er wordt niets geüpload om te verwerken. Elke geïmporteerde notitie krijgt een tag van zijn bron zodat je de batch achteraf kunt nakijken, en checklists uit Google Keep worden zelfs echte takenlijsten.

Is de editor Markdown-vriendelijk?

Ja. Typ Markdown en het wordt live opgemaakt: # koppen, **vet**, lijsten, - [ ] selectievakjes voor taken, citaten en aandachtsblokken. Notities exporteren ook als nette Markdown, dus wat je schrijft blijft overdraagbaar.

Je kunt notities ook aan elkaar knopen: typ [[ en een autocomplete biedt je bestaande notities aan. Een notitielink opent zijn doel met één klik, en het overzichtspaneel plus zoeken-in-notitie houden lange documenten navigeerbaar.

// Beveiliging & privacy

Wat kan PrivacyNotes zien van mijn notities?

Niets leesbaars. Notities, titels, tags en bijlagen worden op je apparaat versleuteld voordat ze synchroniseren. De server bewaart cijfertekst die hij niet kan ontsleutelen, en er is aan onze kant geen sleutel die daar iets aan verandert.

Wat we wel zien, is het minimum dat nodig is om de dienst te draaien: hoeveel versleutelde opslag je gebruikt, hoeveel apparaten je hebt gekoppeld, en tijdstempels van de synchronisatie. Meld je je aan met een herstelzin in plaats van met Google of Apple, dan kennen we niet eens je e-mailadres.

Waarom een herstelzin in plaats van een gebruikersnaam en wachtwoord?

Het voelt in het begin misschien achterstevoren, maar één herstelzin is de sterkere constructie. Bij een gebruikersnaam en wachtwoord is de gebruikersnaam geen geheim (die duikt op in elk datalek), dus rust alle veiligheid op het wachtwoord, en door mensen gekozen wachtwoorden halen gemiddeld zo'n 30 tot 40 bits entropie. Jouw zin van 12 woorden is gegarandeerd 128 bits, gegenereerd door je apparaat, nooit door een mens gekozen, en nooit hergebruikt van een andere site.

Bovendien valt er bij ons niets te verliezen. Een wachtwoordlogin betekent dat de server minstens een wachtwoordhash bewaart, en die kan lekken, gekraakt of gephisht worden. Jouw herstelzin verlaat je apparaat nooit: hij leidt je encryptiesleutels lokaal af, en de server ziet alleen ooit versleutelde gegevens. Er is geen hash om te stelen en geen wachtwoordherstel dat een aanvaller kan misbruiken.

Voelt het typen van 12 woorden onhandig: je kunt de herstelzin met één tik in je wachtwoordmanager opslaan (Instellingen > Beveiliging > Je herstelzin), en dan voelt aanmelden als elke andere login. Heb je liever een vertrouwde manier? Aanmelden met Google of Apple kan ook, en onder de motorkap krijg je nog steeds een herstelzin.

Kan ik zelf de balans kiezen tussen gemak en privacy?

Ja, met opzet. Niet iedereen verdedigt zich tegen dezelfde dreigingen, dus het accountmodel is een ladder in plaats van één dogma. Elke trede houdt je notities end-to-end versleuteld; wat verandert, is wie de sleutel heeft en wat wij over jou weten.

Het gemakkelijke uiteinde: meld je aan met Google, Apple of GitHub en kies "Houd het simpel" als daarom wordt gevraagd. Wij bewaren je herstelzin voor je, versleuteld op onze server, zodat elk apparaat zich aanmeldt met alleen je provideraccount en er niets is om te bewaren of kwijt te raken. De eerlijke afweging: wij kennen het e-mailadres achter je provideraccount, en een volledig gecompromitteerde server zou de bewaarde sleutel in principe kunnen blootleggen. Is je realistische risico eerder dat je je eigen inloggegevens kwijtraakt dan een gerichte inbraak, dan is dat een verstandige ruil.

Het midden: meld je aan met een provider maar kies "Maximale privacy". Je herstelzin raakt onze servers nooit en de versleuteling is volledig zero-knowledge; nieuwe apparaten hebben de herstelzin nodig of een QR-scan van een apparaat dat al aangemeld is. We kennen dan nog steeds onvermijdelijk je provider-e-mail, maar we zouden geen enkele notitie kunnen lezen, zelfs niet onder dwang.

Het private uiteinde: sla providers helemaal over en gebruik alleen de zin van 12 woorden. Geen e-mail, geen naam, geen identiteit, en in combinatie met een anonieme Pro-aankoop laat zelfs betalen nergens een naam achter. In ruil daarvoor beheer je de sleutel volledig zelf: raak je de herstelzin kwijt zonder aangemeld apparaat, dan kan niemand je helpen.

De ratel draait maar één kant op: je kunt op elk moment van bewaring bij ons naar eigen beheer overstappen (wij verwijderen onze bewaarde kopie van je herstelzin), maar er is geen stille weg terug omlaag. En elke trede kan de lokale lagen erbovenop krijgen: een PIN-slot op de app, biometrisch ontgrendelen, en beveiliging per notitie.

Is een herstelzin van 12 woorden veilig genoeg? Waarom geen 24 woorden zoals bij Bitcoin-wallets?

Ja, 12 woorden is genoeg. Een BIP-39-zin van 12 woorden bevat 128 bits entropie. 128 bits kraken met brute kracht is geen "we hebben een grotere computer nodig"-probleem, het is een "meer energie dan de mensheid produceert"-probleem. Er bestaat geen realistische aanval die 128 bits breekt maar strandt op 256.

De vergelijking met Bitcoin laat juist zien waarom 24 woorden vooral marketing is: Bitcoin-sleutels leven op de secp256k1-curve, die zelf maar zo'n 128 bits veiligheid biedt. Een zin van 24 woorden stopt 256 bits entropie in een slot dat nog steeds maar zo'n 128 bits werk kost om te breken. Daarom staan veel grote wallets standaard nog altijd op 12 woorden.

PrivacyNotes mikt van begin tot eind op datzelfde niveau van 128 bits: je herstelzin gaat door een sleutelafleidingsfunctie, en de versleuteling die hij beschermt (XChaCha20-Poly1305) is daarop afgestemd. 24 woorden zou verdubbelen wat je opschrijft en typt zonder enige praktische veiligheid toe te voegen, dus we zijn niet van plan het aan te bieden.

De eerlijke zwakke plekken van elke herstelzin zijn phishing en waar je het papier bewaart, niet de lengte. Bescherm de herstelzin zelf en 12 woorden overleeft ons allemaal.

Als iemand mijn 12 woorden raadt, kan diegene dan in mijn account?

Kort antwoord: ja. Je herstelzin is de sleutel, dus wie hem heeft kan zich aanmelden, net zoals wie jouw huissleutel heeft je deur kan openen. Dat is met opzet: het is de ene hoofdsleutel tot je notities, en er zit niets zwakkers voor. De echte vraag is dus niet of de herstelzin toegang geeft (dat doet hij), maar of iemand hem zou kunnen raden, en daar is het antwoord nee, niet met een computer die bestaat of die wij kunnen voorzien.

Even over de schaal. Een zin van 12 woorden is één van 2^128 mogelijkheden: ongeveer 340 sextiljoen, een getal van 39 cijfers (3,4 x 10^38). De kans dat iemand die van jou in één keer raadt, is 1 op 340 sextiljoen, kleiner dan vier keer op rij een jackpot van 1 op 300 miljoen winnen. Het als zoektocht aanpakken in plaats van als gokje helpt niet: zelfs bij een miljard miljard pogingen per seconde (10^18, ver voorbij wat echte hardware ooit haalt, inclusief die van staten) zou ze allemaal aflopen zo'n 10 biljoen jaar duren, bijna 800 keer de huidige leeftijd van het heelal. En dat is nog de fantasieversie, want elke echte poging moet door een bewust trage sleutelafleiding heen, en elke online aanval moet langs onze servers, wat het daadwerkelijke raden nog vele ordes van grootte trager maakt. Het is bovendien geen nieuw bedenksel: dezelfde 128-bitsconstructie beveiligt Bitcoin-wallets al ruim tien jaar, en niemand heeft er ooit een geraden.

Het is verleidelijk om de herstelzin voor te stellen als een wachtwoord, waar je hem sterker maakt met hoofdletters, cijfers en symbolen. Zo werkt een herstelzin niet, en je moet er nooit zelf een verzinnen of aanpassen. Je apparaat genereert 128 bits cryptografisch veilige willekeur en codeert die als 12 woorden uit een vaste, openbare lijst van 2048 woorden: die willekeur is de hele sterkte. Het laatste woord bevat zelfs een ingebouwde controlesom, dus een verkeerd getypte of verzonnen herstelzin wordt meteen geweigerd. De volgorde van de woorden telt, hoofdletters niet (die normaliseren we bij het aanmelden), en symbolen toevoegen zou de herstelzin alleen maar ongeldig maken. Typ de woorden precies zoals je ze hebt gekregen.

Waarom is er geen tweefactorauthenticatie (2FA)?

Omdat het een bewuste afweging is, geen omissie. De bekende soort 2FA, een code per sms of een authenticator-app, bestaat om zwakke, door mensen gekozen wachtwoorden te schragen, en leunt op een gedeeld geheim en een herstelroute op een server. Dat is precies het aanvalsoppervlak dat het herstelzinmodel weghaalt: je apparaat bewijst dat het de sleutel heeft door een uitdaging te ondertekenen, dus onze servers krijgen alleen ooit een publieke sleutel en een handtekening, nooit de herstelzin en nooit een wachtwoordhash. Er een code op schroeven zou juist de machinerie op de server terugbrengen die dit ontwerp wil vermijden, zonder iets toe te voegen tegen raden, want 128 bits heeft die deur al gesloten.

Het enige soort tweede factor dat echt iets zou toevoegen, is een phishingbestendige, zoals een hardwaresleutel of een passkey, want de echte resterende risico's zijn niet raden maar phishing, malware, en een herstelzin die gestolen wordt of over je schouder wordt meegelezen. Op een apparaat dat ontgrendeld blijft rondslingeren, zijn het slot op de app (PIN) en biometrisch ontgrendelen het lokale vangnet.

Verder geldt: de herstelzin is de sleutel, dus maak er een back-up van op de dag dat je je account aanmaakt: bewaar hem in een betrouwbare wachtwoordmanager, of print hem of schrijf hem op en berg die kopie veilig op. Plak hem nooit ergens anders in dan in de app zelf.

Gebruiken jullie dezelfde woordenlijst als Bitcoin-wallets (BIP-39)?

Ja, de standaard Engelse BIP-39-woordenlijst: 2048 woorden, exact dezelfde lijst die Bitcoin-wallets gebruiken. We genereren herstelzinnen met @scure/bip39, een gecontroleerde opensource-bibliotheek. Geen eigen woordenlijst en geen zelfgebrouwen crypto.

De lijst is ontworpen om met de hand op te schrijven: de eerste vier letters van elk woord zijn uniek, dus een uitgelopen of afgekort woord blijft ondubbelzinnig, en woorden die op elkaar lijken zijn er bewust uit gelaten.

Omdat het de standaardlijst is, kun je je herstelzin tegen elke openbare BIP-39-referentie controleren, en onze encryptielaag is gepubliceerd als open core zodat je de implementatie zelf kunt nakijken.

Stuurt het zoeken in mijn notities iets naar jullie servers?

Nee. Zoeken gebeurt in een volledige-tekstindex die op je apparaat wordt gebouwd en bewaard. Zoekopdrachten verlaten het nooit, resultaten verschijnen ook zonder enige verbinding, en er wordt nooit iets over waar je naar zoekt verstuurd.

Dit is geen beleidskeuze die we stilletjes zouden kunnen terugdraaien, het volgt uit de architectuur: de server heeft alleen cijfertekst, dus er valt aan onze kant niets leesbaars te indexeren of te doorzoeken. Een server die je notities niet kan lezen, kan ze ook niet doorzoeken.

Gebruikt PrivacyNotes AI op mijn notities?

Nee. Er zitten geen AI-functies in de app, er draait geen AI-verwerking op de achtergrond, en er wordt geen model op je inhoud getraind. Je notities worden versleuteld voordat ze je apparaat verlaten, dus er staat op onze servers niets leesbaars om ergens in te stoppen.

Mochten we ooit iets in die richting uitbrengen, dan zou het volledig op je apparaat moeten draaien en strikt op eigen initiatief aan te zetten zijn. Leesbare notities naar een cloudmodel sturen zou de zero-knowledge belofte breken, dus dat is uitgesloten.

Wat zijn burn-notities?

Een burn-notitie is een manier om een notitie te delen met iemand die PrivacyNotes niet gebruikt, waarbij de notitie zichzelf vernietigt. De app versleutelt de inhoud met een eenmalige sleutel en geeft je een link. De sleutel reist mee in het fragment van de link, dat browsers nooit naar servers sturen, dus onze server bewaart cijfertekst die hij niet kan lezen.

Zodra de link voor het eerst geopend wordt, geeft de server de cijfertekst af en verwijdert hem in dezelfde stap: één keer lezen, en dan is hij weg. Links die niet geopend worden, verlopen vanzelf na 24 uur. Hoe dan ook blijft er niets hangen.

Is PrivacyNotes open source?

De delen die jou beschermen al wel. De encryptiecode, het databaseschema en het dreigingsmodel zijn gepubliceerd als open core, zodat iedereen precies kan controleren hoe je notities beveiligd zijn in plaats van ons op ons woord te geloven.

De apps volgen. Zodra de native apps voor elk platform zijn uitgebracht, maken we de clientcode open source (web, desktop en mobiel). Het ene deel dat gesloten blijft, is de sync-backend, en die bevat nooit iets anders dan versleutelde gegevens die wij niet kunnen lezen. Dat privé houden kost je niets op het vlak van privacy, en het voorkomt dat iemand de hele dienst kloont en ons werk als het zijne verkoopt. Open waar het jou beschermt, gesloten waar het ons beschermt.

// Account & herstel

Ik ben mijn herstelzin kwijt. Kunnen jullie mijn account herstellen?

Ben je nog op een apparaat aangemeld: ja, dan kun je hem zelf terughalen. Open Instellingen > Beveiliging > Je herstelzin en sla hem nu meteen op in je wachtwoordmanager.

Heb je geen aangemeld apparaat en geen herstelzin: nee, en niemand kan dat. Je herstelzin bereikt onze servers nooit, dus er valt niets te resetten en geen supportticket kan helpen. Dit is geen beleid dat we zouden kunnen buigen - het is wat end-to-end versleuteling betekent. Elke dienst die je versleutelde gegevens na een totaal verlies wél kan herstellen, heeft je sleutels in handen.

De oplossing kost tien seconden: bewaar de herstelzin in een wachtwoordmanager op de dag dat je je account aanmaakt.

Ik meld me aan met Google of Apple. Wat als ik de toegang tot dat account verlies?

Je hebt onder de motorkap nog steeds een zin van 12 woorden, en die zin alleen meldt je op elk apparaat aan - Google of Apple is niet nodig. Open Instellingen > Beveiliging > Je herstelzin en sla hem op in je wachtwoordmanager.

Doe dat één keer en het verliezen van je provideraccount kost je niets: meld je gewoon aan met de herstelzin.

Ik ben mijn PIN vergeten. Zijn mijn gegevens weg?

Nee. De PIN is een handig slot tegen meekijkers op je eigen apparaat, geen encryptiesleutel. Je notities zijn versleuteld met sleutels die van je herstelzin zijn afgeleid, en de herstelzin geeft altijd volledige toegang, zonder PIN.

Dat is een bewuste ontwerpkeuze: versleuteling koppelen aan een PIN van 4 cijfers zou betekenen dat een vergeten PIN je gegevens vernietigt. Dat gebeurt hier nooit.

Hoe verwijder ik mijn account?

In de app: Instellingen > ID & synchronisatie, dan "Account & gegevens verwijderen". Dit verwijdert je gesynchroniseerde notities, bestanden, apparaten, instellingen en het account zelf definitief van de server. Er is geen bewaartermijn en geen back-up die we daarna nog zouden kunnen terugzetten, dus exporteer eerst wat je wilt houden (Instellingen > Importeren & exporteren).

Twee details: een lopend opslagabonnement moet worden stopgezet voordat je kunt verwijderen (een abonnement dat al gepland staat om te stoppen, blokkeert het niet), en omdat een herstelzinaccount nooit een e-mailadres of naam bevatte, blijft er geen profiel of mailinglijst over om op te schonen. De lokale gegevens op één apparaat wissen is een aparte actie en raakt je account niet.

// Synchronisatie & apparaten

Wat synchroniseert er precies tussen mijn apparaten, en wat blijft lokaal?

Alles wat je zou verwachten, allemaal op je apparaat versleuteld voordat het synchroniseert: notities, taken, dagboeknotities, je kluis en de versleutelde bestanden erin. Je instellingen reizen mee - favoriete tags, sorteer- en weergavevoorkeuren, kleurenthema, je PIN (als gezouten hash, nooit de PIN zelf), het slot op de app, de opzet van je trackers en medicatie, en het automatisch legen van de prullenbak. Stel het één keer in en elk apparaat pikt het op.

Een paar dingen blijven bewust op het apparaat zelf: lichte of donkere modus (elk apparaat volgt zijn eigen systeemvoorkeur), biometrisch ontgrendelen (gekoppeld aan de hardware van elk apparaat), en of je ontgrendeld bent (de app sluiten vergrendelt altijd opnieuw). De server bewaart alleen ooit versleutelde blobs en kan er niets van lezen.

Werkt PrivacyNotes offline?

Ja. De app is local-first: je notities staan in een database op je apparaat, dus lezen, schrijven en zoeken werken allemaal zonder verbinding. Wijzigingen synchroniseren automatisch zodra je weer online bent.

Wat gebeurt er als ik dezelfde notitie op twee apparaten tegelijk bewerk?

Er wordt niets stilletjes overschreven. Hebben beide apparaten dezelfde notitie gewijzigd terwijl ze los van elkaar stonden (bijvoorbeeld omdat er één offline was), dan merkt de app de botsing op zodra ze weer synchroniseren en toont een conflictvenster: houd de versie op dit apparaat, houd die van het andere, of houd beide als aparte notities.

In het dagelijks gebruik zie je het zelden. Bewerkingen synchroniseren binnen enkele seconden zolang je online bent, en het venster verschijnt alleen als twee versies van dezelfde notitie echt uit elkaar zijn gelopen.

Hoe verwijder ik een apparaat dat ik niet meer gebruik?

Instellingen > Account toont elk geregistreerd apparaat. Verwijder het apparaat waar je mee stopt: de plek komt meteen vrij (handig op het gratis plan met 2 apparaten), en het verwijderde apparaat wordt afgemeld zodra het opnieuw probeert te synchroniseren. Het blijft 72 uur zichtbaar onder "Onlangs verwijderd" zodat je kunt zien dat het echt weg is.

Eén eerlijke kanttekening: verwijderen is op zichzelf geen veiligheidsgrens, want wie jouw herstelzin heeft, kan zich gewoon opnieuw aanmelden. Is een apparaat verloren of gestolen, dan is de herstelzin het ding om te beschermen, en het slot op de app (PIN of biometrie) is wat voorkomt dat een gevonden apparaat een open deur is.

// Je gegevens

Waar worden mijn gegevens opgeslagen?

Eerst op je apparaat - dat is de kopie waar je daadwerkelijk mee werkt. De synckopie staat op servers in Zürich, Zwitserland.

Omdat alles versleuteld wordt voordat het je apparaat verlaat, is de locatie van de server een bonus in plaats van een dragende belofte: de gesynchroniseerde gegevens zouden onleesbaar zijn, waar ze ook stonden.

Kan ik mijn notities exporteren, of zit ik vast?

Je kunt op elk moment alles exporteren, volledig op je eigen apparaat gemaakt: Markdown-bestanden in een zip met bijlagen erbij, een volledige JSON-back-up, of zelfstandige HTML - per notitie of voor je hele account.

Importeren kan ook: haal notities binnen uit Obsidian, Apple Notes, Google Keep, Standard Notes, Simplenote en Samsung Notes. Vastzitten hoort niet bij het verdienmodel.

Welke bestanden kan ik bijvoegen, en hoe groot mogen ze zijn?

Elk bestandstype: afbeeldingen, pdf's, audio, archieven, wat je er ook in sleept. Elk bestand wordt op je apparaat versleuteld voordat het geüpload wordt, net als notitietekst, en de weergave Bestanden verzamelt alle bijlagen op één plek.

De limiet per bestand is 5 MB op het gratis plan en 50 MB op Pro. Bestanden tellen mee voor je totale syncopslag (50 MB gratis, 500 MB op Pro, uit te breiden tot 5,5 GB met opslaguitbreidingen), en de opslagbalk bij Instellingen > Opslag laat altijd zien hoe je ervoor staat.

Wat is de Kluis?

De Kluis is een apart onderdeel voor gestructureerde geheimen: logins met gebruikersnamen en wachtwoorden, creditcards en betaalpassen, en SSH-sleutels. Items krijgen echte velden in plaats van vrije tekst, logins tonen een icoontje van de site, en alles is end-to-end versleuteld, net als de rest van je gegevens.

Het geeft die handvol inloggegevens die anders verspreid over je notities belanden een nette, beschermde plek. Combineer het met het slot op de app en PIN-beveiliging voor een dubbele beveiliging van je gevoeligste items. Een Bitwarden-import belandt hier automatisch.

Hoe lang mag één notitie zijn, en wat betekenen de waarschuwingen over de grootte?

Typ zoveel je wilt - bij normale notities komt de grootte nooit ter sprake. Wordt één notitie heel groot, dan verschijnt er een kleine hint eronder die in drie stappen oploopt: rond 50.000 woorden meldt hij dat de notitie lang wordt en op tragere apparaten kan haperen; rond 75.000 woorden kleurt hij amber, wat betekent dat het bewerken kan gaan stotteren; en rond 100.000 woorden stelt hij voor de notitie te splitsen omdat je de synclimiet nadert. Het zijn richtlijnen, geen harde grenzen, en niets houdt je tegen om door te gaan.

Die synclimiet is het enige echte plafond. Eén notitie kan zo'n 1 MB tekst bevatten zodra hij versleuteld is - heel grofweg 120.000 woorden aan gewone Engelse tekst, en minder bij een niet-Latijns schrift of zware opmaak. Een notitie daarboven blijft werken en blijft veilig op het apparaat waarop je hem schreef, maar die ene notitie synchroniseert niet naar je andere apparaten (je ziet dan een melding "synchroniseren mislukt"). De rest van je notities heeft er geen last van: één te grote notitie blokkeert nooit iets anders.

De oplossing is eenvoudig: splits een heel lange notitie in een paar kleinere. De inhoud is identiek, hij synchroniseert zonder problemen, en de editor blijft snel. Een live woordenteller onder elke notitie laat je de grootte volgen terwijl je schrijft. En als je op het punt stond uit te testen waar de muur staat: dat hoeft nu niet meer.

Wat gebeurt er met mijn notities als PrivacyNotes ermee stopt?

Je verliest niets. De volledige dataset staat al op je apparaat omdat de app local-first is, en exporteren naar Markdown, JSON of HTML werkt volledig offline.

De encryptielaag is bovendien gepubliceerd als open core, dus het formaat blijft onafhankelijk leesbaar, zelfs in een wereld waarin onze servers van de ene op de andere dag verdwijnen.

// Prijzen & Pro

Wat is gratis en wat is Pro?

Gratis is het volledige product, geen voorproefje: end-to-end versleutelde notities, taken, dagboek en kluis, offline gebruik, importeren en exporteren - op maximaal 2 apparaten met 50 MB syncopslag.

Pro is een eenmalige aankoop die daar een onbeperkt aantal apparaten aan toevoegt, plus 500 MB syncopslag (uit te breiden), versiegeschiedenis van notities, grotere bijlagen, notities vergrendelen en met een PIN beveiligen, uitgebreide welzijnsanalyse, zen-modus en alle kleurenthema's.

Hoe kan een eenmalige betaling een syncdienst voor altijd bekostigen?

Omdat de dienst met opzet goedkoop te draaien is. De app is local-first en notities zijn kleine versleutelde blobs, dus de server doet weinig meer dan ze bewaren en tussen je apparaten doorgeven. Geen analyticspijplijn, geen AI-functies die rekenkracht opslurpen, geen supportafdeling.

De enige kostenpost die wél groeit met de tijd is opslag, en die is navenant geprijsd: opslag boven de inbegrepen 500 MB is een kleine jaarlijkse uitbreiding. Eenmalige kosten reken je één keer, terugkerende kosten keren terug. Het model hoeft alleen zichzelf te bedruipen, en dat doet het.

Ik heb Pro op één platform gekocht. Heb ik het nu overal?

Ja. Pro hangt aan je account, niet aan een apparaat, platform of store. Koop het één keer, meld je overal aan met dezelfde herstelzin (of dezelfde Google-, Apple- of GitHub-login), en Pro is daar ook actief.

Dat geldt ook voor platforms die nog niet bestaan: komt er een nieuwe app uit, dan gaat je bestaande Pro zonder extra kosten mee.

Hoe werken opslaguitbreidingen?

Pro bevat 500 MB versleutelde syncopslag. Heb je meer nodig, dan stapelen uitbreidingspakketten daarbovenop: 1 GB voor $4,80 per jaar, 2 GB voor $8,40, of 5 GB voor $18, tot in totaal 5,5 GB. Uitbreidingen zijn de enige terugkerende aankoop in het product, omdat opslag het enige is dat ons elke maand dat je het gebruikt geld kost.

Alles regel je bij Instellingen > Opslag: stap over naar een groter pakket (je betaalt alleen het verschil naar rato) of zet het wanneer je wilt stop en houd de ruimte tot de periode die je betaald hebt afloopt. Pro zelf blijft hoe dan ook voor altijd van jou.

Wat is het terugbetalingsbeleid?

30 dagen, zonder vragen. Is Pro niets voor jou, vraag dan binnen 30 dagen na aankoop een volledige terugbetaling aan en het bedrag gaat terug naar de oorspronkelijke betaalmethode. Klanten in de EU behouden daarnaast hun wettelijke herroepingsrecht van 14 dagen.

Betalingen worden verwerkt door Paddle, onze merchant of record, dus terugbetalingen lopen rechtstreeks via Paddle: beantwoord de e-mail met je aankoopbon of ga naar paddle.net. Het volledige beleid staat in de algemene voorwaarden.

Wat komen jullie over mij te weten als ik betaal?

Minder dan je misschien denkt. Het afrekenen loopt via Paddle, de merchant of record: je naam, kaartnummer en factuuradres gaan naar Paddle voor de betaling en de belasting, en raken onze servers nooit.

Wat ons bereikt, is een bevestiging dat de publieke sleutel van je account nu Pro is, plus het bedrag van de bestelling. De factuurrelatie, inclusief het e-mailadres voor de bon dat je bij het afrekenen invult, blijft bij Paddle. Een account met alleen een herstelzin blijft voor ons dus pseudoniem, zelfs als betalende klant: we weten dát je betaald hebt, niet wie je bent.

Kan ik Pro kopen zonder prijs te geven wie ik ben?

Ja, met twee gangbare hulpmiddelen. Gebruik voor de bon een e-mailalias: Apple Hide My Email, DuckDuckGo Email Protection, SimpleLogin, Firefox Relay en addy.io sturen allemaal door naar je echte inbox zonder die bloot te geven. Gebruik voor de betaling een gemaskeerde kaart: privacy.com genereert in de VS virtuele kaarten die werken met elke naam die je invult, en veel banken en diensten elders (Revolut bijvoorbeeld) bieden wegwerpkaarten die hetzelfde doen.

Bij het afrekenen vraagt Paddle om een e-mailadres, een betaalmethode en een land (plus in sommige regio's een postcode) om de belasting te berekenen. De alias ontvangt de bon, de gemaskeerde kaart draagt de naam die je hem gaf, en de belastinglocatie herleidt je tot een regio, meer niet. Houd de alias wel in leven: de e-mail met de bon is je aankoopbewijs en je kanaal voor een terugbetaling.

Gecombineerd met een herstelzinaccount heeft geen enkele partij het volledige plaatje: je bank ziet een kaartoplading, Paddle ziet een alias en een gemaskeerde kaart, en wij zien alleen dat een publieke sleutel Pro is geworden.

// Apps & platforms

Op welke platforms draait PrivacyNotes?

Vandaag op web, macOS, Windows, Linux en Android, met iOS binnenkort. Elke app is uit dezelfde kern gebouwd met dezelfde end-to-end versleuteling en synchroniseert via hetzelfde account. In de downloadsectie staan altijd de nieuwste versies.

De webapp is volwaardig, geen noodoplossing: hij houdt een volledige lokale kopie van je gegevens bij en werkt offline, dus elke moderne browser is altijd een manier om binnen te komen.

Werkt de Android-app zichzelf bij?

Heb je hem uit de Google Play Store gehaald, dan ja, dan werkt hij zichzelf bij zoals je andere apps. Heb je hem rechtstreeks van onze website gedownload, dan werkt je telefoon hem niet automatisch bij, want zo gaat Android nu eenmaal om met apps die niet uit de Play Store komen.

In plaats daarvan kijkt de app zelf of er een nieuwe versie is en toont hij de melding "Nieuwe versie beschikbaar" zodra er een klaarstaat. Tik erop en de update installeert zich over de oude versie heen, met al je notities en instellingen nog gewoon op hun plek. De controle kijkt alleen of er een nieuwere versie is, hij raakt je notities nooit aan; die blijven de hele tijd versleuteld.

Welke talen spreekt de app?

Engels, Duits, Frans, Italiaans, Spaans, Nederlands, Pools en Portugees, in zowel de Europese als de Braziliaanse variant. De app volgt standaard je systeemtaal, of je zet er op elk apparaat expliciet een vast bij Instellingen > Taal.

Vertalingen zijn gratis voor iedereen, geen Pro-extraatje. Er staan meer talen op de planning; ontbreekt die van jou, laat het ons weten op GitHub of Reddit.