De korte versie: iCloud Private Relay is een alleen-voor-Safari, dubbele-hop versleutelde proxy die beschikbaar is voor iCloud+-abonnees. Het verbergt je IP-adres voor de websites die je in Safari bezoekt en voor je internetprovider. Het dekt niet Chrome, Firefox, Brave, Edge of een andere browser. Het dekt geen enkele niet-browser-app — Instagram, TikTok, de YouTube-app, nieuwsapps, smart-tv-apps, games, je e-mailclient. Het blokkeert geen advertenties of trackers, detecteert geen phishing en beschermt je niet op vijandige openbare wifi tegen TLS man-in-the-middle. Het is een betekenisvolle bescherming binnen zijn smalle toepassingsgebied, en dat toepassingsgebied is veel smaller dan de naam doet vermoeden.
Hoe Private Relay werkelijk werkt
Het mechanisme is het slimste onderdeel — en het is de moeite waard om te begrijpen, want het verklaart zowel de sterke punten als de beperkingen.
Wanneer je in Safari een site bezoekt met Private Relay ingeschakeld, verloopt het verzoek via twee afzonderlijke relays:
- De eerste relay (beheerd door Apple) ziet je IP-adres en de versleutelde bestemming. Hij weet wie je bent (vanwege het IP) maar niet waar je naartoe gaat (de bestemming is versleuteld met de sleutel van de tweede relay).
- De tweede relay (beheerd door een derde partij — Cloudflare, Fastly of Akamai in opdracht van Apple) ziet de bestemming en ontsleutelt die, maar weet alleen dat de verbinding afkomstig is van "een Apple Private Relay-gebruiker" — niet welke specifieke gebruiker.
- De doelsite ziet een generiek IP-adres uit een regionaal pool (dat overeenkomt met je globale locatie voor contentlokalisatie, maar niet je specifieke thuisadres).
Deze gesplitste-kennis-architectuur is oprecht elegant — geen van beide relays kan op zijn eentje je identiteit koppelen aan je bestemmingen. Het is een betekenisvolle verbetering ten opzichte van een traditionele VPN, waarbij de VPN-aanbieder beide uiteinden ziet en erop vertrouwd moet worden dat hij niets logt.
Maar de hele architectuur is vastgekoppeld aan de netwerkstack van Safari. Andere apps maken er geen gebruik van.
Wat Private Relay werkelijk dekt
Concreet:
- Surfen via Safari. Elke site die je in Safari laadt, op elk iCloud+-apparaat (iPhone, iPad, Mac), loopt via de relay.
- iCloud Mail in de Mail-app. Tracker-verzoeken die door promotionele e-mails worden geactiveerd, lopen via de relay (dit komt bovenop Mail Privacy Protection, een aparte Apple-functie).
- Onversleuteld (HTTP, niet HTTPS) verkeer van andere apps. De meeste moderne apps gebruiken HTTPS, dus deze categorie is in de praktijk klein. Maar als een app een HTTP-verzoek doet, loopt dat verkeer wel via de relay.
- DNS-query's van Safari. Hostnaam-lookups verlopen via de relay, zodat je internetprovider niet kan zien welke sites je bezoekt.
Dat is de volledige lijst. Alles hieronder valt buiten de dekking.
Wat Private Relay NIET dekt
Andere browsers
Chrome, Firefox, Brave, Edge, Arc, Vivaldi, DuckDuckGo Browser, Opera — elke browser buiten Safari loopt via je normale netwerkverbinding, zichtbaar voor je provider en met zichtbaar IP-adres. De Private Relay-architectuur is ingebouwd in de WebKit-netwerklaag van Safari en is niet beschikbaar voor andere apps. Als je standaardbrowser Chrome is (standaard voor de meeste niet-Safari-gebruikers), ben je daar niet beschermd door Private Relay.
Niet-browser-apps (de grote blinde vlek)
Dit is de kloof die de meeste gebruikers niet kennen. Elke app op je telefoon buiten Safari loopt via je gewone netwerkverbinding. Instagram, TikTok, Twitter/X, de YouTube-app, nieuwsapps, weerapps, games, je e-mailclient, bankier-apps, smart-tv-apps, Slack, Discord, Signal — geen van hen geniet de bescherming van Private Relay.
Waarom dit belangrijk is: de meeste consumentenprivacybedreigingen zitten tegenwoordig niet in de browser. Het zijn ingebedde SDK's in niet-browser-apps (Facebook SDK, Mixpanel, Amplitude, Segment, AppsFlyer) die gedragstelemetrie naar huis sturen. Apps die apparaatvingerafdrukken uitlezen. Apps die contact maken met advertentienetwerken. Private Relay dekt niets hiervan, want niets hiervan gebeurt in Safari. Onze diepgaande analyse van wat iOS App Tracking Transparency niet tegenhoudt behandelt de SDK-trackinglaag specifiek.
Bedreigingsbeveiliging
Private Relay blokkeert nergens advertenties. Safari heeft aparte contentblokkerende extensies (1Blocker, AdGuard for Safari en anderen) die advertenties blokkeren in Safari. De rol van Private Relay is het anonimiseren van je IP en DNS — niet het filteren van content. Zelfs in Safari laden advertenties gewoon (alleen vanuit een geanonimiseerd gezichtspunt).
Tracker-blokkering
Hetzelfde geldt hier. Private Relay weigert trackerhostnamen niet op te lossen en blokkeert trackersverbindingen niet — het routeert ze gewoon anoniem via de relay. De tracker kan nog steeds vuren en data verzamelen; hij kan die data alleen niet koppelen aan je specifieke IP-adres. Safari's ingebouwde Intelligent Tracking Prevention (ITP) doet enige tracker-blokkering op cookieniveau, maar dat staat los van Private Relay en geldt ook niet buiten Safari.
Phishingdetectie
Private Relay beoordeelt bestemmingen niet op phishing- of malwarerisico. Safari heeft een aparte "Waarschuwing voor frauduleuze websites" (gebaseerd op Google Safe Browsing), maar alleen binnen Safari en alleen voor bekende slechte sites — zero-day phishingdomeinen gaan er gewoon doorheen. Phishinglinks die worden geopend vanuit Berichten, Mail, e-mailapps van derden of een berichtenapp openen in een webweergave die al dan niet Safe Browsing-controles krijgt, en zeker geen enkele Private-Relay-gerelateerde bescherming geniet. Onze analyse van phishing-campagnes behandelt de realiteit van sms-phishing.
Bescherming op vijandige openbare wifi (enigszins)
Op een vijandige wifi van een koffiebar of hotel versleutelt Private Relay Safari-verkeer tegen de lokale netwerkbeheerder — die kan niet zien welke sites je in Safari bezoekt. Maar:
- Andere apps op je telefoon (die nog steeds de lokale wifi gebruiken zonder de relay) zijn volledig blootgesteld.
- De lokale netwerkbeheerder kan nog steeds zien dat je Private Relay gebruikt (hij ziet verkeer naar Apple's relay-eindpunten, maar niet de bestemmingen erachter).
- Captive portal-stromen leggen je echte IP nog steeds bloot voordat Private Relay actief wordt.
- Sommige vijandige netwerken blokkeren Private Relay-eindpunten en dwingen verkeer via hun eigen logproxy's — Private Relay degradeert dan naar onversleutelde modus, tenzij de gebruiker dit opmerkt.
Geografisch IP-wisselen voor streaming
Private Relay geeft je een IP uit een regionaal pool dat globaal overeenkomt met je werkelijke locatie — by design, om regionale contentcompatibiliteit te behouden. Het is geen tool om streamingblokkades te omzeilen. Als je UK Netflix vanuit Nederland wilt kijken, is Private Relay het verkeerde product; NordVPN of ExpressVPN of iets vergelijkbaars is het juiste. Private Relay's ontwerp vermijdt expliciet de wapenwedloop rondom streamingomzeiling.
Wanneer Private Relay er toe doet en het waard is om aan te laten staan
Niets van het bovenstaande is kritiek — het is slechts verduidelijking van het toepassingsgebied. Private Relay doet wat het zegt te doen, en binnen dat bereik is het heel goed. Gevallen waarbij het de juiste bescherming biedt:
- Je Safari-browsegedrag mag niet zichtbaar zijn voor je internetprovider. Private Relay realiseert dit op elegante wijze.
- Je wilt niet dat websites je specifieke thuis-IP als vingerafdruk gebruiken. Het regionale-pool-IP is veel moeilijker te gebruiken voor sessie-overschrijdende koppeling dan een statisch residentieel IP.
- Je wilt een privacyverbetering zonder een VPN-aanbieder te hoeven vertrouwen. De gesplitste-relay-architectuur betekent dat zelfs Apple niet beide uiteinden van je browsegedrag kan zien. Dit is een echte vertrouwensverbetering ten opzichte van het kiezen van een VPN.
- Je wilt dat het "gewoon werkt" zonder configuratie. Private Relay staat standaard aan voor iCloud+-abonnees; je hoeft het niet te onthouden in te schakelen of er aandacht aan te besteden.
Laat het in die gevallen aanstaan. Er is geen nadeel aan het uitvoeren ervan.
Wat je nodig hebt naast Private Relay
Voor de rest van het consumentenprivacy-bedreigingsoppervlak — niet-Safari-apps, advertentieblokkering, tracker-blokkering, phishingdetectie, volledige apparaatbeveiliging op vijandige netwerken — heb je iets op de netwerklaag nodig in plaats van de browserlaag. De schone aanpak is een DNS-filterende VPN die elke app op het apparaat dekt, naast Private Relay voor Safari.
Belangrijk: beide zijn prima naast elkaar te gebruiken op iOS. iOS staat één actief VPN-profiel tegelijk toe (Casper of een ander) en Private Relay tegelijkertijd — Private Relay blijft Safari-verkeer via Apple's relays afhandelen terwijl het VPN-profiel al het andere afhandelt. Dit is hetzelfde patroon dat jaren heeft gewerkt met zakelijke VPN's: Safari-op-Private-Relay past naadloos naast andere-apps-op-VPN.
Wat dit concreet betekent: Private Relay dekt Safari, en onze bedreigingsbescherming, tracker-blokkering en AI-bedreigingsbescherming dekken elke app buiten Safari. Het duo dekt ~95% van het consumentenbedreigingsoppervlak; elk afzonderlijk laat aanzienlijke gaten. Onze iOS-platformpagina legt uit wat elke laag opvangt wat de andere niet doet.
Een noot over Apple's bredere privacystack
Apple heeft verschillende afzonderlijke privacyfuncties uitgebracht die vaak door elkaar worden gehaald:
- iCloud Private Relay — Alleen-Safari IP/DNS-anonimisering (het onderwerp van dit artikel)
- App Tracking Transparency (ATT) — de "Vraag app niet te volgen"-prompt, die één specifieke identifier (IDFA) blokkeert maar vingerafdrukken en tracking op SDK-niveau open laat. Gedetailleerde analyse hier.
- Mail Privacy Protection (MPP) — haalt e-mailtrackers-pixels op via Apple-proxy's, ongeacht of je de e-mail hebt geopend, waardoor de meeste e-mail openingsrate-tracking wordt verslagen. Geldt alleen voor Apple Mail, niet Gmail/Outlook/Spark.
- Verberg mijn e-mail — genereert per-service e-mailaliassen. Beschikbaar voor iCloud+-abonnees.
- App Privacy-labels — zelfgerapporteerd in de App Store, nuttig als signaal maar niet gehandhaafd.
- Intelligent Tracking Prevention (ITP) — Safari's tracker-blokkering op cookieniveau. Los van Private Relay.
- App-sandboxing — apps kunnen elkaars gegevens niet lezen zonder toestemming. Dit is platformarchitectuur, geen functie.
Elk doet iets specifieks en nauw omschreven. Geen van hen is een netwerkfilter dat elke app op het apparaat dekt. Dat is de kloof die Casper opvult.
Hoe je controleert of Private Relay überhaupt aan staat
Veel gebruikers hebben iCloud+ maar hebben Private Relay nooit daadwerkelijk ingeschakeld. Verificatie:
- iOS / iPadOS: Instellingen → [Jouw naam] → iCloud → Private Relay. Zet aan indien nog niet ingeschakeld.
- macOS: Systeeminstellingen → [Jouw naam] → iCloud → Private Relay.
- Als je geen iCloud+ hebt, is de optie niet zichtbaar. iCloud+ begint bij dezelfde prijs als het 50GB iCloud-opslagabonnement.
Een subtiel aandachtspunt: sommige providers en zakelijke netwerken vragen Apple om Private Relay uit te schakelen voor gebruikers op hun netwerken. iOS informeert je wanneer dit gebeurt via een banner in Instellingen. Als je die banner ziet, heeft je provider of werkgever je afgemeld — Private Relay staat op die netwerken feitelijk uit.
Conclusie
iCloud Private Relay is een goed ontworpen, nauw omschreven privacyfunctie — alleen-Safari IP- en DNS-anonimisering met een slimme gesplitste-kennis-architectuur. Het is de moeite waard om aan te laten staan. Het is ook veel smaller dan de naam doet vermoeden: het dekt geen andere browsers, dekt geen enkele niet-browser-app, blokkeert geen advertenties of trackers, detecteert geen phishing en biedt geen volledige bescherming tegen vijandige wifi. De kloof tussen "wat Private Relay dekt" en "wat consumentenprivacy in 2026 werkelijk vereist" is de kloof waarvoor ons netwerkfilter is gebouwd.
Als je zowel het Safari-specifieke Private Relay-voordeel wilt als volledige apparaatdekking voor elke andere app op je iPhone of Mac, gebruik ze samen — ze werken naadloos naast elkaar op iOS en macOS.