Domotica hub end-to-end encryptie Z-Wave S2

Portret van Bas Martens, domotica specialist voor smart home hubs
Bas Martens
Smart home en domotica specialist
Domotica Hub Beveiliging · 2026-02-15 · 6 min leestijd

Je koopt een slim slot, een bewegingssensor of een slimme thermostaat. Je sluit ze aan op je domotica hub, zoals een Homey Pro of een Home Assistant opstelling. Klaar? Niet helemaal. Stel je voor dat een buurman met een goedkope radio-ontvanger zo je deur kan openen of in je woonkamer kan kijken. Dat is geen sciencefiction. Het gebeurt als je geen beveiliging gebruikt. Z-Wave S2 is de oplossing. Het is de superslot voor je draadloze domotica.

Zonder encryptie is een Z-Wave signaal net als een openbare radio-uitzending. Iedereen kan het opvangen en begrijpen. Z-Wave S2 is een beveiligingsprotocol. Het maakt je communicatie tussen je hub en je apparaat onleesbaar voor anderen. Denk aan end-to-end encryptie, maar dan voor je slimme huis. Alleen jouw hub en jouw apparaat hebben de sleutel.

Wat is Z-Wave S2 precies?

Z-Wave S2 is de derde generatie beveiliging voor het Z-Wave protocol. Het is een standaard die sinds 2017 in nieuwe producten zit. Het vervangt de oudere S0-beveiliging, die niet meer voldoet. S2 maakt gebruik van moderne cryptografie. Dit klinkt ingewikkeld, maar het komt op hetzelfde neer: je data is supergoed beschermd.

Er zijn drie hoofdcategorieën in S2. De meeste gebruikers hebben alleen met de eerste twee te maken. Ze bepalen hoe de 'sleutel' wordt uitgewisseld.

  • S2 Access Control: Dit is voor de belangrijkste beveiliging. Denk aan slimme sloten en garagedeur-openers. De beveiliging is op het hoogste niveau.
  • S2 Authenticated: Voor de meeste andere apparaten. Denk aan lampen, stopcontacten en sensoren. Je moet nog steeds een code invoeren, maar het is iets minder strikt dan bij sloten.
  • S2 Unauthenticated: Dit bestaat nog voor backward compatibility, maar wil je niet gebruiken. Het is niet veilig genoeg.

Waarom is die encryptie zo belangrijk?

Stel je voor dat je een goedkope, niet-gecodeerde deurbel koopt. Iemand met een software-defined radio (SDR) en de juiste software kan het signaal opvangen. Hij ziet wanneer er iemand aanbelt. Met oude Z-Wave S0 sloten kon een hacker het signaal afluisteren en de code hergebruiken. Dat heet een 'replay attack'. Met S2 is dat onmogelijk. Elke boodschap is uniek en versleuteld.

Het gaat niet alleen om inbraak. Stel je voor dat een kwaadwillende je slimme stopcontact overneemt. Hij kan je wasmachine aan- en uitzetten. Of erger, hij kan je verlichting op hol brengen. Met S2 is elke communicatie beveiligd. Alleen jij, via je hub, geeft de opdrachten. Het voorkomt dat vreemden je huis overnemen. Het is de basis van een veilig slim huis.

Hoe werkt Z-Wave S2 in de praktijk?

De werking is gebaseerd op een veilige uitwisseling van een 'sleutel'. Dit proces heet inclusion. Als je een nieuw apparaat toevoegt aan je Homey Pro of Home Assistant, moet je het apparaat in inclusion-modus zetten. Je hub stuurt dan een verzoek om te koppelen. Hier begint de veiligheid.

Je krijgt een 5-cijferige DSK-code (Device Specific Key) te zien. Dit staat vaak op het apparaat zelf of in de handleiding. De hub vraagt je om de eerste vijf cijfers van deze code in te voeren. Dit is je verificatie. Je bewijst dat jij de fysieke eigenaar bent van het apparaat. Daarna wordt er een sterke, unieke versleutelingsleutel aangemaakt. Deze sleutel blijft veilig opgeslagen.

Er zijn twee methoden om de sleutel over te brengen:

  1. QR-code (SmartStart): Dit is de makkelijkste en veiligste manier. Je scant de QR-code met je hub-app (bijvoorbeeld de Homey app). De hub krijgt de sleutel en wacht op het apparaat. Zodra je het apparaat aanzet, voegt het zich automatisch toe. Geen getyp.
  2. Handmatige invoer: Je typt de DSK-sleutel in de app. Dit werkt bijna hetzelfde, maar je moet even de cijfers overtypen.

Zodra de sleutel is overgedragen, is de verbinding beveiligd. Elke keer als een sensor een signaal stuurt, wordt dit vercijferd met deze sleutel. De hub ontcijfert het. Zonder de juiste sleutel is het ruis. Hackers horen alleen maar encryptieruis.

Welke hubs en producten ondersteunen S2?

Bijna alle moderne Z-Wave producten die je nu koopt, hebben S2. Kijk naar het Z-Wave 700- of 800-logo. Deze chips hebben S2 standaard ingebouwd. Je oude Z-Wave 300-apparaten hebben waarschijnlijk alleen S0 of geen beveiliging. Die kun je het beste vervangen voor optimale veiligheid.

Je hub moet wel S2 kunnen verwerken. De populairste hubs in Nederland doen dit standaard goed.

  • Homey Pro (2023): De krachtpatser van Athom. De Homey app ondersteunt SmartStart en handmatige S2-inclusion naadloos. De app laat je de QR-code scannen. Het proces is super simpel. Een Homey Pro kost rond de €399.
  • Home Assistant (met Z-Wave JS): Als je Home Assistant draait met de Z-Wave JS integration, heb je volledige S2-ondersteuning. Je hebt een Z-Wave 700 USB-stick nodig, zoals de Z-Wave 700 USB-stick (€50-€70) of de Home Assistant Yellow. Bij de inclusie kies je welke beveiligingsniveaus je wilt (S2 Access Control, Authenticated). Dit vereist wel wat technische kennis, maar het werkt perfect.
  • SmartThings Hub: Ook Samsung SmartThings ondersteunt S2, vooral met de nieuwe app en Aeotec hardware.

Let op bij het kopen van domotica. Een Z-Wave product met het 'Z-Wave Plus' of 'Z-Wave Plus v2' logo heeft S2 aan boord. Een Z-Wave 700 of 800 chip is de nieuwste standaard. Deze zijn energiezuiniger en hebben betere beveiliging. Prijzen voor S2-compatibele sensoren liggen tussen €30 en €60. Een Z-Wave 700 USB-stick voor Home Assistant koop je voor ongeveer €60.

Praktische tips voor veilig domotica

Wil je je huis veilig maken met Z-Wave S2? Volg deze stappen. Ze maken een groot verschil.

  1. Gebruik SmartStart (QR-code): Als je de optie hebt, scan altijd de QR-code. Dit voorkomt typefouten en is cryptografisch de sterkste methode.
  2. Gebruik de juiste sleutel voor het juiste apparaat: Bij sommige hubs kun je kiezen. Voor een slot gebruik je S2 Access Control. Voor een lamp of sensor volstaat S2 Authenticated. Dit houdt de boel overzichtelijk.
  3. Vervang oude S0-apparaten: Heb je nog oude Z-Wave 300 apparaten? Overweeg ze te vervangen door Z-Wave 700/800 modellen. De batterijduur is beter en de beveiliging is moderner.
  4. Hou je hub up-to-date: Zowel Homey als Home Assistant updates brengen verbeteringen voor Z-Wave S2. Zorg dat je firmware altijd recent is.
  5. Check de status: In de app van je hub kun je meestal zien of een apparaat via S2 is toegevoegd. Bij Home Assistant zie je bij de Z-Wave device details of 'Security: S2 Access Control' of 'S2 Authenticated' staat. Zo niet, excludeer het apparaat en voeg het opnieuw toe.

Met Z-Wave S2 hoef je je geen zorgen te maken over digitale inbrekers die je lampen overnemen. Het is een simpele stap tijdens het installeren, maar het geeft jarenlang gemoedsrust. Veilig domotica kopen begint bij het kiezen van de juiste producten en het correct gebruiken van je hub. Dus, pak die QR-code, scan en geniet van je veilige, slimme huis.

Portret van Bas Martens, domotica specialist voor smart home hubs
Over Bas Martens

Bas Martens is smart home enthousias en professional met negen jaar ervaring in het installeren van domotica-systemen. Hij vergelijkt Homey Pro, Home Assistant en andere hubs op integratie en gebruiksgemak.

Volgende stap
Lees het complete overzicht
Domotica hub voor thuisbeveiliging complete gids →