Google bepaalt straks welke Android-apps je nog kunt sideloaden — wat er wél en niet verandert

Google voert een nieuwe laag beveiliging in voor het installeren van Android-apps buiten de Play Store: vanaf 2026 wil Google dat de identiteit van de ontwikkelaar bekend en geverifieerd is voordat een app op een gecertificeerd Android-toestel mag worden geïnstalleerd via sideloading. Dat betekent niet dat sideloading helemaal verdwijnt, maar wel dat ongeregistreerde ontwikkelaars het (veel) moeilijker krijgen.

Wat er nu gebeurt — en wat straks verandert

Op dit moment kun je nog vrij veel apps van het internet als APK sideloaden. Play Protect controleert en waarschuwt gebruikers bij verdachte apps en kan in sommige gevallen apps blokkeren of (later) verwijderen, maar vaak kan een installatie na een waarschuwing toch worden doorgezet. Google zegt dat de nieuwe ontwikkelaarsverificatie er vooral op gericht is om anonieme kwaadwillenden het lastiger te maken en zo fraude en malware terug te dringen.

Concreet: vanaf het moment dat de verificatieplicht voor jouw regio of apparaat van kracht is, zal een installatie van een app worden geblokkeerd op een gecertificeerd toestel als de ontwikkelaar niet geverifieerd is. Hiermee verschuift Play Protect van vooral waarschuwen naar: alleen apps van geverifieerde ontwikkelaars toestaan.

Hoe ontwikkelaars zich moeten aanmelden

Google maakt twee routes:

• Android Developer Console — bedoeld voor ontwikkelaars die hun apps uitsluitend buiten de Play Store aanbieden (dus puur via losse APK’s / sideloading).

• Play Console — ontwikkelaars die al via Google Play distribueren hoeven meestal geen extra stappen te doen: Google gebruikt bestaande verificatiegegevens om apps automatisch te registreren.

Voor verificatie moeten ontwikkelaars twee hoofdacties uitvoeren: (1) hun identiteit bevestigen (naam, adres, e-mail, telefoon; organisaties moeten aanvullende gegevens aanleveren zoals een D-U-N-S-nummer en soms een officieel ID) en (2) hun apps registreren (pakketnaam en app-signing keys) zodat Google kan vaststellen dat een APK echt van die ontwikkelaar afkomstig is. Google werkt ook aan aparte, lichtere opties voor student/hobby-accounts.

Tijdlijn (belangrijk om te weten)

Google heeft een gefaseerde uitrol aangekondigd:

• Oktober 2025 — vroege toegang (invitations/early access) voor ontwikkelaars om het proces te testen.

• Maart 2026 — verificatie wordt opengezet voor álle ontwikkelaars (ze kunnen zich dan aanmelden).

• September 2026 — de verplichting treedt voor het eerst in werking in Brazilië, Indonesië, Singapore en Thailand; vanaf dat moment mogen alleen apps van geverifieerde ontwikkelaars geïnstalleerd worden op gecertificeerde toestellen in die landen.

• 2027 en verder — stapsgewijze wereldwijde uitrol.

Wat dit betekent voor gebruikers

Kort en praktisch:

• Je kunt nog steeds apps buiten de Play Store installeren op veel toestellen, maar op gecertificeerde apparaten zal Google installatie blokkeren als de ontwikkelaar niet geverifieerd is. Android Developers

• Play Protect blijft scannen en kan bij bepaalde risicovolle permissies (bijv. SMS-leesrechten, notificatie-leesrechten, accessibility) actief blokkeren om financiële fraude tegen te gaan — dat mechanisme bestaat al en wordt nu onderdeel van een bredere verificatieaanpak.

• Wie zelden of nooit apps van buiten Play haalt: voor jou verandert er weinig behalve wellicht extra waarschuwingen of (in sommige regio’s) automatisch geblokkeerde installaties.

• Wie vaak outside-the-box apps gebruikt (bijv. gamers die Fortnite buiten Play downloaden, of zakelijke apps die intern verspreid worden): ontwikkelaars zullen zich moeten registreren en hun apps correct moeten ondertekenen, anders kunnen gebruikers hun APK’s niet meer installeren op gecertificeerde toestellen in regio’s waar de regel geldt.

Voor ontwikkelaars: praktische stappen & aandachtspunten

1. Meld je aan voor early access als je nu al hulpmiddelen en support wilt en wil helpen testen.

2. Bereid documenten en bewijs voor: officiële id-bewijzen, bedrijfsgegevens (D-U-N-S indien van toepassing), verificatie van de website, en toegang tot app-signing keys.

3. Bewaar en publiceer je app-signing keys zorgvuldig: Google wil aan de hand van keys en package-namen kunnen verifiëren dat een aangeboden APK werkelijk van die ontwikkelaar is.

4. Studenten/hobbyisten: Google zegt te werken aan minder strenge routes voor niet-commerciële makers — houd communicatie en previews in de gaten.

Kanttekeningen & beperkingen

• De maatregel geldt voor gecertificeerde Android-toestellen — er blijven dus technische en juridische randgevallen bestaan (unofficieel geflashte ROMs, sommige device-makers of niet-gecertificeerde forks kunnen anders omgaan met sideloading).

• Kwaadwillenden kunnen nog steeds malware schrijven en via alternatieven verspreiden; de nieuwe maatregel maakt anonieme distributie lastiger maar is géén waterdichte garantie tegen misbruik: kwaadwillenden kunnen valse bedrijfsidentiteiten gebruiken of andere omwegen zoeken. Verwacht wel een aanzienlijke rem op grootschalige anonieme nep-app-campagnes.

• Play Protect blijft een actieve verdediging (scans, permissie-herstel, blokkades) — gebruikers kunnen sommige opties uitschakelen, maar dat is onveilig en wordt door Google afgeraden.

Kort advies voor gewone gebruikers

• Gebruik apps uit de Play Store tenzij je een goede reden hebt om te sideloaden.

• Controleer bij sideloading of de ontwikkelaar een echte website, contactgegevens en (indien beschikbaar) een verificatiemarkering heeft — wees extra wantrouwig bij apps die om financiële gegevens of uitgebreide permissies vragen.

• Controleer of je toestel Play Protect-gecertificeerd is (instellingen → Play Store → profiel → Instellingen → Over → Play Protect-status).

Door: Drifter