BitLocker in Windows 11 instellen en herstelsleutel beheren

BitLocker is de ingebouwde schijfversleuteling van Windows 11 en beschermt al je bestanden tegen ongeoorloofde toegang als je laptop wordt gestolen of verloren raakt. Je activeert BitLocker via Instellingen > Privacy en beveiliging > Apparaatversleuteling (op Windows 11 Home) of via Configuratiescherm > BitLocker-stationsversleuteling (op Windows 11 Pro). Tijdens de activering maakt Windows een herstelsleutel aan: een unieke code van 48 cijfers die je nodig hebt als je je wachtwoord of pincode vergeet, na een grote update of bij een hardware-wijziging. Bewaar die herstelsleutel altijd buiten je laptop, bijvoorbeeld in je Microsoft-account, op een USB-stick of geprint in een kluis. Deze handleiding loopt stap voor stap door het inschakelen, de configuratie, de herstelsleutel terugvinden en de meest voorkomende problemen.

Wat is BitLocker en waarom heb je het nodig?

BitLocker versleutelt je hele systeemschijf met de AES-128- of AES-256-standaard. Zonder de juiste pincode, wachtwoord of herstelsleutel zijn de bestanden onleesbaar — ook als iemand de SSD uit je laptop haalt en in een andere computer plaatst. Dat is essentieel voor:

• Werklaptops met klantgegevens, contracten of broncode;
• Studenten met scripties en persoonlijke data;
• Iedereen die wel eens met de laptop reist of die buitenshuis gebruikt.

Sinds Windows 11 versie 24H2 staat apparaatversleuteling standaard aan op nieuwe laptops met een Microsoft-account. Dat betekent dat veel mensen al beschermd zijn zonder het te weten — tot Windows opeens om een 48-cijferige herstelsleutel vraagt en niemand weet waar die staat.

Welke versie van Windows 11 ondersteunt BitLocker?

BitLocker werkt op:

• Windows 11 Pro, Enterprise en Education – volledige BitLocker met alle opties;
• Windows 11 Home – een uitgeklede variant genaamd Apparaatversleuteling, met dezelfde versleuteling maar minder instellingen.

Bovendien heb je een TPM 2.0-chip nodig (in elke laptop vanaf 2017 aanwezig) en moet Veilig opstarten (Secure Boot) actief zijn in de UEFI/BIOS.

Stap voor stap: BitLocker inschakelen in Windows 11 Pro

1. Druk op de Windows-toets en typ BitLocker beheren. Klik op het resultaat.
2. Je ziet nu een lijst met alle schijven. Klik bij je systeemschijf (meestal C:) op BitLocker inschakelen.
3. Windows vraagt hoe je het station wilt ontgrendelen: kies Wachtwoord gebruiken of Smartcard. Standaard gebruikt BitLocker je gewone Windows-aanmelding via de TPM.
4. Maak een back-up van de herstelsleutel. Dit is een verplichte stap. Kies een van de vier opties (zie volgend hoofdstuk).
5. Kies Alleen gebruikte schijfruimte versleutelen (sneller, voor nieuwe laptops) of De hele schijf versleutelen (veiliger, voor oudere apparaten).
6. Selecteer de versleutelingsmodus: Nieuwe versleutelingsmodus (XTS-AES) — dit is de standaard voor vaste schijven in Windows 11.
7. Klik op Doorgaan en daarna op Nu opnieuw opstarten. Tijdens de herstart voert Windows een systeemcontrole uit.
8. Na het inloggen begint de versleuteling op de achtergrond. Afhankelijk van de schijfgrootte duurt dit 20 minuten tot enkele uren.

De vier opties voor het opslaan van je herstelsleutel

De herstelsleutel is de enige back-door als je je wachtwoord vergeet of een grote update mis gaat. Microsoft biedt vier manieren om de sleutel veilig op te slaan:

1. Microsoft-account (aanbevolen)

Selecteer Opslaan in uw Microsoft-account. De sleutel komt op account.microsoft.com/devices/recoverykey. Log later in met hetzelfde e-mailadres om hem terug te vinden. Dit is de veiligste optie omdat je hem altijd vanuit een andere telefoon of pc kunt ophalen.

2. USB-stick

Sla het sleutelbestand op een lege USB-stick op. Bewaar die stick op een aparte fysieke locatie, niet in je laptoptas.

3. Afdrukken

Print de sleutel op papier en stop hem in een kluis of brandwerende map. Klassiek, simpel en niet hackbaar.

4. Bestand opslaan

Sla op een tweede schijf of in versleutelde cloudopslag op. Sla nooit op op de schijf die je versleutelt — dan kun je er straks niet meer bij.

Tip: kies minimaal twee opties tegelijk. Een Microsoft-account plus een geprinte kopie is een veilige combinatie.

BitLocker inschakelen in Windows 11 Home (Apparaatversleuteling)

Windows 11 Home heeft een vereenvoudigde versie:

1. Open Instellingen via Windows-toets + I.
2. Ga naar Privacy en beveiliging > Apparaatversleuteling.
3. Zet de schakelaar op Aan.
4. De herstelsleutel wordt automatisch in je Microsoft-account opgeslagen.

Je hebt op Home dus geen keuzevrijheid voor de opslag van de sleutel — daarom is een Microsoft-account verplicht. Wees zeker dat je inloggegevens van dat account up-to-date zijn en zet 2FA aan voor extra veiligheid.

Hoe vind je je BitLocker-herstelsleutel terug?

Vraagt Windows opeens om een herstelsleutel? Dan komt dat vrijwel altijd door een hardware-wijziging, een BIOS-update of een mislukte Windows Update. Zoek je sleutel op een van de volgende plekken:

• Microsoft-account: https://account.microsoft.com/devices/recoverykey — log in en bekijk per apparaat de sleutel.
• Werk- of schoolaccount (Entra ID): vraag de IT-afdeling om de sleutel via het Intune-portaal of mysignins.microsoft.com.
• USB-stick: zoek naar een tekstbestand met de naam BitLocker-herstelsleutel.
• Geprinte kopie: kluis, archief, mapje administratie.
• Eerder opgeslagen bestand: zoek in OneDrive of in de Downloads-map naar .BEK of BitLocker Recovery Key.

De sleutel is altijd 48 cijfers, gegroepeerd in acht blokken van zes. Typ hem zonder spaties of streepjes in het invoerveld op het blauwe BitLocker-scherm.

Hoe schakel je BitLocker (tijdelijk) uit?

Soms moet je BitLocker uitschakelen, bijvoorbeeld voor een grote firmware-update of een schijfkloon:

1. Open BitLocker beheren.
2. Klik op BitLocker uitschakelen bij je schijf.
3. Windows decodeert de schijf. Dit duurt opnieuw enkele uren.

Of pauzeer alleen tijdelijk via Bescherming onderbreken. Na de eerstvolgende herstart staat BitLocker weer aan.

Veelvoorkomende problemen en oplossingen

Foutmelding: TPM kan niet worden gevonden

Controleer in de UEFI/BIOS of Trusted Platform Module aan staat. Op Intel heet dat vaak PTT, op AMD fTPM. Zet ook Secure Boot aan.

BitLocker vraagt na elke herstart om de herstelsleutel

Dat wijst op een instabiele TPM-koppeling. Schakel BitLocker uit, herstart de pc en zet hem weer aan. Update ondertussen je BIOS.

Versleuteling blijft hangen op een bepaald percentage

Controleer of er een rustig moment is zonder grote downloads of virusscans. Pauzeer de scan in Windows Defender en hervat de versleuteling via Bescherming hervatten.

Microsoft-account toont geen herstelsleutel

De sleutel kan onder een ander account staan. Bekijk al je actieve Microsoft-accounts. Tip: zoek in je mailbox naar "BitLocker" — Microsoft mailt soms een bevestiging.

Beveiliging na het inschakelen: extra tips

• Schakel tweefactorauthenticatie (2FA) in op je Microsoft-account, zodat een hacker de sleutel niet kan ophalen met alleen je wachtwoord.
• Gebruik een sterk wachtwoord van minimaal 14 tekens of beter nog een wachtzin.
• Zet Windows Hello-pincode of vingerafdruk aan voor snelle dagelijkse toegang.
• Maak ook nog een aparte back-up van je belangrijkste bestanden naar een externe schijf of cloud. BitLocker beschermt tegen diefstal, niet tegen ransomware of een gecrashte schijf.
• Combineer met een goede beveiligingshygiëne: zie onze gids over phishing herkennen en voorkomen.

BitLocker op een externe USB-schijf of stick

Naast je systeemschijf kun je BitLocker ook gebruiken voor losse USB-schijven of -sticks. Dat heet BitLocker To Go:

1. Sluit de USB-schijf aan.
2. Open Verkenner, klik met de rechtermuisknop op de schijf en kies BitLocker inschakelen.
3. Stel een wachtwoord in en sla de herstelsleutel op.
4. De volgende keer dat je de stick aansluit, vraagt Windows om het wachtwoord voordat je bij de bestanden kunt.

Een fijne extra voor wie regelmatig bestanden mee de deur uit neemt. Let op: macOS en Linux kunnen alleen lezen, geen schrijven, op een BitLocker-volume.

BitLocker en de Microsoft 365 Business-omgeving

Op werklaptops beheert je IT-afdeling BitLocker meestal centraal via Intune of Group Policy. De herstelsleutel wordt automatisch geüpload naar Azure/Entra ID. Vraag bij vergeten sleutel altijd eerst aan IT — zelfs als je administrator-rechten hebt op je laptop. Probeer niet zelf met derde-partijsoftware de versleuteling te omzeilen; dat is een security-incident en kan ontslag opleveren.

Veelgestelde vragen

Werkt BitLocker ook op een SSD die je later in een andere pc plaatst?

Nee. Zonder de oorspronkelijke TPM-chip is de schijf onbruikbaar. Je hebt dan de 48-cijferige herstelsleutel nodig om hem te ontgrendelen. Bewaar die altijd los van de laptop.

Vertraagt BitLocker mijn laptop?

Op een moderne SSD is het verschil verwaarloosbaar (1-3 procent). Op oudere hardware met een trage processor kun je een merkbare vertraging hebben bij grote bestandsbewerkingen.

Kan ik BitLocker met een vingerafdruk of Windows Hello-pincode ontgrendelen?

Ja, maar alleen na het inloggen in Windows. Het opstart-scherm gebruikt altijd de TPM — je merkt BitLocker dus pas als er iets misgaat en hij om de herstelsleutel vraagt.

Waarom zie ik BitLocker niet in Windows 11 Home?

Op Windows 11 Home heet de functie Apparaatversleuteling en zit in Instellingen > Privacy en beveiliging. Je hebt minder instellingen, maar de versleuteling is even sterk.

Wat gebeurt er met BitLocker bij een upgrade naar Windows 12?

De versleuteling blijft actief tijdens de upgrade. Pauzeer BitLocker uit voorzorg vlak voor je begint en hervat hem daarna. Bewaar je herstelsleutel altijd buiten de pc — voor het geval een installatie vastloopt.

Is BitLocker te vergelijken met VeraCrypt?

VeraCrypt is een gratis open-source alternatief met meer functies (versleutelde containers, hidden volumes). BitLocker is geïntegreerd, sneller en heeft betere TPM-ondersteuning. Voor de meeste consumenten en bedrijven is BitLocker de eenvoudigste keuze.

Hoe weet ik of mijn schijf al versleuteld is?

Open BitLocker beheren in het zoekvak. Als er bij je C:-schijf staat BitLocker aan, ben je al beschermd. Op Windows 11 Home zie je dat onder Instellingen > Privacy en beveiliging > Apparaatversleuteling.