Een Growatt- of Solis-omvormer met wifi-monitoring stuurt elke vijf minuten een gedetailleerd beeld van je huishouden naar de cloud, en die verbinding gaat twee kanten op. Dit stuk laat zien wat er vertrekt, waar het heen gaat, en welke risico's daaruit volgen: van aflezen wanneer je thuis bent tot op afstand aan je omvormer draaien. En wat je eraan kunt doen zonder je panelen kwijt te raken.
Wie
Je omvormer praat met een losse wifi-dongle, die praat met de cloud van de fabrikant (Shenzhen Growatt of Ginlong), gedraaid op Alibaba. Daarnaast je telefoon-app, die met dezelfde cloud praat plus een rij externe SDK's.
Wat
Twee soorten. Uit de omvormer: een meting per vijf minuten van opwek, batterij en verbruik, met een vast serienummer. Uit de app: je naam, e-mailadres, telefoonnummer en het adres van je installatie. Samen vormt dat een geidentificeerd, gelokaliseerd profiel.
Waarheen
Alibaba Cloud in Frankfurt, de VS en China. Zelfs als de opslag in de EU staat, raakt de DNS- en besturingslaag China, en de bedrijven erachter vallen onder Chinees recht.
De korte versie
- Je omvormer stuurt elke vijf minuten een gedetailleerd beeld van je opwek, batterij en verbruik naar de cloud. Daaruit is af te leiden wanneer je thuis bent en wanneer niet.
- De app koppelt dat profiel aan jou persoonlijk: je e-mail, telefoonnummer en het adres van je installatie.
- Bij Growatt reist de meetdata zonder echte versleuteling, alleen een omkeerbare versluiering met een openbaar bekend sleutelwoord. Geen echt slot.
- De verbinding gaat twee kanten op: de cloud kan ook instellingen en firmware naar je omvormer terugsturen, dus op afstand het vermogen terugregelen of het apparaat uitschakelen.
- Het goede nieuws: trek je de wifi-stick eruit, dan blijven je panelen gewoon stroom leveren. Je verliest alleen de app, niet de opwek.
De kernrisico's
Er is niet één risico, maar een handvol, en ze versterken elkaar. Het meest tastbare eerst, daarna de minder zichtbare maar minstens zo belangrijke.
1 · Wanneer ben je thuis
De gevoeligste informatie is niet je energierekening, maar een aanwezigheidskalender van je huis, en die rolt er bijna vanzelf uit. Een omvormer met batterij rapporteert niet alleen hoeveel zon er was. Hij rapporteert elke vijf minuten je verbruik: hoeveel het huis op dit moment gebruikt, en of de batterij oplaadt of leeggetrokken wordt. En verbruik volgt menselijke activiteit bijna een-op-een.
Een gewone dag tekent zich daardoor scherp af. 's Nachts een vlakke bodem (alleen de koelkast en sluipverbruik), 's ochtends een piek (je staat op, doucht, ontbijt), een terugval als iedereen de deur uit is, overdag stilte, 's avonds weer een piek (koken, wasmachine, laptops), en dan terug naar de bodem. Die curve is een vrijwel perfect aanwezigheidslogboek, met 288 meetpunten per dag.
Het verraderlijkst is dat laatste. Ga je weg, dan zakt het verbruik terug naar kaal sluipverbruik en blijft daar dagenlang. Die platte, lage lijn over meerdere dagen is het luidst denkbare signaal "hier is niemand, en voorlopig ook niet". Andersom verraadt een laadpiek in de avond dat je auto, en waarschijnlijk jij, thuis is.
Wie heeft daar wat aan?
- Inbraak. Een betrouwbare kalender van wanneer jouw huis, op jouw adres, leeg is, plus een helder vakantiesignaal. Dat is precies de informatie waar inbrekers naar gissen.
- Profilering. Je dagritme, gezinsgrootte en gewoonten zijn bruikbaar voor verzekeraars, kredietverstrekkers of adverteerders die op gedrag prijzen.
- Datahandel. Eenmaal in de cloud is het profiel te aggregeren en door te verkopen.
- Op buurtschaal. Draaien veel huizen in een straat op hetzelfde platform, dan ontstaat een kaart van wanneer een hele wijk uitvliegt: werkdagen, schoolvakanties, feestdagen.
2 · Iemand kan op afstand aan je omvormer draaien
Dit is een ander soort risico dan privacy, en wordt vaak gemist. De verbinding gaat twee kanten op. De cloud stuurt niet alleen metingen op, maar kan ook instellingen en firmware terugsturen naar je omvormer. In het Growatt-protocol zitten aparte berichten om instellingen weg te schrijven, en bij Solis bestaat een vaste procedure voor firmware-updates op afstand. Dat is bedoeld voor onderhoud, maar het betekent dat een partij op afstand kan bepalen hoe jouw installatie zich gedraagt: het vermogen terugregelen, grenzen aanpassen, of in het uiterste geval uitschakelen.
Wie de cloud of je account in handen krijgt, krijgt die knop erbij, of dat nu de fabrikant is, een inbreker op je account, of wie het platform compromitteert. En omdat één fabrikant duizenden installaties tegelijk beheert, is die gebundelde controle over zonne-omvormers een netwerk- en leveringszekerheidskwestie waar overheden inmiddels publiek voor waarschuwen.
3 · En het blijft niet bij meekijken
- Het is niet anoniem, het is jij. Via de app hangt het hele profiel aan je naam, e-mail en adres. Zie de sectie hieronder.
- Bij Growatt kan iedereen op het pad meelezen. De meetdata reist zonder echt slot, dus niet alleen de fabrikant maar ook een gast op je wifi of je provider kan het lezen.
- Buitenlandse toegang. Data en besturing liggen bij bedrijven onder Chinees recht, ook als de opslag toevallig in de EU staat.
Dit alles gaat om data en bediening die je meekrijgt zonder het te weten, zonder dat je er bij de installatie een echte keuze in kreeg.
Wat er precies weggaat, en wat het over je zegt
De volledige lijst, vertaald van techniek naar betekenis. Links wat er vertrekt, rechts wat iemand eruit kan aflezen over jou en je huishouden.
| Wat er weggaat | Wat het over jou zegt |
|---|---|
| Uit de omvormer (elke 5 min naar de fabrikant-cloud op Alibaba) | |
| Zonne-opwek per paneelstring | laat zien of de zon scheen; op zichzelf weinig over jou |
| Verbruik / belasting op dit moment | of er nu iemand actief is in huis, en hoeveel |
| Batterij laden of ontladen | wanneer je veel stroom trekt: koken, wasmachine, auto laden |
| Laadtoestand van de batterij | je energievoorraad en je dagritme |
| Energie vandaag en totaal | je totale verbruik, een hint over gezinsgrootte en leefstijl |
| Net- en uitgangsspanning, frequentie | technisch; zegt weinig over jou |
| Temperatuur, status, foutcodes | de technische gezondheid van het systeem |
| Serienummer van dongle en omvormer | koppelt al het bovenstaande aan jouw specifieke apparaat |
| Uit de app (bij gebruik, naar dezelfde cloud en externe SDK's) | |
| Je naam | koppelt het energieprofiel aan jou als persoon |
| E-mailadres en telefoonnummer | identificeert je en maakt je bereikbaar |
| Adres of locatie van je installatie | koppelt het profiel aan je fysieke huis |
| Locatie van je telefoon (AMap-SDK) | waar je toestel zich bevindt |
| Camera, en bij Solis de microfoon | toegang tot beeld en geluid op je telefoon |
Op zichzelf lijkt elke regel onschuldig. De waarde, en het risico, zit in de optelsom: een getimed gedragsbeeld, gekoppeld aan een naam en een adres.
Wat de app over jou weet
Op zichzelf is dat energieprofiel nog pseudoniem: het hangt aan een serienummer, niet aan een naam. De app legt juist die laatste schakel. Bij het aanmaken van een account geef je je naam, e-mailadres en telefoonnummer, en bij het registreren van je installatie het adres of de locatie ervan, voor de kaart en het weerbericht. Daarmee wordt het anonieme energiebeeld een dataset met naam en huisnummer.
Dat is de eigenlijke sleutel. Het aanwezigheidsprofiel is pas bruikbaar als je weet wiens huis het is en waar het staat, en precies die koppeling maakt de app. Daar komen de telefoon-permissies nog bij: beide apps vragen locatie en camera, SolisCloud ook de microfoon. De locatie-SDK (AMap) bepaalt actief waar je toestel is. Het resultaat is geen geanonimiseerde energiestatistiek, maar een genaamd, geadresseerd, getimed gedragslogboek van je huishouden.
Wat kun je eraan doen
Je hoeft je panelen niet weg te doen. De wifi-stick is een los kastje; de omvormer werkt prima zonder.
Vier opties, van de simpelste en meest geruststellende tot de meest technische.
- Haal de stick van wifi af. 5 minuten
Koppel de wifi-dongle los of verwijder hem uit je netwerk. De omvormer blijft zonnestroom omzetten en je panelen leveren door. Je raakt alleen de app-grafieken kwijt, niets aan je opbrengst. Dit sluit in één klap alle risico's: geen data meer naar buiten, en ook geen bediening van buitenaf meer. - Houd de monitoring lokaal (Growatt). knutselen
Laat de dongle praten met een eigen mini-server op je thuisnetwerk in plaats van met de fabrikant-cloud. Het open project "grott" doet precies dit: je houdt je grafieken, de data blijft thuis. Vergt een Raspberry Pi of vergelijkbaar en wat instelwerk. - Vervang de firmware van de wifi-stick (Solis). gevorderd
Voor de Solis-stick bestaat open firmware (ESPHome) die de gegevens rechtstreeks in je eigen Home Assistant zet, zonder enige cloud. - Of accepteer de cloud bewust. keuze
Wil je het gemak van de app houden, dan is dat een legitieme keuze, mits je weet welke afweging je maakt. Zet de stick dan op een apart gastnetwerk, los van je telefoons en computers.
Twijfel je bij de aanschaf van een nieuwe omvormer? Vraag de installateur naar lokale monitoring of een open protocol (Modbus), zodat je niet vastzit aan de cloud van de fabrikant.
Vanaf hier: de onderbouwing per merk
De rest van dit stuk laat per merk zien hoe dit is vastgesteld, voor wie het wil controleren of navertellen. Eerst het totaalplaatje, dan Growatt en Solis apart.
Growatt
Een Growatt-omvormer is binnenin eigenlijk twee computers. Een besturingsbord (een ARM-chip uit de bekende STM32-familie) regelt het scherm, de knoppen en de logica, en een aparte vermogens-DSP (een Texas Instruments C2000) stuurt de eigenlijke omzetting van zonnestroom. Van beide is de firmware publiek te vinden, en, belangrijk, niet versleuteld, dus volledig te bestuderen. In geen van beide staat een internetadres.
Alle connectiviteit zit namelijk in de losse wifi-dongle, de ShineWiFi-X, die via een kabeltje aan de omvormer hangt. Dat is precies waarom je hem eruit kunt trekken zonder je opwek te raken: de dongle is een aanhangsel, geen onderdeel van de stroomopwekking.
Wat er precies verstuurd wordt technisch
Omdat zowel de firmware als het netwerkverkeer leesbaar zijn, kon ik het Growatt-protocol volledig ontcijferen. Eén bericht bevat 50 meetwaarden, byte-exact gevalideerd tegen de firmware. Dit is de data die elke vijf minuten je huis verlaat. Niet-technische lezers mogen de tabel overslaan; de kern staat hierboven.
Toon de 50 telemetrie-velden
| Veld | Betekenis | Eenheid |
|---|---|---|
| Identiteit | ||
| datalogserial | datalogger serienummer | |
| pvserial | inverter serienummer | |
| pvstatus | status (0=wait,1=normal,3=fault) | |
| Zonnepanelen | ||
| vpv1 | PV string-1 spanning | V |
| vpv2 | PV string-2 spanning | V |
| ppv1 | PV string-1 vermogen | W |
| ppv2 | PV string-2 vermogen | W |
| epvtoday | PV-energie vandaag | kWh |
| epvtotal | PV-energie totaal | kWh |
| Batterij | ||
| bat_Volt | batterijspanning | V |
| batterySoc | batterij laadtoestand | % |
| BatWatt | batterij-vermogen (±) | W |
| bus_volt | DC-busspanning | V |
| Net & uitgang (verbruik) | ||
| grid_volt | netspanning | V |
| line_freq | netfrequentie | Hz |
| outputvolt | uitgangsspanning | V |
| outputfreq | uitgangsfrequentie | Hz |
| op_watt | output actief vermogen | W |
| loadpercent | belasting | % |
| Temperatuur | ||
| invtemp | inverter-temperatuur | °C |
| dcdctemp | DC/DC-temperatuur | °C |
| buck1_ntc | buck-1 NTC-temp | °C |
| Energie laden/ontladen | ||
| eacCharTotal | AC-laden totaal | kWh |
| ebatDischarTotal | batterij-ontladen totaal | kWh |
| eacDischarToday | AC-ontladen vandaag | kWh |
| eacDischarTotal | AC-ontladen totaal | kWh |
| Status | ||
| faultBit | fault-bitmask | |
| warningBit | warning-bitmask | |
| faultValue | foutcode | |
| warningValue | waarschuwingscode | |
Plus vaste identifiers: serienummer van de dongle en de omvormer. Byte-exact gevalideerd tegen de firmware.
Waar het heen gaat
| Server | Rol | IP | Hosting / land |
|---|---|---|---|
| server.growatt.com | telemetrie van de dongle (TCP 5279) | 47.254.130.145 | Alibaba intl (DE-tag) |
| server-us.growatt.com | regio-server | 47.251.35.20 | Alibaba US |
| server-cn.growatt.com | regio-server | 47.115.135.34 | Alibaba Shenzhen, CN |
| openapi / server-api.growatt.com | app- en API-verkeer (HTTPS) | 8.211.2.163 | Alibaba |
De verbinding is een open boek
De dongle opent een vaste verbinding naar server.growatt.com op TCP 5279 en stuurt elke vijf minuten een datapakket, met elke drie minuten een levensteken. Een paar dingen vielen daarbij op:
- De pakketten zijn niet echt versleuteld. Vanaf de negende byte worden ze ge-XOR'd met de vaste tekst Growatt. XOR is een omkeerbare versluiering, geen slot; wie het sleutelwoord kent leest alles, en dat woord staat in elk hobby-project online.
- Daardoor kan iedereen op het netwerkpad meelezen, niet alleen de fabrikant: een gast op je wifi, je provider, of wie het verkeer onderweg aftapt.
- De dongle pint de hostnaam server.growatt.com. Dat is lastig voor de fabrikant om te omzeilen, maar juist handig voor jou: met een simpele naam-omleiding vang je het verkeer lokaal op, zonder cloud-account. Zo werkt ook optie 2 hierboven (grott).
De jurisdictie
De maker, Shenzhen Growatt, is een Chinees bedrijf en valt onder Chinees recht. De servers staan op Alibaba Cloud, verspreid over een internationale regio (met een Duitse tag), de VS en China. In de privacyverklaring staat bovendien expliciet dat je data verwerkt en benaderd mag worden vanuit andere regio's. Anders dan Solis maakt Growatt geen specifieke EU-opslagbelofte.
De app: ShinePhone
ShinePhone is een klassieke Android-app van Shenzhen Growatt met 40 permissions, waaronder locatie, camera en telefoonstatus. In de app staan tientallen vaste Growatt-adressen hardgecodeerd (energy, server, server-cn, oss, cdn, evcharge en meer, allemaal op growatt.com), naast een rij externe SDK's. Het punt is niet hun herkomst, maar dat ze meekijken zonder dat je het merkt of er gericht toestemming voor gaf.
| SDK / component | Partij | Functie |
|---|---|---|
| AMap / AutoNavi | Alibaba (CN) | kaarten en actieve locatiebepaling |
| Tencent (WeChat / QQ) | Tencent (CN) | inloggen en delen |
| Tencent Bugly | Tencent (CN) | crash- en gebruiksrapportage |
| Countly | self-hosted | product-analytics en push |
| Google Firebase | Google (US) | analytics en berichten |
| Tuya | Tuya (CN) | IoT-koppeling (nog aanwezig) |
Solis
Bij Solis zit de internetverbinding in de S3 wifi-stick, een apart kastje dat je in de omvormer prikt. Ook hier geldt: de stick is een aanhangsel, de omvormer werkt zonder. Maar het kastje is technisch een volwaardige computer. In het hart zit een MXCHIP EMW3080-chip (een variant van de Realtek RTL8710) met 8 megabyte geheugen, die het Chinese besturingssysteem AliOS draait, dezelfde familie die Alibaba voor zijn slimme apparaten gebruikt.
Anders dan bij Growatt is er geen publieke firmware van die stick. Deze analyse komt daarom uit twee bronnen: het reverse-engineering-werk van de hobbyscene aan de AliOS-firmware, en de configuratiepagina die de stick zelf serveert en die ik wel kon uitlezen. Dat verklaart waarom dit hoofdstuk de bedrading anders aanvliegt dan dat van Growatt: bij Growatt kon ik de leiding zelf openleggen, bij Solis lees ik mee langs de randen.
Wat de stick meet technisch
De stick leest de omvormer uit over een industriestandaard (Modbus) en stuurt dat door. De reverse-engineering heeft die registerkaart gedocumenteerd, dus we weten welke waarden beschikbaar zijn, ook al is de verzending versleuteld. Het is dezelfde soort data als bij Growatt, inclusief de velden die je aanwezigheid verraden: huishoudelijk verbruik, batterijvermogen en laadtoestand.
Toon de Solis-meetwaarden (uit reverse-engineering)
| Meetwaarde | Eenheid |
|---|---|
| Zonnepanelen | |
| DC-spanning 1 / 2 | V |
| DC-stroom 1 / 2 | A |
| Totaal DC-vermogen | W |
| Energie vandaag | kWh |
| Totale energie | kWh |
| Batterij | |
| Batterijspanning | V |
| Batterijstroom | A |
| Laadtoestand (SoC) | % |
| Gezondheid (SoH) | % |
| Batterijvermogen | W |
| Totaal geladen / ontladen | kWh |
| Verbruik | |
| Huishoudelijk verbruik | W |
| Backup-belasting | W |
| Actief vermogen | W |
| Schijnbaar vermogen | VA |
| Net & uitgang | |
| AC-spanning | V |
| Netfrequentie | Hz |
| Blindvermogen | var |
| Temperatuur & status | |
| Inverter-temperatuur | °C |
| Bedrijfsstatus (normaal, fout, standby, net-/batterijfout) | |
| Energie-tellers | |
| Vandaag / gisteren | kWh |
| Deze maand / vorige maand | kWh |
Bron: de ginlong-solis reverse-engineering (Modbus-registerkaart). De stick verstuurt dit versleuteld, dus de exacte selectie op de draad is niet zelf gemeten; de beschikbaarheid van de velden wel.
Waar het heen gaat
| Server | Rol | IP | Hosting / land |
|---|---|---|---|
| *.iot-as-mqtt.*.aliyuncs.com | telemetrie van de stick (MQTT/TLS) | 47.100.127.192 | Alibaba Shanghai, CN |
| public1/2.alidns.com | hardcoded DNS in de stick | 2400:3200:baba::1 | Alibaba China, CN |
| soliscloud.com / ginlongcloud.com | app en portal | 47.245.156.227 | Alibaba |
| *.oss-eu-central-1.aliyuncs.com | opslag | (Frankfurt) | Alibaba Frankfurt, EU |
De stick stuurt zijn metingen via MQTT over TLS naar Alibaba's IoT-platform. In tegenstelling tot Growatt is dit verkeer wel versleuteld onderweg, wat een echt pluspunt is. Maar de stick zoekt servernamen op via een vast ingebouwde Chinese DNS (public1/2.alidns.com), en de geanalyseerde firmware koos een dataserver in Shanghai. De opslag staat in Frankfurt, het verkeer en de naamopzoeking lopen via China.
De stick zelf is een open kastje
De wifi-stick draait een kleine webserver voor de installatie, bereikbaar op een vast adres (10.10.100.254). Daar vielen een paar dingen op die de moeite waard zijn:
- Een vast standaardwachtwoord (123456789) staat letterlijk in de pagina, voor iedereen die fysiek of via wifi bij het kastje kan.
- Een instelling om de meetdata naar een zelfgekozen extra server door te sturen. Handig voor wie het naar zichzelf wil sturen, maar ook een doorgeefluik dat standaard naar de fabrikant wijst.
- Een aparte Nederland-specifieke installatiestap in de paginastructuur, wat laat zien dat de NL-markt expliciet wordt bediend.
De jurisdictie-spanning
Solis stelt dat klantdata in een ISO 27001-datacenter in Frankfurt staat, conform de AVG, en Alibaba Frankfurt is inderdaad aantoonbaar in gebruik. Tegelijk loopt de naam-opzoeking via Alibaba China en koos de geanalyseerde firmware een broker in Shanghai. De data in rust kan dus in de EU staan terwijl de besturings- en naamopzoeklaag China raakt. Bovendien valt de exploitant, Ginlong, onder Chinees recht. Of dat voor jou een probleem is, mag je zelf wegen; het punt is dat die keuze nu impliciet voor je gemaakt wordt.
De app: SolisCloud
SolisCloud is geen gewone app maar een hybride schil gebouwd op het mobiele platform van Ant (Alipay), het betaalconcern van Alibaba. Dat het op Ant draait is geen vermoeden: in de app zit een configuratiebestand met een Alipay-app-identificatie (ALIPUBBE6BD07051653). De app vraagt 34 permissions, waaronder locatie, camera en de microfoon, en draagt AI-modellen aan boord voor beeld- en spraakherkenning. Dat is veel toegang voor een app die alleen je zonnepanelen hoort te tonen. In de app staan bovendien vaste server-adressen hardgecodeerd, waaronder een in Shanghai (47.102.211.126).
| SDK / component | Partij | Functie |
|---|---|---|
| Ant / Alipay mPaaS | Ant Group / Alibaba (CN) | het hele mobiele platform |
| DCloud uni-app | DCloud (CN) | hybride app-framework |
| On-device AI (Yolo_V5) | ingebed model | beeldherkenning via de camera |
| On-device spraakmodel | ingebed model | audio via de microfoon |
| AMap | Alibaba (CN) | kaarten en locatie |
| Tencent-kaart | Tencent (CN) | kaarten |
| Google Maps | Google (US) | kaarten |
Growatt of Solis: wat is beter?
Kort gezegd: geen van beide is veilig uit zichzelf, en ze schuiven de afweging op verschillende plekken weg. Solis versleutelt het verkeer onderweg, een echt pluspunt, maar is geslotener en de app graait meer. Growatt is transparanter en volledig te controleren, maar verstuurt onversleuteld en doet geen EU-belofte. Voor jou maakt het verschil minder uit dan je zou denken: de oplossing is voor beide hetzelfde, namelijk de stick eruit of lokaal monitoren.
| Aspect | Growatt | Solis | |
|---|---|---|---|
| Versleuteling onderweg | Geen: alleen XOR met een publiek sleutelwoord | Wel: MQTT over TLS | Solis beter |
| Firmware controleerbaar | Ja, openbaar en onversleuteld | Nee, gesloten (alleen via reverse-engineering) | Growatt beter |
| Opslaglocatie | Intl, VS en China; geen EU-belofte | Frankfurt-claim, maar DNS en MQTT via China | |
| App-indringendheid | Veel externe SDK's, locatie en camera | Nog meer: Ant mPaaS, microfoon en AI-modellen | Growatt beter |
| Bediening op afstand | Ja, instellingen via het protocol | Ja, firmware-updates op afstand | |
| Lokaal alternatief | grott: data blijft op je netwerk | ESPHome: stick volledig lokaal | |
| Stick eruit, panelen blijven werken | Ja | Ja |
De Nederlandse context
Tot zover de techniek. Maar hoe groot is dit eigenlijk in Nederland, en doet er iemand iets aan? Dit deel zet de bevindingen in de bredere context, met een eerlijke scheiding tussen wat hard is en wat schatting blijft.
Hoe groot is dit hier?
De installatiebasis is enorm. De officiele cijfers van CBS en Netbeheer Nederland:
| Indicator | Waarde | Peildatum |
|---|---|---|
| Huishoudens met zonnepanelen | ~3 miljoen (≈35% van alle huishoudens) | eind 2024 |
| Totaal aantal pv-installaties | ~3,3 miljoen | eind 2024 |
| Nieuw geplaatst in 2024 | ~412.000 installaties | 2024 |
| Opgesteld paneelvermogen | 28,6 GWp (59% bij bedrijven) | eind 2024 |
Growatt en Solis zijn geen niche-merken. In de onafhankelijke mondiale ranglijst over 2024 (Wood Mackenzie) staat Solis op plek 3 en Growatt op plek 4; negen van de tien grootste omvormerleveranciers ter wereld zijn Chinees, en de particuliere markt is hun kernsegment, precies het segment dat in Nederland zo groot is.
Toch is het eerlijke antwoord op "hoeveel staan er in Nederland": niemand weet het precies, ook de overheid niet. Er bestaat geen register dat omvormers naar merk telt. Marktmodellen schatten het gezamenlijke aandeel van Growatt, GoodWe en Solis op 20 tot 25 procent, maar dat zijn gemodelleerde cijfers, geen tellingen. Een ruwe ordegrootte-reconstructie uit installatiebasis maal geschat marktaandeel komt uit op enkele honderdduizenden tot ruim een half miljoen Growatt- en Solis-omvormers bij huishoudens. Behandel dat als bandbreedte, niet als meting.
De overheid noemt dit een nationaal-veiligheidsdossier
Het Nederlandse overheidsoptreden rond Chinese omvormers loopt al sinds 2022, en het bevestigt precies de risico's uit dit stuk, vooral het risico dat iemand op afstand kan ingrijpen.
De RDI-uitkomst is veelzeggend: van de negen geteste omvormers voldeed geen enkele aan de norm, en ze waren op afstand uit te schakelen of in te zetten voor aanvallen. Een Nederlandse ethische hacker toonde aan miljoenen systemen te kunnen overnemen. En op de directe vraag hoeveel Chinese omvormers er in Nederland staan, antwoordt het kabinet dat dat niet kan worden vastgesteld. Litouwen heeft inmiddels het gebruik boven een bepaalde capaciteit verboden.
Wat de nieuwe regels gaan eisen
Er komt regelgeving aan die precies dit adresseert:
- RED 3.3 (Radio Equipment Directive) stelt cybersecurity als markttoegangseis voor draadloos verbonden apparaten; omvormers vallen hieronder.
- Cyber Resilience Act stelt eisen aan de omvormer en de app en de clouddienst. De gegevensverwerking op afstand moet beschreven staan, en de toezichthouder kan toegang tot het cloudplatform vorderen.
- NIS2 geeft meer energiebedrijven meld- en zorgplichten, inclusief toeleveranciersrisico.
Precies het type bevinding uit dit onderzoek (onversleutelde verzending bij Growatt, cloud op Alibaba, DNS en broker die China raken) kan onder die regels straks markttoegang blokkeren. De ongemakkelijke kanttekening: het bestaande geinstalleerde bestand valt er grotendeels buiten. Die omvormers staan al op het dak, en blijven daar.
Hoe hard is elke laag? verantwoording
| Laag | Hardheid | Beste bron |
|---|---|---|
| Installatiebasis NL (~3 mln huishoudens) | Hard | CBS, Netbeheer Nederland |
| Mondiale ranglijst (Solis #3, Growatt #4) | Hard | Wood Mackenzie |
| Overheidsoptreden en regelgeving | Hard | Kamerstukken, RDI, Secura |
| NL-marktaandeel per merk (20-25%) | Zacht (gemodelleerd) | IndexBox, Grand View |
| Absoluut aantal Growatt/Solis in NL | Schatting (afgeleid) | eigen reconstructie |
Bronnen onder meer: CBS en Netbeheer Nederland (installatiebasis), Wood Mackenzie (mondiale ranglijst), Tweede Kamer / RDI / Secura (overheidsoptreden), IndexBox en Grand View (marktaandeel, gemodelleerd). Peildatum cijfers overwegend eind 2024.
Zelf nameten voor de technisch ingestelde
De Growatt-stroom is lokaal te onderscheppen zonder cloud-account. De dongle zoekt de naam server.growatt.com op, dus wie die naam op het thuisnetwerk naar een eigen computer laat wijzen, ziet alle berichten. Een hulpprogramma uit het onderliggende dossier ontcijfert de XOR-versluiering en leest de 50 velden uit; de data verlaat je netwerk dan niet meer. Voor Solis is de bestemming passief te bevestigen door het netwerkverkeer van de stick mee te lezen.
Bronnen en verantwoording
De technische bevindingen (bestemmingen, IP-adressen, het Growatt-protocol, de app-binnenkant) zijn eigen meting van juni 2026. De Nederlandse cijfers en het overheidsoptreden komen uit de volgende openbare bronnen.
- RDI, Onderzoek storingsproblematiek en cyberveiligheid omvormers (2023): geen van negen geteste omvormers voldeed aan de cyberveiligheidseisen. rdi.nl
- Tweede Kamer, beantwoording Kamervragen 2025Z09993 over geheime componenten in Chinese omvormers (7 juli 2025). rijksoverheid.nl
- Solar Magazine, Kamervragen over beveiligingsrisico's Chinese omvormers (mei 2025). solarmagazine.nl
- Security.NL, Rijksinspectie: groot deel omvormers kwetsbaar voor cyberaanvallen (2023). security.nl
- CBS en Netbeheer Nederland, statistiek zonnepanelen en installatiebasis (peildatum eind 2024). cbs.nl, netbeheernederland.nl
- Wood Mackenzie, Global PV inverter shipments 2024 (589 GWac): Solis op plek 3, Growatt op plek 4.
- Reverse-engineering-referenties: het open project grott (Growatt-protocol) en ginlong-solis (Solis S3-stick).
Marktaandeel- en absolute aantallen voor Nederland zijn modelschattingen, behandel ze als ordegrootte. De installatiebasis en het overheidsoptreden zijn hard.