Permissions en veiligheid

10 min Gemiddeld Gratis

Permissions en veiligheid

Claude Code kan bestanden aanpassen, terminal commando’s uitvoeren en je hele project herschrijven. Dat is krachtig — maar ook een risico als je niet weet wat er gebeurt.

Denk aan Claude als een nieuwe medewerker op kantoor. Op dag één geef je niet meteen de sleutel van de kluis. Je laat eerst zien hoe alles werkt, en geeft stap voor stap meer verantwoordelijkheid.

De drie permission modes

Claude Code heeft drie niveaus van toestemming:

ModeWat het doetWanneer gebruiken
SuggestVraagt toestemming voor allesAls je net begint
Auto-editBestanden automatisch, terminal handmatigDagelijks gebruik
Full auto (YOLO)Doet alles zonder te vragenAlleen in wegwerp-projecten

In VS Code wissel je van mode via het icoontje linksonder in het Claude-venster. In de terminal gebruik je de /permissions command.

Wanneer vraagt Claude om toestemming?

Standaard vraagt Claude toestemming bij:

  • Bestanden aanmaken of wijzigen — nieuwe files, edits
  • Terminal commando’s — alles via bash
  • Externe tools — MCP servers, web requests

Je ziet dan een prompt met precies wat Claude wil doen. Lees dit even door voordat je op “Allow” klikt.

Tip

Klik niet blind op “Allow”. Neem 2 seconden om te lezen wat Claude wil doen. Vooral bij rm, git push, of commando’s die je niet herkent.

Allow en deny rules

Je kunt specifieke regels instellen zodat Claude bepaalde dingen altijd mag (of juist nooit mag). Dit doe je in .claude/settings.json:

{
  "permissions": {
    "allow": [
      "Bash(npm run *)",
      "Bash(git commit *)",
      "Bash(* --version)"
    ],
    "deny": [
      "Bash(git push *)",
      "Read(./.env)",
      "Read(./.env.*)"
    ]
  }
}

Wat dit doet:

  • npm run en git commit mag altijd zonder vragen
  • git push wordt geblokkeerd — je wilt zelf bepalen wanneer je pusht
  • .env bestanden zijn onzichtbaar voor Claude — je API keys blijven veilig
Let op

Zet nooit Read(./.env) in je allow-lijst. Claude heeft je API keys niet nodig en kan ze per ongeluk in code of commits verwerken.

De gevaarlijke vlag: —dangerously-skip-permissions

Er bestaat een optie om alle permission checks uit te schakelen:

claude --dangerously-skip-permissions

De naam zegt het al: dit is gevaarlijk. Claude kan dan zonder te vragen bestanden verwijderen, commando’s uitvoeren en je project overhoop gooien.

Wanneer is het OK?

  • In een wegwerp-container of sandbox
  • Bij geautomatiseerde CI/CD pipelines
  • Als je precies weet wat je doet en een back-up hebt

Wanneer absoluut NIET?

  • Op je eigen machine met echte projecten
  • Als je net begint met Claude Code
  • In een repo met gevoelige data

Praktische veiligheidsregels

Dit zijn de regels die ervaren Claude Code gebruikers volgen:

  1. Commit voor grote changes — vraag Claude om eerst te committen voordat het aan een grote refactor begint. Dan kun je altijd terug met git checkout.

  2. Review diffs — kijk na elke grote actie even naar git diff om te zien wat er veranderd is.

  3. Gebruik deny rules voor gevoelige bestanden.env, credentials, productie-configs.

  4. Start met suggest mode — upgrade pas naar auto-edit als je vertrouwen hebt in je setup.

  5. Houd je Git schoon — kleine commits, duidelijke messages. Dan is het makkelijk om iets terug te draaien.

De /permissions command

Tijdens een sessie kun je permissions aanpassen met:

/permissions

Dit opent een menu waar je regels kunt toevoegen of verwijderen. Handig als je halverwege beseft dat Claude iets te veel of te weinig mag.

Checkpoint bereikt!

Wat je nu moet kunnen:

Je weet nu:

  • Er zijn drie permission modes: suggest, auto-edit en full auto
  • Allow/deny rules stel je in via .claude/settings.json
  • Gebruik deny rules voor .env en gevoelige bestanden
  • --dangerously-skip-permissions is alleen voor sandboxes
  • Commit altijd voor grote changes — dan kun je terug