Direct naar hoofdinhoud

Top10VPN heeft een onafhankelijke redactie. We kunnen commissie krijgen als je een VPN aanschaft via onze links.

VPN Logboekbeleid uitgelegd

Callum Tennent's profile image
Callum Tennent

Callum Tennent houdt toezicht op de manier waarop wij VPN testen en beoordelen. Hij is lid van de IAPP en zijn adviezen over VPN's zijn verschenen in Forbes en op de website van Internet Society. Lees de volledige bio

Gecontroleerd op feiten door JP Jones

  2. Wat is een VPN?
  3. VPN-logbestanden

In het kort

Als het gaat om de bescherming van jouw privacy, is het essentieel dat je begrijpt welk type gegevens jouw VPN verzamelt. In deze uitgebreide gids over VPN logboekbeleid lees je welke providers je kunt vertrouwen.

VPN Logboekbeleid uitgelegd

Wanneer je kiest voor internetten met een VPN, vertrouw je gevoelige informatie aan de provider van je VPN-aanbieder toe.

Afhankelijk van zijn logboekbeleid kan je VPN-aanbieder je IP-adres, de keuze van de serverlocatie en zelfs de websites die je bezoekt controleren en opslaan.

Er zijn dus tientallen logbestanden met gevoelige gegevens die een VPN kan bijhouden en kan delen als dat verplicht is.

Wat een VPN precies registreert is dan ook een essentieel punt als je waarde hecht aan je digitale voetafdruk.

We hebben het logboekbeleid van de 61 populairste VPN-aanbieders op de markt onderzocht.

Uit ons onderzoek bleek dat de meeste VPN’s enige vorm van gegevens vastleggen, omwille van serviceverbeteringen of probleemoplossing.

  • 39% logt tijdstempels van verbindingen
  • 26% bewaart het oorspronkelijke IP-adres
  • 10% registreert gegevens over browseractiviteiten
  • 6% registreert het IP-adres van de server

Bekijk alle 61 VPN’s die we hebben geanalyseerd, en de gegevens die ze loggen, in onze gids voor de beste no-logs VPN-aanbieders.

Uit ons onderzoek is bovendien gebleken dat enkele providers van de populairste VPN’s gegevens over de internetactiviteit van hun gebruikers verzamelen en deze informatie met derden delen.

De beste VPN-aanbieders doen er alles aan om de privacy van hun gebruikers te beschermen. Deze bedrijven zijn volledig transparant over het type gegevens dat ze verzamelen, waarom ze die gegevens nodig hebben en hoelang ze deze bewaren.

Een dergelijke mate van transparantie is helaas zeldzaam.

Het logboekbeleid van populaire VPN-aanbieders is vaak vaag, ingewikkeld of misleidend.

Veel VPN-aanbieders beweren ten onrechte slechts een minimale hoeveelheid gegevens of helemaal geen gegevens te verzamelen. Andere zijn met opzet vaag over het exacte type gegevens waarnaar hun beleid verwijst.

Daar komt nog eens bij dat marketinginformatie op VPN-websites zelden overeenkomt met de inhoud van het privacybeleid. Met meer dan 300 VPN-aanbieders op de markt is het moeilijk om erachter te komen wie je kunt geloven.

Hoe vind je een VPN die je kunt vertrouwen?

In deze gids onderzoeken we de verschillende typen VPN-logbestanden, de redenen waarom bepaalde VPN’s logbestanden bijhouden en wat je kunt doen om je privacy te beschermen.

Welke soorten gegevens worden door VPN's geregistreerd?

Er zijn drie soorten logbestanden die je VPN kan vastleggen: activiteitslogbestanden, verbindingslogbestanden en gecumuleerde logbestanden. Om je privacy effectief te kunnen beschermen, moet je weten welke typen gegevens in elk van deze categorieën vallen.

1Activiteitslogbestanden

Het verzamelen van logbestanden over je activiteit is het type registratie dat de grootste impact heeft. Alle privacy of anonimiteit die een VPN zou moeten bieden, gaat hiermee verloren.

Deze logbestanden worden ook wel ‘gebruikslogs‘ genoemd en de gegevens die hierin worden vastgelegd, hebben rechtstreeks betrekking op je online activiteit.

Activiteitslogbestanden kunnen de volgende informatie bevatten:

  • Browser geschiedenis
  • DNS verzoeken
  • Bezochte URL’s
  • Metagegevens over gebruik

In het privacybeleid van Hola VPN zie je een goed voorbeeld van activiteitslogbestanden:

Een schermafbeelding van het privacybeleid van Hola VPN

Screenshot van Hola VPN’s privacybeleid

Gratis VPN-applicaties zoals Hola VPN maken zich vaak schuldig aan het verzamelen van activiteitsgegevens. Deze gegevens worden vaak gedeeld met of verkocht aan derden die ze gebruiken om te adverteren en zo in feite de abonnementskosten overnemen.

Sommige ‘no-log’ VPN-aanbieders op abonnementsbasis controleren gebruikersactiviteiten wanneer ze iemand verdacht vinden, of wanneer ze daartoe wettelijk verplicht zijn. Andere registreren gebruikersactiviteiten in real-time en verwijderen die als de VPN-sessie voorbij is.

Uit ons onderzoek van SkyVPN bleek bijvoorbeeld dat de dienst persoonlijk identificeerbare informatie logt, zoals je IP-adres en locatiegegevens:

Een schermafbeelding van het privacybeleid van SkyVPN

Screenshot uit het privacybeleid van SkyVPN.

Omdat de gegevens meteen weer verwijderd worden, hoeft dit type registratie geen groot probleem te zijn. Toch is het beter om dit te vermijden als dat enigszins mogelijk is.

Andere providers zoals Hide.me kunnen door de configuratie van hun netwerk helemaal geen activiteitslogbestanden bijhouden. Wat de privacy betreft, kun je dan ook het beste een van deze providers kiezen.

VPN’s die activiteitsgegevens opslaan, moet je uiteraard vermijden. Bekijk de populairste VPN’s die activiteitsgegevens registreren als je je zorgen maakt over de registratie van je activiteit.

2Verbindingslogbestanden

Verbindingslogbestanden kunnen de volgende informatie bevatten:

  • Bandbreedtegebruik
  • Datum en tijd van verbindingen
  • Oorspronkelijk IP-adres
  • IP-adres van de VPN-server

Verbindingslogbestanden kunnen worden verzameld op het niveau van de server (bijvoorbeeld totaal gebruik van serverbandbreedte) of van de gebruiker (bijvoorbeeld je oorspronkelijke IP-adres).

Deze gegevens worden doorgaans gebruikt om de netwerkprestaties te optimaliseren en problemen van klanten op te lossen.

Verbindingslogs op serverniveau zijn een goed voorbeeld van waarom niet alle logging een probleem is. Het is vrijwel onmogelijk voor een VPN om de prestaties te waarborgen zonder gegevens te registreren.

Het monitoren en opslaan van de juiste, niet-identificeerbare gegevens zorgt ervoor dat je de best mogelijke ervaring krijgt met je VPN.

Door de verkeerde verbindingsgegevens op te slaan, kan een VPN-aanbieder jou echter aan je activiteit koppelen. Op basis daarvan zouden ze je persoonlijk kunnen identificeren, en dat is juist wat privacy-bewuste gebruikers niet willen.

Als je je zorgen maakt over het type verbindingsgegevens dat door jouw VPN wordt geregistreerd, lees je hieronder precies welk type registratie onacceptabel is.

Hier zie je een voorbeeld van gedetailleerde verbindingslogbestanden uit het registratiebeleid van Thunder VPN:

Een schermafbeelding van het privacybeleid van Thunder VPN

Screenshot uit Thunder VPN’s privacybeleid.

Er wordt vaak beweerd dat deze gegevens alleen worden gebruikt om klanten “de best mogelijke ervaring te bieden” of om de “klantenservice te verbeteren”, maar wij weten uit ervaring dat dit detailniveau niet nodig is om een goed werkend VPN-netwerk te onderhouden.

3Gecumuleerde logbestanden

Enkele van de populairste VPN’s op de markt genereren gecumuleerde logbestanden. Dat wil zeggen dat de VPN informatie verzamelt die geanonimiseerd zou moeten zijn en die onmogelijk aan een specifieke gebruiker kan worden gekoppeld.

Een VPN-aanbieder kan de websites verzamelen die je bekijkt, de bandbreedte registreren die je gebruikt of de datums en tijden vastleggen waarop je verbinding maakt met een server. Deze informatie wordt vervolgens ontdaan van identificerende factoren en dan toegevoegd aan een grotere database.

Het is belangrijk om te weten dat sommige VPN’s beweren geen logbestanden bij te houden terwijl ze in werkelijkheid wel gecumuleerde logbestanden verzamelen. Het privacybeleid van Anchorfree is een goed voorbeeld van waar je op moet letten:

Een schermafbeelding van het privacybeleid van Anchorfree

Screenshot uit Anchorfree’s privacybeleid.

Uiteindelijk zijn gecumuleerde en geanonimiseerde gegevens niet altijd het wondermiddel dat marketingteams je willen doen geloven.

Of dit type registratie acceptabel is, hangt af van het exacte type gegevens dat wordt gecumuleerd en hoe doeltreffend deze worden geanonimiseerd. Je moet er dus maar van uitgaan dat je VPN-aanbieder je gegevens effectief anonimiseert.

Als je niet zo goed van vertrouwen bent, kun je beter kiezen voor een echte no-logs VPN-aanbieder.

Wat is een no-logs VPN?

Een echte no-logs VPN-aanbieder verzamelt of bewaart geen activiteits- of verbindingsgegevens die kunnen worden gebruikt om jou te identificeren. Het belangrijkste hierbij is dat de service geen enkele informatie verzamelt of opslaat die via de VPN-tunnel wordt overgedragen.

Op die manier wordt gewaarborgd dat gebruikers niet kunnen worden gekoppeld aan een specifieke activiteit of verbinding in het VPN-netwerk. Elke gebruiker blijft privé, anoniem en onbekend, ook voor de VPN-provider.

De enige identificerende informatie die een no-logs VPN heeft, is je e-mailadres (voor de registratie van je account) en je betalingsgegevens (voor het geval je je geld terug wilt).

OPMERKING: bij sommige VPN-aanbieders, zoals ExpressVPN, kun je met Bitcoin betalen zodat je je niet hoeft te identificeren tijdens het betalingsproces. Bij Mullvad VPN kun je zelfs contant betalen.

No log VPN’s kunnen niet verplicht worden om gegevens van gebruikers beschikbaar te stellen aan autoriteiten of derden, omdat die gegevens er simpelweg niet zijn.

Een sterk registratiebeleid kan dus een oplossing zijn in een onveilig VPN-rechtsgebied.

Bedenk wel dat “no-logs” niet wil zeggen dat er absoluut geen gegevens worden bewaard. Echte “zero logging” is in feite onmogelijk uit te voeren met behoud van een sterk netwerk of handhaving van beperkingen zoals apparaatlimieten.

De meeste VPN’s houden zeer elementaire gegevens bij, zoals gecumuleerde data over de serverbelasting (het aantal gebruikers of de gebruikte bandbreedte per server). Deze minimale registratie is gerechtvaardigd en hierbij worden geen identificeerbare gegevens vastgelegd. Dit wordt dan nog steeds een no-logs VPN genoemd.

Welke soort registratie is acceptabel?

Enkele van de beste providers op de markt houden elementaire verbindingsgegevens bij die niet kunnen worden gebruikt om iemand te identificeren. Een legitieme VPN-aanbieder die de privacy van zijn gebruikers beschermt, mag de volgende informatie verzamelen:

  • Gecumuleerd bandbreedte gebruik
  • Gecumuleerde verbindingslogbestanden
  • VPN-serverlocatie
  • Gegevens over serverbelasting
  • Subnet van oorspronkelijk IP-adres*

* Een deel van je IP-adres. Hiermee kan wel je internetprovider worden geïdentificeerd, maar jijzelf niet.

Welke soort registratie is niet acceptabel?

Virtual Private Networks zijn in de eerste plaats bedoeld als privacytool. Daarom zijn er bepaalde typen gegevens die absoluut niet mogen worden verzameld.

Vermijd VPN-aanbieders die de volgende gegevens vastleggen:

  • Browseractiviteit
  • Oorspronkelijk IP-adres
  • Toegewezen IP-adres van VPN-server
  • Individuele tijdstempels*
  • Individueel bandbreedte gebruik*
  • DNS-query’s

* Dit type gegevens vormt alleen een risico als ze worden vastgelegd in combinatie met andere gedetailleerde verbindingsgegevens.

Populaire VPN's die activiteitslogbestanden bijhouden

De volgende VPN-aanbieders registreren je browsergeschiedenis en activiteitsgegevens. Dit type registratie moet je uiteraard koste wat kost vermijden.

Houd er rekening mee dat dit geen complete lijst is van alle VPN’s die activiteitslogbestanden bijhouden. Controleer altijd zelf het beleid van de provider voordat je deze jouw gegevens toevertrouwt.

Provider Geregistreerde gegevens Bewaartijd
Hola gratis VPN
  • Bezochte URL’s
  • Doorgebrachte tijd op webpagina’s
  • Datums en tijden van toegang
  • Oorspronkelijk IP-adres
  • Type browser
 “Zolang als nodig”
McAfee Safe Connect
  • Bezochte URL’s
  • Doorgebrachte tijd op webpagina’s
  • Tijdstempels van verbinding
  • Oorspronkelijk IP-adres
  • Unieke apparaat-ID
  • Type browser
  • Locatiegegevens
  • Bestandsgegevens (e-mails, bijlagen enz.)
 “Zolang als nodig”
Psiphon
  • Bezochte domeinen
  • Gebruikt VPN-protocol
  • VPN-sessietijd
  • Bandbreedte gebruik
  • Locatiegegevens
  • Internetprovider
 90 dagen
VPN99
  • Bezochte URL’s
  • Unieke apparaat-ID
  • Oorspronkelijk IP-adres
  • Tijdstempels van verbinding
  • Versie van besturingssysteem
  • Type browser
 5 jaar

*Standaard verzameld via de functie “operationele fouten melden” in de applicatie.

Waarom registreren VPN's gegevens?

Er zijn heel wat legitieme redenen waarom VPN-providers enkele elementaire logbestanden bijhouden, zoals:

1Bandbreedte limieten

Gratis of ‘freemium’ VPN’s hanteren vaak een limiet voor de hoeveelheid data die een gebruiker binnen een bepaalde periode kan overdragen. Om de hoeveelheid bandbreedte die door een specifiek account wordt gebruikt te beperken, moeten uiteraard bepaalde gegevens worden geregistreerd.

Dit type registratie is op zich geen probleem. Als een VPN echter enerzijds beweert volledig ‘zero logs’ te zijn, maar anderzijds bandbreedte limieten hanteert, zijn de claims dus niet helemaal waar.

2Apparaat limieten

Beperking van het aantal apparaten dat per account kan worden gebruikt, is een van de meest voorkomende redenen voor het bijhouden van logbestanden. Om dit te kunnen afdwingen, moeten er vrijwel altijd bepaalde gegevens tijdelijk worden vastgelegd, in ieder geval tijdens elke VPN-sessie.

Hoe elke provider apparaat limieten precies afdwingt, is subjectief. Soms wordt in het privacybeleid duidelijk uitgelegd hoe het aantal gelijktijdige verbindingen per account wordt geregistreerd. Er zijn echter ook ‘no-logs’ VPN’s die apparaat limieten hanteren zonder uit te leggen hoe ze dat precies doen.

NordVPN is een goed voorbeeld van een VPN die ondanks apparaat limieten veel moeite doet om de privacy van gebruikers te beschermen. In plaats van verbindingsgegevens van gebruikers op te slaan, gebruikt NordVPN een uniek algoritme om gelijktijdige sessies bij te houden:

“Om het aantal gelijktijdige sessies van een actieve gebruiker te beperken, houdt een algoritme tijdens de sessie de gebruikersnaam en de tijdstempel van de laatste sessiestatus bij. Deze gegevens worden binnen 15 minuten na het einde van de sessie gewist.”

3Virtual Private Servers

Om kosten te besparen huren sommige VPN-aanbieders Virtual Private Servers (VPS). Deze zijn veel goedkoper dan fysieke servers die speciaal voor dit doel worden gebruikt, vooral in landen die geen goede digitale infrastructuur hebben.

Een VPN-provider kan hiermee dus de overheadkosten verlagen, maar het kan ook nadelige gevolgen hebben voor de privacy.

Gehuurde servers kunnen ondanks het registratiebeleid van het VPN-bedrijf toch activiteitslogbestanden bijhouden. Afhankelijk van het rechtsgebied van de gehuurde server zouden lokale autoriteiten de serverhost kunnen dwingen deze gegevens te registreren of te delen.

In dit geval is het logboekbeleid van het VPN-bedrijf overbodig. Lokale autoriteiten kunnen rechtstreeks naar de serverhost gaan om de informatie te vinden die ze nodig hebben.

Dit probleem kwam in 2014 aan het licht toen een gebruiker van EarthVPN in Nederland werd gearresteerd. Ondanks dat EarthVPN een no-log beleid hanteert, werd de host van de virtuele server door de autoriteiten gedwongen de gegevens te verstrekken die ze nodig hadden om de verdachte te identificeren.

4Wettelijke verplichtingen

Inlichtingendiensten zoals de Amerikaanse NSA (National Security Agency) en de Britse GCHQ (Government Communications Headquarters) hebben de bevoegdheid om organisaties te dwingen persoonlijke informatie te registreren en te delen. De grootschaligheid van hun toezichtsprogramma’s maakt het heel gemakkelijk om een bepaald bedrijf of servernetwerk onder de loep te nemen.

Deze registratieverzoeken gaan soms gepaard met een zwijgplicht, die bepaalt dat het bedrijf niet openbaar mag maken wat ze onder dwang van de overheid moeten doen. Sommige VPN-bedrijven publiceren een zogenaamde Warrant Canary om dit probleem aan te pakken.

Lees onze gids over VPN-rechtsgebieden voor meer informatie over Warrant Canaries, grootschalig toezicht en de invloed van de locatie van een VPN op je privacy.

5Prestatie optimalisatie

Registratie van gegevens is niet vereist om een VPN-aanbieder snel, privé en betrouwbaar te houden, maar het helpt wel. Elementaire verbindingsgegevens kunnen helpen om de meest geschikte server te selecteren of om bronnen toe te wijzen aan de populairste serverlocaties.

Veel VPN-providers gebruiken prestatieoptimalisatie als argument om uitgebreide registratiepraktijken te rechtvaardigen. Houd voor ogen dat er meestal niet meer dan enkele elementaire verbindingsgegevens nodig zijn om een VPN-netwerk goed werkend te houden.

Het probleem met het logboekbeleid van VPN's

Een afbeelding van een vrouw die zichzelf met een paraplu tegen kijkende ogen beschermt.

Nietsvermoedende VPN-gebruikers worden vaak misleid door een vaag, onjuist of opzettelijk verwarrend registratiebeleid dat de illusie van privacy moet creëren.

Als je niet weet waarop je moet letten, kun je per ongeluk kiezen voor een VPN-aanbieder waarbij je risico’s loopt.

Als je het privacybeleid van een VPN leest of van plan bent een abonnement te nemen, moet je je bewust zijn van de onderstaande veelvoorkomende problemen.

Ben je al op de hoogte van deze problemen, dan kun je meteen doorgaan naar Jezelf beschermen.

1Misleidende reclame

Met uitzondering van onafhankelijke auditing is het bijna onmogelijk om het logboekbeleid van een VPN echt te controleren totdat het te laat is.

Er zijn diverse voorbeelden van VPN-providers die beweren een ‘privé’ VPN of een ‘no logs’ VPN te bieden, terwijl uiteindelijk is gebleken dat ze gedetailleerde logbestanden met de autoriteiten hebben gedeeld.

De in Londen gevestigde VPN-aanbieder HideMyAss (HMA) heeft in 2011 bijvoorbeeld een cruciale rol gespeeld bij de arrestatie van Cody Kretsinger. De 23-jarige Kretsinger uit Phoenix was lid van de hackersgroep LulzSec, een spin-off van het internationale hackers- en activistencollectief Anonymous.

HMA beweerde een service te zijn waar privacy de hoogste prioriteit had en waarmee gebruikers “in volledige privacy anoniem online surfen” konden:

Een schermafbeelding van een archief van de startpagina van HideMyAss

Screenshot uit een archief van HideMyAss’s homepage, 18 juli 2011.

De FBI herleidde de hack van Kretsinger naar een IP-adres van HMA en vaardigde meteen een Brits gerechtelijk bevel voor de logbestanden uit. HMA gaf hieraan gehoor en deelde de verbindingslogbestanden aan de hand waarvan Kretsinger uiteindelijk kon worden geïdentificeerd.

Het spreekt voor zich dat illegale activiteiten onder geen enkele voorwaarde getolereerd mogen worden, maar dit incident is slechts één voorbeeld van een ernstige tekortkoming in het VPN-ecosysteem. Als je beweert dat het product dat je verkoopt de identiteit van de gebruiker beschermt en vervolgens precies het tegenovergestelde doet, is dat op zijn minst misleidend.

HideMyAss is niet de enige VPN die zich schuldig maakt aan misleidende reclame. Ook IPVanish is in het verleden over de schreef gegaan met de registratie van gegevens.

In 2016 werkte IPVanish samen met de FBI aan een strafrechtelijk onderzoek. Ondanks een privacybeleid dat expliciet melding maakt van zijn zero-logging praktijken, gaf IPVanish uiteindelijk toe aan juridische verzoeken en verstrekte gedetailleerde verbindingsgegevens aan de autoriteiten.

Een schermafbeelding van een archief van het privacybeleid van IPVanish

Screenshot uit een archief van het privacybeleid van IPVanish, 13 maart 2016.

Dit is uiteraard zorgwekkend, maar voor de volledigheid moet er wel bij worden vermeld dat het bedrijf op het moment van dit incident een andere eigenaar en een ander management had. Lees onze volledige beoordeling van IPVanish voor meer informatie over dit voorval.

Er zijn waarschijnlijk nog veel meer voorbeelden van zogenaamde ‘no-log’ VPN’s, die in de praktijk wel gegevens delen met autoriteiten of reclame maken met valse claims. In de meeste gevallen komen we daar helaas nooit achter. Daarom is het belangrijk om de geschiedenis van een provider te bekijken voordat je een beslissing neemt.

2Opzettelijke onduidelijkheid

Idealiter zou in het registratiebeleid van elke VPN duidelijk moeten worden uitgelegd welke gegevens tijdens en na een VPN-sessie worden bewaard. Veel providers zijn echter met opzet onduidelijk om een vals gevoel van veiligheid te creëren.

De meeste gebruikers realiseren zich niet dat algemene claims zoals ‘no-logs’ soms iets anders betekenen dan wat zij denken. Sommige VPN-providers profiteren van het feit dat er in de hele branche geen standaarddefinitie van ‘logbestanden’ bestaat.

VPN-aanbieders laten dan ook vaak na om expliciet te vermelden op welk type gegevens hun ‘no-log’ claims betrekking hebben.

Een provider kan bijvoorbeeld legitiem adverteren met ‘no-logs’ voor activiteitsgegevens, maar ondertussen wel persoonlijk identificeerbare verbindingsgegevens blijven registreren.

Het komt er dus op neer dat veel VPN-providers uitsluitend op basis van hun eigen normen het label ‘no logs’ op hun product plakken.

Enkele verbindingslogbestanden hoeven geen probleem te zijn, maar valse of tegenstrijdige beweringen van providers maken de verwarring en het wantrouwen bij de keuze van een VPN alleen maar groter.

Bovendien zien we ook regelmatig dat de marketingclaims van een VPN volledig in strijd zijn met wat er in het privacybeleid staat. Vaak staat er op de startpagina met grote letters ‘zero logging’, terwijl in de voorwaarden zorgvuldig uiteen wordt gezet welke gegevens wel worden bewaard.

Bij ThunderVPN zie je een goed voorbeeld van deze tactieken. Het bedrijf adverteert duidelijk met een “strikt” no-logging beleid in de Google Play Store:

Een schermafbeelding van de vermelding van ThunderVPN in de Google Play Store

Screenshot van ThunderVPN’s Google Play Store listing.

Maar als je het privacybeleid even doorleest, blijkt dat helemaal niet te kloppen:

Een schermafbeelding van het privacybeleid van Thunder VPN. Let op de delen die we rood hebben onderstreept.

Schermafbeelding van het privacybeleid van Thunder VPN.

Dit soort praktijken zijn niet alleen oneerlijk, maar kunnen ook gevaarlijk zijn voor nietsvermoedende VPN-gebruikers die het beleid van hun provider niet goed hebben gelezen.

Als je erachter komt dat een VPN tegenstrijdige of misleidende dingen beweert over de registratie van gegevens, kun je je afvragen hoe betrouwbaar dat bedrijf is. Vaak is dat geen VPN waaraan je je gevoelige gegevens toevertrouwt.

3Gebrek aan details

Wat opvalt is dat minder populaire VPN-providers vaak helemaal geen privacybeleid hebben. En als er geen informatie over het verzamelen van gegevens op de website van de provider staat, betekent dat uiteraard dat je die VPN niet moet vertrouwen.

Let ook op als het beleid opvallend kort is. Veel providers zeggen alleen:

“Wij registreren geen activiteit van u terwijl u verbonden bent met de VPN-aanbieder.”

Dat zegt echter niks over hoe je data mogelijk op andere manieren worden verzameld.

Het privacybeleid van Yoga VPN is een goed voorbeeld van wat je moet vermijden. Het hele document is maar 371 woorden lang en zegt helemaal niets over de manier waarop Yoga VPN te werk gaat.

Sommige services zijn ook erg vaag over hoe de servicevoorwaarden worden afgedwongen, en dat is een slecht teken. Tientallen providers pronken met “no-logs” maar waarschuwen gebruikers ook dat zij “verdacht gedrag zullen onderzoeken” of “misbruikende gebruikers zullen verbieden” in dezelfde zin.

De vraag is dan: als een VPN je IP-adres of activiteit niet registreert, hoe kunnen ze dan verdacht gedrag onderzoeken?

Als het logboekbeleid van een VPN erg kort of vaag is, kun je het beste bij de klantenservice van de provider navragen hoe het precies zit. Als de provider van een product niet de moeite neemt om duidelijk te zijn over de gehanteerde werkwijze, kun je dat product beter niet gebruiken.

4Rechtsgebied

Logboekbeleid en rechtsgebied zijn twee dingen die nauw met elkaar zijn verweven. Schimmige rechtsgebieden kunnen dan wel goed zijn voor de privacy, ze kunnen ook voor problemen zorgen als het gaat om de verantwoordelijkheid.

Het is veel lastiger om een bedrijf dat ver weg is gevestigd, verantwoordelijk te houden voor het schenden van wetten op het gebied van misleidende reclame of het om de tuin leiden van klanten. Als een VPN in Panama een klant in Duitsland bijvoorbeeld met opzet misleidt, valt daar weinig aan te doen.

Belangrijker is echter dat het rechtsgebied van een VPN-provider van invloed is op de wettelijke verplichting van die provider om gegevens te registreren en desgevraagd aan de autoriteiten te verstrekken. Een service in de Verenigde Staten kan bijvoorbeeld verplicht worden om gebruikers heimelijk te volgen.

Dergelijke rechtsgebieden hoeven geen groot probleem te zijn als het een echte no-logs VPN is. Het kan echter veiliger zijn om een service buiten deze landen te kiezen.

Lees onze gids over VPN-rechtsgebieden voor meer informatie over het delen van gegevens tussen de 5, 9 en 14 Eyes-allianties.

Zo kun je jezelf beschermen

Als je bang bent dat je VPN je privacy niet volledig beschermt, zijn er verschillende dingen die je kunt doen om je gevoelige gegevens nog verder te beveiligen.

1Kies een geverifieerde no logs VPN

Er zijn verschillende gevallen geweest waarin rechtszaken en gebeurtenissen in de praktijk het zero-loggingbeleid van een VPN-provider hebben geverifieerd.

Van services zoals ExpressVPN en Private Internet Access werden de servers in beslag genomen, maar zij konden niet met de autoriteiten samenwerken omdat er geen opgeslagen gegevens waren. Bovendien werd het registratiebeleid van beide providers geverifieerd door externe auditors.

Ook de volgende VPN-providers zijn met succes door een onafhankelijke audit gekomen:

  • Hide.me
  • IVPN
  • Mullvad VPN
  • Surfshark
  • IPVanish
  • PIA

Als je je zorgen maakt over registratie van gegevens, kun je het beste kiezen voor een VPN met een bewezen reputatie.

2Combineer een VPN met Tor

Anonimiteit komt een stap dichterbij als je een VPN in combinatie met de Tor-browser gebruikt, mits goed geconfigureerd.

Houd er wel rekening mee dat de Tor-browser zeer traag is. Als je een VPN combineert met Tor, gaat dit ten koste van de prestaties en de verbindingssnelheid.

3Verschillende VPN-aanbieders tegelijk

Door meerdere VPN-aanbieders tegelijk te gebruiken, voeg je een extra beschermingslaag toe aan je identiteit.

De eenvoudigste manier om dit te doen, is door een VPN-router te configureren en je apparaat hierop aan te sluiten. Installeer een VPN van een andere provider op hetzelfde apparaat en start vervolgens de applicatie. Je gegevens lopen dan tegelijkertijd via beide providers.

Net zoals bij een VPN in combinatie met Tor heeft ook het ‘stapelen’ van meerdere VPN-aanbieders ingrijpende gevolgen voor de prestaties.

4Kies een privacy-vriendelijk rechtsgebied

Een abonnement op een VPN buiten de belangrijkste landen die inlichtingen uitwisselen is de veiligste optie.

Wanneer een VPN buiten deze invasieve rechtsgebieden werkt, wil dat echter nog niet zeggen dat de VPN-provider betrouwbaar is. Het VPN-bedrijf kan nog steeds met buitenlandse autoriteiten samenwerken en zelfs je gegevens registreren.

Wees niet bang om vragen te stellen

VPN logbestanden zijn niet altijd slecht. Uiteindelijk hangt hun belang af van de hoeveelheid anonimiteit die je wilt bereiken.

Het grootste probleem is echter het grootschalige gebrek aan eerlijkheid en transparantie. Bij een legitieme VPN-provider kun je er absoluut zeker van zijn dat je persoonlijke gegevens in veilige handen zijn.

Als je ziet dat de beweringen op de startpagina van een provider niet overeenkomen met wat er in het privacybeleid staat, kun je beter een ander bedrijf zoeken. Neem contact op met de klantenservice als iets onduidelijk of verdacht is.

Het gaat erom dat je precies begrijpt hoe VPN-aanbieders hun beleid kunnen manipuleren. Als je eenmaal weet hoe het werkt, kun je op zoek gaan naar eerlijke providers en eventueel nog extra maatregelen treffen als je nog meer anonimiteit wilt.

Het gaat om jouw privacy, dus je mag als gebruiker op zijn minst transparantie verlangen.

Gerelateerde gidsen