Wat is de invloed van het rechtsgebied van een VPN?

Het rechtsgebied van een VPN-aanbieder is het land waarin de service wettelijk is gevestigd. Het rechtssysteem van dit land is van invloed op de wetgeving en privacyregels die van toepassing zijn op de VPN-aanbieder.

De mate waarin de overheid het internetgebruik bewaakt en controleert, verschilt van land tot land. Een bemoeizuchtig of gevaarlijk rechtsgebied kan een VPN-aanbieder dwingen om gegevens over de gebruikers te monitoren, verzamelen of delen.

VPN-servers vallen onder het rechtsgebied van het land waarin ze zich fysiek bevinden. De autoriteiten in dit land zijn wettelijk bevoegd om de server in beslag te nemen om de gegevens die erop staan te onderzoeken.

Deze autoriteiten kunnen dus wel de server zelf in beslag nemen, maar ze kunnen het VPN-bedrijf niet dwingen om informatie te delen, omdat het bedrijf in een ander land is gevestigd. Daarom is het logboekbeleid van een VPN net zo belangrijk is als een goed rechtsgebied.

Afhankelijk van de mate waarin je eigen land het gebruik van internet reguleert, kun je ervoor kiezen een VPN-aanbieder in een ander land te gebruiken.

Bovendien is het verstandig om een rechtsgebied te kiezen dat sterke privacywetten heeft en dat geen deel uitmaakt van een internationaal bondgenootschap voor het delen van gegevens.

Als je een VPN gebruikt om je privacy te beschermen, ga je er al vanuit dat je bepaalde partijen niet kunt vertrouwen, of dat nu de websites zijn die je bekijkt of je regering.

Het gebruik van een VPN in een invasief rechtsgebied betekent simpelweg een extra onbetrouwbare partij. Het bedrijf kan gedwongen worden om informatie over te dragen aan de autoriteiten en die informatie kan vervolgens met andere landen worden gedeeld op basis van overeenkomsten voor het delen van inlichtingen.

Wanneer deze locaties onder invasieve wetgeving vallen, bestaat het risico op ongegronde doorzoekingen en schendingen van de privacy onder het mom van ‘beveiliging’.

Het rechtsgebied is dus belangrijk, maar het is slechts één van de vele factoren waarmee je rekening moet houden bij het kiezen van een VPN. Hoe zwaar dit precies weegt, is afhankelijk van de mate van bescherming die je nodig hebt.

Als je jezelf wilt beschermen tegen doelgericht toezicht door de overheid, is het kiezen van een VPN in een veilig rechtsgebied waarschijnlijk niet genoeg. Nationale inlichtingendiensten hebben toegang tot zeer uitgebreide bronnen. Als ze jou willen onderzoeken, spelen veel meer dingen mee dan alleen het rechtsgebied van je VPN.

Vertrouwen is ook een belangrijke factor. Ook een VPN in een “veilig” rechtsgebied kan liegen tegen zijn klanten en samenwerken met de autoriteiten.

Als het gaat om de bescherming van je online privacy zijn de locatie van de servers waarmee je verbinding maakt en de praktijken van het bedrijf dat deze servers beheert, belangrijker dan het land waar het bedrijf is gevestigd.

Toch zijn VPN-rechtsgebieden nog steeds belangrijk als privacy voor jou een hoge prioriteit heeft. Je kunt risico lopen op de volgende gebieden:

Toezicht en dataretentie

Naast hun gebruikelijke infrastructuur voor toezicht hebben inlichtingendiensten zoals de Amerikaanse NSA (National Security Agency) en de Britse GCHQ (Government Communications Headquarters) de bevoegdheid om binnenlandse organisaties te dwingen persoonlijke informatie te registreren, delen en ontsleutelen.

Onder de Amerikaanse Patriot Act hebben federale overheden meer bevoegdheden gekregen om data te verzamelen via National Security Letters. Met deze wetten kunnen bedrijven gedwongen worden om gegevens te verzamelen voor overheidsinstellingen.

Deze verzoeken gaan soms gepaard met een zwijgplicht, die bepaalt dat het bedrijf niet openbaar mag maken wat ze onder dwang van de overheid moeten doen. Sommige VPN-bedrijven publiceren een zogenaamde Warrant Canary om dit probleem aan te pakken. Hierop komen we later nog terug.

Een bekend precedent hiervan is het volgende. In 2013 probeerde de FBI informatie over Edward Snowden op te vragen bij Lavabit, een dienst voor het versleutelen van e-mail.

Lavabit kreeg een dagvaarding met zwijgplicht om de encryptiesleutels voor de e-mailinhoud van zijn gebruikers te overhandigen. De FBI zou daarmee in realtime toegang krijgen tot de e-mails van alle klanten van Lavabit, niet alleen die van Snowden.

De oprichter van het bedrijf, Ladar Levison, verstrekte de encryptiesleutels en beëindigde de dienst meteen. De Amerikaanse autoriteiten dreigden Levison daarop te arresteren, omdat dit in strijd zou zijn met de dagvaarding.

Ook de VPN-aanbieder Riseup uit het Amerikaanse Seattle werd op een vergelijkbare manier gedwongen om gebruikersgegevens te verzamelen voor de overheid, en het bedrijf werd zwijgplicht opgelegd om ervoor te zorgen dat dit niet bekend gemaakt werd aan de gebruikers.

HideMyAss, een VPN-provider in het Verenigd Koninkrijk, kreeg eveneens een gerechtelijk bevel om gegevens te verzamelen en met de autoriteiten te delen in het kader van een strafrechtelijk onderzoek. Dit werd pas na de rechtsvervolging bekendgemaakt.

Dit zijn slechts enkele voorbeelden van gevallen die openbaar zijn gemaakt. Maar waarschijnlijk zijn er nog veel meer gevallen, waarover we nog niet gehoord hebben.

Overeenkomsten voor het delen van gegevens

Landen die internationale toezichtovereenkomsten hebben gesloten, zoals de Five, Nine en Fourteen Eyes Alliances, kunnen gebruikmaken van, zoals de EFF het formuleert, “de kleinste gemeenschappelijke privacydeler”.

Met andere woorden, elk deelnemend land profiteert van de enorme hoeveelheid toezichtsgegevens die door de andere leden wordt gegenereerd.

De manier waarop deze landen informatie delen, heeft grote gevolgen voor internetgebruikers en vooral voor gebruikers van een VPN. Je kunt ervan uitgaan dat wanneer één van deze landen toegang krijgt tot jouw gegevens, die gegevens vervolgens met andere landen gedeeld kunnen worden.

Als in een van deze landen een wet wordt aangenomen waarmee de mogelijkheden voor elektronisch toezicht worden uitgebreid, kan die wet in feite worden gebruikt door alle landen die de overeenkomst hebben getekend.

De kans is dan groot dat jouw activiteit wordt gevolgd en met een inlichtingendienst wordt gedeeld, ongeacht waar jij je op de wereld bevindt.

Locaties van virtuele servers en gehuurde servers

Sommige VPN-aanbieders huren hun servers bij datacenters om de operationele kosten terug te dringen. Als je de servers niet zelf hoeft aan te schaffen, wordt het runnen van een internationaal servernetwerk aanzienlijk goedkoper.

Een VPN-provider kan hiermee dus de overheadkosten verlagen, maar het kan ook negatieve gevolgen hebben voor de privacy.

Gehuurde VPN-servers zijn het eigendom van het datacenter dat de servers verhuurt. Dat datacenter kan logs van je activiteit bijhouden, ongeacht het logboekbeleid van het VPN-bedrijf.

Afhankelijk van het rechtsgebied van het datacenter kunnen lokale autoriteiten de serverhost bovendien dwingen om deze gegevens te registreren of delen.

Het rechtsgebied en het logboekbeleid van het VPN-bedrijf spelen dan geen rol. Lokale autoriteiten kunnen zich rechtstreeks tot de serverhost wenden om de informatie die ze nodig hebben op te vragen. Meer informatie over gehuurde VPN-servers vind je in onze gids over locaties van virtuele servers.

Als je belang hecht aan je privacy, is het raadzaam om een VPN-aanbieder te kiezen buiten de landen van de Five, Nine of Fourteen Eyes Alliances.

Bij de landen van deze allianties is de kans namelijk veel groter dat ze deelnemen aan invasieve toezicht-, dataretentie- en inlichtingenprogramma’s.

Ook kunnen de machtigste landen in de allianties waarschijnlijk andere leden dwingen om gegevens te registreren of op andere manieren samen te werken.

Houd bij het beoordelen van het rechtsgebied van een VPN rekening met de volgende factoren:

• Geen relaties met bemoeizuchtige landen. Sommige overheden hebben politieke verplichtingen of banden met andere landen die machtiger en invasiever zijn. Deze internationale banden kunnen de privacy van je gegevens in gevaar brengen.
• Gerechtelijke bevelen en dagvaardingen in het verleden. Vermijd landen en regeringen met een geschiedenis van online censuur of vervolging op basis van de inhoud van de browsing logs van hun burgers.
• Sterke wetten op het gebied van privacy en netneutraliteit. Wetten voor netneutraliteit zijn niet rechtstreeks van invloed op je privacy, maar geven wel aan dat de overheid een relatie heeft met internet- en telecomproviders die schadelijk kan zijn voor de consument.

Wat is een veilige haven voor privacy?

Over het algemeen wordt het aanbevolen een VPN te kiezen in een land dat als “veilige haven voor privacy” wordt beschouwd.

Een veilige haven voor privacy is een land dat in wettelijk en politiek opzicht positief staat tegenover het idee van online privacy. Deze landen nemen zelden deel aan samenwerkingsverbanden voor verplicht toezicht, dataretentie of het delen van gegevens. Vaak hebben ze ook een zeer sterke privacywetgeving.

Deze landen zijn niet verplicht om gegevens van gebruikers te delen met internationale autoriteiten, maar ze beschikken vaak evenmin over de regelgeving die nodig is om gebruikersdata op de juiste wijze te beschermen. En dat kan dan weer ten koste gaan van de bescherming van je privacy.

Landen die vaak een veilige haven voor privacy worden genoemd, zijn de Britse Maagdeneilanden, Panama, de Seychellen, de Kaaimaneilanden en Maleisië.

Veel VPN’s registreren hun bedrijf bewust in een van deze landen om er zeker van te zijn dat hun service zo privé en veilig mogelijk blijft. Enkele voorbeelden hiervan zijn ExpressVPN, NordVPN, Astrill en Surfshark.

Er zijn ook enkele VPN’s die betrouwbaar zijn gebleken ondanks het feit dat ze vanuit een “gevaarlijk” rechtsgebied actief zijn. Private Internet Access (PIA) kon bijvoorbeeld, ondanks een dagvaarding voor informatie, geen gegevens aan de Amerikaanse overheid verstrekken voor een officiële rechtszaak.

Er zijn slechts weinig echte no-logs VPN-aanbieders en waarvan dit in de praktijk is geverifieerd door externe audits of testcases. Een VPN in een veilig offshore rechtsgebied voegt gewoon extra bescherming toe, omdat de kans kleiner is dat het bedrijf gedwongen kan worden om data te delen met de autoriteiten.

Moeten VPN-aanbieders een Warrant Canary gebruiken?

Een Warrant Canary is een verklaring die serviceproviders regelmatig publiceren als bewijs dat ze niet zijn benaderd door een overheidsinstantie of niet zijn gedwongen om gebruikersgegevens prijs te geven.

 

Dataverzoeken zoals een US National Security Letter (NSL) gaan meestal gepaard met zwijgplicht die het betreffende bedrijf verbiedt om dit openbaar te maken.

Het doel van een Warrant Canary is om deze wettelijke beperkingen te omzeilen en zijn gebruikers te waarschuwen dat hun gegevens mogelijk niet meer veilig zijn, zonder technisch het gerechtelijk bevel te schenden om dat niet te doen.

In een Warrant Canary worden gebruikers meestal geïnformeerd dat er vanaf een bepaalde datum geen sprake is geweest van een gerechtelijk bevel, zwijgplicht of dagvaarding.

Als de Canary niet wordt bijgewerkt of helemaal wordt verwijderd, kunnen gebruikers hieruit concluderen dat er een zwijgplicht is opgelegd en de host een wettelijk verzoek heeft ontvangen.

Veel VPN-aanbieders gebruiken een Warrant Canary om hun gebruikers ervan te overtuigen dat ze betrouwbaar zijn.

Het feit dat een VPN een Warrant Canary onderhoudt, wil op zich echter niet zeggen dat de service privé of veilig is. Veel betrouwbare en gerenommeerde services gebruiken bovendien uit principe geen Warrant Canary, omdat deskundigen het nog steeds niet eens zijn over de effectiviteit ervan.

Er zijn bijvoorbeeld deskundigen die beweren dat overheden bedrijven kunnen dwingen om een Canary te vermelden terwijl er toch gegevens zijn gedeeld. In zo’n geval werkt de Canary dus niet.

Ook kan een service die wel gegevens heeft prijsgegeven de Warrant Canary met opzet niet bijwerken om geen klanten te verliezen. Als je het zo bekijkt, zijn veel Warrant Canaries alleen maar een marketingtruc van bedrijven die niet veel geven om de privacy van hun gebruikers.

Helaas kun je nooit zeker weten of een bijgewerkte Canary echt op een gerechtelijk bevel wijst. Gebruikers kunnen alleen maar gissen naar de betekenis van een verwijderde of gewijzigde Canary.

Een Warrant Canary kun je volgens ons het beste zien als een bonusfunctie nadat je al hebt geconcludeerd dat de VPN-aanbieder betrouwbaar is. Ga dus niet specifiek op zoek naar een VPN die een Canary gebruikt.

Veel mensen denken aan de Amerikaanse NSA (National Security Agency) als het over grootschalig toezicht gaat. Maar bijna elk land heeft zijn eigen SIGINT-organisatie (Signals Intelligence).

Deze organisaties richten zich vooral op wetshandhaving, het verzamelen van data en contraspionage door het onderscheppen van elektronische signalen en online communicatie. Bovendien werken deze organisaties vaak samen.

De Five, Nine en Fourteen Eyes Alliances zijn drie van de belangrijkste internationale inlichtingenallianties die dit type gecoördineerd toezicht uitvoeren. Deze landen zijn ook de slechtste VPN-rechtsgebieden als het om privacy gaat.

 

Hier is een lijst van de belangrijkste internationale toezichtentiteiten waarvan je je bewust moet zijn:

1. De Five Eyes Alliance

 

De Five Eyes-landen zijn de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland.

Deze alliantie voor het delen van inlichtingen vindt zijn oorsprong in de Tweede Wereldoorlog en het UKUSA-akkoord, dat oorspronkelijk een samenwerkingsverband was tussen de Verenigde Staten en het Verenigd Koninkrijk.

Dit akkoord is in de afgelopen decennia uitgebreid, zowel qua leden als bereik. De lidstaten, die bekend staan als de Five Eyes Alliance, werken nu samen om zowel binnenlandse als internationale inlichtingen te verzamelen, analyseren en delen.

De Five Eyes-landen zijn overeengekomen om elkaar niet als tegenstanders te bespioneren, maar uit documenten die door Edward Snowden zijn gelekt, blijkt dat ze wel elkaars burgers monitoren en deze inlichtingen onderling delen.

De Five Eyes-landen delen niet alleen toezichtsgegevens, maar werken ook samen om kennisgevingen voor dataretentie te sturen en dit af te dwingen. Dat betekent dat het ene land het andere onder druk kan zetten om de logbestanden van VPN-gebruikers binnen hun rechtsgebied te overhandigen.

Het is dan ook geen verrassing dat de digitale privacy op grote schaal wordt geschonden door veel van de Five Eyes-landen.

Als je je zorgen maakt over je privacy bij het gebruik van een VPN, zijn de Five Eyes-landen de slechtste VPN-rechtsgebieden.

ECHELON-afluistersysteem

De Five Eyes-landen gebruiken ECHELON, een netwerk van spionagestations voor wereldwijde bewaking en gegevensverzameling.

ECHELON kan gegevens onderscheppen die worden verzonden via telefoons, faxen en computers. ECHELON-stations kunnen bankrekeningen volgen en zelfs gegevens onderscheppen die van en naar satellieten worden gestuurd. Deze gegevens worden allemaal opgeslagen in grote databases waarin miljoenen records over individuen kunnen worden bewaard.

Hoewel er in de afgelopen 30 jaar steeds meer bewijs hiervoor is opgedoken, ontkent de Verenigde Staten het bestaan van ECHELON nog steeds, terwijl het Verenigd Koninkrijk zich op de vlakte houdt.

Er zijn echter verschillende klokkenluiders geweest die de waarheid aan het licht hebben gebracht door bepaalde aspecten van het ECHELON-project te documenteren.

2. De Nine Eyes Alliance

 

De Nine Eyes Alliance is een uitbreiding van de Five Eyes Alliance. Deze alliantie bestaat uit een grotere groep landen die ook samenwerken om inlichtingen te delen. Het gaat hierbij om de Five Eyes-landen plus Frankrijk, Denemarken, Noorwegen en Nederland.

Het bestaan van de Nine Eyes Alliance kwam uitgebreid in de publiciteit door de onthullingen van Edward Snowden in 2013. Het is in feite een uitbreiding van de Five Eyes-overeenkomst waarbij landen samenwerken om op grote schaal toezichtsgegevens te verzamelen en distribueren.

De vier extra landen hebben weliswaar niet zulke uitgebreide binnenlandse toezichtsprogamma’s als de Verenigde Staten, het Verenigd Koninkrijk of Australië, maar ze werken wel samen met elkaar en met de vijf landen van de oorspronkelijke alliantie.

De Nine Eyes Alliance is een afspraak tussen SIGINT-entiteiten en is niet gebaseerd op een formeel verdrag.

3. De Fourteen Eyes Alliance

 

De Fourteen Eyes Alliance omvat alle leden van de Nine Eyes Alliance plus Duitsland, België, Italië, Zweden en Spanje.

De officiële naam van de Fourteen Eyes Alliance is SIGINT Seniors of Europe (SSEUR), dat al sinds 1982 in verschillende vormen bestaat. Deze alliantie werd ooit opgericht om militaire inlichtingen uit te wisselen, maar verzamelt nu ook gegevens van gewone burgers.

De SIGINT Seniors Meeting is een jaarlijkse bijeenkomst van de leiders van de SIGINT-instanties, waaronder de BND, NSA, DGSE en GCHQ. Deze bijeenkomsten zijn bedoeld om wereldwijde leiders op het gebied van inlichtingen in de gelegenheid te stellen om over samenwerking en ontwikkeling te praten.

De SIGINT Seniors of the Pacific is een vergelijkbare organisatie die in 2005 werd opgericht. De leden hiervan zijn alle Five Eyes-landen plus India, Frankrijk, Singapore, Thailand en Zuid-Korea.

Er zijn echter nog meer landen, waaronder Israël en Japan, die waarschijnlijk nauw samenwerken met de 14 Eyes Alliance en de NSA.

4. De Europese Unie (EU)

 

De Europese Unie is een samenwerkingsverband van soevereine Europese landen. Het is een van de grootste en machtigste politieke en economische unies ter wereld, die ook problematisch is als het gaat om toezicht en gegevensprivacy.

Het samenwerkingsbeleid van de Europese Unie is veel minder verregaand of invasief dan dat van de Five, Nine en Fourteen Eyes Alliances, maar ook de lidstaten van de EU hebben verdragen voor het delen van gegevens.

Er zijn echter enkele uitzonderingen. In 2009 bepaalde het Roemeense Grondwettelijke Hof dat de eisen van de EU in strijd waren met het recht op privacy van de Roemeense burgers.

Hierdoor is Roemenië binnen de EU nu een veilige haven voor gebruikersprivacy. Dat is ook de reden waarom VPN-aanbieders zoals CyberGhost zich daar vestigen.

In sommige landen is het met de privacy beter gesteld dan in andere, maar veel landen werken samen met Five Eyes- of SSEUR-autoriteiten en staan erom bekend gegevens te delen. Houd hiermee rekening als je een VPN wilt kiezen die gevestigd is in een rechtsgebied binnen de EU.

5. De Shanghai Cooperation Organization (SCO)

 

De Shanghai Cooperation Organization (SCO), ook wel Shanghai Pact genoemd, is een Euraziatische politieke en economische alliantie tussen Rusland, China, Pakistan, India, Kirgizië, Kazachstan, Oezbekistan en Tadzjikistan.

De SCO richt zich in de eerste plaats op de nationale veiligheid van de eigen leden en het bestrijden van extremisme in zijn verschillende vormen.

In de afgelopen jaren zijn de activiteiten van de SCO echter uitgebreid met militaire samenwerking, het delen van inlichtingen en terrorismebestrijding. Het is zeer waarschijnlijk dat de SCO-lidstaten op ongeveer dezelfde manier data verzamelen en delen als de westerse inlichtingenorganisaties.

6. Landen met een strenge censuur

 

 

Bepaalde landen verbieden het gebruik van een VPN en schenden de privacy van hun burgers, ongeacht internationale overeenkomsten.

De landen die de kroon spannen als het gaat om internetrestricties zijn China, de Verenigde Arabische Emiraten, Turkije, Rusland, Oman, Irak en Belarus (Wit-Rusland), maar er zijn er nog veel meer.

De kans dat je een VPN of een VPN-server tegenkomt die zich fysiek in een van deze landen bevindt, is zeer klein, maar je moet toch opletten. In ons onderzoek naar gratis VPN-apps met Chinese eigenaars hebben we een heleboel VPN’s aangetroffen die banden hebben met twijfelachtige Chinese bedrijven.

Als je dataprivacy belangrijk vindt, moet je rechtsgebieden vermijden die nauwe banden hebben met deze regeringen, zoals Hongkong

In onze speciale gids over VPN-wetgeving lees je meer over de wettigheid van VPN’s en restricties voor het gebruik ervan.

We hebben het privacybeleid van de populairste VPN-aanbieders op de markt onder de loep genomen. Daarbij hebben we ontdekt dat veel VPN-providers gevestigd zijn in rechtsgebieden waarin gebruikersgegevens mogelijk niet veilig zijn.

De volgende tabel geeft een overzicht van alle 90 VPN-aanbieders die we hebben getest. Je ziet hier welk rechtsgebied van toepassing is en of de VPN een Warrant Canary onderhoudt.

Gebruik Ctrl+F om een bepaalde VPN-provider te zoeken.