Förklaring av VPN-loggningspolicyer

När du surfar på internet med en VPN-tjänst anförtror du din känsliga information åt din VPN-tjänsteleverantör.

Beroende på deras loggningspolicy kan din VPN-tjänst övervaka och lagra din IP-adress, val av serverplats och även de webbplatser du besöker.

Kort sagt finns det dussintals känsliga loggar som en VPN-tjänst kan samla in och dela om leverantören har en skyldighet att göra det.

Vad en VPN-tjänst loggar är därför en kritisk fråga om du är medveten om ditt digitala fotavtryck.

Det framkom också från våra undersökningar att några av de mest populära VPN-leverantörerna samlar in sina användares webbaktivitet och delar denna information med tredje part.

De bästa VPN-tjänsterna gör allt som står i deras makt för att skydda sina användares integritet. Företagen är helt öppna om vilken typ av data de samlar in, varför dessa data är nödvändiga och hur länge de lagrar dem.

Tyvärr är denna grad av öppenhet sällsynt.

Loggningspolicyerna för populära VPN-tjänster är ofta vaga, komplicerade eller vilseledande.

Många VPN-tjänster hävdar felaktigt att de samlar in en minimal mängd data, eller inga data alls. Andra är medvetet vaga om den exakta typen av data som deras policy hänvisar till.

För att öka förvirringen är det sällan att marknadsföringsuttalanden på VPN-leverantörers hemsidor återspeglar den faktiska integritetspolicyn. Med över 300 VPN-tjänster på marknaden är det svårt att veta vem man kan lita på.

Hur hittar du en VPN-tjänst som är värd ditt förtroende?

I den här guiden undersöker vi olika typer av VPN-loggar, varför vissa VPN-tjänster för loggar och vad du kan göra för att skydda din integritet.

Det finns tre typer av data som din VPN-tjänst kan registrera: aktivitetsloggar, anslutningsloggar och loggar i sammanställd form. Det är av största vikt att du förstår vilken typ av data som faller inom dessa kategorier om du effektivt ska kunna skydda din integritet.

1Aktivitetsloggar

Insamling av aktivitetsdata är den mest inkräktande typen av loggning. Det eliminerar eventuella fördelar för integritet eller anonymitet som en VPN-tjänst annars skulle erbjuda.

De kallas även ”användningsloggar” och avser alla uppgifter som uttryckligen förknippas med din onlineaktivitet.

Hola VPN:s integritetspolicy är ett bra exempel på aktivitetsloggning:

Kostnadsfria VPN-appar som Hola VPN är exempel på bovar som samlar in aktivitetsdata. Dessa uppgifter delas ofta eller säljs till tredje part för reklamändamål, vilket effektivt subventionerar kostnaden för ett abonnemang.

Vissa abonnemangsbaserade VPN-tjänster ”utan loggning” övervakar användaraktivitet om de är misstänksamma mot en individ, eller om de är juridiskt tvungna att göra det. Andra registrerar användaraktivitet i realtid och raderar den sedan när VPN-sessionen är över.

I vår recension av SkyVPN upptäckte vi t.ex. att tjänsten loggar personligt identifierbar information som din ursprungliga IP-adress och platsinformation:

Eftersom data raderas så snabbt är denna typ av aktivitetsloggning inte ett alltför stort problem. Men, med det sagt, är det bäst att undvika det när det är möjligt.

Andra leverantörer, som Hide.me, är tekniskt oförmögna att samla in aktivitetsloggar till följd av konfigurationen av deras nätverk. Ur integritetssynpunkt är dessa leverantörer helt klart det bästa alternativet.

Det säger sig självt att alla VPN-tjänster som lagrar aktivitetsdata bör undvikas till varje pris. Om du är orolig för aktivitetsloggning kan du ta en titt på de mest populära VPN-tjänsterna som loggar dina aktivitetsdata.

2Anslutningsloggar

Anslutningsloggar kan samlas in på servernivå (t.ex. total användning av serverns bandbredd) eller på användarnivå (t.ex. din ursprungliga IP-adress).

Vanligtvis används dessa data för att optimera nätverksprestanda och felsöka användarproblem.

Anslutningsloggar på servernivå är ett bra exempel på varför inte all loggning är ett problem. Det är praktiskt taget omöjligt för en VPN-tjänst att upprätthålla prestanda utan att logga någon data alls.

Faktum är att övervakning och lagring av rätt, icke-identifierbara data hjälper dig att få bästa möjliga upplevelse med din VPN-tjänst.

Lagring av fel anslutningsloggar kan dock göra det möjligt för en VPN-tjänst att förknippa dig med din aktivitet. Detta kan användas för att personligen identifiera dig, vilket är ett stort problem för integritetsmedvetna användare.

Om du är orolig för vilken typ av anslutningsdata din VPN-tjänst loggar kan du läsa vidare för att ta reda på exakt vilken typ av loggning som är godtagbar.

Här är ett exempel på detaljerade anslutningsloggar på användarnivå från Thunder VPN:s loggningspolicy:

Påståenden om att dessa data endast används för att ”tillhandahålla bästa möjliga upplevelse” eller ”förbättra kundservice” är utbredda, men vi vet av erfarenhet att denna detaljnivå inte är nödvändig för att upprätthålla ett välfungerande VPN-nätverk.

3Loggar i sammanställd form

Några av de mest populära VPN-tjänsterna på marknaden samlar in loggar i sammanställd form. Det innebär att VPN-tjänsten samlar in information som påstås vara anonymiserad och omöjlig att koppla till en specifik användare.

En VPN-tjänst kan samla in de webbplatser du besöker, den bandbredd du använder eller de datum och tider du ansluter till en server. De fråntar sedan denna information alla identifierande faktorer och lägger till den i en större databas.

Det är viktigt att vara medveten om att vissa VPN-tjänster hävdar att de inte för loggar när de faktiskt för loggar i sammanställd form. Anchorfrees integritetspolicy är ett bra exempel på vad du bör hålla utkik efter:

I slutändan är sammanställd och anonymiserad data inte alltid den magiska lösning som marknadsföringsteam vill få dig att tro.

Den exakta typen av data som aggregeras och anonymiseringsprocessens effektivitet avgör huruvida denna typ av loggning är godtagbar eller inte. Du behöver bara lita på att din VPN-tjänst anonymiserar dina data effektivt.

Om det här är ett trosprång som du inte känner dig bekväm med är det bättre att välja en VPN-tjänst helt utan loggning.

Vad är en VPN-tjänst utan loggning?

En VPN-tjänst helt utan loggning samlar inte in eller lagrar någon aktivitets- eller anslutningsdata som kan användas för att identifiera dig personligen. Viktigast av allt är att tjänsten inte samlar in eller lagrar någon information som överförs genom VPN-tunneln över huvud taget.

Detta säkerställer att ingen användare kan förknippas med någon specifik aktivitet eller anslutning på VPN-nätverket. Varje användare kommer att vara privat, anonym och okänd även för VPN-leverantören.

Den enda identifierande information som en VPN-tjänst utan loggning kommer att ha är din e-postadress (för att registrera ditt konto) och fakturering (om du vill ha en återbetalning).

VPN-tjänster utan loggning kan inte tvingas att göra användardata tillgängliga för myndigheter eller tredje part, eftersom denna data helt enkelt inte existerar.

Detta är hur en stark loggningspolicy kan kompensera för problemet med en osäker VPN-jurisdiktion.

Det är viktigt att notera att ”utan loggning” inte nödvändigtvis innebär att inga som helst data lagras. Äkta ”obefintlig loggning” är i praktiken omöjligt att genomföra och samtidigt upprätthålla ett starkt nätverk eller verkställa begränsningar som enhetsgränser.

De flesta VPN-tjänster lagrar mycket grundläggande data som sammanställd serverbelastningsinformation (antalet användare eller bandbredd som används per server). Detta är en berättigad strategi för minimal loggning som inte involverar någon som helst identifierande information. En sådan VPN-tjänst klassas fortfarande som en VPN-tjänst utan loggning.

Följande VPN-tjänster loggar din webbhistorik och aktivitetsdata. Detta är den allvarligaste formen av loggning och bör undvikas till varje pris.

Detta är på intet sätt en uttömmande lista över alla VPN-tjänster som för aktivitetsloggar. Du bör alltid personligen kontrollera din leverantörs policy innan du anförtror dem dina data.

Leverantörens namn	Loggade data	Lagringstid
Hola Free VPN	besökta webbadresser tid som tillbringas på webbsidor åtkomstdatum och -tider ursprunglig IP-adress webbläsartyp.	”Så länge det är nödvändigt”
McAfee Safe Connect	besökta webbadresser tid som tillbringas på webbsidor anslutningstidsstämplar ursprunglig IP-adress unikt enhets-ID webbläsartyp platsinformation fildata (e-post, bilagor osv.).	”Så länge det är nödvändigt”
Psiphon	besökta domäner använt VPN-protokoll VPN-sessionstid bandbreddsanvändning platsdata internetleverantör.	90 dagar
VPN99	besökta webbadresser unikt enhets-ID ursprunglig IP-adress anslutningstidsstämplar operativsystemversion webbläsartyp.	Fem år

*Samlas in som standard genom funktionen ”Rapportera operativa fel” i applikationen.

Ovetande VPN-användare vilseleds ofta av vaga, falska eller medvetet förvirrande loggningsregler som är utformade för att skapa en känsla av integritet.

Om du inte vet vad du ska leta efter kan det sluta med att du använder en VPN-tjänst som utsätter dig för risk.

Om du utvärderar en VPN-tjänsts integritetspolicy eller investerar i ett abonnemang bör du vara medveten om följande vanliga problem.

Om du redan känner till dessa problem kan du hoppa direkt till Så här skyddar du dig.

1Falsk marknadsföring

Med undantag för oberoende granskningar är det nästan omöjligt att verkligen verifiera en VPN-tjänsts loggningspolicy förrän det är för sent.

För att bevisa detta faktum finns det flera exempel på VPN-leverantörer som påstås vara ”privata” eller ”utan loggning” men som har ertappats med att dela med sig av detaljerade loggar till myndigheter.

2011 spelade den Londonbaserade VPN-tjänsten HideMyAss (HMA) en nyckelroll i gripandet av Cody Kretsinger, en 23-åring bosatt i Phoenix. Kretsinger var medlem i LulzSec, en underorganisation av hackeraktivistgruppen Anonymous.

HMA hävdade att de satte integriteten i första rummet och gjorde det möjligt för användare att ”surfa anonymt online med fullständig integritet”:

FBI spårade Kretsingers hack till en IP-adress som ägdes av HMA och utfärdade omedelbart ett brittiskt domstolsbeslut som krävde loggar. HMA uppfyllde beslutet och delade med sig av de anslutningsloggar som så småningom identifierade Kretsinger.

Även om det är tydligt att olaglig verksamhet inte bör tolereras under några som helst omständigheter är denna incident bara ett exempel på en allvarlig brist i VPN-ekosystemet. Att sälja en produkt som uttryckligen hävdar att den skyddar en användares identitet och sedan gör motsatsen är obestridligen vilseledande.

HideMyAss är inte den enda VPN-tjänsten med en historia av falsk marknadsföring – IPVanish har också ett problematiskt förflutet vad gäller dataloggning.

Under 2016 samarbetade IPVanish med FBI för att hjälpa till i en brottsutredning. Trots att IPVanish hade en integritetspolicy som uttryckligen angav att företaget inte förde några loggar gav IPVanish i slutändan efter för rättsliga förfrågningar och tillhandahöll detaljerade anslutningsuppgifter till myndigheterna.

Även om detta givetvis är oroande är det viktigt att notera att denna incident inträffade medan företaget var under helt annat ägande och annan ledning. För mer information om detta fall kan du läsa vår fullständiga recension av IPVanish.

Det är troligt att det finns många fler exempel på så kallade ”VPN-tjänster utan loggning” som delar data med myndigheter eller gör falska påståenden som helt enkelt aldrig kommer att avslöjas. Som det ser ut nu är det viktigt att studera din leverantörs historia innan du fattar ett beslut.

2Avsiktlig tvetydighet

I den perfekta av världar skulle alla VPN-tjänsters loggningspolicyer tydligt förklara vilka data som sparas under och efter en VPN-session. Tyvärr förlitar sig många leverantörer på tvetydighet för att bidra till att skapa en falsk känsla av säkerhet.

De flesta användare inser inte att uttryck som ”ingen loggning” inte alltid är vad de verkar. Vissa VPN-leverantörer utnyttjar det faktum att det inte finns någon standarddefinition av en ”logg” i branschen.

Detta kryphål gör det möjligt för VPN-tjänster att undvika att uttryckligen ange vilken typ av data deras påstående om ”ingen loggning” hänvisar till.

En leverantör kan legitimt annonsera ”ingen loggning” för aktivitetsdata, men fortsätta att registrera personligt identifierbara anslutningsdata.

Enkelt uttryckt är det många VPN-leverantörer som kallar sig själva för en ”VPN-tjänst utan loggning” enligt sina egna standarder.

Vissa anslutningsloggar är inte nödvändigtvis dåliga, men att göra falska eller motsägelsefulla uttalanden ökar bara förvirringen och misstron i valet av en VPN-tjänst.

På ett liknande sätt är det ganska vanligt att en VPN-tjänsts marknadsföringspåståenden direkt motsäger dess integritetspolicy. Vanligtvis gör de ett djärvt påstående om ”ingen loggning” på hemsidan, och redogör sedan noggran för de uppgifter som de faktiskt sparar i sina villkor.

ThunderVPN är ett bra exempel på denna taktik. Företaget annonserar tydligt en ”strikt” policy emot loggning i sin post i Google Play Store:

Men en snabb granskning av deras integritetspolicy visar att detta är helt osant:

Dessa metoder är inte bara oärliga, utan även potentiellt farliga för intet ont anande VPN-användare som inte har läst sin leverantörs policy i sin helhet.

Om du hittar en VPN-tjänst som gör motsägelsefulla eller vilseledande uttalanden om sin loggningspraxis är det klokt att tänka efter två gånger om företagets trovärdighet. I de flesta situationer är det osannolikt att det är en VPN-tjänst som du kan anförtro dina känsliga data.

3Brist på detaljer

Det är förvånansvärt vanligt att mindre populära VPN-leverantörer verkar utan någon integritetspolicy alls. Givetvis bör VPN-tjänsten inte anses tillförlitlig om det inte finns några uppgifter om datainsamling på leverantörens webbplats.

Se också upp för ovanligt korta policyer. Många leverantörer uppger helt enkelt bara:

”Vi loggar inte någon av dina aktiviteter när du är ansluten till VPN-tjänsten”

Dessa påståenden förklarar ingenting om hur dina uppgifter kan samlas in på andra sätt.

Yoga VPN:s integritetspolicy är ett bra exempel på vad man ska undvika. Dokumentet består bara av 371 ord och förklarar knappt något alls om hur Yoga VPN fungerar.

Vissa tjänster är också oroväckande vaga om hur tjänstevillkoren tillämpas. Dussintals leverantörer skryter om ”inga loggar” men varnar också användare att de kommer att ”undersöka misstänkt beteende” eller ”förbjuda missbrukande användare” i samma mening.

Frågan kvarstår då: om en VPN-tjänst inte loggar din IP-adress eller aktivitet, hur kan de då undersöka misstänkt beteende?

Om en VPN-tjänsts loggningspolicy är kort eller vag bör du kontakta leverantörens supportteam för mer information. Använd inte en produkt som inte är villig att investera tid för att vara tydlig och öppen om sina metoder.

4Jurisdiktion

Loggningspolicyer och jurisdiktioner är nära sammanflätade. Även om ovanliga jurisdiktioner kan vara bra för integriteten, kan de också orsaka problem vad gäller ansvarsskyldighet.

Det är mycket svårare att hålla en verksamhet ansvarig för brott mot lagar om falsk marknadsföring eller vilseledande av kunder som den har säte på en fjärran plats. Om en VPN-tjänst i Panama avsiktligt vilseleder en kund i Tyskland finns det inte mycket som kan göras åt det.

Ännu viktigare är att en VPN-leverantörs jurisdiktion påverkar deras rättsliga skyldighet att logga data och dela dem med myndigheter. En tjänst med säte i USA skulle t.ex. kunna tvingas övervaka sina användare i hemlighet.

Dessa inkräktande jurisdiktioner är ett mindre problem om VPN-tjänsten faktiskt verkligen inte för några loggar. Det kan dock erbjuda bättre skydd att välja en tjänst utanför denna typ av länderna.

Om du vill veta mer om datadelning mellan organisationerna Five-, Nine- och Fourteen Eyes kan du läsa vår guide till VPN-jurisdiktioner.

Om du är orolig för att din VPN-tjänst kanske inte skyddar din integritet fullt ut finns det flera åtgärder du kan vidta för att ytterligare skydda dina känsliga data.

1Välja en VPN-tjänst med en verifierad policy emot loggning

Det har förekommit flera situationer där rättsliga fall och verkliga händelser har verifierat en VPN-leverantörs policy emot loggning.

Tjänster som ExpressVPN och Private Internet Access har fått sina servrar beslagtagna och har inte kunnat samarbeta p.g.a. brist på lagrade data. Dessutom har båda leverantörerna fått sina loggningspolicyer verifierade av granskande tredjepartsföretag.

Nedan listas ett urval av andra VPN-leverantörer som med framgång klarat av en oberoende granskning:

• Hide.me
• IVPN
• Mullvad VPN
• Surfshark
• IPVanish
• PIA

Om du är orolig för VPN-loggning är det säkrare att välja en VPN-tjänst med beprövade meriter.

2Kombinera en VPN-tjänst med Tor

Om den är korrekt konfigurerad kan du komma ett steg närmare anonymitet genom att använda en VPN-tjänst i kombination med webbläsaren Tor.

Det är värt att komma ihåg att Tor är långsam i de bästa av fall. Genom att kombinera en VPN-tjänst med Tor minskar du avsevärt din VPN-tjänsts prestanda och anslutningshastighet.

3VPN-tjänster i lager

Genom att använda flera VPN-tjänster samtidigt kan du tillföra ytterligare ett lager skydd till din identitet.

Det enklaste sättet att göra det är att konfigurera en VPN-router och ansluta din enhet. Installera en VPN-tjänst från en annan leverantör på samma enhet och kör sedan applikationen. Du kommer då att överföra dina uppgifter genom båda leverantörerna samtidigt.

Precis som med en VPN-tjänst i kombination med Tor har lager av flera VPN-tjänster en betydande inverkan på prestandan.

4Välja en integritetsvänlig jurisdiktion

Välj ett abonnemang på en VPN-tjänst med säte i ett land som inte delar information för att få det säkraste alternativet.

Kom ihåg att det faktum att en VPN-leverantör är verksam utanför dessa inkräktande jurisdiktioner inte nödvändigtvis innebär att man kan lita på den. VPN-företaget kan fortfarande samarbeta med utländska myndigheter och även logga din data om de uppmanas till det.