Bij het winkelen voor een virtueel particulier netwerkje onderzoekt waarschijnlijk dingen als VPN-protocollen, prijs, snelheden, streamingmogelijkheden en andere functies voordat u beslist welke u wilt gebruiken. Dit zijn allemaal belangrijke factoren waarmee u rekening moet houden bij het zoeken naar een VPN, maar één cruciale overweging wordt vaak over het hoofd gezien: jurisdictie.
Jurisdictie verwijst naar het land waar het VPN-bedrijf officieel is geregistreerd en aan de wetten van welk land het VPN onderworpen is. Omdat privacywetten en voorschriften voor het bewaren van gegevens sterk verschillen van land tot land, heeft jurisdictie grote privacy-implicaties voor VPN-gebruikers.
Hoe belangrijk? Ik zou zeggen dat het gebruik van een VPN in een land waarvan de wetten vereisen dat VPN’s gebruikersgegevens loggen slechter is voor je privacy dan helemaal geen VPN gebruiken. Hetzelfde geldt als de wetten van een land lokale of buitenlandse inlichtingendiensten toestaan bedrijven te dwingen gebruikersgegevens te loggen en te delen. Dat zijn twee van de grootste alarmsignalen die je kunt tegenkomen bij een VPN-service en belangrijke redenen waarom ik gedurende mijn ruim tien jaar ervaring met het testen en beoordelen van VPN’s altijd veel aandacht heb besteed aan de jurisdictie.
Jurisdictie is een complexe kwestie die vaak moeilijk te ontleden is, maar ik zorg er altijd voor dat elke VPN-service die ik aanbeveel gevestigd is in een rechtsgebied waar deze niet kan worden gedwongen zijn gebruikers te bespioneren. Helaas bestaat er nog steeds veel verwarring over hoe lokale wetten wel of niet van toepassing zijn op VPN-bedrijven en welke autoriteit buitenlandse instanties wel of niet hebben over VPN’s in andere landen.
Wat er echt toe doet voor uw privacy, is ervoor zorgen dat de VPN die u gebruikt betrouwbaar is, met een regelmatig gecontroleerd beleid zonder logboeken, en is gevestigd in een privacyvriendelijke jurisdictie zonder wetten voor het bewaren van gegevens die VPN’s zouden kunnen dwingen gebruikersgegevens te loggen. Bonuspunten als de VPN open-source is en de claims zonder logboeken in het wild zijn getest.
Het aantal ogen is niet het belangrijkste detail
Een lang gekoesterde overtuiging onder velen in online kringen is dat het riskant is om een VPN te gebruiken die gevestigd is in een 14 Eyes-land, een groep van 14 landen die surveillancegegevens delen onder een inlichtingenalliantie.
Maar wat er feitelijk toe doet voor uw privacy, is het gebruik van een VPN die is gevestigd in een land dat geen verplichte wetten voor het bewaren van gegevens kent die de autoriteiten in staat zouden kunnen stellen VPN-bedrijven te dwingen gebruikersverkeer te registreren. Het ontbreken van dergelijke regelgeving zorgt ervoor dat een VPN echt een echt VPN kan claimen no-logs-beleid en het is waar, ongeacht of de VPN in een 14 Eyes-land is gevestigd of niet.
Met andere woorden: het lokale regelgevingslandschap heeft een veel grotere invloed dan welke Eyes-aanduiding dan ook bij het dicteren of een VPN veilig is om te gebruiken.
Een voorbeeld: Wrateen van de meest private VPN’s die beschikbaar zijn en een die ik regelmatig aanbeveel voor gebruikers met kritieke privacybehoeften, is gevestigd in Zweden, een van de 14 Eyes-landen. Maar de juridisch kader in Zweden is zodanig dat de autoriteiten VPN-bedrijven niet kunnen dwingen gebruikersgegevens te loggen. Mullvad beantwoordt aan de Zweedse wet en alleen de Zweedse wet, wat betekent dat inlichtingendiensten uit een ander 14 Eyes-land (of welk ander land dan ook) niet de macht hebben om tussenbeide te komen en Mullvad gebruikersgegevens te laten loggen.
Bovendien is Mullvad volledig open-source en heeft het een no-logs-beleid dat is gecontroleerd en biedt een hoge mate van transparantie en gemoedsrust dat het bedrijf geen gebruikersactiviteiten op zijn netwerk registreert. Verder zegt Mullvad dat het advocaten in dienst heeft om het juridische landschap (in Zweden en in het buitenland) in de gaten te houden en bereid is zijn dienst stop te zetten als een overheid juridisch in staat wordt gesteld het bedrijf te dwingen zijn gebruikers te bespioneren.
Het beleid van Mullvad werd in 2023 op de proef gesteld toen de Zweedse autoriteiten, handelend op basis van een huiszoekingsbevel, de kantoren van Mullvad in Göteborg binnenvielen om klantgegevens op de systemen van de VPN in beslag te nemen. Echter, de Zweedse politie met lege handen achtergelaten omdat de gegevens niet bestonden.
Op dezelfde manier, Windschrijverook gevestigd in een 14 Eyes-land (Canada), handhaaft een strikte privacy en is niet onderworpen aan wetten die hen zouden dwingen gebruikersgegevens te loggen. Windscribe is een paar keer in het wild getest – één keer door Griekse autoriteiten in 2023die hun zaak later in 2025 lieten vallen wegens gebrek aan gegevens, en meer recentelijk door de Nederlandse autoriteiten, die naar verluidt heeft in februari beslag gelegd op een Windscribe-server. De Nederlandse zaak loopt op het moment van schrijven nog steeds, maar Yegor Sak, CEO van Windscribe, vertelde me dat er geen gebruikersgegevens in gevaar zijn omdat er geen gebruikersgegevens zijn om over te dragen.
In veel rechtsgebieden (binnen of buiten de 14 Eyes) kunnen autoriteiten VPN-bedrijven juridisch benaderen met een bevelschrift, waarbij ze eisen dat ze bestaande gegevens overdragen die verband houden met een actief onderzoek. Maar als de VPN echt geen klantgegevens registreert, heeft hij niets om aan de autoriteiten te overhandigen.
Maar in bepaalde rechtsgebieden, zoals in de Verenigde Staten, kunnen autoriteiten een dagvaarding, bevelschrift of andere juridische stappen uitvaardigen, waaronder een zwijgbevel, waardoor een VPN-bedrijf kan worden verhinderd bekend te maken dat het is opgedragen gebruikersgegevens te gaan registreren. Aanvullend, Bedraad gemeld dat wetgevers in de Verenigde Staten onlangs een brief hebben gestuurd naar de Amerikaanse directeur van de inlichtingendienst, waarin om bevestiging wordt gevraagd of VPN-gebruikers in de VS feitelijk afstand doen van hun grondwettelijke bescherming tegen ongeoorloofd overheidstoezicht wanneer ze verbinding maken met een server in het buitenland. Als het antwoord ja is, kan dat een groot probleem zijn als u een duistere VPN-service gebruikt die gegevens over uw internetactiviteit verzamelt of als uw VPN door een gerechtelijk bevel kan worden gedwongen om te beginnen met loggen.
Echter, een betrouwbare VPN dat vanaf de basis is opgebouwd voor privacy, kan niet zomaar een schakelaar omzetten en van de ene minuut op de andere beginnen met loggen. Het voldoen aan een dergelijk bevel zou vereisen dat VPN zijn servercode en in wezen het gehele infrastructuurontwerp zou aanpassen om nuttige gegevens te gaan registreren en deze permanent op te slaan – om nog maar te zwijgen van het volledig uitverkopen van zijn hele gebruikersbestand in het proces.
Dit is precies de reden waarom zaken als servers met alleen RAM, open source-software, transparantierapporten en regelmatige audits door derden zo belangrijk zijn naast de jurisdictie. Een serverinfrastructuur met alleen RAM zorgt ervoor dat er geen gegevens op de harde schijf blijven staan en dat alle gegevens volledig worden gewist wanneer een server wordt afgesloten of opnieuw wordt opgestart. Als de apps van een VPN open source zijn, is de broncode voor iedereen openbaar beschikbaar om te onderzoeken, wat betekent dat elke poging tot geheime registratie duidelijk kan zijn voor iemand die deze beoordeelt.
Transparantierapporten die gedetailleerd beschrijven hoeveel en soort juridische verzoeken een VPN binnen een bepaald tijdsbestek ontvangt (en hoe het bedrijf op de verzoeken heeft gereageerd, of helemaal niet), zijn belangrijk bij het opbouwen van vertrouwen bij het publiek. En hoewel onafhankelijke audits schetsen niet het volledige beeldhet zijn cruciale vertrouwenssignalen die kunnen helpen bij het valideren van de beweringen van een VPN dat ze niet loggen en dat hun infrastructuur goed is opgezet om de privacy van gebruikers te beschermen.
Een VPN met een redelijke privacy-instelling zou moeite hebben om gebruikers te bespioneren, zelfs als hij daartoe gedwongen zou kunnen worden. Maar het punt van goede VPN-jurisdictie is dat dit niet zou moeten kunnen.
Waar wilt u (en niet) dat uw VPN zich bevindt?
Over het algemeen heb je een VPN nodig die is gevestigd in een rechtsgebied zonder verplichte wetten voor het bewaren van gegevens, maar die in plaats daarvan wordt ondersteund door sterke raamwerken voor gegevensbescherming die over de juiste controles beschikken om de overschrijding van de overheid en arrestatiebevelen van andere landen te beperken. Enkele van de beste rechtsgebieden voor VPN’s zijn landen als Zwitserland (Proton-VPN), Britse Maagdeneilanden (ExpressVPN), Panama (NordVPN), Zweden (Mullvad), Gibraltar en Roemenië.
Op privacy gerichte VPN-gebruikers zouden twee keer moeten nadenken over het kiezen van een VPN in de VS vanwege de risico’s die gepaard gaan met het ontvangen van nationale veiligheidsbrieven (die een bedrijf ertoe kunnen dwingen gegevens te overhandigen) en muilkorven die hen ervan weerhouden erover te praten.
VPN’s gevestigd in Groot-Brittannië zijn ook riskant omdat die van het land Wet op de onderzoeksbevoegdheden geeft de overheid de bevoegdheid om de encryptie te verzwakken, zwijgbevelen af te dwingen en ISP’s en mogelijk VPN’s te dwingen gebruikersgegevens te loggen. Vergelijkbaar wetten in Australië maken VPN’s die daar zijn gevestigd ook riskant.
VPN’s gevestigd in landen met zware internetcensuur en -bewaking mogen nooit worden overwogen. Bijvoorbeeld elke VPN die in China actief is moet door de overheid worden goedgekeurd en autoriteiten achterdeurtoegang tot haar systemen te bieden.
Zoek naar VPN’s met duidelijke jurisdictie
Hoewel veel VPN’s zijn opgenomen en in één rechtsgebied opereren, kunnen andere VPN’s vanuit één land opereren, maar een wettelijk geregistreerde entiteit in een ander rechtsgebied opzetten. Dit kan worden gedaan voor belastingvoordelen of om ervoor te zorgen dat het VPN-bedrijf legaal is geregistreerd in een veilig rechtsgebied, zelfs als het niet fysiek actief is in dat land.
Bovendien kunnen sommige VPN-moederbedrijven hun hoofdkantoor in een heel ander land hebben. Het moederbedrijf van ExpressVPN, Kape Technologies, is bijvoorbeeld een in het Verenigd Koninkrijk gevestigd bedrijf, maar ExpressVPN is legaal gevestigd op de Britse Maagdeneilanden. ExpressVPN maakt dit duidelijk in zijn privacybeleid dat het werkt in overeenstemming met de BVI-wetten. Op dezelfde manier bevinden de kantoren van NordVPN zich in Litouwen, maar onder de Panamese jurisdictie moeten alle gegevensverzoeken “de juiste juridische procedure volgen die is vastgelegd in de wetten van de Republiek Panama”, aldus de verklaring van het bedrijf. privacybeleid.
Vanwege dit alles kunnen VPN-eigendomsstructuren en daadwerkelijke jurisdictie soms een moeilijke noot zijn om te kraken. Maar betrouwbare VPN’s maken allemaal duidelijk in welk rechtsgebied ze wettelijk geregistreerd zijn en dus aan welke landwetten ze voldoen. Het is iets waar CNET specifiek naar op zoek is bij het evalueren van VPN’s. Als je een provider tegenkomt die zijn eigendom of jurisdictie niet duidelijk maakt, kun je die VPN het beste vermijden.
Kortom
Wat je uiteindelijk wilt is een VPN die vanaf het begin is gebouwd voor privacy en is gevestigd in een land dat het niet zal dwingen zijn gebruikers te bespioneren – dat is de echte overweging als het gaat om jurisdictie.
Als privacy uw belangrijkste overweging is bij een VPN, kunt u ook lezen op de instellingen in te schakelen voor optimale privacy En extra privacy- en beveiligingstools om te bundelen met uw VPNof bekijk CNET’s recensies van Wrat, ExpressVPN En Proton-VPN.
