Betrouwbare VPN vinden: Waar moet je op letten?

Een VPN belooft je veilig en anoniem te laten internetten, wat om uiteenlopende redenen fijn en belangrijk is. Als je je internetverkeer in handen legt van een VPN-aanbieder, is vertrouwen essentieel. Waar moet je op letten als je een betrouwbare VPN wil vinden, en welke vielen er in het verleden door de mand?

Met een VPN (virtual private network) versleutel je je internetverbinding en creëer je als het ware een digitale tunnel die pottenkijkers buitenhoudt. Van je internetprovider tot potentiële hackers en opsporingsdiensten aan toe, een goede VPN laat niemand meekijken. Zelfs de aanbieder van de VPN-dienst niet. Want met een zogeheten no-log-beleid bewaren de servers geen gebruikersgegevens en kan de VPN-partij er dus ook niet bij. 

Een no-log-beleid is belangrijk, omdat het betekent dat jouw internetgegevens nergens worden opgeslagen. En dus valt er niets te hacken, over te dragen of in beslag te nemen. Met name overheidsinstanties doen regelmatig opvraagverzoeken of in het buitenlands zelfs invallen om servers met VPN-data op te eisen. In Nederland en veel andere landen mogen opsporingsdiensten alleen om gebruikersgegevens vragen als de rechter hier toestemming voor geeft. Waarbij gezegd moet worden dat in veel welvarende landen de opsporingsdiensten alleen opvraagverzoeken doen om de rotte appels aan te pakken. Bijvoorbeeld mensen die een VPN misbruiken voor het verspreiden van (kinder)porno of terrorisme. 

Maar wat als je je VPN-verbinding alleen gebruikt omdat je anoniem wilt internetten? Dan blijkt het vinden van een betrouwbare VPN nog knap lastig. Want veel partijen beloven een no-log-beleid, maar de werkelijkheid wijst anders uit. Een VPN is niets zonder de achterliggende techniek, maar valt of staat tegelijkertijd met de ethische keuzes van de aanbieder. Die keuzes hangen samen met het vertrouwen in een VPN. En vertrouwen is essentieel in een dienst die belooft jouw privacygevoelige internetverkeer te anonimiseren.

Liegen over no-log-beleid en andere schimmige zaken

De uitdrukking ‘vertrouwen komt te voet en gaat per paard’ blijkt dan ook zeer toepasbaar op een VPN. VPN-aanbieders overtuigen geïnteresseerden met anonimiteit, snelle servers en veel functies. Maar als de servers te traag blijken om Netflix in Full HD te streamen, stapt een deel van de gebruikers op. En als een beloofde functie als een ingebouwde adblocker tegenvalt, ruilen sommige mensen de ene VPN-dienst ook in voor een andere. 

Blijkt een VPN met een no-log-beleid stiekem allemaal gegevens bij te houden en aan opsporingsdiensten te overhandigen, dan kelderen de gebruikersaantallen en volgen er rechtszaken met reputatieschade tot gevolg. De gemiddelde VPN-aanbieder kan na zo’n misstap het faillissement aanvragen. Toch weerhoudt het er VPN-bedrijven al jaren niet van om gebruikers voor te liegen. 

IPVanish claimde jarenlang een no-log-beleid te voeren, maar viel in 2016 door de mand bij een rechtszaak. De VPN-aanbieder had de volledige gebruikersgegevens van een vermeende pedofiel aan de autoriteiten overhandigd, iets wat helemaal niet zou kunnen bij een no-log-beleid. Ophef volgde, ook toen een jaar later bleek dat het grotere PureVPN er dezelfde praktijken op nahield. Het beloofde no-log-beleid bleek niet te bestaan, want PureVPN verstrekte de FBI alle informatie over een klant die van een zwaar misdrijf beschuldigd werd. 

Nadat gebruikers de dienst de rug toekeerden, probeerde PureVPN de schade te beperken door een onafhankelijke audit te laten uitvoeren. Hoewel die bewees dat de VPN-dienst (weer) een no-log-beleid voerde, geloofden veel mensen PureVPN niet meer. HideMyAss, een andere en kleinere VPN-aanbieder, werd eveneens gesnapt op het stiekem bijhouden van logs.

Over de betrouwbaarheid van Private Internet Access (PIA) kan gediscussieerd worden. Jarenlang was de Amerikaanse VPN te vertrouwen. Twee keer gaf de VPN-aanbieder in Amerikaanse rechtsbanken – onder ede – aan dat het een no-log-beleid voerde en dus geen gebruikersgegevens kon overhandigen.

Maar in 2019 werd PIA verkocht aan Kape Technologies, een Israëlisch bedrijf dat eerder als Crossrider door het leven ging. Crossrider verkocht adware en malware, zo bleek uit onderzoek van antivirusbedrijven Symantec en Malwarebytes. 

Crossrider veranderde zijn naam, nam de Roemeense VPN CyberGhost en Duitse VPN ZenMate over en kocht dus ook PIA. Directeuren van Kape Technologies worden door onder meer Forbes gelinkt aan Israëlische opsporingsdiensten. PIA claimt nog even veilig te zijn als voor de overname, maar lang niet iedereen gelooft dat meer.

Gratis VPN-apps voor smartphones

Gratis VPN-apps in de appwinkels van Google en Apple zijn per definitie verdacht, stellen experts. Ze tonen advertenties die inbreuk maken op je privacy en/of verkopen je internetverkeer aan derden. 

Een interessant en bizar voorbeeld is Hola VPN. Deze gratis VPN-dienst liet je internetten via andermans ip-adres, waarbij een willekeurige gebruiker zich dus via jouw ip-adres op het internet uitgaf. Niet zo erg als diegene schoenen bestelt, maar je kunt je voorstellen dat er bij de AIVD en MIVD een belletje gaat rinkelen als die persoon handleidingen om bommen te maken of (kinder)porno downloadt. 

Een gratis VPN-app kan jouw informatie ook al dan niet verplicht delen met overheidsinstanties. Uit onderzoek van Metric Labs in 2018 bleek dat bijna zestig procent van de gratis VPN-apps een Chinese eigenaar heeft. De Chinese regering kan bedrijven verplichten gebruikersdata te overhandigen en stelt een no-log-beleid niet op prijs. Een Chinese VPN kun je dus beter vermijden.

Betrouwbaarheid van Nederlandse VPN's

Onbetrouwbare en dubieuze VPN’s zijn er dus genoeg, allemaal uit het buitenland. Zijn Nederlandse VPN-aanbieders dan wél te vertrouwen? Dat is lastig te zeggen. De Nederlandse privacywetgeving is zorgvuldig, maar verplicht VPN-bedrijven wel om mee te werken aan overheidsverzoeken als de rechter hier toestemming voor heeft gegeven. 

Als een VPN-aanbieder gegevens bijhoudt en een opsporingsdienst gegevens van een gebruiker wil hebben, moeten die dus overhandigd worden. Uit privacy-oogpunt is het dus prettiger als de Nederlandse VPN-partij een no-log-beleid hanteert. De twee bekendste Nederlandse VPN-aanbieders zijn Goose VPN en VPN Nederland

Beide claimen een no-log-beleid te hanteren. Of dat echt het geval is, kunnen we niet zeggen. Voor zover wij weten zijn er namelijk nog geen onafhankelijke audits uitgevoerd die de claims bevestigen of ontkrachten. En we hebben ook geen rechtszaken of invallen kunnen vinden die aantonen dat de VPN-partijen echt geen gebruikersgegevens opslaan. 

Het lijkt er dus sterk op dat je de bedrijven op hun blauwe ogen moet geloven. En of je dat moet willen? Beide partijen zijn nogal summier met het delen van informatie over hun no-log-beleid. Goose VPN meldt: ‘wij hanteren echter een no-log-beleid en bewaren geen data op onze servers.’ 

Bij VPN Nederland valt op moment van schrijven enkel te lezen dat de dienst ‘log vrij’ is. Wie absolute privacy belangrijk vindt, kan beter kijken naar een VPN-aanbieder met duidelijkere informatie, onafhankelijke audits en een vestigingsland dat niets met Europa of de Verenigde Staten te maken heeft.

Bewezen betrouwbare VPN's

Hoewel er op moment van schrijven dus geen aanwijzingen zijn dat Nederlandse VPN’s niet te vertrouwen zijn, is er ook geen bewijs dat ze wel te vertrouwen zijn. Gelukkig zijn er buitenlandse VPN’s die zichzelf inmiddels wel bewezen hebben. Zo is NordVPN in 2019 en 2020 geverifieerd door accountancykantoor PwC, dat via audits heeft vastgesteld dat de VPN-dienst inderdaad geen logs bijhoudt. 

Een ongeplande praktijktest vond in 2018 plaats. Een Finse server van NordVPN werd toen gehackt via een kwetsbaarheid in het systeem van het (gehuurde) datacenter. De hacker of hackers konden echter geen noemenswaardige schade aanrichten. Omdat NordVPN een no-log-beleid voert, waren de servers leeg. En omdat bij het leggen van de VPN-verbinding geen gebruikersnaam en/of wachtwoord verstuurd worden, is die informatie ook niet in handen gekomen van de hacker(s). Ook prettig: omdat NordVPN gevestigd is in Panama, hoeft het bedrijf zich niet aan de Amerikaanse en Europese privacywetten te houden.

ProtonVPN is gevestigd in Zwitserland, dat eveneens hele strenge privacywetgeving heeft. De datacenters van de VPN-aanbieder staan in een voormalige bunker, duizend meter onder de Alpen. ProtonVPN gebruikt opensource-software die onder meer door Mozilla geverifieerd is op het beloofde no-log-beleid. Interessant is dat ProtonVPN een van de weinige betrouwbare VPN’s is met een gratis versie. Die is wel beperkt qua functies en snelheid en daarmee vooral bedoeld om je kennis te laten maken met de dienst. En je er dus van te overtuigen een betaald abonnement te nemen.

Een opvallende VPN is ExpressVPN. Deze populaire VPN-dienst wil namelijk niet vertellen wie de eigenaar is of eigenaren zijn, en waar die gevestigd zijn. Een woordvoerder zegt tegen de website Slate dat de VPN-dienst daar geen uitspraken over doet om de anonimiteit van zijn gebruikers te kunnen waarderen. De redenatie is interessant: als niemand weet wie er achter ExpressVPN zit en waar die persoon of personen zich ophouden, kan een overheidsinstantie ook geen druk uitoefenen om data te verkrijgen. 

ExpressVPN claimt namelijk stellig dat het een no-log-beleid hanteert. En die claim lijkt te kloppen. Er zijn in de afgelopen jaren twee onafhankelijke audits uitgevoerd om het no-log-beleid van de VPN-dienst te controleren. Accountancykantoor PwC – een van de beste auditers ter wereld – kon niets vinden en deelde daarom een positieve score uit. Het gerenommeerde Duitse beveiligingsbedrijf Cure53 nam ExpressVPN ook onder de loep en concludeerde eveneens dat de VPN-dienst geen logs registreert. 

De Turkse opsporingsdiensten namen toch het zekere voor het onzekere toen ze in 2017 de gegevens van een Turkse ExpressVPN-gebruiker wilde hebben. De dienst gaf meermaals aan de autoriteiten niet te kunnen helpen, waarna de politie een Turks datacenter binnenviel en een ExpressVPN-server meenam. ExpressVPN reageerde boos maar zelfverzekerd: die server bevat geen gebruikersinformatie. De Turkse autoriteiten gaven dat na uitvoerig onderzoek toe. Het gebeurt niet vaak dat autoriteiten zonder toestemming een VPN-server in beslag nemen. Dat de server ‘leeg’ was, is een opsteker voor de reputatie van ExpressVPN.

Concurrerende VPN-diensten zijn minder blij met de populariteit van de grote spelers en proberen ze uit de tent te lokken. Zo zegt de directeur van AnchorFree, dat Hotspot Shield VPN uitgeeft, in een interview met Slate dat hij vermoedt dat de basis van ExpressVPN in China ligt. Hij geeft geen bewijs voor die claim. 

ExpressVPN is financieel en juridisch gevestigd op de Britse Maagdeneilanden vanwege de privacywetgeving en anonimiteit voor de eigenaren. De VPN-dienst ontkent iets met China te maken hebben, maar kan dat niet bewijzen omdat het als gezegd zijn ware identiteit verborgen houdt. De worsteling van ExpressVPN is exemplarisch voor de geheimzinnigheid rondom sommige VPN-aanbieders. Ze garanderen maximale anonimiteit, maar verschuilen zichzelf (daarom) ook in de schaduw.

Maak je eigen VPN

In plaats van betalen voor een VPN-dienst waar je op moet vertrouwen, kun je ook zelf een VPN maken. Bijvoorbeeld door OpenVPN te installeren bovenop Unraid, een flexibel besturingssysteem voor onder meer je thuisserver. Zo weet je vrijwel zeker dat er niemand meekijkt en hoef je ook geen maandelijks bedrag te betalen aan een VPN-aanbieder. 

Als je al gebruikmaakt van Unraid, kun je op deze manier ook bij je lokale Unraid-web-apps. Als dit je het proberen waard vindt, lees dan de volgende artikelen:

Unraid installeren op je eigen thuisserver

Eigen VPN-server maken met OpenVPN en Unraid

Toch liever een kant-en-klare VPN proberen? Vorig jaar vergeleken we nog 14 VPN's met elkaar. De resultaten daarvan vind je in dit artikel.

Geschreven door: Rens Blom op

Category: Nieuws, Security

Tags: privacy, vpn