Een no-logs VPN klinkt eenvoudig: de provider zegt geen gegevens bij te houden van wat gebruikers online doen. In de praktijk is de zin veel minder precies. Sommige VPN’s gebruiken ‘geen logbestanden’, wat betekent dat ze geen browse-activiteit opslaan. Anderen verzamelen nog steeds verbindingstijdstempels, apparaat-ID’s, bandbreedtegegevens, crashrapporten, accountgegevens, betalingsgegevens of metagegevens over antimisbruik.
Dat verschil doet ertoe. Een VPN bevindt zich tussen de gebruiker en het bredere internet. Het kan de browse-activiteit verbergen voor een internetprovider of een openbare Wi-Fi-operator, maar het concentreert ook het vertrouwen in de VPN-provider. Als de aanbieder te veel informatie verzamelt, vage privacytaal gebruikt of zonder externe verificatie opereert, wordt een no-logs-claim meer een marketinglijn dan een privacygarantie.
Voor gebruikers die VPN-diensten vergelijken, is de echte vraag niet of een website ‘geen logs’ zegt. De betere vraag is: wat wordt er precies niet geregistreerd, wat wordt er nog verzameld, hoe lang wordt het bewaard en wie heeft de claim geverifieerd?
Wat “geen logs” zou moeten betekenen
Een krachtig no-logs-beleid zou moeten betekenen dat de VPN geen informatie opslaat die een gebruiker kan verbinden met zijn online activiteiten. Dat omvat de browsegeschiedenis, DNS-query’s, bestemmings-IP-adressen, verkeersinhoud, gedownloade bestanden, app-gebruik en sessierecords die een gebruikersaccount aan een specifieke activiteit op een specifiek tijdstip koppelen.
Het sterkste beleid is specifiek. Ze zeggen wat de aanbieder niet verzamelt, wat hij wel verzamelt, waarom die gegevens nodig zijn en wanneer deze worden verwijderd. Zwak beleid is vaak gebaseerd op brede claims zoals ‘we respecteren uw privacy’ of ‘we volgen geen gebruikers’ zonder te definiëren wat ‘tracken’ betekent.
Een VPN heeft mogelijk nog wat informatie nodig om de service uit te voeren. E-mailadressen van accounts, betalingsstatus, abonnement, app-versie, aantal apparaten, klantondersteuningsberichten en elementaire operationele diagnostiek zijn veelvoorkomende voorbeelden. Het gaat er niet om of een aanbieder überhaupt gegevens verzamelt. De vraag is of de verzamelde gegevens kunnen worden gebruikt om het surfgedrag van een gebruiker te reconstrueren of om te identificeren wat hij of zij tijdens een VPN-sessie heeft gedaan.
De vier soorten VPN-logboeken die gebruikers moeten kennen
Niet alle logs brengen hetzelfde privacyrisico met zich mee. Een handige manier om een VPN-beleid te evalueren is om logs in vier categorieën te verdelen.
Activiteitenlogboeken zijn het meest gevoelig. Deze kunnen bestaan uit bezochte websites, zoekopdrachten, DNS-verzoeken, geraadpleegde inhoud, gedownloade bestanden, verzonden berichten en gebruikte services. Een VPN die activiteitenlogboeken bijhoudt, mag niet worden behandeld als een op privacy gerichte dienst zonder logboeken.
Verbindingslogboeken zijn ingewikkelder. Deze kunnen het tijdstip omvatten waarop een gebruiker verbinding heeft gemaakt, het tijdstip waarop de verbinding is verbroken, de hoeveelheid overgedragen gegevens, het oorspronkelijke IP-adres, de gebruikte VPN-server en het door de VPN toegewezen IP-adres. Sommige verbindingsgegevens kunnen tijdelijk worden gebruikt voor het oplossen van problemen of het voorkomen van misbruik. Maar als het voor langere tijd wordt bewaard, kan het identificerende metadata worden.
Accountlogboeken bevatten informatie die gebruikers verstrekken bij het aanmelden of betalen. E-mailadressen, gebruikersnamen, facturen, betalingsverwerkers, verlengingsgeschiedenis en ondersteuningstickets kunnen allemaal een echt persoon aan een VPN-account koppelen. Deze gegevens kunnen onvermijdelijk zijn, maar ze moeten duidelijk openbaar worden gemaakt.
Diagnostische logboeken omvatten crashrapporten, app-prestatiegegevens, apparaattype, besturingssysteemversie en analysegebeurtenissen. Deze worden vaak als onschadelijk bestempeld, maar ze kunnen nog steeds patronen onthullen. Gebruikers moeten controleren of diagnostische gegevens optioneel, geanonimiseerd, geminimaliseerd en snel verwijderd zijn.
“Geen activiteitenlogboeken” is niet hetzelfde als “geen logboeken”
Een veel voorkomende truc is het gebruik van ‘geen logboeken’ als afkorting voor ‘geen activiteitenlogboeken’. Dat kan nog steeds nuttig zijn, maar het is niet hetzelfde als geen zinvolle gegevens verzamelen.
Een VPN kan bijvoorbeeld zeggen dat het de browsegeschiedenis niet registreert, terwijl het nog steeds bron-IP-adressen, verbindingstijdstempels, bandbreedtetotalen en apparaat-ID’s opslaat. Die gegevens geven mogelijk niet de exacte pagina weer die een gebruiker heeft bezocht, maar kunnen nog steeds gevoelig zijn. In sommige gevallen kunnen metagegevens voldoende zijn om te bepalen wie verbinding heeft gemaakt, wanneer zij verbinding hebben gemaakt en welke server zij hebben gebruikt.
Dit is de reden waarom gebruikers verder moeten kijken dan de claim in de kop en het privacybeleid moeten lezen. Het beste beleid gebruikt duidelijke taal en vermeldt specifieke gegevensvelden. Het zwakste beleid verschuilt zich achter brede taal als ‘we kunnen informatie verzamelen die nodig is om de dienst te verlenen’, zonder te zeggen wat die informatie is.
Onafhankelijke audits zijn belangrijk, maar ze zijn geen magie
Audits door derden zijn een van de belangrijkste manieren geworden waarop VPN-providers hun claims zonder logbestanden proberen te bewijzen. Een echte audit kan nuttig zijn omdat een extern bedrijf delen van de systemen, het beleid, de infrastructuur of de serverconfiguratie van de provider beoordeelt.
Maar gebruikers moeten het woord ‘gecontroleerd’ niet als een definitief antwoord beschouwen. De reikwijdte is belangrijk.
Een goede audit moet een aantal vragen beantwoorden. Wie heeft het uitgevoerd? Wanneer is het voltooid? Was het een audit zonder logboeken, een beveiligingsaudit of een algemene nalevingsbeoordeling? Heeft het de serverinfrastructuur, backend-systemen, apps, interne toegangscontroles en praktijken voor het bewaren van gegevens geïnspecteerd? Is het rapport openbaar, samengevat of alleen beschikbaar voor klanten? Zijn er problemen gevonden? Waren ze gerepareerd?
Een oude audit is minder nuttig dan een recente. Een beperkte audit is minder nuttig dan een audit die de systemen bestrijkt waar daadwerkelijk logboeken worden aangemaakt of opgeslagen. Een privé-auditsamenvatting is minder nuttig dan een openbaar rapport waarin de methodologie en beperkingen worden uitgelegd.
Audits leggen ook een bepaald tijdstip vast. Een provider kan na een audit de infrastructuur, het eigendom, de interne tools of de datapraktijken wijzigen. Dat maakt audits niet waardeloos, maar betekent wel dat ze moeten worden behandeld als één van de vele signalen.
Servers met alleen RAM en privacy-infrastructuur
Sommige VPN-providers gebruiken servers met alleen RAM, ook wel schijfloze infrastructuur genoemd. In deze opstelling draaien servers vanuit vluchtig geheugen in plaats van persistente gegevens naar harde schijven te schrijven. Wanneer de server opnieuw wordt opgestart of uitgeschakeld, worden de gegevens in het geheugen gewist.
Dit kan het risico op langdurige gegevensbewaring verminderen. Het kan serveraanvallen ook minder nuttig maken, omdat er geen traditionele schijf vol historische logbestanden mag zijn. Maar een infrastructuur die alleen RAM bevat, is geen vervanging voor een duidelijk privacybeleid of een audit door derden. Als de backendsystemen van een bedrijf gebruikersmetagegevens elders verzamelen, kunnen schijfloze VPN-servers alleen het probleem niet oplossen.
Gebruikers moeten servers met alleen RAM beschouwen als een positieve technische controle, en niet als bewijs dat er geen logbestanden bestaan.
Jurisdictie en juridische verzoeken
Een VPN-aanbieder is onderworpen aan de wetten van de landen waar hij actief is, waar hij gevestigd is en waar hij over infrastructuur of personeel beschikt. Jurisdictie maakt een VPN niet automatisch veilig of onveilig, maar heeft wel invloed op de manier waarop de aanbieder op wettelijke eisen kan reageren.
Een aanbieder zonder logboeken moet uitleggen hoe hij met wetshandhavingsverzoeken omgaat. Idealiter zou het een transparantierapport moeten publiceren waaruit blijkt hoeveel verzoeken het ontvangt en hoe het reageert. Sommige aanbieders publiceren ook warrantcanaries, hoewel deze geen perfecte bescherming bieden en geen duidelijke juridische procedure mogen vervangen.
Het belangrijkste punt is simpel: als een VPN geen identificerende activiteitsgegevens verzamelt, heeft het minder bruikbare informatie om over te dragen. Als het wel metadata verzamelt, kunnen juridische verzoeken veel belangrijker zijn.
Gratis VPN’s hebben extra aandacht nodig
Een gratis VPN is niet automatisch slecht, maar gebruikers zouden sceptischer moeten zijn. VPN-infrastructuur kost geld. Servers, bandbreedte, engineering, beveiligingsbeoordelingen, klantenondersteuning en misbruikpreventie brengen allemaal reële kosten met zich mee. Als gebruikers niet rechtstreeks betalen, heeft de aanbieder een ander bedrijfsmodel nodig.
Sommige gratis VPN’s werken als beperkte versies van betaalde producten. Anderen vertrouwen op advertenties, analyses, datapartnerschappen of het genereren van inkomsten uit verkeer. Gebruikers moeten controleren of het gratis abonnement een apart privacybeleid heeft, of het gegevens deelt met adverteerders of analysepartners, en of de app om toestemmingen vraagt die niet overeenkomen met de service.
De belangrijkste vraag is niet: “Is het gratis?” De vraag is: “Hoe betaalt dit bedrijf voor de dienst zonder gebruikersgegevens in het product om te zetten?”
Waarschuwingssignalen bij een beleid zonder logboeken
Verschillende signalen moeten gebruikers voorzichtig maken.
Een beleid dat zegt dat de provider brede categorieën gegevens ‘mag verzamelen’ zonder de grenzen uit te leggen, is een probleem. Dat geldt ook voor taal die het delen van gegevens met ‘partners’, ‘gelieerde ondernemingen’ of ‘vertrouwde derde partijen’ mogelijk maakt, zonder hen een naam te geven of uit te leggen waarom delen noodzakelijk is.
Een andere rode vlag is een discrepantie tussen de startpagina en het privacybeleid. Als op de startpagina ‘zero logs’ staat, maar het beleid verbindingstijdstempels, IP-adressen, apparaat-ID’s en analysegegevens vermeldt, is het beleid het document dat ertoe doet.
Gebruikers moeten ook voorzichtig zijn als een VPN onmogelijke beloftes doet. Een VPN kan iemand op zichzelf niet volledig anoniem maken. Het kan niet voorkomen dat websites ingelogde gebruikers volgen. Het kan geen gegevens verwijderen die al in het bezit zijn van adverteerders, datamakelaars, browsers of apps. Het biedt geen bescherming tegen elke vorm van malware, phishing, vingerafdrukken of accountcompromis.
Te veel beloven is niet alleen slechte marketing. Het is een signaal van vertrouwen.
Wat gebruikers moeten controleren voordat ze een VPN zonder logbestanden kiezen
Begin met het privacybeleid. Zoek naar termen als ‘IP-adres’, ‘tijdstempel’, ‘DNS’, ‘bandbreedte’, ‘apparaat-ID’, ‘analyses’, ‘crashrapporten’, ‘reclame’, ‘derden’, ‘retentie’ en ‘wetshandhaving’. Een serieuze aanbieder moet deze punten gemakkelijk te begrijpen maken.
Controleer vervolgens de auditgeschiedenis. Zoek naar de auditor, de datum, de reikwijdte en of het rapport specifiek betrekking heeft op claims zonder logboeken. Een beveiligingsaudit van een app is nuttig, maar is niet hetzelfde als verifiëren dat het bedrijf geen metagegevens van gebruikersactiviteiten of verbindingen bewaart.
Controleer vervolgens het eigendom en de transparantie. Een VPN-aanbieder moet duidelijk bekendmaken welk bedrijf achter de dienst zit, waar deze is gevestigd en hoe gebruikers er contact mee kunnen opnemen. Verborgen eigendom is geen bewijs van wangedrag, maar maakt het afleggen van verantwoording moeilijker.
Controleer daarna het bedrijfsmodel. Betaalde abonnementen, freemium-abonnementen, advertenties, gebundelde tools en zakelijke services creëren allemaal verschillende prikkels. In het privacybeleid moet worden uitgelegd of gebruikersgegevens worden verkocht, gedeeld, verhuurd, geanalyseerd of gebruikt voor gerichte reclame.
Controleer ten slotte of privacyfuncties standaard zijn ingeschakeld. Een VPN met sterke instellingen verborgen in de app is minder beschermend dan een VPN die begint met veilige standaardinstellingen. Handige functies zijn onder meer DNS-lekbescherming, IPv6-lekbescherming, een kill-schakelaar, moderne protocollen, automatische updates en duidelijke diagnostische controles.
Een praktische checklist zonder logboeken
Een betrouwbare VPN zonder logbestanden zou deze vragen duidelijk moeten kunnen beantwoorden:
- Wordt de browseractiviteit, DNS-query’s of bestemmings-IP-adressen geregistreerd?
- Wordt het oorspronkelijke IP-adres van de gebruiker opgeslagen?
- Bewaart het verbindingstijdstempels?
- Houdt het de bandbreedte bij per account?
- Hoe lang worden operationele gegevens bewaard?
- Zijn diagnostiek optioneel?
- Worden analyses gedeeld met derden?
- Is het beleid zonder logboeken onafhankelijk gecontroleerd?
- Is de audit recent en specifiek?
- Is het bedrijfseigendom openbaar?
- Publiceert de aanbieder transparantierapporten?
- Komt het privacybeleid overeen met de marketingclaims?
Als het antwoord onduidelijk is, is dat het antwoord. Het privacybeleid is geschreven door het bedrijf, niet door gebruikers. Wanneer een aanbieder vertrouwen wil, moet hij ervoor zorgen dat het bewijsmateriaal gemakkelijk te vinden is.
Een VPN-beleid zonder logbestanden is slechts zo sterk als de definities, infrastructuur, verificatie en bedrijfsmodel ervan. De zinsnede “geen logbestanden” mag niet zomaar worden aanvaard. Gebruikers moeten controleren welke gegevens zijn uitgesloten, welke gegevens nog steeds worden verzameld, hoe lang deze worden bewaard, of een onafhankelijke audit de claim ondersteunt en of de prikkels van het bedrijf in lijn zijn met privacy.
VPN’s kunnen nuttige hulpmiddelen zijn. Ze kunnen de blootstelling aan niet-vertrouwde netwerken verminderen, browse-metagegevens verbergen voor een internetprovider en helpen verkeer via een andere locatie te leiden. Maar ze elimineren het vertrouwen niet. Ze verplaatsen het vertrouwen van de ene partij naar de andere.
Dat is de reden waarom de beste VPN zonder logbestanden niet degene is met de luidste privacyslogan. Het is degene die de minste gegevens verzamelt, de grenzen duidelijk uitlegt, zijn beweringen regelmatig verifieert en gebruikers minder redenen geeft om te raden.
