Wat is de invloed van het rechtsgebied van een VPN?

De machtigste landen ter wereld zijn lid van geheimzinnige bondgenootschappen voor het delen van inlichtingen: de Five Eyes-, Nine Eyes- en Fourteen Eyes-alliantie.

Deze landen werken samen om op grote schaal toezichtsgegevens te verzamelen, die ze met de andere landen van de alliantie delen. Ze verzamelen informatie zoals je browseactiviteit, telefoongesprekken, sms’jes, elektronische documenten, locatiegeschiedenis en nog veel meer.

Wat de privacy betreft, zijn deze landen de slechtste plekken om een VPN-bedrijf te vestigen. Diensten die in deze landen gevestigd zijn, kunnen onderhevig zijn aan ingrijpende wetgeving op het gebied van toezicht, gegevensbewaring en gegevensdeling, en mogelijk zelfs gedwongen worden om gegevens aan de autoriteiten te overhandigen.

In deze gids leggen we uit wat een VPN-rechtsgebied is en welke impact dit heeft op jouw privacy. Ook gaan we uitgebreid in op de Five Eyes-, Nine Eyes- en Fourteen Eyes-allianties, wat cruciale factoren zijn bij het kiezen van een VPN.

In onze vergelijkingstabel voor VPN-rechtsgebieden kun je precies zien waar de populairste VPN-aanbieders zijn gevestigd.

Het rechtsgebied van een VPN-aanbieder is het land waarin de service wettelijk is gevestigd. Het rechtssysteem van dit land is van invloed op de wetgeving en privacyregels die van toepassing zijn op de VPN-aanbieder.

De mate waarin de overheid het internetgebruik bewaakt en controleert, verschilt van land tot land. De meest opdringerige rechtsgebieden kunnen een VPN-aanbieder verplichten om gegevens van gebruikers te monitoren, verzamelen of delen.

VPN-servers vallen onder het rechtsgebied van het land waarin ze zich fysiek bevinden.

De autoriteiten in dit land zijn wettelijk bevoegd om de server in beslag te nemen om de gegevens die erop staan te onderzoeken. Deze autoriteiten kunnen dus wel de server zelf in beslag nemen, maar ze kunnen het VPN-bedrijf niet dwingen om informatie te delen, omdat het bedrijf in een ander land is gevestigd. Daarom is het logboekbeleid van een VPN net zo belangrijk als een goed rechtsgebied.

Afhankelijk van de mate waarin je eigen land het gebruik van internet reguleert, kun je ervoor kiezen een VPN-aanbieder in een ander land te gebruiken. Bovendien is het verstandig om een rechtsgebied te kiezen dat sterke privacywetten heeft en dat geen deel uitmaakt van een internationaal bondgenootschap voor het delen van gegevens.

Als je je internetactiviteiten wilt verbergen, moet je absoluut vermijden om een VPN te gebruiken die gevestigd is in een invasief rechtsgebied. Een dergelijk bedrijf kan gedwongen worden om gebruikersgegevens te overhandigen, die vervolgens met andere landen worden gedeeld op basis van overeenkomsten voor het delen van inlichtingen.

Maar dat is niet het enige rechtsgebied waar je je zorgen over moet maken.

Wanneer deze locaties onder invasieve wetgeving vallen, bestaat het risico op ongegronde doorzoekingen en schendingen van de privacy onder het mom van ‘beveiliging’.

Het rechtsgebied is dus belangrijk, maar het is slechts één van de vele factoren waarmee je rekening moet houden bij het kiezen van een VPN. Hoe zwaar dit precies weegt, is afhankelijk van de mate van bescherming die je nodig hebt.

Als je jezelf wilt beschermen tegen doelgericht toezicht door de overheid, is het kiezen van een VPN in een veilig rechtsgebied waarschijnlijk niet genoeg. Nationale inlichtingendiensten hebben toegang tot zeer uitgebreide bronnen. Als ze jou willen onderzoeken, spelen veel meer dingen mee dan alleen het rechtsgebied van je VPN.

Vertrouwen is ook een belangrijke factor. Ook een VPN in een “veilig” rechtsgebied kan liegen tegen zijn klanten en samenwerken met de autoriteiten.

Uiteindelijk zijn de locatie van de servers waarmee je verbinding maakt en de praktijken van het bedrijf dat deze servers beheert waarschijnlijk belangrijker dan het land waar het bedrijf is gevestigd.

Toch zijn VPN-rechtsgebieden nog steeds belangrijk als privacy voor jou een hoge prioriteit heeft. Je kunt risico’s lopen op de volgende gebieden:

Toezicht en dataretentie

Inlichtingendiensten zoals de Amerikaanse NSA (National Security Agency) en de Britse GCHQ (Government Communications Headquarters) hebben de bevoegdheid om binnenlandse organisaties te dwingen persoonlijke informatie te registreren, delen en ontsleutelen.

Onder de Amerikaanse Patriot Act hebben overheden bevoegdheden gekregen om data te verzamelen via National Security Letters. Met deze wetten kunnen bedrijven gedwongen worden om gegevens te verzamelen voor overheidsinstellingen.

Deze verzoeken gaan soms gepaard met een zwijgplicht, die bepaalt dat het bedrijf niet openbaar mag maken wat ze onder dwang van de overheid moeten doen. Sommige VPN-bedrijven publiceren een zogenaamde Warrant Canary om dit probleem aan te pakken. Hierop komen we later nog terug.

Een bekend precedent hiervan is het volgende. In 2013 probeerde de FBI informatie over Edward Snowden op te vragen bij Lavabit, een dienst voor het versleutelen van e-mail.

Lavabit kreeg een dagvaarding met zwijgplicht om de encryptiesleutels voor de e-mailinhoud van zijn gebruikers te overhandigen. De FBI zou daarmee in realtime toegang krijgen tot de e-mails van alle klanten van Lavabit, niet alleen die van Snowden.

De oprichter van het bedrijf, Ladar Levison, verstrekte de encryptiesleutels en beëindigde de dienst meteen. De Amerikaanse autoriteiten dreigden Levison te arresteren, omdat dit in strijd zou zijn met de dagvaarding.

Ook de VPN-aanbieder Riseup uit het Amerikaanse Seattle werd op een vergelijkbare manier gedwongen om gebruikersgegevens te verzamelen voor de overheid, en het bedrijf werd zwijgplicht opgelegd om ervoor te zorgen dat dit niet bekend gemaakt werd aan de gebruikers.

HideMyAss, een VPN-aanbieder in het Verenigd Koninkrijk, kreeg eveneens een gerechtelijk bevel om gegevens te verzamelen en met de autoriteiten te delen in het kader van een strafrechtelijk onderzoek. Dit werd pas na de rechtsvervolging bekendgemaakt.

Dit zijn slechts enkele voorbeelden van gevallen die openbaar zijn gemaakt. Waarschijnlijk zijn er nog veel meer gevallen die nog niet aan het licht zijn gekomen.

Overeenkomsten voor het delen van gegevens

Landen die internationale toezichtovereenkomsten hebben gesloten, zoals de Five Eyes-, Nine Eyes- en Fourteen Eyes-allianties stellen de deelnemende landen in staat om de enorme hoeveelheid toezichtsgegevens te delen en gebruik te maken van ‘de kleinste gemeenschappelijke privacydeler’.

Als in een van deze landen een wet wordt aangenomen waarmee de mogelijkheden voor elektronisch toezicht worden uitgebreid, kan die wet in feite worden gebruikt door alle landen die de overeenkomst hebben getekend.

De kans is dan groot dat jouw activiteit wordt gevolgd en met een inlichtingendienst wordt gedeeld, ongeacht waar jij je op de wereld bevindt.

Locaties van virtuele servers en gehuurde servers

Sommige VPN-aanbieders huren hun servers bij datacenters omdat dit aanzienlijk goedkoper is dan het bezitten van een volledig internationaal netwerk.

Hoewel dit kostenefficiënt kan zijn, gaat het ten koste van de privacy.

Datacenters blijven de eigenaar van de servers die ze verhuren en kunnen je activiteiten vastleggen, ongeacht het logbeleid van de VPN-aanbieder.

Afhankelijk van het rechtsgebied van het datacenter kunnen lokale autoriteiten de serverhost bovendien dwingen om deze gegevens te bewaren of delen.

Het rechtsgebied en het logboekbeleid van het VPN-bedrijf spelen dan geen rol. Lokale autoriteiten kunnen zich rechtstreeks tot de serverhost wenden om de informatie die ze nodig hebben op te vragen.

Meer informatie over gehuurde VPN-servers vind je in onze gids over locaties van virtuele servers.

Als je belang hecht aan je privacy, is het raadzaam om een VPN-aanbieder te kiezen buiten de landen van de Five Eyes-, Nine Eyes- of Fourteen Eyes-allianties.

Bij de landen van deze allianties is de kans namelijk veel groter dat ze deelnemen aan invasieve toezicht-, dataretentie- en inlichtingenprogramma’s.

Ook kunnen de machtigste landen in de allianties waarschijnlijk andere leden dwingen om gegevens te registreren of op andere manieren samen te werken.

Wat is een veilige haven voor privacy?

Over het algemeen wordt het aanbevolen een VPN te kiezen in een land dat als “veilige haven voor privacy” wordt beschouwd.

Een veilige haven voor privacy is een land dat in wettelijk en politiek opzicht positief staat tegenover het idee van online privacy. Deze landen nemen zelden deel aan samenwerkingsverbanden voor verplicht toezicht, dataretentie of het delen van gegevens. Vaak hebben ze ook een zeer sterke privacywetgeving.

Deze landen zijn niet verplicht om gegevens van gebruikers te delen met internationale autoriteiten, maar ze beschikken vaak evenmin over de regelgeving die nodig is om gebruikersgegevens op de juiste wijze te beschermen.

Landen die vaak worden aangeduid als veilige havens voor privacy zijn de Britse Maagdeneilanden, Panama, de Seychellen, de Kaaimaneilanden en Maleisië.

Veel VPN’s, zoals ExpressVPN en NordVPN, registreren hun bedrijf bewust in een van deze landen om er zeker van te zijn dat hun service zo privé en veilig mogelijk blijft.

Er zijn ook enkele VPN’s die betrouwbaar zijn gebleken ondanks het feit dat ze vanuit een “gevaarlijk” rechtsgebied actief zijn. Private Internet Access (PIA) kon bijvoorbeeld, ondanks een dagvaarding voor informatie, geen gegevens aan de Amerikaanse overheid verstrekken voor een officiële rechtszaak.

Er zijn slechts enkele echte no-logs VPN-aanbieders die in de praktijk zijn geverifieerd door externe audits of testcases. Een VPN in een veilig offshore rechtsgebied voegt gewoon extra bescherming toe, omdat de kans kleiner is dat het bedrijf gedwongen kan worden om gegevens te delen met de autoriteiten.

Moeten VPN-aanbieders een Warrant Canary gebruiken?

Een Warrant Canary is een verklaring die serviceproviders regelmatig publiceren als bewijs dat ze niet zijn benaderd door een overheidsinstantie of niet zijn gedwongen om gebruikersgegevens prijs te geven.

Dataverzoeken zoals een US National Security Letter (NSL) gaan meestal gepaard met zwijgplicht die het betreffende bedrijf verbiedt om dit openbaar te maken.

Het doel van een Warrant Canary is om de gebruikers te waarschuwen dat hun gegevens mogelijk niet meer veilig zijn, zonder het gerechtelijk bevel te schenden.

Ze informeren gebruikers dat er vanaf een bepaalde datum geen gerechtelijk bevel, zwijgplicht of dagvaarding is uitgevaardigd. Als de Canary niet wordt bijgewerkt of helemaal wordt verwijderd, kunnen gebruikers hieruit concluderen dat er een zwijgplicht is opgelegd en de host een wettelijk verzoek heeft ontvangen.

Veel VPN-aanbieders gebruiken een Warrant Canary om hun gebruikers ervan te overtuigen dat ze betrouwbaar zijn.

Het feit dat een VPN een Warrant Canary onderhoudt, wil op zich echter niet zeggen dat de service privé of veilig is. Veel betrouwbare diensten gebruiken bovendien uit principe geen Warrant Canary, omdat hun effectiviteit wordt betwist.

Er zijn bijvoorbeeld deskundigen die beweren dat overheden bedrijven kunnen dwingen om een Canary te vermelden terwijl gegevens toch gecompromitteerd zijn, waardoor ze nutteloos worden. Ook kan een service die wel gegevens heeft prijsgegeven de Warrant Canary met opzet niet bijwerken om geen klanten te verliezen. Als je het zo bekijkt, zijn veel Warrant Canaries alleen maar een marketingtruc van bedrijven.

Helaas kun je nooit zeker weten of een bijgewerkte Canary echt op een gerechtelijk bevel wijst. Gebruikers kunnen alleen maar gissen naar de betekenis van een verwijderde of gewijzigde Canary.

Een Warrant Canary kun je volgens ons het beste zien als een bonusfunctie nadat je al hebt geconcludeerd dat de VPN-aanbieder betrouwbaar is. Ga dus niet specifiek op zoek naar een VPN die een Canary gebruikt.

De NSA is een van de bekendste SIGINT (Signals Intelligence) organisaties, maar bijna elk land heeft een eigen gelijkwaardige organisatie die zich bezighoudt met grootschalig toezicht, en ze werken vaak samen.

Ze richten zich vooral op wetshandhaving, gegevensverzameling en contraspionage door het onderscheppen van elektronische signalen en online communicatie.

De Five Eyes-, Nine Eyes- en Fourteen Eyes-allianties zijn drie van de belangrijkste internationale inlichtingenallianties die dit type gecoördineerd toezicht tussen de aangesloten landen mogelijk maken.

Landen die lid zijn van deze allianties zijn de slechtste VPN-rechtsgebieden als het gaat om de privacy van gebruikers, omdat de kans groter is dat ze gehoor geven aan surveillanceverzoeken van geallieerde agentschappen.

Hier is een lijst van de belangrijkste internationale toezichtentiteiten waarvan je je bewust moet zijn:

1. De Five Eyes-alliantie

De Five Eyes-landen zijn de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland.

Deze alliantie voor het delen van inlichtingen vindt zijn oorsprong in de Tweede Wereldoorlog en het UKUSA-akkoord, dat oorspronkelijk een samenwerkingsverband was tussen de Verenigde Staten en het Verenigd Koninkrijk.

Dit akkoord is in de afgelopen decennia uitgebreid, zowel qua leden als bereik. De lidstaten, die bekend staan als de Five Eyes-alliantie, werken nu samen om zowel binnenlandse als internationale inlichtingen te verzamelen, analyseren en delen.

De Five Eyes-landen zijn overeengekomen om elkaar niet als tegenstanders te bespioneren, maar uit documenten die door Edward Snowden zijn gelekt, blijkt dat ze wel elkaars burgers monitoren en deze inlichtingen onderling delen.

De Five Eyes-landen delen niet alleen toezichtsgegevens, maar werken ook samen om kennisgevingen voor dataretentie te sturen en dit af te dwingen. Dat betekent dat het ene land het andere onder druk kan zetten om de logbestanden van VPN-gebruikers binnen hun rechtsgebied te overhandigen.

Het is dan ook geen verrassing dat de digitale privacy op grote schaal wordt geschonden door veel van de Five Eyes-landen.

Als je je zorgen maakt over je privacy bij het gebruik van een VPN, zijn de Five Eyes-landen de slechtste VPN-rechtsgebieden.

ECHELON-afluistersysteem

De Five Eyes-landen gebruiken ECHELON, een netwerk van spionagestations voor wereldwijde bewaking en gegevensverzameling.

ECHELON kan gegevens onderscheppen die worden verzonden via telefoons, faxen en computers. ECHELON-stations kunnen bankrekeningen volgen en zelfs gegevens onderscheppen die van en naar satellieten worden gestuurd. Deze gegevens worden allemaal opgeslagen in grote databases waarin miljoenen records over individuen kunnen worden bewaard.

Hoewel er in de afgelopen 30 jaar steeds meer bewijs hiervoor is opgedoken, ontkent de Verenigde Staten het bestaan van ECHELON nog steeds, terwijl het Verenigd Koninkrijk zich op de vlakte houdt.

Er zijn echter verschillende klokkenluiders geweest die de waarheid aan het licht hebben gebracht door bepaalde aspecten van het ECHELON-project te documenteren.

2. De Nine Eyes-alliantie

De Nine Eyes-alliantie is een uitbreiding van de Five Eyes-alliantie. Deze alliantie bestaat uit een grotere groep landen die ook samenwerken om inlichtingen te delen. Het gaat hierbij om de Five Eyes-landen plus Frankrijk, Denemarken, Noorwegen en Nederland.

Het bestaan van de Nine Eyes-alliantie kwam uitgebreid in de publiciteit door de onthullingen van Edward Snowden in 2013. Het is in feite een uitbreiding van de Five Eyes-overeenkomst waarbij landen samenwerken om op grote schaal toezichtsgegevens te verzamelen en distribueren.

De vier extra landen hebben weliswaar niet zulke uitgebreide binnenlandse toezichtsprogamma’s als de Verenigde Staten, het Verenigd Koninkrijk of Australië, maar ze werken wel samen met elkaar en met de vijf landen van de oorspronkelijke alliantie.

De Nine Eyes-alliantie is een afspraak tussen SIGINT-entiteiten en is niet gebaseerd op een formeel verdrag.

3. De Fourteen Eyes-alliantie

De Fourteen Eyes-alliantie bestaat uit alle leden van de Nine Eyes-alliantie plus Duitsland, België, Italië, Zweden en Spanje.

De officiële naam van de Fourteen Eyes-alliantie is SIGINT Seniors of Europe (SSEUR), dat al sinds 1982 in verschillende vormen bestaat. Deze alliantie werd ooit opgericht om militaire inlichtingen uit te wisselen, maar verzamelt nu ook gegevens van gewone burgers.

De SIGINT Seniors Meeting is een jaarlijkse bijeenkomst van de leiders van de SIGINT-instanties, waar ze samenwerking en ontwikkeling bespreken.

De SIGINT Seniors of the Pacific is een vergelijkbare organisatie die in 2005 werd opgericht. De leden hiervan zijn alle Five Eyes-landen plus India, Frankrijk, Singapore, Thailand en Zuid-Korea.

Er zijn echter nog meer landen, waaronder Israël en Japan, die waarschijnlijk nauw samenwerken met de 14 Eyes-alliantie en de NSA.

4. De Europese Unie (EU)

De Europese Unie is een samenwerkingsverband van soevereine Europese landen. Het samenwerkingsbeleid van de Europese Unie is veel minder verregaand of invasief dan dat van de Five Eyes-, Nine Eyes- en Fourteen Eyes-allianties, maar ook de lidstaten van de EU hebben verdragen voor het delen van gegevens, waardoor de privacy in het geding komt.

Er zijn echter enkele uitzonderingen. In 2009 bepaalde het Roemeense Grondwettelijke Hof dat de eisen van de EU in strijd waren met het recht op privacy van de Roemeense burgers, waardoor het een veilige haven is voor de privacy van gebruikers in de EU. Dat is ook de reden waarom VPN-aanbieders zoals CyberGhost zich daar vestigen.

In sommige landen is het met de privacy beter gesteld dan in andere, maar veel landen werken samen met Five Eyes- of SSEUR-autoriteiten en staan erom bekend gegevens te delen. Houd hiermee rekening als je een VPN wilt kiezen die gevestigd is in een rechtsgebied binnen de EU.

5. De Shanghai Cooperation Organization (SCO)

De Shanghai Cooperation Organization (SCO), ook wel Shanghai Pact genoemd, is een Euraziatische politieke en economische alliantie tussen Rusland, China, Pakistan, India, Kirgizië, Kazachstan, Oezbekistan en Tadzjikistan.

De SCO richt zich in de eerste plaats op de nationale veiligheid van de eigen leden, met speciale aandacht voor de bestrijding van extremisme.

Onlangs zijn de activiteiten van de SCO echter uitgebreid met militaire samenwerking, het delen van inlichtingen en terrorismebestrijding. Het is zeer waarschijnlijk dat de SCO-lidstaten op ongeveer dezelfde manier data verzamelen en delen als de westerse inlichtingenorganisaties.

6. Landen met een strenge censuur

Bepaalde landen verbieden het gebruik van een VPN en schenden de privacy van hun burgers, ongeacht internationale overeenkomsten.

De landen die de kroon spannen als het gaat om internetrestricties zijn China, de Verenigde Arabische Emiraten, Turkije, Rusland, Oman, Irak en Belarus (Wit-Rusland), maar er zijn er nog veel meer.

De kans dat je een VPN of een VPN-server tegenkomt die zich fysiek in een van deze landen bevindt, is zeer klein, maar je moet toch opletten. In ons onderzoek naar gratis VPN-apps met Chinese eigenaars hebben we een heleboel VPN’s aangetroffen die banden hebben met twijfelachtige Chinese bedrijven.

Als je dataprivacy belangrijk vindt, moet je rechtsgebieden vermijden die nauwe banden hebben met deze regeringen, zoals Hongkong

In onze speciale gids over VPN-wetgeving lees je meer over de wettigheid van VPN’s en restricties voor het gebruik ervan.

We hebben het privacybeleid van de populairste VPN-aanbieders op de markt onder de loep genomen. Daarbij hebben we ontdekt dat veel VPN-providers gevestigd zijn in rechtsgebieden waarin gebruikersgegevens mogelijk niet veilig zijn.

De volgende tabel geeft een overzicht van alle 80 VPN-aanbieders die we hebben onderzocht. Je ziet hier welk rechtsgebied van toepassing is en of de VPN een Warrant Canary onderhoudt. Waar een Warrant Canary niet langer up-to-date is en dus vermoedelijk is geactiveerd, is deze rood gemarkeerd.