Hur påverkar VPN-jurisdiktioner dig?

Världens mäktigaste nationer är medlemmar i hemlighetsfulla avtal om datadelning som kallas 5 Eyes-, 9 Eyes- respektive 14 Eyes-alliansen.

De länder som deltar i dessa avtal samarbetar genom att samla in massövervakningsdata och dela den sinsemellan, bl.a. din surfaktivitet, telefonsamtal, sms, elektroniska dokument, platshistorik och mycket mer.

Vad gäller integritet är dessa länder de sämsta för ett VPN-företags säte, eftersom VPN-tjänster i något av dessa länder kan den bli föremål för inkräktande övervakning, datalagring och datadelningslagar. Den kan t.o.m. tvingas att överlämna din data till myndigheter.

I den här guiden förklarar vi exakt vad en VPN-jurisdiktion är och hur den påverkar din integritet. Vi kommer också att förklara 5 Eyes-, 9 Eyes- och 14 Eyes-allianserna på djupet och varför de spelar roll för ditt val av VPN-tjänst.

Du kan också ta reda på exakt var de mest populära VPN-tjänsterna har sitt säte i vår jämförelsetabell över olika VPN-jurisdiktioner.

En VPN-tjänsts jurisdiktion är det land där den är juridiskt baserad eller skattskyldig. Landet i frågas rättssystem påverkar de lagar och integritetsbestämmelser som VPN-tjänsten omfattas av.

Nivån på den övervakning och kontroll som staten har över internetanvändningen varierar från land till land. En inkräktande eller farlig jurisdiktion kan tvinga en VPN-tjänst att övervaka, samla in eller dela data om sina användare.

VPN-servrar är föremål för lagarna i det land där de är fysiskt belägna.

Myndigheterna i det landet har juridisk rätt att beslagta servern för att undersöka den beträffande data. Men även om dessa myndigheter kan beslagta själva servern kan de inte tvinga VPN-företaget att dela information, eftersom det är baserat i ett annat land. Det är därför som en VPN-tjänsts loggningspolicy är lika viktig som en bra jurisdiktion.

Beroende på i vilken utsträckning ditt eget land reglerar internet kan du vilja välja en VPN-tjänst utanför ditt hemland, med starka integritetslagar och som inte ingår i internationella avtal om datadelning.

Om du försöker dölja din internetaktivitet ska du absolut undvika att använda en VPN i en inskränkande jurisdiktion, då den skulle kunna tvingas att överlämna användarinformation till myndigheter som sedan kan delas med andra länder enligt avtal om utbyte av information.

Det är dock inte den enda jurisdiktionen som spelar roll.

Om någon av dessa platser är föremål för inkräktande lagar kan de vara mottagliga för omotiverade sökningar och integritetskompromissar av ”säkerhetsskäl”.

Även om den är viktig är jurisdiktionen bara en av många faktorer att tänka på när du väljer en VPN-tjänst. Exakt vilken betydelse den har beror på vilken skyddsnivå du behöver.

Om du letar efter skydd mot riktad övervakning är det osannolikt att en VPN-tjänst i en säker jurisdiktion är nog för att skydda dig. Nationella underrättelsetjänster har tillgång till en mängd olika resurser – om du pekas ut behöver du oroa dig för mer än jurisdiktionen för din VPN-tjänst.

Tillit är också en viktig faktor. En VPN-tjänst kan fortfarande ljuga för sina kunder och samarbeta med myndigheter även om den verkar i en ”säker” jurisdiktion.

Om du är ute efter att skydda din integritet online så är platsen för de servrar du ansluter till och praxis hos det företag som kontrollerar dem i slutändan sannolikt viktigare än var företaget har sitt säte.

Men, med detta sagt, är VPN-jurisdiktioner fortfarande viktiga om du verkligen bryr dig om din integritet. Du kan vara sårbar för följande problem:

Övervakning och lagring av uppgifter

Tillsammans med sin vanliga övervakningsinfrastruktur har nationella underrättelsetjänster som NSA och GCHQ befogenhet att tvinga inhemska organisationer att logga, dela och dekryptera privat information.

I USA innebar Patriot Act nya befogenheter för federal datainsamling genom användning av nationella säkerhetsbrev. Dessa lagar ger myndigheterna makt att tvinga en legitim verksamhet att bli ett datainsamlingsverktyg för statliga myndigheter.

Dessa förfrågningar kan åtföljas av en tystnadsplikt som gör det olagligt för företaget att avslöja vad de tvingas göra. Vissa VPN-företag publicerar Warrant Canaries i ett försök att ta itu med detta problem. Vi diskuterar dem mer ingående längre fram i den här guiden.

Det finns ett prejudikat för detta. Under 2013 riktade FBI in sig på den säkra e-posttjänsten Lavabit i ett försök att samla in information om Edward Snowden.

Lavabit kallades in för rätta med en tystnadsplikt för krypteringsnycklarna till användarnas e-postinnehåll. Detta skulle ge FBI tillgång till kommunikation i realtid för alla Lavabits kunder, inte bara Snowden.

Företagets grundare, Ladar Levison, överlämnade företagets krypteringsnycklar och stängde samtidigt av tjänsten. Amerikanska myndigheter fortsatte att hota Levison med arrestering och hävdade att hans handlingar stred mot domstolsbeslutet.

Ett liknande exempel var med den Seattle-baserade VPN-tjänsten Riseup som också tvingades att samla in användardata för statliga myndigheter, och som också blev belagd med tystnadsplikt för att stoppa företaget från att avslöja detta för sina användare.

HideMyAss, en VPN-leverantör baserad i Storbritannien, fick också ett domstolsbeslut att samla in data och dela detta med myndigheter för en brottsutredning. Detta avslöjades först efter åtalet.

Detta är bara exempel på olika fall som har gjorts tillgängliga för allmänheten – det är mycket troligt att det finns andra exempel som vi ännu inte känner till.

Datadelningsavtal

Internationella övervakningsavtal som 5 Eyes-, 9 Eyes- och 14 Eyes-allianserna gör det möjligt för medlemsländerna att dra nytta av ”den lägsta gemensamma nämnaren för integritetsskydd”.

Med andra ord får varje deltagande land dra nytta av de massövervakningsuppgifter som de andra medlemmarna får tag på.

Detta innebär att det finns en stor chans att din aktivitet samlas in och delas med en underrättelsebyrå, oavsett var i världen du befinner dig.

Virtuella serverplatser och hyrda servrar

Vissa VPN-tjänster hyr sina servrar från datacenter för att minska driftkostnaderna. Detta gör det betydligt billigare att köra ett internationellt servernätverk än att äga servrarna direkt.

Även om detta kan minska en VPN-leverantörs omkostnader kan det vara problematiskt ur integritetsynpunkt.

Hyrda VPN-servrar tillhör det datacenter som hyr ut dem. Det är möjligt för datacentret att föra loggar över din aktivitet oavsett VPN-företagets loggningspolicy.

Beroende på datacentrets jurisdiktion kan lokala myndigheter också tvinga servervärden att lagra eller dela användardata.

I sådana fall är VPN-företagets jurisdiktion och loggningspolicy irrelevant. Lokala myndigheter kan gå direkt till servervärden för att beslagta den information de behöver.

Du kan läsa mer om hyrda VPN-servrar i vår guide tillplatser med virtuella servrar.

Om du bryr dig om din integritet rekommenderar vi att du väljer en VPN-tjänst baserad utanför 5 Eyes-, 9 Eyes- eller 14 Eyes-allianserna.

De länder som är medlemmar i dessa allianser är mycket mer benägna att delta i inkräktande övervakning, datalagring och program för insamling av data.

Det är också troligt att de mäktigaste nationerna i dessa allianser kan tvinga andra medlemmar till att logga eller till andra former av samarbete.

Vad är ett sekretessparadis?

Det rekommenderas generellt att du väljer en VPN-tjänst baserat i ett land som anses vara ett ”sekretessparadis”.

Ett sekretessparadis är ett land med en rättslig och politisk miljö som är vänligt inställd till idén om integritet på nätet. Dessa länder deltar sällan i obligatoriska övervaknings-, datalagrings- eller datadelningsavtal, och de kan ofta stoltsera med några av världens starkaste integritetslagar.

Även om dessa länder inte är skyldiga att dela användardata med internationella myndigheter saknar de ofta de bestämmelser som krävs för att se till att användardata skyddas på rätt sätt.

Länder som ofta kallas integritetsparadis är bl.a. Brittiska Jungfruöarna, Panama, Seychellerna, Caymanöarna och Malaysia.

Många VPN-företag, som ExpressVPN och NordVPN, väljer att registrera sina företag i dessa länder för att säkerställa att deras tjänst förblir så privat och säker som möjligt.

Det finns också några VPN-tjänster som har visat sig vara tillförlitliga trots att de verkar i en ”farlig” jurisdiktion. Private Internet Access (PIA) kunde t.ex. inte tillhandahålla uppgifter till den amerikanska regeringen i ett officiellt domstolsärende, trots en stämning för information.

Det finns en handfull faktiskt loggfria VPN-tjänster som har klarat verkliga tester eller som har granskats av tredje part. En VPN-tjänst i en säker offshore-jurisdiktion ger helt enkelt ytterligare skydd, eftersom det finns mindre chans att den kan tvingas att överlämna data till myndigheter.

Behöver VPN-tjänster en Warrant Canary?

En Warrant Canary är ett regelbundet publicerat uttalande som är utformat för att bevisa att en tjänsteleverantör inte har kontaktats av en statlig myndighet eller tvingats att dela användardata.

 

Dataförfrågningar som exempelvis US National Security Letter (NSL) kommer vanligtvis med en tystnadsplikt som hindrar målföretaget från att avslöja det faktum att det har äventyrats.

Syftet med en Warrant Canary är att varna användarna att deras uppgifter inte längre är säkra, utan att bryta mot tystnadsplikten.

De fungerar genom att informera användarna om att det inte har förekommit något domstolsutfärdad häktningsorder, tystnadsplikt eller stämning från och med ett visst datum. Om denna Warrant Canary inte uppdateras, eller om den tas bort helt, ska användarna anta att en tystnadsplikt har trätt i kraft och att värden har delgivits en rättslig begäran.

Många VPN-tjänster väljer att upprätthålla en Warrant Canary för att hjälpa till att övertyga användarna att de är tillförlitliga.

Men bara för att en VPN-tjänst har en Warrant Canary betyder det inte att tjänsten är privat eller säker. Många välrenommerade tjänster undviker dem eftersom deras effektivitet ifrågasätts.

Vissa experter hävdar att myndigheter kan tvinga företag att upprätthålla en Warrant Canary även om de har komprometterats, vilket gör den värdelös. Komprometterade tjänster kan också undvika att ändra sin Warrant Canary av rädsla för att förlora kunder.

Tyvärr finns det inget sätt att med säkerhet veta om en ändrad Warrant Canary är en sann indikator på ett domstolsbeslut. Användare är tvungna att förlita sig på spekulation för att avgöra innebörden av en borttagen eller ändrad Warrant Canary.

Vi rekommenderar att du ser på en Warrant Canary som en extra bonusfunktion när du har hittat en annars tillförlitlig VPN-tjänst, istället för att specifikt leta efter en VPN-tjänst som har en.

NSA är en av de mest välkända signalspaningstjänsterna, men nästan varje land har en egen motsvarighet och de jobbar ofta tillsammans.

Deras huvudfokus ligger på brottsbekämpning, datainsamling och kontraspionage genom att avlyssna elektroniska signaler och kommunikation online.

5 Eyes-, 9 Eyes- och 14 Eyes-allianserna är tre av de viktigaste internationella datadelningsavtalen som genomför denna typ av samordnad övervakning.

Länderna i dessa allianser är de sämsta VPN-jurisdiktionerna när det gäller integritet, då chansen är högre att de lyder övervakningskrav från myndigheter.

 

Här är en lista över de viktigaste globala övervakningsenheterna som du bör känna till:

1. 5 Eyes-alliansen

 

5 Eyes-länderna är USA, Storbritannien, Kanada, Australien och Nya Zeeland.

Detta avtal om utbyte av information kan spåras tillbaka till andra världskriget och UKUSA-avtalet, som ursprungligen utformades som ett partnerskap mellan USA och Storbritannien.

Under de senaste årtiondena har fördraget vuxit både i medlemmar och i räckvidd. Medlemsländer i 5 Eyes-alliansen samarbetar nu för att samla in, analysera och dela information både nationellt och internationellt.

Även om 5 Eyes-länderna har gått med på att inte spionera på varandra som motståndare avslöjade dokument läckta av Edward Snowden att nationerna övervakar varandras medborgare och delar denna data sinsemellan.

Förutom att dela övervakningsdata sinsemellan arbetar 5 Eyes-länderna också tillsammans för att skicka och verkställa datalagringsmeddelanden. Detta innebär att en nation kan pressa en annan att överlämna loggar om en VPN-användare inom deras jurisdiktion.

Det bör inte komma som någon överraskning att flera av 5 Eyes-länderna är bland de största hoten mot digital integritet.

Om du är orolig för din integritet när du använder en VPN-tjänst anses 5 Eyes-länderna vara de sämsta VPN-jurisdiktioner som finns.

ECHELONs övervakningssystem

5 Eyes-nationerna använder ECHELON, ett nätverk av spionstationer utformade för global övervakning och datainsamling.

ECHELON kan avlyssna data som skickas via telefoner, fax och datorer. ECHELON-stationer kan spåra bankkonton och t.o.m. avlyssna data som skickas till och från satellitreläer. Alla dessa data lagras i omfattande databaser som kan hålla miljontals uppgifter om privatpersoner.

Även om bevisen har ökat i nästan 30 år förnekar USA fortfarande att ECHELON existerar, medan den brittiska regeringen konsekvent har undvikit ämnet.

Trots dessa förnekanden har flera visselblåsare bekräftat sanningen genom att dokumentera vissa aspekter av ECHELON-projektet.

2. 9 Eyes-alliansen

 

9 Eyes-alliansen är en förlängning av 5 Eyes-alliansen. Den består av en större grupp länder som också samarbetar för att dela information. Detta inkluderar alla 5 Eyes-länder samt Frankrike, Danmark, Norge och Nederländerna.

9 Eyes-alliansens existens blev känd efter Edward Snowdens avslöjanden 2013. Det är i huvudsak en förlängning av 5 Eyes-avtalet som samarbetar för att samla in och distribuera massövervakningsdata.

Även om de fyra ytterligare nationerna inte har inhemska övervakningsprogram som är lika omfattande som i USA, Storbritannien eller Australien samarbetar de fortfarande med varandra och samtliga fem länder i den ursprungliga alliansen.

9 Eyes-alliansen är ett arrangemang mellan signalspaningsenheter och regleras inte av något formellt fördrag.

3. 14 Eyes-alliansen

 

14 Eyes-alliansen omfattar alla medlemmar i 9 Eyes-alliansen samt Tyskland, Belgien, Italien, Sverige och Spanien.

Det officiella namnet på 14 Eyes-alliansen är SIGINT Seniors of Europe (SSEUR) och har funnits i olika former sedan 1982. Alliansen utformades för utbyte av militära underrättelser, men har nu utvidgats till att omfatta övervakningsinformation om vanliga medborgare.

Mötet för SIGINT Seniors hålls årligen och med deltagande av ledarna för SIGINT-organen, däribland BND, NSA, DGSE och GCHQ m.fl. Dessa möten ger utrymme för globala underrättelseledare att diskutera samarbete och utveckling.

SIGINT Seniors of the Pacific är en liknande enhet som bildades 2005. I medlemsstaterna ingår alla 5 Eyes-länder samt Indien, Frankrike, Singapore, Thailand och Sydkorea.

Andra viktiga länder, däribland Israel och Japan, tros också ha ett nära samarbete med 14 Eyes-alliansen och NSA.

4. Europeiska unionen (EU)

 

Europeiska unionen är en grupp av suveräna europeiska stater. Även om EU:s samarbetspolitik inte är i närheten av att vara lika långtgående eller inkräktande som den i 5-, 9- och 14 Eyes-allianserna deltar EU:s medlemsstater fortfarande i avtal om datadelning.

Under 2009 fastslog dock Rumäniens författningsdomstol att EU:s krav var en kränkning av rumänska medborgares rätt till integritet. Detta gör Rumänien till en säker fristad för användarintegritet bland EU-länderna, och förklarar varför VPN-tjänster som CyberGhost har valt att basera sin verksamhet där.

Vissa länder är mer privata än andra, men det finns många som samarbetar med 5 Eyes eller SSEUR-myndigheter och har ett förflutet av att ha delat data. Detta är värt att komma ihåg när du väljer en VPN-tjänst med säte i en EU-jurisdiktion.

5. Shanghais samarbetsorganisation (SCO)

 

Shanghais samarbetsorganisation (SCO) – som även kallas Shanghaipakten – är en eurasisk, politisk och ekonomisk allians mellan Ryssland, Kina, Pakistan, Indien, Kirgizistan, Kazakstan, Uzbekistan och Tadzjikistan.

SCO fokuserar främst på medlemmarnas nationella säkerhet och arbetar generellt med att bekämpa extremism i dess olika former.

Under de senaste åren har SCO:s verksamhet utvidgats till att omfatta ökat militärt samarbete, utbyte av underrättelser och terrorismbekämpning. Det är mycket troligt att SCO:s medlemsländer samlar in och delar data på ett liknande sätt som västerländska datadelningsallianser.

6. Länder med hög censur

 

Vissa länder förbjuder VPN-användning och gör intrång i sina medborgares integritet oavsett internationella avtal.

De värsta länderna när det gäller internetrestriktioner är Kina, Förenade Arabemiraten, Turkiet, Ryssland, Oman, Irak och Belarus, även om denna lista är långt ifrån uttömmande.

Även om det är ganska osannolikt att du hittar en VPN-tjänst eller en VPN-server som är fysiskt belägen i något av dessa länder är det värt att vara vaksam. Vi hittade massvis av VPN-tjänster med kopplingar till tvivelaktiga kinesiska företag i vår undersökning av det kinesiska ägandet av kostnadsfria VPN-appar.

Jurisdiktioner med nära band till dessa stater – som Hongkong – bör också undvikas om du är orolig för din integritet.

Om du vill ha mer information om VPN-tjänsters lagenlighet och begränsningar för deras användning kan du läsa vår separata guide till VPN-lagar.

Vi granskade integritetspolicyn för de mest populära VPN-tjänsterna på marknaden. Vi fann att ett betydande antal VPN-leverantörer är baserade i jurisdiktioner med potential att äventyra användardata.

Följande tabell listar alla 80 VPN-tjänster vi testat, deras jurisdiktion samt om de har en Warrant Canary. Om en Warrant Canary inte längre gäller och VPN-tjänsten därför misstänks ha fått en order utfärdad har vi markerat den i rött.