NordVPN houdt geen logs bij, verifieert onafhankelijke partij
Het was de derde keer dat de VPN-provider een zogeheten security-audit liet uitvoeren op specifiek het no-log-beleid (ook wel zero-log-beleid genoemd), en ook de derde keer dat het die test doorstond. In 2018 en 2020 vonden soortgelijke audits plaats, terwijl in 2019 de software en apps van NordVPN werden gecontroleerd op veiligheidslekken. Vier security-audits in totaal, dus.
Het onderzoek is gedaan door Deloitte, een van de grootste auditkantoren ter wereld, en bestond uit zowel interviews met NordVPN-medewerkers als een technisch onderzoek. Daarbij kreeg de onafhankelijke partij toegang tot serverconfiguraties, technische logboeken en computerinfrastructuur van NordVPN.
Vertrouwen in veiligheid
Ongeveer alle diensten van het bedrijf werden daarbij onder de loep genomen, dus zowel het standaard VPN-aanbod, als bijvoorbeeld de P2P-servers en de Onion-over-VPN-servers. Het onderzoek liep van 21 november tot 10 december 2022.
Het resultaat is dat Deloitte geen bewijs vond dat NordVPN data of logboeken bijhoudt over welke connecties de klanten opzetten als ze van de VPN gebruikmaken. Ook bijvoorbeeld over persoonlijke details, betaalinformatie of de zoekgeschiedenis worden er geen gegevens opgeslagen.
NordVPN laat een dergelijk onderzoek voor de derde keer uitvoeren om de vertrouwensband met klanten hoog te houden. “Onze gebruikers moeten weten dat ze ons kunnen vertrouwen”, klinkt het op de blog van NordVPN. “Als je een VPN-dienst gaat gebruiken, moet je weten dat deze je gegevens niet traceren. Je moet vertrouwen hebben in de veiligheid en effectiviteit van zijn functies en infrastructuur. Dat is waar ons auditproces om draait.”
Beste keuze
NordVPN is betrouwbaar, betaalbaar, snel, zit boordevol extra functies. Uitermate geschikt voor het beschermen van je privacy online.
- Snelle servers
- Uitstekende software en apps
- Erg goede prijs
- Betrouwbare en snelle klantenservice
❌ Geen router-app
Belang van no-log-beleid en audits
Nu zijn er wel meer VPN-providers die zeggen dat ze een “no log”-beleid hebben. En even vaak worden die claims in fora en door sommige gebruikers in twijfel getrokken.
Niet helemaal onterecht, want het wil nog wel eens voorkomen dat VPN’s toch allerlei gegevens verzamelen en zelfs doorverkopen aan adverteerders. Dit zie je vooral bij gratis VPN’s. Waardoor dus een van de grootste voordelen van een VPN (je surft zo anoniem mogelijk) op losse schroeven komt te staan.
Dat zagen we bijvoorbeeld in 2020, toen een database vol logs van gebruikers van UFO VPN online lekte. Deze gratis VPN uit Hong Kong had de data niet eens met een wachtwoord beveiligd.
Een doortastend no-log-beleid is van cruciaal belang bij het kiezen van een VPN. Niet alleen moet een VPN zo’n beleid aanbieden en duidelijk communiceren, je moet er ook van op aan kunnen dat men woord houdt. Daarom zijn security-audits van partijen zoals Deloitte zo belangrijk; zij controleren de claims met een onafhankelijk oog.
Niets te overhandigen
Door een zero-log-beleid te hanteren, ben je er als VPN-gebruiker zeker van dat derde partijen geen inzicht krijgen in wat je online doet. Er wordt door de VPN-provider niet bijgehouden naar welke sites je surft, op welke datum dat was, via welk IP-adres en hoelang zo’n surfsessie duurde. Die informatie is nochtans zeer waardevol, bijvoorbeeld voor digitale marketingbedrijven.
In theorie kunnen de gevolgen zelfs nog verder gaan. Stel dat je een VPN gebruikt om auteursrechtelijk beschermde films via torrents te downloaden. Je waant je veilig met je VPN-connectie, maar het is perfect denkbaar dat een filmstudio bij de VPN-provider de gebruikerslogs opeist om ze in een rechtszaak te gebruiken. Tegenover een rechter volhouden dat je helemaal niet aan het downloaden was, wordt dan een stuk moeilijker.
Overigens: dat een filmstudio zomaar gebruikerslogs kan opeisen bij een VPN-provider is, juridisch gezien, absoluut niet vanzelfsprekend. Maar als er dus helemaal geen logs bestaan, lost het probleem zichzelf op. Er is dan namelijk geen data om te overhandigen.
Soms gaat het toch mis
Bovenstaand voorbeeld van de filmstudio is ook niet eens zo ver gezocht. Er zijn inderdaad gevallen bekend van VPN-providers die gebruikersgegevens doorgaven aan overheden en politiediensten, ook al claimden ze een “no log”-beleid te voeren.
Zo kon de FBI bijvoorbeeld in 2017 een Amerikaanse cyberstalker arresteren nadat de VPN-provider PureVPN logs met de speurders deelden. Sindsdien heeft PureVPN (terecht) de grootste moeite om van zijn dubieuze karakter af te komen, hoewel deze aanbieder op dit vlak wel schoon schip probeert te maken. Zo introduceerde het vorig jaar een ‘always on audit beleid’, waarbij een auditbedrijf zonder aankondiging vooraf een onderzoek kan instellen.
VPN’s met zero-log-beleid
In onze VPN reviews komt altijd aan bod of ze een no-log-beleid hanteren en wat daar precies in staat. Zo ook of er security-audits hebben plaatsgevonden om de beloftes te verifiëren. Het is namelijk niet zo vanzelfsprekend dat VPN’s hun systemen laten doorspitten door een ander bedrijf, laat staan meerdere malen. Goed om te zien dus dat NordVPN dit wel laat doen.
