Een lezer vroeg me:
Op zoek naar een nieuwe mail en VPN provider, waarbij ik vooral het onderdeel privacy belangrijk vind, viel me op dat veel van deze partijen schermen met het feit dat ze in land X, Y of Z zitten en daarom gegevens van gebruikers beter zouden zijn beschermd. Hoe kijk jij als jurist daar tegenaan, hoe zwaar moet ik dat mee laten wegen in mijn selectie?Inderdaad maken VPN providers vaak expliciet in welk land zij gevestigd zijn. Voor een deel is dat transparantie, zodat je kunt inschatten of het een legitiem bedrijf is en niet een fly-by-night bedrijfje op een eiland ver weg waar je met klachten machteloos staat. Een Zweedse Aktiebolag biedt in ieder geval op papier een goede route voor een juridische claim.
De gegevensbeschermingswetgeving in dat land is minstens zo belangrijk, zeker voor klanten uit landen waar die niet als zodanig bestaat. Zoals in de VS bijvoorbeeld. Dus dan is “het staat in Zweden/Zwitserland/Duitsland” een commercieel voordeel. In die drie landen bijvoorbeeld geldt de AVG (in Zwitserland de FADP, die is equivalent) en alledrie staan bekend om hun strenge daadwerkelijke handhaving van de relevante wetgeving.
Wie een VPN dienst afneemt bij een bedrijf uit dat land, kan dus met redelijke zekerheid stellen dat er niet zómaar getapt zal worden of IP-adressen gevorderd. Voor partijen van buiten Europa weegt dan ook mee dat een rechtshulpverzoek naar justitie daar een moeilijker stap is. Binnen de EU (de meeste lezers zijn Nederlands of Belgisch) zou ik dat niet direct meewegen.
Voor mijzelf zou het om het even zijn uit welk EU-land de aanbieder komt. Binnen de EU weet ik hoe het recht werkt, zodat ik bijvoorbeeld mijn geld terug kan krijgen als de dienst wanpresteert. En op grond van de AVG kan ik erop vertrouwen dat er niet zomaar meegelezen wordt. Maar uiteindelijk is het de reputatie van de provider zelf waar je naar moet kijken.
Arnoud
Als Europeaan wil je toch juist een VPN provider die zich buiten Europa bevindt zodat het moeilijker wordt voor jouw overheid om gegevens over jou via de VPN provider te krijgen? Idealiter in een land met goede privacy wetten maar waar Nederland geen goede diplomatieke betrekkingen mee heeft.
In theorie, maar dat hangt er heel sterk van af waarom je die VPN wil. Als je doel is je te beschermen tegen vervolging en/of afgetapt worden (veel mensen denken dan gelijk aan criminaliteit, maar het kan ook gaan om klokkenluiders tegen de overheid, journalisten, advocaten e.d.) dan is dat zeker een overweging. Als je die VPN met name wil om geo-blocking op streamingsdiensten te omzeilen of je afkomst te verbergen tegen profilering door advertentiebedrijven dan speelt het niet echt mee en ben je waarschijnlijk beter af met eentje die wel in Europa zit.
Een bijkomen probleem is wel dat ik zo snel weinig landen kan bedenken die en een goede digitale infrastructuur hebben (denk ook aan betrouwbaar betalen), en solide privacywetten die ook worden gehandhaaft, en waar Nederland geen goede diplomatieke betrekkingen mee heeft.
Ik ben geen crimineel (echt waar!), geen journalist, advocaat etc…
Maar ik wordt ziek van de afluisterdrift in de EU. Zie nu ook weer het voorstel wat Denemarken aan het pushen is om verplicht scannen op je eigen device af te dwingen, zodat ze ook encrypted berichten kunnen scannen.
Uiteraard allemaal weer onder het excuus kinder porno, de rode vlag dat ze met hele slechte of foute wetgeving bezig zijn.
Dus ja ik wil juist een VPN buiten de EU. En voor mijn telefoon, als dit doorgaat, een toestel waar ik volledige controle over heb, zodat ik zelf al hun spionage software kan uitschakelen/niet installeren.
Laat ik er duidelijk over zijn: ik vertrouw de overheid niet dat ze zich beperken tot wat ze nu claimen en ik vertrouw de overheid ook niet om alle data die ze verzamelen veilig te houden voor hackers. Alles wat je verzamelt kan gehackt worden en de overheid heeft 1 van de slechtste trackrecords met databeveiliging. En data die je niet vastlegt kan niet gestolen worden.
Google heeft nu weer een stap richting ‘Apple like walled garden’s aangekondigd.
Sideloaden kan binnenkort alleen nog met ondertekende apps en om te kunnen tekenen moet je een ID aan Google overleggen.
Dat betekent dat als er een nieuwe YouTube app uitkomt die geen reclames toont Google meteen weet wie die heeft verspreid. Als er een app uitkomt die encrypted communicatie mogelijk maakt zo der client side scanning kan Google de EU zeggen wie hem maakte en blokkeren.
Als je Android AOSP gebruikt dan werken je bank apps weer niet omdat die niet open source Google APIs gebruiken.
Ik hoop dat GrapheneOS met sandboxed Google Appstore (en sideloaden helemaal buiten Google om) werkt met bank apps. Binnenkort maar eens testen.
Anders loop ik straks weer met twee telefoons. Eén die door de overheid bespioneerd wordt voor bank apps en één met een OS die me privacy geeft.
Speelt ook niet mee waar de servers van het betreffende bedrijf staan? Stel je hebt een Duitse VPN provider met servers in China en je gebruikt die servers in China dan kan China nog steeds tappen.
In plaats van China kun je ook elk ander land op de wereld lezen.
Ik zie nog wel een verschil tussen Zwitserland of Duitsland. Email providers zoals Tutanota en Posteo zijn via de Duitse rechtbank gedwongen om achterdeuren in te bouwen. De regels mogen dan wel formeel het zelfde zijn maar de bereidwilligheid om te handhaven verschillen nogal. Hongarije of Roemenië zouden in da opzicht beter zijn aangezien die landen nogal corrupt zijn en weinig willen samenwerken met West-Europese politie.
Belangrijker vind ik de vraag: waarom wil je een vpn?
Al je verkeer is al versleuteld door HTTPS, met allerlei garanties daaromheen om de integriteit te waarborgen. De kans dat iemand je login gegevens afluistert terwijl jij de wifi van McDonald’s gebruikt is nul. Dat ga je namelijk merken.
De providers in Nederland mogen niet meekijken met je verkeer, dus thuis heb je er ook niets aan.
In de VS is dat heel anders, daar wordt je door je isp volledig doorgelicht en je profiel wordt verkocht.
Maar hier zie ik nauwelijks reden om een vpn te gebruiken. Tenzij je om geo restricties heen wil.