VPN-jurisdiktion forklaret: 5 / 9 / 14 Eyes, Mullvad-razziaen og PureVPN-log-sagen
VPN-markedsføring gør meget ud af jurisdiktionen. De to bedst dokumenterede tilfælde af retligt samarbejde — Mullvad-razziaen i 2023 og PureVPN-FBI-samarbejdet i 2017 — viser, at det, udbyderen lagrer, betyder mere end landeflaget.
Hvad 5 / 9 / 14 Eyes reelt betyder
5 Eyes er en aftale om deling af signalefterretninger mellem USA, Storbritannien, Canada, Australien og New Zealand, med oprindelse i UKUSA-aftalen efter Anden Verdenskrig. 9 Eyes tilføjer Danmark, Frankrig, Holland og Norge. 14 Eyes tilføjer Tyskland, Belgien, Italien, Sverige og Spanien. VPN-markedsføring har populariseret idéen om, at en VPN registreret i et af disse 14 lande er udsat, fordi dens værtsregering kunne tvinge den til at udlevere data og dele disse data med den bredere alliance. Udsagnet er delvist sandt — disse regeringer har juridiske rammer for dataforespørgsler — men det er ikke hele historien.
Hvor de store auditerede VPN'er har hjemsted
Mullvad: Göteborg, Sverige (i 14 Eyes). NordVPN's driftsselskab Nordvpn S.A.: Panama (uden for Eyes). Proton VPN: Plan-les-Ouates, Genève, Schweiz (uden for Eyes; Schweiz står desuden uden for EU og den amerikanske ramme for retlige forespørgsler). ExpressVPN's driftsselskab Express VPN International Ltd.: De Britiske Jomfruøer (uden for Eyes). Surfshark B.V.: Holland (i 9 Eyes). To af de fem — Mullvad og Surfshark — befinder sig i Eyes-jurisdiktioner; tre står uden for. Alle fem har offentliggjort no-logs-audits.
Mullvad-razziaen 2023: hvad der reelt skete
Den 18. april 2023 ankom seks betjente fra Sveriges nationale operative afdeling (NOA) til Mullvads kontor i Göteborg med en ransagningskendelse i den hensigt at beslaglægge computere, der indeholdt kundedata. Kendelsen var udstedt den 17. februar 2023 inden for rammerne af internationalt retligt samarbejde med tyske myndigheder. Mullvad dokumenterede begivenheden offentligt samme dag på mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Ifølge Mullvads redegørelse og efterfølgende rapportering forlod politiet stedet uden at beslaglægge noget, fordi de data, kendelsen krævede, ikke fandtes på serverne. Mullvads Cure53-audit-historik (senest: 4. infrastruktur-audit, juni 2024) dokumenterer den no-logs-serverkonfiguration, der førte til dette udfald. Konsekvensen: jurisdiktionen betød ganske vist noget — razziaen fandt sted — men den operative privatlivsholdning var den afgørende faktor.
PureVPN-FBI-samarbejdet 2017: det modsatte
I oktober 2017 brugte FBI VPN-forbindelseslogs fra PureVPN til at identificere Ryan Lin, en 24-årig mand fra Massachusetts, i en omfattende cyberstalking-sag. PureVPN's markedsføring havde før sagen fremhævet et no-logs-udsagn. FBI's edsvorne erklæring (citeret i DoJ-indlæg og i etableret rapportering på bleepingcomputer.com og andetsteds) dokumenterede, at PureVPN faktisk havde bevaret forbindelseslogs, der indeholdt kundens hjemme-IP-adresse ved sessionens start, og at disse logs var tilstrækkelige til at identificere Lin via hans VPN-sessioner. Sagen er det kanoniske modeksempel: et markedsføringsudsagn modbevist af det, udbyderen faktisk lagrede, og udbyderens jurisdiktion (Hongkong — uden for Eyes) beskyttede ikke data, fordi data eksisterede og svarede til en amerikansk retlig forespørgsel.
Hvad jurisdiktionen forudsiger og ikke forudsiger
Jurisdiktionen er en reel risikofaktor, når en myndighedsforespørgsel fremsættes. En udbyder i en 14 Eyes-jurisdiktion med en ramme for retligt samarbejde med det anmodende land kan tvinges til at udlevere data, den besidder. Men jurisdiktionen forudsiger ikke, hvad udbyderen besidder. En no-logs-udbyder i 14 Eyes (Mullvad) har intet at udlevere; en logførende udbyder i en ikke-Eyes-jurisdiktion (PureVPN omkring 2017) har det. Mullvad- og PureVPN-begivenhederne fastslår tilsammen, at den forudsigende variabel er operativ praksis — verificeret ved audit — ikke landeflaget.
Hvad man bør veje i 2026
Tre faktorer forudsiger reelle privatlivsresultater mere pålideligt end jurisdiktionen alene. (1) Audit-omfang og aktualitet — dækker den seneste offentliggjorte audit konfigurationen på serverniveau, og ligger den inden for de seneste 24 måneder? (2) Open source-klienter — udgives skrivebords- og mobilapps som open source? Mullvad og Proton VPN udgiver begge deres klienter på GitHub. (3) Dokumenteret reaktion på en reel hændelse med retlig tvang — Mullvad har én (razziaen i 2023), PureVPN har den modsatte (sagen i 2017). De fleste udbydere har ingen af delene. Anvend jurisdiktionen som tungen på vægtskålen, når de tre første er opfyldt, ikke som den primære faktor.
Kilder
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (med henvisninger til den oprindelige UKUSA-aftale). Mullvad-razziaen 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Mullvad-audit-historik: mullvad.net/en/blog/tag/audits. PureVPN/Lin-sagen: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. NordVPN-jurisdiktion: nordvpn.com/blog/jurisdiction. Proton VPN-jurisdiktion: protonvpn.com/features/swiss-based. ExpressVPN trust: expressvpn.com/trust. Surfshark trust: surfshark.com/trust-center. Alle URL'er tilgået 2026-04-30.