Hvad er en no-logs-VPN? Auditerede udbydere, uafhængige rapporter og hvordan du skelner et reelt udsagn fra markedsføring
En no-logs-VPN er en tjeneste, der ikke registrerer trafik, DNS eller forbindelsesmetadata, som kunne identificere en bruger. Udsagnet betyder kun noget, når en uafhængig revisor har inspiceret den faktiske infrastruktur. Sådan afgør du det.
Hvad "no-logs" reelt betyder
En no-logs-VPN er en udbyder, der lover ikke at registrere trafik, DNS-forespørgsler, IP-adresser eller forbindelsestidsstempler, der kunne føres tilbage til en enkelt bruger. Selve ordet 'no-logs' har ingen juridisk definition. Hver eneste VPN-forside bruger det. Udsagnet bliver først meningsfuldt, når en uafhængig revisor har inspiceret den faktiske serverflåde og konfiguration — og rapporten offentliggøres. Pr. 2026 har alle fem store betalings-VPN'er, vi behandler (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark), offentliggjort uafhængige audits.
Hvad de offentliggjorte audits reelt dækker
Mullvads seneste audit er udført af Cure53 i perioden 3.–14. juni 2024 (dens fjerde audit i alt, den anden med Cure53). Det er en infrastruktur-audit, der dækker én OpenVPN- og én WireGuard-server i Mullvads produktionsflåde. Proton VPN har bestået fire på hinanden følgende no-logs-audits af Securitum (2022, 2023, 2024, 2025). NordVPN har bestået seks uafhængige no-logs-erklæringsopgaver efter ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. ExpressVPN's Trust Center oplister 23 offentliggjorte audits, senest en tredje KPMG no-logs-audit (2025) samt audits fra Cure53/Praetorian af Lightway-protokollens omskrivning i Rust (sep.–okt. 2024). Surfshark har no-logs-audits fra Deloitte i 2023 og 2025 efter ISAE 3000.
Hvordan et reelt no-logs-udsagn ser ud
Tre signaler adskiller et reelt no-logs-udsagn fra markedsføring. For det første: en offentliggjort tredjepartsrapport — ikke et blogindlæg formet som en pressemeddelelse, men en PDF til download eller en trust-center-side med revisorens navn og dato. For det andet: et audit-omfang, der inkluderer infrastrukturen (konfiguration på serverniveau), ikke kun klientappen. For det tredje: helst en reel prøvelse via en retskendelse. Mullvads kontorer blev ransaget af svensk politi den 18. april 2023 med hjemmel i en ransagningskendelse udstedt efter en tysk anmodning om retligt samarbejde; Mullvad dokumenterede begivenheden offentligt, og politiet forlod stedet uden kundedata, fordi de data, kendelsen krævede, ikke fandtes på serverne (ifølge Mullvads blogindlæg om ransagningskendelsen). PureVPN udleverede derimod i 2017 forbindelseslogs til FBI i cyberstalking-sagen om Ryan Lin trods sin tidligere 'no-logs'-markedsføring — sagen er det kanoniske modeksempel på et markedsføringsudsagn, der modbevises af reel retlig tvang.
Jurisdiktionen betyder mindre end det, udbyderen lagrer
VPN-markedsføring gør meget ud af jurisdiktionen. Efterretningsdelingsaftalerne 5 / 9 / 14 Eyes (USA, Storbritannien, Canada, Australien, New Zealand + Danmark, Frankrig, Holland, Norge + Tyskland, Belgien, Italien, Sverige, Spanien) er reelle, og en VPN registreret i Sverige eller Holland er omfattet. Men en udbyder i en ikke-Eyes-jurisdiktion, der fører forbindelseslogs, er værre end en no-logs-udbyder hvor som helst. Mullvad (Sverige, i 14 Eyes) og Proton VPN (Schweiz, uden for Eyes) er begge auditeret; Mullvad-razziaen viser, at en no-logs-konfiguration betyder mere end et flag på kortet.
Hvordan man læser en audit-rapport
Åbn rapporten og se efter tre ting. (1) Omfang — beskriver rapporten, hvad revisoren undersøgte, herunder hvilke servere, hvilke protokoller, hvilket tidsinterval? Generiske formuleringer som 'auditerede politikken' uden detaljer er svagere end 'undersøgte VPN-konfigurationsfiler og serverkonfigurationer'. (2) Metode — Securitums rapporter for Proton beskriver konfigurationsgennemgang på stedet og interviews med medarbejdere; Deloittes NordVPN-rapporter henviser til ISAE 3000 (den internationale standard for erklæringsopgaver); Cure53's Mullvad-rapporter beskriver white-box-sikkerhedstest på produktionsservere. (3) Iagttagelser — enhver audit finder noget. Cure53's Mullvad-audit fra juni 2024 fandt to problemer (ét lavt, ét mellem); Praetorians Lightway-audit fra 2024 fandt to problemer med lav risiko. Tilstedeværelsen af iagttagelser er ikke dårligt — den fuldstændige fravær af iagttagelser ville være mistænkelig. Det, der betyder noget, er alvorsgrad og udbedring.
Hvad man bør ignorere
Ignorér generiske ranglister over 'den mest private VPN', der ikke oplyser deres metodik. Ignorér udbydere, hvis 'audit' er et brev fra et lille konsulentfirma, der aldrig så på serverne. Ignorér VPN-sammenligningssider, der ikke linker til selve rapporten — rapporten har en dato og en udgivende part; hvis en side ikke vil linke den, kan udsagnet ikke verificeres. Ignorér jurisdiktionen som det primære signal. Det eneste pålidelige signal er det offentliggjorte audit-omfang plus, hvor den findes, saghistorikken om retlig tvang.
Kilder
Mullvad-audit: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Mullvad-razziaen 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Proton-audits: protonvpn.com/blog/no-logs-audit. NordVPN-audits: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Trust Center: expressvpn.com/trust. Surfshark-audit: surfshark.com/blog/deloitte-nologs-policy-verified-again. PureVPN/Lin-sagen: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Alle URL'er tilgået 2026-04-30.