VPN-jurisdiksjon forklart: 5 / 9 / 14 Eyes, Mullvad-razziaen og PureVPN-loggsaken
VPN-markedsføring gjør mye ut av jurisdiksjon. De to best dokumenterte hendelsene med rettslig samarbeid — Mullvad-razziaen i 2023 og PureVPN-FBI-samarbeidet i 2017 — viser at hva leverandøren lagrer betyr mer enn landflagget.
Hva 5 / 9 / 14 Eyes faktisk betyr
5 Eyes er en ordning for deling av signaletterretning mellom USA, Storbritannia, Canada, Australia og New Zealand, med opprinnelse i UKUSA-avtalen etter andre verdenskrig. 9 Eyes legger til Danmark, Frankrike, Nederland og Norge. 14 Eyes legger til Tyskland, Belgia, Italia, Sverige og Spania. VPN-markedsføring har popularisert ideen om at en VPN registrert i ett av disse 14 landene er i fare fordi vertslandets myndigheter kan tvinge den til å utlevere data og dele de dataene med den bredere alliansen. Påstanden er delvis sann — disse myndighetene har juridiske rammeverk for dataforespørsler — men det er ikke hele historien.
Hvor de store reviderte VPN-ene holder til
Mullvad: Gøteborg, Sverige (i 14 Eyes). NordVPNs driftsselskap Nordvpn S.A.: Panama (utenfor Eyes). Proton VPN: Plan-les-Ouates, Genève, Sveits (utenfor Eyes; Sveits står også utenfor EU og det amerikanske rammeverket for rettslige forespørsler). ExpressVPNs driftsselskap Express VPN International Ltd.: De britiske Jomfruøyene (utenfor Eyes). Surfshark B.V.: Nederland (i 9 Eyes). To av de fem — Mullvad og Surfshark — befinner seg i Eyes-jurisdiksjoner; tre står utenfor. Alle fem har publisert logfrie revisjoner.
Mullvad-razziaen 2023: hva som faktisk skjedde
18. april 2023 ankom seks tjenestemenn fra Sveriges nasjonale operasjonsavdeling (NOA) Mullvads kontor i Gøteborg med en ransakingsordre, med hensikt å beslaglegge datamaskiner som inneholdt kundedata. Ordren var utstedt 17. februar 2023 i internasjonalt rettslig samarbeid med tyske myndigheter. Mullvad dokumenterte hendelsen offentlig samme dag på mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Ifølge Mullvads redegjørelse og påfølgende rapportering dro politiet uten å beslaglegge noe fordi dataene ordren søkte etter ikke fantes på serverne. Mullvads Cure53-revisjonshistorikk (senest: 4. infrastrukturrevisjon, juni 2024) dokumenterer den logfrie serverkonfigurasjonen som ga dette resultatet. Implikasjonen: jurisdiksjon spilte absolutt en rolle — razziaen fant sted — men den operative personvernholdningen var den avgjørende faktoren.
PureVPN-FBI-samarbeidet 2017: det motsatte
I oktober 2017 brukte FBI VPN-tilkoblingslogger fra PureVPN for å identifisere Ryan Lin, en 24 år gammel mann fra Massachusetts, i en omfattende nettstalkingssak. PureVPNs markedsføring hadde før saken understreket en logfri påstand. FBIs erklæring (sitert i DoJ-dokumenter og hovedstrømsrapportering på bleepingcomputer.com og andre steder) dokumenterte at PureVPN faktisk hadde oppbevart tilkoblingslogger som inkluderte kundens hjemme-IP-adresse ved øktstart, og at disse loggene var tilstrekkelige til å identifisere Lin via VPN-øktene hans. Saken er det kanoniske motsatte eksempelet: en markedsføringspåstand motsagt av hva leverandøren faktisk lagret, og leverandørens jurisdiksjon (Hong Kong — utenfor Eyes) beskyttet ikke dataene fordi dataene fantes og svarte på en amerikansk rettslig forespørsel.
Hva jurisdiksjon forutsier og ikke forutsier
Jurisdiksjon er en reell risikofaktor når en myndighetsforespørsel fremsettes. En leverandør i en 14 Eyes-jurisdiksjon med et rettslig samarbeidsrammeverk med det forespørrende landet kan tvinges til å utlevere data den besitter. Men jurisdiksjon forutsier ikke hva leverandøren besitter. En logfri leverandør i 14 Eyes (Mullvad) har ingenting å utlevere; en logførende leverandør i en jurisdiksjon utenfor Eyes (PureVPN omkring 2017) har det. Hendelsene rundt Mullvad og PureVPN fastslår sammen at den forutsigende variabelen er operativ praksis — bekreftet ved revisjon — ikke landflagget.
Hva du bør veie i 2026
Tre faktorer forutsier reelle personvernutfall mer pålitelig enn jurisdiksjon alene. (1) Revisjonsomfang og aktualitet — dekker den nyeste publiserte revisjonen konfigurasjon på servernivå, og er den innenfor de siste 24 månedene? (2) Åpen kildekode-klienter — publiseres skrivebords- og mobilappene som åpen kildekode? Mullvad og Proton VPN publiserer begge klientene sine på GitHub. (3) Dokumentert respons på en reell hendelse med rettslig tvang — Mullvad har én (razziaen i 2023), PureVPN har den motsatte (saken fra 2017). De fleste leverandører har ingen av delene. Bruk jurisdiksjon som en avgjørende faktor når de tre første er oppfylt, ikke som hovedfaktoren.
Kilder
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (med henvisninger til den opprinnelige UKUSA-avtalen). Mullvad-razzia 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Mullvads revisjonshistorikk: mullvad.net/en/blog/tag/audits. PureVPN/Lin-saken: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. NordVPN-jurisdiksjon: nordvpn.com/blog/jurisdiction. Proton VPN-jurisdiksjon: protonvpn.com/features/swiss-based. ExpressVPN Trust: expressvpn.com/trust. Surfshark Trust: surfshark.com/trust-center. Alle URL-er hentet 2026-04-30.