Hva er en loggfri VPN? Reviderte leverandører, uavhengige rapporter og hvordan du skiller en reell påstand fra markedsføring
En loggfri VPN er en tjeneste som ikke registrerer trafikk, DNS- eller tilkoblingsmetadata som kan identifisere en bruker. Påstanden betyr bare noe når en uavhengig revisor har inspisert den faktiske infrastrukturen. Slik ser du forskjellen.
Hva "loggfri" faktisk betyr
En loggfri VPN er en leverandør som lover å ikke registrere trafikk, DNS-forespørsler, IP-adresser eller tilkoblingstidsstempler som kan spores tilbake til en enkelt bruker. Selve ordet 'loggfri' har ingen juridisk definisjon. Enhver VPN-hjemmeside bruker det. Påstanden blir først meningsfull når en uavhengig revisor har inspisert den faktiske serverflåten og konfigurasjonen — og rapporten publiseres. Per 2026 har alle de fem store betalte VPN-ene vi dekker (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark) publisert uavhengige revisjoner.
Hva de publiserte revisjonene faktisk dekker
Mullvads nyeste revisjon er utført av Cure53, gjennomført 3.–14. juni 2024 (deres fjerde revisjon totalt, andre med Cure53). Det er en infrastrukturrevisjon som dekker én OpenVPN- og én WireGuard-server i Mullvads produksjonsflåte. Proton VPN har bestått fire påfølgende loggfrie revisjoner fra Securitum (2022, 2023, 2024, 2025). NordVPN har bestått seks uavhengige loggfrie vurderinger etter ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. ExpressVPNs Trust Center lister 23 publiserte revisjoner, senest en tredje KPMG-logfri revisjon (2025) og revisjoner fra Cure53/Praetorian av Lightway-protokollens Rust-omskriving (sep–okt 2024). Surfshark har loggfrie revisjoner fra Deloitte i 2023 og 2025 etter ISAE 3000.
Hvordan en reell loggfri påstand ser ut
Tre signaler skiller en reell loggfri påstand fra markedsføring. For det første: en publisert tredjepartsrapport — ikke et blogginnlegg i form av en pressemelding, men en nedlastbar PDF eller en trust-center-side med revisorens navn og dato. For det andre: et revisjonsomfang som inkluderer infrastruktur (konfigurasjon på servernivå), ikke bare klientappen. For det tredje: ideelt sett en reell test gjennom en rettslig kjennelse. Mullvads kontorer ble ransaket av svensk politi 18. april 2023 med en ransakingsordre utstedt fra en tysk rettshjelpsforespørsel; Mullvad dokumenterte hendelsen offentlig, og politiet dro uten å beslaglegge kundedata fordi dataene ordren søkte etter ikke fantes på serverne (ifølge Mullvads blogginnlegg om ransakingsordren). PureVPN, derimot, leverte tilkoblingslogger til FBI i 2017 i Ryan Lin-nettstalkingssaken til tross for sin tidligere 'loggfrie' markedsføring — saken er det kanoniske motsatte eksempelet på en markedsføringspåstand motsagt av reell rettslig tvang.
Jurisdiksjon betyr mindre enn hva leverandøren lagrer
VPN-markedsføring gjør mye ut av jurisdiksjon. 5 / 9 / 14 Eyes-ordningene for deling av etterretning (USA, Storbritannia, Canada, Australia, New Zealand + Danmark, Frankrike, Nederland, Norge + Tyskland, Belgia, Italia, Sverige, Spania) er reelle, og en VPN registrert i Sverige eller Nederland faller inn under dem. Men en leverandør i en jurisdiksjon utenfor Eyes som fører tilkoblingslogger er verre enn en loggfri leverandør hvor som helst. Mullvad (Sverige, i 14 Eyes) og Proton VPN (Sveits, utenfor Eyes) er begge revidert; Mullvad-razziaen viser at en loggfri konfigurasjon betyr mer enn et flagg på kartet.
Hvordan lese en revisjonsrapport
Åpne rapporten og se etter tre ting. (1) Omfang — beskriver rapporten hva revisoren så på, inkludert hvilke servere, hvilke protokoller, hvilket tidsrom? Generiske formuleringer som 'reviderte retningslinjene' uten detaljer er svakere enn 'undersøkte VPN-konfigurasjonsfiler og serverkonfigurasjoner'. (2) Metode — Securitums rapporter for Proton beskriver konfigurasjonsgjennomgang på stedet og intervjuer med ansatte; Deloittes NordVPN-rapporter viser til ISAE 3000 (den internasjonale standarden for attestasjonsoppdrag); Cure53s Mullvad-rapporter beskriver white-box-sikkerhetstesting på produksjonsservere. (3) Funn — enhver revisjon finner noe. Cure53s Mullvad-revisjon fra juni 2024 fant to problemer (ett lavt, ett middels); Praetorians Lightway-revisjon fra 2024 fant to problemer med lav risiko. Tilstedeværelsen av funn er ikke dårlig — fraværet av ethvert funn ville være mistenkelig. Det som betyr noe er alvorlighetsgrad og utbedring.
Hva du bør ignorere
Ignorer generiske rangeringer av 'den mest private VPN-en' som ikke oppgir metodikken sin. Ignorer leverandører hvis 'revisjon' er et brev fra et lite konsulentselskap som aldri så på serverne. Ignorer VPN-sammenligningssider som ikke lenker til selve rapporten — rapporten har en dato og en utgivende part; hvis en side ikke vil lenke til den, er påstanden ikke etterprøvbar. Ignorer jurisdiksjon som det primære signalet. Det eneste pålitelige signalet er det publiserte revisjonsomfanget pluss, der det finnes, historikken for rettslig tvang.
Kilder
Mullvad-revisjon: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Mullvad-razzia 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Proton-revisjoner: protonvpn.com/blog/no-logs-audit. NordVPN-revisjoner: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Trust Center: expressvpn.com/trust. Surfshark-revisjon: surfshark.com/blog/deloitte-nologs-policy-verified-again. PureVPN/Lin-saken: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Alle URL-er hentet 2026-04-30.