VPN-jurisdictie uitgelegd: 5 / 9 / 14 Eyes, de Mullvad-inval en de PureVPN-logs-zaak
VPN-marketing maakt veel werk van jurisdictie. De twee best gedocumenteerde gevallen van gerechtelijke samenwerking — de Mullvad-inval in 2023 en de PureVPN-FBI-samenwerking in 2017 — laten zien dat wat de aanbieder opslaat meer telt dan de landsvlag.
Wat 5 / 9 / 14 Eyes werkelijk betekent
De 5 Eyes is een afspraak voor het delen van signaalinlichtingen tussen de VS, het VK, Canada, Australië en Nieuw-Zeeland, met oorsprong in het naoorlogse UKUSA-akkoord. De 9 Eyes voegt Denemarken, Frankrijk, Nederland en Noorwegen toe. De 14 Eyes voegt Duitsland, België, Italië, Zweden en Spanje toe. VPN-marketing heeft het idee gepopulariseerd dat een VPN die in een van deze 14 landen is geregistreerd risico loopt, omdat de gastregering haar kan dwingen gegevens te overhandigen en die te delen met de bredere alliantie. De claim is deels waar — die regeringen hebben inderdaad juridische kaders voor gegevensverzoeken — maar het is niet het hele verhaal.
Waar de grote geauditeerde VPN's gevestigd zijn
Mullvad: Göteborg, Zweden (in 14 Eyes). NordVPN's exploiterende entiteit Nordvpn S.A.: Panama (buiten Eyes). Proton VPN: Plan-les-Ouates, Genève, Zwitserland (buiten Eyes; Zwitserland staat ook buiten de EU en het Amerikaanse kader voor juridische verzoeken). ExpressVPN's exploiterende entiteit Express VPN International Ltd.: Britse Maagdeneilanden (buiten Eyes). Surfshark B.V.: Nederland (in 9 Eyes). Twee van de vijf — Mullvad en Surfshark — bevinden zich in Eyes-jurisdicties; drie staan erbuiten. Alle vijf hebben no-logs-audits gepubliceerd.
De Mullvad-inval in 2023: wat er werkelijk gebeurde
Op 18 april 2023 arriveerden zes agenten van de Zweedse Nationale Operationele Afdeling (NOA) bij Mullvads kantoor in Göteborg met een huiszoekingsbevel, met de bedoeling computers met klantgegevens in beslag te nemen. Het bevel was uitgevaardigd op 17 februari 2023 in internationale juridische samenwerking met de Duitse autoriteiten. Mullvad documenteerde de gebeurtenis dezelfde dag publiekelijk op mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Volgens Mullvads relaas en latere berichtgeving vertrok de politie zonder iets in beslag te nemen, omdat de gegevens waar het bevel om vroeg niet op de servers bestonden. Mullvads Cure53-audithistorie (meest recent: 4e infrastructuuraudit, juni 2024) documenteert de no-logs-serverconfiguratie die deze uitkomst opleverde. De implicatie: jurisdictie deed er wel toe — de inval gebeurde — maar de operationele privacyhouding was de doorslaggevende factor.
De PureVPN-FBI-samenwerking in 2017: het omgekeerde
In oktober 2017 gebruikte de FBI verbindingslogs van PureVPN om Ryan Lin, een 24-jarige man uit Massachusetts, te identificeren in een uitgebreide cyberstalkingzaak. PureVPN's marketing vóór de zaak had de nadruk gelegd op een no-logs-claim. De verklaring onder ede van de FBI (geciteerd in DoJ-stukken en reguliere berichtgeving op bleepingcomputer.com en andere) documenteerde dat PureVPN in feite verbindingslogs had bewaard die het thuis-IP-adres van de klant bij het begin van de sessie bevatten, en dat die logs volstonden om Lin via zijn VPN-sessies te identificeren. De zaak is het canonieke omgekeerde voorbeeld: een marketingclaim weerlegd door wat de aanbieder daadwerkelijk opsloeg, en de jurisdictie van de aanbieder (Hongkong — buiten Eyes) beschermde de gegevens niet, omdat de gegevens bestonden en relevant waren voor een Amerikaans juridisch verzoek.
Wat jurisdictie wel en niet voorspelt
Jurisdictie is een reële risicofactor wanneer er een overheidsverzoek wordt gedaan. Een aanbieder in een 14 Eyes-jurisdictie met een juridisch-samenwerkingskader met het verzoekende land kan worden gedwongen de gegevens die hij bezit te overhandigen. Maar jurisdictie voorspelt niet wat de aanbieder bezit. Een no-logs-aanbieder in 14 Eyes (Mullvad) heeft niets om te overhandigen; een aanbieder die logs bewaart in een niet-Eyes-jurisdictie (PureVPN rond 2017) wel. De Mullvad- en PureVPN-gebeurtenissen samen stellen vast dat de voorspellende variabele de operationele praktijk is — geverifieerd door audit — en niet de landsvlag.
Wat je in 2026 moet afwegen
Drie factoren voorspellen reële privacyuitkomsten betrouwbaarder dan jurisdictie alleen. (1) Auditscope en -recentheid — dekt de meest recente gepubliceerde audit de configuratie op serverniveau, en is die van de afgelopen 24 maanden? (2) Open-source-clients — zijn de desktop- en mobiele apps als open source gepubliceerd? Zowel Mullvad als Proton VPN publiceren hun clients op GitHub. (3) Gedocumenteerde reactie op een echt geval van juridische dwang — Mullvad heeft er een (de inval van 2023), PureVPN heeft het omgekeerde (de zaak van 2017). De meeste aanbieders hebben geen van beide. Pas jurisdictie toe als doorslag wanneer aan de eerste drie is voldaan, niet als de belangrijkste factor.
Bronnen
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (met verwijzingen naar het oorspronkelijke UKUSA-akkoord). Mullvad-inval 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Mullvad-audithistorie: mullvad.net/en/blog/tag/audits. PureVPN/Lin-zaak: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. NordVPN-jurisdictie: nordvpn.com/blog/jurisdiction. Proton VPN-jurisdictie: protonvpn.com/features/swiss-based. ExpressVPN trust: expressvpn.com/trust. Surfshark trust: surfshark.com/trust-center. Alle URL's geraadpleegd op 2026-04-30.