Wat is een no-logs-VPN? Geauditeerde aanbieders, onafhankelijke rapporten en hoe je een echte claim van marketing onderscheidt
Een no-logs-VPN is een VPN die geen verkeer, DNS of verbindingsmetadata registreert waarmee een gebruiker geïdentificeerd zou kunnen worden. De claim doet er pas toe wanneer een onafhankelijke auditor de daadwerkelijke infrastructuur heeft geïnspecteerd. Zo herken je het verschil.
Wat "no-logs" werkelijk betekent
Een no-logs-VPN is een aanbieder die belooft geen verkeer, DNS-queries, IP-adressen of verbindingstijdstempels te registreren die aan een individuele gebruiker te koppelen zijn. De term 'no-logs' zelf heeft geen juridische definitie. Elke VPN-homepage gebruikt hem. De claim wordt pas betekenisvol wanneer een onafhankelijke auditor het daadwerkelijke serverpark en de configuratie heeft geïnspecteerd — en het rapport gepubliceerd is. Vanaf 2026 hebben alle vijf grote betaalde VPN's die we behandelen (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark) onafhankelijke audits gepubliceerd.
Wat de gepubliceerde audits feitelijk dekken
De meest recente audit van Mullvad is van Cure53, uitgevoerd van 3 tot 14 juni 2024 (de vierde audit in totaal, de tweede met Cure53). Het is een infrastructuuraudit die één OpenVPN- en één WireGuard-server uit Mullvads productiepark beslaat. Proton VPN heeft vier opeenvolgende no-logs-audits van Securitum doorstaan (2022, 2023, 2024, 2025). NordVPN heeft zes onafhankelijke no-logs-assurance-beoordelingen onder ISAE 3000 doorstaan: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. Het Trust Center van ExpressVPN vermeldt 23 gepubliceerde audits, meest recent een derde no-logs-audit van KPMG (2025) en audits van Cure53/Praetorian op de Rust-herschrijving van het Lightway-protocol (sep–okt 2024). Surfshark heeft no-logs-audits van Deloitte in 2023 en 2025 onder ISAE 3000.
Hoe een echte no-logs-claim eruitziet
Drie signalen scheiden een echte no-logs-claim van marketing. Ten eerste een gepubliceerd rapport van een derde partij — geen persbericht-achtige blogpost, maar een downloadbare pdf of een trust-center-pagina met de naam en datum van de auditor. Ten tweede een auditscope die de infrastructuur omvat (configuratie op serverniveau), niet alleen de client-app. Ten derde, idealiter, een echte test met een gerechtelijk bevel. Mullvads kantoren werden op 18 april 2023 door de Zweedse politie doorzocht op grond van een bevel dat voortkwam uit een Duits verzoek om juridische samenwerking; Mullvad documenteerde de gebeurtenis publiekelijk en de politie vertrok zonder klantgegevens in beslag te nemen, omdat de gegevens waar het bevel om vroeg niet op de servers bestonden (volgens Mullvads blogpost over het huiszoekingsbevel). PureVPN daarentegen verstrekte in 2017 verbindingslogs aan de FBI in de cyberstalkingzaak van Ryan Lin, ondanks de eerdere 'no-logs'-marketing — de zaak is het canonieke omgekeerde voorbeeld van een marketingclaim die door echte juridische dwang werd weerlegd.
Jurisdictie doet er minder toe dan wat de aanbieder opslaat
VPN-marketing maakt veel werk van jurisdictie. De 5 / 9 / 14 Eyes-afspraken voor het delen van inlichtingen (VS, VK, Canada, Australië, Nieuw-Zeeland + Denemarken, Frankrijk, Nederland, Noorwegen + Duitsland, België, Italië, Zweden, Spanje) zijn reëel, en een in Zweden of Nederland geregistreerde VPN valt binnen het bereik. Maar een aanbieder in een niet-Eyes-jurisdictie die verbindingslogs bewaart, is slechter dan een no-logs-aanbieder waar dan ook. Mullvad (Zweden, in 14 Eyes) en Proton VPN (Zwitserland, buiten Eyes) zijn beide geauditeerd; de inval bij Mullvad laat zien dat een no-logs-configuratie meer telt dan een vlag op de kaart.
Hoe je een auditrapport leest
Open het rapport en let op drie dingen. (1) Scope — beschrijft het rapport wat de auditor heeft onderzocht, inclusief welke servers, welke protocollen, welk datumbereik? Generieke 'we hebben het beleid geauditeerd'-taal zonder details is zwakker dan 'we hebben VPN-configuratiebestanden en serverconfiguraties onderzocht'. (2) Methode — Securitums rapporten voor Proton beschrijven een configuratiebeoordeling ter plaatse en interviews met personeel; Deloittes NordVPN-rapporten verwijzen naar ISAE 3000 (de internationale assurance-engagementstandaard); Cure53's Mullvad-rapporten beschrijven white-box-beveiligingstests op productieservers. (3) Bevindingen — elke audit vindt iets. Cure53's Mullvad-audit van juni 2024 vond twee problemen (één laag, één gemiddeld); Praetorians Lightway-audit van 2024 vond twee problemen met laag risico. De aanwezigheid van bevindingen is niet slecht — de afwezigheid van bevindingen zou verdacht zijn. Wat telt is de ernst en de remediëring.
Wat je kunt negeren
Negeer generieke 'meest private VPN'-ranglijsten die hun methodologie niet vermelden. Negeer aanbieders wier 'audit' een brief is van een klein adviesbureau dat nooit naar de servers heeft gekeken. Negeer VPN-vergelijkingssites die niet naar het daadwerkelijke rapport linken — het rapport heeft een datum en een publicerende partij; als een site er niet naar linkt, is de claim niet verifieerbaar. Negeer jurisdictie als het belangrijkste signaal. Het enige betrouwbare signaal is de gepubliceerde auditscope plus, waar die bestaat, de geschiedenis van juridische-dwangzaken.
Bronnen
Mullvad-audit: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Mullvad-inval 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Proton-audits: protonvpn.com/blog/no-logs-audit. NordVPN-audits: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Trust Center: expressvpn.com/trust. Surfshark-audit: surfshark.com/blog/deloitte-nologs-policy-verified-again. PureVPN/Lin-zaak: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Alle URL's geraadpleegd op 2026-04-30.