Vad är ett no-logs-VPN? Granskade leverantörer, oberoende rapporter och hur du skiljer ett verkligt påstående från marknadsföring
Ett no-logs-VPN är en tjänst som inte registrerar trafik, DNS eller anslutningsmetadata som kan identifiera en användare. Påståendet betyder bara något när en oberoende granskare har inspekterat den faktiska infrastrukturen. Så här gör du för att avgöra.
Vad "no-logs" faktiskt betyder
Ett no-logs-VPN är en leverantör som lovar att inte registrera trafik, DNS-förfrågningar, IP-adresser eller anslutningstidsstämplar som kan kopplas tillbaka till en enskild användare. Själva ordet 'no-logs' har ingen rättslig definition. Varje VPN-startsida använder det. Påståendet blir meningsfullt först när en oberoende granskare har inspekterat den faktiska serverflottan och konfigurationen — och rapporten publiceras. Per 2026 har alla fem stora betal-VPN vi behandlar (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark) publicerat oberoende granskningar.
Vad de publicerade granskningarna faktiskt omfattar
Mullvads senaste granskning är gjord av Cure53, genomförd 3–14 juni 2024 (dess fjärde granskning totalt, den andra med Cure53). Det är en infrastrukturgranskning som omfattar en OpenVPN- och en WireGuard-server i Mullvads produktionsflotta. Proton VPN har klarat fyra på varandra följande no-logs-granskningar av Securitum (2022, 2023, 2024, 2025). NordVPN har klarat sex oberoende no-logs-bestyrkanden enligt ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. ExpressVPN:s Trust Center listar 23 publicerade granskningar, senast en tredje KPMG no-logs-granskning (2025) samt granskningar av Cure53/Praetorian av Lightway-protokollets omskrivning i Rust (sep–okt 2024). Surfshark har no-logs-granskningar av Deloitte från 2023 och 2025 enligt ISAE 3000.
Hur ett verkligt no-logs-påstående ser ut
Tre signaler skiljer ett verkligt no-logs-påstående från marknadsföring. För det första: en publicerad tredjepartsrapport — inte ett blogginlägg utformat som ett pressmeddelande, utan en nedladdningsbar PDF eller en trust-center-sida med granskarens namn och datum. För det andra: en granskningsomfattning som inkluderar infrastrukturen (konfiguration på servernivå), inte bara klientappen. För det tredje: helst ett verkligt prov genom ett domstolsbeslut. Mullvads kontor genomsöktes av svensk polis den 18 april 2023 med stöd av en husrannsakningsorder som utfärdats efter en tysk begäran om rättsligt samarbete; Mullvad dokumenterade händelsen offentligt, och polisen lämnade platsen utan kunddata eftersom de uppgifter ordern efterfrågade inte fanns på servrarna (enligt Mullvads blogginlägg om husrannsakningsordern). PureVPN däremot lämnade 2017 ut anslutningsloggar till FBI i cyberstalkningsfallet Ryan Lin trots sin tidigare 'no-logs'-marknadsföring — fallet är det kanoniska motexemplet på ett marknadsföringspåstående som motbevisas av verkligt rättsligt tvång.
Jurisdiktionen spelar mindre roll än vad leverantören lagrar
VPN-marknadsföring gör mycket av jurisdiktionen. Underrättelsedelningsöverenskommelserna 5 / 9 / 14 Eyes (USA, Storbritannien, Kanada, Australien, Nya Zeeland + Danmark, Frankrike, Nederländerna, Norge + Tyskland, Belgien, Italien, Sverige, Spanien) är verkliga, och ett VPN registrerat i Sverige eller Nederländerna omfattas. Men en leverantör i en icke-Eyes-jurisdiktion som för anslutningsloggar är sämre än en no-logs-leverantör var som helst. Mullvad (Sverige, i 14 Eyes) och Proton VPN (Schweiz, utanför Eyes) är båda granskade; Mullvad-razzian visar att en no-logs-konfiguration spelar större roll än en flagga på kartan.
Hur man läser en granskningsrapport
Öppna rapporten och leta efter tre saker. (1) Omfattning — beskriver rapporten vad granskaren undersökte, inklusive vilka servrar, vilka protokoll, vilket tidsintervall? Generiska formuleringar som 'granskade policyn' utan detaljer är svagare än 'undersökte VPN-konfigurationsfiler och serverkonfigurationer'. (2) Metod — Securitums rapporter för Proton beskriver konfigurationsgranskning på plats och intervjuer med personal; Deloittes NordVPN-rapporter hänvisar till ISAE 3000 (den internationella standarden för bestyrkandeuppdrag); Cure53:s Mullvad-rapporter beskriver white-box-säkerhetstester på produktionsservrar. (3) Iakttagelser — varje granskning hittar något. Cure53:s Mullvad-granskning från juni 2024 hittade två problem (ett lågt, ett medel); Praetorians Lightway-granskning från 2024 hittade två problem med låg risk. Förekomsten av iakttagelser är inte dåligt — den fullständiga avsaknaden av iakttagelser vore misstänkt. Det som spelar roll är allvarlighetsgrad och åtgärd.
Vad man ska ignorera
Ignorera generiska rankningar av 'det mest privata VPN' som inte redovisar sin metodik. Ignorera leverantörer vars 'granskning' är ett brev från en liten konsultfirma som aldrig tittade på servrarna. Ignorera VPN-jämförelsesidor som inte länkar till den faktiska rapporten — rapporten har ett datum och en publicerande part; om en sida inte länkar den går påståendet inte att kontrollera. Ignorera jurisdiktionen som primär signal. Den enda pålitliga signalen är den publicerade granskningsomfattningen plus, där den finns, fallhistoriken kring rättsligt tvång.
Källor
Mullvad-granskning: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Mullvad-razzian 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Proton-granskningar: protonvpn.com/blog/no-logs-audit. NordVPN-granskningar: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Trust Center: expressvpn.com/trust. Surfshark-granskning: surfshark.com/blog/deloitte-nologs-policy-verified-again. PureVPN/Lin-fallet: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Alla webbadresser hämtade 2026-04-30.