Kan du lita på din VPN-tjänst? Här är frågorna du bör ställa.
En VPN är, tillsammans med en privacy-fokuserad webbläsare, ett bra motstånd mot dagens absurda datainsamling. Men det gäller att välja en kompetent och transparent VPN-leverantör. Här reder vi ut vad du bör tänka på när du gör ditt val.
När du väljer att använda en VPN-tjänst flyttar du ditt förtroende från din internetleverantör till din VPN-leverantör. Den stora skillnaden mellan internetleverantörer och VPN-leverantörer är att VPN-leverantörerna – till skillnad mot internetleverantörerna i väldigt många länder – inte är skyldiga enligt lag att registrera och logga din trafik. Därför har VPN-tjänsterna möjligheten att behandla trafiken med din personliga integritet i fokus. Problemet är bara att inte alla gör det. Därför är det viktigt att noga tänka över sitt val när det är dags att välja VPN-tjänst – åtminstone om du är ute efter en VPN-leverantör som bryr sig om personlig integritet och om du vill minska datainsamlingen.
Genom åren har det gått att läsa nyhet efter nyhet om hur VPN-bolag som, trots att de påstått att de inte loggar sina kunders trafik, läckt sina kunders data. Det har funnits fall där det framgått att VPN-bolag loggat och kartlagt sina kunders trafik och sålt vidare till tredje part. Och när Consumer Reports gjorde en stor kartläggning kom de fram till att 12 av 16 VPN-tjänster presenterade sina tjänster och sin teknik på ett felaktigt sätt, samt överdrev hur deras tjänst skyddade sina kunder. Här kan du läsa hela rapporten.
När det är dags att välja VPN-tjänst kan du alltså börja med att läsa den typen av oberoende rapporter som vi nämnt ovan. Det är en bra start. Ytterligare ett sätt att ta tempen på sin kommande VPN-tjänst är att ta en titt på vilka andra bolag som de omger sig med. Hur seriösa, relevanta och kunniga är till exempel bolagen som gör oberoende granskningar av deras VPN-tjänst (här är det skillnad på om man till exempel låter säkerhetsbolag inom tech göra det, eller om det är revisionsfirman – bara ett litet exempel taget ur verkligheten)? Samma sak med partners. Ingår de i samarbeten med andra organisationer eller bolag som har en historik av att vara trovärdiga och transparenta?
I slutändan handlar det ändå om att ställa bolagen mot väggen, genom att leta efter svar på de jobbiga frågorna. En bra källa att vända sig till är den kartläggning som Center For Democracy & Technology gjorde tillsammans med de VPN-bolag som var villiga att överhuvudtaget svara på frågor 2018. Den har alltså några år på nacken, men frågorna är lika relevanta att checka av mot ditt val av VPN-tjänst idag. Om du vill ta del av hela genomgången hittar du den här. Nu tar vi en extra titt på frågeställningarna och vad Mullvads svar på de respektive frågorna är.
Nummer 1: Vem är det egentligen som äger VPN-tjänsten? Finns det moderbolag som tjänar pengar på datainsamling?
Varför är detta viktigt när det kommer till att välja VPN-tjänst? Kort svar: det är enligt klassisk granskning. Följer du pengarna får du svar som kanske inte annars kommer till ytan. Eftersom det är viktigt att kunna lita på sin VPN-leverantör vill du kanske veta om de ingår i en större koncern där datainsamling är ett stort affärsben? Eller om de har ägare som tidigare varit inblandade i massövervakning på ett eller annat sätt?
Frågan från Center For Democracy & Technology: Vad är officiella och fullständiga juridiska namnet på VPN-tjänsten och alla eventuella moder- eller holdingbolag?
Mullvads svar på frågan:
Fullständigt juridiskt namn är Mullvad VPN AB.
Moderbolag är Amagicom AB, som är direktägt av grundarna Fredrik Strömberg och Daniel Berntsson. Både Mullvad VPN AB och Amagicom AB är förlagda i Sverige.
Varken Mullvad VPN, Amagicom AB, Fredrik Strömberg eller Daniel Berntsson har något ägarskap eller är ekonomiskt involverade i några andra VPN-tjänster.
Inga andra bolag är direkt involverade i Mullvads VPN:s verksamhet.
Nummer 2: Äger VPN-bolaget några sajter som sätter betyg på VPN-tjänster?
Det är lite av ett skämt att den här frågan behövs ställas. Men faktum är att hela VPN-recensionsmarknaden är översvämmad av affiliate marketing och köpta influencers. För att inte tala om att VPN-bolag ofta äger sajterna som recenserar VPN-tjänster eller “bara” köper sig en bra placering på en extern sajt. Här kan du läsa mer om hur media kontaktat Mullvad för att sälja “en plats på topp-5”.
Frågan från Center For Democracy & Technology: Har VPN-bolaget, eller något annat bolag som är involverat i verksamheten eller har ägarskap i VPN-tjänsten, något som helst ägarskap i någon VPN-recensionssajt?
Mullvads svar på frågan: nej.
Nummer 3: Vad är affärsmodellen bakom VPN-tjänsten? Därför bör du se upp med “gratis-VPN”.
Det är inte alla VPN-bolag som tjänar pengar på själva VPN-tjänsten. Ett uppenbart bevis är alla de “gratis” VPN-tjänster som finns? Vad tjänar de pengar på? En vild gissning är att de tjänar pengar på precis det som väldigt många stora techbolag tjänar pengar på idag: försäljningen av din personliga data, försäljningen av ditt internetbeteende. Det är alltid en vettig idé att följa pengarna. Det här gäller även för VPN-bolag som tar betalt. Överstiger intäkterna rimligen pengarna som de får in från sina kunder?
Frågan från Center For Democracy & Technology: Vad är bolagets affärsmodell (hur tjänar bolaget pengar)?
Mullvads svar på frågan: Samtliga intäkter kommer från våra kunders VPN-köp.
Nummer 4: Loggar VPN-tjänsten din trafik? Här gäller det att gå hårt åt detaljerna, och inte bara lita på rubrikerna.
Nu kommer vi till en brinnande fråga. Din internetleverantör måste enligt lag registrera och spara din trafik. Din VPN-leverantör behöver inte det. Det här är själva grundpremissen bakom VPN-tjänster. Därför går de allra flesta VPN-bolag ut och säger att de är en “no-logging”-tjänst. Problemet är ju bara att flertalet VPN-tjänster blivit avslöjade med att ljuga om detta. Så, vad kan man då göra? Du kan till exempel ta en titt på om de är specifika när de berättar om vad det är de inte loggar. Svävar de på svaret? Kan de inte vara specifika? Då kan det vara ett varningstecken. Extra värt att hålla koll på: om de börjar prata om att de samlar in “anonym data”. Som du kan läsa om här är det omöjligt att hålla stora mängder data anonym.
Frågan från Center For Democracy & Technology: Sparar VPN-tjänsten någon data eller metadata som genereras under användarens VPN-session (från anslutning till nedkoppling) efter att sessionen är avslutad?
Mullvads svar på frågan: Nej, för detaljer se vår privacy policy.
Under Mullvads privacy policy hittar du bland annat:
Vi loggar ingenting överhuvudtaget som går att knyta till ett kontos aktivitet:
- Ingen loggning av trafik
- Ingen loggning av DNS-förfrågningar
- Ingen loggning av anslutningar, inklusive när den görs, när den kopplas ner, hur länge, eller några andra sorters tidsangivelser
- Ingen loggning av IP-adresser
- Ingen loggning av användares bandbredd
- Ingen loggning av kontoaktivitet, bortsett från totalt antal anslutningar och betalningsinformation (se mer under privacy policy)
Nummer 5: Sparar VPN-tjänsten data på något annat sätt?
När det kommer till datainsamling gäller det att vara nitisk. Det här är inte platsen att lära sig mer om DNS, men här kan du läsa mer om scenarios där din trafik kan läcka utanför din VPN-tunnel och hur Mullvad jobbar för att det inte ska ske.
Frågan från Center For Democracy & Technology: Sparar VPN-tjänsten (eller delar vidare) någon browser- och/eller nätverksaktivitet, inklusive DNS-förfrågningar och register på sidor som besökts?
Mullvads svar på frågan: Nej, för detaljer se vår privacy policy.
Nummer 6: Hur behandlar din VPN-tjänst förfrågningar från myndigheter?
Var i världen som din VPN-tjänst har sitt säte har påverkan på hur säker den är för dig som kund. Här kan du läsa mer om varför Sverige är en bra plats för Mullvad rent juridiskt. Den här frågan handlar dels om lagarna i landet VPN-tjänsten befinner sig och myndigheternas möjlighet att utföra påtryckningar, men den involverar också hur VPN-bolaget hanterar data och vilka processer som finns på plats ifall man skulle få besök av till exempel polisen.
I Mullvads fall så har vi under 2023 fått vår process testad i skarpt läge: här kan du läsa mer om hur polisens nationella operativa avdelning (NOA) gjorde besök hos Mullvad med en husrannsakan, men att de fick lämna tomhänta (eftersom vi inte sparar någon data).
Frågan från Center For Democracy & Technology: Har ni en tydlig process för att svara på legitima förfrågningar om data, från brottsbekämpande myndigheter och domstolar?
Mullvads svar på frågan: Ja, läs mer om “Hur vi hanterar myndigheters förfrågningar efter kunders data”.
Nummer 7: Hur säkerställer din VPN att ingen obehörig kan läsa av din trafik?
När du väljer VPN-tjänst handlar det inte enbart om förtroende, utan också om kompetens. Nu riskerar det att bli lite tekniskt, men det gäller att även ha den här typen av uppgifter på plats. Frågan är alltså vad din VPN-tjänst gör för att hålla din trafik och din data säker och privat?
Frågan från Center For Democracy & Technology: Vad gör ni för att skydda er mot att obehöriga får tillgång till era kunders dataflöden när de använder er VPN?
Mullvads svar på frågan: Det krävs säkra system för att kunna erbjuda privacy, och sedan Mullvad startades har säkerhet varit en djupt integrerad del av vår kultur.
- Vi använder bara de två bästa VPN-protokollen som finns: OpenVPN och WireGuard (vi var bland de första att använda det förstnämnda, och banbrytande med det sistnämnda).
- Vår app innehåller säkerhetsfunktioner som kill switch, skydd mot DNS-läckor och IPv6-support, funktioner som vi antingen var först eller bland de första att införa.
- Eftersom tillförlit är grundläggande, så är vår app byggd i Rust (iOS undantaget), ett programmeringsspråk som är utvecklat för att bygga säkra program.
- Vi använder kodsignering för både app- och server-kod.
- Koden granskas av flera innan den går in i produktion.
- Alla våra systemadministratörer använder Qubes operativsystem.
- Vi jobbar med segmentering av access (till servrarna till exempel).
- Vi skyddar våra laptops mot manipulering.
Nummer 8: Gör din VPN-leverantör sitt yttersta för att hålla din data privat?
Om du väljer VPN-leverantör ur ett privacy-perspektiv kokas allt ner till det här: gör de sitt yttersta för att hålla din data privat? Är deras främsta syfte att minska datainsamling? När vi till exempel plockade bort möjligheten till prenumeration för våra kunder var det med privacy i åtanke. Det var inte det bekvämaste beslutet att ta, men det var det rätta. Av samma anledning ser vår process för nya kunder ut som den gör. Vi ber inte om en enda personuppgift; inget användarnamn, inget lösenord, ingen e-postadress, ingenting. Det enda du gör är att generera fram ett kontonummer, det är det enda du behöver för att kicka igång ditt Mullvad-konto.
Frågan från Center For Democracy & Technology: Vilka andra kontrollfunktioner har ni på plats för att skydda användardata?
Mullvads svar på frågan:
Vi har tagit till ett flertal andra åtgärder. Flera av dem var vi först i branschen med:
- Vi accepterar anonyma betalningar i form av kontanter via post samt kryptovalutor.
- När du registrerar konto hos oss frågar vi inte om någon som helst personlig information, inte ens e-postadress.
- Vår VPN-app är open source och du kan hitta oberoende granskningar av den på vår sajt.
Din IP-adress är bara ett sätt att identifiera dig. Läs mer om hur dagens massövervakning går till.
Hur illa ställt är det egentligen med dagens datainsamling? Det är värre än du tror.
Varför är det viktigt varifrån din VPN driver sin verksamhet? Läs mer om lagar i olika länder.