Därför är det viktigt varifrån din VPN-tjänst bedriver sin verksamhet.
Var i världen som din VPN-tjänst bedriver sin verksamhet ifrån spelar stor roll. Eftersom lagarna i olika länder gör det mer eller mindre möjligt att hålla din trafik privat. Här går vi igenom varför Sverige är ett bra land ur det perspektivet. Och varför det inte spelar roll om landet är med i 14 Eyes eller inte.
I de allra flesta länder är internetleverantörerna skyldiga enligt lag att registrera och spara sina kunders internettrafik. Gäller detta även VPN-tjänster? Det är precis den frågan du ska ställa dig. Det är själva grundförutsättningen för att en VPN-leverantör ska kunna bedriva en verksamhet som ser till att hålla din trafik privat: har de sin hemvist i ett land där lagarna kräver att de ska logga trafik, eller inte?
Mullvad VPN har sin verksamhet i Sverige och här går den relevanta lagen under namnet Lagen om elektronisk kommunikation (LEK). Det är LEK som reglerar hur internetleverantörer måste logga trafik och det är väldigt tydligt: den här lagen gäller inte VPN-tjänster. Grundförutsättningarna för att bedriva en privacy-fokuserad VPN-tjänst är därför goda. Svensk lag kräver inte att VPN-tjänster ska logga sina kunder eller deras trafik.
Det här skyddar inte oss från att polisen en dag kan knacka på dörren med en husrannsakan, vilket hände under 2023. Bara för att en VPN-tjänst inte behöver logga kunddata, så innebär det ju inte att alla inte gör det. När en myndighet kommer viftandes med en husrannsakan ställs alltså detta på sin spets. Resultatet? Eftersom vi inte loggar någon data hade vi inget att lämna över – vilket innebar att polisens nationella operativa avdelning (NOA) fick lämna tomhänta. Det här var första gången som myndigheterna besökte oss med en husrannsakan, vilket medförde att vi fick testa den delen av vår strategi för hur vi hanterar myndighetsförfrågningar i skarpt läge. Det var inte den typ av oberoende granskning som vi brukar utföra på vår verksamhet – men vi konstaterar att den föll väl ut.
Den svenska lagen innebär att polisen inte heller kan sätta oss under press. Inga påtryckningar kan göras för att i hemlighet börja logga trafik. Den svenska lagen innebär också att inget annat land kan kliva in och begära något utan att gå via svensk rättsapparat och svenska lagar. Här kan du läsa mer om de svenska lagarna som gäller för Mullvad – och varför Sverige är ett bra land att bedriva en VPN-tjänst ifrån. Jurisdiktionen här gör det möjligt att hålla din data privat.
Huruvida din VPN-tjänst har sin hemvist i ett så kallat 14 Eyes-land är helt ointressant. Det är det enskilda landets lagar som spelar roll. Inte om landet är med i olika underrättelsesamarbeten.
Om det här är ett ämne som intresserar dig och du surfar runt för att lära dig mer kommer du förr eller senare stöta på VPN-tjänster eller andra som säger så här: skaffa inte en VPN-tjänst som utgår från ett 14 Eyes-land. Det här är utspel som antingen är inkompetenta eller oärliga. Så, vad handlar detta om?
Det här är 14 Eyes. Och därför är det inte relevant när du väljer VPN-tjänst.
14 Eyes är en ett samarbete som går ut på att 14 länders underrättelsetjänster samarbetar och delar information mellan sig. Det här var något som Edward Snowden avslöjade 2013. Först var de 5 stycken Eyes-länder, sen var de 9 och slutligen (?) 14. Bland annat framkom det att länderna lyssnade av internettrafiken som passerar över landsgränser i de fysiska kablar som går under ytan i Atlanten. Och eftersom internet är en global företeelse innebar det att i princip varenda internetanvändare i världen fiskades upp här (om de inte använde en VPN förstås).
Det krävdes alltså en visselblåsare för att avslöja de 14 samarbetsländerna. Idag är de kanske färre? Sannolikt är de fler. Eller så existerar inte samarbetet alls längre. Svaret på detta är det ingen VPN-leverantör eller någon annan utomstående som har. Men vi kan nog anta att den här typen av samarbeten är mer omfattande idag än 2013. Men oavsett: det har ingenting att göra med var din VPN-tjänst har sitt kontor. 14 Eyes-samarbetet går ut på att dela information. Och den informationen samlar de in över hela världen.
Det som spelar roll är de inhemska lagarna är, i landet där din VPN-tjänst driver sin verksamhet, och hur väl den verksamheten är skyddad av lagarna där. Om lagarna i ett 14 Eyes-land innebär att en VPN-tjänst inte behöver logga data, då finns det liksom ingen data att hämta ut och dela vidare till sina vänner i alliansen.
På samma sätt innebär det inte att ett land som inte är med i 14 Eyes per automatik är ett säkert ställe att bedriva sin verksamhet på. Ett exempel: Schweiz lyfts ibland fram som ett säkert land utanför 14 Eyes-samarbetet. Det hjälpte inte ProtonMail ett dugg när de schweiziska lagarna tvingade dem att lämna ut en fransk klimataktivists IP-adress och browser fingerprint. Det enda som räddar dig i ett sådant scenario är en hårdhudad filosofi utan undantag: om du inte sparar någon data har du ingen data att lämna ut. Därför är det enda viktiga gällande “VPN-lagar”: driv verksamheten i ett land där du enligt lag inte kan tvingas spara data.
Vad är viktigt att tänka på när du väljer VPN-leverantör? Ta en titt här.
Din IP-adress är bara ett sätt att identifiera dig. Läs mer om hur dagens massövervakning går till.
Hur illa ställt är det egentligen med dagens datainsamling? Det är värre än du tror.