No-logs beleid: wat betekent het echt?

Een ‘no-logs beleid’ is de meest kritische belofte die een VPN-aanbieder kan doen. Het betekent namelijk dat de dienst geen gegevens opslaat over wat jij online doet. Echter, in 2026 is deze term vaak een marketingkreet die zonder bewijs weinig waarde heeft. Een echt no-logs beleid is dus geen statische belofte op een website. Het is een actief onderhouden ecosysteem van technologie, juridische bescherming en vooral onafhankelijke verificatie. Zonder een recente audit door een gerenommeerd accountantskantoor is een no-logs claim dan ook niets meer dan een lege huls. Kortom, het is het verschil tussen een marketingbelofte en een technisch afgedwongen realiteit.
Inhoudsopgave
- De definitie van een no-logs beleid
- Wat zijn logs precies?
- Waarom de term 'no-logs' misleidend kan zijn
- Wat maakt een no-logs beleid betrouwbaar in 2026?
- Onafhankelijke audits: de gouden standaard
- RAM-only servers: de technologische verzekering
- Jurisdictie: waar het hoofdkantoor staat, telt
- Transparantierapporten en praktijktests
- Vergelijking van het beste no-logs beleid in 2026
- Hoe je zelf een no-logs beleid kunt beoordelen: een stappenplan
- Stap 1: duik in het privacybeleid, voorbij de marketing
- Stap 2: zoek het meest recente auditrapport
- Stap 3: verifieer de technologische basis
- Stap 4: analyseer de jurisdictie en de bedrijfsstructuur
- Stap 5: zoek naar praktijkbewijs en reputatie
- De gevaren van een zwak of onbestaand no-logs beleid
- Juridische gevolgen voor gebruikers
- Het PureVPN-incident: een waarschuwend verhaal
- Dataverkoop en profilering
- Gevaren bij datalekken
- Meer dan alleen logs: aanvullende privacyfuncties
- Meer lezen over VPN
De definitie van een no-logs beleid
De kern van een VPN is het creëren van een privé-tunnel voor je internetverkeer. Als de beheerder van die tunnel, de VPN-aanbieder, een logboek bijhoudt, wordt het doel van privacy volledig ondermijnd. Daarom is het essentieel om te begrijpen welke soorten logs er bestaan. Vervolgens leggen we uit wat een aanbieder wel en niet mag opslaan om als een ‘echte’ no-logs dienst te kwalificeren.
Wat zijn logs precies?
Niet alle logs zijn gelijk. We kunnen ze grofweg indelen in drie categorieën, van extreem privacygevoelig tot relatief onschuldig. Dit onderscheid is cruciaal voor het beoordelen van een VPN-dienst.
- Activiteitenlogs (Activity Logs): Dit is de meest schadelijke categorie. Deze logs bevatten namelijk informatie over je daadwerkelijke online gedrag. Denk hierbij aan de websites die je bezoekt, de bestanden die je downloadt en de zoektermen die je gebruikt. Een VPN die een strikt no-logs beleid hanteert, zal nooit dit soort gegevens opslaan. Het is dus een absolute rode vlag als een privacybeleid hier vaag over is.
- Verbindingslogs (Connection Logs): Dit is een grijs gebied waar de details tellen. Deze logs bevatten metadata over je VPN-sessie, niet de inhoud. Voorbeelden zijn je oorspronkelijke IP-adres, het IP-adres van de VPN-server en de begin- en eindtijd van je sessie. Hoewel deze data niet onthullen wat je hebt gedaan, kunnen ze je potentieel identificeren in combinatie met andere informatie. Echte no-logs aanbieders minimaliseren deze gegevens daarom of slaan ze helemaal niet op. Sommige diensten bewaren bijvoorbeeld de datum van verbinding, maar nooit je IP-adres of precieze timestamps.
- Geaggregeerde logs (Aggregated Logs): Dit zijn geanonimiseerde, samengevoegde data die niet herleidbaar zijn tot een individu. Voorbeelden zijn de totale hoeveelheid data via een server per dag of het aantal actieve gebruikers. VPN-aanbieders gebruiken deze informatie voor netwerkonderhoud en het plannen van capaciteit. Het verzamelen van dit type data is algemeen geaccepteerd en schendt een no-logs beleid niet, zolang het maar echt anoniem is.
Waarom de term ‘no-logs’ misleidend kan zijn
Een VPN-dienst moet technisch gezien *iets* onthouden om te kunnen functioneren. Je actieve sessie moet bijvoorbeeld in het werkgeheugen (RAM) van de server staan. Dit is nodig om je data correct te routeren en het aantal verbindingen per account te beheren. Het cruciale verschil zit echter in wat er met die informatie gebeurt. Wordt het direct na de sessie permanent gewist, of wordt het weggeschreven naar een harde schijf? Een provider kan namelijk claimen ‘geen logs’ op te slaan, terwijl ze ‘geen activiteitenlogs’ bedoelen maar wel tijdelijke verbindingslogs. Daarom is het zo belangrijk om verder te kijken dan de marketing. De enige manier om zekerheid te krijgen, is door te vertrouwen op technologie en onafhankelijke verificatie.
Wat maakt een no-logs beleid betrouwbaar in 2026?
Een sterke claim vereist sterk bewijs. In de VPN-wereld van 2026 bestaat dit bewijs uit een combinatie van externe audits, specifieke servertechnologie, een strategische juridische basis en een onberispelijke reputatie.
Onafhankelijke audits: de gouden standaard
De belangrijkste pijler onder een geloofwaardig no-logs beleid is een onafhankelijke audit. Hierbij huurt de VPN-aanbieder een extern, gerenommeerd auditbureau in om hun systemen te controleren. Zo verifiëren ze of de no-logs claim in de praktijk klopt. Bedrijven als PricewaterhouseCoopers (PwC), Deloitte, KPMG en gespecialiseerde securityfirma’s als Cure53 voeren deze audits uit.
Een audit is niet zomaar een papieren controle. Auditors krijgen namelijk vaak volledige toegang tot de serverinfrastructuur, de broncode en interviewen medewerkers. Vervolgens analyseren ze serverconfiguraties, inspecteren de code op logging-functies en proberen actief om logs te vinden. Een succesvolle audit resulteert in een openbaar rapport dat klanten kunnen inzien. Een provider als NordVPN heeft bijvoorbeeld meerdere audits laten uitvoeren door PwC en Deloitte op hun no-logs beleid. Ook ExpressVPN en Surfshark publiceren regelmatig auditrapporten. Dit is dus het hardste bewijs dat een aanbieder kan leveren. Let wel op de datum: een audit van vijf jaar geleden heeft weinig waarde. Recente, periodieke audits tonen daarentegen een doorlopende toewijding aan transparantie.
RAM-only servers: de technologische verzekering
Een technologische innovatie die de no-logs belofte versterkt, is het gebruik van RAM-only servers. Traditionele servers gebruiken namelijk harde schijven (HDD’s of SSD’s) om data op te slaan. Als zo’n server in beslag wordt genomen, kunnen data potentieel worden teruggehaald. RAM-only servers draaien daarentegen volledig vanuit het werkgeheugen (RAM). Dit geheugen is vluchtig. Dat betekent dat alle informatie, inclusief sessiegegevens, volledig wordt gewist zodra de server opnieuw opstart. Dit gebeurt bovendien vaak periodiek en automatisch. Mocht een overheid een server in beslag nemen, dan staat er simpelweg geen data op. Grote spelers zoals NordVPN, ExpressVPN en Private Internet Access hebben hun volledige serverpark naar dit model overgezet. Dit biedt een fysieke garantie tegen het langdurig opslaan van logs.
Jurisdictie: waar het hoofdkantoor staat, telt
De wetten van het land waar een VPN-aanbieder is gevestigd, zijn van groot belang. Landen binnen de 5, 9, of 14 Eyes allianties zijn namelijk inlichtingennetwerken die data met elkaar delen. Een VPN gevestigd in bijvoorbeeld de Verenigde Staten kan wettelijk worden gedwongen om data te verzamelen. Soms moeten ze die zelfs overhandigen met een spreekverbod (gag order). Daarom kiezen privacybewuste aanbieders voor landen met sterke privacywetten en zonder verplichte dataretentiewetten. Voorbeelden zijn Panama (NordVPN), de Britse Maagdeneilanden (ExpressVPN, Surfshark) en Zwitserland (Proton VPN). Deze jurisdicties bieden een extra juridische beschermingslaag voor jouw gegevens.
Transparantierapporten en praktijktests
De ultieme test van een no-logs beleid is de praktijk. Wat gebeurt er bijvoorbeeld als een overheid data opvraagt? Verschillende VPN’s zijn door de jaren heen op de proef gesteld in de rechtbank. Een bekend voorbeeld is een zaak waarbij Turkse autoriteiten een ExpressVPN-server in beslag namen. Ze zochten informatie over een gebruiker, maar vonden niets omdat er geen logs werden bijgehouden. Ook Private Internet Access heeft meermaals in Amerikaanse rechtbanken verklaard geen logs te kunnen overhandigen. Sommige providers publiceren bovendien transparantierapporten. Daarin geven ze aan hoe vaak ze verzoeken om data hebben ontvangen en telkens niets konden aanleveren. Een ander instrument is de ‘warrant canary’. Dit is een tekst op hun website die periodiek wordt bijgewerkt. Als deze plotseling verdwijnt, kan dit een signaal zijn dat het bedrijf een geheim bevel heeft ontvangen. Dit soort praktijkbewijs is dus goud waard.
Vergelijking van het beste no-logs beleid in 2026
Om het overzichtelijk te maken, hebben we de no-logs claims en het bewijs van de meest vooraanstaande VPN-diensten van 2026 naast elkaar gezet. Zoals je ziet, is een onafhankelijke audit inmiddels de norm voor elke serieuze aanbieder.
| Aanbieder | Auditfirma (meest recent) | Auditjaar (meest recent) | RAM-only servers | Jurisdictie | Bijzonderheden |
|---|---|---|---|---|---|
| NordVPN | Deloitte | 2026 | Ja, volledig | Panama | Meerdere audits door PwC en Deloitte bevestigen de claims. |
| ExpressVPN | KPMG / Cure53 | 2026 | Ja, volledig (TrustedServer) | Britse Maagdeneilanden | In de praktijk bewezen tijdens Turks onderzoek. |
| Surfshark | Deloitte | 2026 | Ja, volledig | Nederland / Britse Maagdeneilanden | Ondanks Nederlandse entiteit, opereert onder BVI-wetgeving voor privacy. |
| Proton VPN | Securitum | 2026 | Ja, voor Secure Core-servers | Zwitserland | Extreem sterke focus op privacy en transparantie. Apps zijn open-source. |
| Private Internet Access | Deloitte | 2026 | Ja, volledig | Verenigde Staten | Meerdere malen in de rechtbank bewezen geen logs te hebben. |
| Mullvad | Cure53 / Assured AB | 2026 | Ja, volledig | Zweden | Accepteert anonieme contante betalingen en vereist geen e-mailadres. |
Deze tabel toont aan dat de top van de markt zwaar investeert in het verifiëren van hun claims. Hoewel PIA in de VS is gevestigd, wat theoretisch een nadeel is, hebben ze hun no-logs beleid zo vaak in de praktijk bewezen dat ze als zeer betrouwbaar worden beschouwd. Voor wie absolute zekerheid wil, biedt de combinatie van een gunstige jurisdictie, RAM-only servers en recente audits de meeste gemoedsrust. Dit zie je bijvoorbeeld bij NordVPN en ExpressVPN. Wil je zelf dieper VPN’s vergelijken, let dan altijd op deze drie factoren.
Hoe je zelf een no-logs beleid kunt beoordelen: een stappenplan
Wil je zelf een VPN-aanbieder doorlichten? Vertrouw dan niet blindelings op de marketing op de homepage. Met de volgende stappen kun je een veel beter geïnformeerde keuze maken.
Stap 1: duik in het privacybeleid, voorbij de marketing
Begin altijd bij het officiële privacybeleid, niet bij de slogans. Zoek naar specifieke formuleringen. Een goed beleid zegt namelijk niet alleen “we slaan geen logs op”. Het specificeert exact wat er niet wordt opgeslagen: je IP-adres, DNS-verzoeken en browsegeschiedenis. Wees bovendien alert op vage taal zoals “we slaan geen gevoelige logs op”. Wat is gevoelig? Het beleid moet ook duidelijk maken welke minimale data wel wordt verzameld. Denk bijvoorbeeld aan je e-mailadres en betaalgegevens. Het moet ook uitleggen hoe deze data gescheiden wordt gehouden van je VPN-activiteit.
Stap 2: zoek het meest recente auditrapport
Ga vervolgens naar de website van de VPN-provider. Zoek daar naar een sectie over audits, transparantie of hun blog. Een betrouwbare provider linkt namelijk direct naar de rapporten van de auditors. Controleer ook de datum: een audit moet recent zijn, idealiter van het afgelopen jaar. Je hoeft geen expert te zijn om de waarde te bepalen. Lees bijvoorbeeld de samenvatting of de conclusie van het rapport. Hierin staat meestal in duidelijke taal of de auditors bewijs hebben gevonden dat de no-logs claim tegenspreekt.
Stap 3: verifieer de technologische basis
Controleer of de provider gebruikmaakt van RAM-only servers. Dit is een sterk technisch bewijs voor hun no-logs beleid. Het wordt vaak prominent vermeld op hun technologiepagina’s. Zoek daarnaast naar informatie over hun eigen, private DNS-servers. Als een VPN je DNS-verzoeken via een derde partij stuurt, creëert dat namelijk een nieuw privacyrisico.
Stap 4: analyseer de jurisdictie en de bedrijfsstructuur
Waar is het bedrijf wettelijk gevestigd? Dit staat meestal onderaan de website of in de ‘over ons’ sectie. Zoek dit land vervolgens op in relatie tot de ’14 Eyes’ allianties. Een locatie buiten deze allianties is een sterk pluspunt. Let ook op complexe bedrijfsstructuren. Surfshark heeft bijvoorbeeld een Nederlandse entiteit voor marketing. De VPN-dienst zelf valt echter onder de wetgeving van de Britse Maagdeneilanden, wat gunstig is voor de privacy.
Stap 5: zoek naar praktijkbewijs en reputatie
Gebruik een zoekmachine en zoek naar de naam van de VPN in combinatie met termen als “court case” of “data request”. Zo kom je erachter of de provider ooit in de praktijk is getest en hoe ze hebben gereageerd. Lees bovendien onafhankelijke reviews en gebruikerservaringen op platforms als Reddit. Denk bijvoorbeeld aan r/VPN. Zo krijg je een beeld van de algehele reputatie van de dienst.
De gevaren van een zwak of onbestaand no-logs beleid
Het kiezen van een VPN met een zwak of zelfs leugenachtig no-logs beleid kan ernstige gevolgen hebben. Het geeft namelijk een vals gevoel van veiligheid, terwijl je privacy juist in gevaar wordt gebracht. Dit is vooral een risico bij veel gratis VPN diensten.
Juridische gevolgen voor gebruikers
Als een VPN-aanbieder logs bijhoudt, kunnen deze gegevens worden opgevraagd door overheidsinstanties. Dit kan gebeuren in het kader van een strafrechtelijk onderzoek. In het verleden zijn er gevallen geweest waarbij gebruikers van een VPN toch werden geïdentificeerd. Dit gebeurde ondanks een ‘no-logs’ claim, omdat de provider stiekem verbindingslogs bijhield en overhandigde. Een bewezen no-logs beleid is je enige verdediging tegen dit scenario.
Het PureVPN-incident: een waarschuwend verhaal
Een van de bekendste voorbeelden van een misleidende no-logs claim is de zaak rondom PureVPN in 2017. De dienst adverteerde namelijk met een strikt no-logs beleid. Echter, toen de FBI een onderzoek deed naar een cyberstalking-zaak, kon PureVPN hen voorzien van verbindingslogs. Deze logs bevatten het echte IP-adres van de gebruiker en de timestamps van zijn sessies. Hoewel het geen activiteitenlogs waren, was deze informatie voldoende om de verdachte te identificeren. Dit incident toont dus pijnlijk aan dat een marketingclaim zonder verificatie waardeloos is.
Dataverkoop en profilering
Vooral gratis VPN’s hebben een verdienmodel nodig. Als je niet betaalt met geld, betaal je namelijk vaak met je data. Sommige aanbieders verzamelen anonieme surfgegevens en verkopen deze aan datahandelaren. Je data wordt dan gebruikt om gedetailleerde profielen op te bouwen voor gerichte advertenties. Dit ondermijnt dus precies wat een VPN zou moeten doen: je data verbergen voor grote techbedrijven, niet eraan verkopen.
Gevaren bij datalekken
Elk bedrijf kan het slachtoffer worden van een hack. Als een VPN-provider die logs opslaat wordt gehackt, liggen de gegevens van miljoenen gebruikers op straat. Dit kan leiden tot chantage, identiteitsdiefstal en reputatieschade. Dit risico is bovendien extra groot wanneer je verbinding maakt met onbeveiligde netwerken, zoals beschreven in ons artikel over de risico’s van publieke wifi. Een provider die geen logs bewaart, kan ook geen logs lekken. Zo simpel is het.
Meer dan alleen logs: aanvullende privacyfuncties
Een strikt no-logs beleid is de basis, maar voor een waterdichte beveiliging zijn aanvullende functies onmisbaar. Deze features werken samen met het no-logs beleid om je online veiligheid en privacy te maximaliseren.
- Kill Switch: Een van de meest essentiële functies. Een kill switch blokkeert al je internetverkeer onmiddellijk als de VPN-verbinding onverwacht wegvalt. Dit voorkomt dat je echte IP-adres en onversleutelde data per ongeluk via je normale internetverbinding lekken.
- DNS-lekbescherming: Zonder deze bescherming kan je apparaat nog steeds de standaard DNS-servers van je internetprovider gebruiken. Dit lekt informatie over welke websites je bezoekt. Goede VPN’s hebben daarom ingebouwde DNS-lekbescherming en gebruiken hun eigen DNS-servers.
- Obfuscated Servers: In sommige landen of op bepaalde netwerken wordt VPN-verkeer actief geblokkeerd. Obfuscated servers vermommen je VPN-verkeer als normaal HTTPS-verkeer, waardoor het veel moeilijker te detecteren en te blokkeren is.
- Multi-Hop (Double VPN): Deze functie leidt je verkeer via twee verschillende VPN-servers in plaats van één. Dit voegt een extra laag versleuteling toe en maakt het nog moeilijker om je oorspronkelijke IP-adres te achterhalen.
- Split Tunneling: Hiermee kun je kiezen welke apps of websites via de VPN lopen en welke via je normale internetverbinding. Dit is handig als je bijvoorbeeld je bank-app wilt gebruiken terwijl de rest van je verkeer beveiligd is.
Kan een VPN 100% anoniem zijn?
Nee, 100% anonimiteit is online een illusie. Echter, een VPN met een streng, geaudit no-logs beleid, gevestigd in een privacyvriendelijke jurisdictie en gecombineerd met anonieme betaalmethoden (zoals crypto of contant geld bij Mullvad) komt het dichtst in de buurt van volledige online privacy.
Wat is het verschil tussen een no-logs en een zero-logs beleid?
In de praktijk zijn dit marketingtermen die door elkaar worden gebruikt. Er is geen officiële definitie die de twee onderscheidt. Het is belangrijker om te kijken naar de details in het privacybeleid en het bewijs in de vorm van audits, in plaats van af te gaan op de gebruikte terminologie.
Heeft een gratis VPN een betrouwbaar no-logs beleid?
Zelden. Het runnen van een VPN-netwerk is duur. Gratis aanbieders moeten op een andere manier geld verdienen, vaak door het verzamelen en verkopen van gebruikersdata of het tonen van advertenties. Er zijn uitzonderingen, zoals de gratis versie van Proton VPN, maar de meeste gratis diensten zijn een risico voor je privacy.
Wat als een overheid een no-logs VPN dwingt om te gaan loggen?
Dit hangt af van de jurisdictie. In een land als Panama of de Britse Maagdeneilanden heeft een buitenlandse overheid geen macht en bestaan er geen wetten die een VPN kunnen dwingen om te loggen. Mocht een provider toch een geheim bevel krijgen in een ongunstige jurisdictie, dan zorgt de RAM-only serverinfrastructuur ervoor dat er geen data is om te overhandigen en dat eventuele toekomstige logging na een herstart van de server weer verdwenen is. De combinatie van jurisdictie en technologie vormt de beste verdediging.
Zijn open-source apps een garantie voor een no-logs beleid?
Nee, niet direct. Open-source apps zijn een groot pluspunt voor transparantie, omdat iedereen de code van de client-app kan controleren op kwetsbaarheden. Dit zegt echter niets over wat er op de servers van de VPN-aanbieder gebeurt. Het no-logs beleid heeft betrekking op de server-side. Daarom blijft een onafhankelijke audit van de serverinfrastructuur essentieel, zelfs als de apps open-source zijn. Proton VPN en Mullvad combineren beide, wat een uitstekende praktijk is.