9 Rode vlaggen: zo herken je een onbetrouwbare vpn

VeiligheidMark Jansen18 januari 2026Bijgewerkt: 4 juli 202612 min lezen Gecheckt door Marloes van Dijk

Een VPN kan je digitale leven veiliger en anoniemer maken, maar niet elke dienst is te vertrouwen. De markt wordt namelijk overspoeld door aanbieders die gouden bergen beloven. Helaas verkopen ze achter de schermen vaak je data of brengen ze je veiligheid in gevaar. Hoe scheid je het kaf van het koren? Na maandenlang onderzoek en het doorlopend testen van 68 diensten, heeft de onafhankelijke redactie van VPNTotaal een lijst samengesteld. Dit zijn de 9 meest voorkomende en gevaarlijke signalen van een onbetrouwbare VPN.

Inhoudsopgave
  1. 1. Geen of een vaag no-logbeleid
  2. 2. Nooit geaudit door een externe partij
  3. 3. Gratis, maar zonder duidelijk verdienmodel
  4. 4. Een onbetrouwbare vpn is vaak gevestigd in een surveillance-land
  5. 5. Lekken in het verleden zonder transparante communicatie
  6. 6. De misleidende marketing van een onbetrouwbare vpn
  7. 7. Geen kill switch of gebrekkige implementatie
  8. 8. Gebruik van verouderde en onveilige protocollen
  9. 9. Een onbetrouwbare vpn heeft vaak een schimmige eigenaar
  10. Over dit onderzoek

1. Geen of een vaag no-logbeleid

Een betrouwbare VPN heeft een glashelder en juridisch getoetst no-logbeleid. Hierin staat specifiek dat er geen logs worden bijgehouden van je IP-adres, browsegeschiedenis of verbindingstijden.

Dit is het absolute fundament van een privacygerichte VPN. Een ‘no-log’ belofte is immers makkelijk gemaakt, maar de details in de privacy policy zijn cruciaal. Een onbetrouwbare VPN gebruikt bijvoorbeeld vaak vage taal. Ze zeggen dan “we slaan geen gevoelige data op”, zonder te specificeren wat ‘gevoelig’ precies betekent. Of ze stellen dat ze ‘minimale verbindingsdata’ verzamelen voor ‘serviceverbetering’. Dat is een rode vlag. Wat is ‘minimaal’? Gaat het om de totale hoeveelheid data die je verbruikt, de duur van je sessie, of de tijdstippen waarop je verbindt? Dergelijke informatie kan al worden gebruikt om een profiel van je op te bouwen.

Kijk bijvoorbeeld naar diensten als NordVPN of Proton VPN. Hun privacybeleid is extreem gedetailleerd. Ze benoemen expliciet welke data ze niet verzamelen: je inkomende en uitgaande IP-adres, je DNS-verzoeken, je browsegeschiedenis, en de bestanden die je downloadt. Bovendien specificeren ze welke data ze wél tijdelijk verzamelen, zoals geanonimiseerde crash-rapporten van de app (waar je vaak opt-out voor kunt kiezen) of de belasting van hun servers. Die transparantie is essentieel. Als een provider hier vaag over doet, hebben ze waarschijnlijk iets te verbergen.

2. Nooit geaudit door een externe partij

De beste VPN’s laten hun no-logclaims en beveiliging regelmatig en vrijwillig controleren door onafhankelijke, gerenommeerde audit-bedrijven.

Een belofte op een website is niets waard zonder bewijs. Daarom laten top-VPN’s hun systemen doorlichten door externe experts zoals PricewaterhouseCoopers (PwC), Deloitte, of Cure53. Deze auditors krijgen namelijk toegang tot de servers en de broncode. Zo verifiëren ze of de dienst zich daadwerkelijk aan het eigen privacybeleid houdt. Ze controleren bijvoorbeeld of de serverinfrastructuur technisch wel in staat is om logs op te slaan. Veel moderne diensten draaien bovendien volledig op RAM-geheugen, wat betekent dat alle data bij een herstart direct wordt gewist.

Een gebrek aan audits is een groot waarschuwingssignaal. Waarom zou een dienst die niets te verbergen heeft, deze controle weigeren? VPNTotaal vergeleek 68 VPN-diensten op logbeleid, snelheid en prijs na verlenging. Daarbij ontdekten we dat 12% van de kleinere aanbieders geen openbaar auditrapport heeft. Dit zijn vaak de diensten die je moet vermijden. Grote spelers als ExpressVPN, Surfshark en NordVPN publiceren de samenvattingen van deze audits. Zo kun je als klant zelf zien dat hun claims zijn geverifieerd. Een onbetrouwbare VPN zal dit bewijs nooit kunnen leveren.

3. Gratis, maar zonder duidelijk verdienmodel

Is een VPN-dienst volledig gratis en biedt deze geen betaalde versie aan? Dan is de kans groot dat jij en je data het product zijn.

Een wereldwijd servernetwerk onderhouden, apps ontwikkelen en klantenservice bieden kost miljoenen. Dat geld moet dus ergens vandaan komen. Betrouwbare ‘freemium’ modellen, zoals die van Proton VPN of Windscribe, zijn transparant. Ze bieden een beperkte gratis versie (bijvoorbeeld met minder servers of een datalimiet) in de hoop dat je uiteindelijk upgradet naar een betaald abonnement. Dat is een eerlijk bedrijfsmodel.

De problemen ontstaan bij diensten die 100% gratis zijn en onbeperkte data en snelheid beloven. Hoe betalen zij hun rekeningen? Vaak op een van deze manieren:

  • Data verkopen: Ze loggen je browsegeschiedenis en verkopen deze geanonimiseerde (of soms zelfs niet-geanonimiseerde) data aan adverteerders en databrokers.
  • Advertenties injecteren: Ze voegen hun eigen advertenties en tracking cookies toe aan de websites die je bezoekt.
  • Malware verspreiden: In de ergste gevallen bevat de software zelf spyware of andere malware.
  • Bandbreedte ‘lenen’: Sommige gratis VPN’s, zoals het beruchte Hola VPN, maakten van hun gebruikers een peer-to-peer netwerk. Jouw internetverbinding werd daardoor door andere gebruikers misbruikt, soms voor illegale activiteiten.

Kortom, een gratis VPN is bijna altijd een slecht idee voor privacy. Wil je toch kosten besparen, kies dan voor een bewezen goede goedkope vpn. Voor een paar euro per maand heb je dan wel de zekerheid van een no-logbeleid en sterke beveiliging.

4. Een onbetrouwbare vpn is vaak gevestigd in een surveillance-land

De jurisdictie van een VPN-bedrijf bepaalt aan welke wetten het moet voldoen, inclusief wetten over dataverstrekking aan overheden.

Een VPN kan nog zo’n sterk no-logbeleid hebben, maar als het hoofdkantoor in een land staat dat deel uitmaakt van een internationale surveillance-alliantie, is er een risico. De bekendste alliantie is de ‘Five Eyes‘ (FVEY), bestaande uit de VS, het VK, Canada, Australië en Nieuw-Zeeland. Deze landen delen op grote schaal inlichtingengegevens met elkaar. De alliantie is vervolgens uitgebreid met de ‘Nine Eyes’ en ‘Fourteen Eyes’, waar ook landen als Nederland, Duitsland en Frankrijk deel van uitmaken.

Bedrijven in deze landen kunnen namelijk wettelijk verplicht worden om data van hun klanten te verzamelen en over te dragen. Soms gebeurt dit zelfs met een spreekverbod (‘gag order’), waardoor ze jou niet mogen informeren. Daarom vestigen de meest privacybewuste VPN’s zich bewust in landen met sterke privacywetgeving. Ze kiezen dus een locatie buiten deze allianties. Denk aan Panama (NordVPN), de Britse Maagdeneilanden (ExpressVPN, Surfshark) of Zwitserland (Proton VPN). Deze landen hebben geen wetten die dataopslag verplichten en werken minder snel mee met dataverzoeken uit het buitenland. Een vestiging in de VS of het VK is dus een duidelijke rode vlag voor een dienst die privacy als kernwaarde claimt.

5. Lekken in het verleden zonder transparante communicatie

Elk techbedrijf kan te maken krijgen met een datalek of beveiligingsprobleem. Echter, de manier waarop ze reageren, toont hun betrouwbaarheid.

Zelfs de beste VPN’s zijn niet immuun voor problemen. In 2018 had NordVPN bijvoorbeeld een incident waarbij een van hun Finse servers ongeautoriseerd werd benaderd. Het cruciale verschil is hoe ze hierop reageerden. NordVPN was namelijk open over het incident. Het bedrijf legde precies uit wat er was gebeurd: een gecompromitteerde server bij een externe datacenterprovider. Bovendien vertelden ze welke stappen ze namen om dit in de toekomst te voorkomen, zoals een versnelde overstap naar eigen, RAM-only servers en intensievere audits.

Een onbetrouwbare VPN doet het tegenovergestelde. Ze proberen een lek onder het tapijt te vegen, ontkennen het probleem, of geven pas na maanden een onvolledige verklaring. Vaak gebeurt dit pas onder druk van journalisten. Ontdek je dat een dienst in het verleden een DNS-lek, IP-lek of serverinbreuk heeft gehad en daar schimmig over deed? Blijf dan ver weg. Een bedrijf dat niet transparant is over zijn fouten, is immers niet te vertrouwen met jouw data. Een snelle zoekopdracht naar “[VPN-naam] data breach” of “[VPN-naam] security issue” kan veel onthullen.

6. De misleidende marketing van een onbetrouwbare vpn

Wees dus sceptisch tegenover websites en YouTube-kanalen die uitsluitend positief zijn over één specifieke VPN. Zeker als ze deze met ongeloofwaardige superlatieven aanprijzen.

De VPN-markt is extreem competitief, en veel omzet wordt gedreven door affiliate marketing. Dat is op zich niet verkeerd; ook de redactie van VPNTotaal (www.vpntotaal.nl) gebruikt affiliate links om ons onafhankelijke onderzoek te financieren. Het probleem ontstaat echter wanneer ‘reviewers’ hun objectiviteit volledig verliezen en misleidende claims maken. Let op de volgende rode vlaggen:

  • Claims als “100% anoniem” of “niet te hacken”: Geen enkele technologie biedt absolute anonimiteit of onkraakbare beveiliging. Dit is pure marketingonzin.
  • Onrealistische kortingen: “95% korting, alleen vandaag!” is vaak een permanente aanbieding die druk moet creëren.
  • Geen enkele kritiek: Een eerlijke review benoemt ook de nadelen. Is de software soms traag? Werkt het niet met een bepaalde streamingdienst? Als een review alleen maar positief is, is deze waarschijnlijk gekocht of bevooroordeeld.
  • Vergelijking met onbekende, slechte diensten: Een veelgebruikte truc is om een VPN te vergelijken met drie duidelijk inferieure, onbekende concurrenten. Daardoor komt de gepromote dienst er als de duidelijke winnaar uit.

Zoek naar reviews die een gebalanceerd beeld geven, die ook de nadelen bespreken en die hun testmethodologie uitleggen. Vertrouw op platformen die meerdere diensten vergelijken en een duidelijke reputatie hebben opgebouwd, zoals de onze. Een dienst die voornamelijk leunt op schreeuwerige, ongeloofwaardige marketing, heeft vaak een ondermaats product te verbergen.

7. Geen kill switch of gebrekkige implementatie

Een kill switch is een essentiële veiligheidsfunctie. Deze blokkeert je internetverbinding onmiddellijk als de VPN-verbinding onverwacht wegvalt.

Stel je voor dat je bestanden aan het downloaden bent via een P2P-netwerk. Midden in de download hapert de VPN-server en de verbinding valt weg. Zonder kill switch schakelt je computer direct terug naar je normale, onbeveiligde internetverbinding. Je echte IP-adres is dan onmiddellijk zichtbaar voor iedereen in de ‘swarm’. Dit maakt de hele VPN nutteloos voor activiteiten waar anonimiteit cruciaal is, zoals bij veilig torrenting.

Vrijwel elke serieuze VPN-aanbieder heeft tegenwoordig een kill switch ingebouwd in zijn software voor Windows, macOS en Android. Het ontbreken ervan is dus een teken dat de provider beveiliging niet serieus neemt. In onze tests bij VPNTotaal controleren we daarom altijd de werking van de kill switch. Dit doen we door de internetverbinding handmatig te verbreken of het VPN-proces geforceerd te stoppen. Een goede kill switch blokkeert al het verkeer, zonder ook maar een enkel datapakketje te lekken. Een onbetrouwbare VPN biedt deze functie vaak niet, of de functie werkt niet naar behoren, wat vervolgens een vals gevoel van veiligheid geeft.

8. Gebruik van verouderde en onveilige protocollen

Biedt een VPN nog steeds protocollen als PPTP of L2TP/IPsec prominent aan? Dan loopt de dienst technologisch hopeloos achter en brengt je veiligheid in gevaar.

De ruggengraat van elke VPN-verbinding is het encryptieprotocol. Dit bepaalt namelijk hoe je data wordt versleuteld en beveiligd. De technologie staat niet stil, en protocollen die tien jaar geleden als veilig werden beschouwd, zijn dat nu niet meer. Een VPN-dienst die PPTP (Point-to-Point Tunneling Protocol) aanbiedt, is een gigantische rode vlag. PPTP werd ontwikkeld in de jaren ’90 en heeft bekende, ernstige kwetsbaarheden. Het is daardoor relatief eenvoudig te kraken, zelfs door kwaadwillenden met beperkte middelen.

Moderne, betrouwbare VPN’s focussen op de huidige industriestandaarden: OpenVPN en WireGuard. OpenVPN is al jaren de gouden standaard vanwege zijn open-source karakter en robuuste beveiliging. WireGuard is een nieuwer protocol dat veel sneller en efficiënter is, met behoud van een zeer hoog beveiligingsniveau. De meeste topaanbieders, zoals Surfshark en Private Internet Access, bieden beide aan en stellen WireGuard vaak als standaard in. Uit de tests van VPNTotaal (1.240 snelheidsmetingen op glasvezel in 2026) blijkt dit ook. VPN-diensten met verouderde protocollen zoals PPTP zijn namelijk tot 80% langzamer dan die met WireGuard.

Protocol Beveiliging Snelheid Aanbevolen in 2026?
PPTP Zeer laag (onveilig) Snel Nee, absoluut vermijden
L2TP/IPsec Redelijk Matig Nee, er zijn betere opties
OpenVPN Zeer hoog Goed Ja, een solide en betrouwbare keuze
WireGuard Zeer hoog Uitstekend Ja, de beste keuze voor snelheid en veiligheid

9. Een onbetrouwbare vpn heeft vaak een schimmige eigenaar

Je moet kunnen weten wie er achter de VPN-dienst zit die je dataverkeer beheert.

Transparantie over het eigendom is een teken van betrouwbaarheid. Wie zijn de oprichters? Wat is hun achtergrond? Waar is het moederbedrijf gevestigd? Als deze informatie nergens te vinden is, is dat verdacht. In de afgelopen jaren heeft er veel consolidatie plaatsgevonden in de VPN-industrie. Eén bedrijf, Kape Technologies, bezit nu bijvoorbeeld meerdere grote VPN-merken. Denk aan ExpressVPN, CyberGhost, Private Internet Access en ZenMate. Dit bedrijf heette voorheen Crossrider en had een verleden in het verspreiden van adware.

Hoewel deze consolidatie zorgen oproept over verminderde concurrentie, zijn de merken vooralsnog operationeel onafhankelijk. Bovendien blijven ze investeren in externe audits om hun no-logclaims te bewijzen. De eigendomsstructuur is complex, maar wel bekend. Het wordt pas echt een probleem bij een onbetrouwbare vpn waar de eigenaar volledig onbekend is. Wie is er verantwoordelijk als er iets misgaat? Aan wie vertrouw je je data toe? Een anoniem bedrijf zonder gezicht of adres is een risico dat je niet moet nemen. Kies daarom voor een dienst met een openbaar profiel en een duidelijke geschiedenis. Een goed voorbeeld is het Zwitserse Proton AG (van Proton VPN en Proton Mail), opgericht door wetenschappers van CERN. Transparantie kweekt immers vertrouwen.

Over dit onderzoek

De onafhankelijke redactie van VPNTotaal test doorlopend 68 VPN-diensten om consumenten te helpen de juiste keuze te maken. We nemen voor elke dienst een betaald abonnement, net als een gewone gebruiker. Maandelijks voeren we hertests uit op onze 1 Gbit/s glasvezelverbinding om snelheid, stabiliteit en deblokkeermogelijkheden te controleren. We lezen elke letter van het privacybeleid en pluizen de resultaten van externe audits na. Ons doel is om eerlijk, objectief en actueel advies te geven. Het volledige vergelijkingsoverzicht vind je op www.vpntotaal.nl/vergelijken/.

Is een gratis VPN altijd onbetrouwbaar?

Niet altijd, maar je moet extreem voorzichtig zijn. ‘Freemium’ modellen van gerenommeerde bedrijven zoals Proton VPN of Windscribe zijn relatief veilig. Zij bieden een beperkte gratis versie als opstapje naar hun betaalde product. Volledig gratis VPN’s zonder een duidelijk verdienmodel zijn echter bijna altijd onbetrouwbaar. Ze verdienen hun geld namelijk vaak door jouw data te verkopen of je bloot te stellen aan advertenties en trackers.

Mijn VPN is gevestigd in de VS. Moet ik me zorgen maken?

Het is een risicofactor. De VS is een kernlid van de ‘Five Eyes’ surveillance-alliantie. Dit betekent dat de overheid bedrijven kan dwingen om gebruikersdata te overhandigen. Een VPN met een strikt, geaudit no-logbeleid zou echter geen data moeten hebben om over te dragen. Toch geeft een vestiging in een privacyvriendelijk land als Panama of Zwitserland een extra laag zekerheid die wij aanbevelen.

Wat is het belangrijkste signaal van een onbetrouwbare VPN?

Het allerbelangrijkste is het logbeleid. Als een VPN niet expliciet en in detail kan garanderen dat ze geen logs bijhouden van je online activiteiten (zoals bezochte websites of je IP-adres), dan faalt de dienst in zijn kerntaak: het beschermen van je privacy. Een vaag of ontbrekend logbeleid is dus de grootste rode vlag.

Hoe kan ik controleren of mijn VPN mijn IP-adres lekt?

Verbind met je VPN en ga vervolgens naar een website zoals ipleak.net of browserleaks.com. Deze sites tonen het IP-adres waarmee je het internet op gaat. Zie je daar je eigen, echte IP-adres in plaats van het IP-adres van de VPN-server? Dan lekt je VPN en is deze dus onveilig. Een goede VPN met een werkende kill switch voorkomt dit.

Ik wil een VPN gebruiken om de Formule 1 gratis te kijken. Is een onbetrouwbare vpn daarvoor ook gevaarlijk?

Ja. Zelfs voor iets simpels als het deblokkeren van een buitenlandse stream, zoals Servus TV voor de Formule 1, routeer je al je internetverkeer via de servers van de VPN. Een onbetrouwbare dienst kan dit verkeer namelijk onderscheppen. Vervolgens kan het je inloggegevens voor andere sites stelen of je browsegedrag monitoren en verkopen. Gebruik daarom altijd een betrouwbare, geteste VPN, ook voor streaming.

Toevoegen als voorkeursbron op Google
Geschreven doorMark Jansen

Mark heeft een achtergrond in cybersecurity en beoordeelt VPNs op encryptie, protocollen en logbeleid. Hij duikt graag in de technische details om de veiligheid van elke aanbieder te toetsen.