Kan de FBI door VPN's heen kijken?

Wanneer mensen vragen of de FBI 'door een VPN heen' kan kijken, bedoelen ze meestal: kunnen ze de versleuteling kraken en het verkeer lezen? Het antwoord is nee — moderne VPN-protocollen (WireGuard, OpenVPN met actuele ciphers) zijn niet te kraken door welke overheidsdienst dan ook waar wij van weten.

Maar zo werken onderzoeken niet. De FBI hoeft het verkeer niet te ontcijferen. Ze sturen dagvaardingen naar de VPN-aanbieder voor de gegevens die de aanbieder al bijhoudt, en dagvaarden de internetprovider om aan te tonen dat je verbinding hebt gemaakt met het VPN-server-IP. Encryptie stopt onderschepping van inhoud; juridische dwang stopt het niet.

De privacy van een VPN wordt aan de bovenkant begrensd door de plek waar de bedrijfsstructuur is geregistreerd. In de VS gevestigde aanbieders opereren onder regimes die kunnen verplichten tot disclosure. Five Eyes-landen (VS, VK, Canada, Australië, Nieuw-Zeeland) werken samen op inlichtingenverzoeken. 14 Eyes (bredere alliantie inclusief Duitsland, Frankrijk, Nederland) is iets beter. Buiten beide — Zwitserland, Panama, BVI, Roemenië, IJsland — is het sterkst.

Toen de Zweedse politie in 2023 het kantoor van Mullvad binnenviel met een huiszoekingsbevel, hadden ze niets om over te dragen. Dat is geen theorie; dat is bewijs dat een no-logs-architectuur in een privacyvriendelijk rechtsgebied standhoudt onder druk.

Je internetprovider kan zien dat je een actieve verbinding hebt met het IP van een VPN-server. Je betaalspoor (creditcard, PayPal) koppelt jou aan het VPN-account. Elk account waar je over de VPN op inlogt — Gmail, Facebook, je bank — weet wie je bent. Browser fingerprinting werkt ongeacht het IP.

Als het dreigingsmodel is 'de FBI onderzoekt mij specifiek', dan is een consumenten-VPN één laag van vele — Tor, gescheiden identiteiten, contante betalingen en operationele discipline tellen zwaarder.