De Nederlandse wetshandhaving heeft onlangs beslag gelegd op een VPN-server van Windscribe, wat aanleiding gaf tot een snelle reactie van het bedrijf. Hoewel de omstandigheden onduidelijk blijven – de autoriteiten hebben geen bevel uitgevaardigd of een specifieke reden voor de inbeslagname opgegeven – blijft Windscribe volhouden dat de privacy van gebruikers onaangetast blijft. Het incident benadrukt de inherente spanning tussen VPN-aanbieders, wetshandhavers en het zich ontwikkelende landschap van digitale privacy.
Infrastructuur met alleen RAM: een ingebouwde verdediging
Windscribe werkt op een serverinfrastructuur met alleen RAM. Dit betekent dat alle gegevens die op de server zijn opgeslagen vluchtig zijn en automatisch worden gewist wanneer de stroom wordt uitgeschakeld of de server opnieuw wordt opgestart. In dit geval hebben de Nederlandse autoriteiten de server offline gehaald, waardoor er feitelijk geen gebruikersgegevens konden worden hersteld. Zoals CEO Yegor Sak uitlegde: “Het enige dat de autoriteiten zullen vinden is een standaard Ubuntu-installatie.”
Deze aanpak is een doelbewuste verdediging tegen gedwongen gegevensextractie. In tegenstelling tot traditionele servers die informatie op harde schijven opslaan, laten systemen met alleen RAM geen blijvende registratie van gebruikersactiviteiten achter. Dit maakt ze bestand tegen forensische analyse, zelfs met geavanceerde geheugendumps.
Geen logbestandenbeleid: een kernprincipe
Het privacybeleid van Windscribe versterkt deze bescherming door te stellen dat het bedrijf geen logbestanden bijhoudt van gebruikersbron-IP’s, VPN-sessiegeschiedenis of browsegegevens. Zonder deze gegevens kunnen de autoriteiten niets van de server ophalen.
Het verifiëren van claims zonder logboeken is echter notoir moeilijk. Audits door derden, zoals de reguliere beoordelingen van Windscribe sinds 2021 (waaronder een gepubliceerd in de zomer van 2024 gericht op FreshScribe), bieden een zekere mate van zekerheid. Toch zijn deze audits niet waterdicht.
Tests in de echte wereld: juridische strijd en proof of concept
Het meest overtuigende bewijs van het geen-logboekbeleid van Windscribe komt voort uit juridische problemen uit de praktijk. In 2023 beschuldigden de Griekse autoriteiten Sak van “illegale toegang tot informatiesystemen” nadat een gebruiker de VPN had misbruikt om spam-e-mails uit te voeren. Windscribe verdedigde zichzelf met succes door aan te tonen dat het geen gegevens had om over te dragen.
Zoals Sak zei: “Je kunt niet overhandigen wat je niet hebt.” Dit incident onderstreept de effectiviteit van een echte no-logs-aanpak. Wetshandhavingsinstanties dienen naar verluidt elke maand meerdere verzoeken om gegevens in, die Windscribe allemaal ontkent. In dit laatste geval omzeilden de Nederlandse autoriteiten het verzoekproces volledig door rechtstreeks beslag te leggen op de server.
“De enige manier om de logs te verkrijgen is door de server zelf te gebruiken”, aldus Windscribe op X.
Dit benadrukt een groeiende trend: wetshandhavingsinstanties nemen hun toevlucht tot directe actie wanneer standaardverzoeken mislukken.
Conclusie: De inbeslagname van de server van Windscribe bewijst dat er agressieve maatregelen kunnen worden genomen om toegang tot gebruikersgegevens af te dwingen. Het feit dat de autoriteiten niets nuttigs hebben gevonden, bevestigt dat een infrastructuur met alleen RAM en een strikt beleid zonder logboeken de privacy van gebruikers in de praktijk effectief kunnen beschermen. Het incident roept vragen op over de grenzen van surveillance, de rol van VPN’s in digitale vrijheid en de moeite die overheden zullen doen om privacybescherming te omzeilen.
