Finse politie moet logbestanden vernietigen van VPN provider
Rechters van het Finse hof van beroep hebben bepaald dat de Finse politie alle logbestanden moet vernietigen die het in beslag heeft genomen bij de VPN dienst Freedome. Die bestanden waren volgens de politie nodig om een crimineel te pakken te krijgen waar de Duitse politie naar zocht in verband met een moordonderzoek. In zijn enthousiasme om de Duitse justitie te helpen ging de Finse politie volgens de rechter echter ver over de schreef. De logbestanden die bij een inval werden buitgemaakt moeten daarom direct worden vernietigd en mogen niet als bewijsmateriaal fungeren.
Inbeslagname VPN logbestanden was illegaal
Volgens F-Secure, het bedrijf dat de VPN-dienst Freedome beheert, was de inbeslagname illegaal. De logbestanden zouden gevoelige gegevens bevatten en zouden daarom alleen op basis van een bijzondere Finse wet in beslag mogen worden genomen. Die wet was niet van toepassing volgens F-Secure en dus had de politie geen recht op de gegevens. Daarin krijgt het bedrijf nu wederom gelijk van de rechter. Die oordeelde dat alleen de persoonlijke communicatie van de individuele verdachte onderschept had mogen worden. Er is geen andere beroepsmogelijkheid voor justitie en dus moeten de gegevens direct vernietigd worden.
Logbestanden vaak niet eens bijgehouden
Vrijwel alle serieuze VPN-diensten die je als consument kunt gebruiken geven aan dat ze geen (of zo weinig mogelijk) gegevens vastleggen over jouw gebruik van hun VPN's. Dat is natuurlijk zodat je activiteiten en persoonlijke gegevens niet alsnog in verkeerde handen kunnen vallen wanneer de VPN zelf wordt gekraakt, of wanneer de gegevens alsnog door justitie worden opgeëist. Dat is informatie die opsporingsinstanties in veel landen graag in handen krijgen in de jacht op malafide gebruikers van een VPN dienst. Veel VPN providers zijn daarom ook fysiek gevestigd in landen waar in de wet geen logbeleid voor servers is vastgelegd. Desondanks worden er soms toch eenvoudige logbestanden bijgehouden, bijvoorbeeld zodat de VPN-dienst kan zien hoeveel je van de dienst gebruik maakt of op hoeveel apparaten jij als gebruiker de dienst gebruikt.
Welke gegevens werden dan wel bijgehouden?
De logbestanden die in beslag werden genomen bevatten onder meer de volgende informatie: het IP-adres van de gebruiker van de VPN-dienst, een unieke sessie ID waarmee gebruikers te traceren zouden zijn, de tijd waarop de verbinding tot stand kwam en weer werd verbroken en de totale hoeveelheid gegevens die werden verstuurd. Naar alle waarschijnlijkheid ging dit dus om informatie die Freedome kon gebruiken om te zien hoe zijn dienst werd gebruikt en of gebruikers niet over hun toegewezen limieten gingen. Er stond volgens ingewijden in elk geval geen informatie in de logbestanden waaraan af te lezen was wat de gebruikers precies hadden gedaan via de VPN.