De gevaren van gratis VPN: waarom je beter betaalt (2026)

In de tech-industrie geldt een vuistregel: als je niet voor het product betaalt, bén jij het product. VPN-diensten zijn hierop geen uitzondering. Een servernetwerk in tientallen landen runnen, bandbreedte inkopen en een app onderhouden kost al snel honderdduizenden euro's per jaar. Gratis VPN-aanbieders dekken die kosten op alternatieve manieren.

De meestgebruikte verdienmodellen zijn: gebruikersdata verkopen aan adverteerders, bandbreedte doorverkopen aan andere bedrijven, of de gratis versie gebruiken als lokkertje voor een betaald abonnement. Alleen de laatste categorie is in principe onschuldig. De eerste twee leveren concrete privacyrisico's op, juist het risico dat een VPN zou moeten voorkomen.

Onderzoek van de CSIRO (Commonwealth Scientific and Industrial Research Organisation) analyseerde 283 Android VPN-apps en concludeerde dat 38% malware of adware bevatte, 84% het verkeer niet goed versleutelde en 75% trackingbibliotheken van derden gebruikte. Dat zijn geen obscure apps: het gaat om diensten met miljoenen downloads.

Het meest voorkomende verdienmodel van gratis VPN-diensten is dataverzameling en -verkoop. Je VPN-aanbieder ziet al je internetverkeer, dat is inherent aan hoe een VPN werkt. Een oneerlijke aanbieder logt dat verkeer en verkoopt het door aan data-makelaars, advertentienetwerken of zelfs overheden.

Hola VPN, met meer dan 250 miljoen gebruikers ooit een van de populairste gratis VPN's, bleek in 2015 de bandbreedte van zijn gebruikers te verkopen als een botnet. Wie Hola installeerde, werd onbewust een exit-node: anderen konden via jouw internetverbinding en IP-adres verkeer sturen. Een aanvaller gebruikte dit netwerk voor gerichte DDoS-aanvallen. Jij was niet de klant, jij was de server.

SuperVPN (meer dan 100 miljoen downloads in de Play Store) werd in 2020 door VPNpro onderzocht en bleek gevoelige gebruikersdata te lekken en verbinding te maken met Chinese servers. In 2022 dook een database op met persoonlijke gegevens van 360 miljoen gebruikers, e-mailadressen, originele IP-adressen en locatiedata. Een VPN hoort die gegevens juist te beschermen.

Een VPN-app heeft verregaande rechten op je apparaat: het verwerkt al je internetverkeer, kan DNS-verzoeken onderscheppen en heeft vaak toestemming om op de achtergrond te draaien. Dat maakt het een ideaal voertuig voor malware.

In 2023 ontdekte Kaspersky Lab dat SpeedVPN, Unlimited Free VPN en Fast VPN (samen meer dan 15 miljoen downloads) adware bevatten die automatisch op advertenties klikte en betaalde abonnementen activeerde zonder toestemming van de gebruiker. De apps waren beschikbaar in de officiële Google Play Store en hadden hoge beoordelingen, deels door neppe reviews.

Hoe herken je een verdachte VPN-app? Let op: enorme beloftes ("snelst ter wereld", "100% anoniem"), geen vermeldbare bedrijfsnaam of contactadres, geen transparantierapport of onafhankelijke audit, rechten die niets met VPN te maken hebben (toegang tot je contacten, camera of sms). Een VPN heeft geen van die extra rechten nodig.

Vrijwel alle gratis VPN-diensten beperkten je bandbreedte: 500 MB, 2 GB of 10 GB per maand. Dat is voldoende om te checken of een dienst werkt, maar niet voor dagelijks gebruik. Een Netflix-aflevering in HD verbruikt al 1,5–3 GB.

Nog problematischer zijn gratis VPN's die geen harde limiet hanteren, maar hun gratis gebruikers op opzettelijk trage servers plaatsen. De servers zijn overbelast door te veel gebruikers of worden technisch gebottleneckt om je richting het betaalde plan te sturen. Dat leidt tot VPN-verbindingen die trager zijn dan je onbeveiligde verbinding, wat sommige gebruikers ertoe aanzet de VPN uit te zetten als het er echt op aankomt.

Een VPN die je uitschakelt omdat hij te traag is, beschermt je niet. Paradoxaal genoeg kun je door een slechte gratis VPN dus uiteindelijk slechter af zijn dan zonder VPN, omdat je een vals gevoel van veiligheid had.

Een VPN werkt alleen als al je internetverkeer door de versleutelde tunnel gaat, inclusief DNS-verzoeken. DNS-verzoeken zijn de "telefoonboek-zoekopdrachten" waarbij je apparaat een domeinnaam (vpnr.nl) omzet naar een IP-adres. Als die verzoeken buiten de VPN-tunnel gaan, ziet je internetprovider precies welke websites je bezoekt, ook al denk je dat je beschermd bent.

Onderzoek van vpnMentor en Comparitech toonde aan dat meer dan een kwart van de geteste gratis VPN-apps DNS-lekken vertoonde. Bij sommige apps lekte ook het echte IP-adres via WebRTC, een protocol dat browsers gebruiken voor peer-to-peer communicatie, zoals videobellen. Dat IP-lek was zichtbaar voor elke website die je bezocht, ondanks de actieve VPN.

Je kunt dit zelf testen: activeer je VPN en ga naar ipleak.net of dnsleaktest.com. Als je eigen ISP-IP-adres of je eigen DNS-servers zichtbaar zijn, lekt je VPN. Alle geteste betaalde VPN's in onze top, NordVPN, Surfshark, ProtonVPN, slaagden voor deze test. De gratis alternatieven lang niet altijd.

Een serieuze VPN gebruikt AES-256-encryptie, de standaard die ook door overheden en militairen wordt gebruikt voor geclassificeerde communicatie. Het kraken van AES-256 is met huidige technologie rekenkundig onmogelijk.

Veel gratis VPN's adverteren met "militaire encryptie" of "bankbeveiliging", maar implementeren het anders. In het CSIRO-onderzoek bleken 18% van de onderzochte gratis VPN-apps geen encryptie te gebruiken. Volledig nul. Het verkeer werd onversleuteld doorgestuurd terwijl de app claimde je te beschermen.

Andere apps gebruikten verouderde protocollen zoals PPTP (Point-to-Point Tunneling Protocol), dat al in 2012 door Microsoft als onveilig werd bestempeld en door beveiligingsonderzoekers in minuten kan worden gekraakt. Versleuteling die kraakbaar is, biedt geen bescherming, maar geeft wel een vals gevoel van veiligheid.

Veel populaire gratis VPN-apps zijn in handen van Chinese bedrijven of bedrijven geregistreerd in belastingparadijzen zonder transparantie over de uiteindelijke eigenaren. Dat is relevant omdat een VPN-aanbieder in theorie verplicht kan worden door overheden om gebruikersdata te overhandigen.

In 2019 ontdekte onderzoeker Zach Edwards dat zeven populaire gratis VPN-apps, waaronder Turbo VPN, VPN Proxy Master en Thunder VPN, allemaal eigendom waren van hetzelfde Chinese bedrijf, Innovative Connecting. Geen van de apps vermeldde die Chinese eigenaar in de App Store-beschrijving. Samen hadden ze meer dan 90 miljoen downloads.

Een VPN-aanbieder in China valt onder de Chinese cyberveiligheidswetgeving, die aanbieders verplicht gebruikersdata te bewaren en op verzoek te overhandigen aan de autoriteiten. Een VPN die claimt "geen logs bij te houden" maar gevestigd is in een land met verplichte dataretentie, is een tegenstrijdigheid in zichzelf.

Na al het bovenstaande is de vraag gerechtvaardigd: bestaat er dan helemaal geen betrouwbare gratis VPN? Het antwoord is: één. ProtonVPN biedt een gratis versie die fundamenteel anders is dan de rest.

ProtonVPN Gratis heeft geen datalimiet, een strikt no-logs-beleid dat onafhankelijk is geauditeerd door Securitum, open-source apps (de code is publiek beschikbaar en door iedereen te controleren) en is gevestigd in Zwitserland, een van de sterkste privacyrechtsstelsels ter wereld. Proton AG heeft ook ProtonMail, de versleutelde e-maildienst die door journalisten en activisten wereldwijd wordt gebruikt.

De beperkingen van de gratis versie zijn eerlijk en transparant: je hebt toegang tot servers in slechts drie landen (Nederland, de VS en Japan), je verbindingssnelheid is lager dan bij betaalde gebruikers en er zijn geen streaming-geoptimaliseerde servers. Maar er worden geen advertenties getoond, geen data verkocht en geen bandbreedte doorverkocht. Proton verdient geld via betaalde abonnementen, gratis gebruikers zijn hun reclamemateriaal, niet hun product.

ProtonVPN Gratis volstaat voor incidenteel gebruik: veilig browsen op openbaar wifi, je IP verbergen of een enkel bezoek aan een geblokkeerde website. Maar voor dagelijks gebruik, streaming, torrenten of het werken met gevoelige bedrijfsdata is een betaald abonnement verstandiger.

Surfshark kost al €1,99 per maand bij een tweejarig abonnement, minder dan een kop koffie per maand. Je krijgt daarvoor 3.200+ servers in 100 landen, onbeperkt apparaten, een onafhankelijk geauditeerd no-logs-beleid en betrouwbare Netflix-deblokkering. NordVPN biedt dezelfde garanties met een groter netwerk en hogere snelheden voor €3,39 per maand.

Voor wie privacy echt serieus neemt, journalisten, activisten, zakenreizigers, is ProtonVPN Plus de logische keuze: open-source, Zwitsers recht, Secure Core-servers en het Stealth-protocol voor landen met VPN-censuur. Dat kost €5,99 per maand, maar levert de meest transparante en verifieerbare privacygaranties op de markt.