Als je een VPN neemt dan kan vervolgens de VPN provider al je info inzien, loggen, verkopen en aan eisers overhandigen.
Of ze dat doen dat kun je niet weten, een statement op de website lijkt me een zwakke basis.
Van je internet provider weet je meestal veel meer dan van zo'n VPN provider.

O ja, en hoe weet jij dat dan?

Bizar besluit. Als we de systemen "onderweg" niet meer kunnen vertrouwen, worden we gedwongen om end-to-end encryptie te gebruiken, met name in het geval van e-mail (SMTP). Iets dat, naar verluidt, veiligheidsdiensten (en Republikeinen?) nou juist net niet willen...

Het zal er, vermoed ik, ook toe leiden dat de betreffende ISP's het gebruik van VPN's en andere versleutelde verbindingen zullen bemoeilijken of geheel blokkeren, want daarmee vervallen hun inkomsten die nou net door dit voorstel mogelijk werden gemaakt. Dit wordt dus een race.

Wat mij betreft kunnen hierdoor meteen alle voorstellen voor opportunistische encryptie de vuilnisbak in (ik was er al geen fan van), want ik verwacht dat betrokken ISP's deze gewoon zullen gaan MiTM-en. Denk hierbij onder meer aan de volgende protocollen:

1) "NCSC adviseert STARTTLS en DANE voor mailservers" [1], want dat is totaal zinloos als een ISP van e-mails, die op haar mailservers "voorbijkomen", de inhoud verkoopt aan derden. End-to-end encryptie is hier de enige goede oplossing (mooi, dan kunnen DKIM, DMARC en SPF ook meteen bij het groot vuil want zo lang niet iedereen die gebruikt wordt het niks en sowieso beschermen ze niet tegen phishing als afwijkende afzenderdomeinen worden gebruikt).

2) Een voorstel voor "Opportunistic Security: Some Protection Most of the Time" uit 2014 (RFC7435, [2])

3) Een vorige week updated voorstel voor "Opportunistic Security for HTTP/2" ([3], bronnen resp. [4] en [5]).

De vraag is ook of deze maatregel (die nog door president Trump geratificeerd moet worden, maar niemand twijfelt eraan dat dit zal gebeuren) niet in strijd is met de Privacy Shield overeenkomst tussen EU en USA. Immers, als een Europeaan een e-mail verstuurt, is er geen enkele garantie dat die niet wordt opgevangen door een Amerikaanse ISP die de inhoud daarvan verkoopt.

[1] https://www.security.nl/posting/508294/NCSC+adviseert+STARTTLS+en+DANE+voor+mailservers
[2] https://tools.ietf.org/html/rfc7435
[3] https://datatracker.ietf.org/doc/draft-ietf-httpbis-http2-encryption/
[4] https://www.heise.de/security/meldung/Neuer-IETF-Standard-Alten-Webverkehr-wenigstens-verschluesseln-3661673.html
[5] https://www.ietf.org/mail-archive/web/ietf-announce/current/msg16503.html

Dan weet jij maar erg weinig over dit onderwerp!
Mijn VPN-provider logt namelijk helemaal niets en dus kan er ook niets verkocht worden.

Ik vraag mij alleen af hoe je dit kan controleren (als dit al kan) aangezien het alleen maar een statement is. Ik gebruik zelf ook full-time een VPN dienst maar het is zo makkelijk om te zeggen dat je niks logt.

En dat denk je -omdat het op hun website staat- of heb je dat ook gecontroleerd?!? 't Zal dat eerste wel zijn, en dat is waar het vaak mis gaat: op basis van goed vertrouwen moeten we maar aannemen dat er niks gelogd wordt als ze dat zeggen. Maar echt controleren is best lastig...

Onzin, dit heeft niets met veel of weinig weten te maken.

Het gaat er om of jij vertrouwen hebt in wat jouw VPN provider zegt en doet. Je kan niet weten wat niet openbaar gemaakt wordt.

Ja, van die internetprovider weet je (als je in de VS woont) nu ZEKER dat je gegevens worden verkocht. Als je een VPN provider hebt is er nog een aannemelijke kans dat dat niet gebeurt...

For sale: Your private browsing history op ArsTechnica.com 3/28/2017
https://arstechnica.com/tech-policy/2017/03/for-sale-your-private-browsing-history/

Er breken gouden tijden aan voor ISPs en VPN providers die juist wel harde privacy garanties geven.

Het probleem is dat is de USA mensen niet echt een keuze hebben qua breedbandprovider. 2/3 heeft zelfs geen keus. AT&T gaat klanten een opt-out geven voor data collectie. Bij AT&T gaat dat $30 extra kosten per maand. $60 wanneer ook je tv kijkt. Privacy heeft een prijs gekregen.

Maar het kan simpel:
Neem VPN provider die in Zweden of Zwitserland uitkomt. Zweedse & Zwitserse privacy wetten zijn zeer streng. Nu nog een router die een 'always on' VPN kan opzetten voor een fatsoenlijke prijs.

Een paar dingen (na lezen vd bill)
-het betreft niet alleen isp's maar alle telecom providers. Dus ook Amerikaanse vpn providers (dat zijn ook telecommunicatie providers)
-ISP's mogen dit nu doen zonder opt-in, maar de klant heeft nog steeds recht op opt-out.

Niettemin een ramp vd hoogste privacy orde, wat mij betreft.
Maar ook mogelijkheden voor ISP's om heel populair te worden, als ze geen gegevens van klanten gaan verkopen!

Haaa dit is leuk... Ze mogen het verkopen aan de hoogste bieder toch? Dan ga ik als provider een veilingsite beginnen waar je op profielen van specifieke gebruikers kunt bieden. Dan kun jij bij mij het profiel van je buurman kopen.

Mooie kans voor (nieuwe) providers om nieuwe klanten te krijgen door aan te geven dat zij geen gebruik zullen maken
van deze mogelijkheid. Heeft dat succes dan zullen de andere providers die ze graag geld willen
verdienen met jouw gegevens ook snel 180 draaien.

Er worden verschillende VPN-providers door elkaar gehaald in deze discussie.

1. Gratis VPN's verkopen doorgaans je gegevens (logisch: het geld moet toch ergens vandaan komen)
2. Betaalde VPN's zonder logging hebben hun betaalmodel via de abonnementen.

VPN's bij 2. verkopen daarom niets door.

[Het gaat er om of jij vertrouwen hebt in wat jouw VPN provider zegt en doet. Je kan niet weten wat niet openbaar gemaakt wordt.]
Je kan als gebruiker daar idd niet achter komen, maar dit soort dingen komen altijd uit.
En dan heeft die betreffende VPN provider een groot probleem.
Dus we mogen er vanuit gaan dat ze doen wat er op hun website staat.

Tenzij de VPN provider is opgezet door CIA of een soortgelijke instantie. :)

Ik heb geen tijd om te zoeken, maar er zijn vast enkele praktijk verhalen die je vertrouwen kunnen (ver)sterken als het gaat om gegevens loggen. De FBI/NSA/CIA/oid zal vast hier of daar wel een poging hebben ondernomen lijkt me.

Verder staat of valt het inderdaad met vertrouwen, maar dat moet je nu ook hebben als het gaat om je provider. Ze kunnen "alles" zien, de vraag is alleen of ze het doen.

Er is een ludieke tussen oplossing:
Iedereen een VPN server laten starten, dan er helemaal geen touw meer aan vast te knopen.
Daarnaast met email meer PGP gebruiken en ze komen een heel eind.

Wat ben ik blij, dat ik niet in dat rare land woon, waar iedereen een vuurwapen mag hebben en waar de overgrote meerderheid buitenlandse roots heeft......

Dat klopt en dat bestaat dan ook min of meer....het heet tor.

Maar... Het wetsvoorstel heeft het over telecom providers
Dat zijn naast isp's en vpn providers ook cloud providers, toch?

@Ron625,

Maar via internationale verdragen komt heel veel van dat Amerikaanse circus ook hier. Ik zou het slecht vinden als mijn provider of CDN (Akamai, Cloud&Co) mijn zoekresultaten doorverkoopt aan mijn zorgverzekeraar bijvoorbeeld. Dan kan direct mijn premie worden aangepast, waarschijnlijk niet neerwaarts. Hij weet immers hoeveel cola ik nuttig en als ik jong was hoeveel monsterlijke energie-drank ik achterover sloeg.

Wie zien dus dat de bescherming van de burger tegen deze en andere uitwassen van de globale commercie steeds meer op de helling komt te staan. Tot er letterlijk niets van over blijft en de almacht van de Globale Grote Commercie heerst.

Net al in de tijd van de neergang van het antieke Rome, verzuchten wij thans "Quis custodiet ipsos custodes?" (Wie zal de bewakers [zelf] bewaken?). Als dan de certicaatsleutels van Google ook nog gedeeld worden met de bekende drieletter diensten en de CDN de script sri hashes niet ondersteunt, wat is er dan nog van onze privacy over? Lieve mensen, alles onderweg graait in onze pakketjes. Digitale grootgraaiers, wanneer komt uw val?

Er komt dus een moment, waar je niet (meer) in volle vrijheid dingen op het Internet kan delen. Een tijd waarbij politieke correctheid en andere interessen bepaalde informatie wegdrukt of zelfs verbiedt en de commercie gaat bepalen wat de internationale politiek moet besluiten.

Dat is de tijd van het Matrix Beest van het Grote Babylon. We piepen als muizen en proberen de vallen nog een beetje te ontlopen, maar verder gebeurt er niet heel veel.

Mijn boodschap is aan dovemans oren gericht en ik voel me als een roepende in de woestijn. Echter valt me niet te verwijten dat ik er niet voor heb gewaarschuwd.

Er is maar een oplossing voor dit soort praktijken, massaal je internetverbinding op zeggen.

Dan mag je VPN ook je gegevens door verkopen. Dat begrijp ik er uit. "Commerce rules all with one big ruler".

luntrus

In grote lijnen zijn we het eens, privacy is een hoog goed, maar op internet zeldzaam aan het worden.
We moeten dan ook opletten wat we schrijven en wat we bezoeken en vooral hoe we het doen.
We moeten niet al onze gegevens op een presenteer-blaadje aanbieden!
Zo gebruik ik voor ieder doel een ander email adres, via meer dan 4 providers.
Sommige websites bezoek ik via een VPN naar een bedrijf en een aantal direct.
Maar het kost helaas meer tijd en vereist enige kennis.............

Ik ben nieuwsgierig... Liberty Global is een bedrijf uit de VS. UPC en Ziggo zijn onderdeel van dat bedrijf geworden, toch? Als Liberty Global doelgroep van de aangenomen wet is, dan ben ik benieuwd of Nederlandse klanten worden geraakt, wat de Amerikanen betreft. EU wetgeving versus Amerikaanse praktijk
Als dit klopt, dan komt het tijdperk van obfuscation wel heel dichtbij https://en.wikipedia.org/wiki/Obfuscation

Voor 5 euro per maand heb je een virtual private server. Zet er je eigen VPN software op en word je eigen VPN provider. Voor die 5 piek krijg je 1000 GB per maand aan bandbreedte - daar zou je een heel eind mee moeten komen.

https://www.hostnet.nl/hosting/vps-virtual-private-servers

Correctie: voor 3,62 per maand, 100 Mbps onbeperkte bandbreedte - geen geld voor behoud van je privacy!
https://www.ovh.nl/vps/vps-ssd.xml

Het is te hopen dat er in de USA nu een aanbieder ala XS4ALL opstaat, die privacy duidelijk op 1 zet.

Misschien tijd om onze politiek alvast even warm te gaan maken dat ze dit slechte voorbeeld niet volgen? (tip: mail de partij waar je op stemt even en vraag de verantwoordelijke op dit onderwerp even stelling te nemen).

In de USA zijn er niet veel ISP's. Het is daar nog meer een monopolistenparadijs dan hier. Heb je hier nog wel de keuze tussen 1 kabelprovider en (soms) meer dan 1 DSL provider, daar is de keuze vaak beperkt tot 1 leverancier per stad of staat.

Peter

En dan er maar vanuit gaan dat Hostnet (of welke VPS dienstverlener dan ook) geen logging doet op de perimeter, zodat bepaald verkeer naar het VPSje is te herleiden dat op jouw naam staat...

Ja en dat weet je toch allemaal niet?
Je kunt een VPN provider in een "betrouwbaar" land kiezen maar dan ligt ie onder toezicht van de lokale instanties.
Je kunt er een nemen in een bananenrepubliek waar niks geregeld is, maar wat maakt die provider dan te vertrouwen?
Je ziet een website met mooie plaatjes en allerlei statements, maar hoe weet je nou wie het bedrijf runnen?
Criminelen, de CIA, nieuwsgierige mensen?

Als ik hier in Nederland een abonnement bij XS4ALL neem dan heb ik nog ENIG inzicht in met wie ik zaken doe.
Met zo'n VPN provider op een of ander postbuseiland weet je daar echt helemaal niks van.

Maar daar schiet je toch niks mee op? Wat logging betreft ben je dan in plaats van je ISP afhankelijk van je hosting
provider. En wat herleidbaarheid van het adres betreft verandert er al helemaal niks.
(de sites waarmee je communiceert zien nu je VPS adres in plaats van je huisaansluiting adres maar dat maakt niets uit)

Privacy shield kan dan meteen in de prullenbak.
Nu die actie bij de eu nog tot bewustzijn krijgen en het buiten werking zetten activeren.

Hoe zit het met de vpn dienst nu in Amerika gevestigd private internet acces?.
Ik denk dat zij hun vaandel hoog willen houden niks te loggen,en door te verkopen van hun klanten.
Bij hun staat privacy ook hoog in het vaandel,dat zal ook zo blijven hoop ik,zodat ze geen klanten verliezen.

In heel Nederland kan je kiezen tussen KPN of Ziggo, meer keuze is er gewoon niet meer.
KPN zit met z'n reet in alle glasvezel en DSL en Zuiggo in de kabel.

Precies, en pofilen (fingerprinten) gebeurt op veel meer parameters dan alleen je IP adres.

De VPN is een (kleine) horde om je IP adres (en daarmee ook je locatie) te verbergen, alleen overheidsdiensten met een bevel zouden in staat moeten zijn om je NAW gegevens op te vragen bij je provider en dat kunnen ze ook wel bij de gemiddelde VPN/VPS provider.

Hoe is de situatie dan in de praktijk. Stel jouw data worden in Europa door een Amerikaans bedijf verder getransporteerd.
Je gaat wel via een Nederlandse provider online, maar achter het Amsterdamse knooppunt (met Brexit nu gerealiseerd)
gaan je data wellicht via een route waar de nieuwe Amerikaanse datahandel regels gaan gelden, CloudFlare, Akamai, the backbone, etc.

Wat gaat dit in de praktijk voor ons allemaal betekenen en hoe werkt Privacy Shield dan als men vrolijk door gaat met data verkoop en Trump zijn fiat heeft gegeven? Gaat de EU deze gang van zaken keren of belemmeren of kiezen ze gauw eieren voor hun digitale geld?

Als je al aan Google via je algemene account al toestemming hebt gegeven voor het verhandelen van al je data, wat verandert er nu dan in de praktijk? Leuk om daar eens iemand over te horen. Ik heb dat nu nog niet eerder uitgelegd gekregen.
Naar mijn mening gebeurde het al inexpliciet, zonder dat men het openlijk vertelde, Maar nu is de beer dus los.

Ik zie de volgende stap al opdoemen. VPN verkeer wordt binnenkort verboden en geblokkeerd. Wedden?

En weer een grote politieke ruzie tussen de EU enerzijds en de UK en USA anderzijds.Waar de EU privacy een grondrecht vindt is het in de UK en USA wisselgeld voor openbare veiligheid en welvaart.

Een hosting provider is heel iets anders dan een internet provider. Die laatste regelt via de "last mile" jouw internetverbinding via ADLS of kabel. De eerste levert internet diensten - hosting, storage, etc. Die hebben een ander verdienmodel en gaan er van uit dat de klant veel zelf regelt. Die doen nagenoeg niks met het verkeer van de klant anders dan het droppen bij de lokale internet exchange.

Door jouw verkeer niet door je ISP maar een hosting provider te laten afhandelen ontsnap je dus aan de meeluisterende ISP.

Met je eens ze, moeten eerst eens gaan leren wat sociaal media met je privacy doet, en dan eens goed gaan nadenken
wat dit voor je privacy betekent.
En als het kwartje gevallen is én je er niet mee eens bent die zooi opzeggen, en anders mondje dicht.

USA = een totalitair regime waarbij de upperclass heel graag de lowerclass wil blijven controleren ten faveure van hun eigen gewin.Het lijkt me dat je, als je daar woont, gezamenlijk het internet gaat boycotten en alles wat je weten wilt gewoon weer via de ouderwetse manier gaat doen. Dus via post, bellen e.d. Dan stort het systeem (de luchtbel) in elkaar in rap tempo en wordt het vanzelf weer teruggedraaid. De drukkers zullen u er eeuwig dankbaar voor zijn. Eng land dat USA, fijn dat er een lading water tussen zit...<einde>

mensen het gaat hier wel om de 'Amerikaanse providers' he. en niet om de rest er buiten;

Het probleem met die arrogante Amerikanen is, dat zij denken dat een bedrijf als b.v. Google, met een hoofdkantoor in Amerika ook internationaal onder de Amerikaanse wet valt.
"Wij" zeggen, dat het valt onder de wetgeving van het land aar de server staat, of waar de diensten worden aangeboden.
Er zijn dus wel degelijk raakvlakken.............

Hier gebruik ik Google als voorbeeld, maar dit gaat ook op voor andere internationale bedrijven.

Beetje off-topic, sorry, maar wel actueel
Intel Boss Unmasked Gen. Flynn, 1565
•Video https://www.youtube.com/watch?v=Ab_gO0gg2xc