De richtlijn van India’s Computer Emergency Response Team (CERT-In), India’s grootste cybersecurity-agentschap, zal eind juni van kracht worden. Dit dwingt VPN-services onder meer om de persoonlijke gegevens van gebruikers vijf jaar of langer te bewaren en op verzoek aan de overheid te overhandigen, anders krijgen ze strafmaatregelen.
De Kamercommissie wilde een verbod
De stap, die bedoeld is om inbreuken op de cyberbeveiliging te voorkomen, zou VPN-services in India illegaal kunnen maken als de providers zich niet aan de regels houden. De Permanente Commissie Binnenlandse Zaken van het Parlement had vorig jaar opgeroepen om VPN’s te verbieden, daarbij verwijzend naar de bedreigingen.
Grote VPN-bedrijven vertelden ET dat het loggen van gevoelige gebruikersgegevens in strijd zou zijn met de aard van hun diensten, die zijn ontworpen om de privacy van gebruikers te beschermen. Het in Nederland gevestigde Surfshark, een populaire VPN-service in India, zei dat het niet eens de technische middelen heeft om aan het verzoek te voldoen.
“We werken alleen met RAM-servers, wat betekent dat we op dit moment, zelfs technisch gezien, niet aan de registratievereisten kunnen voldoen”, zegt Gytis Malinauskas, Chief Legal Officer van Surfshark, tegen ET.
NordVPN, gevestigd in Panama, zei dat het momenteel normaal functioneert, maar dat het mogelijk de situatie opnieuw moet evalueren als en wanneer de bestelling over twee maanden van kracht wordt. “We zijn toegewijd aan het beschermen van de privacy van onze klanten, en daarom kunnen we onze servers uit India verwijderen als er geen andere opties overblijven”, vertelde Laura Tyrylyte, woordvoerster van NordVPN, aan ET.
ExpressVPN, geregistreerd op de Britse Maagdeneilanden en een andere populaire VPN-service die beweert de strikte firewall van China te omzeilen, zegt op de hoogte te zijn van de routering en de ontwikkelingen in de gaten te houden.
“VPN’s zijn essentieel voor de veiligheid van gebruikers en verdedigen het recht van de gebruiker op online privacy en zijn fundamenteel tegen elke poging om dergelijke technologieën te ondermijnen”, zei ExpressVPN in een verklaring aan ET.
Het bedrijf stelt in zijn privacybeleid dat het “geen logboeken van uw activiteit verzamelt, inclusief geen browsegeschiedenis, verkeersbestemming, gegevensinhoud of DNS-query’s. We slaan ook nooit verbindingslogboeken op, wat betekent dat er geen logboeken van uw IP-adres zijn , het uitgaande IP-adres van de VPN, het tijdstempel van de verbinding of de sessieduur.”
Experts zeggen dat services zoals NordVPN, Surfshark, ExpressVPN en dergelijke bogen op zero-logs-systemen die de privacy van gebruikers garanderen, en gaan zelfs zo ver dat ze worden gecontroleerd door bedrijven zoals PwC om de naleving van hun privacybeleid te bevestigen.
Sommige VPN-serviceproviders hebben ook gezegd dat ze onderworpen zijn aan de wetten van de landen waarin ze wonen en niet noodzakelijkerwijs onderworpen zijn aan de jurisdictie van Indiase wetten.
“We opereren onder de jurisdictie van Nederland en er zijn geen wetten die ons verplichten om gebruikersactiviteiten te registreren”, aldus Surfshark. Evenzo zei ExpressVPN dat het wordt beheerst door de wetten van de Britse Maagdeneilanden, die ook geen VPN-services vereisen om gebruikerslogboeken bij te houden.
Het VPN-gebruikersbestand in India is de afgelopen twee jaar aanzienlijk toegenomen als gevolg van de toename van werken op afstand als gevolg van de pandemie.
De VPN-penetratie in India steeg in 2021 tot 20% van de bevolking, van slechts 3,28% in 2020, volgens de adoptietracking van AtlasVPN.
‘Webgeek. Wannabe-denker. Lezer. Freelance reisevangelist. Liefhebber van popcultuur. Gecertificeerde muziekwetenschapper.’