Virtual private networks (VPN's) versleutelen data en zorgen er zo voor dat internetgebruikers anoniem kunnen surfen en communiceren. De diensten kennen een grote groei in India door de inspanningen van de overheid om dissidente stemmen op het net te smoren, en door de opmars van thuiswerken.

Maar nu verlaten verschillende VPN-providers het land, en nog meer bedrijven overwegen hetzelfde te doen. De reden daarvoor zijn nieuwe regels rond VPN's, die volgens de Indiase overheid gericht zijn op cyberveiligheid, maar die volgens de bedrijven makkelijk te misbruiken zijn en die de data van gebruikers in gevaar brengen.

Onder de wetgeving, die deze maand van kracht wordt, zullen de providers verplicht worden om hun gebruikersgegevens en IP-adressen voor minstens vijf jaar te bewaren, ook als een klant afhaakt.

Cruciaal voor privacy

'VPN's zijn cruciaal voor online privacy, anonimiteit en vrijheid van meningsuiting, dus deze restricties zijn niets minder dan een aanval op de digitale rechten', zegt Harold Li, vicepresident van ExpressVPN. 'De nieuwe regels reiken te ver en zijn zo breed geformuleerd dat ze misbruik mogelijk maken. We weigeren de data van onze gebruikers in gevaar te brengen. Daarom hebben we meteen de beslissing gemaakt om onze VPN-servers in India te verwijderen.'

India is bij de top-20 van landen met het meeste VPN-gebruik, volgens de AtlasVPN global index. Vooral in 2020 en 2021 steeg het aantal gebruikers snel, zoals overal ter wereld, naarmate meer mensen van thuis uit begonnen te werken en bedrijven hun netwerken wilden beveiligen.

Veel gebruikers zijn gewoon werknemers van die bedrijven, maar de diensten worden ook volop gebruikt door activisten, journalisten, advocaten en klokkenluiders. Zij gebruiken de VPN's om toegang te krijgen tot geblokkeerde websites, om hun data te beveiligen en om hun identiteit te verbergen.

Naarmate de digitalisering van data en diensten toeneemt, wordt beveiliging een cruciaal vraagstuk. India was vorig jaar bij de top-3 van landen met de meeste datalekken, blijkt uit schattingen door Surfshark VPN. Daarbij zouden bijna 87 miljoen gebruikers getroffen zijn.

Datalekken rapporteren

De nieuwe wet, die in april is opgesteld door het Indiase Computer Emergency Response Team (CERT-In), verplicht bedrijven ook om datalekken binnen de zes uur te rapporteren, en logboeken en interne communicatie zes maanden te bewaren. Op inbreuken staan gevangenisstraffen.

Techbedrijven en organisaties die opkomen voor digitale rechten hebben al verzet aangetekend, maar de Indiase overheid heeft laten weten dat de regels niet veranderd zullen worden.

'Als je het niet eens bent met de nieuwe regels en je wil terugtrekken, dan moet je je eerlijk gezegd maar gewoon terugtrekken', liet de onderminister van IT Rajeev Chandrasekhar vorige maand nog optekenen door journalisten.

Microscoop

Regeringen over de hele wereld proberen meer grip te krijgen op de online communicatiestromen met een hele rits aan regels, firewalls, afsluitingen van de internettoegang en maatregelen tegen sociale media.

India schroeft de regels voor grote techbedrijven al jaren aan en verplichtte de bedrijven om inhoud offline te halen. Vorig jaar stelden tientallen advocaten, journalisten en activisten vast dat ze gehackt waren met Pegasus spyware. De Indiase overheid weigerde te bevestigen of ontkennen dat ze de spyware had aangeschaft.

Volgens Ranjana Kumari, activist en directeur van het Centre for Social Research in New Delhi, kunnen de nieuwe regels gebruikt worden om burgers onder de knoet te houden. "De overheid voert de controle van het internet al op om dissidentie de kop in te drukken, en mensen worden al meer en meer in de gaten gehouden", zegt ze. 'Deze regels maken dat nog erger.'

De overheid heeft benadrukt dat de regels niet gelden voor bedrijfs-VPN's, maar volgens ProtonVPN zijn ze 'een aanval op de privacy en dreigen ze burgers onder een microscoop van surveillance te plaatsen.' Het bedrijf liet al weten vast te houden aan zijn beleid en de gegevens niet bij te houden.

Grondwet

Ook Surfshark heeft een 'no-logs'-beleid, waardoor het geen gebruikersgegevens bewaart en geen surf- of gebruiksinformatie bewaart of deelt. 'Zelfs technisch zouden we niet in staat zijn te voldoen aan de nieuwe regels', zegt Gytis Malinauskas, hoofd van de Juridische dienst.

Een woordvoerder van NordVPN, een van de grootste providers ter wereld, zegt dat het bedrijf 'de intenties van de Indiase overheid apprecieert om cyberveiligheid te verbeteren... maar dat de discussieperiode verlengd zou moeten worden. Als het zover komt, zullen we overwegen om uit India te vertrekken.'

Volgens de Information Technology Industry Council, een wereldwijde coalitie, kunnen de nieuwe regels de online veiligheid net schaden.

De verplichting om de data te bewaren verhoogt het risico op surveillance voor miljoenen mensen, schrijft Raman Jit Singh Chima, beleidsdirecteur bij Access Now in een open brief. 'De verplichting voor service providers, inclusief VPN-bedrijven, om informatie te verzamelen die ze normaal niet bijhouden, voor vijf jaar of meer, komt neer op een schending van het recht op privacy zoals dat wordt gegarandeerd door de Indiase grondwet.'

Rusland

India is lang niet het enige land dat VPN's in het vizier neemt. Rusland heeft vorig jaar al verschillende VPN-diensten verboden in het kader van een bredere campagne die volgens critici een aanval inhoudt op internetvrijheid. Maar het land slaagde er niet in VPN-diensten helemaal te bannen.

De Russische inspanningen om globale nieuwssites en sociale media te blokkeren na de invasie van Oekraïne - vergelijkbaar met China's 'Great Firewall' - doen de zorgen toenemen dat het internet in stukken' breekt langsheen geopolitieke breuklijnen, en mensen digitaal isoleert.

Ook India's nieuwe regels zijn opgesteld zonder veel overleg met de techbedrijven of burgerrechtenorganisaties, zegt Prateek Waghre, beleidsdirecteur bij de Internet Freedom Foundation, een digitale burgerrechtenorganisatie in Delhi.

'Daardoor komt het dat een aantal van de richtlijnen ambigu zijn, en de strafmaat zo hoog is, inclusief potentiële gevangenisstraffen', zegt hij.

De richtlijnen kunnen veel schade aanrichten, zegt Waghre, vooral omdat er geen wet rond databescherming bestaat.

'Het klopt dat er een duidelijke noodzaak bestaat voor betere cyberveiligheid', zegt hij. "Maar als je vraagt om op grote schaal data te verzamelen, dan loopt iedereen risico - en verhoogt het risico voor wie al gevaar loopt, zoals activisten, journalisten, dissidenten en minderheden.'

Deze analyse is oorspronkelijk verschenen bij IPS-partner Thomson Reuters News Foundation.

Virtual private networks (VPN's) versleutelen data en zorgen er zo voor dat internetgebruikers anoniem kunnen surfen en communiceren. De diensten kennen een grote groei in India door de inspanningen van de overheid om dissidente stemmen op het net te smoren, en door de opmars van thuiswerken. Maar nu verlaten verschillende VPN-providers het land, en nog meer bedrijven overwegen hetzelfde te doen. De reden daarvoor zijn nieuwe regels rond VPN's, die volgens de Indiase overheid gericht zijn op cyberveiligheid, maar die volgens de bedrijven makkelijk te misbruiken zijn en die de data van gebruikers in gevaar brengen. Onder de wetgeving, die deze maand van kracht wordt, zullen de providers verplicht worden om hun gebruikersgegevens en IP-adressen voor minstens vijf jaar te bewaren, ook als een klant afhaakt. 'VPN's zijn cruciaal voor online privacy, anonimiteit en vrijheid van meningsuiting, dus deze restricties zijn niets minder dan een aanval op de digitale rechten', zegt Harold Li, vicepresident van ExpressVPN. 'De nieuwe regels reiken te ver en zijn zo breed geformuleerd dat ze misbruik mogelijk maken. We weigeren de data van onze gebruikers in gevaar te brengen. Daarom hebben we meteen de beslissing gemaakt om onze VPN-servers in India te verwijderen.'India is bij de top-20 van landen met het meeste VPN-gebruik, volgens de AtlasVPN global index. Vooral in 2020 en 2021 steeg het aantal gebruikers snel, zoals overal ter wereld, naarmate meer mensen van thuis uit begonnen te werken en bedrijven hun netwerken wilden beveiligen. Veel gebruikers zijn gewoon werknemers van die bedrijven, maar de diensten worden ook volop gebruikt door activisten, journalisten, advocaten en klokkenluiders. Zij gebruiken de VPN's om toegang te krijgen tot geblokkeerde websites, om hun data te beveiligen en om hun identiteit te verbergen. Naarmate de digitalisering van data en diensten toeneemt, wordt beveiliging een cruciaal vraagstuk. India was vorig jaar bij de top-3 van landen met de meeste datalekken, blijkt uit schattingen door Surfshark VPN. Daarbij zouden bijna 87 miljoen gebruikers getroffen zijn. De nieuwe wet, die in april is opgesteld door het Indiase Computer Emergency Response Team (CERT-In), verplicht bedrijven ook om datalekken binnen de zes uur te rapporteren, en logboeken en interne communicatie zes maanden te bewaren. Op inbreuken staan gevangenisstraffen. Techbedrijven en organisaties die opkomen voor digitale rechten hebben al verzet aangetekend, maar de Indiase overheid heeft laten weten dat de regels niet veranderd zullen worden. 'Als je het niet eens bent met de nieuwe regels en je wil terugtrekken, dan moet je je eerlijk gezegd maar gewoon terugtrekken', liet de onderminister van IT Rajeev Chandrasekhar vorige maand nog optekenen door journalisten.Regeringen over de hele wereld proberen meer grip te krijgen op de online communicatiestromen met een hele rits aan regels, firewalls, afsluitingen van de internettoegang en maatregelen tegen sociale media. India schroeft de regels voor grote techbedrijven al jaren aan en verplichtte de bedrijven om inhoud offline te halen. Vorig jaar stelden tientallen advocaten, journalisten en activisten vast dat ze gehackt waren met Pegasus spyware. De Indiase overheid weigerde te bevestigen of ontkennen dat ze de spyware had aangeschaft.Volgens Ranjana Kumari, activist en directeur van het Centre for Social Research in New Delhi, kunnen de nieuwe regels gebruikt worden om burgers onder de knoet te houden. "De overheid voert de controle van het internet al op om dissidentie de kop in te drukken, en mensen worden al meer en meer in de gaten gehouden", zegt ze. 'Deze regels maken dat nog erger.'De overheid heeft benadrukt dat de regels niet gelden voor bedrijfs-VPN's, maar volgens ProtonVPN zijn ze 'een aanval op de privacy en dreigen ze burgers onder een microscoop van surveillance te plaatsen.' Het bedrijf liet al weten vast te houden aan zijn beleid en de gegevens niet bij te houden. Ook Surfshark heeft een 'no-logs'-beleid, waardoor het geen gebruikersgegevens bewaart en geen surf- of gebruiksinformatie bewaart of deelt. 'Zelfs technisch zouden we niet in staat zijn te voldoen aan de nieuwe regels', zegt Gytis Malinauskas, hoofd van de Juridische dienst.Een woordvoerder van NordVPN, een van de grootste providers ter wereld, zegt dat het bedrijf 'de intenties van de Indiase overheid apprecieert om cyberveiligheid te verbeteren... maar dat de discussieperiode verlengd zou moeten worden. Als het zover komt, zullen we overwegen om uit India te vertrekken.'Volgens de Information Technology Industry Council, een wereldwijde coalitie, kunnen de nieuwe regels de online veiligheid net schaden. De verplichting om de data te bewaren verhoogt het risico op surveillance voor miljoenen mensen, schrijft Raman Jit Singh Chima, beleidsdirecteur bij Access Now in een open brief. 'De verplichting voor service providers, inclusief VPN-bedrijven, om informatie te verzamelen die ze normaal niet bijhouden, voor vijf jaar of meer, komt neer op een schending van het recht op privacy zoals dat wordt gegarandeerd door de Indiase grondwet.'India is lang niet het enige land dat VPN's in het vizier neemt. Rusland heeft vorig jaar al verschillende VPN-diensten verboden in het kader van een bredere campagne die volgens critici een aanval inhoudt op internetvrijheid. Maar het land slaagde er niet in VPN-diensten helemaal te bannen. De Russische inspanningen om globale nieuwssites en sociale media te blokkeren na de invasie van Oekraïne - vergelijkbaar met China's 'Great Firewall' - doen de zorgen toenemen dat het internet in stukken' breekt langsheen geopolitieke breuklijnen, en mensen digitaal isoleert. Ook India's nieuwe regels zijn opgesteld zonder veel overleg met de techbedrijven of burgerrechtenorganisaties, zegt Prateek Waghre, beleidsdirecteur bij de Internet Freedom Foundation, een digitale burgerrechtenorganisatie in Delhi.'Daardoor komt het dat een aantal van de richtlijnen ambigu zijn, en de strafmaat zo hoog is, inclusief potentiële gevangenisstraffen', zegt hij. De richtlijnen kunnen veel schade aanrichten, zegt Waghre, vooral omdat er geen wet rond databescherming bestaat.'Het klopt dat er een duidelijke noodzaak bestaat voor betere cyberveiligheid', zegt hij. "Maar als je vraagt om op grote schaal data te verzamelen, dan loopt iedereen risico - en verhoogt het risico voor wie al gevaar loopt, zoals activisten, journalisten, dissidenten en minderheden.'Deze analyse is oorspronkelijk verschenen bij IPS-partner Thomson Reuters News Foundation.