Kortversjonen: det finnes tre ærlige kategorier av «gratis» VPN. (1) Begrenset gratisnivå fra en ekte betalt leverandør (Proton, Windscribe, TunnelBear) — subsidiert av betalende kunder, bevisst begrenset slik at storbrukere oppgraderer, enkel og gjennomsiktig forretningsmodell. (2) Gratis-for-et-formål VPN (bedrift, universitet, innebygd i et annet produkt) — betalt av en aktør som vil ha deg på nettverket sitt, forretningsmodellen er det mor-produktet selger. (3) Gratis-som-inntektsmodell VPN — VPN-leverandøren ER virksomheten, og du er inntektskilden. Den tredje kategorien er der den dokumenterte skaden historisk har funnet sted: forretningsmodeller der enheten din brukes som utgangspunkt for andres trafikk, videresalg til dataformidlere, annonseinnsetting og skadelig programvare. De to første kan fungere fint. Den tredje er ansvarlig for de fleste «er VPN farlig»-overskriftene. Her er feltguiden for å skille dem fra hverandre.
Vi er åpne om det fra starten: Casper's Cloak er en betalt VPN-tjeneste. Vi har en kommersiell interesse i dette temaet. Derfor fokuserer dette innlegget på verifiserbare, dokumenterte historiske hendelser — fakta du kan sjekke mot primærkilder — fremfor vage «gratis er farlig»-advarsler. Målet er ikke å skremme deg bort fra gratis VPN; det er å hjelpe deg velge en leverandør med en forretningsmodell du faktisk forstår.
Hva «gratis» faktisk koster leverandøren å levere
Konkrete tall, siden resten av analysen hviler på disse. En beskjeden VPN-leverandør med 1 000 servere i 30 land betaler:
- Serverhosting: 40–150 USD/server/måned avhengig av region (Vest-Europa og US-East er billig; APAC, Latin-Amerika og Afrika er dyrt) → minimum 40 000–150 000 USD/måned.
- Båndbredde: den dominerende kostnaden. Et VPN-endepunkt presser mer trafikk enn nesten alle andre arbeidsbelastninger — en typisk bruker drar 50–200 GB/måned, og leverandører opererer på 80 %+ kapasitetsutnyttelse. Båndbreddeutgiftene overstiger serverutgiftene i stor skala.
- Håndtering av misbruk: noen har det som fulltidsjobb å svare på DMCA-varsler, klager fra hostingleverandører, spørsmål fra betalingstjenesteleverandører og av og til henvendelser fra politiet. Dette er ikke valgfritt og blir kostbart i stor skala.
- Utvikling: vedlikehold av protokollstakken (WireGuard, OpenVPN), klientapper for iOS/macOS/Windows/Linux/Android, revisjoner og sikkerhetshendelser.
For at en leverandør skal drive 1 000+ servere, ha et ordentlig driftsteam, gjennomgå revisjon hvert år og ta 0 kr — må pengene komme fra et sted. Det ærlige spørsmålet er: hvor fra? De tre mønstrene nedenfor dekker omtrent alt vi har dokumentert i praksis.
Mønster 1 — Begrenset gratisnivå fra en betalt leverandør (vanligvis greit)
Den ryddigste varianten. Leverandøren selger et betalt produkt til de fleste brukerne sine og tilbyr et bevisst begrenset gratisnivå som en markedsføringskanal. Begrensningene tar vanligvis en av tre former:
- Båndbreddetak (Windscribe: 10 GB/måned gratis; TunnelBear: 2 GB/måned gratis). Storbrukere treffer taket og oppgraderer, eller slutter å bruke tjenesten. Gratisbrukere koster leverandøren mindre enn hva de er verdt som markedsføringskanal.
- Serverplasseringstak (Proton Free: 3 land; ProtonVPN Plus: 110+). Gratisnivået er nok til «jeg vil ha trafikken min kryptert på fiendtlig WiFi»; det betalte nivået er nødvendig for å bruke strømmetjenester fra andre land.
- Funksjonsbegrensning (ingen strømming, ingen torrenting, færre samtidige tilkoblinger). Samme logikk som servertak.
Slik verifiserer du at leverandøren er i denne kategorien: (a) de har et tydelig, gjennomsiktig betalt nivå med ekte kunder (se på antall anmeldelser i appbutikken, ikke bare karakteren); (b) personvernerklæringen er klar på at de ikke logger eller selger trafikdata, og de har ideelt sett publisert en ekstern revisjon som bekrefter det; (c) de er en ekte bedrift med navngitte ledere og kjent jurisdiksjon; (d) de tjener mesteparten av pengene sine på betalte abonnementer, noe de som regel opplyser om i markedsføringsmaterialet.
Mønster 2 — Gratis-for-et-formål VPN (avhenger av formålet)
Gratis fordi noen andre vil at du skal bruke det. Tre undertilfeller:
Nettleser-innebygde VPN-er (Opera VPN, Brave Firewall + VPN, Cloudflare WARP). Morselskapets forretningsmodell er en annen — å selge annonser, bedriftstjenester eller DNS — og VPN-en finnes for å differensiere nettleseren. Disse er vanligvis ærlige om omfanget sitt: Opera VPN er en gratis kryptert proxy, ikke et ekte VPN (beskytter bare trafikk i nettleseren), og det sier de tydelig. Cloudflare WARP finansieres av Cloudflares enterprise-CDN-virksomhet og er omtrent den mest reviderte gratis nettverkstjenesten som finnes.
Apples iCloud Private Relay hører til i denne kategorien — det er inkludert i iCloud+, så teknisk sett ikke «gratis» i streng forstand, men gratis på marginalen hvis du allerede betaler for iCloud-lagring. Det er dessuten bare for Safari, bruker dobbelt hopp og er ikke et VPN for generell bruk. Vi gikk gjennom omfanget i detalj i Hva iCloud Private Relay faktisk dekker — og hva det ikke dekker.
Bedrifts- og universitets-VPN-er. Gratis for deg fordi institusjonen betaler. Ærlige om det. Bruk dem til det de er ment for (tilgang til institusjonens ressurser), ikke til personlig personvern (institusjonen kan se all trafikken din by design).
Slik verifiserer du: les personvernerklæringen, se på morselskapet viktigste forretningsmodell. Hvis hovedvirksomheten er nettleserannonser (Opera) eller enterprise-CDN (Cloudflare), er VPN-ens insentiver i tråd med å ikke rote det til — dårlig presse fra en VPN-skandale ville skade den mer lønnsomme virksomheten.
Mønster 3 — Gratis-som-inntektsmodell VPN (der den dokumenterte skaden har funnet sted)
Dette er kategorien alle «er VPN risikabelt»-artikler egentlig handler om. VPN-leverandøren har ingen annen virksomhet; VPN-en ER virksomheten; brukeren ER inntekten. Tre dokumenterte historiske mekanismer:
3a. Enheten som utgangspunkt (Hola / Luminati-modellen)
Hola, markedsført som et gratis VPN for geo-opplåsing i nettleseren, skaffet seg millioner av brukere på tidlig 2010-tall. Forretningsmodellen — opplyst i brukervilkårene, men på den måten «opplyst i brukervilkårene» vanligvis betyr — var at enheten din fungerte som et utgangspunkt for Luminati (nå Bright Data), Holas kommersielle proxy-nettverk. Betalende bedriftskunder rutet trafikk gjennom Hola-gratisbrukernes bolig-IP-er.
Konsekvensene, godt dokumentert: i 2015 viste sikkerhetsforskere at Hola-brukere hadde blitt brukt som utgangspunkter for et DDoS-botnet rettet mot 8chan — noe som betyr at Hola-brukernes IP-adresser genererte angrepstopp de ikke visste at de sendte. Luminati-nettverket har siden fått nytt navn, lagt til samtykkeprosesser og fortsetter å operere; modellen er omtrent den samme.
Slik oppdager du det: leverandøren snakker vagt om «peer-to-peer»-arkitektur eller «fellesskapsdrevet» nettverk. Brukervilkårene beskriver en «rett til å bruke båndbredde fra inaktive enheter». De selger et betalt kommersielt proxy-produkt ved siden av det gratis forbrukerprodukt, og de er samme nettverk.
3b. Videresalg til dataformidlere (Onavo / Facebook-modellen)
Onavo Protect var en gratis VPN-app — Facebook kjøpte morselskapet i 2013 og drev det som «Onavo Protect» på iOS og Android. Personvernerklæringen opplyste at Facebook brukte innsikten fra nettverkstrafikken til å lære hvilke apper brukerne brukte, hvor ofte og hvor lenge. Denne etterretningen styrte Facebooks produktstrategi: Onavo-data tipset angivelig Facebook om WhatsApps vekst før oppkjøpet, og om TikToks vekst før Reels.
Apple fjernet til slutt Onavo fra App Store i 2018 med henvisning til brudd på reglene for datainnsamling, og Facebook la det ned i 2019 etter at Cambridge Analytica-skandalen gjorde omdømmesituasjonen uholdbar. Mekanismen — gratis VPN som konkurranseanalytisk trakt for et morselskap — dukker opp igjen med jevne mellomrom; navnene endrer seg, men strukturen gjentar seg.
Slik oppdager du det: morselskapets faktiske virksomhet er annonsering, sosiale medier eller konkurranseanalyse. Personvernerklæringen inneholder formuleringer om «anonymiserte aggregerte bruksdata» eller «forbedring av tjenestene våre» med bredt omfang. Det gratis VPN-et har ingen åpenbar betalt variant — det er ingen grunn til at det eksisterer som et selvstendig produkt.
3c. Annonseinnsetting og skadelig programvare (den lange halen)
Den minst sofistikerte og mest utbredte: den gratis VPN-appen injiserer annonser i nettsider, omdirigerer trafikk gjennom affiliate-lenker eller leveres med medfølgende adware/spyware. Studier av gratis Android VPN-apper finner gjentatte ganger at en meningsfull andel har innebygde sporings-SDK-er, ber om unødvendige tillatelser, eller i ekstreme tilfeller faktisk inneholder skadelig programvare. CSIRO publiserte en mye sitert studie fra 2017 som fant at 38 % av 283 undersøkte gratis Android VPN-apper inneholdt en eller annen form for skadelig programvare; oppfølgingsarbeid de påfølgende årene viser at situasjonen er bedret, men ikke fundamentalt endret.
Slik oppdager du det: appen har aggressiv annonseplassering i sitt eget grensesnitt, ber om tillatelser utover det en VPN trenger (kontakter, SMS, alltid-lokasjon), har svært få anmeldelser i appbutikken, og utviklernavnet er ukjent. Generiske «Best Free VPN»-apper i Play Store som ser litt forskjellige ut fra hverandre er vanligvis den samme SDK-en under ny innpakning.
Sjekkliste for røde flagg i personvernerklæringen
Før du installerer et VPN — gratis eller betalt — les personvernerklæringen og se etter disse konkrete bekymringspunktene:
- Vagt «aggregerte bruksdata»-språk med brede tillatte bruksområder («for å forbedre tjenestene våre, for partnerne våre, for markedsføringsformål»). Ærlige betalte leverandører lister vanligvis opp spesifikt hva de logger: kontoinformasjon, betalingsinformasjon, noen ganger samlet båndbreddebruk — ingenting annet.
- Ingen tredjeparts-revisjon, eller en vag referanse til en uten lenke. Ærlige betalte leverandører lenker til den fullstendige revisjonsrapporten (Proton, Mullvad, ExpressVPN, NordVPN publiserer alle sine).
- Jurisdiksjon som er fiendtlig mot brukernes personvern — USA (underlagt NSL med taushetsplikt), Storbritannia (Investigatory Powers Act) eller jurisdiksjoner i Fourteen Eyes-etterretningsnettverket. Ikke automatisk diskvalifiserende, men verdt å veie.
- Anonym eierskap. Hvis du ikke kan finne ut hvilket selskap som eier produktet og hvor de holder til etter noen minutter med research, er det et signal.
- «P2P / peer-to-peer / fellesskapsnettverk»-arkitekturspråk — se Hola-mønsteret ovenfor.
- App-tillatelser langt utover det en VPN trenger. En VPN trenger VPN-tjenestetillatelsen og, på Android, en forgrunns-tjeneste. Den trenger ikke kontakter, SMS, kalender eller presis lokasjon.
Når gratis genuint er det rette svaret
Tre ærlige bruksscenarier der et gratis VPN (spesifikt mønster 1 eller mønster 2) genuint er det rette verktøyet:
- Av og til kryptering på kafé. Du vil ha trafikken din kryptert fra innsyn på fiendtlig WiFi, månedsvolumet ditt er under noen få GB, og du gjør ingenting som krever høy hastighet. ProtonVPN Free, Windscribe Free, TunnelBear Free og Cloudflare WARP håndterer alle dette fint.
- Prøve før du kjøper. Bruk gratisnivået til en betalt leverandør for å validere appkvalitet, hastighet og landliste før du forplikter deg til et årsabonnement. Gratisnivåer finnes nettopp av denne grunn.
- Du er allerede inkludert i en pakke. Hvis du betaler for iCloud+ og trafikken din stort sett er Safari, er iCloud Private Relay gratis på marginalen. Hvis du bruker Brave, er Brave Firewall + VPN inkludert. Hvis arbeidsgiveren din tilbyr et bedrifts-VPN, bruk det til jobb og kombiner det med noe annet til personlig bruk.
Hva et betalt VPN faktisk gir deg (den ærlige versjonen)
Uten markedsføringspåstander: her er hva abonnementsinntekter lar en leverandør levere som en annonsefinansiert eller datavideresalgs-leverandør strukturelt ikke kan:
- En interesse som er på linje med ditt personvern, ikke mot det. Abonnementet ER inntekten; å selge trafikdataene dine ville ødelegge merkevaren og kundebasen. Det økonomiske argumentet for ærlig atferd er det sterkeste.
- Kapasitet til å håndtere misbruk uten å droppe deg. Betalte leverandører har råd til ansatte for misbrukshåndtering; gratis leverandører underbemannet dette og lar enten misbruk skade omdømmet, eller slutter de å tilby funksjoner (P2P/torrenting forsvinner ofte fra gratisnivåer av kostnadsgrunner, ikke politikkgrunner).
- Tredjeparts-revisjoner. Eksterne sikkerhetsrevisjoner koster ekte penger; gratis leverandører bestiller dem sjelden. De store betalte leverandørene publiserer revisjonsrapporter jevnlig.
- Hastighet og servertetthet. Båndbredde er den dominerende kostnaden. Betalte leverandører kan over-provisionere; gratis leverandører rasjonerer. Dette vises som lavere hastigheter i rushtiden, færre tilgjengelige land og en mindre pool av IP-adresser.
- Ekte kundestøtte. Gratisbrukere får et fellesskapsforum; betalende kunder får e-postsvar innen timer.
- En klar forretningsmodell. Når du kan sette navn på hvordan selskapet tjener penger, kan du forutsi hvordan det vil oppføre seg under press (oppkjøp, finansielle vanskeligheter, regulatorisk press).
Hvorfor VPN-er heller ikke er hele bildet (den ærlige betalte leverandørens standpunkt)
Selv et perfekt betalt VPN — ordentlig revidert, ingen logging, godt utformet — løser bare et spesifikt delsett av personvernproblemer. Trafikkkrypteringsdelen: ja. «Internett-leverandøren din kan ikke se hvilke nettsteder du besøker»-delen: ja. «Kafé-nettverket kan ikke lese øktene dine»-delen: ja. Men:
- Nettstedene og appene du kommuniserer med ser deg fortsatt — og på telefoner ringer sporings-SDK-ene i appene hjem uavhengig av nettverksbane. iOS App Tracking Transparency blokkerer IDFA-en, men ikke fingeravtrykk; se Hva iOS App Tracking Transparency ikke stopper.
- Annonser, sporere og ondsinnede domener lastes fortsatt på DNS-laget. Et VPN krypterer trafikken din til målet; det filtrerer ikke hvilke mål du når. Derfor er DNS-nivåfiltrering den naturlige kombinasjonen — se Hvordan DNS-nivåfiltrering faktisk fungerer.
- Trafikkanalyse-angrep på metadatalaget — mønstre av byte per sekund, timing, hvem du kobler til og når — fungerer gjennom krypterte tunneler. De fleste brukere bryr seg ikke; noen gjør det.
Casper's Cloak kombinerer VPN-tunneling med DNS-nivå annonse-/sporerblokkering (vi kjører en Pi-hole-instans per bruker som resolver) og AI-drevet trusseldetektion — nettopp fordi VPN alene lar DNS-laget stå åpent. Ærlig fremstilling: betalt VPN er nødvendig for et meningsfylt sett av personvernproblemer og utilstrekkelig alene for andre.
Konklusjon
Gratis VPN er ikke én kategori, men tre forskjellige kategorier med svært ulike insentivstrukturer. Begrenset gratisnivå fra en betalt leverandør: vanligvis greit, bevisst begrenset, betalende brukere subsidierer deg. Gratis-for-et-formål VPN: avhenger av hvem som betaler og hvorfor, men vanligvis ærlig om det. Gratis-som-inntektsmodell VPN: dette er der den dokumenterte skaden har funnet sted — nettverk der brukernes enheter brukes som utgangspunkter, videresalg til dataformidlere, annonseinnsetting og skadelig programvare. Måten å skille den tredje kategorien fra de to første på er sjekklisten for røde flagg i personvernerklæringen ovenfor, og mer pålitelig: spør deg selv — hvor kommer pengene fra? Hvis du kan sette navn på det, er du sannsynligvis trygg. Hvis du ikke kan, er du sannsynligvis produktet.
Og uansett hva du velger: gratis, betalt eller ingen — kombiner det med DNS-nivåfiltrering som minimum og ikke forvent at én ting alene er hele svaret. Den ærlige stabelen er VPN + DNS-filtrering + fornuftige OS-standarder — det er arkitekturen Casper's Cloak leverer; det er også arkitekturen du kan sette sammen selv av gratis deler hvis du vil.
Relatert: Offentlig WiFi-angrep i 2026 dekker trusselmodellen VPN-er er ment å adressere; Hvordan DNS-nivåfiltrering faktisk fungerer dekker laget VPN-er lar stå åpent; Hva iCloud Private Relay faktisk dekker dekker Apples nesten-men-ikke-helt-VPN-personvernfunksjon. Casper's Cloak vs tradisjonelle VPN-er-sammenligningen går dypere inn på de tekniske forskjellene.