De korte versie: er zijn drie eerlijke categorieën van "gratis" VPN. (1) Beperkte gratis laag van een echte betaalde aanbieder (Proton, Windscribe, TunnelBear) — gesubsidieerd door betalende klanten, bewust gelimiteerd zodat zware gebruikers upgraden, het bedrijfsmodel is eenvoudig. (2) Gratis-voor-een-doel VPN (zakelijk, universiteit, ingebouwd in een ander product) — betaald door een entiteit die jou op hun netwerk wil hebben, het bedrijfsmodel is datgene wat het moederproduct verkoopt. (3) Gratis-als-verdienmodel VPN — de VPN-aanbieder IS het bedrijf, en zij monetariseren jou. Die derde categorie is waar de gedocumenteerde schade historisch heeft plaatsgevonden: toestel-als-exitnode-botnetmodellen, doorverkoop aan datamakelaars, advertentie-injectie, malwarebundeling. De eerste twee kunnen prima zijn. De derde ligt aan de basis van de meeste "is een VPN gebruiken onveilig"-koppen. Dit is de veldgids om ze van elkaar te onderscheiden.
Vooraf een opmerking: Casper's Cloak is een betaalde VPN-dienst. We hebben een commercieel belang bij dit onderwerp. Daarom richt deze post zich op verifieerbare, gedocumenteerde historische incidenten — feiten die je kunt controleren aan de hand van originele bronnen — in plaats van vage "gratis is slecht"-waarschuwingen. Het doel is niet om je af te schrikken van gratis VPN's; het is om je te helpen een te kiezen waarvan je het bedrijfsmodel daadwerkelijk begrijpt.
Wat "gratis" de aanbieder werkelijk kost
Concrete cijfers, want hier begint de rest van de analyse. Een bescheiden VPN-aanbieder met 1.000 servers in 30 landen betaalt:
- Serverhosting: $40–150/server/maand afhankelijk van de regio (West-Europa, US-East goedkoop; APAC, Latijns-Amerika, Afrika duur) → minimaal $40K–150K/maand.
- Bandbreedte: de dominante kostenpost. Een VPN-exitpunt verwerkt meer verkeer dan vrijwel elke andere workload — een gemiddelde gebruiker verbruikt 50–200 GB/maand, aanbieders draaien op 80%+ bezetting. Bandbreedtekosten overtreffen serverkosten op schaal.
- Misbruikafhandeling: iemands fulltime baan bestaat uit het beantwoorden van DMCA-meldingen, klachten van hostingproviders, vragen van betalingsverwerkers en incidentele brieven van opsporingsdiensten. Dit is verplicht en wordt duur op schaal.
- Engineering: onderhoud van de protocolstack (WireGuard, OpenVPN), client-apps voor iOS/macOS/Windows/Linux/Android, audits, beveiligingsrespons.
Voor een aanbieder om 1.000+ servers te runnen, een echte ops-ploeg in dienst te hebben, jaarlijks geauditeerd te worden, en $0 te vragen — het geld moet ergens vandaan komen. De eerlijke vraag is: waar vandaan? De drie patronen hieronder dekken ruwweg alles wat we gedocumenteerd hebben in de praktijk.
Patroon 1 — Beperkte gratis laag van een betaalde aanbieder (meestal prima)
De schoonste variant. De aanbieder verkoopt een betaald product aan de meeste gebruikers en biedt een bewust gelimiteerde gratis laag aan als marketingtrechter. Limieten hebben meestal een van drie vormen:
- Bandbreedtelimiet (Windscribe: 10 GB/maand gratis; TunnelBear: 2 GB/maand gratis). Zware gebruikers bereiken de limiet en upgraden, of stoppen met de dienst. Gratis gebruikers kosten de aanbieder minder dan ze waard zijn als trechter.
- Serverlocatielimiet (Proton Free: 3 landen; ProtonVPN Plus: 110+). De gratis laag is genoeg voor "ik wil mijn koffiezaakverkeer versleuteld hebben"; de betaalde laag is vereist voor gebruikssituaties waarbij je vanuit andere landen streamt.
- Functielimiet (geen streaming, geen torrenten, minder gelijktijdige verbindingen). Dezelfde logica als serverlimieten.
Hoe je verifieert dat de aanbieder in deze categorie valt: (a) ze hebben een duidelijke, transparante betaalde laag met echte klanten (kijk naar het aantal app-store-beoordelingen, niet alleen de beoordeling); (b) hun privacybeleid is helder over het niet loggen of verkopen van verkeersdata, en idealiter hebben ze een externe audit gepubliceerd die dit bevestigt; (c) het is een echt bedrijf met bekende bestuurders en een bekende jurisdictie; (d) ze verdienen het grootste deel van hun geld met betaalde abonnementen, wat ze meestal in marketingmateriaal vermelden.
Patroon 2 — Gratis-voor-een-doel VPN (afhankelijk van het doel)
Gratis omdat iemand anders wil dat jij het gebruikt. Drie subcases:
Browser-geïntegreerde VPN's (Opera VPN, Brave Firewall + VPN, Cloudflare WARP). Het moederbedrijf heeft een ander bedrijfsmodel — advertenties verkopen, zakelijke diensten verkopen, DNS verkopen — en de VPN bestaat om de browser te differentiëren. Deze zijn meestal eerlijk over hun reikwijdte: Opera VPN is een gratis versleutelde proxy, geen echte VPN (beschermt alleen in-browserverkeer), en dat zeggen ze ook. Cloudflare WARP wordt gefinancierd door Cloudflare's zakelijke CDN-activiteiten en is ruwweg de meest geauditeerde gratis netwerkdienst die bestaat.
Apple's iCloud Private Relay valt in deze categorie — het is inbegrepen bij iCloud+, dus technisch gezien niet "gratis" in de strikte zin, maar gratis aan de marge als je toch al betaalt voor iCloud-opslag. Het werkt ook alleen in Safari, gebruikt een dubbele hop en is uitdrukkelijk geen algemeen-inzetbare VPN. We hebben de reikwijdte uitgebreid besproken in Wat iCloud Private Relay werkelijk dekt — en wat niet.
Zakelijke / universitaire VPN's. Gratis voor jou omdat de instelling betaalt. Eerlijk daarover. Gebruik ze waarvoor ze bedoeld zijn (toegang tot instellingsbronnen), gebruik ze niet voor persoonlijke privacy (de instelling kan al je verkeer zien — dat is het ontwerp).
Hoe je dit verifieert: lees het privacybeleid, kijk naar het hoofdbedrijfsmodel van het moederbedrijf. Als het hoofdbedrijf browseradvertenties (Opera) of zakelijke CDN (Cloudflare) is, stroken de prikkels van de VPN met het niet verprutsen ervan — slechte pers van een VPN-schandaal zou het winstgevendere bedrijf schaden.
Patroon 3 — Gratis-als-verdienmodel VPN (waar de gedocumenteerde schade heeft gelegen)
Dit is de categorie waar elk "is een VPN gebruiken riskant"-artikel eigenlijk over gaat. De VPN-aanbieder heeft geen ander bedrijf; de VPN IS het bedrijf; de gebruiker IS de omzet. Drie gedocumenteerde historische mechanismen:
3a. Toestel-als-exitnode (het Hola / Luminati-model)
Hola, op de markt gebracht als gratis VPN voor browser-geounblocking, verkreeg miljoenen gebruikers in het begin van de jaren 2010. Het bedrijfsmodel — vermeld in de servicevoorwaarden, maar op de manier waarop "vermeld in de servicevoorwaarden" dat normaal betekent — was dat jouw toestel dienstdeed als exitnode voor Luminati (nu Bright Data), Hola's commerciële proxynetwerk. Betalende zakelijke klanten routeerden verkeer via de residentiële IP's van Hola-gratis-gebruikers.
De goed gedocumenteerde nasleep: in 2015 toonden beveiligingsonderzoekers aan dat Hola-gebruikers waren ingezet als exitnodes voor een 8chan DDoS-botnet — wat betekende dat de IP's van Hola-gebruikers aanvalsverkeer origineeerden waarvan ze geen idee hadden dat ze het verstuurden. Het Luminati-netwerk heeft sindsdien zijn naam veranderd, toestemmingsflows toegevoegd en blijft actief; het model is ruwweg hetzelfde gebleven.
Hoe je het herkent: de aanbieder praat vaag over "peer-to-peer"-architectuur of "community-aangedreven" netwerk. Hun servicevoorwaarden beschrijven een "recht om bandbreedte van inactieve toestellen te gebruiken." Ze verkopen een betaald commercieel proxyproduct naast het gratis consumentenproduct, en het is hetzelfde netwerk.
3b. Doorverkoop aan datamakelaars (het Onavo / Facebook-model)
Onavo Protect was een gratis VPN-app — Facebook kocht het moederbedrijf in 2013 en exploiteerde het als "Onavo Protect" op iOS en Android. Het privacybeleid vermeldde dat Facebook de zichtbaarheid van netwerkverkeer gebruikte om te leren welke apps gebruikers gebruikten, hoe vaak en hoe lang. Deze informatie stuurde Facebooks productstrategie: bekend is dat Onavo-data Facebook informeerde over WhatsApp's groei vóór de overname, en over TikTok's groei vóór Reels.
Apple verwijderde Onavo uiteindelijk in 2018 uit de App Store vanwege schendingen van dataverzameling, en Facebook sloot het in 2019 nadat de Cambridge Analytica-nasleep het imago onhoudbaar maakte. Het mechanisme — gratis VPN als trechter voor competitieve inlichtingen voor een moederbedrijf — keert periodiek terug; de namen veranderen maar de structuur herhaalt zich.
Hoe je het herkent: het eigenlijke bedrijf van het moederbedrijf is adverteren, sociale netwerken of competitieve analyse. Het privacybeleid bevat taal over "geanonimiseerde geaggregeerde gebruiksdata" of "het verbeteren van onze diensten" met een brede reikwijdte. De gratis VPN heeft geen duidelijke betaalde laag — er is geen reden waarom het als zelfstandig product zou bestaan.
3c. Advertentie-injectie en malwarebundeling (de lange staart)
De minst geavanceerde en meest voorkomende: de gratis VPN-app injecteert advertenties in webpagina's, leidt verkeer om via affiliate-links, of wordt geleverd met gebundelde adware/spyware. Studies naar gratis Android VPN-apps vinden herhaaldelijk een significant percentage met ingebedde tracking-SDK's, onnodige machtigingsverzoeken, of in extreme gevallen regelrechte malware. CSIRO publiceerde in 2017 een veelgeciteerde studie waaruit bleek dat 38% van 283 onderzochte gratis Android VPN-apps een of andere vorm van malware bevatte; vervolgonderzoek in latere jaren laat zien dat de situatie verbeterd maar niet getransformeerd is.
Hoe je het herkent: de app heeft agressieve advertentieplacement in zijn eigen interface, vraagt machtigingen die een VPN niet nodig heeft (contacten, SMS, altijd-locatie), heeft zeer weinig app-store-beoordelingen en de naam van de ontwikkelaar is onbekend. Generieke "Best Free VPN"-apps in de Play Store die er iets anders uitzien maar op elkaar lijken, zijn meestal dezelfde SDK onder een ander merk.
De checklist voor rode vlaggen in het privacybeleid
Lees het privacybeleid vóór installatie van welke VPN dan ook — gratis of betaald — en zoek naar deze specifieke aandachtspunten:
- Vage "geaggregeerde gebruiksdata"-taal met brede toegestane gebruiksdoeleinden ("om onze diensten te verbeteren, voor onze partners, voor marketingdoeleinden"). Eerlijke betaalde aanbieders vermelden doorgaans specifiek wat ze loggen: accountgegevens, betalingsgegevens, soms bandbreedtegebruik op geaggregeerd niveau, verder niets.
- Geen externe audit, of een vage verwijzing ernaar zonder link. Eerlijke betaalde aanbieders linken naar het volledige auditrapport (Proton, Mullvad, ExpressVPN, NordVPN publiceren ze allemaal).
- Jurisdictie die ongunstig is voor gebruikersprivacy — VS (onderhevig aan NSL-zwijgbevelen), VK (Investigatory Powers Act), of jurisdicties binnen het Fourteen Eyes-inlichtingendeelakkoord. Niet automatisch diskwalificerend, maar het wegen waard.
- Anoniem eigenaarschap. Als je na een paar minuten onderzoek niet kunt achterhalen welk bedrijf het product bezit en waar dat gevestigd is, is dat een signaal.
- "P2P / peer-to-peer / community-netwerk"-architectuurtaal — zie het Hola-patroon hierboven.
- App-store-machtigingen ver buiten wat een VPN nodig heeft. Een VPN heeft de VPN-servicemachtiging nodig en op Android een foreground service. Het heeft geen contacten, SMS, agenda of precieze locatie nodig.
Wanneer gratis werkelijk het juiste antwoord is
Drie eerlijke gebruikssituaties waar een gratis VPN (specifiek Patroon 1 of Patroon 2) werkelijk het juiste hulpmiddel is:
- Incidentele koffiezaak-encryptie. Je wilt je verkeer versleuteld hebben tegen afluisteren op een vijandig WiFi-netwerk, je maandelijkse volume is onder een paar GB, en je doet niets waarbij je baat hebt bij snelheid. ProtonVPN Free, Windscribe Free, TunnelBear Free en Cloudflare WARP doen dit allemaal prima.
- Uitproberen voor je koopt. Gebruik de gratis laag van een betaalde aanbieder om de kwaliteit van de app, de snelheid en het landenoverzicht te valideren voordat je een abonnement van een jaar afsluit. Gratis lagen bestaan daarvoor.
- Je zit al in iemands bundel. Als je betaalt voor iCloud+ en je verkeer voornamelijk via Safari loopt, is iCloud Private Relay gratis aan de marge. Als je Brave gebruikt, is Brave Firewall + VPN inbegrepen. Als je werkgever een zakelijke VPN biedt, gebruik die dan voor werk en koppel het voor persoonlijk gebruik aan iets anders.
Wat een betaalde VPN je werkelijk oplevert (eerlijke versie)
Los van de marketingclaims, is dit wat abonnementsinkomsten een aanbieder in staat stellen te leveren wat een advertentiegefinancierde of data-doorverkopende aanbieder structureel niet kan:
- Een prikkel die gericht is op jouw privacy, niet ertegen. Het abonnement IS de omzet; het verkopen van je verkeersdata zou het merk en de klantenbasis vernietigen. Het economische argument voor eerlijk gedrag is het sterkste.
- De capaciteit om misbruik te verwerken zonder jou te laten vallen. Betaalde aanbieders kunnen misbruikresponse-medewerkers betalen; gratis aanbieders bezetten dit te weinig en laten misbruik de reputatie schaden of schakelen functies uit (P2P/torrenten verdwijnt vaak uit gratis lagen om kostenredenen, niet om beleidsredenen).
- Externe audits. Onafhankelijke beveiligingsaudits kosten écht geld; gratis aanbieders bestellen ze zelden. De grote betaalde aanbieders publiceren auditrapportages op regelmatige basis.
- Snelheid en serverdichtheid. Bandbreedte is de dominante kostenpost. Betaalde aanbieders kunnen overinvesteren; gratis aanbieders rantsoeneren. Dit uit zich in lagere snelheden tijdens piekuren, minder beschikbare landen, een kleiner IP-pool.
- Echte klantenservice. Gratis-laag-gebruikers krijgen een communityforum; betalende klanten krijgen binnen enkele uren een e-mailreactie.
- Een duidelijk bedrijfsmodel. Als je kunt benoemen hoe het bedrijf geld verdient, kun je voorspellen hoe het zich zal gedragen onder druk (overname, financiële problemen, regelgevingsdruk).
Waarom VPN's ook niet het hele plaatje zijn (het eerlijke standpunt van een betaalde aanbieder)
Zelfs een perfecte betaalde VPN — behoorlijk geauditeerd, geen logs, goed gebouwd — lost slechts een specifieke subset van privacyproblemen op. Het verkeerversleutelingsgedeelte: ja. Het "je ISP kan niet zien welke sites je bezoekt"-gedeelte: ja. Het "het koffiezaaknetwerk kan je sessies niet lezen"-gedeelte: ja. Maar:
- De sites en apps waarmee je communiceert zien je nog steeds — en op telefoons bellen de in-app tracking-SDK's thuis ongeacht de netwerkroute. iOS App Tracking Transparency blokkeert de IDFA maar niet fingerprinting; zie Wat iOS App Tracking Transparency niet tegenhoudt.
- Advertenties, trackers en kwaadaardige domeinen worden nog steeds geladen op DNS-niveau. Een VPN versleutelt je verkeer naar de bestemming; het filtert niet welke bestemmingen bereikt worden. Dat is waarom DNS-level filtering de natuurlijke aanvulling is — zie Hoe DNS-level filtering werkelijk werkt.
- Verkeersanalyse-aanvallen op het metadataniveau — patronen van bytes per seconde, timing, met wie je verbinding maakt en wanneer — werken door versleutelde tunnels heen. De meeste gebruikers interesseert dit niet; sommigen wel.
Casper's Cloak combineert VPN-tunneling met DNS-level advertentie-/tracker-blokkering (we draaien per gebruiker een Pi-hole-instantie als resolver) en AI-gestuurde dreigingsdetectie — expliciet omdat de VPN-alleen-propositie het DNS-laag-aanvalsoppervlak open laat. Eerlijk geformuleerd: een betaalde VPN is noodzakelijk voor een betekenisvolle reeks privacyproblemen en op zichzelf onvoldoende voor andere.
Conclusie
Gratis VPN's zijn geen categorie, ze zijn drie verschillende categorieën met sterk uiteenlopende prikkelstructuren. Beperkte gratis laag van een betaalde aanbieder: meestal prima, bewust gelimiteerd, betaalde gebruikers subsidiëren jou. Gratis-voor-een-doel VPN: afhankelijk van wie betaalt en waarom, maar er wordt er meestal eerlijk over gecommuniceerd. Gratis-als-verdienmodel VPN: hier heeft de gedocumenteerde schade plaatsgevonden — peer-als-exitnode-netwerken, doorverkoop aan datamakelaars, advertentie-injectie, malwarebundeling. De manier om de derde categorie van de eerste twee te onderscheiden is de checklist voor rode vlaggen in het privacybeleid hierboven en, betrouwbaarder, jezelf afvragen: waar komt het geld vandaan? Als je het kunt benoemen, zit je waarschijnlijk goed. Als je dat niet kunt, ben je waarschijnlijk het product.
En welke je ook kiest: gratis, betaald of geen, combineer het minimaal met DNS-level filtering en verwacht niet dat een van deze dingen het volledige antwoord is. De eerlijke stack is VPN + DNS-filtering + verstandige OS-standaardinstellingen — dat is de architectuur die Casper's Cloak levert; het is ook de architectuur die je zelf kunt samenstellen uit gratis onderdelen als je dat wilt.
Gerelateerd: Openbare WiFi-aanvallen in 2026 behandelt het dreigingsmodel dat VPN's geacht worden aan te pakken; Hoe DNS-level filtering werkelijk werkt behandelt de laag die VPN's open laten; Wat iCloud Private Relay werkelijk dekt behandelt Apple's niet-helemaal-een-VPN-privacyfunctie. De vergelijking van Casper's Cloak versus traditionele VPN's gaat dieper in op de technische verschillen.