Minister ziet geen heil in Nederlands verbod op losgeldbetaling bij ransomware

De Nederlandse minister van Justitie en Veiligheid spreekt zich uit tegen een wettelijk verbod op het betalen van losgeld bij ransomwareaanvallen. De bewindsman erkent in zijn antwoorden op Kamervragen na de Odido-hack dat betalen het verdienmodel van afpersers in stand houdt.

Nederland geeft, net als de meeste EU-landen, slachtoffers van ransomware het dringende advies om geen losgeld te betalen. "We willen organisaties die slachtoffer zijn geworden van een ransomwareaanval niet criminaliseren", verklaart minister David van Weel in zijn antwoorden aan GroenLinks-PvdA-Kamerleden. Hij stelt dat er spanning is tussen het belang van een ransomwareslachtoffer en het bredere belang van de maatschappij.

Betalen kan op de korte termijn in het belang zijn van een bedrijf of organisatie dat slachtoffer is van ransomware. Daarmee zou het de schade van zo'n hackaanval kunnen beperken. Tegelijkertijd houdt betalen het verdienmodel van cybercriminelen in stand, beaamt Van Weel. Niet betalen kan op de langere termijn deze vorm van misdaad hinderen en het aantal slachtoffers verminderen.

Totdat de door Van Weel genoemde spanning 'eenduidig kan worden opgelost', houdt Nederland het bij het dringende advies om niet te betalen. De meeste EU-landen doen dit ook. Ondanks dat advies kunnen er 'situaties voorkomen waarbij toch een andere afweging wordt gemaakt door een organisatie'. Om die reden vindt de minister een volledig wettelijk verbod 'onwenselijk'.

Bestaande wetten

Hij meent dat het aanmoedigen van betere ict-beveiliging al gebeurt op basis van huidige wetten, zoals de Telecommunicatiewet, de Wet beveiliging netwerk- en informatiesystemen (Wbni), de AVG en de aankomende Cyberbeveiligingswet (gebaseerd op de Europese NIS2-richtlijn). Verder zet de Nederlandse overheid in op preventieve maatregelen, verplichte melding van datalekken bij toezichthouders en moeten slachtoffers geraakte individuen gericht informeren.

Petya Ransomware
Petya Ransomware

Door Jasper Bakker

Nieuwsredacteur

Feedback • 09-04-2026 16:23
86 • submitter: Aerkhanite

09-04-2026 • 16:23

86

Submitter: Aerkhanite

Lees meer

Tweede Kamer stemt in met Cyberbeveiligingswet die NIS2-maatregelen verplicht
Tweede Kamer stemt in met Cyberbeveiligingswet die NIS2-maatregelen verplicht Nieuws van 15 april 2026
Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update
Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update Nieuws van 13 april 2026
Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien
Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien Nieuws van 13 april 2026
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval Nieuws van 9 april 2026
Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware
Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware Nieuws van 7 april 2026
Cyber Security Raad waarschuwt Nederlands kabinet voor securitydreigingen van AI
Cyber Security Raad waarschuwt Nederlands kabinet voor securitydreigingen van AI Nieuws van 25 maart 2026
Politie en Europol rollen LeakBase op en nemen privédata van criminelen over
Politie en Europol rollen LeakBase op en nemen privédata van criminelen over Nieuws van 5 maart 2026
Nieuwsblog: journalistieke afwegingen als je schrijft over cybercriminelen
Nieuwsblog: journalistieke afwegingen als je schrijft over cybercriminelen Nieuws van 27 februari 2026
Belgische school slachtoffer van ransomware, hackers eisen ook losgeld ouders
Belgische school slachtoffer van ransomware, hackers eisen ook losgeld ouders Nieuws van 31 januari 2026
Meer producten en artikelen
Marktontwikkelingen Politiek en recht Privacy Betaling Cybercrime Cybersecurity Justitie Odido Ransomware Tweede kamer

Reacties (86)

-Moderatie-faq
86
86
34
1
0
50
Wijzig sortering

Sorteer op:

Weergave:
i7x 9 april 2026 16:33
Dat je bedrijven--nota bene slachtoffer--niet wilt criminaliseren is logisch, maar het hele idee is juist dat dat ook niet gaat gebeuren omdat het dit soort aanvallen beperkt. Als bedrijven criminele afpersers niet meer mogen betalen is het logischerwijs veel aantrekkelijker om je te richten op een ander land waar dat allemaal geen probleem is. Nu is Nederland dat land. Ja, ik ben er duidelijk voorstander van betalen illegaal te maken. In de marge zal het nog steeds problemen geven, maar netto genomen zal het aantal van dit soort aanvallen zeker minder aantrekkelijk worden, en daar zouden veel mensen profijt van hebben.

Dit niet illegaal maken maar enkel aan komen met zo'n slap lulverhaal van het "dringende advies om niet te betalen" is echt typisch politiek. Hoef je niets te doen, en als daar dan problemen door ontstaan (wat gegarandeerd het geval is) kun je nog mooi gaan vertellen wat voor indrukwekkend advies je hebt gegeven ook.
Reageer
Blokker_1999
@i7x9 april 2026 16:51
Het is helemaal niet logischer dat je je gaat richten op een ander land, want je weet dat bedrijven wel manieren gaan zoeken om toch te kunnen betalen als ze dat willen. Er is zoveel illegaal in dit en andere landen, stopt dat mensen van het te doen? Nee, natuurlijk niet.

En als je als bedrijf de keuze gaat moeten maken tussen het betalen van een som geld, of je levenswerk verloren te zien gaan en mogelijks honderden mensen op straat te moeten zetten, denk jij dat een bedrijfsleider dan gelukkig gaat worden van zo een wetgeving? En dan mag je gaan zeggen dat het de eigen schuld is, maar ook dat lijkt zo vaak een te eenvoudige manier van denken en reageren.
Reageer
i7x @Blokker_19999 april 2026 16:55
Het is wel logischer want de kans dat men betaalt is hier dan gewoon kleiner dan elders. Netto is dit hoe dan ook het geval. Zal best dat het soms nog voorkomt, en dat men soms ook nog betaalt, maar het gaat om het algehele resultaat en dat is sowieso positiever.

Met verkeersboetes rijdt men ook nog wel eens te hard, maar het is logisch dat het enorm wordt ingeperkt tov wanneer te hard rijden prima is en er enkel een “dringend advies” bestaat om toch maar de borden op te volgen.

[Reactie gewijzigd door i7x op 9 april 2026 16:57]

Reageer
StefanJanssen @Blokker_19999 april 2026 17:17
Er is zoveel illegaal in dit en andere landen, stopt dat mensen van het te doen? Nee, natuurlijk niet.
Criminelen doen criminele activiteiten, dat klopt. Maar de meeste bedrijven proberen zich wel degelijk aan de wet te houden omdat het bedrijven zijn.
Reageer
ZinloosGeweldig @StefanJanssen9 april 2026 20:05
Bedrijven maken gewoon een kosten-batenanalyse en als zich niet aan de wet houden meer oplevert dan het kost kiezen ze daar keer op keer voor. Eigenlijk net als criminelen dat doen.
Reageer
C64Boy @ZinloosGeweldig11 april 2026 08:40
En een kosten baten analyse zoals ieder mens dat doet? Wat is je punt in laatste zin? Wil je suggereren dat bedrijven criminele organisaties zijn?
Reageer
ZinloosGeweldig @C64Boy11 april 2026 09:35
En een kosten baten analyse zoals ieder mens dat doet?
En kiest ieder mens als uit die analyse de conclusie "de wet breken is winstgevend" komt ervoor om de wet te breken?
Wat is je punt in laatste zin?
Nou ik reageer op iemand die beweert dat "bedrijven zich aan de wet proberen te houden omdat het bedrijven zijn".
Wil je suggereren dat bedrijven criminele organisaties zijn?
Wil je suggereren dat ik dat zei?

[Reactie gewijzigd door ZinloosGeweldig op 11 april 2026 09:35]

Reageer
Stoney3K
@Blokker_199910 april 2026 10:18
Als je een zinnig IT beleid hebt dan hoef je je niet eens bezig te houden met het betalen van het losgeld. Dan zeg je gewoon tegen de aanvallers "amehoela, dikke middelvinger" en zet je de backup van gisteren terug. Is echt niet anders dan wanneer je schijf met gegevens er ineens mee op zou houden.
Reageer
Bulls @i7x9 april 2026 16:47
Wat willen ze dan, boete opleggen en dus 2x losgeld moeten betalen? Ik vindt dat betalen van boetes het verdienmodel van de overheid in stand houdt :+
Reageer
i7x @Bulls9 april 2026 16:48
Nee, het idee is dat niemand betaalt krijgt; zowel de afpersers als de overheid, omdat bedrijven niet mogen betalen.

Mochten er toch nog hier en daar hacks voorkomen, dan zou het de bedrijven zelf ook helpen qua pr: ze kunnen wijzen op de wetgeving en dat ze wel zouden willen maar niet mogen betalen. (Of ze dan nu werkelijk zouden willen of niet)

Logischerwijs kunnen bedrijven hoe dan ook nog steeds vervolgd worden voor brakke beveiliging. Dat blijft belangrijk, maar dat is ook nu al het geval.

[Reactie gewijzigd door i7x op 9 april 2026 16:52]

Reageer
Tigitaal @i7x9 april 2026 16:56
En wat als bedrijven toch betalen ondanks dat het illegaal is? Vandaar dat de boete eerder een deze discussie genoemd is
Reageer
i7x @Tigitaal9 april 2026 17:00
Dan gebeurt het netto nog steeds veel minder dan nu. Weet niet wat ik er verder nog over moet zeggen maar dat is toch wel duidelijk lijkt mij.
Reageer
paulhekje @Tigitaal11 april 2026 12:49
Gevangenisstraf voor de verantwoordelijke bestuurders, is m.i. de beste straf voor betalen van dit soort criminelen.
Reageer
Tigitaal @paulhekje11 april 2026 14:00
Dat is inderdaad veel meer demotiverend dan aan boete. Alleen zie ik dat in Nederland niet zo snel gebeuren
Reageer
Ronald @Tigitaal13 april 2026 07:39
De boete komt terug in de boekhouding. Dus moeten ze de accountant mee krijgen om het te verhullen.

Voor de accountant is het ook weer reputatie schade als ze er aan meewerken.
Reageer
kdekker @i7x9 april 2026 17:19
Tussen worst-case keuze voor betalen of faillissement (of essentiele data kwijtraken, incl AVG schade) kies je de minst kwade van die 2. Het lijkt me terecht dat de overheid daar geen keuze kan maken. Als ze dat wel gaat doen, dan kan een bedrijf bij de overheid aankloppen, voor de gevolgen van hun eis.
Reageer
dmystic @kdekker9 april 2026 20:07
Dat vind ik niet, als jij geld kan besparen door te hard te rijden (bv omdat je anders te laat bent voor een klus en er dan boetes komen), kan je de overheid ook niet aansprakelijk stellen voor het feit dat je niet te hard mag rijden
Reageer
kdekker @dmystic9 april 2026 21:10
Dat is wel een andere categorie/orde grootte probleem. Die vergelijking gaat dus mank. Ik denk dat er formeel geen verbod is om criminelen te betalen. Anders zou bijv. losgeld betalen bij een ontvoering ook een misdrijf kunnen zijn. Nogmaals: het is kiezen tussen twee kwaden. En het is voor een buitenstaander lastig te beoordelen of een bedrijf nalatig is geweest (beveiliging niet op orde cq geen goede backup), echt niet anders kan of de 'makkelijkste' weg kiest. In alle gevallen lijkt me het wel nuttig dat er aangifte wordt gedaan om de daders te kunnen vervolgen.
Reageer
SPee @dmystic10 april 2026 00:19
Maar als je in een taxi rijd, is het dan ook terecht dat je dan een boete krijgt?

Want heb je alles goed geregeld als bedrijf, doe je wekelijks audits, heb je al je personeel goed opgeleid. Alsnog kan een leverancier van een software product een zero-day hebben, waardoor je gehackt kan worden (Trivy, Citrix). En dan heb je een probleem.
Reageer
Stoney3K
@dmystic10 april 2026 10:21
Dat vind ik niet, als jij geld kan besparen door te hard te rijden (bv omdat je anders te laat bent voor een klus en er dan boetes komen), kan je de overheid ook niet aansprakelijk stellen voor het feit dat je niet te hard mag rijden.
Sterker nog, te hard rijden als chauffeur (of met een overbeladen bus op pad gaan) is een economisch delict want het is in principe concurrentievervalsing. En dan loopt de boete daarvoor dus op tot een percentage van je jaaromzet.
Reageer
WillySis
@i7x9 april 2026 17:24
Ook als de wet het verbied zullen er bedrijven zijn die ransomware attacks blijven betalen. Als je het gaat criminaliseren wordt de voorlichting naar het publiek, wiens data mogelijk is gestolen. waarschijnlijk veel slechter en worden hacks domweg niet meer bij de AP gemeld om de kans op vervolging kleiner te maken.

Of de ransomware groepen zich iets van die wet aan zullen trekken is maar de vraag. Ze zitten al in het criminele milieu, dus de kans is groot dat het hun niet veel uitmaakt of een slachtoffer wel mag betalen of niet.

Ik zou het ook bij het dringende advies houden.
Reageer
Keypunchie
@i7x9 april 2026 18:35
Dat je bedrijven--nota bene slachtoffer--niet wilt criminaliseren is logisch, maar het hele idee is juist dat dat ook niet gaat gebeuren omdat het dit soort aanvallen beperkt. Als bedrijven criminele afpersers niet meer mogen betalen is het logischerwijs veel aantrekkelijker om je te richten op een ander land waar dat allemaal geen probleem is.
Er is een verbod op het kopen van een gestolen fiets (heling), toch heeft dit vrij weinig impact op de fietsendiefstal.

Daar kan je tenminste nog makkelijk een individu verantwoordelijk houden en is, zeer belangrijk het slachtoffer, iemand anders dan de dader. Hoe zwaar wil je het losgeldverbod maken? Boete? Gevangenisstraffen?

Uiteindelijk wordt dat een straf op het verlangen van iemand om zijn of haar bedrijf van de ondergang te redden. Ik vind dat niet erg veel gerechtigheid.
Reageer
ZinloosGeweldig @i7x9 april 2026 20:52
Ik vraag me af hoe en of het aanvallen daadwerkelijk en significant gaat beperken. Meestal staan de inbraak zelf en het uitbaten van de inbraak namelijk nogal los van elkaar. Groep A regelt toegang, persistence en zo mogelijk elevation, verkoopt die toegang dan aan Groep B die daadwerkelijk iets gaat doen met de toegang.

Hooguit is toegang tot een Nederlandse organisatie dan voor één van de uitbatingsmogelijkheden minder aantrekkelijk, en wordt toegang tot een Nederlandse organisatie dan minder vaak voor ransomware doeleinden verkocht.

Maar gaat het inbraken echt beperken? En worden de hacks dan niet verkocht aan groepen met nefarischere doeleinden dan er een financieel slaatje uit slaan, die mogelijk veel meer (maatschappelijke) schade aanrichten?

In Italië is begin jaren 90 een verbod op losgeld betaling bij ontvoering ingevoerd. En dat heeft het aantal ontvoeringen hevig doen afnemen. Maar bij mensen ontvoeren voor losgeld, is het losgeld vanaf het begin al het doel. Bij het inbreken op de systemen van een organisatie, staat de exacte wijze van exploitatie van te voren zelden vast.

[Reactie gewijzigd door ZinloosGeweldig op 9 april 2026 21:01]

Reageer
Cyberpuppy @i7x9 april 2026 21:09
In bijv. Amerika kan het illegaal zijn om losgeld te betalen. Echter zijn er geen cijfers die een echt positief resultaat ondersteunen. Dus is maar de vraag of dit verbod iets oplost

Vergeet ook niet dat de georganiseerde misdaad vuistdiep in de cyber zit. Zijn geen puisterige pubers meer en er wordt soms ook al met fysiek geweld gedreigd. Dus het speelveld wordt alsmaar complexer. Meer regels lossen dat niet op als je gezin en familie bedreigd worden.
Reageer
Mathijs Kok @i7x9 april 2026 21:38
Voor een CEO is het simpel. Als de schade door niet te betalen groter is dan afperssom + boete, betaal ik de boeven. Het verbieden van betalen is gewoon niet intelligent. Geen enkele CEO zal zich aan die wet houden als de boetes niet waanzinnig hoog zijn.
Reageer
rjberg @i7x9 april 2026 22:57
Alleen maak je daarmee een slachtoffer chanteerbaar. Dan verander je ransomware feitelijk in een abonnentsdienst, en dat levert criminelen meer op, waardoor het juist aantrekkelijker wordt.
Reageer
biteMark @i7x9 april 2026 23:38
Hoe zie je dat voor je? Bedrijven die al reputatieschade hebben opgelopen én afpersers hebben betaald worden ook nog eens gestraft..? Hoe hard wil je ze naaien! Het vestigingsklimaat is al gekelderd, moet je het vooral nog erger gaan maken…
Reageer
Stoney3K
@i7x10 april 2026 10:17
Dat je bedrijven--nota bene slachtoffer--niet wilt criminaliseren is logisch, maar het hele idee is juist dat dat ook niet gaat gebeuren omdat het dit soort aanvallen beperkt. Als bedrijven criminele afpersers niet meer mogen betalen is het logischerwijs veel aantrekkelijker om je te richten op een ander land waar dat allemaal geen probleem is.
Nee, als je betalende bedrijven criminaliseert gaat het niet zo zijn dat bedrijven stoppen met betalen van losgeld.

Het enige wat er verandert is dat ze dat nu stiekem gaan doen. Beetje hetzelfde idee als hoerenlopers of drugsverslaafden criminaliseren om te zorgen dat er geen sekswerkers of drugsdealers meer op straat komen: Het aanbod proberen te verminderen door de vraag crimineel te maken werkt niet.
Reageer
C64Boy @i7x11 april 2026 08:35
Heb je er ook aan gedacht wat dit teweeg kan brengen? Het kan een van de items zijn waarom grote bedrijven ons land als vestigingsland gaan mijden. Het aantal regels en restricties is al erg hoog en dit komt er dan nog eens bij. Als je dit al wilt zul je dit breder moeten aanpakken dan alleen ons landje.
Reageer
batjes 9 april 2026 16:26
Wat fijn om iemand op die positie te hebben zitten die met weloverwogen en doordachte antwoorden komt. Ik kan gewoon niet loslaten dat zo'n clown als Grapperhaus er in het verleden verantwoordelijk voor was.
Reageer
SunnieNL @batjes9 april 2026 16:40
Ik had het aangevlogen door het wel in de wet te laten opnemen met een ontsnappingsclausule erin, dat als blijkt tijdens een strafrechtelijk onderzoek dat het bedrijf er alles aan gedaan heeft om de ransomware/datalek te voorkomen er geen boete volgt bij betaling van ransomware.

De cbw is niet voor alle bedrijven. De AVG geldt niet als er geen persoonsgegevens in geding zijn. De inzet op preventive maatregelen zit geen boete op maar is een advies. WBNI kent geen boetes en is dus nietszeggend (dat is een van de redenen dat de NIS2 wel boetes kent). Er zijn dus hele groepen bedrijven die buiten deze wetgeving vallen.

[Reactie gewijzigd door SunnieNL op 9 april 2026 16:41]

Reageer
batjes @SunnieNL9 april 2026 16:56
Nee, helemaal niet. Wanneer je dit soort muren gaat opgooien, gaan bedrijven het straks weer verbergen. We zijn _eindelijk_ dusdanig op weg dat het geen taboe meer is om over datalekken te praten en de meeste organisaties zijn er ondertussen open voor.

Zodra er geen AVG gevoelige data in terecht komt, is het vooral een eigen risico-afweging van de toko zelf. Minimale eisen hoeft niet en die hebben we al voor AVG-gevoelige data, namelijk: de AVG. Probleem is dat die nauwelijks gehandhaaft wordt.

Laten we vooral weer angst gaan rondzaaien. Niet betalen voor ransomware kan inhouden dat je de toko kan sluiten. Betalen zal men wel, maar dan in het geniep.

Van Weel heeft hier een prima weloverwogen keuze gemaakt en beargumenteerd zijn redenering prima.
Reageer
Coolstart @batjes9 april 2026 17:24
Betalen zal men wel, maar dan in het geniep.
Hoe ga jij in het geniep een paar miljoen doorsluizen?

Ik ben van mening dat bedrijven die betalen dat bedrag 2x moet doorstorten aan een eenheid die niets anders doet dan fraudebdreiding. Want als je betaald help je het verdienmodel in stand te houden.

Zodra Europa dit aan banden legt drogen ook hun inkomsten op. Dat geld kan je perfect traceren. Dat is echt geen argument.
Reageer
batjes @Coolstart9 april 2026 17:51
Je moest eens weten wat er aan miljoenen (miljarden) in het geniep het bedrijfsleven in en uitsluist. Bij beursgenoteerde bedrijven is het wat lastiger, maar een beetje toko schrijft met wat creatieve boekhouding zo bakken met geld weg waar de belastingdienst niet naar kijkt of via de knip van de baas oid. Genoeg geld in omloop dat de belastingdienst nooit te zien krijgt en daar is geen enkele controle over.

De primaire reden dat de situatie nu relatief open is (er gebeurt nog steeds te veel achter de schermen) is omdat er juist geen consequenties op staan als je tenminste adequaat omgaat met de ontstane situatie.

Dat is wat we als maatschappij willen, openheid van zaken, een gezamenlijk plan van aanpak. Muren opwerpen gaat averechts werken en er verdwijnt weer veel achter de schermen.

Negatieve stimulans werkt minder goed dan positieve stimulans, dat is ondertussen al vaak zat wetenschappelijk aangetoond.
Reageer
84hannes @batjes9 april 2026 18:46
Dat is wat we als maatschappij willen, openheid van zaken, een gezamenlijk plan van aanpak.
Dan ben ik verkeerd geïnformeerd. Ik dacht dat we van criminele bendes af wilden. Blijkbaar willen we ze legaal financieren, als het maar transparant gebeurt.

Wat ik wil, maar dat is blijkbaar niet 'we als maatschappij', is dat we op z'n minst naar buiten toe uitstralen dat we geen geld geven aan criminelen. Dat deze bendes Nederlandse bedrijven links laten liggen omdat er al jaren niet publiekelijk betaald is door een Nederlands bedrijf. Dat bedrijven hoog van de toren blazen dat ze wel zouden willen betalen, maar het niet mogen. Als ze het dan in het geheim toch doen is dat in elk geval geen uithangbord om meer aanvallen op Nederlandse bedrijven en instellingen uit te voeren.

[Reactie gewijzigd door 84hannes op 9 april 2026 18:49]

Reageer
MennoE @84hannes9 april 2026 18:58
Ik denk niet dat ze Nederlandse bedrijven links laten liggen als die niet meer mogen betalen. Misschien gaan hackers Nederlandse bedrijven wel massaal afstraffen om andere landen te weerhouden dit soort wetten in te stellen. Of misschien gaan ze Nederland juist hacken, niet met als doel om geld aan afpersing te verdienen, maar om die bedrijven veel schade aan te richten.
Reageer
84hannes @MennoE9 april 2026 19:03
Of misschien gaan ze Nederland juist hacken, niet met als doel om geld aan afpersing te verdienen, maar om die bedrijven veel schade aan te richten.
Ik denk dat jij en ik een ander beeld hebben bij het verdienmodel van hackersorganisaties. Volgens mij zijn het gewoon professionele bendes met een winstoogmerk. Geen principiële piraten met idealen.

Maar misschien heb je gelijk, het zou fijn zijn als een ander land het voortouw neemt en laat zien of het werkt, want Nederland heeft dat lef niet.
Reageer
batjes @84hannes9 april 2026 19:02
Hoe meer je het uit het zicht drukt, hoe makkelijker het zwart gebeurt en misschien belangrijker, hoe moeilijker je het maakt voor personeel om zich uit te spreken.

Er is duidelijk een verschil te merken met 10+ jaar geleden in hoe men met veiligheid en dataleks om gaat. Digitale veiligheid is in die tijdspanne niet echt meer of minder belangrijk geworden.

De bendes laten niemand links liggen, het is praktisch allemaal geautomatiseerd. Men gaat IP ranges af op zoek naar zwakheden, spamt mailtjes rond naar iedereen, maakt echt geen fluit uit in welk land, dorp of kelder. De enige 'filter' is dat bendes hun thuisland met rust laten en niet te veel rotzooien in politiek bevriende landen die moeilijk kunnen gaan doen.

Of we betalen of niet, gehacked wordt je sowieso, data wordt encrypt. Een paar bedrijven meer of minder, een deel doet het voor de kick, bedrijfsspionage is ook goud geld waard en de potentiele avg gevoelige data zelf vaak ook.

[Reactie gewijzigd door batjes op 9 april 2026 19:03]

Reageer
84hannes @batjes9 april 2026 19:05
De bendes laten niemand links liggen, het is praktisch allemaal geautomatiseerd. Men gaat IP ranges af op zoek naar zwakheden, maakt echt geen fluit uit in welk land, dorp of kelder. De enige 'filter' is dat bendes hun thuisland met rust laten en niet te veel rotzooien in politiek bevriende landen die moeilijk kunnen gaan doen.
Dat is interessante informatie. Dus voordat deze bendes een complexe, tijd- en geldverslindende hackoperatie begin, kijken ze niet of de organisatie die ze hacken überhaupt wel interessant is en het losgeld kan betalen? Ben ik ook verkeerd voorgelicht toen ik hoorde dat bijvoorbeeld Odido door social engineering gehackt is? Ik zou u graag willen weten waar je die kennis vandaan haalt, want het staat haaks op wat ik altijd hoor over deze bendes.

[Reactie gewijzigd door 84hannes op 9 april 2026 19:07]

Reageer
batjes @84hannes9 april 2026 19:27
Hele gebouwen vol over de wereld die niets anders doen en het proces is best bekend. Het vissen is praktisch geautomatiseerd, men flyert rond, scant ranges, koopt wat prepackaged dummy websites in, vervolgens breekt men ergens in in, koekeloert ff rond of er wat te halen valt, harkt de data naar binnen, gaat vaak eerst nog even wat contacten spammen en encrypt de flikkerzooi.

Die vissen uit de binnengeharkte data wat er te verpatsen valt of ze kunnen gebruiken om verder te verspreiden.

Die gasten gaan honderden, duizenden toko's per dag langs. Er hoeven er maar 0,1 of minder tussen te zitten die betalen en de kosten-baten analyse gaat sterk richting "worth". Zitten veelal in de wat armere landen waar een paar ton van onze centen al snel een compleet pensioenpakket waard is.

Die wetgeving gaat betalen niet volledig voorkomen, hoe graag je het zou willen, dus er valt nog steeds 'genoeg' te halen gezien de eerdere kosten-baten analyse. Dit gebeurt gewoon globaal, een continent met een iets lagere hitrate wordt er niet uit gefiltert.
Reageer
84hannes @batjes10 april 2026 06:19
Ik zou u graag willen weten waar je die kennis vandaan haalt
het proces is best bekend
Ik snap het. De feiten zijn zo algemeen bekend dat je geen bron hoeft aan te dragen.
Reageer
Daoka @84hannes10 april 2026 03:02
Ik denk dat het een kwestie van beide gevallen is. Ja soms zullen ze wel een doelwit hebben. Maar aan de andere kant gewone mensen kunnen ook een ransomware krijgen door de verkeerde website te openen of programma installeren. Als ze alleen specifieke doelwitten hadden dan zouden er dus geen gewone arne burgers getroffen worden.

En ik herinner me ook hier op Tweakers gelezen te hebben over een ziekenhuis dat ransomware kreeg maar dus de crimineel niet wilde geloven dat het een ziekenhuis was vanwege de naam. Uiteindelijk geloofde de crimineel het en heeft het toen vrijgegeven. Al weet ik niet of dit een echte groep was of meer iemand op een zolder kamertje.
Reageer
Coolstart @batjes10 april 2026 11:01
maar een beetje toko schrijft met wat creatieve boekhouding zo bakken met geld weg waar de belastingdienst niet naar kijkt of via de knip van de baas oid. Genoeg geld in omloop dat de belastingdienst nooit te zien krijgt en daar is geen enkele controle over.
Over welk geld heb je het dan? Drugsgeld cash? Want je kan niet zomaar 1.000.000 doorstorten op een andere bankrekening. Bij een controle checken ze uw balans van uw bankrekening en uw facturen. Als je plots 1 miljoen minder hebt dan je zou moeten hebben is er geld weg.

Het enige wat je kan doen is natuurlijk geld verduisteren maar je moet al een goede reden hebben omdat te doen want dat moet witgewassen worden. Daar betaal je ook voor.

Je kan ook geld doorfactureren naar off shore bedrijven. Shell bedrijven met weinig controle. En zo stiekem betalen. Dat kan zeker maar je moet dan echt moeite doen en de kans bestaat dat uw bedrijf zan de schandpaal wordt genageld + monsterboete.

Veel logischer is: wil je afkopen dan kan dat enkel mits een vergoeding voor anti-hackers initiatieven. Enkel geld geven aan de hackers is compleet zinloos en zou extreem Zwaar bestraft moeten worden. In het geniep betalen = bedrijf sluiten. Dan worden de aandelen verbeurd verklaart en wordt het bedrijf verkocht aan nieuwe aandeelhouders. Dat geld moet dan terug naar fraudebestrijding gaan. Elk bedrijf heeft de vrije keuze om dat risico te lopen.
Reageer
batjes @Coolstart10 april 2026 11:51
Bankrekening? Dat gaat allemaal via crypto, daar komt geen controle bij kijken.

Met wat creatieve boekhouding schrijf je zo een ton naar een project dat 2 maanden later gefaalt is en niets heeft opgebracht, huppa: wit geld wordt zwart. Zodra de toko een beetje cashflow heeft is het helemaal paasfeest met betrekking tot zwart geld.

Denk maar niet dat het vandaag veel moeilijker is om in zwart geld te handelen. Dankzij cryptocoins is het vandaag de dag alleen maar makkelijker geworden.

Men denkt hier veel te Hollywood.
Reageer
delphium @Coolstart10 april 2026 11:10
Want als je betaald help je het verdienmodel in stand te houden.
Dat is een sterk staaltje victim blaming. Zeg je dat ook als het om een ontvoering gaat?

Natuurlijk is het zo dat niet betalen helpt om zo'n verdienmodel te ontwrichten, maar je moet het niet omdraaien. De beste manier om dit soort criminaliteit uit te bannen, is betere voorlichting (besef bij het personeel), betere beveiliging (principle of least privilege) en zorgen dat het taboe rond dergelijke hacks wordt opgeheven, zoals @batjes ook al vermeldt.

Het is echt een utopie, om te denken dat door niet te betalen, deze vorm van criminaliteit zal afnemen. Dat komt omdat het vragen van losgeld in deze gevallen een gelegenheid is en geen doel op zich. Cracken gaat hoe dan ook door en daarbij doet zich de gelegenheid voor om data te stelen en/of te encrypten.
Reageer
Coolstart @delphium10 april 2026 11:26
Die ‘taboe’ is echt onzin. De enige reden waarom bedrijven ermee naar buiten komen is omdat ze verplicht zijn bij wet. Alle andere redenen zijn echt verzonnen.

Je moet criminelen en bedrijven die criminaliteit belonen echt pijnigen met centen. Je moet daar echt hard in zijn en het bij wet verbieden of laten afkopen via een boete. Anders werkt het niet! Nooit. wees maar zeker dat meer boetes de inspanningen rond cybersecurity zullen doen toenemen. Cyberveiligheid is geen ponykamp.
Reageer
delphium @Coolstart10 april 2026 12:44
Je moet criminelen en bedrijven die criminaliteit belonen echt pijnigen met centen.
De criminelen hebben een nee en kunnen een ja krijgen. Die pijnig je dus helemaal nergens mee. Bedrijven kun je wel pijn doen met boetes, maar nogmaals, zij zijn juist het slachtoffer. En zoals ik al aangaf, ga je dit soort criminaliteit niet uitbannen, door het verdienmodel te mankeren (helemaal wegnemen is onmogelijk!).

Bedenk je ook dat er naast grote spelers als Odido, die wat mij betreft best gestraft mogen worden voor nalatigheid, ook talloze kleine ondernemingen slachtoffer worden van dit soort aanvallen. Voor hen betekent niet betalen simpelweg faillissement.

Ik snap je sentiment en ik ben het met je eens dat beveiliging veel meer aandacht moet krijgen, maar je harde methode ben ik het niet mee eens. Dat werkt in de praktijk gewoon niet.
Reageer
SunnieNL @batjes9 april 2026 23:35
Maar de bedrijven die volgens jou nu open staan voor het melden, doen dat nu ook al met een boete boven hun hoofd. Immers, de minister zegt dat de huidige wetgeving voldoende is en die voorziet nu in een boete omdat ze hun zaken blijkbaar niet voor elkaar hadden. Daarnaast maakt diezelfde wetgeving ook dat ze het publiek moeten maken met alle schade die daar uit voortkomt. Het niet betalen en mogelijke reputatieschade houdt ze ook niet tegen open te zijn, zie odido.

Dus wat zou ze dan weerhouden om niet meer open te staan als ze niet meer mogen betalen volgens wetgeving? Waarom zouden ze daardoor juist niet meer investeren in security zodat ze minder makkelijk geraakt worden en daardoor sowieso niet zouden hoeven betalen?

Het blijft een afweging. Als betalen goedkoper is dan investeren in beveiliging wordt er niet geïnvesteerd. Als betalen betekend dat je crimineel bezig bent en een grote boete er bovenop krijgt, is het waarschijnlijk rendabeler om wel te investeren.
Reageer
batjes @SunnieNL10 april 2026 09:30
Ik ontken zeker niet dat er nog genoeg achter de schermen blijft gebeuren en niet elke toko leuk mee doet aan de openheid.

Er zit nogal een verschil tussen opvolging vanwege zaakjes niet juist voor elkaar hebben en een gegarandeerde vervolging. Dat tweede gaat geheid averechts werken, zorgt dat er weer een taboe op komt en er verwijnt weer van alles uit het zicht.

Het is nu de betere gok als bedrijf om open kaart te spelen, wat je kansen juist verhoogt dat er geen stront aan je knikker gaat zitten. Het is momenteel juist erg dom om te proberen een datalek in het geniep te houden. Probleem is wel dat er eigenlijk geen adequate opvolging is en het AP haar mandaat nauwelijks gebruikt.

Wanneer heeft dreigen met (torenhoge) boetes en straffen nou gewerkt? Rijdt er niemand meer te hard? Geen drugs meer in Singapore, nul moorden in de VS.
Reageer
SunnieNL @batjes10 april 2026 15:05
We kunnen de boetes van te hard rijden eens een jaartje stoppen en kijken of er dan meer mensen te hard rijden. Maar volgens mij hebben boetes er wel voor gezorgd dat minder mensen zich met die zaken bezighouden (te hard rijden, drank verkopen aan minderjarigen, etc.)
Reageer
Martinspire @SunnieNL9 april 2026 22:26
Mja maar dat is ook weer gevaarlijk. Met alle kennis van nu is het makkelijk oordelen over aanvallen van vroeger.
Reageer
PolarBear @batjes9 april 2026 17:02
Wat fijn om iemand op die positie te hebben zitten die met weloverwogen en doordachte antwoorden komt. Ik kan gewoon niet loslaten dat zo'n clown als Grapperhaus er in het verleden verantwoordelijk voor was.
Kamervragen worden gewoon door ambtenaren, die bereiden het voor. Ministers zullen een beetje bijsturen (als ze het al doen) maar op dit soort vragen is de meeste content gewoon staand beleid wat door ambtenaren wordt uitgewerkt.
Reageer
batjes @PolarBear9 april 2026 17:25
Dat klopt, neemt niet weg dat het aan de minister is om te zorgen dat die door de juiste personen voorzien wordt van de juiste informatie en de verantwoordelijkheid wel degelijk bij de minister zelf ligt om te zorgen dat die weloverwogen besluiten maakt en deze kan beargumenteren.

En niet in het wilde weg rondroeptoeterd dat we encryptie maar moeten gaan afschaffen want kinderporno of in het geniep een semi-geheime dienst opbouwt die illegaal burgers volgt.
Reageer
SinergyX 9 april 2026 16:35
Mooiste balans van vertrouwen en principes, vind ik een redelijke argumentatie om geen verbod erop te zetten. Nadeel is echter, het hoogste belang bij zon incident is niet de data, maar het commerciële aspect en rekensommetje. Al mogen ze van mij wel een stuk meer open zijn over de getroffen partijen, veelal "externe dienst, derde", die mogen ook gewoon meedraaien in het nieuws.
Reageer
84hannes @SinergyX9 april 2026 17:11
Mooiste balans van vertrouwen en principes
Vertrouwen en principes zijn mooi, maar van deze halfslachtige houding wordt toch geen enkele hacker afgeschrikt? Waarom zou je de ING niet hacken? Ze krijgen het "advies" om geen losgeld te betalen. Maar we hebben het over een bedrijf dat massaal investeerd in vervuilende energie, jarenlang witwassen heeft getolereerd en als klap op de vuurpijl het concept "Postbank" (je weet wel, van de Chipper en giro-rekeningnummers zonder checksum) in stand heeft gehouden. Dat bedrijf gaat echt niet een "advies" volgen als dat ze niet uit komt.
Reageer
bapemania 9 april 2026 16:38
Kan er wel een wet komen die bedrijven waarvan cybersecurity beneden de maat is (ongepatchte systemen en te lang bewaarde gegevens) aansprakelijk stelt wanneer (klant) gegevens gestolen worden waar aantoonbaar of mogelijk misbruik van wordt gemaakt? Dat wanneer er om wat voor krankzinnige reden dan ook er ID bewijzen zijn opgeslagen en via zo'n lek op straat komen het eigenlijke slachtoffer schadeloos worden gesteld voor de kisten van het vervangen van zo'n document?
Reageer
SunnieNL @bapemania9 april 2026 16:46
Die is er in theorie al, dat is de AVG. Echter, dan moet de AP wel een onderzoek starten en/of mankracht hebben. Het zou al helpen dat als de AP een boete oplegt, deze naar hen vloeit. Dan krijgt de AP ook inkomsten om meer mensen aan te kunnen nemen en daarmee weer meer meldingen te onderzoeken en boetes uit te delen.

Nu is de praktijd, AP heeft geen mensen om onderzoek te doen en volgt er dus vrijwel nooit een boete na een melding. Pas als er zoiets gebeurd als bij Odido, dan moet het AP wel.

Overigens moeten we nu echt stoppen om maar schadeloos te worden gesteld voor de kosten van een nieuw ID. Een nieuw ID gaat NIET de problemen oplossen die je kan hebben bij identieitsdiefstal en gaat je ook niet helpen in de stress om te bewijzen dat jij het niet was en om problemen op te lossen. Een verzekering met mensen die je echt kunnen helpen en zaken op zich nemen kan dat wel en is een veel beter idee.
Reageer
Itrme 9 april 2026 16:43
Achja, "Het dringende advies om niet te betalen", want dat zet echt zoden aan de dijk.

Persoonlijk zie ik liever dat verbod gewoon komen. Laat de bedrijven en organisaties maar goed nadenken over de beveiliging en backups van de omgeving. I.p.v een "we zien het wel als het zover is". (Of de overheid het verbod dan ook strikt moeten handhaven is even een 2e maar ik zie liever een "Nee, maar..." dan een "Ja, maar liever niet")
Reageer
CPV @Itrme9 april 2026 17:05
Er zou een verbod moeten komen op het uitvaardigen van verboden zonder dat daar op gehandhaafd gaat worden. Watjesregelgeving!
Bovendien zou dat een hoop voor-de-bühne regelgeving voorkomen als er meteen geld beschikbaar moet worden gesteld voor het optuigen van de handhaving.
Reageer
kodak
@CPV9 april 2026 19:14
Ik lees je geen enkele onderbouwing geven dat een verbod op betalen aantoonbaar niet te handhaven is.

En om eventuele argumenten alvast voor te zijn: er zijn heel veel zaken verboden die daders graag stil proberen te houden. Dat lukt alleen niet zomaar, juist omdat illegaal handelen ook aandacht trekt, niet zomaar ongemeld blijft en vaak sporen achter laat die door een verbod juist te onderzoeken zijn. En natuurlijk kunnen we altijd stellen dat niet zomaar alles ontdekt zal worden, maar dat is met bijna ieder verbod het geval.
Reageer
NMN1665 @kodak9 april 2026 22:32
Nou er is al idioot veel wat niet te handhaven is. Of het nou komt door extreem lage pakkans of gebrek aan personeel.
Reageer
The Realone 9 april 2026 16:36
Ik heb moeite met deze zogenoemde "spanningen". Hij spreekt over het belang van de maatschappij, maar heeft het uiteindelijk enkel over de schade voor de organisatie die slachtoffer is geworden. Nu is er natuurlijk ook schade voor de maatschappij wanneer er persoonsgegevens gelekt worden, en dat lijkt me wel relevant, maar betalen geeft geen enkele garantie dat die niet alsnog misbruikt worden. Dus dat probleem los je met betalen sowieso niet op.
Reageer
coretx 9 april 2026 16:36
Hef gewoon belasting op losgeld. ( Over het betaalde bedrag, dus af te dragen door de betaler. )

[Reactie gewijzigd door coretx op 9 april 2026 16:39]

Reageer
Tweeks @coretx9 april 2026 22:31
Dan krijg je waarschijnlijk dat bedrijven nog meer gaan verbergen dat ze een mogelijk lek hebben.
Reageer
CAPSLOCK2000
9 april 2026 16:53
Ik ben het eens met de minister. Een verbod zou er voor zorgen dat slachtoffers geen hulp durven zoeken als ze zelf geen andere uitweg zien dan te betalen. Daarna kunnen ze het niet melden bij de politie want dan worden ze gestraft voor het betalen van losgeld. De klanten/slachtoffers infomeren kan dan ook niet en ook hulp zoeken om de beveiliging te verbeteren is ook lastig.

Zo'n verbod zou het alleen maar makkelijker maken voor de afpersers omdat de druk op de slachtoffers nog groter wordt.
Reageer
neonite 9 april 2026 16:55
Volgens mij is het betalen/financieren van criminaliteit al strafbaar via de WWFT?
Reageer
Krommetenen @neonite10 april 2026 18:14
Ook met een geweer tegen je hoofd bij een geldautomaat? Dat is dit, maar dan digitaal.
Reageer
ThaJens 9 april 2026 17:19
Het verschil tussen ransomware en een datalek is hierbij in mijn ogen wel relevant. Waar ransomware het gehele bedrijf stil kan leggen, is bij een datalek de primaire schade de gelekte data. In dat laatste geval zou betalen om het publiceren van de data te voorkomen uiterst zinloos zijn, terwijl bij ransomware er nog wat voor te zeggen is.
Reageer

Om te kunnen reageren moet je ingelogd zijn