Minister: Betaal hackers niet
Het kabinet blijft onvermurwbaar: bedrijven die worden afgeperst door cybercriminelen moeten niet betalen. In antwoorden op Kamervragen naar aanleiding van een omvangrijk datalek bij telecomprovider Odido, benadrukt minister David van Weel (Justitie en Veiligheid) dat betalen het criminele verdienmodel enkel in het zadel houdt. Een wettelijk verbod op het betalen van losgeld wijst hij echter af.
De vragen werden gesteld nadat hackers in februari 2026 een miljoen euro losgeld eisten van Odido. De daders dreigden de persoonlijke gegevens van een enorme groep klanten openbaar te maken. Hoewel de impact voor slachtoffers groot is, blijft de officiële lijn van de overheid kraakhelder: geef niet toe aan afpersing.
Het duivelse dilemma
Minister Van Weel erkent de "spanning" waar getroffen organisaties mee worstelen. Aan de ene kant is er het belang van de individuele klant wiens data op straat dreigt te belanden. Aan de andere kant is er het maatschappelijke belang om de cybercriminaliteit te stoppen. "Het uitbetalen van losgeld houdt bovendien het verdienmodel van criminelen in stand. En lokt daarmee mogelijk nieuwe aanvallen op Nederlandse organisaties uit," aldus de minister.
Bovendien waarschuwt hij dat betaling geen enkele garantie biedt. Criminelen kunnen de data alsnog doorverkopen of systemen simpelweg versleuteld laten. De opbrengsten worden volgens Van Weel vaak direct geïnvesteerd in nog geavanceerdere aanvallen.
Geen criminalisering van slachtoffers
Ondanks de oproep om niet te betalen, ziet het kabinet niets in een wettelijk verbod op losgeldbetalingen. Volgens de minister zou je daarmee organisaties die al in grote nood verkeren, ook nog eens criminaliseren. Nederland kiest hiermee voor dezelfde koers als de meeste andere Europese landen: dringend adviseren in plaats van verbieden.
Het kabinet ziet meer heil in preventie en streng toezicht. Organisaties die hun beveiliging niet op orde hebben, kunnen rekenen op stevige sancties van toezichthouders zoals de Rijksinspectie Digitale Infrastructuur (RDI) en de Autoriteit Persoonsgegevens (AP).
Hardere aanpak via nieuwe wetgeving
De minister wijst op de komende Cyberbeveiligingswet (Cbw), de Nederlandse vertaling van de Europese NIS2-richtlijn. Deze wet moet de druk op bedrijven om hun digitale muren te verhogen aanzienlijk opvoeren. Onder de nieuwe regels kunnen toezichthouders:
- Beveiligingsscans en audits afdwingen.
- Bestuurlijke boetes opleggen bij nalatigheid.
- Bedrijven verplichten overtredingen openbaar te maken.
Voor de klanten van Odido en andere slachtoffers van datalekken blijft het devies: zelf alert zijn. De politie heeft de site 'Check-je-hack' inmiddels bijgewerkt met de gegevens uit het Odido-lek, zodat burgers zelf kunnen controleren of hun informatie in criminele handen is gevallen.
Meer over cybercrime
Over Witold Kepinski
