Minister ziet geen heil in Nederlands verbod op losgeldbetaling bij ransomware

Verbod op betalen klinkt stoer, maar in de praktijk is het gewoon “downtime verplicht” en dan gaan bedrijven het via schimmige tussenpersonen alsnog doen, dus je krijgt alleen meer black market en minder meldingen. Pak de incentives: verplichte offline backups/segmentatie + boetes als je basissecurity niet op orde is, want nu is het voor te veel clubs goedkoper om te betalen dan te patchen, en ja lmao de overheid gaat anders weer legacy wetgeving shippen die iedereen omzeilt.

Zo’n verbod klinkt lekker helder, maar dan zit je meteen met de vraag: wie “betaalt” er juridisch eigenlijk, het bedrijf, de verzekeraar, de incident response club of dat crypto-kantoortje in Estland dat het voor je regelt. En ga je dan ook handhaven terwijl een ziekenhuis of haven platligt, of komt er weer een uitzonderingsregeling met 12 formulieren en een piketdienst die om 03:00 “nee” moet zeggen. Los daarvan: zolang aangifte/melden nog steeds voelt als extra ellende (toezichthouder, aansprakelijkheid, reputatie) gaan partijen vooral stiller worden, en daar schiet niemand wat mee op.

Verbod of geen verbod, het echte probleem is dat we ransomware nog steeds behandelen als “pech voor dat ene bedrijf”, terwijl het vaak gewoon ketenrisico is: jouw leverancier ligt plat en ineens ligt half NL stil. Enerzijds snap ik dat een ziekenhuis niet kan wachten op een principiële wet terwijl de OK’s uitvallen, anderzijds: zolang betalen een normale exit blijft, blijft het businessmodel van die bendes *werken werken*. Maak het dan sociaal duur: verplichte snelle melding + transparantie naar klanten/keten, en laat verzekeraars alleen uitkeren als je aantoonbaar basisdingen op orde had, anders subsidieer je gewoon lui IT-beheer met publiek risico. En ja, dat doet pijn bij mkb, maar dat is precies waarom “zelf beslissen” zo’n lekker wegkijkzinnetje is: de schade landt uiteindelijk toch bij burgers en kleine partijen die afhankelijk zijn van die systemen.