TL;DR: Op de vraag of u ransomware moet betalen bestaat geen eenvoudig antwoord. In België is losgeld betalen niet expliciet verboden, maar het draagt reële juridische, financiële en operationele risico’s, van sanctieovertredingen tot geen garantie op volledig herstel. Betaling is hooguit de minst slechte optie in een uitzichtloze situatie. De beste beslissing is de beslissing die u nooit hoeft te nemen: investeer in preventie.
Stelt u zich een maandagochtend voor waarop uw schermen niet opstarten, maar een bericht tonen dat al uw bestanden versleuteld zijn en er losgeld in cryptovaluta wordt geëist. Op dat moment moet u een beslissing nemen die juridische, financiële en menselijke kanten heeft. Dit artikel zet de feiten, de Belgische wettelijke realiteit en de strategische overwegingen op een rij, zodat u weloverwogen kunt handelen mocht het ooit zover komen. We oordelen niet. We helpen u nadenken.
De vraag die geen enkele zaakvoerder wil stellen
“Betalen we, of niet?” Het is de vraag waar geen zaakvoerder ooit voor wil staan, en toch komen Belgische KMO’s er steeds vaker mee in aanraking. De kern van het dilemma is dat beide antwoorden risico’s dragen. Niet betalen kan dagen of weken stilstand betekenen. Wel betalen biedt geen garantie en houdt een crimineel verdienmodel in stand.
De reden dat dit een reële vraag is, ligt in de aard van moderne ransomware. Aanvallers viseren niet langer alleen grote ondernemingen. Volgens het Verizon Data Breach Investigations Report (2025) is ransomware betrokken bij 88% van alle datalekken bij KMO’s. Voor een klein of middelgroot bedrijf met strakke toeleveringsketens of een productieomgeving voelt elke dag stilstand als een existentiële bedreiging.
Wat dit artikel niet doet, is u vertellen wat u moet kiezen. Die beslissing hangt af van uw situatie, uw back-ups, uw verzekering en het juridische profiel van uw aanvaller. Wat dit artikel wel doet, is u de bouwstenen geven om die afweging onderbouwd te maken, en u tonen waarom de slimste investering altijd vooraf gebeurt.
Is ransomware betalen legaal in België?
Losgeld betalen aan cybercriminelen is in België niet expliciet verboden, maar het bevindt zich in een juridisch spanningsveld met aanzienlijke risico’s. Er bestaat geen algemeen verbod voor private ondernemingen, en er is in de Belgische rechtspraak geen precedent waarbij een slachtoffer strafrechtelijk werd vervolgd voor de loutere betaling van losgeld. De grootste risico’s liggen elders, met name in het internationale sanctieregime.
Een onderneming die onder druk van operationele verlamming betaalt, handelt uit economische noodzaak. Voor medeplichtigheid aan de misdrijven van de aanvaller vereist het Belgische strafrecht een bedrieglijk opzet of het oogmerk om de criminele organisatie te ondersteunen, en dat ontbreekt bij een slachtoffer dat zijn voortbestaan probeert te redden. Het Federaal Parket en de Federal Computer Crime Unit (FCCU) raden betaling echter onomwonden af en benadrukken dat u altijd onmiddellijk aangifte moet doen bij de politie. Beslist u toch te betalen, dan eist de FCCU voor het onderzoek alle transactiegegevens op, zoals de gebruikte bitcoinadressen, betalingsbewijzen en de volledige communicatie met de afpersers.
Hier zit het werkelijke gevaar. Het betalen van losgeld aan een hackersgroep die gelieerd is aan gesanctioneerde entiteiten, zoals bepaalde Russische of Noord-Koreaanse staatsgesteunde groeperingen, is een directe overtreding van het Europese sanctieregime (Raadsbesluit 2020/1127). Daar bovenop hanteert het Amerikaanse Office of Foreign Assets Control (OFAC) een regime van strict liability: elke betaling in dollars, of die via Amerikaanse cryptobeurzen of servers verloopt, valt onder de Amerikaanse sanctiewetgeving, ongeacht of u wist wie de aanvaller was. De Belgische antiwitwaswet van 18 september 2017 voorziet bovendien in geldboetes van 2.000 tot 1.800.000 euro voor het faciliteren van terrorismefinanciering.
Het is een grijs gebied, en dat is precies waarom u deze beslissing nooit alleen mag nemen. Een juridisch adviseur die de sanctielijsten controleert, hoort van bij het begin aan tafel te zitten.
Wat NIS2 verandert aan de meldplicht
Sinds de Belgische NIS2-wet van 26 april 2024 is stilzwijgend betalen om een incident te verbergen praktisch onmogelijk geworden. Een ransomware-aanval die leidt tot ernstige operationele verstoring geldt als een “significant incident”, met strikte meldingsplichten aan het Centrum voor Cybersecurity België (CCB). Verzwijgen is op zich al een ernstige inbreuk op de wet.
De rapportagefases zijn dwingend. Binnen 24 uur na kennisname moet u een vroegtijdige waarschuwing indienen via het platform notif.safeonweb.be. Binnen 72 uur volgt een gedetailleerd incidentrapport met een eerste inschatting van de ernst en de beschikbare indicators of compromise. Binnen een maand dient u een eindrapport in waarin onder meer de grondoorzaak en, indien van toepassing, de details over de losgeldinteractie worden beschreven.
De inzet is hoog. Essentiële entiteiten riskeren administratieve geldboetes tot 10 miljoen euro of 2% van de wereldwijde omzet, belangrijke entiteiten tot 7 miljoen euro of 1,4%. Bovendien dragen bestuurders een persoonlijke aansprakelijkheid en kan hen bij ernstige nalatigheid de uitoefening van hun bestuursfunctie tijdelijk worden ontzegd. Met de conformiteitsdeadline van 18 april 2026 is aantoonbare cyberweerbaarheid via CyberFundamentals of ISO 27001 geen vrijblijvende oefening meer.
De argumenten vóór betalen
In specifieke situaties concluderen bedrijven dat betalen de minst slechte optie is om een faillissement te voorkomen. Dat geldt vooral wanneer er geen functionele offline back-ups bestaan en de operationele stilstand de onderneming dreigt te verwoesten. Het gaat dan niet om een ideale keuze, maar om overleven.
De cijfers maken dat begrijpelijk. De gemiddelde downtime na een ransomware-aanval bedraagt ongeveer 24 dagen. Voor een productiebedrijf met stilliggende lijnen of een dienstverlener met contractuele leveringsverplichtingen kan zo’n stilstand onherstelbare reputatieschade en boetes betekenen. En hoewel back-ups de voorkeur genieten, slagen criminelen er steeds vaker in om online en cloud-back-ups op te sporen en mee te versleutelen. Het succesvol gebruik van back-ups voor dataherstel is gedaald naar een dieptepunt van 54%. Zijn er geen offline, fysiek gescheiden back-ups, dan is herstel zonder decryptiesleutel technisch uitgesloten.
Het Belgische voorbeeld van de Antwerpse ICT-dienstverlener ITxx illustreert dat. De hackersgroep Conti versleutelde alle gegevens en back-ups van ongeveer vijftig KMO-klanten in de HR- en interimsector. Nadat forensisch onderzoek had aangetoond dat de back-ups onherstelbaar beschadigd waren en er geen alternatief bestond, besloot de directie in het belang van haar klanten te betalen: 300.000 dollar, ongeveer 252.000 euro, na onderhandeling teruggebracht vanaf een initiële eis van 1,5 miljoen dollar. Het is een scenario waarin de keuze allesbehalve eenvoudig was.
De argumenten tegen betalen
Betalen biedt zelden de snelle, schone oplossing waarop men hoopt. Dat is het sterkste argument tegen, en het is gebaseerd op harde cijfers, niet op principes. Wie betaalt, koopt geen zekerheid, maar een nieuw pakket risico’s.
Het herstel is vaak incompleet. Hoewel 97% van de betalende organisaties erin slaagt minstens enkele gegevens te recupereren, slaagt volgens onderzoek van Halcyon 84% er niet in om alle data volledig terug te krijgen. Fortinet rapporteert dat slechts 4% van de betalende organisaties een volledig 100% succesvol herstel kent. Decryptietools van criminelen zijn bovendien vaak slecht geschreven en draaien soms op een fractie van de capaciteit, waardoor het ontsleutelen extreem traag verloopt.
Daar komt recidive bij. Wie betaalt, staat in het criminele ecosysteem bekend als “betaler”. Volgens Fortinet wordt ongeveer 80% van de betalende organisaties later opnieuw slachtoffer, vaak omdat de oorspronkelijke kwetsbaarheid niet werd gedicht of omdat toegangsgegevens werden doorverkocht. En de moderne realiteit van double extortion maakt de zaak nog wranger: in ongeveer 75% van de gevallen in 2025 stalen aanvallers gevoelige gegevens vóór de versleuteling. Betalen om publicatie te voorkomen biedt geen enkele garantie dat de criminelen de gestolen kopieën daadwerkelijk vernietigen. Die data duikt vaak later alsnog op bij een tweede afpersingspoging.
Wat de cijfers over losgeld betalen zeggen
De trend in 2024 tot 2026 toont een dubbel beeld: bedrijven worden beter in het stoppen van aanvallen, terwijl de impact per geslaagd incident hoog blijft. De betalingsbereidheid daalt, en dat dwingt criminelen tot agressievere tactieken. De onderstaande cijfers komen uit toonaangevende rapporten van Sophos, Coveware, Verizon DBIR en Halcyon.
| Indicator | Waarde (2025/2026) | Bron |
|---|---|---|
| Aandeel ransomware in KMO-datalekken | 88% | Verizon DBIR 2025 |
| Slachtoffers die betaling weigeren | 64% (was 50% in 2023) | Verizon DBIR 2025 |
| Percentage dat daadwerkelijk betaalt | circa 20% (historisch laag) | Coveware Q4 2025 |
| Mediane losgeldeis wereldwijd | 1,32 miljoen dollar | Sophos 2025 |
| Mediane werkelijke betaling | 115.000 dollar (8,7% van de eis) | Verizon DBIR 2025 |
| Gemiddelde herstelkosten exclusief losgeld | 1,53 miljoen dollar | Sophos 2025 |
| Herstel binnen één week | 53% (was 35% in 2024) | Sophos 2025 |
| Aanvallen gestopt vóór encryptie | 47% (was 22% in 2023) | Sophos 2025 |
Het losgeld is bijna nooit de grootste kostenpost. De gemiddelde herstelkosten exclusief losgeld bedragen volgens Sophos (2025) 1,53 miljoen dollar wereldwijd. Wat een ransomware-aanval u werkelijk kost als u alle kostenposten optelt, beschreven we eerder in ons artikel over de ransomware-kosten voor KMO’s.
In de Belgische context bevestigt het CCB de ernst. Voor 2025 registreerde het Centrum 556 rechtstreekse meldingen van geslaagde cyberaanvallen bij ondernemingen, 635 officiële incidentrapportages onder het NIS2-kader en 105 expliciet bevestigde, grootschalige ransomware-incidenten bij Belgische organisaties. België staat structureel in de wereldwijde top tien van meest geviseerde landen.
De rol van uw cyberverzekering bij ransomware
Een cyberverzekering bepaalt in toenemende mate hoe een onderneming op ransomware reageert, en de cijfers tonen dat verzekerde bedrijven net minder vaak betalen. Belgische verzekeraars dekken doorgaans de heropbouw van systemen, forensisch onderzoek, crisiscommunicatie, juridische bijstand en omzetverlies door stilstand. Sommige polissen bevatten een optionele losgelddekking, maar onder strikte voorwaarden.
Die losgeldclausule, te vinden bij bepaalde formules zoals de Digi Cover van DVV of bepaalde polissen van AVISE, vergoedt het betaalde bedrag enkel als er objectief geen andere uitweg bestaat. Een harde contractuele voorwaarde is absolute geheimhouding: maakt u openbaar dat u zo’n dekking heeft, dan vervalt het recht erop onmiddellijk, omdat dit u een aantrekkelijker doelwit maakt. Strafrechtelijke geldboetes zijn naar Belgisch recht overigens nooit verzekerbaar, en verlies door CEO-fraude waarbij een medewerker zelf een betaling overmaakt valt onder de fraudeverzekering, niet onder de cyberpolis.
Wat opvalt, is het tegenovergestelde van wat veel mensen denken. Cyberverzekeringen blijken betaling niet te stimuleren, maar af te remmen. Volgens cijfers van Vanbreda Risk & Benefits betaalt zonder verzekering gemiddeld 50% van de getroffen organisaties, gedreven door paniek en gebrek aan alternatieven. Mét verzekering daalt dat naar 25%. De verklaring is eenvoudig: een polis geeft onmiddellijk toegang tot ervaren incident-response-experts die de crisis rationaliseren en objectief beoordelen of heropbouw uit back-ups mogelijk is.
Daar staat tegenover dat verzekeraars KMO’s niet langer zonder meer accepteren. Ze stellen stringente acceptatievoorwaarden: universele MFA op alle externe toegangen, back-ups op minstens twee gescheiden locaties waaronder offline of onveranderbare opslag, EDR of MDR voor continue monitoring, actief patchbeheer en regelmatige awareness training. Blijkt na een incident dat u deze maatregelen niet onderhield, bijvoorbeeld door MFA tijdelijk uit te schakelen, dan kan de verzekeraar dekking weigeren wegens grove nalatigheid. Wat een cyberverzekering precies wel en niet dekt, leest u in ons artikel over cyberverzekering in België.
Wat u wél kunt doen als het zover is
Komt het toch tot een aanval, dan is de eerste regel dat de beslissing nooit uitsluitend een IT-aangelegenheid mag zijn. Activeer onmiddellijk uw incident response plan, doe aangifte bij de politie en stel een multidisciplinair crisisteam samen. De losgeldvraag is slechts één onderdeel van een veel breder reactietraject.
In dat crisisteam horen verschillende rollen thuis. De algemene directie draagt de strategische en, onder NIS2, persoonlijke eindverantwoordelijkheid. De IT-manager of CISO beoordeelt de technische omvang en de integriteit van de back-ups. Een juridisch adviseur controleert de sanctielijsten en de contractuele aansprakelijkheden. De Data Protection Officer evalueert of er een datalek onder de GDPR is en coördineert de melding aan de Gegevensbeschermingsautoriteit binnen 72 uur. Uw cyberverzekeraar activeert de polis en stelt het forensische team beschikbaar. En de FCCU registreert de klacht en controleert of er voor de specifieke ransomware-variant al gratis decryptiesleutels beschikbaar zijn.
Overweegt u onderhandelen, schakel dan een professional in. In België opereren gespecialiseerde cyberonderhandelaars, en dat inschakelen is volkomen legaal en wordt door verzekeraars actief ondersteund. Zij nemen de communicatie over via de Tor-portals van de aanvaller, halen zo de emotionele druk bij uw directie weg en eisen een “proof of life” door enkele willekeurige bestanden gratis te laten ontsleutelen. Door tijd te rekken creëren ze ruimte voor uw IT-team om parallel een schone omgeving op te bouwen. Volgens data van Arctic Wolf verlagen professionele onderhandelingen de uiteindelijke betaling met gemiddeld 67%, oplopend tot een effectieve besparing van 94% als de gevallen worden meegerekend waarin betaling helemaal vermeden kon worden. Belangrijk: ongeveer de helft van de door professionals opgestarte gesprekken eindigt zonder enige betaling, omdat de organisatie intussen zelf herstelde.
Cyberplan’s 24/7 noodlijn “Help, ik ben gehackt!” is er voor precies die momenten waarop u niet weet waar te beginnen. U hoeft de eerste uren niet alleen door te komen.
De beslissing die u niet hoeft te nemen
De sterkste positie in dit hele verhaal is de positie waarin de vraag “betalen of niet” nooit gesteld hoeft te worden. Herstel achteraf is, ongeacht of u betaalt, altijd vele malen duurder en risicovoller dan preventie vooraf. En het goede nieuws is dat preventie grotendeels in uw eigen hand ligt.
Meer dan 90% van alle succesvolle ransomware-aanvallen had voorkomen kunnen worden met elementaire cyberhygiëne. Dat is geen exotische technologie, maar de basis die te vaak ergens stuk gaat. Universele MFA op alle externe toegangen, proactief patchen van kwetsbaarheden, het continu testen van offline back-ups en het trainen van medewerkers in het herkennen van social engineering vormen samen de enige werkelijk effectieve verdediging.
Het kostenplaatje spreekt voor zich. De investering om deze basis op orde te krijgen is verwaarloosbaar tegenover de gemiddelde herstelkosten van een geslaagde aanval. Geteste, offline back-ups zijn daarbij de belangrijkste enkele factor: zijn die er, dan vervalt de noodzaak tot betaling nagenoeg volledig. Hoe u een back-upstrategie opzet die ransomware overleeft, leggen we uit in onze gids over de 3-2-1-1-0-backupstrategie, en de bredere preventieve aanpak vindt u in onze praktische gids voor ransomware-bescherming.
Veelgestelde vragen over ransomware en losgeld
Is het in België verboden om ransomware te betalen?
Nee, er bestaat geen expliciet verbod voor private ondernemingen, en er is geen Belgisch precedent waarbij een slachtoffer werd vervolgd voor het betalen zelf. Het grootste risico is een overtreding van EU- of OFAC-sancties als de aanvaller gelieerd is aan een gesanctioneerde groepering.
Krijg ik mijn data terug als ik betaal?
Niet gegarandeerd. Volgens Halcyon slaagt 84% van de betalende slachtoffers er niet in om alle data volledig te herstellen, en Fortinet rapporteert dat slechts 4% een volledig herstel kent. Betalen koopt geen zekerheid, alleen een kans.
Moet ik een ransomware-aanval melden?
Ja. Valt u onder NIS2, dan moet u binnen 24 uur een eerste melding doen bij het CCB via notif.safeonweb.be, gevolgd door een rapport binnen 72 uur en een eindrapport binnen een maand. Bij een datalek volgt ook een GDPR-melding aan de Gegevensbeschermingsautoriteit binnen 72 uur. Doe altijd aangifte bij de politie.
Dekt mijn cyberverzekering een losgeldbetaling?
Soms. Bepaalde Belgische polissen bevatten een optionele losgeldclausule, maar enkel als er objectief geen alternatief bestaat en onder strikte geheimhouding. Standaard gedekt zijn doorgaans herstel, forensisch onderzoek en omzetverlies. Strafrechtelijke boetes zijn nooit verzekerbaar.
Helpt een professionele onderhandelaar echt?
Ja. Volgens Arctic Wolf verlagen professionele onderhandelingen de betaling met gemiddeld 67%, en in ongeveer de helft van de gevallen wordt betaling helemaal vermeden doordat de organisatie intussen zelf herstelt. Onderhandelen betekent niet automatisch betalen.
Wat is het belangrijkste dat ik nu kan doen?
Zorgen dat u nooit voor de vraag komt te staan. Geteste offline back-ups, MFA op alle externe toegangen, actueel patchbeheer en awareness training voorkomen meer dan 90% van de geslaagde aanvallen. Een audit brengt in kaart waar uw weerbaarheid vandaag tekortschiet.
Wat doet u nu?
De beslissing om al dan niet te betalen is een beslissing die u in een staat van crisis en onder enorme druk zou moeten nemen, met onvolledige informatie en hoge inzet. Het is een positie waarin u niet wilt belanden. Daarom is de meest waardevolle stap er een die u vandaag kunt zetten, rustig en vooruitziend: uw weerbaarheid op orde brengen zodat de vraag nooit aan de orde komt.
Bent u op dit moment getroffen en weet u niet waar te beginnen? Bel onze 24/7 noodlijn “Help, ik ben gehackt!”. Dan staat er meteen iemand naast u die het overzicht bewaart wanneer u dat zelf even niet kunt.
Wilt u net voorkomen dat het ooit zover komt? Laat Cyberplan uw weerbaarheid testen. Een vrijblijvend kennismakingsgesprek brengt in kaart waar uw grootste risico’s liggen en levert een concrete roadmap op. Voor Vlaamse KMO’s is dat bovendien grotendeels subsidieerbaar via het VLAIO Verbetertraject (tot 50%) of de KMO-portefeuille. Geen verkooppraatje, wel duidelijkheid.
