De meeste slachtoffers denken van wel. De cijfers vertellen een ander verhaal.
Het is twee uur 's nachts en je systemen staan stil. Op elk scherm dezelfde melding: alle bestanden zijn versleuteld, betaal binnen 72 uur of de data wordt gepubliceerd. De druk is enorm. Klanten kunnen niet geholpen worden, medewerkers staan stil, en iemand in de vergadering zegt: "Kunnen we niet gewoon betalen?"
Het is begrijpelijk dat betalen aantrekkelijk lijkt. Het belooft een snelle uitweg uit een situatie die voor elke minuut geld kost. Maar de werkelijkheid is genuanceerder — en vaak pijnlijker — dan de aanvallers je willen doen geloven.
De kernvraag is niet alleen of betalen moreel juist is. De vraag is of betalen ook praktisch werkt. En daar zijn inmiddels genoeg gegevens over om een gefundeerd antwoord te geven.
Key Takeways:
• Slechts 8% van de organisaties die betalen, krijgt alle data volledig terug (bron: TechTarget).
• 69% van de betalers wordt binnen afzienbare tijd opnieuw aangevallen — betalen maakt je een herhaaldoelwit (Huntress, 2026).
• Organisaties met een geïsoleerde, geteste backup hoeven de keuze nooit te maken.
Wat er in de praktijk gebeurt als je betaalt
Ransomware-aanvallers zijn ondernemers in criminaliteit. Ze bouwen reputaties op zodat slachtoffers vertrouwen hebben dat betalen ook echt leidt tot ontsleuteling. In veel gevallen krijg je inderdaad een decryptiesleutel — maar dat lost het probleem zelden volledig op.
Onderzoek van Huntress, gebaseerd op data van de Mastercard SMB Cybersecurity Study 2025, laat zien dat bijna één op de vijf MKB-bedrijven die een cyberaanval meemaakten failliet ging of de deuren sloot — ook bij degenen die betaalden. Betalen elimineert de schade niet: de downtime, de herstelkosten, de reputatieschade en de forensische onderzoekskosten blijven.
Bovendien: decryptie na betaling is technisch gezien vaak een trage en onvolledige operatie. Versleutelde bestanden worden niet altijd volledig hersteld, bestandsstructuren kunnen beschadigd zijn, en het heropstarten van systemen vanuit een versleutelde staat duurt zelden korter dan herstel vanuit een schone backup.
Wat de cijfers zeggen over terugkrijgen van data
Volgens TechTarget, dat onderzoeksdata van meerdere beveiligingsbedrijven samenvat, krijgt slechts 8% van de organisaties alle data volledig terug na betaling. De rest mist bestanden, krijgt corrupte data terug, of ontdekt dat de decryptiesleutel onvolledig werkt. Tegelijkertijd kost het gemiddelde ransomware-incident al inclusief betaling meer dan 4 miljoen dollar aan totale schade (bron:IBM Cost of a Data Breach Report 2025).
De verwachting dat betalen gelijkstaat aan "probleem opgelost" is een van de gevaarlijkste misvattingen in cybersecurity.
Waarom betalen je een herhaaldoelwit maakt
Er is nog een reden om niet te betalen die weinig aandacht krijgt: betalen stuurt een signaal. Criminelen delen informatie over wie betaalt. Organisaties die losgeld overmaken, worden gemarkeerd als betalingsbereid — wat hen aantrekkelijker maakt voor een volgende aanval.
Volgens Huntress, wordt 69% van de bedrijven die losgeld betaalden daarna opnieuw aangevallen. Niet na jaren — vaak binnen maanden. De logica is simpel: als iemand eerder heeft betaald, is de kans groot dat ze het opnieuw doen.
Dit betekent dat betalen niet alleen de huidige aanval niet oplost, maar actief bijdraagt aan het risico op een volgende. Je investeert in je eigen kwetsbaarheid.
Het alternatief: herstellen vanuit backup
Organisaties die beschikken over een geïsoleerde, immutable backup — een kopie die aanvallers niet konden bereiken of versleutelen — staan in een fundamenteel andere positie. Zij hoeven de afweging niet te maken. Ze kunnen herstellen zonder te betalen, zonder te onderhandelen, en zonder afhankelijk te zijn van een crimineel die zijn belofte nakomt.
Dit is geen theoretisch voordeel. Uit data van Sophos blijkt dat organisaties met werkende backups significant vaker herstellen zonder losgeld te betalen — en dat hun herstelkosten aanzienlijk lager liggen. Meer over hoe zo'n backup eruitziet, lees je op onze pagina over Ransomware Protection.
Wanneer is betalen het enige wat overblijft?
Er zijn situaties waarin organisaties geen keuze meer hebben. Als er geen werkende backup beschikbaar is, als de backup ook versleuteld is, of als de data kritisch is voor direct menselijk welzijn — denk aan ziekenhuizen — kan betalen de enige uitweg lijken.
In die gevallen is het advies van overheden in Nederland, de EU en de VS consistent: betaling wordt sterk afgeraden, maar niet verboden voor private organisaties. Het Digital Trust Center van het Ministerie van Economische Zaken adviseert om altijd eerst aangifte te doen bij de politie en contact op te nemen met het NCSC voordat enige betalingsbeslissing wordt genomen.
Betalen zonder aangifte vergroot de kans dat dezelfde groep anderen kan aanvallen. Aangifte doen kost je niets en kan bijdragen aan het opsporen van de groep.
Stap-voor-stap: wat te doen direct na een ransomware-aanval
1. Isoleer onmiddellijk alle getroffen systemen van het netwerk — schakel wifi uit, koppel netwerkkabels los.
2. Verander geen wachtwoorden en herstart geen systemen — dit kan forensisch bewijs vernietigen.
3. Neem contact op met het NCSC
4. Doe aangifte bij de politie
5. Stel vast welke backups beschikbaar zijn en of ze schoon zijn (niet geïnfecteerd).
6. Schakel een gespecialiseerd incident response-bedrijf in voordat je beslissingen neemt over betaling.
7. Betaal pas — als überhaupt — na juridisch en technisch advies.
Wat zegt de wet over losgeld betalen?
In Nederland is het betalen van losgeld aan ransomware-aanvallers niet verboden, maar er zijn belangrijke uitzonderingen. Als de aanvallers op een sanctielijst staan — bijvoorbeeld als terroristische organisatie of als entiteit onder EU-sancties — kan betaling strafbaar zijn. Bovendien hebben organisaties onder de AVG en NIS2 meldplichten. Een ransomware-aanval waarbij persoonsgegevens zijn blootgesteld, moet binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens. Betalen lost deze meldplicht niet op. Je bent nog steeds verplicht te melden, ook als je de data terugkrijgt. Meer over de compliance-verplichtingen rondom databeveiliging lees je op onze pagina over Data Security.
NIS2 en ransomware: wat moeten getroffen organisaties doen?
Organisaties die onder de NIS2-richtlijn vallen — en dat zijn er in Nederland meer dan veel bestuurders denken — hebben bij een ransomware-incident concrete verplichtingen. Zij moeten het incident melden bij de relevante toezichthouder, de impact documenteren, en aantonen dat ze herstelmaatregelen hebben genomen.
Betalen zonder te melden is geen optie voor NIS2-plichtige organisaties. De Europese Commissie heeft duidelijk gemaakt dat incidentmeldingen een kernverplichting zijn onder de richtlijn. Meer informatie over
NIS2.
Hoe voorkom je dat je ooit voor deze keuze staat?
De eerlijke boodschap is dat de keuze "betalen of niet" een teken is dat de voorbereiding tekortschoot. Organisaties die investeren in een robuuste backup-strategie hoeven deze vraag nooit te beantwoorden.
Een effectieve ransomware-backup heeft drie eigenschappen. Ten eerste is hij geïsoleerd: niet bereikbaar vanuit het productienetwerk, zodat aanvallers hem niet kunnen versleutelen. Ten tweede is hij immutable: de backup kan na het schrijven niet worden gewijzigd of verwijderd, zelfs niet door beheerders. Ten derde is hij getest: het herstelproces is periodiek uitgevoerd en de hersteltijd is bekend.
Organisaties die aan deze drie criteria voldoen, betalen zelden losgeld. Ze herstellen — en ze doen dat sneller dan de gemiddelde onderhandelingstijd van 8 tot 10 dagen bij een ransomware-betaling (bron: Cigent — Ransomware Recovery Time). Bekijk onze Backup as a Service pagina voor meer informatie over hoe zo'n oplossing eruitziet.
Conclusion
De vraag "moet ik betalen?" heeft een eenvoudig antwoord als je de cijfers kent: betalen werkt zelden, maakt je kwetsbaarder voor herhaling, en lost de onderliggende schade niet op. Het werkelijke antwoord op ransomware is geen betalingsbeslissing — het is een backup-beslissing die je lang vóór een aanval neemt.
Organisaties die beschikken over een geïsoleerde, geteste backup staan na een aanval in een fundamenteel sterkere positie. Ze kunnen herstellen. Ze hoeven niet te betalen. En ze hoeven 's nachts geen vergadering te beleggen over een keuze die al voor ze gemaakt is.
Als je wilt weten hoe jouw organisatie er nu voor staat, is een goed startpunt om te inventariseren welke backups beschikbaar zijn, wanneer die voor het laatste zijn getest, en of ze onbereikbaar zijn voor aanvallers.
Veelgestelde vragen
Moet ik losgeld betalen als ik mijn bestanden anders kwijt ben? +
Betalen garandeert niets. Slechts 8% van de organisaties die betalen, krijgt alle data volledig terug. Bovendien zijn er soms gratis decryptietools beschikbaar via No More Ransom (nomoreransom.org), een initiatief van politiediensten en beveiligingsbedrijven. Controleer altijd eerst of er een gratis decryptiesleutel beschikbaar is voor de specifieke ransomwarevariant voordat je een betalingsbeslissing neemt.
Is losgeld betalen illegaal in Nederland? +
In Nederland is het betalen van ransomware-losgeld niet per definitie illegaal, maar er zijn uitzonderingen. Als de aanvallers op een sanctielijst staan (zoals EU- of VN-sancties), kan betaling strafbaar zijn. Daarnaast zijn organisaties onder de AVG en NIS2 verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens, ongeacht of ze betalen. Het is altijd verstandig juridisch advies in te winnen vóór enige betaling.
Hoe lang duurt herstel na ransomware zonder te betalen? +
De gemiddelde hersteltijd na een ransomware-aanval bedraagt 21 tot 24 dagen (bron: Cigent), ongeacht of er betaald wordt. Organisaties met een geteste, geïsoleerde backup kunnen significant sneller herstellen — soms binnen uren voor kritieke systemen. De hersteltijd hangt sterk af van hoe recent de backup is, of de backup schoon is (niet geïnfecteerd), en of het herstelproces eerder is geoefend.