Bernold Nieuwesteeg en Michael Faure stellen in het opiniestuk 'Laat gehackt bedrijf belasting betalen over losgeld' voor om belasting te heffen op losgeldbetalingen na een ransomware-aanval (FD, 26 april). Zo zouden organisaties worden geprikkeld om hun cybersecurity beter op orde te krijgen. Dat de cybersecurity van veel organisaties beter kan is waar, maar het heffen van belasting op losgeld is niet de oplossing.
Organisaties springen niet lichtzinnig om met het betalen van losgeld. Zelden is het een zuiver commerciële afweging waarbij men kiest voor 'de goedkoopste oplossing'. Betaling voorkomt reputatieschade, publicatie van gevoelige data én een mogelijk faillissement. Vaak is het betalen van losgeld het minste kwaad.
De financiële implicaties van een cyberaanval reiken verder dan het betalen van losgeld alleen. Zo ligt het werk stil gedurende het herstel, en moet een organisatie een datalek verplicht melden bij autoriteiten en klanten – met alle impact van dien. Als de ellende van een cyberaanval organisaties er al niet toe beweegt betere beveiligingsmaatregelen te treffen is het zeer de vraag of een fiscale schop na dat wel doet.
Bovendien heeft losgeldbelasting ook een averechts effect. Een datalek melden is onaantrekkelijk doordat de Autoriteit Persoonsgegevens streng handhaaft bij wél gemelde datalekken. Organisaties zullen nóg minder geneigd zijn een cyberaanval te melden en aangifte te doen als ze ook nog belasting moeten afdragen. Een belasting op losgeld draagt dan bij aan datalek-schaamte.
Aanvallen met gijzelsoftware helpen we niet de wereld uit door het inzetten van fiscale strafmiddelen. We moeten organisaties juist positief stimuleren om hun cyberveiligheid op orde te krijgen. Bijvoorbeeld door basismaatregelen en adequate opvolging van incidenten onderdeel te maken van een cyberverzekering. Zo maken we Nederland een onaantrekkelijk doelwit voor cybercriminelen.