Blogs / 

Zijn cyberboetes verzekerbaar? De stand van zaken in Nederland

IT, Privacy & Cybersecurity

11 maart 2026

Geschreven door

Natascha van Duuren

Blog Image

Cyberincidenten zijn inmiddels een vast onderdeel van het risicoprofiel van organisaties. Datalekken, ransomware-aanvallen en IT-verstoringen leiden niet alleen tot operationele schade, maar steeds vaker ook tot hoge boetes van toezichthouders. Voor bestuurders en juristen rijst daarom een belangrijke vraag: kunnen cyberboetes worden verzekerd? Een recent internationaal onderzoek van Aon naar de verzekerbaarheid van cyberboetes laat zien dat het antwoord sterk verschilt per land. Nederland neemt daarbij een relatief genuanceerde positie in. In deze blog zetten wij de belangrijkste juridische aandachtspunten op een rij.

Cyberboetes: toezicht en toenemende handhaving

Toezichthouders leggen steeds vaker forse sancties op na cyberincidenten. De meeste boetes volgen uit privacywetgeving (AVG), maar ook sectorspecifieke regelgeving en nieuwe Europese wetgeving zoals NIS2 (die in Nederland geïmplementeerd zal worden in de Cyberbeveiligingswet) en DORA vergroten het handhavingsrisico.

Boetes kunnen onder meer worden opgelegd wanneer organisaties:

  • onvoldoende beveiligingsmaatregelen hebben getroffen;
  • gevoelige gegevens onvoldoende afschermen;
  • interne toegangscontroles niet op orde hebben;
  • datalekken niet tijdig melden;
  • onvoldoende toezicht houden op IT‑dienstverleners.

De Autoriteit Persoonsgegevens heeft de afgelopen jaren meerdere substantiële boetes opgelegd aan Nederlandse organisaties, waaronder uitvoeringsinstanties en ziekenhuizen. Daarbij spelen vooral gebrekkige toegangsbeveiliging en onvoldoende interne controlemaatregelen een centrale rol.

Zijn cyberboetes in Nederland verzekerbaar?

  1. Uitgangspunt: bestuurlijke boetes zijn in beginsel verzekerbaar
    Cyberboetes kwalificeren in Nederland meestal als bestuurlijke boetes. Veel cyberverzekeringen en bestuurdersaansprakelijkheidsverzekeringen bevatten daarom clausules waarin staat dat:

    "bestuurlijke boetes zijn gedekt voor zover deze wettelijk verzekerbaar zijn". 

    Er bestaat geen expliciet wettelijk verbod op het verzekeren van bestuurlijke boetes. Dit betekent dat dergelijke boetes in beginsel voor dekking in aanmerking kunnen komen.

  2. Beperking: strijd met openbare orde
    De wet bepaalt echter dat overeenkomsten ongeldig zijn wanneer zij in strijd zijn met de openbare orde of goede zeden. Strafrechtelijke boetes vallen hier duidelijk onder en zijn niet verzekerbaar.

    Voor bestuurlijke boetes ligt dit genuanceerder:

    - Bestuurlijke boetes worden primair gezien als handhavingsinstrument.
    - Sommige boetes hebben echter een bestraffend karakter.

    In de juridische literatuur bestaat discussie of bepaalde AVG‑boetes feitelijk een punitief karakter hebben en daarom niet verzekerbaar zouden moeten zijn. De rechtspraak heeft hierover nog geen definitieve duidelijkheid gegeven.

  3. Praktijk: verzekeraars bieden vaak toch dekking
    Ondanks deze juridische discussie biedt de Nederlandse verzekeringsmarkt regelmatig dekking voor cyberboetes. Dit gebeurt doorgaans onder voorbehoud van wettelijke toelaatbaarheid.

De huidige praktijk kan daarom als volgt worden samengevat:

Cyberboetes zijn in Nederland doorgaans verzekerbaar, tenzij wetgeving of rechtspraak anders bepaalt.

Wanneer is uitkering uitgesloten?

Zelfs wanneer een boete op zichzelf verzekerbaar is, geldt een belangrijke beperking. Verzekeraars mogen geen dekking bieden indien de schade het gevolg is van:

  • opzet;
  • bewuste roekeloosheid;
  • grove nalatigheid.

De gedachte hierachter is dat verzekering geen vrijbrief mag vormen voor ernstig verwijtbaar gedrag. Deze beperking is met name relevant wanneer structureel onvoldoende beveiligingsmaatregelen zijn genomen of bewust waarschuwingen zijn genegeerd.

Cyberincidenten leiden tot méér dan alleen boetes

Toezichthouders beschikken over een breed sanctie-instrumentarium. Naast geldboetes kunnen zij onder meer:

  • verwerkingen stilleggen;
  • bindende aanwijzingen geven;
  • verplichte audits opleggen;
  • bestuurders tijdelijk uitsluiten;
  • sancties openbaar maken.

Dergelijke maatregelen zijn niet verzekerbaar. Wel kunnen verzekeringen soms de financiële gevolgschade dekken, zoals:

  • kosten van juridisch verweer;
  • forensisch onderzoek;
  • crisiscommunicatie;
  • herstelmaatregelen;
  • bedrijfsschade door systeemuitval.

Civiele aansprakelijkheid na cyberincidenten

Naast toezichtrechtelijke sancties zien we een toename van civiele procedures na cyberincidenten. Rechters leggen organisaties en IT‑dienstverleners steeds zwaardere zorgplichten op.

Wat betekent dit voor organisaties en bestuurders?

De combinatie van strengere regelgeving, actievere toezichthouders en toenemende aansprakelijkheidsrisico’s maakt cybercompliance tot een bestuursprioriteit.

Bestuurders doen er verstandig aan om:

  • cybersecurity structureel op bestuursniveau te agenderen;
  • toezicht te houden op naleving van AVG en de Cyberbeveiligingswet/DORA;
  • verantwoordelijkheden contractueel goed vast te leggen.

Conclusie

Nederland kent een relatief pragmatische benadering van de verzekerbaarheid van cyberboetes. Bestuurlijke boetes kunnen in beginsel worden verzekerd, maar juridische onzekerheid blijft bestaan — met name waar boetes een bestraffend karakter hebben. Bovendien vervalt dekking bij opzet of grove nalatigheid.

Cyberverzekeringen vormen daarom een belangrijk onderdeel van risicobeheersing, maar zijn geen vervanging voor robuuste cybersecurity en compliance.

Vragen?

Wilt u weten hoe uw organisatie cyberrisico’s juridisch kan beheersen? Neem dan contact op met Natascha van Duuren, partner & advocaat IT, Privacy & Cybersecurity.

Nieuwsbrief

Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Schrijf u dan in voor onze nieuwsbrief!