Kritieke XSS in Taxi Boekingsmanager//Gepubliceerd op 2026-04-23//CVE-2026-28040

WP-FIREWALL BEVEILIGINGSTEAM

Taxi Booking Manager for WooCommerce Plugin Vulnerability

Pluginnaam WordPress Taxi Booking Manager voor WooCommerce Plugin
Type kwetsbaarheid Cross-site scripting (XSS)
CVE-nummer CVE-2026-28040
Urgentie Laag
CVE-publicatiedatum 2026-04-23
Bron-URL CVE-2026-28040

Onmiddellijke actie vereist: Cross-Site Scripting (XSS) in de “Taxi Booking Manager voor WooCommerce” Plugin (<= 2.0.0) — Wat site-eigenaren en beheerders nu moeten doen

Auteur: WP-Firewall Beveiligingsteam

Datum: 2026-04-24

Samenvatting: Een Cross-Site Scripting (XSS) kwetsbaarheid (CVE-2026-28040) beïnvloedt de WordPress-plugin “Taxi Booking Manager voor WooCommerce” in versies <= 2.0.0. Het probleem is verholpen in versie 2.0.1. Deze waarschuwing legt risico's, typische exploitatie-scenario's, hoe tekenen van compromittering te detecteren, stap-voor-stap mitigatie en aanbevolen WAF-regels en hardening uit om WordPress-sites te beschermen — vanuit het perspectief van WP-Firewall, een professionele WordPress-beveiligingsprovider.

Inhoudsopgave

  • Wat is de kwetsbaarheid?
  • Wie wordt erdoor getroffen?
  • Waarom dit belangrijk is voor uw site
  • Hoe een aanvaller deze kwetsbaarheid zou kunnen misbruiken
  • Bevestigen of je kwetsbaar bent
  • Onmiddellijke remedie (stap-voor-stap)
  • Onderzoek en incidentrespons na een vermoedelijke exploit
  • Hardening & operationele controles (korte termijn en lange termijn)
  • Aanbevolen WAF / virtuele patchregels (voorbeelden)
  • Detectie- en monitoringtips (logs, scans, tekenen van compromittering)
  • Ontwikkelaarsrichtlijnen (als je de plugin onderhoudt of patcht)
  • Hoe WP-Firewall helpt: beheerde bescherming en virtueel patchen
  • Beveilig je site in enkele minuten — probeer het WP-Firewall Gratis Plan
  • Eindchecklijst

Wat is de kwetsbaarheid?

Een Cross-Site Scripting (XSS) kwetsbaarheid is gerapporteerd voor de WordPress-plugin “Taxi Booking Manager voor WooCommerce” die versies tot en met 2.0.0 beïnvloedt. De kwetsbaarheid is toegewezen aan CVE-2026-28040 en heeft een CVSS-score van 6.5 (gemiddeld). Het probleem is opgelost in versie 2.0.1.

Belangrijkste feiten:

  • Type: Cross-Site Scripting (XSS)
  • Beïnvloede plugin: Taxi Booking Manager voor WooCommerce (WordPress)
  • Kwetsbare versies: <= 2.0.0
  • Gepatchte versie: 2.0.1
  • CVE: CVE-2026-28040
  • Vereiste bevoegdheid om te initiëren: Contributor rol (een rol met lage bevoegdheden die inhoud kan creëren)
  • Exploitatie: Gebruikersinteractie vereist (een bevoegde gebruiker moet een actie uitvoeren, zoals het klikken op een gemaakte link, het bezoeken van een gemaakte pagina of het accepteren van inhoud)
  • Gerapporteerde CVSS: 6.5 (gemiddeld)

Omdat deze kwetsbaarheid de injectie van JavaScript-payloads toestaat, kan het aanvallers in staat stellen om willekeurige scripts uit te voeren in de context van uw site of beheerdersgebied wanneer een slachtoffer (vaak een gebruiker met hogere privileges) een kwaadaardige invoer bekijkt.


Wie wordt erdoor getroffen?

Elke WordPress-site die:

  • Heeft de “Taxi Booking Manager voor WooCommerce” plugin geïnstalleerd, en
  • Draait plugin versie 2.0.0 of eerder.

Sites die de plugin hebben bijgewerkt naar 2.0.1 of later worden als gepatcht beschouwd.

Opmerking: Zelfs als uw site weinig bijdragers of laag verkeer heeft, zoeken zowel geautomatiseerde exploitcampagnes als gerichte aanvallers naar kwetsbaarheden zoals deze. Het feit dat exploitatie gebruikersinteractie en een verzoek op bijdragersniveau vereist, vermindert enig risico, maar verwijdert het risico niet — vooral niet voor sites met meerdere auteurs, redacteuren of interne bijdragers.


Waarom dit belangrijk is voor uw site

Cross-Site Scripting (XSS) is een veelvoorkomende maar gevaarlijke kwetsbaarheidsklasse. Wanneer succesvol, stelt een XSS-aanval een aanvaller in staat om JavaScript uit te voeren in de context van de browser die uw site bezoekt of het WordPress-beheerpaneel. Gevolgen kunnen zijn:

  • Sessie-impostie: Als sessietokens toegankelijk zijn voor JavaScript (afhankelijk van uw cookie-instellingen en siteconfiguratie), kan een aanvaller beheerderssessies overnemen.
  • Privilegemisbruik: Kwaadaardige JavaScript kan acties uitvoeren namens het slachtoffer (berichten aanmaken, instellingen wijzigen, nieuwe beheerdersgebruikers toevoegen) als het slachtoffer is ingelogd en de anti-CSRF/nonce-bescherming van de site niet aanwezig is of is omzeild.
  • Injectie van kwaadaardige inhoud: Defacement, drive-by downloads of onzichtbare scripts die gebruikers omleiden naar phishingpagina's of andere payloads leveren.
  • Persistente achterdeuren: Aanvallers kunnen persistente kwaadaardige inhoud (scripts) in pagina's of postinhoud invoegen, waardoor malware aan sitebezoekers wordt geleverd.
  • Schade aan reputatie en SEO: Zoekmachines en browsers kunnen gecompromitteerde sites markeren of verwijderen; gebruikers verliezen vertrouwen.

Zelfs als de initiële aanval laag-impact lijkt (beperkt tot het tonen van een waarschuwing), zal een geavanceerde aanvaller van XSS naar een bredere compromittering schakelen als ze bevoorrechte gebruikers kunnen laten interageren.


Hoe een aanvaller deze kwetsbaarheid zou kunnen misbruiken

Op basis van de gerapporteerde feiten (bijdrager-niveau invoer die JS-injectie mogelijk maakt en vereiste gebruikersinteractie), zijn hier realistische exploitatie-scenario's:

  1. Opgeslagen XSS in inhoudsvelden:
    • Een bijdrager maakt of bewerkt een boeking, notitie of ander door de plugin beheerd inhoudsveld en injecteert een scriptpayload. De payload wordt opgeslagen in de database en wordt uitgevoerd wanneer een beheerder of redacteur de boekingsdetails in de beheerdersinterface bekijkt.
  2. Weerspiegelde XSS via vervaardigde URL's:
    • De plugin kan niet-geëscapete parameters op beheerdersschermen of front-end pagina's weergeven. Een aanvaller vervaardigt een URL met een kwaadaardige payload en overtuigt een beheerder om erop te klikken (social engineering).
  3. Kwaadaardige inhoud ingediend via front-end formulieren:
    • Als de plugin front-end indienings-eindpunten voor boekingsverzoeken of berichten blootstelt, kan een aanvaller inhoud indienen die een script bevat. Als die inhoud later wordt weergegeven in beheerderslijsten of e-mails zonder juiste sanering, kunnen bevoorrechte gebruikers die het bekijken de uitvoering activeren.

Typische doelen van aanvallers:

  • Laat een beheerder een speciaal gemaakte pagina bekijken met de payload (bijv. boekingslijst, boekingsdetails pagina).
  • Voer JavaScript uit dat acties uitvoert via geauthenticeerde verzoeken (met de sessie van het slachtoffer).
  • Bewaar code op de site (bijv. scripts injecteren in de database, pluginopties of sjabloonbestanden).

De factor “gebruikersinteractie vereist” vermindert geautomatiseerde massale exploitatie, maar voorkomt geen gerichte campagnes of sociale engineering.


Bevestigen of je kwetsbaar bent

  1. Controleer de pluginversie:
    • Ga in de WordPress-admin naar Plugins → Geïnstalleerde Plugins en zoek naar “Taxi Booking Manager voor WooCommerce”.
    • Als de versie 2.0.1 of later is, ben je gepatcht. Als het 2.0.0 of eerder is — update onmiddellijk.
  2. Als je geen toegang hebt tot de admin UI:
    • Controleer vanaf de server de plugin readme-header of het pluginbestand plugin-main.php voor de versie-string.
    • WP-CLI: wp plugin lijst | grep ecab-taxi-boeking-beheerder (of de plugin slug) om de versie te vermelden.
  3. Zoek naar indicatoren van pogingen tot exploitatie:
    • DB-zoekopdracht naar verdachte script-tags in wp_berichten, wp_postmeta, wp_opties, wp_comments (bijv., <script, onerror=, javascript:).
    • Ongebruikelijke beheerdersacties of nieuwe gebruikers die zijn aangemaakt rond verdachte tijdstempels.
    • Onverwachte wijzigingen in plugin- of themabestanden.
  4. Voer een malware-scan uit:
    • Gebruik je beveiligingsscanner om een volledige site-scan uit te voeren naar geïnjecteerde scripts of bekende web-shells.

Onmiddellijke remedie (stap-voor-stap)

Als je ontdekt dat je de kwetsbare pluginversie hebt geïnstalleerd, volg dan onmiddellijk deze stappen:

  1. De plug-in bijwerken
    • Update naar Taxi Booking Manager voor WooCommerce v2.0.1 (of later) zo snel mogelijk. Dit is de primaire oplossing.
  2. Als u niet onmiddellijk kunt updaten:
    • Deactiveer de plugin. Als deactivatie je site breekt en je tijd nodig hebt om te plannen, pas dan aanvullende mitigaties toe in de volgende stappen.
  3. Verminder blootstelling van laagprivilege-accounts:
    • Beperk tijdelijk accounts op bijdragersniveau. Schakel het aanmaken van accounts door niet-beheerders uit.
    • Vereis herauthenticatie voor gevoelige admin-pagina's waar mogelijk.
    • Beoordeel en verwijder ongebruikte accounts.
  4. Pas WAF/virtuele patching toe
    • Als je een beheerde firewall (of WP-Firewall WAF) gebruikt, schakel dan virtuele patchregels in die XSS-payloads blokkeren die gericht zijn op pluginspecifieke eindpunten en formuliervelden (zie aanbevolen regels later).
  5. Scan en reinig
    • Voer een volledige malware-scan uit.
    • Zoek naar geïnjecteerde of obfuscated JavaScript in berichten, opties, pluginbestanden of themabestanden. Verwijder alles wat kwaadaardig is.
    • Als je verdachte bestanden vindt, isoleer, analyseer en herstel indien nodig vanaf een bekende goede back-up.
  6. Draai inloggegevens en beveilig admin-toegang.
    • Dwing wachtwoordresets af voor beheerders en andere bevoorrechte accounts.
    • Intrek persistente sessies indien beschikbaar of gebruik plugins om sessies ongeldig te maken.
    • Zorg ervoor dat alle beheerders sterke, unieke wachtwoorden gebruiken en schakel Multi-Factor Authenticatie (MFA) in waar mogelijk.
  7. Monitor logs en verkeer
    • Houd webserverlogs, WordPress-logs en admin-activiteitslogs in de gaten voor verdachte activiteiten na de update.
  8. Belanghebbenden op de hoogte stellen
    • Als je site is gecompromitteerd, informeer dan belanghebbenden en klanten als er gegevensblootstelling of service-impact heeft plaatsgevonden.

Onderzoek en incidentrespons na een vermoedelijke exploit

Als je vermoedt dat de site is uitgebuit via deze XSS-kwetsbaarheid:

  1. Triage
    • Neem de site offline of beperk de toegang om verdere schade te voorkomen tijdens het onderzoek (indien haalbaar).
    • Maak een volledige back-up (bestandssysteem en database) zoals deze is voor forensische analyse.
  2. Bepaal de reikwijdte van de compromittering.
    • Identificeer wanneer de eerste verdachte wijziging heeft plaatsgevonden.
    • Zoek naar externe code-injectie, nieuwe onbekende beheerdersaccounts, gewijzigde bestanden of geplande taken (cronjobs).
  3. Opruimen
    • Verwijder geïnjecteerde scripts uit berichten en opties.
    • Vervang gewijzigde kern-, plugin- en themabestanden door schone kopieën van vertrouwde bronnen.
    • Verwijder onbekende PHP-bestanden of shells.
    • Als een compromis diep of onzeker is, overweeg dan om te herstellen vanaf een schone back-up die vóór het compromis is gemaakt.
  4. Versteviging en validatie
    • Pas updates toe op de WordPress-kern, alle plugins en thema's.
    • Scan opnieuw en valideer de integriteit van de site.
    • Heractiveer diensten alleen nadat je zeker weet dat de site schoon is.
  5. Acties na het incident
    • Draai alle inloggegevens (database-inloggegevens indien mogelijk).
    • Voer een oorzaak-analyse uit: hoe kreeg de aanvaller het slachtoffer zover om te interageren? Implementeer controles om het risico op sociale engineering te verminderen.
    • Documenteer het incident en verbeter de detectie om herhaalde incidenten te voorkomen.

Hardening & operationele controles (korte termijn en lange termijn)

Korte termijn bescherming die je direct kunt toepassen:

  • Update de plugin naar 2.0.1.
  • Pas WAF-regels toe die scriptpayloads en verdachte invoer blokkeren.
  • Deactiveer de plugin als deze niet essentieel is.
  • Beperk de rolpermissies van bijdragers: beperk het publiceren van berichten, sta geen toegang tot beheerderspagina's toe, of gebruik plugins voor capaciteitsbeheer.
  • Handhaaf 2FA voor beheerders en hogere rollen.
  • Configureer Content Security Policy (CSP) headers om te beperken waar scripts vandaan draaien — hoewel CSP geweldig is, kan het worden omzeild door inline scripts als het verkeerd is geconfigureerd, dus gebruik het als onderdeel van verdediging-in-diepte.

Langdurige controles:

  • Gebruik een beheerde WAF die virtueel patchen ondersteunt en snel bescherming kan implementeren.
  • Versterk invoer/uitvoer in aangepaste plugins: zorg voor juiste sanering (sanitize_text_field, esc_html, esc_attr) en nonce-controles.
  • Scan en controleer regelmatig plugins op kwetsbaarheden en update automatisch waar veilig.
  • Implementeer een veilige SDLC voor elke aangepaste code en pluginselectie: geef de voorkeur aan actief onderhouden plugins met een beveiligingsbeleid en een snelle patchgeschiedenis.
  • Houd betrouwbare back-ups offline en valideer herstelprocedures.

Aanbevolen WAF / virtuele patchregels (voorbeelden)

Hieronder staan voorbeeldregels en patronen die je kunt toepassen op een WAF om XSS-aanvallen gericht op deze plugin te mitigeren. Deze zijn illustratief; pas ze aan je omgeving aan en test ze voor implementatie om valse positieven te voorkomen.

  1. Algemene blokkade voor inline script-tags in verzoeken (POST en GET)
    • Regel (pseudo): Als de aanvraagbody of querystring bevat <script (hoofdletterongevoelig) of </script> blokkeer of daag uit.
    • Voorbeeld regex:
      • (?i)<\s*script\b
      • (?i)
  2. Blokkeer veelvoorkomende event handler payloads (onerror=, onload=, onclick= in parameters)
    • Regex:
      • (?i)on(?:error|load|click|mouseover|focus|submit)\s*=
    • Actie: saniteren of het verzoek blokkeren.
  3. Blokkeer javascript: URI-gebruik in parameters en formulier velden
    • Regex:
      • (?i)javascript\s*:
  4. Blokkeer veelvoorkomende obfuscatiepatronen (gecodeerde of event handlers)
    • Regex:
      • (|)\s*script
      • (\b)()(\b) — encoded “javascript”
  5. Richt je specifiek op plugin-eindpunten
    • Als de plugin een bekende admin-URL gebruikt (bijv., /wp-admin/admin.php?page=ecab-booking of vergelijkbaar), pas strengere invoerfiltering toe op verzoeken naar deze eindpunten.
    • Voorbeeld pseudo-regel: Voor verzoeken waarbij REQUEST_URI “ecab” of plugin-specifieke slug bevat, inspecteer parameters en blokkeer op script-tags of event handler patronen.
  6. Rate-limiting en uitdaging:
    • Waar herhaalde verdachte indieningen van hetzelfde IP komen, beperk of CAPTCHA-uitdaging.
  7. Blokkeer reflectieve XSS-vectoren in referrer of user-agent:
    • Sommige aanvallen injecteren payloads in referer of user-agent headers. Daag dergelijke verzoeken uit of blokkeer ze als ze scriptpatronen bevatten.

Opmerkingen:

  • WAF-regels moeten worden afgestemd om valse positieven te minimaliseren.
  • Log geblokkeerde verzoeken voor forensisch onderzoek.
  • Bij het toepassen van virtuele patches, richt je alleen op de kwetsbare eindpunten en patronen om verstoring van de service te voorkomen.

Detectie- en monitoringtips

  1. Monitor logs op:
    • Verzoeken met verdachte querystrings of POST-lichamen die “ bevatten“<script“, “onerror=”, “javascript:”.
    • POSTs naar plugin-eindpunten van niet-herkende IP's of accounts.
  2. Scan de database:
    • Gebruik SQL-query's om script-tags te vinden:
      SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%<script%'; SELECT option_name FROM wp_options WHERE option_value LIKE '%<script%';
  3. Admin-activiteitsrecords:
    • Inspecteer het admin-actie-logboek op:
      • Nieuwe gebruikers toegevoegd (vooral met hoge rollen).
      • Berichten of boekingsinvoeren gemaakt door bijdragersaccounts met verdachte tijdstempels.
      • Ongebruikelijke wijzigingen in plugininstellingen.
  4. Webpagina-scanning en crawler-detectie:
    • Gebruik een geautomatiseerde crawler om pagina's weer te geven en geïnjecteerde scripts of kwaadaardige omleidingen te detecteren.
  5. Gebruik browserontwikkelaarstools:
    • Inspecteer front-end pagina's op inline scripts die je niet hebt toegevoegd; zoek naar obfuscate of base64-gecodeerde scripts.

Ontwikkelaarsrichtlijnen (als je de plugin onderhoudt of patcht)

Als je een plugin-ontwikkelaar bent of verantwoordelijk bent voor aangepaste code, neem dan deze acties:

  • Sanitize en escape alle gebruikersinvoer en -uitvoer op de juiste manier.
    • Bij invoer: valideren en sanitizen volgens verwachte datatypes (bijv. sanitize_text_field, sanitize_email).
    • Bij uitvoer: escapen met esc_html, esc_attr, esc_textarea of wp_kses_post afhankelijk van de context.
  • Gebruik nonces voor alle statusveranderende operaties en verifieer ze voordat je ze verwerkt.
  • Pas capaciteitscontroles toe: sta alleen rollen toe om acties uit te voeren die ze nodig hebben.
  • Vermijd het echoën van ruwe gegevens van bijdragers of onbetrouwbare bronnen op beheerderspagina's zonder te escapen.
  • Behandel alle gegevens uit de database als onbetrouwbaar, zelfs van geauthenticeerde gebruikers.
  • Voeg eenheden- en integratietests toe die bevestigen dat XSS-vectoren niet mogelijk zijn.
  • Geef snel patches vrij en publiceer duidelijke upgrade-instructies en changelogs.

Hoe WP-Firewall helpt: beheerde bescherming en virtueel patchen

Bij WP-Firewall bieden we gelaagde bescherming ontworpen voor WordPress-sites:

  • Beheerde WAF met virtuele patching:
    • Als een plugin een bekende kwetsbaarheid heeft (zoals de XSS in Taxi Booking Manager voor WooCommerce), kan onze WAF virtuele patches implementeren die exploitpatronen op de HTTP-laag blokkeren — waardoor je onmiddellijke bescherming krijgt, zelfs voordat je kunt updaten.
  • Malware-scanning en verwijdering:
    • Volledige malware-scans van de site detecteren geïnjecteerde scripts in berichten, opties en bestanden. In betaalde niveaus verminderen automatische verwijderopties de handmatige opruimlast.
  • OWASP Top 10 mitigatie:
    • Onze bescherming dekt veelvoorkomende injectieklassen, inclusief XSS, door kwaadaardige invoer en payloads te inspecteren en te blokkeren.
  • Continue monitoring:
    • Logs en beveiligingsgebeurtenissen worden gemonitord, en vroegtijdige waarschuwingen worden uitgegeven wanneer kwaadaardige activiteit wordt gedetecteerd.
  • Richtlijnen voor incidentrespons:
    • Als je site het doelwit was, bieden we stapsgewijze begeleiding, opruimassistentie en aanbevelingen voor herstel.

Als je onmiddellijke, gelaagde dekking wilt terwijl je patcht, is de combinatie van een actieve WAF-laag en grondige post-patch scans de snelste manier om blootstelling te verminderen.


Beveilig je site in enkele minuten — probeer het WP-Firewall Gratis Plan

Het beschermen van je WordPress-site zou niet ingewikkeld moeten zijn. Het Basis (Gratis) plan van WP-Firewall biedt essentiële bescherming die helpt tegen bedreigingen zoals de Taxi Booking Manager XSS terwijl je patcht:

  • Wat is inbegrepen in het Basis (Gratis) plan:
    • Beheerde firewall en Web Application Firewall (WAF)
    • Onbeperkte bandbreedtebescherming
    • Malwarescanner
    • Mitigatiemaatregelen voor OWASP Top 10-risico's

Upgradepaden:

  • Standaardplan ($50/jaar) voegt automatische malwareverwijdering toe en de mogelijkheid om tot 20 IP's op de zwarte of witte lijst te zetten.
  • Pro-plan ($299/jaar) omvat maandelijkse beveiligingsrapporten, automatische kwetsbaarheid virtuele patching en premium add-ons zoals een Dedicated Account Manager en Managed Security Service.

Begin nu met de gratis beschermingslaag en verminder uw directe risico:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Het kiezen van het gratis plan geeft u directe WAF-dekking en scanning terwijl u updates en verhardingsstappen toepast.)


Finale checklist (wat nu te doen)

Als u WordPress gebruikt en Taxi Booking Manager voor WooCommerce gebruikt (of uw admin-controles tonen de plugin aan):

  1. Controleer de pluginversie. Als <= 2.0.0 — update onmiddellijk naar 2.0.1.
  2. Als je niet meteen kunt bijwerken:
    • Deactiveer de plugin OF
    • Pas WAF-regels toe die XSS-patronen blokkeren die specifiek gericht zijn op de eindpunten van de plugin.
  3. Verwijder verdachte scripts die in berichten, opties of bestanden zijn gevonden.
  4. Draai admin- en geprivilegieerde inloggegevens en maak sessies ongeldig.
  5. Schakel MFA in voor alle beheerdersaccounts.
  6. Scan de site op malware en backdoors; reinig of herstel vanaf een schone back-up als deze is gecompromitteerd.
  7. Houd server- en WordPress-logboeken in de gaten voor ongebruikelijke activiteit.
  8. Overweeg het toevoegen van een beheerde WAF en virtuele patchingservice voor onmiddellijke bescherming totdat alle software is bijgewerkt.

Slotgedachten

Kwetsbaarheden zoals deze benadrukken het belang van gelaagde beveiliging: snelle patching, beleid van de minste privileges voor accounts, zorgvuldige invoer/uitvoer sanering in code, en een verdediging-in-diepte benadering (WAF + scanning + toegangscontroles). Zelfs wanneer een exploit gebruikersinteractie en een bijdrager-niveau invoer vereist, gebruiken aanvallers sociale engineering en automatisering om bij geprivilegieerde gebruikers te komen. Snel handelen, de plugin bijwerken, virtuele patches toepassen als u niet onmiddellijk kunt updaten, en een grondig onderzoek uitvoeren zijn essentieel om uw site en uw gebruikers te beschermen.

Als u hulp wilt bij noodmaatregelen — inclusief onmiddellijke virtuele patching, scanning en richtlijnen voor herstel — staat het team van WP-Firewall klaar om u te helpen de juiste bescherming voor uw WordPress-site toe te passen.

Let op je veiligheid,
WP-Firewall Beveiligingsteam


wordpress security update banner

Ontvang WP Security Weekly gratis 👋
Meld je nu aan
!!

Meld u aan en ontvang wekelijks de WordPress-beveiligingsupdate in uw inbox.

Wij spammen niet! Lees onze privacybeleid voor meer informatie.