image

Juridische vraag: Kun je als website nog wel veilig gebruikmaken van Google Fonts

woensdag 2 februari 2022, 10:08 door Arnoud Engelfriet, 22 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Een Duitse rechtbank heeft een Duitse website veroordeeld voor het zonder toestemming doorgeven van het ip-adres van een bezoeker aan Google door middel van Google Fonts. Dat meldde Security.NL afgelopen maandag De klagende bezoeker krijgt 100 euro schadevergoeding. Moeten wij nu stoppen met de dienst Fonts?

Antwoord: De dienst Google Fonts is bedoeld om website-eigenaren makkelijker mooie lettertypes te kunnen laten serveren. Natuurlijk kan iedereen eigen fonts op de eigen site zetten, maar dan blijf je downloaden. Google zet ze centraal neer (fonts.googlea.com), en dan onthoudt je browser welke fonts al gedownload. Dat scheelt, en als er updates zijn (een ontbrekend karakter, een nieuwe emoji, noem maar op) kan dat op één plek doorgevoerd.

Nadeel: je browser maakt dan verbinding met een site van Google, waardoor die je IP-adres te pakken krijgt. En -als ik even snel in mijn eigen cookiejar kijk- ook analyticscookies en andere gezellige trackers, die ongetwijfeld gecombineerd zijn met mijn Google-profiel en ander online gedrag. Dit ter verbetering van de gebruikerservaring, veronderstel ik.

Dit is dus een probleem, om dezelfde reden als waarom Google Analytics een probleem is. Als website forceer je zo dat mensen hun persoonsgegevens (IP-adres en/of cookie) naar Amerika gaan. En hier is er ook een eenvoudig alternatief, aldus de rechtbank: je mag die fonts gewoon lokaal hosten. Je hebt dan wel een beetje overhead en extra downloads, maar toen ik dat schreef twee alinea's terug zat ik ondertussen te Netflixen met Spotify aan én een AI model te renderen dus ik twijfelde al of ik dat nog wel een serieus argument vind in 2022.

De rechtbank bevestigt nog eens dat een IP-adres een persoonsgegeven is, ook als het "maar" dynamisch is. Gecombineeerd met datum en tijd is het gewoon het adres van een persoon - de netsurfer - en zeker voor Google, die het zo kan koppelen aan nog veel meer gegevens. En dat alles dus zonder toestemming en zonder goede reden (gerechtvaardigd belang).

In de comments bij Security.NL wordt gewezen op moderne beveiligingsmaatregelen in Firefox, waarmee je sowieso al niet meer profiteert van centrale opslag: fonts worden opnieuw opgehaald vanaf de Google-site bij iedere nieuwe site, zodat er niet één centraal overzicht komt voor de beheerder van de Google Fonts site. Wat dus specifiek bij Google niet werkt, maar bij andere meegluurders wel.

De 100 euro is een interessante opsteker voor de vele AVG-schadeclaimverzoekers. Heel hard wordt het niet onderbouwd:

The amount of the claimed damages is appropriate in view of the seriousness and duration of the infringement and is not challenged by the defendant.

Oftewel, "mja dat klinkt niet onredelijk en ik hoor ook geen serieus bezwaar van de website-eigenaar".

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (22)
02-02-2022, 10:49 door Anoniem
Beste arnoud misschien kun je je beter beperken tot de juridische inhoud. Van hoe de fonts geladen worden heb je weinig begrepen.
02-02-2022, 12:03 door Anoniem
Beste Arnoud,

Kun je ook antwoord geven op de vraag "Kun je als website nog wel veilig gebruikmaken van Google Fonts"?

"De rechtbank bevestigt nog eens dat een IP-adres een persoonsgegeven is, ook als het "maar" dynamisch is...
En dat alles dus zonder toestemming en zonder goede reden (gerechtvaardigd belang)."

Als het antwoord nee is, hoe zit het dan met het gebruik van afbeeldingen en andere media van een andere bron of het gebruik van CDN's in het algemeen?
02-02-2022, 12:09 door Arnoud Engelfriet
Die mag je even uitleggen, anoniempje. Ook met een link vanuit een stylesheet kan Google cookies zetten en IP-adressen loggen.
02-02-2022, 12:15 door Power2All - Bijgewerkt: 02-02-2022, 12:16
Door Anoniem: Beste arnoud misschien kun je je beter beperken tot de juridische inhoud. Van hoe de fonts geladen worden heb je weinig begrepen.

Het klopt anders grotendeels wel.
In een website zit een META link naar de font die dan een GET request stuurt naar Google.
De return request kan dan gewoon cookies en allerlij zooi bevatten wat ongewenst kan zijn.
Daarom wordt het grotendeels meer gewaardeerd als je zelf de font host, maar dan alsnog kan je er zelf ook cookies en allerlij andere zooi aan de body, header, etc... koppelen.
In Europa heb je zoiets als een cookie-wetgeving helaas (ik ben er geen voorstander van, maar ik snap de reden ervan).
Hier hoef je echt geen "jurist" of "IT expert" voor te zijn...

Omtrent de fonts, tegenwoordig is Font-Awesome enzo zeer populair, maar naast deze biedt Google ook eigen custom fonts aan die je kan inladen op je website, dus ik snap niet hoe jij denkt het dan wel beter te weten. FYI, ik develop ook websites, en ik maak ook gebruik van custom fonts, dus zodoende dat ik hierop even inhaakte.
02-02-2022, 12:23 door Anoniem
Waarom stuurt een browser dan cookies mee met dit request? Dat is toch helemaal niet nodig, laten ze daar dan
mee stoppen. Als een browser gewoon een kale URL ophaalt zonder unieke ID die uitgegeven wordt per gebruiker
van hun fonts, en er worden geen cookies e.d. uitgewisseld, dan kunnen ze helemaal niet weten voor welke website
een gebruiker dat font ophaalt. In die situatie lijkt met me onzinnig om te klagen over "ze weten mijn IP".
02-02-2022, 13:06 door Power2All
Door Anoniem: Waarom stuurt een browser dan cookies mee met dit request? Dat is toch helemaal niet nodig, laten ze daar dan
mee stoppen. Als een browser gewoon een kale URL ophaalt zonder unieke ID die uitgegeven wordt per gebruiker
van hun fonts, en er worden geen cookies e.d. uitgewisseld, dan kunnen ze helemaal niet weten voor welke website
een gebruiker dat font ophaalt. In die situatie lijkt met me onzinnig om te klagen over "ze weten mijn IP".

Ligt eraan.
De response header kan bijvoorbeeld een SetCookie bevatten, en die wordt dan weer mee gestuurd als die URL request gedaan wordt. Altens, zo ver ik weet, heb me er niet in verdiept verder dan dat.
02-02-2022, 13:15 door Anoniem
Door Anoniem:Als een browser gewoon een kale URL ophaalt zonder unieke ID die uitgegeven wordt per gebruiker
van hun fonts, en er worden geen cookies e.d. uitgewisseld, dan kunnen ze helemaal niet weten voor welke website
een gebruiker dat font ophaalt. In die situatie lijkt met me onzinnig om te klagen over "ze weten mijn IP".
Vergeet niet dat veel browsers standaard een referer header mee sturen, daarmee verklap je direct welke pagina je aan het opvragen was waarvoor het font opgehaald moest worden.

Ik kan me overigens enorm storen aan "webdesigners" die fonts, jquery, en weet ik veel wat voor scripts nog meer overal vandaan trekken. In het geval van jquery: Is het nou echt zo'n probleem om 90 KB op je eigen server te hosten in plaats van mijn privacy te grabbel te gooien.
02-02-2022, 14:01 door Anoniem
Bootstrap van Twitter is net zo een verhaal. Technisch zijn er verschillende oplossingen. Er zijn voor WP sites plugins die alle uitstapjesfiles (javascript en css) op je lokale server zetten, en van daaruit aan bezoekers serveren. Als je goeie eigen servers hebt die goede bandbreedte hebben en qua load niet in de stress zitten, dan laadt dat net zo snel, of zelfs sneller. Daarnaast, met wat een dedicated server tegenwoordig kost, zaken als server side caching ook niet nodig. Tenzij je echt heel veel traffic hebt. Maar dan zou die traffic ook weer op moeten kunnen leveren om een vettere server te huren (Iets wat Google bijvoorbeeld naar mijn gevoel flink aan het afknijpen is als je enkel op AdSense moet rondkomen...)

Ik vind persoonlijk dat als iemand één van mijn pagina's bezoekt, het mijn eigen verantwoordelijkheid om ervoor te zorgen dat enkel ik dat kan weten. Los van wat er allemaal in wetten staat geschreven. Dat controleer ik ook, bijvoorbeeld door door de tags in de HTML te zoeken, en te kijken of er koekies van derden worden weggeschreven.

Mijn privacyprincipe is als volgt. Alle bezoekers (ook de graties) zijn mijn klanten. Ik ben Slagerij van Kampen. Of Kapsalon Sonja. Alle dagen komt mevrouw de Boer. En maar opscheppen en lullen over haar vakanties. Dat is al een hele toer om dat alle dagen aan te moeten horen, beleefd te blijven en je klant niet te verliezen. Dat moet je voor de lol maar eens aan die hele sympathieke dameskapper/ster vragen. Wat er door die mensen heen gaat als ze denken, owgot daar heb je mevrouw de Boer weer! Die komt niet voor een half onsje rookvlees, of voor d'r dooie puntjes. En maar lullen over dat ze wel drie keer per jaar naar Torremolinos gaat. Stel je nou es voor dat ik Corrie in de winkel toelaat, van Corries Travel Service. Die die ouwe heks van de Boer bespringt en een all-in arrangement gaat verkopen naar Turkije. Waarbij ik dan een procentje krijg. Alsof mevrouw de Boer dan achterlijk is! Of toch zeker gaat denken, die Corrie staat weer binnen. Met haar Turkije reizen! Geheid dat je daar een klant aan kwijtraakt. Of mevrouw de Boer gaat goed over haar theewater en dan snij ik de hele dag alle plakkies scheef of gebruik de verkeerde kleurspoelingen. Dus de rest gaat ook eens kijken bij de concurrent. Je moet gewoon nooit lullen over mevrouw de Boer met Corrie van de Travel Service. Want anders gaat die gewoon voor je deur staan met haar aanbiedingen, en dat is openbare weg. Dat mag gewoon.

En dan valt Corrie van de Travel Service nog mee. De Googles, Facebooks, Amazons, Twitters, enzovoort zijn pure gewetenloze maffia organisaties. In mijn salon wil ik die al helemaal niet naast de wasbak hebben. Of dat ze weten dat ik die kleine een plakkie worst heb gegeven. Opsodemieteren allemaal.
02-02-2022, 14:50 door Anoniem
> En -als ik even snel in mijn eigen cookiejar kijk- ook analyticscookies en andere gezellige trackers, die ongetwijfeld gecombineerd zijn met mijn Google-profiel en ander online gedrag. Dit ter verbetering van de gebruikerservaring, veronderstel ik.

Nee Arnoud! Als je een lettertype via het Font Delivery Network van Google gebruikt (via fonts.googleapis.com of gstatic.com) komen er in de responses geen cookies mee! Dit staat op https://developers.google.com/fonts/faq en kun je ook zelf eenvoudig via de developer console van je browser bekijken. Laat onverlet dat je eerder van deze domeinen een cookie kan hebben ontvangen en het is dan de browser die de cookies mee stuurt richting Google. Het is niet zo dat Google hierom vraagt, het is je webbrowser die dit automatisch doet, dat heet het HTTP protocol.

Nu we het toch over protocollen hebben. Het internet "draait" op het TCP/IP protocol. Hierin komt ook zoiets voor als IP-adressen, van de client en de server en de communicatie daartussen. Nu het IP-adres is verheven tot persoonsgegeven moeten die soort basis protocollen maar eens tegen het licht worden gehouden. Want alle services die via internet geboden worden verwerken persoonsgegevens (IP-adres), van statistiekmodules tot (cachbare) fonts, van anti-DDOS services tot CDN's.
02-02-2022, 16:19 door Anoniem
In mijn opinie kan een IP adres onder omstandigheden een identiteit dusdanig aannemelijker maken dat het in de zin van de privacy wetten als een privegegeven is aangemerkt (en terecht, mijns inziens).

Een persoonsgegeven is het echter niet. Heel de wijk kijkt hier Nexflix en de rest via mijn open Wifi en er is geen wet die van mij verwacht dat ik al dat dataverkeer moet moniteren of kopietjes van paspoorten van de buren bij de hand moet hebben. Noch dat ik in geval van slorig enige medeplichtigheid draag (zoals bijvoorbeeld wel bij helen na stelen).

Ik meen dus vooralsnog met een gerust hart te kunnen beweren dat ìk mijn IP adres niet ben. Of dat dat enkel te bewijzen valt door zeer ernstige inbreuk op mijn prive te maken, tot vingerafdrukken op toetsenborden in mijn eigen huis aan toe.
02-02-2022, 18:02 door Anoniem
Door Anoniem: Als het antwoord nee is, hoe zit het dan met het gebruik van afbeeldingen en andere media van een andere bron of het gebruik van CDN's in het algemeen?

Niet Arnoud, maar ik denk dat ik hier ook wel antwoord op kan geven. De kern van de zaak is dat de fonts van Google prima op een eigen site gehost kunnen worden en dat er een nihil voordeel is om deze via Google in te laden

Als je:
- Gebruik maakt van dynamische content op een andere website/CDN
- Een duidelijke bandbreedte besparing hebt omdat het om grote bestanden gaat
- Geen rechten hebt of om andere redenen de content niet zelf mag hosten
- Een eigen CDN hebt om je eigen bestanden dichter bij gebruikers te cachen (en er dus geen derde partij is)

Dan gaat dit argument niet op en hoef je je van deze uitspraak niks aan te trekken.
02-02-2022, 18:04 door Anoniem
Is nu de conclusie dat je als websiteeigenaar ALLE bestanden die jouw site gebruikt op jouw eigen server moet hosten?
Dit omdat elke referral (om bij een andere site/domein/server een stukje van de site op te halen) het ip-adres van de bezoeker, zonder expliciete toestemming van die bezoeker, kenbaar wordt gemaakt aan die andere site/domein/server?
02-02-2022, 18:27 door Anoniem
Om de cookies-discussie te beslechten heb ik dit gewoon even getest. Clean Firefox browser profiel met alle 'ant-tracking' opties uitgeschakeld. Met developertools heb ik vervolgens gekeken naar alle verzoeken bij het bezoeken van vice.com en nytimes.com. Op beide websites heb ik via de cookie pop-up alle (standaard) cookies geaccepteerd. Daarna heb ik 1 font op vice.com vervangen door een font van nytimes.com. Vervolgens heb ik naar de cache (about:cache) gekeken en naar alle informatie in de storage.

Dit zijn mijn bevindingen:
- Wanneer hetzelfde font dat eerst op nytimes.com is ingeladen, vervolgens door vice.com wordt ingeladen, zorgt voor een volledig nieuw verzoek. Het eerder opgehaalde font wordt dus niet gebruikt en voor elke website wordt (ook voor een identiek font) dus een nieuw verzoek gedaan
- In het antwoord van fonts.gstatic.com is geen 'set-cookie' header te zien. Er worden dus geen cookies ingesteld bij het inladen van een font.
- In de cache is te zien dat het zelfde font een "^partitionKey=%28https%2Cvice.com%29" optie gebruikt. Dit is de cache partitioning waarin de blogpost van Mozilla over geschreven wordt
- Bij het ophalen van het font wordt zowel via de 'referer' als de 'origin' request-header aangegeven op welke website een gebruiker zich bevindt. Google leert dus wel op welke websites je zit. (Overigens zie ik nu pas dat het Google font nytimes.com wordt ingeladen via news.google.com.)
- In het storagetab (waarin onder andere cookies te zien zijn) is ook na het accepteren van alle (standaard) cookies op beide websites geen cookie op *.gstatic.com te vinden

Dit laatste wordt ook bevestigd op de website van Google (https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users): "Use of Google Fonts API is unauthenticated. No cookies are sent by website visitors to the Google Fonts API. Requests to the Google Fonts API are made to resource-specific domains, such as fonts.googleapis.com or fonts.gstatic.com. This means your font requests are separate from and don't contain any credentials you send to google.com while using other Google services that are authenticated, such as Gmail."

Ten overvloede: gstatic.com is geen google.com. De standaard trackingcookies staan op google.com

Zo, en dan nu snel dat profiel weer verwijderen. Google Chrome gebruikers kunnen nog dezelfde test uitvoeren, maar als die je browser gebruikt wordt je linksom of rechtsom toch al gevolgd. Daar gaan Google Fonts niet veel meer aan toevoegen.
03-02-2022, 08:07 door Anoniem

Dat scheelt, en als er updates zijn (een ontbrekend karakter, een nieuwe emoji, noem maar op) kan dat op één plek doorgevoerd.

Vanuit het oogpunt van beveiliging is dat geen voordeel: Google kan dus in 1x je hele site kapot maken met een update aan hun kant. Gelukkig is dat ook al bekend, alleen nog niet gefixed: https://github.com/google/fonts/issues/473
03-02-2022, 09:19 door Anoniem
Juridische vraag: Een Duitse rechtbank heeft een Duitse website veroordeeld voor het zonder toestemming doorgeven van het ip-adres van een bezoeker aan Google door middel van Google Fonts. Dat meldde Security.NL afgelopen maandag De klagende bezoeker krijgt 100 euro schadevergoeding. Moeten wij nu stoppen met de dienst Fonts?

LMFAO, bij hoeveel andere applicaties weet de leverancier je IP adres. Het moet GDPR-technisch echter wel goed opgezet zijn.
03-02-2022, 10:17 door Anoniem
Door Anoniem: In mijn opinie kan een IP adres onder omstandigheden een identiteit dusdanig aannemelijker maken dat het in de zin van de privacy wetten als een privegegeven is aangemerkt (en terecht, mijns inziens).

Een persoonsgegeven is het echter niet. Heel de wijk kijkt hier Nexflix en de rest via mijn open Wifi en er is geen wet die van mij verwacht dat ik al dat dataverkeer moet moniteren of kopietjes van paspoorten van de buren bij de hand moet hebben. Noch dat ik in geval van slorig enige medeplichtigheid draag (zoals bijvoorbeeld wel bij helen na stelen).

Ik meen dus vooralsnog met een gerust hart te kunnen beweren dat ìk mijn IP adres niet ben. Of dat dat enkel te bewijzen valt door zeer ernstige inbreuk op mijn prive te maken, tot vingerafdrukken op toetsenborden in mijn eigen huis aan toe.
Ik ben alleenstaand en niemand anders gebruikt mijn internet verbinding.

Een IP adres is wel degelijk een persoonsgegeven, ik ben er persoonlijk naar terug te leiden.
03-02-2022, 11:17 door Ron625
Door Anoniem:bij hoeveel andere applicaties weet de leverancier je IP adres.
Bij iedere email die je verstuurt, het ip adres staat tenslotte in de header.
03-02-2022, 12:55 door Anoniem
Door Anoniem:
Door Anoniem: In mijn opinie kan een IP adres onder omstandigheden een identiteit dusdanig aannemelijker maken dat het in de zin van de privacy wetten als een privegegeven is aangemerkt (en terecht, mijns inziens).

Een persoonsgegeven is het echter niet. Heel de wijk kijkt hier Nexflix en de rest via mijn open Wifi en er is geen wet die van mij verwacht dat ik al dat dataverkeer moet moniteren of kopietjes van paspoorten van de buren bij de hand moet hebben. Noch dat ik in geval van slorig enige medeplichtigheid draag (zoals bijvoorbeeld wel bij helen na stelen).

Ik meen dus vooralsnog met een gerust hart te kunnen beweren dat ìk mijn IP adres niet ben. Of dat dat enkel te bewijzen valt door zeer ernstige inbreuk op mijn prive te maken, tot vingerafdrukken op toetsenborden in mijn eigen huis aan toe.
Ik ben alleenstaand en niemand anders gebruikt mijn internet verbinding.

Een IP adres is wel degelijk een persoonsgegeven, ik ben er persoonlijk naar terug te leiden.

Dat vindt de wetgever en rechter ook in tegenstelling tot de poster van het bericht. Niet dat de mening van de poster telt in deze. :P
03-02-2022, 13:28 door Anoniem
gebruik van deze fonts kwam ik zelfs tegen op security software Dell SonicWall emailsecurity had dit een aantal jaar geleden in ieder geval. Zorgde voor vertraging bij inloggen op admin-panel als deze niet bereikbaar was.
workaround: opvoeren in hosts met 127.0.0.1
Paul
03-02-2022, 15:57 door Anoniem
Het laden van fonts van de google server heeft praktisch gezien geen voordelen voor de gebruiker. Er worden verschillende fonts gedownload over verschillende sites en die ene keer dat het precies dezelfde is, is verwaarloosbaar op het geheel. Dat geldt ook voor scripts.

Het is beter om zelf fonts te hosten, dat is typisch vrij gebruik.

@Gisteren, 18:27 door Anoniem
Kudos voor de test, maar met het commentaar onderaan ben ik het niet eens. Wijzen naar iets anders dat ook fout zit, maakt een praktijk nog niet ok en je moet niet aannemen dat een gebruiker andere google diensten niet blokkeert. Wat bedoel je met het verwijderen van een profiel? Die staat gewoon op de servers van Google. Google vereist inloggen om profielen te verwijderen.

Als je web site hosting goed wilt doen, host je alles op je eigen servers. Dat is ook beter voor de beschikbaarheid.

Overigens: er verandert vaak iets in de scripts op de Google sites, meerdere keren per jaar. Ze proberen uit alle macht toch cookies te plaatsen terwijl dat wordt geweigerd door de browser. Zelfs als je zonder script werkt op Google search kun je niet zonder link tracking gebruik maken van google.com, die links worden geredirect via Google. Dat kan alleen als je ingrijpt op scripts die geladen worden. Vroeger, toen ze nog het "do no evil" adagium aanhielden, gebruikten ze nog lang links zonder tracking. Nu is dat volledig los gelaten en een gewone gebruiker wordt geprest om toch vooral cookies toe te laten.
03-02-2022, 17:42 door Anoniem
Door Anoniem: Wat bedoel je met het verwijderen van een profiel? Die staat gewoon op de servers van Google. Google vereist inloggen om profielen te verwijderen.
Ik bedoel het aparte Firefox profiel dat ik had aangemaakt (about:profiles). Ik heb al een jaar of 10 geen Google account meer.
03-02-2022, 22:13 door _Martin_
Kun je als website nog wel veilig gebruikmaken van Google Fonts
Ik denk dat je als webdesigner niet afhankelijk wilt zijn van de beschikbaarheid van services van derden? Los van Google Fonts lijkt me het niet erg wenselijk dat derden invloed hebben op de layout/werking van jouw website. Vanuit het oogpunt van security is het een ideale aanvalsvector om bestanden op CDN's aan te passen.

Door Anoniem: Bootstrap van Twitter is net zo een verhaal. Technisch zijn er verschillende oplossingen. Er zijn voor WP sites plugins die alle uitstapjesfiles (javascript en css) op je lokale server zetten, en van daaruit aan bezoekers serveren. Als je goeie eigen servers hebt die goede bandbreedte hebben en qua load niet in de stress zitten, dan laadt dat net zo snel, of zelfs sneller.
Bandbreedte en load voor javascript en CSS valt wel mee, hoor, het zijn gewoon statische bestandjes. Wat Wordpress (nog) steeds "fout" doet, is elk javascript- en/of CSS-bestandje apart serveren, waardoor je al snel aanloopt tegen het maximaal aantal parallelle downloads per domeinnaam (is een browserinstelling). Als dat gebeurt, stagneert het laden van de overige bestanden totdat één van de bestanden is gedownload. Javascript en CSS samenvoegen en minifyen in één CSS-bestand en één javascriptbestand, vervolgens cache-headers meesturen met een datum die een jaar in de toekomst ligt. Aanpassing aan javascript en/of CSS: querystring toevoegen aan de verwijzing naar je javascript-/CSS-bestand (bijvoorbeeld /stylesheet.css?2022-02-03) en de browser ziet het als een nieuw bestand en download deze.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.