Privacy-First Bouwen: Waarom Sydus Kiest voor EU-Servers en Eigen Auth
Geen AWS, geen Firebase, geen Auth0. Bij Sydus draaien alle producten op Europese servers met eigen authenticatie. Niet als marketingpraatje — als fundamentele architectuurkeuze.
Sydus
AI-gegenereerd artikel
Elke keer als we een nieuw product bouwen, staan we voor dezelfde keuze: nemen we de snelle route, of de juiste route?
De snelle route is verleidelijk. AWS voor hosting, Firebase voor realtime data, Auth0 voor authenticatie, Stripe voor betalingen. Binnen een dag heb je een werkende MVP. Maar je hebt dan ook je gebruikersdata verspreid over vier Amerikaanse platformen, je bent afhankelijk van vier externe prijsstructuren, en je kunt je eigen applicatie niet volledig begrijpen — laat staan uitleggen aan je gebruikers.
Bij Sydus kiezen we consequent voor de andere route.
De CLOUD Act: Een Europees Probleem
Het begint bij een wet die de meeste mensen niet kennen: de CLOUD Act (Clarifying Lawful Overseas Use of Data Act), aangenomen in 2018 door de Amerikaanse overheid.
Die wet zegt simpelweg: als een Amerikaans bedrijf data beheert — waar ook ter wereld — kan de Amerikaanse overheid die data opvragen. Zonder dat de gebruiker dit hoeft te weten, en zonder dat Europees recht hieraan in de weg staat.
Dat betekent: als jij je data opslaat bij AWS, Google Cloud, of Azure — ook in een Europees datacenter — valt die data juridisch gezien onder Amerikaanse jurisdictie.
Geen AWS US-East, geen Google Cloud us-central1. Alle Sydus-producten draaien op een VPS in Frankfurt, Duitsland. Niet omdat het goedkoper is (dat is het niet), maar omdat het de enige manier is om eerlijk te kunnen zeggen: jouw data staat in Europa.
Eigen Auth: Geen Derde Partij Tussen Jou en Je Gebruikers
Auth0, Clerk, Supabase Auth, Firebase Authentication — ze zijn allemaal uitstekend gebouwd en enorm handig. Ze zijn ook allemaal een derde partij die weet wie jouw gebruikers zijn, wanneer ze inloggen, en vanaf welk apparaat.
Bij Sydus bouwen we eigen authenticatie. Dat klinkt ingewikkelder dan het is:
- bcrypt voor wachtwoordhashing — de industrie-standaard
- Secure, httpOnly cookies voor sessiebeheer
- Eigen invite-flows voor multi-user systemen
- Magic links via transactionele e-mail (Mailersend, een Europese provider)
Geen JWT-tokens die we aan een externe service moeten valideren. Geen 'inloggen met Google' waarbij Google weet dat jouw gebruiker ook klant bij ons is. Geen vendor lock-in als die auth-provider morgen zijn prijzen verdubbelt.
Het kost een sprint extra werk om dit goed te bouwen. Maar het is werk dat we volledig begrijpen, volledig beheersen, en volledig kunnen verantwoorden aan onze gebruikers.
Europese Betaalproviders
Hetzelfde principe geldt voor betalingen. Stripe is de wereldstandaard — en ook een Amerikaans bedrijf dat transactiedata verwerkt.
Wij gebruiken Mollie, een Nederlandse PSP. Zelfde functionaliteit, zelfde developer experience, maar met een Europese juridische structuur en AVG-compliance ingebakken.
Het maakt onze stack niet gecompliceerder. Het maakt hem consequenter.
Wat We Bewust Niet Gebruiken
Een overzicht van populaire tools die we bewust links laten liggen:
| Tool | Alternatief | Reden |
|---|---|---|
| AWS / Google Cloud / Azure | Eigen VPS (Hetzner, Frankfurt) | CLOUD Act, vendor lock-in |
| Firebase | PostgreSQL + Redis | Geen controle over datamodel |
| Auth0 / Clerk | Eigen sessie-auth | Derde partij ziet inlogdata |
| Stripe | Mollie | Europese juridische structuur |
| Vercel | Eigen Next.js deployment | Data-routing via VS |
| Supabase | Eigen Postgres + API | Amerikaans bedrijf, ondanks EU-optie |
Dit is geen anti-Amerikaans standpunt. Het is een consequente keuze voor controle, transparantie, en respect voor de verwachtingen van Europese gebruikers.
De Prijs van Controle
Eerlijkheid: dit kost meer moeite.
Eigen servers beheren betekent dat je zelf verantwoordelijk bent voor updates, backups, en uptime. Eigen auth bouwen betekent dat je de security-implicaties begrijpt. Geen managed services betekent dat je problemen zelf oplost in plaats van een support ticket indient.
Maar het levert ook iets op: een systeem dat je volledig begrijpt.
Als wij een gebruiker vragen stelt over hoe hun data wordt opgeslagen, kunnen we een eerlijk antwoord geven. Niet 'dat regelt Auth0', niet 'AWS heeft een DPA', maar: jouw data staat op deze server, in dit land, beveiligd op deze manier.
Dat is een fundamenteel ander gesprek.
Schaalbaar is het Ook
Een veelgehoorde kritiek: "eigen infra werkt niet op schaal". Dat klopt voor hyper-growth bedrijven. Maar voor de meeste SaaS-producten — zeker in de Europese markt — is een goed geconfigureerde VPS meer dan genoeg.
Onze producten draaien op Hetzner-servers in Frankfurt. Bij groei schalen we horizontaal: meer servers, load balancers, database replicas. Allemaal in Europa, allemaal in eigen beheer, allemaal met dezelfde privacygaranties.
Privacy als Product
We zien privacy niet als een juridische verplichting die je zo goedkoop mogelijk naleeft. We zien het als onderdeel van het product.
Als iemand kiest voor een Sydus-product in plaats van een Amerikaans alternatief, is dat bewust. Ze kiezen voor iets dat gebouwd is door een Europees team, op Europese infra, met Europese waarden. Die keuze willen we rechtvaardigen — niet alleen in onze privacyverklaring, maar in elke architectuurbeslissing die we nemen.
EU servers. Eigen auth. Geen Big Tech afhankelijkheden.
Niet als marketingpraatje. Als architectuurkeuze.