GDPR-gecertificeerd astrologisch API voor EU-ontwikkelaars
De eerste astrologische API met volledige residentie in de EU. Als je een B2C-product ontwikkelt voor de Europese markt, komt de vraag over GDPR-conformiteit al voordat je de eerste regel code schrijft. AstroWay lost dit standaard op, zonder extra kosten of juridische acrobatiek.
Waarom is dit belangrijk?
Section titled “Waarom is dit belangrijk?”De meeste astrologische API’s (DivineAPI, AstrologyAPI, Prokerala) zijn gehost in de VS / India. Dat betekent:
- Je
birth.date,birth.time,birth.lat,birth.lon(=PII in GDPR-termen) gaat via de VS/India. - Subprocessor-disclosure voor je privacybeleid: je moet hun jurisdictie vermelden.
- Een DPA (Data Processing Agreement) is niet beschikbaar of alleen voor Enterprise tegen extra kosten.
- Risico op boetes van €10M+ door de EU-EER Data Protection Authority: grensoverschrijdende datatransfer zonder SCC.
AstroWay biedt op het Pro-tarief ($59/maand) standaard EU-residentie: alle data wordt verwerkt in Hetzner Nuremberg, zonder grensoverschrijdende transfer.
Technische stack
Section titled “Technische stack”| Laag | Locatie / provider |
|---|---|
| Compute | Hetzner CPX32, Neurenberg (Duitsland) |
| Database | EU-resident op dezelfde VPS — data verlaat de infrastructuur in Neurenberg niet |
| CDN / DNS | Cloudflare met EU-region cache-regels (verzoeken vanuit de EU worden bediend door EU edges) |
| Transactie-email | Brevo (voorheen Sendinblue), EU-gebaseerd, GDPR-conform SMTP |
| PDF-opslag | Hetzner Storage Box (Neurenberg) — signed-URL TTL 24u, geen cross-border replicatie |
| Analyse | GA4 met anonymizeIp + geen persoonlijke data in events (Plausible self-hosted staat op de roadmap) |
| Logs | gestructureerde JSON, alleen IP-hash (geen raw IPs), retentie 30 dagen |
GDPR — wat wij bieden
Section titled “GDPR — wat wij bieden”Standaard (voor alle Pro+ sleutels)
Section titled “Standaard (voor alle Pro+ sleutels)”- ✅ Datastroom alleen binnen de EU — birth-data verlaat Neurenberg nooit
- ✅ Geen grensoverschrijdende transfer van persoonlijke data — bevestigd door infra-level configuratie
- ✅ IP-hashing — logs bevatten alleen SHA-256 hash + eerste 16 bits om request throttling te beperken
- ✅ Logs retentie 30 dagen — daarna worden logs automatisch verwijderd
- ⚠️ Geanonimiseerde analyse (GA4) — anonymize_ip + geen persoonlijke data in events. Plausible self-hosted (zonder cookies) staat op de roadmap. Tot migratie raden we een eigen cookie-banner aan op je B2C-frontend.
- ✅ Recht op wissen:
DELETE /v1/me/account(Bearer JWT, body{"confirmation": "DELETE"}) — verwijdert je account en alle gerelateerde data direct uit ons systeem
Op aanvraag (Pro+ abonnees)
Section titled “Op aanvraag (Pro+ abonnees)”- 📄 DPA (Data Processing Agreement) — standaard GDPR Art. 28 template, ondertekend binnen 5 werkdagen. Email naar
legal@astroway.info. - 📋 Lijst van sub-processors — volledige lijst (Hetzner, Cloudflare, onze SMTP-provider, Stripe voor Stripe-klanten) met compliance-documenten voor elk. Brevo als SMTP-vendor staat vermeld in de DPA-appendix voor klanten die deze hebben ondertekend.
- 🗂️ Toegang tot DPIA (Data Protection Impact Assessment) — als je juridisch team een DPIA maakt voor je product, leveren wij een technische bijdrage van onze kant.
Voor Enterprise-klanten (individueel tarief)
Section titled “Voor Enterprise-klanten (individueel tarief)”- 🛡️ SOC 2 Type II — staat op de roadmap (auditor nog niet vastgelegd, ETA TBD). Als dit je integratie blokkeert, schrijf naar legal@astroway.info, we zijn bereid om samenwerking met een auditor te overwegen.
- 🇪🇺 Juridische entiteit binnen de EU — huidige juridische vorm is Oekraïense FOP (Maxim Burkhan). Als je inkoopafdeling een EU GmbH (Duitsland / Estland) vereist, bespreken we dit op maat via legal@astroway.info, proces duurt 4-8 weken.
- 🔐 Gededeelde infrastructuur op aanvraag — aparte VPS in Neurenberg, geïsoleerde DB, geen gedeelde compute
- 📞 Directe beveiligingskanaal —
security@astroway.infovoor incidentrespons
Vergelijking: AstroWay vs. concurrenten met hosting in de VS
Section titled “Vergelijking: AstroWay vs. concurrenten met hosting in de VS”| Kritisch voor EU-ontwikkelaars | AstroWay Pro $59 | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| Compute in de EU | ✅ Hetzner Neurenberg | ❌ VS | ❌ VS | ❌ India |
| Standaard DPA beschikbaar | ✅ op Pro+ | ❌ alleen Enterprise | ❌ alleen Enterprise | ❌ alleen Enterprise |
| GDPR-conformiteit standaard | ✅ op infra-niveau | ⚠️ via SCC | ⚠️ via SCC | ⚠️ via SCC |
| Analyse zonder cookies | ⚠️ GA4 geanonimiseerd (Plausible op roadmap) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| Garantie dat datastroom alleen in de EU blijft | ✅ schriftelijk bevestigd | ❌ | ❌ | ❌ |
| Technische toegang tot DPIA | ✅ beschikbaar | ❌ | ❌ | ❌ |
| Endpoint voor recht op wissen | ✅ DELETE /v1/me/account | ❌ via ticket | ❌ via ticket | ❌ via ticket |
EU-residentie, DPA, GDPR op infra-niveau — alles inbegrepen in Pro $59/maand. Geen apart tarief, geen sales-aanvraag, geen individuele prijsafspraken.
Dit is een bewuste strategie: hosting bij Hetzner kost ons niets extra (onze VPS staat sowieso in Neurenberg) en een DPA is een standaard template dat eenmalig per email wordt ondertekend. Je hoeft niet te betalen voor privacy wat standaard zou moeten zijn.
Kan ik de Free-tarief gebruiken voor een GDPR-gevoelig project?
Section titled “Kan ik de Free-tarief gebruiken voor een GDPR-gevoelig project?”Ja — het Free-tarief gebruikt dezelfde infrastructuur (Hetzner Neurenberg), dezelfde geanonimiseerde analyse, dezelfde 30-day log-retentie. DPA is niet beschikbaar op Free (dit is administratieve overhead die alleen op betaalde niveaus rendabel is), maar technisch wordt je data op dezelfde manier verwerkt.
Als je juridisch team een ondertekende DPA vereist, biedt ook de Indie ($5/maand) deze niet. De goedkoopste optie met DPA is Pro $59.
Wat met ECJ Schrems II? Is je Cloudflare CDN een US-bedrijf?
Section titled “Wat met ECJ Schrems II? Is je Cloudflare CDN een US-bedrijf?”Cloudflare is een US-bedrijf, maar wij gebruiken EU-region cache-regels (verzoeken vanaf een EU IP worden bediend door een EU edge), en de origin server (waar data daadwerkelijk wordt verwerkt) staat in Hetzner Neurenberg. PII (birth-data) gaat via de Cloudflare edge in dezelfde regio en wordt niet op de edge opgeslagen — alleen als doorvoer.
Voor kritisch gevoelige scenario’s (medische toepassingen, B2G) kun je Cloudflare omzeilen via DNS-routing naar de origin — schrijf naar legal@astroway.info.
Hoe snel krijg ik een DPA na het activeren van Pro?
Section titled “Hoe snel krijg ik een DPA na het activeren van Pro?”- Standaard DPA (onze template) — direct beschikbaar, bestand
astroway-dpa-v1.pdfstaat in je dashboard na de eerste afschrijving. - Individuele aanpassingen van je juridisch team — 3-5 werkdagen. We onderhandelen niet agressief over standaard Art. 28-clausules.
Moet ik een DPA ondertekenen als ik een B2B-ontwikkelaar ben zonder eigen PII?
Section titled “Moet ik een DPA ondertekenen als ik een B2B-ontwikkelaar ben zonder eigen PII?”Als je eindproduct PII verwerkt (en birth-data is PII) dan ja, je juridisch team zal waarschijnlijk een ondertekende DPA met alle sub-processors vragen. Wij leveren deze standaard. Als je integratie intern is (alleen medewerkers), is een DPA waarschijnlijk niet kritisch, maar het is toch aan te raden om deze te ondertekenen.
Wat doet AstroWay als ik DELETE /v1/me/account aanroep?
Section titled “Wat doet AstroWay als ik DELETE /v1/me/account aanroep?”- API-sleutels — zacht verwijderd (anti-abuse cooldown)
- Account-sleutel koppeling — verbroken; sleutel kan niet opnieuw worden toegewezen
- Gebruikersprofiel — gemarkeerd als verwijderd met tijdstempel
- Gebruikslogs — IP-hash is geen PII meer, blijft voor factureringsaudit
- Ordergeschiedenis — behouden (legale financiële retentie 7 jaar per GDPR Art. 17 §3 e)
- Transactie-emails — automatisch verwijderd door onze SMTP-provider na 90 dagen
Het volledige proces is op aanvraag beschikbaar via legal@astroway.info.
Contact
Section titled “Contact”- Legal/DPA: legal@astroway.info
- Beveiligingsincidenten: security@astroway.info
- Subprocessor-lijst / DPIA: hello@astroway.info