Privatlivspolitik
Version 1.0 - Sidst opdateret: 25. juni 2026
Indledning
Nærværende Privatlivspolitik har til formål at informere brugere og kunder af tjenesten SYAGA Audit om, hvordan deres personoplysninger indsamles, behandles og beskyttes, i overensstemmelse med EU-forordning 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger (GDPR) og den franske lov nr. 78-17 af 6. januar 1978 med senere ændringer om databehandling, registre og frihedsrettigheder.
SYAGA Audit er en tjeneste til sikkerheds- og compliance-audit af Microsoft 365-miljøet, der udelukkende opererer i læsetilstand på konfigurationer og metadata i kundens Microsoft 365-tenant. Tjenesten tilgår ikke indholdet af meddelelser, filer eller e-mails hos brugerne i den auditerede tenant, og opbevarer ingen adgangskoder.
Nærværende dokument opfylder oplysningsforpligtelsen i artikel 13 (direkte indsamling) og artikel 14 (indirekte indsamling) i GDPR.
1. Den dataansvarliges identitet og kontaktoplysninger
Den dataansvarlige for konto- og kunderelationsdata er:
SYAGA CONSULTING
- Selskabsform: Anpartsselskab (SARL) med en selskabskapital på 20.000 EUR
- SIREN: 518 489 471 -- Handels- og selskabsregister Aix-en-Provence
- Hjemsted: 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Frankrig
- EU-momsregistreringsnummer: FR93 518489471
- E-mail: contact@syaga.fr
Fordeling af roller mellem databehandler og dataansvarlig: for konfigurationsdata og metadata fra Microsoft 365-tenanten, der indsamles under auditten, optræder SYAGA som databehandler jf. GDPR artikel 28, mens kunden forbliver dataansvarlig for sine egne M365-data. Nærværende politik dækker det område, hvor SYAGA optræder som dataansvarlig (konto-, faktura- og supportdata). Den databehandling, der udføres på kundens vegne, er reguleret af databehandleraftalen (DPA).
Kontakt vedrørende databeskyttelse
For enhver henvendelse vedrørende databeskyttelse: contact@syaga.fr
Udpegning af en databeskyttelsesrådgiver (DPO) er ikke obligatorisk i henhold til GDPR artikel 37; den dataansvarlige, i form af direktøren, er kontaktpunktet for alle spørgsmål vedrørende personoplysninger.
2. Indsamlede personoplysninger
2.1 Konto- og kunderelationsdata
SYAGA indsamler, i egenskab af dataansvarlig:
- Kontaktpersonens identitet: for- og efternavn, stilling
- Erhvervsmæssige kontaktoplysninger: e-mailadresse, firmanavn
- Autentificeringsdata til Tjenesten (Microsoft OAuth-token -- ingen adgangskode opbevares hos SYAGA Audit)
- Fakturerings- og kontraktadministrationsdata
- Support- og korrespondancedata
- Tekniske login-logs (IP-adresser, tidsstempler)
2.2 Auditdata (Microsoft 365-konfiguration og metadata)
Som led i auditten tilgår Tjenesten, udelukkende i læsetilstand, via Microsoft Graph-API'et, konfigurationsdata og metadata i kundens M365-tenant, herunder:
- Sikkerhedskonfigurationsindstillinger (politikker for betinget adgang, MFA-indstillinger, delingsindstillinger)
- Metadata om brugerkonti (UPN, roller, MFA-status, Entra ID-katalogattributter)
- Indikatorer og metadata for sikkerhedsniveau (Secure Score, konfigurationsalarmer)
Det, Tjenesten ikke indsamler: indhold af e-mails, filer, dokumenter, beskeder, adgangskoder, følsomme oplysninger som defineret i GDPR artikel 9.
Flygtig arkitektur: auditten afvikles i arbejdshukommelsen i en engangs-scancontainer (ingen lagring på disk). Rapporten udleveres én gang til kunden, hvorefter de rå scandata og adgangstoken slettes permanent. Token'et krypteres, mens det ligger i ro (Fernet), i den periode auditten varer. Maksimal sikkerheds-TTL: 2 timer. SYAGA opbevarer på serversiden udelukkende faktureringsdata, i overensstemmelse med lovkrav.
2.3 Cookies og sporing
Sitet syaga.eu anvender udelukkende strengt nødvendige cookies for Tjenestens funktion:
__jsc: anti-bot-sikkerhedscookie, varighed: sessionvigil_audit: sessionscookie, varighed: session
Der placeres hverken trafikmålingscookies (Google Analytics, Matomo eller lignende) eller reklamecookies. Disse strengt nødvendige cookies er fritaget for forudgående samtykke i overensstemmelse med CNIL's retningslinjer af 4. juli 2023 (kilde: cnil.fr -- cookies et traceurs). En informationsmeddelelse om disse cookies er tilstrækkelig.
3. Formål og retsgrundlag for behandlingen
I overensstemmelse med GDPR artikel 6 hviler enhver behandling på et identificeret retsgrundlag:
| Formål | Retsgrundlag (GDPR art. 6) |
|---|---|
| Levering og udførelse af audit-tjenesten; oprettelse og administration af kundekonto | Opfyldelse af kontrakt -- art. 6.1.b |
| Fakturering, bogholderi, inddrivelse | Lovpligtig forpligtelse (den franske handelslovs art. L.123-22) og opfyldelse af kontrakt -- art. 6.1.c og 6.1.b |
| Support og teknisk assistance | Opfyldelse af kontrakt -- art. 6.1.b |
| Tjenestens sikkerhed, forebyggelse af svindel, logning | Legitim interesse -- art. 6.1.f |
| Strengt nødvendige cookies | Fritaget for samtykke (CNIL's retningslinjer) |
For auditdata fra tenanten (afsnit 2.2) handler SYAGA på kundens instruks (dataansvarlig). Se DPA'en.
4. Modtagere og databehandlere
Data videregives kun til autoriserede personer i SYAGA CONSULTING samt til databehandlere, der handler på de vilkår, der følger af GDPR artikel 28:
- Microsoft Corporation: leverandør af Microsoft Graph-API'et, der anvendes udelukkende i læsetilstand til at tilgå konfigurationsdata i kundens tenant. De data, der auditeres, er kundens egen Microsoft 365-tenant, som tilgås i læsetilstand på kundens vegne via Microsoft Graph. Microsoft optræder som kundens leverandør; SYAGA er ikke Microsofts underdatabehandler i denne sammenhæng.
- Stripe Inc.: betalingsudbyder til behandling af faktureringsdata. Overførsler til Stripe er reguleret af EU-U.S. Data Privacy Framework, som Stripe er certificeret under, og subsidiært af Europa-Kommissionens standardkontraktbestemmelser (2021), der indgår i Stripes Data Transfers Addendum (kilder: stripe.com/legal/dpa og stripe.com/legal/dta).
- Hostingudbyder: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Frankrig (RCS Lille Métropole 424 761 419). Tjenesten hostes i Frankrig af OVH SAS (fransk hostingudbyder), teknisk underleverandør til SYAGA CONSULTING. SYAGA CONSULTING modtager kun pseudonymiserede data (tokens).
Ingen data sælges eller overdrages til tredjepart til kommercielle formål.
Data kan videregives til administrative eller retslige myndigheder, når loven kræver det.
5. Opbevaringsperioder
Data opbevares ikke længere end nødvendigt til de formål, de behandles til (GDPR art. 5.1.e):
| Datakategori | Opbevaringsperiode |
|---|---|
| Rå auditdata (fund, adgangstoken) | Ingen opbevaring på serversiden: slettes permanent ved levering af Rapporten (flygtig arkitektur, maksimal TTL 2 timer) |
| Data for aktiv kundekonto | Varigheden af kundeforholdet, herefter sletning inden for 30 dage efter opsigelse |
| Faktureringsdata og regnskabsbilag | 10 år fra afslutningen af regnskabsåret (lovpligtig forpligtelse, den franske handelslovs art. L.123-22) |
| Tekniske logs (login-logs) | 12 måneder (CNIL's anbefaling) |
6. Dataoverførsler uden for EU
Infrastrukturen, der hoster tjenesten SYAGA Audit, er placeret i Frankrig. SYAGA overfører som udgangspunkt ingen data uden for EU/EØS.
Vedrørende Microsoft: Den dataansvarlige anerkender, at Microsoft Graph-API'et drives af Microsoft Corporation (USA). Eventuelle overførsler, der involverer Microsoft, er reguleret af Microsofts standardkontraktbestemmelser godkendt af Europa-Kommissionen og, hvor relevant, af Microsofts deltagelse i EU-U.S. Data Privacy Framework. De data, der auditeres, er Kundens egen Microsoft 365-tenant, som tilgås i læsetilstand på Kundens vegne via Microsoft Graph. Microsoft optræder som Kundens leverandør. Eventuelle overførsler, der involverer Microsofts infrastruktur, er reguleret af Europa-Kommissionens standardkontraktbestemmelser og Microsofts deltagelse i EU-U.S. Data Privacy Framework.
Stripe Inc. foretager overførsler uden for EU, reguleret af mekanismer i overensstemmelse med GDPR kapitel V. Overførsler til Stripe er reguleret af EU-U.S. Data Privacy Framework, som Stripe er certificeret under, og subsidiært af Europa-Kommissionens standardkontraktbestemmelser (2021), der indgår i Stripes Data Transfers Addendum.
7. De registreredes rettigheder
I overensstemmelse med GDPR artikel 15-22 har enhver registreret følgende rettigheder:
- Ret til indsigt (GDPR art. 15): få bekræftet, om der behandles oplysninger om vedkommende, og få udleveret en kopi heraf
- Ret til berigtigelse (art. 16): få rettet urigtige eller ufuldstændige oplysninger
- Ret til sletning (art. 17): få oplysningerne slettet i de tilfælde, GDPR foreskriver
- Ret til begrænsning af behandling (art. 18)
- Ret til dataportabilitet (art. 20): modtage sine oplysninger i et struktureret, maskinlæsbart format
- Retten til indsigelse (art. 21): gøre indsigelse mod behandlingen af grunde, der vedrører den registreredes særlige situation, og til enhver tid ved direkte markedsføring
- Ret til at trække samtykke tilbage (art. 7.3) til enhver tid, når behandlingen er baseret på samtykke
- Ret vedrørende dødsfald (art. 85 i den franske lov om databehandling, registre og frihedsrettigheder): fastsætte retningslinjer for, hvad der skal ske med data efter dødsfald
Vigtigt vedrørende auditdata: for konfigurationsdata og metadata fra tenanten skal anmodninger om udøvelse af rettigheder rettes til kunden (dataansvarlig), som om nødvendigt vil kontakte SYAGA (GDPR art. 28.3.e).
Sådan udøves rettigheden
Disse rettigheder udøves ved at rette henvendelse til contact@syaga.fr eller pr. post til SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Frankrig. Der svares inden for en frist på én måned (GDPR art. 12.3), som kan forlænges med to måneder ved kompleksitet.
Klage til CNIL
Enhver registreret har ret til at indgive en klage til CNIL (GDPR art. 77):
CNIL (den franske databeskyttelsesmyndighed) -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankrig -- www.cnil.fr
8. Datasikkerhed (GDPR art. 32)
SYAGA gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen (GDPR art. 32):
- Flygtig arkitektur: auditten afvikles i arbejdshukommelsen, i en engangs-scancontainer uden lagring på disk; rådata slettes permanent ved levering af Rapporten
- Mindste privilegie: login via Microsoft OAuth med de mest begrænsede rettigheder, Microsoft tilbyder for hvert auditeret område; Tjenesten skriver, ændrer eller sletter aldrig nogen data i tenanten
- Kryptering under transport: TLS 1.2/1.3 på al kommunikation; SPF, DKIM og DMARC aktiveret på e-mails
- Kryptering i ro: adgangstoken krypteret (Fernet) i den periode, auditten varer
- Hosting i Frankrig: OVH-infrastruktur (Frankrig)
- Adgangskontrol: mindste-privilegie-princippet; navngivne adgangsrettigheder
- Beskyttelse mod misbrug: grænse på 2 audits/dag/tenant, anti-DDoS-foranstaltninger
- Underretning om brud: procedure i overensstemmelse med GDPR art. 33 og 34 (underretning af CNIL inden for 72 timer)
Tilpasning til flere referencerammer
SYAGA Audits sikkerhedsforanstaltninger er udformet i overensstemmelse med flere anerkendte sikkerhedsreferencerammer. SYAGA gør ikke krav på nogen formel certificering i forhold til disse referencerammer; foranstaltningerne er tilpasset kravene i standarden ISO/IEC 27001, hvor en certificeringsproces er igangsat, men ingen certificering er opnået på nuværende tidspunkt; foranstaltningerne er tilpasset og inspireret af disse rammer:
- GDPR (EU-forordning 2016/679): direkte gældende retsgrundlag -- eur-lex.europa.eu CELEX:32016R0679
- NIS2-direktivet (EU-direktiv 2022/2555): risikostyringsforanstaltninger, sikkerhed i net- og informationssystemer -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, hvis antal ansatte og omsætning ligger under tærsklerne for vigtige enheder som defineret i EU-direktiv 2022/2555 (50 ansatte eller 10 mio. EUR), er ikke omfattet af de enheder, der er underlagt NIS2. SYAGA Audit hjælper dog sine kunder med at måle deres compliance i forhold til denne referenceramme (kilde: monespacenis2.cyber.gouv.fr).
- DORA (EU-forordning 2022/2554): digital operationel modstandsdygtighed for finanssektoren -- eur-lex.europa.eu CELEX:32022R2554. Da SYAGA ikke er en reguleret finansiel enhed, finder EU-forordning 2022/2554 (DORA) ikke direkte anvendelse på SYAGA; kontraktuelle forpligtelser kan dog i konkrete tilfælde gælde, når en kunde er en finansiel enhed underlagt DORA (kilde: eur-lex.europa.eu DORA).
- ISO/IEC 27001: referenceramme for ledelsessystemer for informationssikkerhed (ISMS) -- iso.org/standard/27001. SYAGA Audits foranstaltninger er tilpasset kravene i standarden ISO/IEC 27001, hvor en certificeringsproces er igangsat, men ingen certificering er opnået på nuværende tidspunkt.
- ANSSI's anbefalinger: Guide til it-hygiejne og anbefalinger fra det franske nationale agentur for sikkerhed i informationssystemer -- ssi.gouv.fr.
SYAGA Audit hjælper netop sine kunder med at måle deres egen compliance i forhold til disse referencerammer (GDPR, NIS2, ANSSI) i deres Microsoft 365-miljø.
9. Ændringer af nærværende politik
Nærværende Politik kan opdateres for at afspejle retlige, regulatoriske eller tekniske ændringer. Den gældende version er den, der er offentliggjort på https://syaga.eu/confidentialite.html. Ved væsentlige ændringer vil registrerede brugere blive informeret pr. e-mail inden for en rimelig frist, før ændringerne træder i kraft.
10. Kontakt
Ved spørgsmål vedrørende nærværende politik eller beskyttelsen af dine oplysninger:
- E-mail: contact@syaga.fr
- Adresse: SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Frankrig
Retlige og dokumentariske referencer
- EU-forordning 2016/679 (GDPR) -- fuld tekst: eur-lex.europa.eu CELEX:32016R0679
- Fransk lov nr. 78-17 af 6. januar 1978 med senere ændringer: Légifrance
- CNIL -- de registreredes rettigheder: cnil.fr
- CNIL -- cookies: cnil.fr
- NIS2-direktivet (EU) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
- DORA-forordningen (EU) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI -- Guide til it-hygiejne: ssi.gouv.fr