Databehandleraftale (DPA)
Indgået i medfør af artikel 28 i EU-forordning 2016/679 (GDPR) (kilde: gdpr-info.eu/art-28-gdpr)
Berørt tjeneste: SYAGA Audit -- sikkerheds- og compliance-audit af Microsoft 365, udelukkende læsetilstand
Version: 1.0 -- Dato: 27. juni 2026 -- Ikrafttrædelsesdato: 27. juni 2026
Identifikation af Parterne
Databehandleren:
SYAGA CONSULTING, et fransk anpartsselskab (SARL) med en selskabskapital på 20 000 euro, registreret i handels- og selskabsregistret i Aix-en-Provence under SIREN 518 489 471, stiftet den 08/12/2009, repræsenteret ved sin direktør Sébastien Questier, med hjemsted på 2 Impasse Paul Langevin, 13110 Port-de-Bouc, udbyder af tjenesten SYAGA Audit, i det følgende benævnt Databehandleren.
OG
Den dataansvarlige: Kunden, der har tegnet tjenesten SYAGA Audit på de vilkår, der fremgår af Betingelserne, tilgængelige på cgu.html, og hvis kontaktoplysninger er dem, der er angivet ved tegningen, i det følgende benævnt Den dataansvarlige.
I det følgende samlet benævnt Parterne.
Indledning
Nærværende Databehandleraftale (DPA) er indgået i medfør af GDPR artikel 28, som kræver, at en behandling foretaget af en databehandler på vegne af en dataansvarlig skal reguleres af en kontrakt, der fastsætter behandlingens genstand, varighed, karakter og formål, typen af personoplysninger, kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder.
Nærværende DPA er accessorisk til de almindelige salgs- og forretningsbetingelser (Betingelserne) for SYAGA Audit (Hovedaftalen). Ved modstrid mellem nærværende DPA og Hovedaftalen om et spørgsmål vedrørende databeskyttelse har nærværende DPA forrang. Ved modstrid vedrørende beskyttelse af personoplysninger har nærværende DPA forrang for Betingelserne.
Ved at tegne tjenesten SYAGA Audit accepterer Kunden vilkårene i nærværende DPA. Elektronisk accept udgør accept af DPA'en i overensstemmelse med de gældende bestemmelser om indgåelse af aftaler elektronisk.
Artikel 1 -- Formål og tjenestens doktrin
Nærværende DPA fastsætter de vilkår, hvorunder Databehandleren forpligter sig til, på vegne af og efter dokumenteret instruks fra Den dataansvarlige, at udføre de behandlinger af personoplysninger, der er nødvendige for at levere tjenesten SYAGA Audit.
SYAGA Audit gennemfører en sikkerheds- og compliance-audit af Den dataansvarliges Microsoft 365-miljø udelukkende i læsetilstand: Tjenesten skriver, ændrer eller sletter ingen data i den auditerede tenant.
Databehandleren anvender en zero-knowledge-doktrin: indsamlingen og pseudonymiseringen foregår i Kundens browser (udvidelse). Databehandleren modtager aldrig tenantens rådata eller Kundens Microsoft-adgangstoken: kun pseudonymiserede aftryk. De tokeniserede auditresultater opbevares i kundeportalen, så Kunden kan genåbne dem, så længe kontoen er aktiv; de rekontekstualiseres kun i klartekst på Kundens egen maskine.
Artikel 2 -- Behandlingens karakter, formål og varighed
2.1 Behandlingernes karakter. Behandlingerne består i: indsamling (læsning, mindste privilegie) via Microsofts API'er, udført af en browserudvidelse, der afvikles på Kundens egen maskine; lokal pseudonymisering; Databehandlerens analyse af udelukkende pseudonymiserede aftryk i forhold til sikkerhedsreferencerammer (ANSSI, Microsofts anbefalinger, GDPR, NIS2); levering i form af rapporter, der rekontekstualiseres på Kundens egen maskine.
2.2 Eneste formål. Formålet er vurdering af sikkerheds- og compliance-niveauet i Den dataansvarliges Microsoft 365-tenant samt udarbejdelse af de tilhørende auditrapporter. Intet andet formål (markedsføring, profilering, genanvendelse til Databehandlerens egne formål) er tilladt.
2.3 Varighed. Behandlingen udføres i den periode, hvor Hovedaftalen er i kraft. Rådataene slettes permanent umiddelbart ved levering af Rapporten.
Artikel 3 -- Kategorier af behandlede personoplysninger
Databehandleren behandler følgende kategorier af data:
- Konfigurationsdata og sikkerhedsmetadata: tenant-indstillinger, politikker for betinget adgang, MFA-konfiguration, administratorroller og -rettigheder, delingsindstillinger, aktiveringsstatus for sikkerhedsfunktioner
- Identitets- og katalogmetadata: kontoidentifikatorer (UPN), visningsnavne, gruppemedlemskab, katalogattributter relevante for auditten
- Logs og metadata for sikkerhedshændelser: login-logs, audit-hændelser, metadata nødvendige for vurderingen af kontrollerne
Udtrykkelige undtagelser. Databehandleren behandler ikke indholdet af e-mails, filer eller dokumenter. Kun metadata og konfigurationsdata behandles.
Særlige kategorier. Behandlingen har ikke til formål at behandle særlige kategorier af oplysninger som defineret i GDPR artikel 9. Den dataansvarlige forpligter sig til ikke at konfigurere tjenesten på en måde, der fører til en sådan behandling.
Artikel 4 -- Kategorier af registrerede
De registrerede er indehaverne af konti og identiteter i Den dataansvarliges Microsoft 365-tenant: medarbejdere, ledelse, administratorer, leverandører og gæster med en konto i det auditerede katalog.
Artikel 5 -- Den dataansvarliges dokumenterede instrukser
Databehandleren behandler kun data på dokumenteret instruks fra Den dataansvarlige (GDPR art. 28.3.a), herunder med hensyn til overførsler til et tredjeland, medmindre der foreligger en ufravigelig lovpligtig forpligtelse (i så fald underretter Databehandleren Den dataansvarlige forud for behandlingen, medmindre dette er forbudt ved lov).
Nærværende DPA, dets bilag og Betingelserne udgør de oprindelige dokumenterede instrukser. Databehandleren underretter straks Den dataansvarlige, hvis Databehandleren vurderer, at en instruks udgør en overtrædelse af GDPR (GDPR art. 28.3, sidste afsnit).
Artikel 6 -- Fortrolighed
Databehandleren sikrer, at de personer, der har tilladelse til at behandle data, forpligter sig til at overholde fortroligheden eller er underlagt en passende lovbestemt fortrolighedsforpligtelse (GDPR art. 28.3.b), og modtager den nødvendige uddannelse i databeskyttelse. Denne forpligtelse gælder fortsat efter ophør af funktionen og efter nærværende DPA's ophør.
Artikel 7 -- Sikkerhedsforanstaltninger (GDPR art. 32) og tilpasning til referencerammer
Databehandleren gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen (GDPR art. 32). De iværksatte foranstaltninger omfatter navnlig:
- Zero-knowledge-arkitektur: indsamling og pseudonymisering udføres i Kundens browser (udvidelse); Databehandleren modtager kun pseudonymiserede aftryk; tenantens rådata og Microsoft-token sendes aldrig til Databehandleren
- Mindste privilegie: login via Microsoft OAuth med de mest begrænsede rettigheder, Microsoft tilbyder for hvert område; Tjenesten skriver, ændrer eller sletter aldrig nogen data i den auditerede tenant
- Kryptering under transport: TLS 1.2/1.3 på al kommunikation; SPF, DKIM og DMARC aktiveret
- Microsoft-token: forlader aldrig Kundens browser; Databehandleren modtager eller opbevarer det aldrig
- Hosting i Frankrig: OVH-infrastruktur (Frankrig), drevet for SYAGA CONSULTING
- Adgangsstyring: mindste-privilegie-princippet; navngivne adgangsrettigheder; regelmæssig gennemgang
- Anti-misbrug: grænse på 2 audits/dag/tenant; anti-DDoS-foranstaltninger
- Logning: sporbarhed af adgang til data
- Regelmæssig test af sikkerhedsforanstaltningernes effektivitet
Tilpasning til anerkendte sikkerhedsrammer
Ovenstående foranstaltninger er udformet i overensstemmelse med følgende referencerammer. SYAGA gør ikke krav på nogen formel certificering i forhold til disse referencerammer; foranstaltningerne er tilpasset kravene i standarden ISO/IEC 27001, hvor en certificeringsproces er igangsat, men ingen certificering er opnået på nuværende tidspunkt; der er tale om en funktionel tilpasning:
| Referenceramme | Relevans for SYAGA Audit | Officiel kilde |
|---|---|---|
| GDPR (EU) 2016/679 | Direkte gældende retsgrundlag. Art. 32: tekniske og organisatoriske foranstaltninger. Flygtig arkitektur = minimeringsforanstaltning i overensstemmelse med art. 5.1.e. | eur-lex.europa.eu CELEX:32016R0679 |
| NIS2-direktivet (EU) 2022/2555 | Risikostyringsforanstaltninger inden for cybersikkerhed (NIS2 art. 21): driftskontinuitet, hændelseshåndtering, netværkssikkerhed, kryptering. SYAGA Audit hjælper kunderne med at vurdere deres egen NIS2-compliance i deres M365-tenant. SYAGA, hvis antal ansatte og omsætning ligger under tærsklerne for vigtige enheder som defineret i EU-direktiv 2022/2555 (50 ansatte eller 10 mio. EUR), er ikke omfattet af de enheder, der er underlagt NIS2. SYAGA Audit hjælper dog sine kunder med at måle deres compliance i forhold til denne referenceramme. | eur-lex.europa.eu CELEX:32022L2555 |
| DORA-forordningen (EU) 2022/2554 | Digital operationel modstandsdygtighed for regulerede finansielle enheder. SYAGA Audit kan hjælpe finansielle kunder med at dokumentere deres DORA-status i deres M365-tenant. Da SYAGA ikke er en reguleret finansiel enhed, finder DORA ikke direkte anvendelse på SYAGA; kontraktuelle forpligtelser kan i konkrete tilfælde gælde for kunder inden for finanssektoren, der er underlagt DORA. | eur-lex.europa.eu CELEX:32022R2554 |
| ISO/IEC 27001 | ISMS-ramme: sikkerhedspolitik, risikostyring, adgangskontrol, kryptering, logning. SYAGA Audits foranstaltninger er tilpasset de tilsvarende ISO 27002-kontroller. SYAGA Audits foranstaltninger er tilpasset kravene i standarden ISO/IEC 27001, hvor en certificeringsproces er igangsat, men ingen certificering er opnået på nuværende tidspunkt. | iso.org/standard/27001 |
| ANSSI's anbefalinger | Guide til it-hygiejne, anbefalinger til sikkerhed i informationssystemer. Foranstaltninger inspireret af ANSSI's anbefalinger om kontostyring, kryptering og logning. SYAGA Audit vurderer M365-konfigurationer i lyset af ANSSI's anbefalinger. | ssi.gouv.fr |
De fulde detaljer om de tekniske og organisatoriske foranstaltninger fremgår af Bilag 1.
Artikel 8 -- Anvendelse af underdatabehandlere
Den dataansvarlige giver Databehandleren tilladelse til at anvende de underdatabehandlere, der er anført i Bilag 2. Ved enhver ny underdatabehandler eller udskiftning underretter Databehandleren skriftligt Den dataansvarlige mindst tredive (30) dage før ikrafttrædelsen, og Den dataansvarlige har en frist på tredive (30) dage til at gøre indsigelse af rimelige grunde knyttet til databeskyttelse (GDPR art. 28.2 og 28.4). Disse frister og vilkår gælder, medmindre Parterne har aftalt andet.
Databehandleren pålægger kontraktuelt sine underdatabehandlere de samme databeskyttelsesforpligtelser som dem, der følger af nærværende DPA (GDPR art. 28.4), og forbliver fuldt ansvarlig over for Den dataansvarlige for deres opfyldelse.
Artikel 9 -- Bistand til Den dataansvarlige
9.1 De registreredes rettigheder (GDPR art. 12-22 og 28.3.e). Databehandleren videresender straks til Den dataansvarlige enhver anmodning om udøvelse af rettigheder modtaget direkte fra en registreret og bistår med at besvare den.
9.2 Sikkerhed og konsekvensanalyse (GDPR art. 32-36 og 28.3.f). Databehandleren bistår Den dataansvarlige med behandlingssikkerheden, gennemførelsen af en konsekvensanalyse (DPIA), hvis nødvendigt, og en forudgående høring af CNIL, hvor relevant.
9.3 Brud på persondatasikkerheden (GDPR art. 33 og 34). Databehandleren underretter Den dataansvarlige om ethvert databrud hurtigst muligt og senest inden for otteogfyrre (48) timer efter at være blevet opmærksom herpå, så Den dataansvarlige kan overholde 72-timers-fristen i GDPR artikel 33, og fremlægger de oplysninger, der er relevante for en eventuel underretning.
Artikel 10 -- Data ved aftalens ophør
Ved nærværende DPA's ophør foretager Databehandleren, inden for en frist på tredive (30) dage efter kontraktens ophør, i overensstemmelse med Den dataansvarliges skriftligt meddelte valg (GDPR art. 28.3.g):
Bemærk: som følge af tjenestens flygtige arkitektur opbevares ingen auditdata efter ydelsens afslutning; kun faktureringsdata opbevares i henhold til lovkrav (10 år).
- enten udlevering til Den dataansvarlige af de behandlede personoplysninger, i et struktureret format (JSON eller CSV afhængigt af tilgængelighed);
- eller sikker sletning af samtlige data, herunder kopier, medmindre der foreligger en lovbestemt opbevaringsforpligtelse.
I overensstemmelse med tjenestens flygtige arkitektur er de rå auditdata allerede slettet permanent ved levering af Rapporten. Databehandleren udsteder på anmodning en sletningsattestation.
Artikel 11 -- Audits og kontroller
Databehandleren stiller alle nødvendige oplysninger til rådighed for Den dataansvarlige for at kunne dokumentere overholdelse af forpligtelserne i GDPR artikel 28 og muliggør gennemførelse af audits, herunder inspektioner (GDPR art. 28.3.h).
Audits er underlagt følgende betingelser: skriftligt varsel på mindst tredive (30) hverdage, gennemførelse inden for normal arbejdstid, maksimal hyppighed på én (1) audit pr. periode på tolv (12) måneder, medmindre der foreligger ekstraordinære omstændigheder (navnlig et godtgjort sikkerhedsbrud), omkostninger afholdt af Den dataansvarlige, fortrolighed om de indhentede oplysninger.
Artikel 12 -- Overførsler uden for EU
12.1 Primær placering. Data behandles og hostes i Frankrig. SYAGA CONSULTING er en enhed underlagt fransk ret. En indirekte eksponering mod CLOUD Act via tredjepartsleverandører kan ikke fuldstændigt udelukkes; SYAGA begrænser den ved hosting i Frankrig (OVH SAS) og først og fremmest ved pseudonymisering: tjenesten modtager kun tokens, aldrig dine data i klartekst.
12.2 Brug af Microsoft. Den dataansvarlige anerkender, at Microsoft Graph-API'et drives af Microsoft Corporation (USA). Overførsler, der involverer Microsoft, er reguleret af Europa-Kommissionens standardkontraktbestemmelser og, hvor relevant, EU-U.S. Data Privacy Framework. De data, der auditeres, er Kundens egen Microsoft 365-tenant, som tilgås i læsetilstand på Kundens vegne via Microsoft Graph. Microsoft optræder som Kundens leverandør; SYAGA er ikke Microsofts underdatabehandler i denne sammenhæng.
12.3 Generelle garantier. Enhver overførsel uden for EU foretaget af Databehandleren eller en underdatabehandler forudsætter anvendelse af en gyldig mekanisme i henhold til GDPR kapitel V (afgørelse om tilstrækkeligheden af beskyttelsesniveauet, standardkontraktbestemmelser eller anden passende garanti).
Artikel 13 -- Kontakt vedrørende databeskyttelse
Databehandler (SYAGA CONSULTING): kontaktpunkt for databeskyttelse -- contact@syaga.fr. Udpegning af en databeskyttelsesrådgiver (DPO) er ikke obligatorisk i henhold til GDPR artikel 37; den ansvarlige for databeskyttelse er direktøren, Sébastien Questier, kontaktpunkt for alle spørgsmål vedrørende personoplysninger.
Dataansvarlig: GDPR-kontaktperson udpeget af Kunden i henhold til dennes egne forpligtelser.
Artikel 14 -- Varighed, ændring og lovvalg
Nærværende DPA træder i kraft ved tegning af tjenesten SYAGA Audit og forbliver i kraft i hele den periode, hvor behandlingen udføres på vegne af Den dataansvarlige.
Enhver væsentlig ændring meddeles forudgående til Den dataansvarlige. Fortsat brug af tjenesten efter udløbet af underretningsfristen anses for accept af ændringerne. Disse ændringsvilkår er i overensstemmelse med kravene i GDPR artikel 28 for databehandleraftaler.
Nærværende DPA er underlagt fransk ret. Enhver tvist henhører under domstolene i Aix-en-Provences retskreds, med forbehold for ufravigelige regler, der gælder for grænseoverskridende tvister.
Bilag 1 -- Detaljeret beskrivelse af behandlingen og sikkerhedsforanstaltninger (GDPR art. 32)
| Parameter | Beskrivelse |
|---|---|
| Formål | Sikkerheds- og compliance-audit af M365 -- udarbejdelse af rapporter |
| Datakategorier | Konfigurationsmetadata, identitetsmetadata (UPN, navne), sikkerhedslogs |
| Særlige kategorier (art. 9) | Ingen |
| Registrerede | Konti og identiteter i Kundens Microsoft 365-tenant |
| Opbevaring på serversiden | Tenantens rådata: aldrig sendt (pseudonymisering i browseren). Tokeniserede resultater: opbevares i kundeportalen, så længe Kunden er aktiv. |
| Behandlingssted | Frankrig (SYAGA CONSULTINGs infrastruktur) |
| Kryptering under transport | TLS 1.2/1.3 -- al kommunikation; SPF/DKIM/DMARC |
| Microsoft-token | Forlader aldrig Kundens browser; modtages aldrig af Databehandleren |
| Arkitektur | Indsamling og pseudonymisering via en udvidelse i Kundens browser; Databehandleren analyserer kun aftryk |
| Adgangsstyring | Mindste-privilegie-princippet; navngivne adgangsrettigheder |
| Anti-misbrug | Grænse på 2 audits/dag/tenant; anti-DDoS |
| Logning | Minimale tekniske drifts- og sikkerhedslogs, uden personlige auditdata, opbevares i ca. 12 måneder i overensstemmelse med CNIL's anbefalinger. |
| Tilpasning til sikkerhedsreferencerammer | Foranstaltninger tilpasset GDPR art. 32, ISO/IEC 27001 (hvor en certificeringsproces er igangsat, men ingen certificering er opnået på nuværende tidspunkt), ANSSI's anbefalinger. |
Bilag 2 -- Liste over godkendte underdatabehandlere
| Underdatabehandler | Ydelse | Placering | Overførselsgarantier |
|---|---|---|---|
| Microsoft Corporation | Microsoft Graph-API -- læseadgang til tenantens konfigurationsdata | EU + USA (Microsoft-infrastruktur) | Microsoft optræder som Kundens leverandør (ikke SYAGAs underdatabehandler). Overførsler reguleret af EU's standardkontraktbestemmelser og Microsofts deltagelse i EU-U.S. Data Privacy Framework. |
| OVH SAS (hosting, Roubaix, Frankrig) | Hosting af SYAGA Audit-platformen | Frankrig | Ikke relevant (EU) |
| Stripe Inc. | Betaling -- udelukkende Kundens faktureringsdata (uden tenant-data) | USA / EU | EU-U.S. Data Privacy Framework (Stripe certificeret) og, subsidiært, EU's standardkontraktbestemmelser (2021) -- Stripes Data Transfers Addendum. |
Retlige referencer
- CNIL -- databehandler, forpligtelser i GDPR art. 28: cnil.fr/fr/sous-traitant
- EU-forordning 2016/679 (GDPR), artikel 4, 9, 12-22, 28, 32-36: EUR-Lex CELEX:32016R0679
- NIS2-direktivet (EU) 2022/2555, art. 21: EUR-Lex CELEX:32022L2555
- DORA-forordningen (EU) 2022/2554: EUR-Lex CELEX:32022R2554
- iso.org/standard/27001
- ANSSI -- Guide til it-hygiejne: ssi.gouv.fr
- Fransk lov nr. 78-17 af 6. januar 1978 med senere ændringer: Légifrance