SYAGA AuditMicrosoft 365 Edition
Forside Funktioner Sikkerhed Sådan fungerer det Priser
Log ind Start min gratis diagnose

Databehandleraftale (DPA)

Indgået i medfør af artikel 28 i EU-forordning 2016/679 (GDPR) (kilde: gdpr-info.eu/art-28-gdpr)

Berørt tjeneste: SYAGA Audit -- sikkerheds- og compliance-audit af Microsoft 365, udelukkende læsetilstand

Version: 1.0 -- Dato: 27. juni 2026 -- Ikrafttrædelsesdato: 27. juni 2026


Identifikation af Parterne

Databehandleren:

SYAGA CONSULTING, et fransk anpartsselskab (SARL) med en selskabskapital på 20 000 euro, registreret i handels- og selskabsregistret i Aix-en-Provence under SIREN 518 489 471, stiftet den 08/12/2009, repræsenteret ved sin direktør Sébastien Questier, med hjemsted på 2 Impasse Paul Langevin, 13110 Port-de-Bouc, udbyder af tjenesten SYAGA Audit, i det følgende benævnt Databehandleren.

OG

Den dataansvarlige: Kunden, der har tegnet tjenesten SYAGA Audit på de vilkår, der fremgår af Betingelserne, tilgængelige på cgu.html, og hvis kontaktoplysninger er dem, der er angivet ved tegningen, i det følgende benævnt Den dataansvarlige.

I det følgende samlet benævnt Parterne.


Indledning

Nærværende Databehandleraftale (DPA) er indgået i medfør af GDPR artikel 28, som kræver, at en behandling foretaget af en databehandler på vegne af en dataansvarlig skal reguleres af en kontrakt, der fastsætter behandlingens genstand, varighed, karakter og formål, typen af personoplysninger, kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder.

Nærværende DPA er accessorisk til de almindelige salgs- og forretningsbetingelser (Betingelserne) for SYAGA Audit (Hovedaftalen). Ved modstrid mellem nærværende DPA og Hovedaftalen om et spørgsmål vedrørende databeskyttelse har nærværende DPA forrang. Ved modstrid vedrørende beskyttelse af personoplysninger har nærværende DPA forrang for Betingelserne.

Ved at tegne tjenesten SYAGA Audit accepterer Kunden vilkårene i nærværende DPA. Elektronisk accept udgør accept af DPA'en i overensstemmelse med de gældende bestemmelser om indgåelse af aftaler elektronisk.


Artikel 1 -- Formål og tjenestens doktrin

Nærværende DPA fastsætter de vilkår, hvorunder Databehandleren forpligter sig til, på vegne af og efter dokumenteret instruks fra Den dataansvarlige, at udføre de behandlinger af personoplysninger, der er nødvendige for at levere tjenesten SYAGA Audit.

SYAGA Audit gennemfører en sikkerheds- og compliance-audit af Den dataansvarliges Microsoft 365-miljø udelukkende i læsetilstand: Tjenesten skriver, ændrer eller sletter ingen data i den auditerede tenant.

Databehandleren anvender en zero-knowledge-doktrin: indsamlingen og pseudonymiseringen foregår i Kundens browser (udvidelse). Databehandleren modtager aldrig tenantens rådata eller Kundens Microsoft-adgangstoken: kun pseudonymiserede aftryk. De tokeniserede auditresultater opbevares i kundeportalen, så Kunden kan genåbne dem, så længe kontoen er aktiv; de rekontekstualiseres kun i klartekst på Kundens egen maskine.


Artikel 2 -- Behandlingens karakter, formål og varighed

2.1 Behandlingernes karakter. Behandlingerne består i: indsamling (læsning, mindste privilegie) via Microsofts API'er, udført af en browserudvidelse, der afvikles på Kundens egen maskine; lokal pseudonymisering; Databehandlerens analyse af udelukkende pseudonymiserede aftryk i forhold til sikkerhedsreferencerammer (ANSSI, Microsofts anbefalinger, GDPR, NIS2); levering i form af rapporter, der rekontekstualiseres på Kundens egen maskine.

2.2 Eneste formål. Formålet er vurdering af sikkerheds- og compliance-niveauet i Den dataansvarliges Microsoft 365-tenant samt udarbejdelse af de tilhørende auditrapporter. Intet andet formål (markedsføring, profilering, genanvendelse til Databehandlerens egne formål) er tilladt.

2.3 Varighed. Behandlingen udføres i den periode, hvor Hovedaftalen er i kraft. Rådataene slettes permanent umiddelbart ved levering af Rapporten.


Artikel 3 -- Kategorier af behandlede personoplysninger

Databehandleren behandler følgende kategorier af data:

  • Konfigurationsdata og sikkerhedsmetadata: tenant-indstillinger, politikker for betinget adgang, MFA-konfiguration, administratorroller og -rettigheder, delingsindstillinger, aktiveringsstatus for sikkerhedsfunktioner
  • Identitets- og katalogmetadata: kontoidentifikatorer (UPN), visningsnavne, gruppemedlemskab, katalogattributter relevante for auditten
  • Logs og metadata for sikkerhedshændelser: login-logs, audit-hændelser, metadata nødvendige for vurderingen af kontrollerne

Udtrykkelige undtagelser. Databehandleren behandler ikke indholdet af e-mails, filer eller dokumenter. Kun metadata og konfigurationsdata behandles.

Særlige kategorier. Behandlingen har ikke til formål at behandle særlige kategorier af oplysninger som defineret i GDPR artikel 9. Den dataansvarlige forpligter sig til ikke at konfigurere tjenesten på en måde, der fører til en sådan behandling.


Artikel 4 -- Kategorier af registrerede

De registrerede er indehaverne af konti og identiteter i Den dataansvarliges Microsoft 365-tenant: medarbejdere, ledelse, administratorer, leverandører og gæster med en konto i det auditerede katalog.


Artikel 5 -- Den dataansvarliges dokumenterede instrukser

Databehandleren behandler kun data på dokumenteret instruks fra Den dataansvarlige (GDPR art. 28.3.a), herunder med hensyn til overførsler til et tredjeland, medmindre der foreligger en ufravigelig lovpligtig forpligtelse (i så fald underretter Databehandleren Den dataansvarlige forud for behandlingen, medmindre dette er forbudt ved lov).

Nærværende DPA, dets bilag og Betingelserne udgør de oprindelige dokumenterede instrukser. Databehandleren underretter straks Den dataansvarlige, hvis Databehandleren vurderer, at en instruks udgør en overtrædelse af GDPR (GDPR art. 28.3, sidste afsnit).


Artikel 6 -- Fortrolighed

Databehandleren sikrer, at de personer, der har tilladelse til at behandle data, forpligter sig til at overholde fortroligheden eller er underlagt en passende lovbestemt fortrolighedsforpligtelse (GDPR art. 28.3.b), og modtager den nødvendige uddannelse i databeskyttelse. Denne forpligtelse gælder fortsat efter ophør af funktionen og efter nærværende DPA's ophør.


Artikel 7 -- Sikkerhedsforanstaltninger (GDPR art. 32) og tilpasning til referencerammer

Databehandleren gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen (GDPR art. 32). De iværksatte foranstaltninger omfatter navnlig:

  • Zero-knowledge-arkitektur: indsamling og pseudonymisering udføres i Kundens browser (udvidelse); Databehandleren modtager kun pseudonymiserede aftryk; tenantens rådata og Microsoft-token sendes aldrig til Databehandleren
  • Mindste privilegie: login via Microsoft OAuth med de mest begrænsede rettigheder, Microsoft tilbyder for hvert område; Tjenesten skriver, ændrer eller sletter aldrig nogen data i den auditerede tenant
  • Kryptering under transport: TLS 1.2/1.3 på al kommunikation; SPF, DKIM og DMARC aktiveret
  • Microsoft-token: forlader aldrig Kundens browser; Databehandleren modtager eller opbevarer det aldrig
  • Hosting i Frankrig: OVH-infrastruktur (Frankrig), drevet for SYAGA CONSULTING
  • Adgangsstyring: mindste-privilegie-princippet; navngivne adgangsrettigheder; regelmæssig gennemgang
  • Anti-misbrug: grænse på 2 audits/dag/tenant; anti-DDoS-foranstaltninger
  • Logning: sporbarhed af adgang til data
  • Regelmæssig test af sikkerhedsforanstaltningernes effektivitet

Tilpasning til anerkendte sikkerhedsrammer

Ovenstående foranstaltninger er udformet i overensstemmelse med følgende referencerammer. SYAGA gør ikke krav på nogen formel certificering i forhold til disse referencerammer; foranstaltningerne er tilpasset kravene i standarden ISO/IEC 27001, hvor en certificeringsproces er igangsat, men ingen certificering er opnået på nuværende tidspunkt; der er tale om en funktionel tilpasning:

ReferencerammeRelevans for SYAGA AuditOfficiel kilde
GDPR (EU) 2016/679 Direkte gældende retsgrundlag. Art. 32: tekniske og organisatoriske foranstaltninger. Flygtig arkitektur = minimeringsforanstaltning i overensstemmelse med art. 5.1.e. eur-lex.europa.eu CELEX:32016R0679
NIS2-direktivet (EU) 2022/2555 Risikostyringsforanstaltninger inden for cybersikkerhed (NIS2 art. 21): driftskontinuitet, hændelseshåndtering, netværkssikkerhed, kryptering. SYAGA Audit hjælper kunderne med at vurdere deres egen NIS2-compliance i deres M365-tenant. SYAGA, hvis antal ansatte og omsætning ligger under tærsklerne for vigtige enheder som defineret i EU-direktiv 2022/2555 (50 ansatte eller 10 mio. EUR), er ikke omfattet af de enheder, der er underlagt NIS2. SYAGA Audit hjælper dog sine kunder med at måle deres compliance i forhold til denne referenceramme. eur-lex.europa.eu CELEX:32022L2555
DORA-forordningen (EU) 2022/2554 Digital operationel modstandsdygtighed for regulerede finansielle enheder. SYAGA Audit kan hjælpe finansielle kunder med at dokumentere deres DORA-status i deres M365-tenant. Da SYAGA ikke er en reguleret finansiel enhed, finder DORA ikke direkte anvendelse på SYAGA; kontraktuelle forpligtelser kan i konkrete tilfælde gælde for kunder inden for finanssektoren, der er underlagt DORA. eur-lex.europa.eu CELEX:32022R2554
ISO/IEC 27001 ISMS-ramme: sikkerhedspolitik, risikostyring, adgangskontrol, kryptering, logning. SYAGA Audits foranstaltninger er tilpasset de tilsvarende ISO 27002-kontroller. SYAGA Audits foranstaltninger er tilpasset kravene i standarden ISO/IEC 27001, hvor en certificeringsproces er igangsat, men ingen certificering er opnået på nuværende tidspunkt. iso.org/standard/27001
ANSSI's anbefalinger Guide til it-hygiejne, anbefalinger til sikkerhed i informationssystemer. Foranstaltninger inspireret af ANSSI's anbefalinger om kontostyring, kryptering og logning. SYAGA Audit vurderer M365-konfigurationer i lyset af ANSSI's anbefalinger. ssi.gouv.fr

De fulde detaljer om de tekniske og organisatoriske foranstaltninger fremgår af Bilag 1.


Artikel 8 -- Anvendelse af underdatabehandlere

Den dataansvarlige giver Databehandleren tilladelse til at anvende de underdatabehandlere, der er anført i Bilag 2. Ved enhver ny underdatabehandler eller udskiftning underretter Databehandleren skriftligt Den dataansvarlige mindst tredive (30) dage før ikrafttrædelsen, og Den dataansvarlige har en frist på tredive (30) dage til at gøre indsigelse af rimelige grunde knyttet til databeskyttelse (GDPR art. 28.2 og 28.4). Disse frister og vilkår gælder, medmindre Parterne har aftalt andet.

Databehandleren pålægger kontraktuelt sine underdatabehandlere de samme databeskyttelsesforpligtelser som dem, der følger af nærværende DPA (GDPR art. 28.4), og forbliver fuldt ansvarlig over for Den dataansvarlige for deres opfyldelse.


Artikel 9 -- Bistand til Den dataansvarlige

9.1 De registreredes rettigheder (GDPR art. 12-22 og 28.3.e). Databehandleren videresender straks til Den dataansvarlige enhver anmodning om udøvelse af rettigheder modtaget direkte fra en registreret og bistår med at besvare den.

9.2 Sikkerhed og konsekvensanalyse (GDPR art. 32-36 og 28.3.f). Databehandleren bistår Den dataansvarlige med behandlingssikkerheden, gennemførelsen af en konsekvensanalyse (DPIA), hvis nødvendigt, og en forudgående høring af CNIL, hvor relevant.

9.3 Brud på persondatasikkerheden (GDPR art. 33 og 34). Databehandleren underretter Den dataansvarlige om ethvert databrud hurtigst muligt og senest inden for otteogfyrre (48) timer efter at være blevet opmærksom herpå, så Den dataansvarlige kan overholde 72-timers-fristen i GDPR artikel 33, og fremlægger de oplysninger, der er relevante for en eventuel underretning.


Artikel 10 -- Data ved aftalens ophør

Ved nærværende DPA's ophør foretager Databehandleren, inden for en frist på tredive (30) dage efter kontraktens ophør, i overensstemmelse med Den dataansvarliges skriftligt meddelte valg (GDPR art. 28.3.g):

Bemærk: som følge af tjenestens flygtige arkitektur opbevares ingen auditdata efter ydelsens afslutning; kun faktureringsdata opbevares i henhold til lovkrav (10 år).

  • enten udlevering til Den dataansvarlige af de behandlede personoplysninger, i et struktureret format (JSON eller CSV afhængigt af tilgængelighed);
  • eller sikker sletning af samtlige data, herunder kopier, medmindre der foreligger en lovbestemt opbevaringsforpligtelse.

I overensstemmelse med tjenestens flygtige arkitektur er de rå auditdata allerede slettet permanent ved levering af Rapporten. Databehandleren udsteder på anmodning en sletningsattestation.


Artikel 11 -- Audits og kontroller

Databehandleren stiller alle nødvendige oplysninger til rådighed for Den dataansvarlige for at kunne dokumentere overholdelse af forpligtelserne i GDPR artikel 28 og muliggør gennemførelse af audits, herunder inspektioner (GDPR art. 28.3.h).

Audits er underlagt følgende betingelser: skriftligt varsel på mindst tredive (30) hverdage, gennemførelse inden for normal arbejdstid, maksimal hyppighed på én (1) audit pr. periode på tolv (12) måneder, medmindre der foreligger ekstraordinære omstændigheder (navnlig et godtgjort sikkerhedsbrud), omkostninger afholdt af Den dataansvarlige, fortrolighed om de indhentede oplysninger.


Artikel 12 -- Overførsler uden for EU

12.1 Primær placering. Data behandles og hostes i Frankrig. SYAGA CONSULTING er en enhed underlagt fransk ret. En indirekte eksponering mod CLOUD Act via tredjepartsleverandører kan ikke fuldstændigt udelukkes; SYAGA begrænser den ved hosting i Frankrig (OVH SAS) og først og fremmest ved pseudonymisering: tjenesten modtager kun tokens, aldrig dine data i klartekst.

12.2 Brug af Microsoft. Den dataansvarlige anerkender, at Microsoft Graph-API'et drives af Microsoft Corporation (USA). Overførsler, der involverer Microsoft, er reguleret af Europa-Kommissionens standardkontraktbestemmelser og, hvor relevant, EU-U.S. Data Privacy Framework. De data, der auditeres, er Kundens egen Microsoft 365-tenant, som tilgås i læsetilstand på Kundens vegne via Microsoft Graph. Microsoft optræder som Kundens leverandør; SYAGA er ikke Microsofts underdatabehandler i denne sammenhæng.

12.3 Generelle garantier. Enhver overførsel uden for EU foretaget af Databehandleren eller en underdatabehandler forudsætter anvendelse af en gyldig mekanisme i henhold til GDPR kapitel V (afgørelse om tilstrækkeligheden af beskyttelsesniveauet, standardkontraktbestemmelser eller anden passende garanti).


Artikel 13 -- Kontakt vedrørende databeskyttelse

Databehandler (SYAGA CONSULTING): kontaktpunkt for databeskyttelse -- contact@syaga.fr. Udpegning af en databeskyttelsesrådgiver (DPO) er ikke obligatorisk i henhold til GDPR artikel 37; den ansvarlige for databeskyttelse er direktøren, Sébastien Questier, kontaktpunkt for alle spørgsmål vedrørende personoplysninger.

Dataansvarlig: GDPR-kontaktperson udpeget af Kunden i henhold til dennes egne forpligtelser.


Artikel 14 -- Varighed, ændring og lovvalg

Nærværende DPA træder i kraft ved tegning af tjenesten SYAGA Audit og forbliver i kraft i hele den periode, hvor behandlingen udføres på vegne af Den dataansvarlige.

Enhver væsentlig ændring meddeles forudgående til Den dataansvarlige. Fortsat brug af tjenesten efter udløbet af underretningsfristen anses for accept af ændringerne. Disse ændringsvilkår er i overensstemmelse med kravene i GDPR artikel 28 for databehandleraftaler.

Nærværende DPA er underlagt fransk ret. Enhver tvist henhører under domstolene i Aix-en-Provences retskreds, med forbehold for ufravigelige regler, der gælder for grænseoverskridende tvister.


Bilag 1 -- Detaljeret beskrivelse af behandlingen og sikkerhedsforanstaltninger (GDPR art. 32)

ParameterBeskrivelse
FormålSikkerheds- og compliance-audit af M365 -- udarbejdelse af rapporter
DatakategorierKonfigurationsmetadata, identitetsmetadata (UPN, navne), sikkerhedslogs
Særlige kategorier (art. 9)Ingen
RegistreredeKonti og identiteter i Kundens Microsoft 365-tenant
Opbevaring på serversidenTenantens rådata: aldrig sendt (pseudonymisering i browseren). Tokeniserede resultater: opbevares i kundeportalen, så længe Kunden er aktiv.
BehandlingsstedFrankrig (SYAGA CONSULTINGs infrastruktur)
Kryptering under transportTLS 1.2/1.3 -- al kommunikation; SPF/DKIM/DMARC
Microsoft-tokenForlader aldrig Kundens browser; modtages aldrig af Databehandleren
ArkitekturIndsamling og pseudonymisering via en udvidelse i Kundens browser; Databehandleren analyserer kun aftryk
AdgangsstyringMindste-privilegie-princippet; navngivne adgangsrettigheder
Anti-misbrugGrænse på 2 audits/dag/tenant; anti-DDoS
LogningMinimale tekniske drifts- og sikkerhedslogs, uden personlige auditdata, opbevares i ca. 12 måneder i overensstemmelse med CNIL's anbefalinger.
Tilpasning til sikkerhedsreferencerammerForanstaltninger tilpasset GDPR art. 32, ISO/IEC 27001 (hvor en certificeringsproces er igangsat, men ingen certificering er opnået på nuværende tidspunkt), ANSSI's anbefalinger.

Bilag 2 -- Liste over godkendte underdatabehandlere

UnderdatabehandlerYdelsePlaceringOverførselsgarantier
Microsoft Corporation Microsoft Graph-API -- læseadgang til tenantens konfigurationsdata EU + USA (Microsoft-infrastruktur) Microsoft optræder som Kundens leverandør (ikke SYAGAs underdatabehandler). Overførsler reguleret af EU's standardkontraktbestemmelser og Microsofts deltagelse i EU-U.S. Data Privacy Framework.
OVH SAS (hosting, Roubaix, Frankrig) Hosting af SYAGA Audit-platformen Frankrig Ikke relevant (EU)
Stripe Inc. Betaling -- udelukkende Kundens faktureringsdata (uden tenant-data) USA / EU EU-U.S. Data Privacy Framework (Stripe certificeret) og, subsidiært, EU's standardkontraktbestemmelser (2021) -- Stripes Data Transfers Addendum.

Retlige referencer

  • CNIL -- databehandler, forpligtelser i GDPR art. 28: cnil.fr/fr/sous-traitant
  • EU-forordning 2016/679 (GDPR), artikel 4, 9, 12-22, 28, 32-36: EUR-Lex CELEX:32016R0679
  • NIS2-direktivet (EU) 2022/2555, art. 21: EUR-Lex CELEX:32022L2555
  • DORA-forordningen (EU) 2022/2554: EUR-Lex CELEX:32022R2554
  • iso.org/standard/27001
  • ANSSI -- Guide til it-hygiejne: ssi.gouv.fr
  • Fransk lov nr. 78-17 af 6. januar 1978 med senere ændringer: Légifrance
SYAGA Audit
Sikkerhed Privatlivspolitik CGU DPA Juridiske oplysninger © 2026 SYAGA