SYAGA AuditMicrosoft 365 Edition
Home Functionaliteiten Beveiliging Hoe het werkt Tarieven
Inloggen Start mijn gratis diagnose

Privacybeleid

Versie 1.0 - Laatste update: 25 juni 2026


Preambule

Dit Privacybeleid heeft tot doel gebruikers en klanten van de dienst SYAGA Audit te informeren over de wijze waarop hun persoonsgegevens worden verzameld, verwerkt en beschermd, overeenkomstig Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens (AVG) en de gewijzigde Franse wet nr.° 78-17 van 6 januari 1978 betreffende informatica, bestanden en vrijheden.

SYAGA Audit is een dienst voor beveiligings- en complianceaudits van de Microsoft 365-omgeving, die uitsluitend in leesmodus werkt op de configuraties en metadata van de Microsoft 365-tenant van de klant. De Dienst heeft geen toegang tot de inhoud van berichten, bestanden of e-mails van de gebruikers van de geauditeerde tenant, en slaat geen enkel wachtwoord op.

Dit document voldoet aan de informatieplicht van artikel 13 (rechtstreekse verzameling) en artikel 14 (indirecte verzameling) van de AVG.


1. Identiteit en gegevens van de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke voor de account- en klantrelatiegegevens is:

SYAGA CONSULTING

  • Vorm: société à responsabilité limitée (SARL) met een kapitaal van 20 000 EUR
  • SIREN: 518 489 471, RCS Aix-en-Provence
  • Maatschappelijke zetel: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
  • Intracommunautair btw-nummer: FR93 518489471
  • E-mail: contact@syaga.fr

Verhouding verwerker / verwerkingsverantwoordelijke: voor de configuratiegegevens en metadata van de Microsoft 365-tenant die tijdens de audit worden verzameld, treedt SYAGA op als verwerker in de zin van artikel 28 van de AVG, waarbij de klant verwerkingsverantwoordelijke blijft voor zijn eigen M365-gegevens. Dit beleid dekt het gedeelte waarvoor SYAGA optreedt als verwerkingsverantwoordelijke (accountgegevens, facturatie, support). De verwerking namens de klant wordt geregeld door de verwerkersovereenkomst (DPA).

Contact gegevensbescherming

Voor elk verzoek met betrekking tot gegevensbescherming: contact@syaga.fr

De aanstelling van een functionaris voor gegevensbescherming is niet verplicht in de zin van artikel 37 van de AVG; de verwerkingsverantwoordelijke, in de persoon van de bestuurder, is het aanspreekpunt voor elke vraag met betrekking tot persoonsgegevens.


2. Verzamelde persoonsgegevens

2.1 Account- en klantrelatiegegevens

SYAGA verzamelt, als verwerkingsverantwoordelijke:

  • Identiteit van de contactpersoon: naam, voornaam, functie
  • Professionele gegevens: e-mailadres, bedrijfsnaam
  • Authenticatiegegevens voor de Dienst (OAuth Microsoft-token, geen wachtwoord opgeslagen bij SYAGA Audit)
  • Facturatiegegevens en contractueel beheer
  • Supportgegevens en communicatie
  • Technische verbindingslogboeken (IP-adressen, tijdstempels)

2.2 Auditgegevens (configuratie en metadata Microsoft 365)

In het kader van de audit krijgt de Dienst uitsluitend leestoegang, via de Microsoft Graph-API, tot de configuratiegegevens en metadata van de M365-tenant van de klant, met name:

  • Beveiligingsconfiguratieparameters (beleidsregels voor voorwaardelijke toegang, MFA-instellingen, deelinstellingen)
  • Metadata over gebruikersaccounts (UPN, rollen, MFA-status, relevante Entra ID-directoryattributen)
  • Indicatoren en metadata over de beveiligingspostuur (Secure Score, configuratiewaarschuwingen)

Wat de Dienst niet verzamelt: inhoud van e-mails, bestanden, documenten, berichten, wachtwoorden, gevoelige gegevens in de zin van artikel 9 van de AVG.

Tijdelijke architectuur: de audit wordt uitgevoerd in het werkgeheugen van een wegwerpbare scancontainer (geen opslag op schijf). Het rapport wordt eenmalig aan de klant overhandigd, waarna de ruwe scangegevens en het toegangstoken worden gewist. Het token wordt versleuteld opgeslagen (Fernet) tijdens de duur van de audit. Maximale beveiligings-TTL: 2 uur. SYAGA bewaart serverzijde uitsluitend de facturatiegegevens, conform de wettelijke verplichtingen.

2.3 Cookies en trackers

De website syaga.eu gebruikt uitsluitend strikt noodzakelijke cookies voor de werking van de Dienst:

  • __jsc: anti-bot beveiligingscookie, sessieduur
  • vigil_audit: sessiecookie, sessieduur

Er wordt geen enkele analytische cookie (Google Analytics, Matomo of gelijkwaardig) noch enige reclamecookie geplaatst. Deze strikt noodzakelijke cookies zijn vrijgesteld van voorafgaande toestemming overeenkomstig de richtsnoeren van de CNIL van 4 juli 2023 (bron: cnil.fr, cookies en trackers). Een informatienotitie over deze cookies volstaat.


3. Doeleinden en rechtsgrondslagen van de verwerking

Overeenkomstig artikel 6 van de AVG berust elke verwerking op een geïdentificeerde rechtsgrondslag:

DoelRechtsgrondslag (art. 6 AVG)
Levering en uitvoering van de auditdienst; aanmaak en beheer van het klantaccountUitvoering van de overeenkomst, art. 6.1.b
Facturatie, boekhouding, invorderingWettelijke verplichting (Franse Code de commerce art. L.123-22) en uitvoering van de overeenkomst, art. 6.1.c en 6.1.b
Support en technische bijstandUitvoering van de overeenkomst, art. 6.1.b
Beveiliging van de Dienst, fraudepreventie, loggingGerechtvaardigd belang, art. 6.1.f
Strikt noodzakelijke cookiesVrijgesteld van toestemming (CNIL-richtsnoeren)

Voor de auditgegevens van de tenant (paragraaf 2.2) handelt SYAGA op instructie van de klant (verwerkingsverantwoordelijke). Zie de DPA.


4. Ontvangers en verwerkers

De gegevens worden uitsluitend meegedeeld aan de daartoe bevoegde personen binnen SYAGA CONSULTING en aan de verwerkers die optreden onder de voorwaarden van artikel 28 van de AVG:

  • Microsoft Corporation: leverancier van de Microsoft Graph-API, gebruikt in leesmodus om toegang te krijgen tot de configuratiegegevens van de tenant van de klant. De geauditeerde gegevens zijn die van de eigen Microsoft 365-tenant van de Klant, geraadpleegd in leesmodus voor zijn rekening via Microsoft Graph. Microsoft treedt op als leverancier van de Klant; SYAGA is niet de subverwerker ervan.
  • Stripe Inc.: betalingsdienstverlener voor de verwerking van facturatiegegevens. De overdrachten naar Stripe worden geregeld door het EU-U.S. Data Privacy Framework, waarvoor Stripe gecertificeerd is, en subsidiair door de modelcontractbepalingen van de Europese Commissie (2021), geïntegreerd in de Data Transfers Addendum van Stripe (bronnen: stripe.com/legal/dpa en stripe.com/legal/dta).
  • Hostingprovider: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Frankrijk (RCS Lille Métropole 424 761 419). De dienst wordt gehost in Frankrijk door OVH SAS (Franse hostingprovider), technische verwerker van SYAGA CONSULTING. SYAGA CONSULTING ontvangt uitsluitend gepseudonimiseerde gegevens (tokens).

Geen enkel gegeven wordt verkocht of aan derden overgedragen voor commerciële doeleinden.

De gegevens kunnen worden meegedeeld aan bestuurlijke of gerechtelijke autoriteiten wanneer de wet dit vereist.


5. Bewaartermijnen

De gegevens worden bewaard gedurende een termijn die niet langer is dan nodig voor de nagestreefde doeleinden (art. 5.1.e AVG):

GegevenscategorieBewaartermijn
Ruwe auditgegevens (bevindingen, toegangstoken)Geen enkele bewaring serverzijde: gewist bij levering van het Rapport (tijdelijke architectuur, maximale TTL 2 uur)
Gegevens van actief klantaccountDuur van de contractuele relatie, gevolgd door verwijdering binnen 30 dagen na beëindiging
Facturatiegegevens en boekhoudkundige stukken10 jaar vanaf de afsluiting van het boekjaar (wettelijke verplichting, art. L.123-22 Code de commerce)
Technische logboeken (verbindingslogs)12 maanden (CNIL-aanbeveling)

6. Gegevensoverdrachten buiten de Europese Unie

De infrastructuur waarop de Dienst SYAGA Audit wordt gehost, bevindt zich in Frankrijk. In beginsel voert SYAGA geen enkele gegevensoverdracht buiten de EU / EER uit.

Wat Microsoft betreft: de Verwerkingsverantwoordelijke erkent dat de Microsoft Graph-API wordt beheerd door Microsoft Corporation (Verenigde Staten). Eventuele overdrachten met Microsoft worden geregeld door de door de Europese Commissie goedgekeurde modelcontractbepalingen en, in voorkomend geval, door de deelname van Microsoft aan het EU-U.S. Data Privacy Framework. De geauditeerde gegevens zijn die van de eigen Microsoft 365-tenant van de Klant, geraadpleegd in leesmodus voor zijn rekening via Microsoft Graph. Microsoft treedt op als leverancier van de Klant. Eventuele overdrachten met de Microsoft-infrastructuur worden geregeld door de door de Europese Commissie goedgekeurde modelcontractbepalingen en de deelname van Microsoft aan het EU-U.S. Data Privacy Framework.

Stripe Inc. voert overdrachten buiten de EU uit die worden geregeld door mechanismen die conform hoofdstuk V van de AVG zijn. De overdrachten naar Stripe worden geregeld door het EU-U.S. Data Privacy Framework, waarvoor Stripe gecertificeerd is, en subsidiair door de modelcontractbepalingen van de Europese Commissie (2021), geïntegreerd in de Data Transfers Addendum van Stripe.


7. Rechten van betrokkenen

Overeenkomstig de artikelen 15 tot en met 22 van de AVG heeft elke betrokkene de volgende rechten:

  • Recht van inzage (art. 15 AVG): bevestiging krijgen dat gegevens over de betrokkene worden verwerkt en er een kopie van ontvangen
  • Recht op rectificatie (art. 16): onjuiste of onvolledige gegevens laten corrigeren
  • Recht op vergetelheid (art. 17): verwijdering verkrijgen in de gevallen voorzien door de AVG
  • Recht op beperking van de verwerking (art. 18)
  • Recht op overdraagbaarheid (art. 20): de eigen gegevens ontvangen in een gestructureerd, machineleesbaar formaat
  • Recht van bezwaar (art. 21): bezwaar maken tegen de verwerking om redenen die verband houden met de bijzondere situatie, en op elk moment bij direct marketing
  • Recht om toestemming in te trekken (art. 7.3) op elk moment wanneer de verwerking op toestemming is gebaseerd
  • Postmortaal recht (art. 85 wet Informatique et Libertés): richtlijnen bepalen over het lot van de gegevens na overlijden

Belangrijk voor auditgegevens: voor de configuratiegegevens en metadata van de tenant moeten verzoeken tot uitoefening van rechten worden gericht aan de klant (verwerkingsverantwoordelijke), die zo nodig SYAGA zal raadplegen (art. 28.3.e AVG).

Wijze van uitoefening

Deze rechten worden uitgeoefend door een verzoek te richten aan contact@syaga.fr of per post aan SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Er wordt binnen een maand geantwoord (art. 12.3 AVG), verlengbaar met twee maanden in geval van complexiteit.

Klacht indienen bij de CNIL

Elke betrokkene heeft het recht een klacht in te dienen bij de CNIL (art. 77 AVG):

CNIL -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 -- www.cnil.fr


8. Beveiliging van de gegevens (art. 32 AVG)

SYAGA treft passende technische en organisatorische maatregelen om een aan het risico aangepast beveiligingsniveau te waarborgen (art. 32 AVG):

  • Tijdelijke architectuur: audit uitgevoerd in het werkgeheugen, wegwerpbare scancontainer zonder opslag op schijf; ruwe gegevens gewist bij levering van het Rapport
  • Minste bevoegdheid: verbinding via OAuth Microsoft met de meest beperkte machtigingen die Microsoft voor elk geauditeerd onderdeel aanbiedt; de Dienst schrijft, wijzigt of verwijdert nooit enig gegeven van de tenant
  • Versleuteling in transit: TLS 1.2/1.3 op alle communicatie; SPF, DKIM en DMARC geactiveerd op e-mails
  • Versleuteling in rust: toegangstoken versleuteld (Fernet) tijdens de duur van de audit
  • Hosting in Frankrijk: OVH-infrastructuur (Frankrijk)
  • Toegangscontrole: beginsel van de minste bevoegdheid; naam-gebonden machtigingen
  • Antimisbruikbescherming: maximum van 2 audits/dag/tenant, anti-DDoS-maatregelen
  • Melding van datalekken: procedure conform art. 33 en 34 AVG (melding aan de CNIL binnen 72 uur)

Multi-raamwerk koppeling

De beveiligingsmaatregelen van SYAGA Audit zijn opgezet in lijn met verschillende erkende beveiligingsraamwerken. SYAGA claimt geen enkele formele certificering op deze raamwerken: de maatregelen zijn afgestemd op de vereisten van de norm ISO/IEC 27001, waarbij een certificeringstraject is gestart, zonder dat certificering tot op heden is behaald; de maatregelen zijn afgestemd op en geïnspireerd door deze kaders:

  • AVG (Verordening EU 2016/679): rechtstreeks toepasselijke rechtsgrondslag -- eur-lex.europa.eu CELEX:32016R0679
  • NIS2-richtlijn (Richtlijn EU 2022/2555): risicobeheermaatregelen, beveiliging van netwerk- en informatiesystemen -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, waarvan het personeelsbestand en de omzet onder de drempels voor belangrijke entiteiten in de zin van Richtlijn (EU) 2022/2555 blijven (50 werknemers of 10 miljoen EUR), valt niet onder de aan NIS2 onderworpen entiteiten. SYAGA Audit helpt zijn klanten desondanks hun conformiteit met dit raamwerk te meten (bron: monespacenis2.cyber.gouv.fr).
  • DORA (Verordening EU 2022/2554): digitale operationele veerkracht voor de financiële sector -- eur-lex.europa.eu CELEX:32022R2554. Aangezien SYAGA geen gereguleerde financiële entiteit is, is Verordening (EU) 2022/2554 (DORA) niet rechtstreeks op haar van toepassing; contractuele verplichtingen kunnen echter per geval van toepassing zijn wanneer een klant een aan DORA onderworpen financiële entiteit is (bron: eur-lex.europa.eu DORA).
  • ISO/IEC 27001: referentiekader voor managementsystemen voor informatiebeveiliging (ISMS) -- iso.org/standard/27001. De maatregelen van SYAGA Audit zijn afgestemd op de vereisten van de norm ISO/IEC 27001, waarbij een certificeringstraject is gestart, zonder dat certificering tot op heden is behaald.
  • ANSSI-aanbevelingen: gids voor informaticahygiëne en aanbevelingen van het Franse nationaal agentschap voor informatiesysteembeveiliging -- ssi.gouv.fr.

SYAGA Audit helpt zijn klanten precies om hun eigen compliance met deze raamwerken (AVG, NIS2, ANSSI) binnen hun Microsoft 365-omgeving te meten.


9. Wijzigingen van dit beleid

Dit Beleid kan worden bijgewerkt om wettelijke, regelgevende of technische ontwikkelingen weer te geven. De geldende versie is de versie gepubliceerd op https://syaga.eu/confidentialite.html. Bij een substantiële wijziging worden geregistreerde gebruikers per e-mail geïnformeerd binnen een redelijke termijn vóór de inwerkingtreding van de wijzigingen.


10. Contact

Voor elke vraag over dit beleid of de bescherming van uw gegevens:

  • E-mail: contact@syaga.fr
  • Adres: SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc

Wettelijke en documentaire referenties

  • Verordening (EU) 2016/679 (AVG), volledige tekst: eur-lex.europa.eu CELEX:32016R0679
  • Gewijzigde Franse wet nr.° 78-17 van 6 januari 1978: Légifrance
  • CNIL, rechten van betrokkenen: cnil.fr
  • CNIL, cookies: cnil.fr
  • NIS2-richtlijn (EU) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
  • DORA-verordening (EU) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI, gids voor informaticahygiëne: ssi.gouv.fr
SYAGA Audit
Beveiliging Privacy Voorwaarden DPA Colofon © 2026 SYAGA