Verwerkersovereenkomst (DPA)
Gesloten op grond van artikel 28 van Verordening (EU) 2016/679 (AVG) (bron: gdpr-info.eu/art-28-gdpr)
Betrokken dienst: SYAGA Audit, beveiligings- en complianceaudit Microsoft 365, uitsluitend leesmodus
Versie: 1.0, Datum: 27 juni 2026, Datum van inwerkingtreding: 27 juni 2026
Identificatie van de Partijen
De Verwerker:
SYAGA CONSULTING, société à responsabilité limitée (SARL) met een kapitaal van 20 000 euro, ingeschreven in het RCS van Aix-en-Provence onder SIREN 518 489 471, opgericht op 08/12/2009, vertegenwoordigd door haar bestuurder Sébastien Questier, met maatschappelijke zetel te 2 Impasse Paul Langevin, 13110 Port-de-Bouc, uitgever van de dienst SYAGA Audit, hierna genoemd de Verwerker.
EN
De Verwerkingsverantwoordelijke: de Klant die zich heeft ingeschreven op de dienst SYAGA Audit onder de voorwaarden van de AV beschikbaar op cgu.html, wiens gegevens die zijn die bij de inschrijving zijn opgegeven, hierna genoemd de Verwerkingsverantwoordelijke.
Hierna samen genoemd de Partijen.
Preambule
Deze verwerkersovereenkomst (DPA) is gesloten op grond van artikel 28 van de AVG, dat vereist dat een verwerking die door een verwerker namens een verwerkingsverantwoordelijke wordt uitgevoerd, wordt geregeld door een overeenkomst die het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen, alsook de verplichtingen en rechten van de verwerkingsverantwoordelijke vastlegt.
Deze DPA is een bijlage bij de Algemene Verkoop- en Dienstverleningsvoorwaarden (AV) van SYAGA Audit (de Hoofdovereenkomst). Bij tegenstrijdigheid tussen deze DPA en de Hoofdovereenkomst over een vraagstuk met betrekking tot gegevensbescherming, heeft deze DPA voorrang. Bij tegenstrijdigheid met betrekking tot de bescherming van persoonsgegevens heeft deze DPA voorrang op de AV.
Door zich in te schrijven op de dienst SYAGA Audit aanvaardt de Klant de voorwaarden van deze DPA. De elektronische aanvaarding geldt als aanvaarding van de DPA overeenkomstig de bepalingen die van toepassing zijn op de totstandkoming van overeenkomsten langs elektronische weg.
Artikel 1, Doel en doctrine van de dienst
Deze DPA bepaalt de voorwaarden waaronder de Verwerker zich ertoe verbindt, namens en op gedocumenteerde instructie van de Verwerkingsverantwoordelijke, de verwerkingsverrichtingen van persoonsgegevens uit te voeren die nodig zijn voor het leveren van de dienst SYAGA Audit.
SYAGA Audit voert een beveiligings- en complianceaudit uit van de Microsoft 365-omgeving van de Verwerkingsverantwoordelijke, uitsluitend in leesmodus: de Dienst schrijft, wijzigt of verwijdert geen enkel gegeven in de geauditeerde tenant.
De Verwerker hanteert een zero-knowledge-doctrine: de verzameling en pseudonimisering vinden plaats in de browser van de Klant (extensie). De Verwerker ontvangt nooit de ruwe gegevens van de tenant, noch het Microsoft-toegangstoken van de Klant: uitsluitend gepseudonimiseerde vingerafdrukken. De gejetoniseerde auditresultaten worden bewaard in de klantomgeving zodat de Klant ze opnieuw kan openen, zolang hij actief is; ze worden pas in leesbare vorm teruggeplaatst op het apparaat van de Klant.
Artikel 2, Aard, doel en duur van de verwerking
2.1 Aard van de verrichtingen. De verrichtingen bestaan uit: verzameling (lezen, minste bevoegdheid) via de Microsoft-API's, uitgevoerd door een browserextensie die draait op het apparaat van de Klant; lokale pseudonimisering; analyse door de Verwerker van uitsluitend de gepseudonimiseerde vingerafdrukken aan de hand van beveiligingsraamwerken (ANSSI, Microsoft-aanbevelingen, AVG, NIS2); teruggave in de vorm van rapporten die op het apparaat van de Klant in context worden teruggeplaatst.
2.2 Exclusief doel. Het doel is de beoordeling van de beveiligings- en compliancepostuur van de Microsoft 365-tenant van de Verwerkingsverantwoordelijke en de opstelling van de bijbehorende auditrapporten. Geen enkel ander doel (marketing, profilering, hergebruik voor eigen doeleinden van de Verwerker) is toegestaan.
2.3 Duur. De verwerking vindt plaats gedurende de uitvoeringsperiode van de Hoofdovereenkomst. De ruwe gegevens worden onmiddellijk gewist bij levering van het Rapport.
Artikel 3, Categorieën van verwerkte persoonsgegevens
De Verwerker verwerkt de volgende categorieën gegevens:
- Configuratiegegevens en beveiligingsmetadata: tenant-instellingen, beleid voor voorwaardelijke toegang, MFA-configuratie, administratieve rollen en machtigingen, deelinstellingen, activeringsstatus van beveiligingsfuncties
- Identiteits- en directorymetadata: accountidentificatoren (UPN), weergavenamen, groepslidmaatschap, voor de audit relevante directoryattributen
- Logboeken en metadata van beveiligingsgebeurtenissen: aanmeldlogboeken, auditgebeurtenissen, metadata nodig voor de beoordeling van controles
Expliciete uitsluitingen. De Verwerker verwerkt niet de inhoud van e-mails, bestanden of documenten. Uitsluitend metadata en configuratiegegevens worden verwerkt.
Bijzondere categorieën. De verwerking heeft niet tot doel bijzondere categorieën van gegevens in de zin van artikel 9 van de AVG te verwerken. De Verwerkingsverantwoordelijke verbindt zich ertoe de dienst niet zo te configureren dat een dergelijke verwerking zou plaatsvinden.
Artikel 4, Categorieën van betrokkenen
De betrokkenen zijn de houders van accounts en identiteiten binnen de Microsoft 365-tenant van de Verwerkingsverantwoordelijke: werknemers, leidinggevenden, beheerders, dienstverleners en gasten met een account in de geauditeerde directory.
Artikel 5, Gedocumenteerde instructies van de Verwerkingsverantwoordelijke
De Verwerker verwerkt de gegevens uitsluitend op gedocumenteerde instructie van de Verwerkingsverantwoordelijke (art. 28.3.a AVG), ook wat betreft overdrachten naar een derde land, behalve bij dwingende wettelijke verplichting (in dat geval informeert hij de Verwerkingsverantwoordelijke vóór de verwerking, tenzij dit wettelijk verboden is).
Deze DPA, de bijlagen ervan en de AV vormen de initiële gedocumenteerde instructies. De Verwerker informeert de Verwerkingsverantwoordelijke onmiddellijk indien hij van mening is dat een instructie een inbreuk op de AVG vormt (art. 28.3, laatste alinea AVG).
Artikel 6, Vertrouwelijkheid
De Verwerker ziet erop toe dat de personen die gemachtigd zijn de gegevens te verwerken, zich ertoe verbinden vertrouwelijkheid te respecteren of onderworpen zijn aan een passende wettelijke vertrouwelijkheidsverplichting (art. 28.3.b AVG), en de nodige opleiding in gegevensbescherming ontvangen. Deze verbintenis blijft van kracht na beëindiging van hun functie en na afloop van deze DPA.
Artikel 7, Beveiligingsmaatregelen (art. 32 AVG) en afstemming op raamwerken
De Verwerker treft passende technische en organisatorische maatregelen om een aan het risico aangepast beveiligingsniveau te waarborgen (art. 32 AVG). De getroffen maatregelen omvatten met name:
- Zero-knowledge architectuur: verzameling en pseudonimisering uitgevoerd in de browser van de Klant (extensie); de Verwerker ontvangt uitsluitend gepseudonimiseerde vingerafdrukken; de ruwe gegevens van de tenant en het Microsoft-token worden hem nooit doorgegeven
- Minste bevoegdheid: verbinding via OAuth Microsoft met de meest beperkte machtigingen die Microsoft voor elk onderdeel aanbiedt; de Dienst schrijft, wijzigt of verwijdert nooit enig gegeven van de geauditeerde tenant
- Versleuteling in transit: TLS 1.2/1.3 op alle communicatie; SPF, DKIM en DMARC geactiveerd
- Microsoft-token: verlaat nooit de browser van de Klant; de Verwerker ontvangt of bewaart het nooit
- Hosting in Frankrijk: OVH-infrastructuur (Frankrijk), beheerd voor SYAGA CONSULTING
- Toegangsbeheer: beginsel van de minste bevoegdheid; naam-gebonden machtigingen; regelmatige beoordeling
- Antimisbruik: maximum van 2 audits/dag/tenant; anti-DDoS-maatregelen
- Logging: traceerbaarheid van toegang tot gegevens
- Regelmatige tests van de doeltreffendheid van de beveiligingsmaatregelen
Afstemming op erkende beveiligingskaders
Bovenstaande maatregelen zijn opgezet in lijn met de volgende raamwerken. SYAGA claimt geen enkele formele certificering op deze raamwerken: de maatregelen zijn afgestemd op de vereisten van de norm ISO/IEC 27001, waarbij een certificeringstraject is gestart, zonder dat certificering tot op heden is behaald; het gaat om een functionele afstemming:
| Raamwerk | Relevantie voor SYAGA Audit | Officiële bron |
|---|---|---|
| AVG (EU) 2016/679 | Rechtstreeks toepasselijke rechtsgrondslag. Art. 32: technische en organisatorische maatregelen. Tijdelijke architectuur = minimaliseringsmaatregel conform art. 5.1.e. | eur-lex.europa.eu CELEX:32016R0679 |
| NIS2-richtlijn (EU) 2022/2555 | Risicobeheermaatregelen voor cyberbeveiliging (art. 21 NIS2): bedrijfscontinuïteit, incidentbeheer, netwerkbeveiliging, versleuteling. SYAGA Audit helpt klanten hun eigen NIS2-compliance in hun M365-tenant te beoordelen. SYAGA, waarvan het personeelsbestand en de omzet onder de drempels voor belangrijke entiteiten in de zin van Richtlijn (EU) 2022/2555 blijven (50 werknemers of 10 miljoen EUR), valt niet onder de aan NIS2 onderworpen entiteiten. SYAGA Audit helpt zijn klanten desondanks hun conformiteit met dit raamwerk te meten. | eur-lex.europa.eu CELEX:32022L2555 |
| DORA-verordening (EU) 2022/2554 | Digitale operationele veerkracht voor gereguleerde financiële entiteiten. SYAGA Audit kan financiële klanten helpen hun DORA-postuur in hun M365-tenant te documenteren. Aangezien SYAGA geen gereguleerde financiële entiteit is, is DORA niet rechtstreeks op haar van toepassing; contractuele verplichtingen kunnen per geval van toepassing zijn voor klanten in de financiële sector die aan DORA onderworpen zijn. | eur-lex.europa.eu CELEX:32022R2554 |
| ISO/IEC 27001 | ISMS-kader: beveiligingsbeleid, risicobeheer, toegangscontroles, versleuteling, logging. De maatregelen van SYAGA Audit zijn afgestemd op de bijbehorende ISO 27002-controles. De maatregelen van SYAGA Audit zijn afgestemd op de vereisten van de norm ISO/IEC 27001, waarbij een certificeringstraject is gestart, zonder dat certificering tot op heden is behaald. | iso.org/standard/27001 |
| ANSSI-aanbevelingen | Gids voor informaticahygiëne, aanbevelingen voor informatiesysteembeveiliging. Maatregelen geïnspireerd door ANSSI-aanbevelingen over accountbeheer, versleuteling en logging. SYAGA Audit beoordeelt M365-configuraties aan de hand van ANSSI-aanbevelingen. | ssi.gouv.fr |
Het volledige detail van de technische en organisatorische maatregelen staat in Bijlage 1.
Artikel 8, Beroep op subverwerkers
De Verwerkingsverantwoordelijke machtigt de Verwerker om een beroep te doen op de subverwerkers vermeld in Bijlage 2. Voor elke nieuwe subverwerker of vervanging informeert de Verwerker de Verwerkingsverantwoordelijke schriftelijk minstens dertig (30) dagen vóór de inwerkingtreding, waarbij de Verwerkingsverantwoordelijke een termijn van dertig (30) dagen heeft om zich hiertegen te verzetten om redenen die verband houden met gegevensbescherming (art. 28.2 en 28.4 AVG). Deze termijnen en modaliteiten gelden behoudens andersluidende afspraak tussen de Partijen.
De Verwerker legt aan subverwerkers, contractueel, dezelfde gegevensbeschermingsverplichtingen op als bepaald in deze DPA (art. 28.4 AVG) en blijft ten volle verantwoordelijk tegenover de Verwerkingsverantwoordelijke voor de uitvoering ervan.
Artikel 9, Bijstand aan de Verwerkingsverantwoordelijke
9.1 Rechten van betrokkenen (art. 12 tot 22 en 28.3.e AVG). De Verwerker geeft onverwijld elk verzoek tot uitoefening van rechten dat rechtstreeks van een betrokkene is ontvangen, door aan de Verwerkingsverantwoordelijke en ondersteunt hem bij de beantwoording ervan.
9.2 Beveiliging en DPIA (art. 32 tot 36 en 28.3.f AVG). De Verwerker ondersteunt de Verwerkingsverantwoordelijke bij de beveiliging van de verwerking, de uitvoering van een gegevensbeschermingseffectbeoordeling (DPIA) indien nodig, en een voorafgaande raadpleging van de CNIL indien van toepassing.
9.3 Datalekken (art. 33 en 34 AVG). De Verwerker meldt elk datalek aan de Verwerkingsverantwoordelijke binnen maximaal achtenveertig (48) uur nadat hij ervan kennis heeft genomen, zo snel mogelijk, zodat de verwerkingsverantwoordelijke de termijn van 72 uur van artikel 33 van de AVG kan naleven, en verstrekt daarbij de nuttige informatie voor een eventuele melding.
Artikel 10, Lot van de gegevens bij het einde van de overeenkomst
Na afloop van deze DPA gaat de Verwerker, binnen een termijn van dertig (30) dagen na het einde van de overeenkomst, naar keuze van de Verwerkingsverantwoordelijke die schriftelijk is meegedeeld (art. 28.3.g AVG), over tot:
Opmerking: gezien de tijdelijke architectuur van de dienst wordt geen enkel auditgegeven bewaard na afloop van de dienstverlening; alleen de facturatiegegevens worden bewaard conform de wettelijke verplichtingen (10 jaar).
- hetzij tot teruggave aan de Verwerkingsverantwoordelijke van de verwerkte persoonsgegevens, in een gestructureerd formaat (JSON of CSV naargelang beschikbaarheid);
- hetzij tot de veilige verwijdering van alle gegevens, inclusief kopieën, behoudens wettelijke bewaarplicht.
Overeenkomstig de tijdelijke architectuur van de dienst zijn de ruwe auditgegevens reeds gewist bij levering van het Rapport. De Verwerker verstrekt, op verzoek, een verwijderingsattestatie.
Artikel 11, Audits en controles
De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de naleving van de verplichtingen van artikel 28 AVG aan te tonen en maakt audits mogelijk, met inbegrip van inspecties (art. 28.3.h AVG).
Audits zijn onderworpen aan de volgende voorwaarden: schriftelijke opzegtermijn van minstens dertig (30) werkdagen, uitvoering tijdens kantooruren, maximale frequentie van een (1) audit per periode van twaalf (12) maanden behoudens uitzonderlijke omstandigheden (met name een bewezen beveiligingsincident), kosten ten laste van de Verwerkingsverantwoordelijke, vertrouwelijkheid van de verkregen informatie.
Artikel 12, Overdrachten buiten de Europese Unie
12.1 Hoofdlocatie. De gegevens worden verwerkt en gehost in Frankrijk. SYAGA CONSULTING is een naar Frans recht opgerichte entiteit. Een indirecte blootstelling aan de CLOUD Act via derde leveranciers kan niet volledig worden uitgesloten; SYAGA beperkt dit risico door hosting in Frankrijk (OVH SAS) en vooral door pseudonimisering: de dienst ontvangt uitsluitend tokens, nooit uw gegevens in leesbare vorm.
12.2 Beroep op Microsoft. De Verwerkingsverantwoordelijke erkent dat de Microsoft Graph-API wordt beheerd door Microsoft Corporation (Verenigde Staten). Overdrachten met Microsoft worden geregeld door de door de Europese Commissie goedgekeurde modelcontractbepalingen en, in voorkomend geval, het EU-U.S. Data Privacy Framework. De geauditeerde gegevens zijn die van de eigen Microsoft 365-tenant van de Klant, geraadpleegd in leesmodus voor zijn rekening via Microsoft Graph. Microsoft treedt op als leverancier van de Klant; SYAGA is niet de subverwerker ervan.
12.3 Algemene waarborgen. Elke overdracht buiten de EU door de Verwerker of een subverwerker is onderworpen aan de toepassing van een mechanisme dat geldig is in de zin van hoofdstuk V van de AVG (adequaatheidsbesluit, modelcontractbepalingen of andere passende waarborg).
Artikel 13, Contact gegevensbescherming
Verwerker (SYAGA CONSULTING): aanspreekpunt gegevensbescherming, contact@syaga.fr. De aanstelling van een functionaris voor gegevensbescherming is niet verplicht in de zin van artikel 37 van de AVG; de verantwoordelijke voor gegevensbescherming is de bestuurder, Sébastien Questier, aanspreekpunt voor elke vraag met betrekking tot persoonsgegevens.
Verwerkingsverantwoordelijke: AVG-contact aangewezen door de Klant volgens zijn eigen verplichtingen.
Artikel 14, Duur, wijziging en toepasselijk recht
Deze DPA treedt in werking bij inschrijving op de dienst SYAGA Audit en blijft van kracht gedurende de volledige duur van de verwerking die namens de Verwerkingsverantwoordelijke wordt uitgevoerd.
Elke substantiële wijziging wordt vooraf gemeld aan de Verwerkingsverantwoordelijke. Voortgezet gebruik van de dienst na de meldingstermijn geldt als aanvaarding van de wijzigingen. Deze wijzigingsmodaliteiten zijn conform de vereisten van artikel 28 van de AVG voor verwerkersovereenkomsten.
Deze DPA is onderworpen aan het Franse recht. Elk geschil valt onder de bevoegdheid van de rechtbanken van Aix-en-Provence, onder voorbehoud van de regels van openbare orde die van toepassing zijn op grensoverschrijdende geschillen.
Bijlage 1, Gedetailleerde beschrijving van de verwerking en beveiligingsmaatregelen (art. 32 AVG)
| Parameter | Beschrijving |
|---|---|
| Doeleinden | Beveiligings- en complianceaudit M365, opstelling van rapporten |
| Gegevenscategorieën | Configuratiemetadata, identiteitsmetadata (UPN, namen), beveiligingslogboeken |
| Bijzondere categorieën (art. 9) | Geen |
| Betrokkenen | Accounts en identiteiten van de Microsoft 365-tenant van de Klant |
| Bewaring serverzijde | Ruwe gegevens van de tenant: nooit doorgegeven (pseudonimisering in de browser). Gejetoniseerde resultaten: bewaard in de klantomgeving zolang de Klant actief is. |
| Plaats van verwerking | Frankrijk (infrastructuur SYAGA CONSULTING) |
| Versleuteling in transit | TLS 1.2/1.3, alle communicatie; SPF/DKIM/DMARC |
| Microsoft-token | Verlaat nooit de browser van de Klant; nooit ontvangen door de Verwerker |
| Architectuur | Verzameling en pseudonimisering door een extensie in de browser van de Klant; de Verwerker analyseert uitsluitend vingerafdrukken |
| Toegangsbeheer | Beginsel van de minste bevoegdheid; naam-gebonden machtigingen |
| Antimisbruik | Maximum 2 audits/dag/tenant; anti-DDoS |
| Logging | Minimale technische exploitatie- en beveiligingslogboeken, zonder persoonlijke auditgegevens, bewaard gedurende ongeveer 12 maanden conform de CNIL-aanbevelingen. |
| Afstemming op beveiligingsraamwerken | Maatregelen afgestemd op AVG art. 32, ISO/IEC 27001 (een certificeringstraject is gestart, zonder dat certificering tot op heden is behaald), ANSSI-aanbevelingen. |
Bijlage 2, Lijst van toegestane subverwerkers
| Subverwerker | Dienst | Locatie | Overdrachtswaarborgen |
|---|---|---|---|
| Microsoft Corporation | Microsoft Graph-API, leestoegang tot de configuratiegegevens van de tenant | EU + Verenigde Staten (Microsoft-infrastructuur) | Microsoft treedt op als leverancier van de Klant (geen subverwerker van SYAGA). Overdrachten geregeld door de modelcontractbepalingen van de Europese Commissie en de deelname van Microsoft aan het EU-U.S. Data Privacy Framework. |
| OVH SAS (hosting, Roubaix, Frankrijk) | Hosting van het platform SYAGA Audit | Frankrijk | Niet van toepassing (EU) |
| Stripe Inc. | Betaling, uitsluitend facturatiegegevens van de Klant (geen tenantgegevens) | Verenigde Staten / EU | EU-U.S. Data Privacy Framework (Stripe gecertificeerd) en, subsidiair, modelcontractbepalingen van de Europese Commissie (2021), Data Transfers Addendum van Stripe. |
Wettelijke referenties
- CNIL, verwerker, verplichtingen art. 28 AVG: cnil.fr/fr/sous-traitant
- Verordening (EU) 2016/679 (AVG), artikelen 4, 9, 12 tot 22, 28, 32 tot 36: EUR-Lex CELEX:32016R0679
- NIS2-richtlijn (EU) 2022/2555, art. 21: EUR-Lex CELEX:32022L2555
- DORA-verordening (EU) 2022/2554: EUR-Lex CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI, gids voor informaticahygiëne: ssi.gouv.fr
- Gewijzigde Franse wet nr.° 78-17 van 6 januari 1978: Légifrance