Personvernerklæring
Versjon 1.0 - Sist oppdatert: 25. juni 2026
Innledning
Denne personvernerklæringen har til formål å informere brukere og kunder av tjenesten SYAGA Audit om hvordan deres personopplysninger samles inn, behandles og beskyttes, i samsvar med forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger (GDPR) og fransk lov nr. 78-17 av 6. januar 1978, endret, om databehandling, filer og friheter.
SYAGA Audit er en tjeneste for sikkerhets- og etterlevelsesrevisjon av Microsoft 365-miljøet, og opererer med kun lesetilgang til konfigurasjoner og metadata i kundens Microsoft 365-tenant. Tjenesten får ikke tilgang til innholdet i meldinger, filer eller e-poster til brukerne i den reviderte tenanten, og lagrer ingen passord.
Dette dokumentet oppfyller informasjonsplikten i artikkel 13 (direkte innsamling) og artikkel 14 (indirekte innsamling) i GDPR.
1. Identitet og kontaktopplysninger for behandlingsansvarlig
Behandlingsansvarlig for konto- og kunderelasjonsdata er:
SYAGA CONSULTING
- Selskapsform: aksjeselskap (SARL) med en kapital på 20 000 EUR
- SIREN: 518 489 471, RCS Aix-en-Provence
- Forretningsadresse: 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Frankrike
- MVA-nummer innen EU: FR93 518489471
- E-post: contact@syaga.fr
Rollefordeling databehandler / behandlingsansvarlig: for konfigurasjonsdata og metadata om Microsoft 365-tenanten som samles inn under revisjonen, opptrer SYAGA som databehandler i henhold til artikkel 28 i GDPR, mens kunden forblir behandlingsansvarlig for sine egne M365-data. Denne policyen dekker det omfanget der SYAGA opptrer som behandlingsansvarlig (kontodata, fakturering, support). Behandlingen som gjøres på vegne av kunden, reguleres av databehandleravtalen (DPA).
Kontakt for personvern
For enhver henvendelse om databeskyttelse: contact@syaga.fr
Det er ikke obligatorisk å utpeke et personvernombud i henhold til artikkel 37 i GDPR; behandlingsansvarlig, i form av daglig leder, er kontaktpunktet for alle spørsmål knyttet til personopplysninger.
2. Personopplysninger som samles inn
2.1 Konto- og kunderelasjonsdata
SYAGA samler inn, i egenskap av behandlingsansvarlig:
- Kontaktens identitet: navn, etternavn, stilling
- Forretningskontaktopplysninger: e-postadresse, firmanavn
- Autentiseringsdata for Tjenesten (Microsoft OAuth-token, ingen passord lagres hos SYAGA Audit)
- Faktura- og kontraktsdata
- Support- og korrespondansedata
- Tekniske tilkoblingslogger (IP-adresser, tidsstempler)
2.2 Revisjonsdata (konfigurasjon og metadata Microsoft 365)
Som del av revisjonen får Tjenesten kun lesetilgang, via Microsoft Graph-API-et, til konfigurasjonsdata og metadata om kundens M365-tenant, blant annet:
- Sikkerhetskonfigurasjoner (retningslinjer for betinget tilgang, MFA-innstillinger, delingsinnstillinger)
- Metadata om brukerkontoer (UPN, roller, MFA-status, katalogattributter i Entra ID)
- Indikatorer og metadata om sikkerhetsposisjon (Secure Score, konfigurasjonsvarsler)
Det Tjenesten ikke samler inn: innhold i e-poster, filer, dokumenter, meldinger, passord, sensitive opplysninger som definert i artikkel 9 i GDPR.
Flyktig arkitektur: revisjonen kjøres i arbeidsminnet i en engangs skannecontainer (ingen disklagring). Rapporten leveres én gang til kunden, deretter slettes rådataene fra skanningen og tilgangstokenet. Tokenet er kryptert i hvile (Fernet) i løpet av revisjonen. Maksimal sikkerhets-TTL: 2 timer. SYAGA lagrer på serversiden kun fakturaopplysninger, i samsvar med lovpålagte forpliktelser.
2.3 Informasjonskapsler og sporingsteknologi
Nettstedet syaga.eu bruker kun strengt nødvendige informasjonskapsler for at Tjenesten skal fungere:
__jsc: anti-bot-sikkerhetskapsel, øktvarighetvigil_audit: øktkapsel, øktvarighet
Ingen informasjonskapsler for besøksstatistikk (Google Analytics, Matomo eller lignende) og ingen reklameinformasjonskapsler settes. Disse strengt nødvendige informasjonskapslene er unntatt fra krav om forhåndssamtykke i samsvar med CNILs retningslinjer av 4. juli 2023 (kilde: cnil.fr, informasjonskapsler og sporingsteknologi). En informasjonsmerknad om disse informasjonskapslene er tilstrekkelig.
3. Formål og rettslig grunnlag for behandlingen
I samsvar med artikkel 6 i GDPR bygger hver behandling på et identifisert rettslig grunnlag:
| Formål | Rettslig grunnlag (Art. 6 GDPR) |
|---|---|
| Levering og gjennomføring av revisjonstjenesten; opprettelse og administrasjon av kundekontoen | Oppfyllelse av avtale, Art. 6.1.b |
| Fakturering, regnskap, inndrivelse | Lovpålagt forpliktelse (fransk handelslov art. L.123-22) og oppfyllelse av avtale, Art. 6.1.c og 6.1.b |
| Support og teknisk assistanse | Oppfyllelse av avtale, Art. 6.1.b |
| Sikkerheten til Tjenesten, forebygging av svindel, logging | Berettiget interesse, Art. 6.1.f |
| Strengt nødvendige informasjonskapsler | Unntatt fra samtykke (CNILs retningslinjer) |
For revisjonsdata om tenanten (avsnitt 2.2) opptrer SYAGA etter instruks fra kunden (behandlingsansvarlig). Se databehandleravtalen (DPA).
4. Mottakere og databehandlere
Dataene formidles kun til autoriserte personer innen SYAGA CONSULTING samt til databehandlere som opptrer under vilkårene i artikkel 28 i GDPR:
- Microsoft Corporation: leverandør av Microsoft Graph-API-et, brukt med kun lesetilgang for å få tilgang til konfigurasjonsdataene til kundens tenant. De reviderte dataene er kundens egen Microsoft 365-tenant, konsultert med kun lesetilgang på vegne av kunden via Microsoft Graph. Microsoft opptrer som leverandør til Kunden; SYAGA er ikke Microsofts underleverandør.
- Stripe Inc.: betalingsleverandør for behandling av fakturaopplysninger. Overføringer til Stripe er regulert av EU-U.S. Data Privacy Framework, som Stripe er sertifisert under, og, subsidiært, av EU-kommisjonens standard kontraktsklausuler (2021) innarbeidet i Stripes Data Transfers Addendum (kilder: stripe.com/legal/dpa og stripe.com/legal/dta).
- Hostingleverandør: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Frankrike (RCS Lille Métropole 424 761 419). Tjenesten hostes i Frankrike av OVH SAS (fransk hostingleverandør), teknisk databehandler for SYAGA CONSULTING. SYAGA CONSULTING mottar kun pseudonymiserte data (tokens).
Ingen data selges eller overdras til tredjeparter for kommersielle formål.
Dataene kan formidles til forvaltnings- eller rettsmyndigheter når loven krever det.
5. Lagringstid
Dataene lagres ikke lenger enn nødvendig for formålene (art. 5.1.e GDPR):
| Datakategori | Lagringstid |
|---|---|
| Rå revisjonsdata (funn, tilgangstoken) | Ingen lagring på serversiden: slettes ved levering av Rapporten (flyktig arkitektur, maksimal TTL 2 timer) |
| Data om aktiv kundekonto | Varigheten av avtaleforholdet, deretter sletting innen 30 dager etter oppsigelse |
| Fakturaopplysninger og regnskapsbilag | 10 år fra avslutning av regnskapsåret (lovpålagt forpliktelse, art. L.123-22 i den franske handelsloven) |
| Tekniske logger (tilkoblingslogger) | 12 måneder (CNIL-anbefaling) |
6. Overføringer av data utenfor EU
Infrastrukturen som er vert for Tjenesten SYAGA Audit, er lokalisert i Frankrike. I prinsippet gjennomfører ikke SYAGA noen dataoverføringer utenfor EU/EØS.
Vedrørende Microsoft: behandlingsansvarlig erkjenner at Microsoft Graph-API-et driftes av Microsoft Corporation (USA). Eventuelle overføringer som involverer Microsoft, er regulert av selskapets standard kontraktsklausuler godkjent av EU-kommisjonen, og eventuelt av deltakelsen i EU-U.S. Data Privacy Framework. De reviderte dataene er kundens egen Microsoft 365-tenant, konsultert med kun lesetilgang på vegne av kunden via Microsoft Graph. Microsoft opptrer som leverandør til Kunden. Eventuelle overføringer som involverer Microsofts infrastruktur, er regulert av EU-kommisjonens standard kontraktsklausuler og Microsofts deltakelse i EU-U.S. Data Privacy Framework.
Stripe Inc. gjennomfører overføringer utenfor EU underlagt mekanismer i samsvar med kapittel V i GDPR. Overføringer til Stripe er regulert av EU-U.S. Data Privacy Framework, som Stripe er sertifisert under, og, subsidiært, av EU-kommisjonens standard kontraktsklausuler (2021) innarbeidet i Stripes Data Transfers Addendum.
7. Rettighetene til registrerte
I samsvar med artikkel 15 til 22 i GDPR har enhver registrert person følgende rettigheter:
- Innsynsrett (art. 15 GDPR): få bekreftet om egne data behandles og motta en kopi
- Rett til retting (art. 16): få rettet uriktige eller ufullstendige data
- Rett til sletting (art. 17): få data slettet i tilfellene fastsatt i GDPR
- Rett til begrensning av behandlingen (art. 18)
- Rett til dataportabilitet (art. 20): motta egne data i et strukturert og maskinlesbart format
- Rett til å protestere (art. 21): protestere mot behandlingen av grunner knyttet til egen situasjon, og til enhver tid ved direkte markedsføring
- Rett til å trekke tilbake samtykke (art. 7.3) når som helst når behandlingen er basert på samtykke
- Rett etter død (art. 85 i den franske personvernloven): angi retningslinjer for behandling av data etter dødsfall
Viktig for revisjonsdata: for konfigurasjonsdata og metadata om tenanten skal forespørsler om å utøve rettigheter rettes til kunden (behandlingsansvarlig), som eventuelt kontakter SYAGA ved behov (art. 28.3.e GDPR).
Fremgangsmåte for å utøve rettighetene
Disse rettighetene utøves ved å sende en henvendelse til contact@syaga.fr eller per post til SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Frankrike. Svar gis innen én måned (art. 12.3 GDPR), som kan forlenges med to måneder ved kompleksitet.
Klage til CNIL
Enhver registrert person har rett til å klage til CNIL (art. 77 GDPR):
CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankrike, www.cnil.fr
8. Datasikkerhet (art. 32 GDPR)
SYAGA iverksetter hensiktsmessige tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå tilpasset risikoen (art. 32 GDPR):
- Flyktig arkitektur: revisjonen kjøres i arbeidsminnet, engangs skannecontainer uten disklagring; rådata slettes ved levering av Rapporten
- Minste privilegium: tilkobling via Microsoft OAuth med de smaleste rettighetene Microsoft tilbyr for hvert reviderte omfang; Tjenesten skriver, endrer eller sletter aldri data i tenanten
- Kryptering under overføring: TLS 1.2/1.3 på all kommunikasjon; SPF, DKIM og DMARC aktivert på e-post
- Kryptering i hvile: tilgangstoken kryptert (Fernet) i løpet av revisjonen
- Hosting i Frankrike: OVH-infrastruktur (Frankrike)
- Tilgangskontroll: prinsippet om minste privilegium; personlige tilganger
- Beskyttelse mot misbruk: grense på 2 revisjoner/dag/tenant, anti-DDoS-tiltak
- Varsling av brudd: prosedyre i samsvar med art. 33 og 34 GDPR (varsling til CNIL innen 72 timer)
Tilpasning til flere rammeverk
Sikkerhetstiltakene i SYAGA Audit er utformet i tråd med flere anerkjente sikkerhetsrammeverk. SYAGA hevder ingen formell sertifisering på disse rammeverkene: tiltakene er tilpasset kravene i standarden ISO/IEC 27001, en sertifiseringsprosess er igangsatt, uten at sertifisering er oppnådd per i dag; tiltakene er tilpasset og inspirert av disse rammeverkene:
- GDPR (forordning (EU) 2016/679): direkte anvendelig rettslig grunnlag, eur-lex.europa.eu CELEX:32016R0679
- NIS2-direktivet (direktiv (EU) 2022/2555): tiltak for risikostyring, sikkerhet i nettverk og informasjonssystemer, eur-lex.europa.eu CELEX:32022L2555. SYAGA, hvis bemanning og omsetning ligger under terskelverdiene for «viktige enheter» i henhold til direktiv (EU) 2022/2555 (50 ansatte eller 10 mill. EUR), faller ikke inn under enheter som er underlagt NIS2. SYAGA Audit hjelper likevel sine kunder med å måle sin etterlevelse av dette rammeverket (kilde: monespacenis2.cyber.gouv.fr).
- DORA (forordning (EU) 2022/2554): digital operasjonell motstandsdyktighet for finanssektoren, eur-lex.europa.eu CELEX:32022R2554. Ettersom SYAGA ikke er en regulert finansenhet, gjelder ikke forordning (EU) 2022/2554 (DORA) direkte for selskapet; kontraktuelle forpliktelser kan likevel gjelde fra sak til sak når en kunde er en finansenhet underlagt DORA (kilde: eur-lex.europa.eu DORA).
- ISO/IEC 27001: referanserammeverk for styringssystemer for informasjonssikkerhet (ISMS), iso.org/standard/27001. Tiltakene i SYAGA Audit er tilpasset kravene i standarden ISO/IEC 27001, en sertifiseringsprosess er igangsatt, uten at sertifisering er oppnådd per i dag.
- ANSSI-anbefalinger: veiledning i digital hygiene og anbefalinger fra det franske cybersikkerhetsbyrået ANSSI, ssi.gouv.fr.
SYAGA Audit hjelper nettopp sine kunder med å måle sin egen etterlevelse av disse rammeverkene (GDPR, NIS2, ANSSI) i sitt Microsoft 365-miljø.
9. Endringer i denne policyen
Denne policyen kan oppdateres for å gjenspeile juridiske, regulatoriske eller tekniske endringer. Gjeldende versjon er den som publiseres på https://syaga.eu/confidentialite.html. Ved vesentlige endringer varsles registrerte brukere per e-post innen rimelig tid før endringene trer i kraft.
10. Kontakt
For spørsmål om denne policyen eller om beskyttelsen av dine data:
- E-post: contact@syaga.fr
- Adresse: SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Frankrike
Juridiske og dokumentariske referanser
- Forordning (EU) 2016/679 (GDPR), fulltekst: eur-lex.europa.eu CELEX:32016R0679
- Fransk lov nr. 78-17 av 6. januar 1978, endret: Légifrance
- CNIL, rettigheter for registrerte: cnil.fr
- CNIL, informasjonskapsler: cnil.fr
- NIS2-direktivet (EU) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
- DORA-forordningen (EU) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI, veiledning i digital hygiene: ssi.gouv.fr