SYAGA AuditMicrosoft 365 Edition
Hjem Funksjoner Sikkerhet Slik fungerer det Priser
Logg inn Start gratis diagnose

Databehandleravtale (DPA)

Inngått i henhold til artikkel 28 i forordning (EU) 2016/679 (GDPR) (kilde: gdpr-info.eu/art-28-gdpr)

Aktuell tjeneste: SYAGA Audit, sikkerhets- og etterlevelsesrevisjon av Microsoft 365, kun lesetilgang

Versjon: 1.0 - Dato: 27. juni 2026 - Ikrafttredelsesdato: 27. juni 2026


Identifikasjon av Partene

Databehandleren:

SYAGA CONSULTING, aksjeselskap (SARL) med en kapital på 20 000 euro, registrert i handelsregisteret i Aix-en-Provence under SIREN 518 489 471, stiftet 08.12.2009, representert ved daglig leder Sébastien Questier, med forretningsadresse 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Frankrike, utgiver av tjenesten SYAGA Audit, heretter kalt Databehandleren.

OG

Behandlingsansvarlig: Kunden som har abonnert på tjenesten SYAGA Audit i henhold til vilkårene tilgjengelig på cgu.html, med kontaktopplysningene oppgitt ved bestilling, heretter kalt Behandlingsansvarlig.

Heretter samlet kalt Partene.


Innledning

Denne databehandleravtalen (DPA) er inngått i henhold til artikkel 28 i GDPR, som krever at behandling utført av en databehandler på vegne av en behandlingsansvarlig skal reguleres av en avtale som fastsetter behandlingens gjenstand, varighet, art og formål, typen personopplysninger, kategoriene av registrerte personer, samt behandlingsansvarliges forpliktelser og rettigheter.

Denne databehandleravtalen (DPA) er tilknyttet SYAGA Audits alminnelige salgs- og tjenestevilkår (Hovedavtalen). Ved motstrid mellom denne DPA-en og Hovedavtalen om et spørsmål knyttet til databeskyttelse, går denne DPA-en foran. Ved motstrid knyttet til beskyttelse av personopplysninger går denne DPA-en foran brukervilkårene.

Ved å abonnere på tjenesten SYAGA Audit godtar Kunden vilkårene i denne DPA-en. Elektronisk aksept anses som aksept av DPA-en i samsvar med gjeldende bestemmelser for inngåelse av avtaler elektronisk.


Artikkel 1 - Formål og doktrine for tjenesten

Denne DPA-en fastsetter betingelsene for at databehandleren forplikter seg til å utføre, på vegne av og etter dokumentert instruks fra behandlingsansvarlig, de databehandlingsoperasjonene som er nødvendige for å levere tjenesten SYAGA Audit.

SYAGA Audit gjennomfører en sikkerhets- og etterlevelsesrevisjon av behandlingsansvarliges Microsoft 365-miljø med kun lesetilgang: Tjenesten skriver, endrer eller sletter ingen data i den reviderte tenanten.

Databehandleren følger en zero-knowledge-doktrine: innsamling og pseudonymisering utføres i kundens nettleser (utvidelse). Databehandleren mottar aldri rådata fra tenanten eller kundens Microsoft-tilgangstoken: kun pseudonymiserte avtrykk. Tokeniserte revisjonsresultater lagres i kundekontoen slik at Kunden kan åpne dem på nytt, så lenge kontoen er aktiv; de rekontekstualiseres i klartekst kun på Kundens egen enhet.


Artikkel 2 - Behandlingens art, formål og varighet

2.1 Operasjonenes art. Operasjonene består i: innsamling (lesing, minste privilegium) via Microsoft-API-ene, utført av en nettleserutvidelse som kjører på kundens enhet; lokal pseudonymisering; databehandlerens analyse av kun de pseudonymiserte avtrykkene opp mot sikkerhetsrammeverk (ANSSI, Microsoft-anbefalinger, GDPR, NIS2); tilbakeføring i form av rapporter rekontekstualisert på kundens enhet.

2.2 Eksklusivt formål. Formålet er å vurdere sikkerhets- og etterlevelsesposisjonen til behandlingsansvarliges Microsoft 365-tenant og produsere tilhørende revisjonsrapporter. Ingen andre formål (markedsføring, profilering, gjenbruk til databehandlerens egne formål) er tillatt.

2.3 Varighet. Behandlingen utføres gjennom hele gjennomføringsperioden for Hovedavtalen. Rådataene slettes umiddelbart ved levering av Rapporten.


Artikkel 3 - Kategorier av personopplysninger som behandles

Databehandleren behandler følgende datakategorier:

  • Konfigurasjonsdata og sikkerhetsmetadata: tenant-innstillinger, retningslinjer for betinget tilgang, MFA-konfigurasjon, administrative roller og rettigheter, delingsinnstillinger, aktiveringsstatus for sikkerhetsfunksjoner
  • Identitets- og katalogmetadata: kontoidentifikatorer (UPN), visningsnavn, gruppemedlemskap, katalogattributter relevante for revisjonen
  • Logger og metadata for sikkerhetshendelser: tilkoblingslogger, revisjonshendelser, metadata nødvendig for vurdering av kontrollene

Uttrykkelige unntak. Databehandleren behandler ikke innholdet i e-poster, filer eller dokumenter. Kun metadata og konfigurasjonsdata behandles.

Særlige kategorier. Behandlingen har ikke til formål å behandle særlige kategorier av data i henhold til artikkel 9 i GDPR. Behandlingsansvarlig forplikter seg til ikke å konfigurere tjenesten på en måte som fører til slik behandling.


Artikkel 4 - Kategorier av registrerte personer

De registrerte personene er innehavere av kontoer og identiteter i behandlingsansvarliges Microsoft 365-tenant: ansatte, ledere, administratorer, leverandører og gjester med en konto i den reviderte katalogen.


Artikkel 5 - Dokumenterte instruksjoner fra behandlingsansvarlig

Databehandleren behandler dataene kun etter dokumentert instruks fra behandlingsansvarlig (art. 28.3.a GDPR), også når det gjelder overføringer til et tredjeland, med mindre det foreligger en ufravikelig lovpålagt forpliktelse (i så fall varsles behandlingsansvarlig før behandlingen, med mindre loven forbyr dette).

Denne DPA-en, dens vedlegg og de alminnelige salgsvilkårene utgjør de opprinnelige dokumenterte instruksjonene. Databehandleren varsler umiddelbart behandlingsansvarlig hvis vedkommende mener en instruks utgjør et brudd på GDPR (art. 28.3, siste avsnitt GDPR).


Artikkel 6 - Konfidensialitet

Databehandleren sørger for at personer med tilgang til å behandle dataene forplikter seg til konfidensialitet eller er underlagt en hensiktsmessig lovpålagt konfidensialitetsplikt (art. 28.3.b GDPR), og mottar nødvendig opplæring i databeskyttelse. Denne forpliktelsen består etter at ansettelsesforholdet opphører og etter at denne DPA-en avsluttes.


Artikkel 7 - Sikkerhetstiltak (art. 32 GDPR) og tilpasning til rammeverk

Databehandleren iverksetter hensiktsmessige tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå tilpasset risikoen (art. 32 GDPR). Tiltakene som er på plass, omfatter blant annet:

  • Zero-knowledge-arkitektur: innsamling og pseudonymisering utføres i kundens nettleser (utvidelse); databehandleren mottar kun pseudonymiserte avtrykk; rådata fra tenanten og Microsoft-tokenet overføres aldri til databehandleren
  • Minste privilegium: tilkobling via Microsoft OAuth med de smaleste rettighetene Microsoft tilbyr for hvert omfang; Tjenesten skriver, endrer eller sletter aldri data i den reviderte tenanten
  • Kryptering under overføring: TLS 1.2/1.3 på all kommunikasjon; SPF, DKIM og DMARC aktivert
  • Microsoft-token: forlater aldri kundens nettleser; databehandleren mottar eller lagrer det aldri
  • Hosting i Frankrike: OVH-infrastruktur (Frankrike) driftet for SYAGA CONSULTING
  • Tilgangsstyring: prinsippet om minste privilegium; personlige tilganger; regelmessig gjennomgang
  • Anti-misbruk: grense på 2 revisjoner/dag/tenant; anti-DDoS-tiltak
  • Logging: sporbarhet for datatilganger
  • Regelmessige tester av effektiviteten til sikkerhetstiltakene

Tilpasning til anerkjente sikkerhetsrammeverk

Tiltakene ovenfor er utformet i tråd med følgende rammeverk. SYAGA hevder ingen formell sertifisering på disse rammeverkene: tiltakene er tilpasset kravene i standarden ISO/IEC 27001, en sertifiseringsprosess er igangsatt, uten at sertifisering er oppnådd per i dag; det dreier seg om en funksjonell tilpasning:

RammeverkRelevans for SYAGA AuditOffisiell kilde
GDPR (EU) 2016/679 Direkte anvendelig rettslig grunnlag. Art. 32: tekniske og organisatoriske tiltak. Flyktig arkitektur = minimeringstiltak i samsvar med art. 5.1.e. eur-lex.europa.eu CELEX:32016R0679
NIS2-direktivet (EU) 2022/2555 Tiltak for styring av cybersikkerhetsrisiko (art. 21 NIS2): driftskontinuitet, hendelseshåndtering, nettverkssikkerhet, kryptering. SYAGA Audit hjelper kunder med å vurdere sin egen NIS2-etterlevelse i M365-tenanten sin. SYAGA, hvis bemanning og omsetning ligger under terskelverdiene for «viktige enheter» i henhold til direktiv (EU) 2022/2555 (50 ansatte eller 10 mill. EUR), faller ikke inn under enheter som er underlagt NIS2. SYAGA Audit hjelper likevel sine kunder med å måle sin etterlevelse av dette rammeverket. eur-lex.europa.eu CELEX:32022L2555
DORA-forordningen (EU) 2022/2554 Digital operasjonell motstandsdyktighet for regulerte finansenheter. SYAGA Audit kan hjelpe finanskunder med å dokumentere sin DORA-posisjon i M365-tenanten sin. Ettersom SYAGA ikke er en regulert finansenhet, gjelder ikke DORA direkte for selskapet; kontraktuelle forpliktelser kan gjelde fra sak til sak for kunder i finanssektoren som er underlagt DORA. eur-lex.europa.eu CELEX:32022R2554
ISO/IEC 27001 ISMS-rammeverk: sikkerhetspolicy, risikostyring, tilgangskontroller, kryptering, logging. Tiltakene i SYAGA Audit er tilpasset de tilsvarende ISO 27002-kontrollene. Tiltakene i SYAGA Audit er tilpasset kravene i standarden ISO/IEC 27001, en sertifiseringsprosess er igangsatt, uten at sertifisering er oppnådd per i dag. iso.org/standard/27001
ANSSI-anbefalinger Veiledning i digital hygiene, anbefalinger for informasjonssikkerhet. Tiltak inspirert av ANSSIs anbefalinger om kontoadministrasjon, kryptering og logging. SYAGA Audit vurderer M365-konfigurasjoner opp mot ANSSIs anbefalinger. ssi.gouv.fr

Fullstendige detaljer om de tekniske og organisatoriske tiltakene finnes i vedlegg 1.


Artikkel 8 - Bruk av underleverandører

Behandlingsansvarlig godkjenner at databehandleren benytter underleverandørene oppført i vedlegg 2. Ved enhver ny underleverandør eller erstatning varsler databehandleren behandlingsansvarlig skriftlig minst tretti (30) dager før ikrafttredelse, og behandlingsansvarlig har en frist på tretti (30) dager til å motsette seg dette av rimelige grunner knyttet til databeskyttelse (art. 28.2 og 28.4 GDPR). Disse fristene og fremgangsmåtene gjelder med mindre annet er avtalt mellom Partene.

Databehandleren pålegger underleverandørene, gjennom kontrakt, de samme databeskyttelsesforpliktelsene som beskrevet i denne DPA-en (art. 28.4 GDPR) og forblir fullt ansvarlig overfor behandlingsansvarlig for deres oppfyllelse.


Artikkel 9 - Bistand til behandlingsansvarlig

9.1 Rettighetene til registrerte (art. 12 til 22 og 28.3.e GDPR). Databehandleren videresender uten opphold til behandlingsansvarlig enhver forespørsel om å utøve rettigheter mottatt direkte fra en registrert person, og bistår med å besvare den.

9.2 Sikkerhet og DPIA (art. 32 til 36 og 28.3.f GDPR). Databehandleren bistår behandlingsansvarlig med sikkerheten i behandlingen, gjennomføring av en personvernkonsekvensvurdering (DPIA) ved behov, og eventuell forhåndskonsultasjon med CNIL.

9.3 Datainnbrudd (art. 33 og 34 GDPR). Databehandleren varsler behandlingsansvarlig om ethvert datainnbrudd innen maksimalt førtiåtte (48) timer etter å ha blitt oppmerksom på det, så raskt som mulig, slik at behandlingsansvarlig kan overholde 72-timersfristen i artikkel 33 i GDPR, og gir relevant informasjon for eventuell varsling.


Artikkel 10 - Data ved avtalens opphør

Ved avslutning av denne DPA-en gjennomfører databehandleren, innen tretti (30) dager etter avtalens opphør, i henhold til behandlingsansvarliges skriftlig varslede valg (art. 28.3.g GDPR):

Merknad: på grunn av tjenestens flyktige arkitektur lagres ingen revisjonsdata etter at tjenesten er utført; kun fakturaopplysninger lagres i samsvar med lovpålagte forpliktelser (10 år).

  • enten tilbakeføring til behandlingsansvarlig av behandlede personopplysninger, i et strukturert format (JSON eller CSV avhengig av tilgjengelighet);
  • eller sikker sletting av samtlige data, inkludert kopier, med mindre det foreligger en lovpålagt oppbevaringsplikt.

I samsvar med tjenestens flyktige arkitektur er rå revisjonsdata allerede slettet ved levering av Rapporten. Databehandleren utsteder, på forespørsel, en attest for sletting.


Artikkel 11 - Revisjoner og kontroller

Databehandleren stiller til rådighet for behandlingsansvarlig all nødvendig informasjon for å dokumentere overholdelse av forpliktelsene i artikkel 28 GDPR, og muliggjør gjennomføring av revisjoner, inkludert inspeksjoner (art. 28.3.h GDPR).

Revisjoner er underlagt følgende betingelser: skriftlig varsel på minst tretti (30) virkedager, gjennomføring i åpningstiden, maksimal frekvens på én (1) revisjon per tolvmånedersperiode med mindre det foreligger ekstraordinære omstendigheter (særlig en bekreftet sikkerhetshendelse), kostnader dekkes av behandlingsansvarlig, konfidensialitet for innhentet informasjon.


Artikkel 12 - Overføringer utenfor EU

12.1 Hovedlokalisering. Dataene behandles og hostes i Frankrike. SYAGA CONSULTING er et selskap underlagt fransk rett. En indirekte eksponering for CLOUD Act via tredjepartsleverandører kan ikke utelukkes helt; SYAGA begrenser dette gjennom hosting i Frankrike (OVH SAS) og først og fremst gjennom pseudonymisering: tjenesten mottar kun tokens, aldri dataene dine i klartekst.

12.2 Bruk av Microsoft. Behandlingsansvarlig erkjenner at Microsoft Graph-API-et driftes av Microsoft Corporation (USA). Overføringer som involverer Microsoft, er regulert av standard kontraktsklausuler godkjent av EU-kommisjonen, og eventuelt EU-U.S. Data Privacy Framework. De reviderte dataene er kundens egen Microsoft 365-tenant, konsultert med kun lesetilgang på vegne av kunden via Microsoft Graph. Microsoft opptrer som leverandør til Kunden; SYAGA er ikke Microsofts underleverandør.

12.3 Generelle garantier. Enhver overføring utenfor EU gjennomført av databehandleren eller en underleverandør er betinget av at det finnes en gyldig mekanisme i henhold til kapittel V i GDPR (adekvansbeslutning, standard kontraktsklausuler eller annen hensiktsmessig garanti).


Artikkel 13 - Kontakt for databeskyttelse

Databehandler (SYAGA CONSULTING): kontaktpunkt for databeskyttelse, contact@syaga.fr. Det er ikke obligatorisk å utpeke et personvernombud i henhold til artikkel 37 i GDPR; ansvarlig for databeskyttelse er daglig leder, Sébastien Questier, kontaktpunkt for alle spørsmål knyttet til personopplysninger.

Behandlingsansvarlig: GDPR-kontakt utpekt av Kunden i henhold til egne forpliktelser.


Artikkel 14 - Varighet, endring og gjeldende rett

Denne DPA-en trer i kraft ved abonnement på tjenesten SYAGA Audit og forblir gyldig gjennom hele behandlingsperioden som utføres på vegne av behandlingsansvarlig.

Enhver vesentlig endring varsles behandlingsansvarlig på forhånd. Fortsatt bruk av tjenesten etter varslingsfristen anses som aksept av endringene. Disse endringsprosedyrene er i samsvar med kravene i artikkel 28 i GDPR for databehandleravtaler.

Denne DPA-en er underlagt fransk rett. Enhver tvist hører under domstolene i Aix-en-Provence, med forbehold om ufravikelige regler som gjelder for grensekryssende tvister.


Vedlegg 1 - Detaljert beskrivelse av behandlingen og sikkerhetstiltak (art. 32 GDPR)

ParameterBeskrivelse
FormålSikkerhets- og etterlevelsesrevisjon M365, produksjon av rapporter
DatakategorierKonfigurasjonsmetadata, identitetsmetadata (UPN, navn), sikkerhetslogger
Særlige kategorier (art. 9)Ingen
Registrerte personerKontoer og identiteter i Kundens Microsoft 365-tenant
Lagring på serversidenRådata fra tenanten: overføres aldri (pseudonymisering i nettleseren). Tokeniserte resultater: lagres i kundekontoen så lenge Kunden er aktiv.
BehandlingsstedFrankrike (SYAGA CONSULTING-infrastruktur)
Kryptering under overføringTLS 1.2/1.3, all kommunikasjon; SPF/DKIM/DMARC
Microsoft-tokenForlater aldri kundens nettleser; mottas aldri av databehandleren
ArkitekturInnsamling og pseudonymisering via en utvidelse i kundens nettleser; databehandleren analyserer kun avtrykk
TilgangsstyringPrinsippet om minste privilegium; personlige tilganger
Anti-misbrukGrense 2 revisjoner/dag/tenant; anti-DDoS
LoggingMinimale tekniske drifts- og sikkerhetslogger, uten personlige revisjonsdata, lagret i omtrent 12 måneder i samsvar med CNILs anbefalinger.
Tilpasning til sikkerhetsrammeverkTiltak tilpasset GDPR art. 32, ISO/IEC 27001 (en sertifiseringsprosess er igangsatt, uten at sertifisering er oppnådd per i dag), ANSSI-anbefalinger.

Vedlegg 2 - Liste over godkjente underleverandører

UnderleverandørTjenesteLokaliseringOverføringsgarantier
Microsoft Corporation Microsoft Graph-API, lesetilgang til konfigurasjonsdata om tenanten EU + USA (Microsoft-infrastruktur) Microsoft opptrer som leverandør til Kunden (ikke som SYAGAs underleverandør). Overføringer er regulert av EU-kommisjonens standard kontraktsklausuler og Microsofts deltakelse i EU-U.S. Data Privacy Framework.
OVH SAS (hosting, Roubaix, Frankrike) Hosting av SYAGA Audit-plattformen Frankrike Ikke relevant (EU)
Stripe Inc. Betaling, kun kundens fakturaopplysninger (ikke data fra tenanten) USA / EU EU-U.S. Data Privacy Framework (Stripe sertifisert), og subsidiært, EU-kommisjonens standard kontraktsklausuler (2021), Stripes Data Transfers Addendum.

Juridiske referanser

  • CNIL, databehandler, forpliktelser art. 28 GDPR: cnil.fr/fr/sous-traitant
  • Forordning (EU) 2016/679 (GDPR), artikkel 4, 9, 12 til 22, 28, 32 til 36: EUR-Lex CELEX:32016R0679
  • NIS2-direktivet (EU) 2022/2555, art. 21: EUR-Lex CELEX:32022L2555
  • DORA-forordningen (EU) 2022/2554: EUR-Lex CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI, veiledning i digital hygiene: ssi.gouv.fr
  • Fransk lov nr. 78-17 av 6. januar 1978, endret: Légifrance
SYAGA Audit
Sikkerhet Personvern CGU DPA Firmaopplysninger © 2026 SYAGA