SYAGA AuditMicrosoft 365 Edition
Start Funktioner Säkerhet Så fungerar det Priser
Logga in Starta min gratis diagnos

Integritetspolicy

Version 1.0 - Senast uppdaterad: 25 juni 2026


Inledning

Syftet med denna integritetspolicy är att informera användare och kunder av tjänsten SYAGA Audit om hur deras personuppgifter samlas in, behandlas och skyddas, i enlighet med förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter (GDPR) och den ändrade franska lagen nr 78-17 av den 6 januari 1978 om dataregister och friheter (Informatique et Libertés).

SYAGA Audit är en tjänst för säkerhets- och efterlevnadsgranskning av Microsoft 365-miljöer, som verkar i skrivskyddat läge mot konfigurationer och metadata i kundens Microsoft 365-tenant. Tjänsten kommer inte åt innehållet i meddelanden, filer eller e-post hos användarna i den granskade tenanten, och sparar inga lösenord.

Detta dokument uppfyller informationsskyldigheten enligt artikel 13 (direkt insamling) och artikel 14 (indirekt insamling) i GDPR.


1. Den personuppgiftsansvariges identitet och kontaktuppgifter

Personuppgiftsansvarig för konto- och kundrelationsdata är:

SYAGA CONSULTING

  • Bolagsform: aktiebolag med begränsat ansvar (SARL) med ett kapital på 20 000 EUR
  • SIREN: 518 489 471 -- RCS Aix-en-Provence
  • Säte: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
  • Momsregistreringsnummer inom EU: FR93 518489471
  • E-post: contact@syaga.fr

Förhållandet personuppgiftsbiträde / personuppgiftsansvarig: för konfigurationsdata och metadata från Microsoft 365-tenanten som samlas in under granskningen agerar SYAGA som personuppgiftsbiträde i den mening som avses i artikel 28 i GDPR, medan kunden förblir personuppgiftsansvarig för sina egna M365-data. Denna policy omfattar det område där SYAGA agerar som personuppgiftsansvarig (konto-, faktura- och supportdata). Den behandling som utförs för kundens räkning regleras av personuppgiftsbiträdesavtalet (DPA).

Kontakt för dataskydd

För alla frågor om skydd av personuppgifter: contact@syaga.fr

Att utse ett dataskyddsombud är inte obligatoriskt enligt artikel 37 i GDPR. Den personuppgiftsansvarige, i egenskap av verkställande direktör, är kontaktpunkten för alla frågor om personuppgifter.


2. Personuppgifter som samlas in

2.1 Konto- och kundrelationsdata

SYAGA samlar in, i egenskap av personuppgiftsansvarig:

  • Kontaktpersonens identitet: för- och efternamn, befattning
  • Yrkesmässiga kontaktuppgifter: e-postadress, firmanamn
  • Autentiseringsdata för Tjänsten (OAuth Microsoft-token -- inget lösenord sparas hos SYAGA Audit)
  • Faktura- och avtalshanteringsdata
  • Support- och kommunikationsdata
  • Tekniska anslutningsloggar (IP-adresser, tidsstämplar)

2.2 Granskningsdata (konfiguration och metadata från Microsoft 365)

Inom ramen för granskningen kommer Tjänsten, i skrivskyddat läge och via API:et Microsoft Graph, åt konfigurationsdata och metadata i kundens M365-tenant, bland annat:

  • Säkerhetskonfigurationsinställningar (policyer för villkorsstyrd åtkomst, MFA-inställningar, delningsinställningar)
  • Metadata om användarkonton (UPN, roller, MFA-status, katalogattribut i Entra ID)
  • Indikatorer och metadata om säkerhetsläge (Secure Score, konfigurationsvarningar)

Vad Tjänsten inte samlar in: innehåll i e-post, filer, dokument, meddelanden, lösenord, känsliga uppgifter i den mening som avses i artikel 9 i GDPR.

Efemär arkitektur: granskningen körs i arbetsminnet i en engångscontainer för skanning (ingen lagring på disk). Rapporten lämnas ut en gång till kunden, varefter skanningens råa data och åtkomsttoken raderas. Token krypteras i vila (Fernet) under granskningens varaktighet. Maximal säkerhets-TTL: 2 timmar. SYAGA sparar på serversidan enbart faktureringsdata, i enlighet med gällande lagstadgade skyldigheter.

2.3 Cookies och spårare

Webbplatsen syaga.eu använder endast cookies som är strikt nödvändiga för Tjänstens funktion:

  • __jsc: säkerhetscookie mot bottar, sessionens varaktighet
  • vigil_audit: sessionscookie, sessionens varaktighet

Ingen cookie för besöksstatistik (Google Analytics, Matomo eller motsvarande) och ingen reklamcookie placeras. Dessa strikt nödvändiga cookies är undantagna från krav på förhandssamtycke i enlighet med CNIL:s riktlinjer av den 4 juli 2023 (källa: cnil.fr -- cookies och spårare). En informationsnotis om dessa cookies är tillräcklig.


3. Ändamål och rättsliga grunder för behandlingen

I enlighet med artikel 6 i GDPR grundar sig varje behandling på en identifierad rättslig grund:

ÄndamålRättslig grund (Art. 6 GDPR)
Tillhandahållande och utförande av granskningstjänsten; skapande och hantering av kundkontotFullgörande av avtal -- Art. 6.1.b
Fakturering, bokföring, indrivningLagstadgad skyldighet (den franska handelslagen art. L.123-22) och fullgörande av avtal -- Art. 6.1.c och 6.1.b
Support och teknisk assistansFullgörande av avtal -- Art. 6.1.b
Tjänstens säkerhet, förebyggande av bedrägeri, loggningBerättigat intresse -- Art. 6.1.f
Strikt nödvändiga cookiesUndantagna från samtyckeskrav (CNIL:s riktlinjer)

För granskningsdata från tenanten (avsnitt 2.2) agerar SYAGA på kundens instruktion (personuppgiftsansvarig). Se DPA.


4. Mottagare och personuppgiftsbiträden

Uppgifterna lämnas endast ut till behöriga personer inom SYAGA CONSULTING samt till personuppgiftsbiträden som agerar enligt villkoren i artikel 28 i GDPR:

  • Microsoft Corporation: leverantör av API:et Microsoft Graph, som används i skrivskyddat läge för att komma åt konfigurationsdata i kundens tenant. De data som granskas är Kundens egen Microsoft 365-tenant, som läses för Kundens räkning via Microsoft Graph. Microsoft agerar som Kundens leverantör; SYAGA är inte något underbiträde till Microsoft i detta avseende.
  • Stripe Inc.: betalningsleverantör för behandling av faktureringsdata. Överföringar till Stripe regleras av EU-U.S. Data Privacy Framework, som Stripe är certifierat enligt, och i andra hand av Europeiska kommissionens standardavtalsklausuler (2021) som ingår i Stripes Data Transfers Addendum (källor: stripe.com/legal/dpa och stripe.com/legal/dta).
  • Driftleverantör: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Frankrike (RCS Lille Métropole 424 761 419). Tjänsten driftas i Frankrike av OVH SAS (fransk hosting-leverantör), tekniskt personuppgiftsbiträde till SYAGA CONSULTING. SYAGA CONSULTING tar endast emot pseudonymiserade data (tokens).

Ingen data säljs eller överlåts till tredje part i kommersiellt syfte.

Uppgifterna kan lämnas ut till förvaltningsmyndigheter eller domstolar när lagen kräver det.


5. Lagringstider

Uppgifterna sparas inte längre än vad som är nödvändigt för de ändamål de samlats in för (art. 5.1.e GDPR):

DatakategoriLagringstid
Rådata från granskningen (findings, åtkomsttoken)Ingen lagring på serversidan: raderas när Rapporten levereras (efemär arkitektur, maximal TTL 2 timmar)
Data för aktivt kundkontoUnder avtalsförhållandets löptid, därefter radering inom 30 dagar efter uppsägning
Faktureringsdata och räkenskapshandlingar10 år från räkenskapsårets utgång (lagstadgad skyldighet, art. L.123-22 i den franska handelslagen)
Tekniska loggar (anslutningsloggar)12 månader (CNIL:s rekommendation)

6. Dataöverföringar utanför Europeiska unionen

Infrastrukturen som driftar tjänsten SYAGA Audit finns i Frankrike. I princip görs ingen dataöverföring utanför EU/EES av SYAGA.

Angående Microsoft: den personuppgiftsansvarige är medveten om att API:et Microsoft Graph drivs av Microsoft Corporation (USA). Eventuella överföringar som involverar Microsoft regleras av Microsofts standardavtalsklausuler godkända av Europeiska kommissionen och, i förekommande fall, av Microsofts deltagande i ramverket EU-U.S. Data Privacy Framework. De data som granskas är Kundens egen Microsoft 365-tenant, som läses för Kundens räkning via Microsoft Graph. Microsoft agerar som Kundens leverantör. Eventuella överföringar som involverar Microsofts infrastruktur regleras av standardavtalsklausulerna godkända av Europeiska kommissionen och Microsofts deltagande i ramverket EU-U.S. Data Privacy Framework.

Stripe Inc. genomför överföringar utanför EU som regleras av mekanismer i enlighet med kapitel V i GDPR. Överföringar till Stripe regleras av EU-U.S. Data Privacy Framework, som Stripe är certifierat enligt, och i andra hand av Europeiska kommissionens standardavtalsklausuler (2021) som ingår i Stripes Data Transfers Addendum.


7. De registrerades rättigheter

I enlighet med artiklarna 15-22 i GDPR har varje registrerad person följande rättigheter:

  • Rätt till tillgång (art. 15 GDPR): få bekräftat att uppgifter om personen behandlas och få en kopia av dem
  • Rätt till rättelse (art. 16): få felaktiga eller ofullständiga uppgifter korrigerade
  • Rätt till radering (art. 17): få sina uppgifter raderade i de fall som föreskrivs i GDPR
  • Rätt till begränsning av behandlingen (art. 18)
  • Rätt till dataportabilitet (art. 20): få ut sina uppgifter i ett strukturerat, maskinläsbart format
  • Rätt att invända (art. 21): invända mot behandlingen av skäl som hänför sig till den registrerades särskilda situation, samt när som helst mot direktmarknadsföring
  • Rätt att återkalla samtycke (art. 7.3) när som helst när behandlingen grundas på samtycke
  • Rätt att fastställa riktlinjer efter dödsfall (art. 85 i den franska dataskyddslagen Informatique et Libertés): fastställa riktlinjer för vad som ska hända med uppgifterna efter dödsfallet

Viktigt gällande granskningsdata: för konfigurationsdata och metadata i tenanten ska begäranden om att utöva sina rättigheter riktas till kunden (personuppgiftsansvarig), som vid behov vänder sig till SYAGA (art. 28.3.e GDPR).

Så utövar du dina rättigheter

Dessa rättigheter utövas genom att skicka en begäran till contact@syaga.fr eller per post till SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Svar lämnas inom en månad (art. 12.3 GDPR), vilket kan förlängas med två månader vid komplexa ärenden.

Klagomål till CNIL

Varje registrerad person har rätt att lämna in ett klagomål till CNIL (art. 77 GDPR):

CNIL -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 -- www.cnil.fr


8. Datasäkerhet (art. 32 GDPR)

SYAGA vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är anpassad till risken (art. 32 GDPR):

  • Efemär arkitektur: granskningen körs i arbetsminnet, en engångscontainer för skanning utan lagring på disk; rådata raderas när Rapporten levereras
  • Minsta möjliga behörighet: inloggning via OAuth Microsoft med de snävaste behörigheter som Microsoft erbjuder för varje granskat område; Tjänsten skriver, ändrar eller raderar aldrig någon data i tenanten
  • Kryptering under överföring: TLS 1.2/1.3 för all kommunikation; SPF, DKIM och DMARC aktiverat för e-post
  • Kryptering i vila: åtkomsttoken krypterad (Fernet) under granskningens varaktighet
  • Drift i Frankrike: infrastruktur från OVH (Frankrike)
  • Åtkomstkontroll: principen om minsta möjliga behörighet; personliga behörigheter
  • Skydd mot missbruk: tak på 2 granskningar/dag/tenant, skydd mot DDoS
  • Anmälan av personuppgiftsincidenter: förfarande i enlighet med art. 33 och 34 GDPR (anmälan till CNIL inom 72 timmar)

Koppling till flera regelverk

Säkerhetsåtgärderna i SYAGA Audit är utformade i linje med flera erkända säkerhetsramverk. SYAGA gör inte anspråk på någon formell certifiering mot dessa ramverk. Åtgärderna är i linje med kraven i standarden ISO/IEC 27001, ett certifieringsarbete har inletts, utan att någon certifiering har erhållits i dagsläget. Åtgärderna är i linje med och inspirerade av dessa ramverk:

  • GDPR (förordning (EU) 2016/679): direkt tillämplig rättslig grund -- eur-lex.europa.eu CELEX:32016R0679
  • NIS2-direktivet (direktiv (EU) 2022/2555): riskhanteringsåtgärder, säkerhet i nätverks- och informationssystem -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, vars personalstyrka och omsättning ligger under tröskelvärdena för viktiga entiteter enligt direktiv (EU) 2022/2555 (50 anställda eller 10 miljoner EUR), omfattas inte av NIS2:s tillämpningsområde. SYAGA Audit hjälper dock sina kunder att mäta sin egen efterlevnad av detta regelverk (källa: monespacenis2.cyber.gouv.fr).
  • DORA (förordning (EU) 2022/2554): digital operativ motståndskraft för finanssektorn -- eur-lex.europa.eu CELEX:32022R2554. Eftersom SYAGA inte är en reglerad finansiell entitet är förordning (EU) 2022/2554 (DORA) inte direkt tillämplig på SYAGA. Avtalsmässiga skyldigheter kan dock uppstå i enskilda fall när en kund är en finansiell entitet som omfattas av DORA (källa: eur-lex.europa.eu DORA).
  • ISO/IEC 27001: referensramverk för ledningssystem för informationssäkerhet (LIS) -- iso.org/standard/27001. Åtgärderna i SYAGA Audit är i linje med kraven i standarden ISO/IEC 27001, ett certifieringsarbete har inletts, utan att någon certifiering har erhållits i dagsläget.
  • ANSSI:s rekommendationer: handledning i IT-hygien och rekommendationer från den franska myndigheten för nät- och informationssäkerhet (Agence nationale de la sécurité des systèmes d'information) -- ssi.gouv.fr.

SYAGA Audit hjälper just sina kunder att mäta sin egen efterlevnad av dessa regelverk (GDPR, NIS2, ANSSI) i sin Microsoft 365-miljö.


9. Ändringar av denna policy

Denna policy kan komma att uppdateras för att spegla ändringar i lagstiftning, regelverk eller teknik. Den gällande versionen är den som publiceras på https://syaga.eu/confidentialite.html. Vid en väsentlig ändring informeras registrerade användare via e-post inom rimlig tid innan ändringarna träder i kraft.


10. Kontakt

För frågor om denna policy eller om skyddet av dina uppgifter:

  • E-post: contact@syaga.fr
  • Adress: SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc

Rättsliga och dokumentära referenser

  • Förordning (EU) 2016/679 (GDPR) -- fullständig text: eur-lex.europa.eu CELEX:32016R0679
  • Fransk lag nr 78-17 av den 6 januari 1978 i ändrad lydelse: Légifrance
  • CNIL -- de registrerades rättigheter: cnil.fr
  • CNIL -- cookies: cnil.fr
  • NIS2-direktivet (EU) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
  • DORA-förordningen (EU) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI -- Handledning i IT-hygien: ssi.gouv.fr
SYAGA Audit
Säkerhet Integritetspolicy Allmänna villkor DPA Juridisk information © 2026 SYAGA