Privatlivspolitik

SimpleEntra leveres af Zaulich ApS (CVR-nummer kommer ved registrering — udleveres til kontraktparter). Under GDPR er vi databehandler — jeres organisation (eller jeres MSP) er dataansvarlig. Vi behandler kun data efter instruktion fra dataansvarlig, dokumenteret i databehandleraftalen.

Vi læser Microsoft Graph-data fra jeres Entra ID-tenant via et sæt read-only Application-tilladelser. Konkret:

• Bruger-metadata (navn, UPN, seneste login, licens, MFA-registreringstatus)
• Enheds-metadata (OS, compliance-status, sidst set)
• Sign-in-logger (de seneste 30 dage)
• Conditional Access-politikker
• App-registreringer + service-principaler (metadata om hemmeligheder, ikke værdier)
• Sikkerhedssignaler — risikable brugere, risikohændelser

Vi læser aldrig mail, kalendere, OneDrive-filer, SharePoint-indhold, Teams-beskeder eller nogen brugergenereret indhold. Mail.Send, Mail.Read eller lignende eksisterer ikke i vores tilladelsessæt.

Vi behandler persondata på baggrund af databehandleraftalen med jer (dataansvarlig), efter art. 28 GDPR. Den dataansvarlige beslutter formål og midler. SimpleEntras formål er afgrænset til:

• Generering af sikkerhedsposture-rapporter
• Identifikation af konfigurationsrisici
• Mapping mod compliance-frameworks (NIS2, ISO 27001, DORA, CIS)
• Audit-trail af findings og aktioner

Alle persisterede data opbevares i Supabase Postgres i AWS eu-central-1 (Frankfurt). Data forlader aldrig EU. Supabase er certificeret under SOC 2 Type II og HIPAA.

Forbindelser mellem alle komponenter (kunde-browser → portal → database) er TLS 1.2+. Data i hvile er krypteret af Supabase (AES-256 via AWS KMS). Graph-tokens gemmes ikke permanent — de hentes frisk ved hvert kald via client credentials flow.

Data opbevares i 12 måneder fra seneste scanaktivitet. Derefter sletter et automatiseret job alt — scan-resultater, fund, sign-ins, enheder, brugere. Ingen soft-delete, ingen skygge-kopier.

Sletter I jeres tenant manuelt fra portalen, eller tilbagekalder admin-consent i Microsoft Entra, cascade-sletter vi alle tilknyttede data øjeblikkeligt.

Vi anvender følgende tredjepartsbehandlere. Listen er udtømmende — der er ingen andre.

• Supabase
  Postgres-database + autentificering · Region: EU-Frankfurt · Omfang: alle persisterede kundedata · DPA via Supabase
• Microsoft Graph
  Read-only dataindsamling fra jeres tenants region · Transient — data behandles under overførsel
• Anthropic (valgfri, slås fra som default)
  AI-forklaringer per fund hvis aktiveret af dataansvarlig · Omfang: kun fundets titel og beskrivelse · Aldrig brugerdata · Anthropic træner ikke på forretnings-API-kald
• Vercel
  Hosting af portal-frontend · Region: Frankfurt (fra1) · Behandler ingen kundedata persistent — kun request/response-stream

Vores fulde scan benytter Maester — et open source PowerShell-modul for Microsoft 365 security testing. Det kører lokalt i vores miljø; ingen kundedata sendes til Maester-projektet eller eksterne Maester-services. Maester er licenseret under MIT.

Vi mapper også til CIS Microsoft 365 Benchmarks, CISA SCuBA og EIDSCA — offentligt tilgængelige standarder. Vi opfinder ikke egne kontroller.

Vores DPA er baseret på Datatilsynets standardskabelon og kan underskrives inden for 24 timer efter henvendelse. Den er en obligatorisk forudsætning for produktionsbrug. Kontakt os for en kopi.

Som registreret har I ret til:

• Indsigt i jeres data (art. 15)
• Berigtigelse af forkerte data (art. 16)
• Sletning ("retten til at blive glemt", art. 17)
• Begrænsning af behandlingen (art. 18)
• Dataportabilitet (art. 20)
• Indsigelse (art. 21)

Henvendelser om disse rettigheder behandles primært af dataansvarlig (jeres MSP eller organisation). For tekniske spørgsmål om hvilke data SimpleEntra opbevarer kontakt os direkte — se nedenfor.

Vi bruger ingen tracking-cookies på simpleentra.dk. Ingen Google Analytics, ingen Meta Pixel, ingen reklame-trackere. Hvis vi tilføjer analytics senere, vil vi bruge en privacy-først løsning (Plausible eller lignende) og opdatere denne side.

Demo-portalen dev.portal.simpleentra.dk/demo sætter én teknisk cookie (simpleentra_demo) for at give jer adgang til demo-tenanten. Den udløber efter 4 timer.

Hvis vi opdager et brud på persondatasikkerheden der involverer jeres data, notificerer vi dataansvarlig uden unødig forsinkelse — senest 24 timer efter vi får kendskab til det. Notifikationen indeholder karakteren af bruddet, kategorier og omtrentligt antal af berørte registrerede, konsekvenser, og afhjælpende foranstaltninger.

Spørgsmål til datahåndtering, DPA, sletning eller rettigheder:

Mads Zaulich
Zaulich ApS
mail@zaulich.dk

Klager kan også indgives til Datatilsynet (datatilsynet.dk).