Säkerhet & compliance - Liisas Underland

Säkerhet & Compliance

Säkerhet och skydd av information

Vi värnar om trygg hantering av ekonomisk information och personuppgifter i enlighet med gällande regelverk. Denna sida beskriver hur Vollbehr Finans AB arbetar med tekniska och organisatoriska säkerhetsåtgärder för att skydda information i vår verksamhet.

Säkerhet i alla led

Vollbehr Finans AB arbetar med ekonomisk information och personuppgifter som ofta är känsliga för både individer och organisationer. Vi använder därför riskbaserade tekniska och organisatoriska säkerhetsåtgärder för att skydda information mot obehörig åtkomst, förlust, ändring och otillåten spridning.

GDPR och EU AI Act-compliance
ISO 27001-aligned säkerhetspraxis
Regelbundna säkerhetsrevisioner

Denna sida beskriver våra säkerhetsprinciper på en övergripande nivå. Detaljerade kontroller och konfigurationer hålls i intern dokumentation och hos våra leverantörer.

Efterlevnad

Vår säkerhetsstyrning utgår från:

GDPR och svensk dataskyddslagstiftning
Riskbaserade säkerhetsprinciper och vedertagna branschpraxis

Om vi använder AI-baserade funktioner som behandlar personuppgifter eller påverkar individer på ett betydande sätt beskriver vi detta tydligt i vår integritetsinformation och säkerställer nödvändig riskbedömning och styrning.

Informationsklassning

Vi klassar information för att säkerställa rätt skyddsnivå.

Konfidentiell: ekonomiska underlag, bokföringsmaterial, personuppgifter, avtal, känslig organisationsinformation (t.ex. gåvogivare, personaluppgifter). Exempel på krav: åtkomstbegränsning, stark autentisering, kryptering vid överföring, loggning och behörighetsstyrning.
Intern: arbetsdokument, interna rutiner, mötesanteckningar, affärsprocesser. Exempel på krav: endast företagskonton, kontrollerad delning, autentisering.

Åtkomst och behörigheter

Vi arbetar enligt principen om minsta privilegium:

Rollbaserad åtkomst där det är möjligt
Regelbunden genomgång av behörigheter
Snabb avveckling av åtkomst vid avslut av uppdrag/anställning

Infrastruktur och molntjänster

Vi använder en molnbaserad produktivitetsplattform.

All kommunikation och filhantering sker via enterprise-grade molnplattform
MFA och åtkomstloggning är obligatoriskt för alla användare
Kryptering vid överföring och i vila (TLS 1.3, AES-256)

Vi arbetar med DNS-säkerhet för våra domäner.

DNSSEC aktiverat för alla domäner (DNS Security Extensions)
Skydd mot DNS-spoofing och cache poisoning
Regelbunden övervakning av DNS-konfiguration

Webbplats och externa tjänster

Vi strävar efter att driva webbplatsen med god säkerhetshygien, t.ex. krypterad anslutning och uppdaterad plattform.

Om externa tjänster används bedömer vi leverantörer och använder avtal och inställningar som är lämpliga för dataskydd.

Kommunikation och e-postsäkerhet

E-post är en vanlig riskyta. Vi använder därför skydd för att motverka spoofing och phishing, samt rutiner för att undvika att känsliga uppgifter sprids fel.

Exempel på åtgärder:

Domänskydd (t.ex. SPF/DKIM/DMARC) där det är tillämpligt
Rutiner för verifiering vid känsliga instruktioner (t.ex. ändring av bankuppgifter)

Enheter och arbetsmiljö

För att minska risken vid förlust, stöld eller intrång använder vi kontroller för slutanvändarenheter och arbetsflöden, såsom:

Låsskärm och uppdaterad programvara
Krypterad lagring när det krävs av system/leverantör
Säker hantering av filer och delning via godkända tjänster

Backup, kontinuitet och återställning

Vi arbetar för att kunna återställa verksamhetskritisk information vid incident. Backup- och återställningsrutiner kan variera beroende på system och leverantör.

Exempel på rutiner:

Rutiner anpassas per system och leverantör
Återställning testas vid behov
Kontaktvägar och rutiner för driftstörningar dokumenteras

Incidenthantering

Vi har rutiner för att upptäcka, hantera och dokumentera säkerhetsincidenter. Vid personuppgiftsincidenter hanterar vi anmälan och kommunikation enligt GDPR:s krav.

Exempel på moment:

Bedömning av om incidenten ska anmälas till Integritetsskyddsmyndigheten (IMY)
Kommunikation till berörda när det krävs
Dokumentation av händelse och åtgärder

Leverantörer och personuppgiftsbiträden

Vi använder etablerade leverantörer för IT-tjänster. När en leverantör behandlar personuppgifter för vår räkning säkerställer vi normalt:

För konsult- och specialistleverantörer som inte är plattformsleverantörer kan certifieringar saknas; i sådana fall gör vi en riskbedömning och ställer relevanta krav i avtal.

Personuppgiftsbiträdesavtal (DPA)
Uppföljning av relevanta säkerhetsåtgärder och villkor

AI och styrning

I vårt arbete med digitalisering och AI, inklusive AI-tjänster i vår plattform (t.ex. GPT-baserade tjänster), följer vi EU:s AI-förordning (EU AI Act) som trädde i kraft 2024.

EU AI Act-compliance med förbjudna användningar
Privat databehandling utan AI-träning
Mänsklig översyn för alla kritiska beslut

Särskilda hänsyn för kyrkor och missionsorganisationer

Vi är medvetna om att vissa uppgifter kan vara extra känsliga i denna sektor, exempelvis givarlistor, personaluppgifter och information kopplad till internationellt arbete. Därför tillämpas dataminimering, åtkomstbegränsning och konfidentialitet med särskild omsorg när uppdragets natur kräver det.