• Tjänster
  • Blogg
  • Om oss
  • Kontakt

Säkerhet & Compliance

Säkerhet och skydd av information

Vi värnar om trygg hantering av ekonomisk information och personuppgifter i enlighet med gällande regelverk. Denna sida beskriver hur Vollbehr Finans AB arbetar med tekniska och organisatoriska säkerhetsåtgärder för att skydda information i vår verksamhet.

Översikt

Omfattande skydd för känsliga ekonomiska uppgifter.

Säkerhet i alla led

Vollbehr Finans AB arbetar med ekonomisk information och personuppgifter som ofta är känsliga för både individer och organisationer. Vi använder därför riskbaserade tekniska och organisatoriska säkerhetsåtgärder för att skydda information mot obehörig åtkomst, förlust, ändring och otillåten spridning.

  • GDPR och EU AI Act-compliance
  • ISO 27001-aligned säkerhetspraxis
  • Regelbundna säkerhetsrevisioner

Denna sida beskriver våra säkerhetsprinciper på en övergripande nivå. Detaljerade kontroller och konfigurationer hålls i intern dokumentation och hos våra leverantörer.

Efterlevnad

GDPR och riskbaserade säkerhetsprinciper.

Efterlevnad

Vår säkerhetsstyrning utgår från:

  • GDPR och svensk dataskyddslagstiftning
  • Riskbaserade säkerhetsprinciper och vedertagna branschpraxis

Om vi använder AI-baserade funktioner som behandlar personuppgifter eller påverkar individer på ett betydande sätt beskriver vi detta tydligt i vår integritetsinformation och säkerställer nödvändig riskbedömning och styrning.

Informationsklassning

Klassning och skyddsnivåer.

Informationsklassning

Vi klassar information för att säkerställa rätt skyddsnivå.

  • Konfidentiell: ekonomiska underlag, bokföringsmaterial, personuppgifter, avtal, känslig organisationsinformation (t.ex. gåvogivare, personaluppgifter). Exempel på krav: åtkomstbegränsning, stark autentisering, kryptering vid överföring, loggning och behörighetsstyrning.
  • Intern: arbetsdokument, interna rutiner, mötesanteckningar, affärsprocesser. Exempel på krav: endast företagskonton, kontrollerad delning, autentisering.
  • Publik: material avsett för offentlig publicering

Vi genomför löpande inventering av system och informationsmängder, samt årlig översyn av var information lagras och vilka leverantörer som används.

Åtkomst och behörigheter

Principen om minsta privilegium.

Åtkomst och behörigheter

Vi arbetar enligt principen om minsta privilegium:

  • Rollbaserad åtkomst där det är möjligt
  • Regelbunden genomgång av behörigheter
  • Snabb avveckling av åtkomst vid avslut av uppdrag/anställning
  • Stark autentisering (t.ex. MFA) för konton med åtkomst till konfidentiell information
Infrastruktur

Enterprise molntjänster och säker hosting.

Infrastruktur och molntjänster

Vi använder en molnbaserad produktivitetsplattform.

  • All kommunikation och filhantering sker via enterprise-grade molnplattform
  • MFA och åtkomstloggning är obligatoriskt för alla användare
  • Kryptering vid överföring och i vila (TLS 1.3, AES-256)
  • Kunddata som lagras hos plattformsleverantörer hanteras av ISO 27001-certifierade leverantörer

Vi arbetar med DNS-säkerhet för våra domäner.

  • DNSSEC aktiverat för alla domäner (DNS Security Extensions)
  • Skydd mot DNS-spoofing och cache poisoning
  • Regelbunden övervakning av DNS-konfiguration
Webbplats & externa tjänster

Säker webbdrift och leverantörsbedömning.

Webbplats och externa tjänster

Vi strävar efter att driva webbplatsen med god säkerhetshygien, t.ex. krypterad anslutning och uppdaterad plattform.

Om externa tjänster används bedömer vi leverantörer och använder avtal och inställningar som är lämpliga för dataskydd.

Kommunikation & e-post

Skydd mot spoofing och phishing.

Kommunikation och e-postsäkerhet

E-post är en vanlig riskyta. Vi använder därför skydd för att motverka spoofing och phishing, samt rutiner för att undvika att känsliga uppgifter sprids fel.

Exempel på åtgärder:

  • Domänskydd (t.ex. SPF/DKIM/DMARC) där det är tillämpligt
  • Rutiner för verifiering vid känsliga instruktioner (t.ex. ändring av bankuppgifter)
  • Säkra kanaler för delning av konfidentiella dokument när det behövs
Enheter

Kontroller för enheter och distansarbete.

Enheter och arbetsmiljö

För att minska risken vid förlust, stöld eller intrång använder vi kontroller för slutanvändarenheter och arbetsflöden, såsom:

  • Låsskärm och uppdaterad programvara
  • Krypterad lagring när det krävs av system/leverantör
  • Säker hantering av filer och delning via godkända tjänster
  • Rutiner för säker hantering vid arbete på distans
Backup

Återställning och kontinuitet.

Backup, kontinuitet och återställning

Vi arbetar för att kunna återställa verksamhetskritisk information vid incident. Backup- och återställningsrutiner kan variera beroende på system och leverantör.

Exempel på rutiner:

  • Rutiner anpassas per system och leverantör
  • Återställning testas vid behov
  • Kontaktvägar och rutiner för driftstörningar dokumenteras
Incidenthantering

Rutiner enligt GDPR vid incidenter.

Incidenthantering

Vi har rutiner för att upptäcka, hantera och dokumentera säkerhetsincidenter. Vid personuppgiftsincidenter hanterar vi anmälan och kommunikation enligt GDPR:s krav.

Exempel på moment:

  • Bedömning av om incidenten ska anmälas till Integritetsskyddsmyndigheten (IMY)
  • Kommunikation till berörda när det krävs
  • Dokumentation av händelse och åtgärder
Leverantörer

DPA och leverantörsuppföljning.

Leverantörer och personuppgiftsbiträden

Vi använder etablerade leverantörer för IT-tjänster. När en leverantör behandlar personuppgifter för vår räkning säkerställer vi normalt:

För konsult- och specialistleverantörer som inte är plattformsleverantörer kan certifieringar saknas; i sådana fall gör vi en riskbedömning och ställer relevanta krav i avtal.

  • Personuppgiftsbiträdesavtal (DPA)
  • Uppföljning av relevanta säkerhetsåtgärder och villkor
  • Bedömning av underbiträden och (vid behov) överföringsmekanismer vid behandling utanför EU/EES

Observera att eventuella certifieringar (t.ex. ISO 27001/SOC-rapporter) avser leverantörens kontrollmiljö, om inte annat uttryckligen anges.

AI och styrning

Transparens, mänsklig översyn och riskbedömning.

AI och styrning

I vårt arbete med digitalisering och AI, inklusive AI-tjänster i vår plattform (t.ex. GPT-baserade tjänster), följer vi EU:s AI-förordning (EU AI Act) som trädde i kraft 2024.

  • EU AI Act-compliance med förbjudna användningar
  • Privat databehandling utan AI-träning
  • Mänsklig översyn för alla kritiska beslut
Kyrkor & Mission

Gåvosekretess och missionärs säkerhet.

Särskilda hänsyn för kyrkor och missionsorganisationer

Vi är medvetna om att vissa uppgifter kan vara extra känsliga i denna sektor, exempelvis givarlistor, personaluppgifter och information kopplad till internationellt arbete. Därför tillämpas dataminimering, åtkomstbegränsning och konfidentialitet med särskild omsorg när uppdragets natur kräver det.

Liisas Underland är ett särskilt företagsnamn för Vollbehr Finans AB, organisationsnummer 559551-8019, med säte i Floda.

Tjänster
InterimstödRutiner & utbildningDigitalisering & AITransparens & styrning
Om Oss
Bakgrund, vision och erbjudande
LinkedInKontakt

© 2026 Vollbehr Finans AB. Alla rättigheter förbehålls.

Behandling av personuppgifter·Säkerhet