Version: 2.0
Giltig fr.o.m.: 2026-01-31
Policyägare: VD Pia Andersson
Policyansvarig: Aron Haglund, Kvalitets- och informationsansvarig
1. Syfte och mål
Syftet med denna informationssäkerhetspolicy är att säkerställa att Astrakan Strategisk Utbildning AB skyddar sina informationstillgångar samt kunders och deltagares information på ett strukturerat och riskbaserat sätt. Policyn ska säkerställa konfidentialitet, riktighet, tillgänglighet och spårbarhet i enlighet med god praxis.
2. Tillämpningsområde
Policyn gäller för hela Astrakans verksamhet och omfattar alla medarbetare, konsulter, system, processer och informationsbärare. Den reglerar hur information skapas, lagras, hanteras, delas och raderas.
Astrakan använder ett masterdatasystem där kund- och utbildningsdata är centrerad, vilket möjliggör export och radering av personuppgifter med ett knapptryck. Känslig eller säkerhetsklassad information hanteras inte i Astrakans egna system utan endast i kundens egen miljö. Om sådan information trots detta skickas till Astrakan raderas den omedelbart och kunden informeras om gällande policy.
3. Styrande principer
- Riskbaserat arbetssätt – säkerhetsåtgärder anpassas efter identifierade risker.
- Dataminimering – endast nödvändig information behandlas och lagras.
- Privacy by design – skydd av personuppgifter integreras i processer och system.
- Behovsprincip – åtkomst ges endast till den information som krävs för arbetsuppgiften.
- Transparens och spårbarhet – förändringar och incidenter ska kunna följas upp i efterhand.
4. Roller och ansvar
VD ansvarar för att policyn är beslutad och efterlevs. Ägare och VD godkänner policyn.
Kvalitets- och informationsansvarig ansvarar för policy, informationssäkerhetsarbete, uppföljning och revision.
System- och processägare ansvarar för säker hantering inom respektive område.
IT-drift och teknisk säkerhet hanteras av Asedo AB i enlighet med avtal.
Samtliga medarbetare ansvarar för att följa denna policy och rapportera incidenter.
Astrakan lagrar huvudsakligen kontaktuppgifter, kostpreferenser samt information om bokade och genomförda utbildningar. Uppgifter kopplade till utbildningar lagras i maximalt fem år och uppgifter kopplade till certifieringar lagras i maximalt tio år.
Astrakan hanterar inte säkerhetsklassad eller skyddsvärd information i egna system.
6. Riskhantering och mål
Risker identifieras, analyseras och hanteras löpande. Acceptansnivåer fastställs och dokumenteras. Säkerhetsrutiner uppdateras årligen och följs upp månadsvis.
7. Tekniska och organisatoriska säkerhetsåtgärder
Åtkomst till system skyddas med stark autentisering och multifaktorautentisering.
All kommunikation är krypterad och säkerhetskopiering sker regelbundet med geografisk redundans.
Loggning av förändringar och incidenter sker via ärendehanteringssystem.
Skydd mot skadlig kod finns installerat på samtliga klienter.
8. Incidenthantering
Incidenter dokumenteras och hanteras via interna ärendeflöden. Vid behov involveras IT-leverantör. Personuppgiftsincidenter hanteras enligt GDPR och rapporteras inom föreskrivna tidsramar.
9. Personuppgifter och registrerades rättigheter
Astrakan säljer eller köper aldrig personuppgifter. Registrerade har rätt att få tillgång till sina personuppgifter samt få dem raderade inom 24 timmar under vardagar.
All behandling av personuppgifter sker i enlighet med GDPR samt Astrakans cookie- och datapolicy.
10. Uppföljning och förbättring
Efterlevnaden av denna policy följs upp kontinuerligt och dokumenteras inför revision och auktorisation. Policyn revideras minst årligen eller vid behov.
11. Ikraftträdande
Denna informationssäkerhetspolicy är godkänd av VD och ägare och gäller tills vidare.
