Datatilsynet har udvidet sit foranstaltningskatalog med en ny foranstaltning om softwaretest med fokus på sikkerhed. Tiltaget omsætter kravet om et passende sikkerhedsniveau i GDPR til praktiske valg og kontroller og kan bruges af både myndigheder og virksomheder. Den nye beskrivelse findes her: softwaretest med fokus på sikkerhed.
Vejledningen bygger på erfaringer fra sager om brud på persondatasikkerheden, hvor utilstrækkelig test har været en medvirkende årsag. Den fremhæver ikke kun sårbarheds- og penetrationstest, men også andre relevante testtyper gennem softwarelivscyklussen. Når udvikling sker hos en leverandør, kan kontraktlige testkrav være afgørende for at sikre sikkerhed indbygget fra start.
Dokumentation er central: Planlægning, gennemførelse og resultater af test skal kunne påvises for at demonstrere efterlevelse ved tilsyn. Organisatorer bør derfor fastlægge testomfang, hyppighed, uafhængighed og bevisværdi, så både sikkerhedsniveau og ansvarlighed kan dokumenteres.
