Sidste år offentliggjorde Datatilsynet et helt nyt foranstaltningskatalog, som virksomheder og myndigheder kan bruge til at håndtere forskellige sikkerhedsrisici. Nu er der føjet en ny foranstaltning til dette katalog. Det ser nærmere på softwaretest med fokus på sikkerhed.
"GDPR stiller krav om et 'passende sikkerhedsniveau'. Det er jo meget overordnet, men kataloget over foranstaltninger er tænkt som en hjælp til at gøre det mere konkret. Test af software er en af de ting, man bør overveje, fordi det kan være med til at afdække, om der er sårbarheder i den software, man har fået udviklet," forklarer Walther Starup-Jensen, som er it-sikkerhedskonsulent i Datatilsynet.
Skrevet på baggrund af erfaringer fra brud
Da Datatilsynet offentliggjorde foranstaltningskataloget i 2023, modtog vi adskillige ønsker om at udvide det med konkrete emner. Særligt var der flere, som efterspurgte noget om test - og specifikt om sårbarhedstest og penetreringstest. Mange andre har skrevet om dette emne, men der blev efterspurgt noget, som havde bund i databeskyttelsesreglerne som en slags ”tekniske minimumskrav”.
Datatilsynet har en del praksis på dette område, og de har ofte bund i erfaringer fra brud på persondatasikkerheden, som er sket på grund af bl.a. mangelfuld test. Den nye foranstaltning begrænser sig ikke til sårbarheds- og penetreringstest, med beskriver mange typer af test, som kan være relevante at overveje. Når softwareudvikling ofte sker hos en leverandør, kan test eller krav til leverandørens test være den eneste måde at sikre, at den nye software udvikles med fokus på sikkerhed.
Foranstaltningsbeskrivelsen berører også dokumentation, fordi dokumentation af test kan være afgørende for at kunne påvise, om man har gjort tilstrækkeligt for at undgå sikkerhedsbrud.