DAEN

MENU

God behandlingssikkerhed indebærer test af systemer og software

Datatilsynet har udtalt alvorlig kritik af flere myndigheder, fordi de ikke har levet op til kravet om behandlingssikkerhed, bl.a. på grund af manglende test.

Datatilsynet har udtalt alvorlig kritik af flere myndigheder, fordi de ikke har levet op til kravet om behandlingssikkerhed, bl.a. på grund af manglende test.

Manglende tests fører til alvorlig kritik

Datatilsynet har i tre afgørelser fra henholdsvis februar, maj og juni 2022 udtalt alvorlig kritik af myndigheder for manglende overholdelse af kravet om behandlingssikkerhed, idet myndighederne ikke havde gennemført test i forbindelse med tilpasning og opdatering af systemer og software. I afgørelsen fra februar meddelte Datatilsynet desuden myndigheden et påbud og udstedte en advarsel efter databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Afgørelserne viser, at det er Datatilsynets opfattelse, at der i kravet om passende sikkerhed i artikel 32 ligger en forpligtelse til at teste systemer og software, hvor der behandles personoplysninger, inden tilpasninger og opdateringer implementeres.

Datatilsynets krav til gennemførelsen af tests

Datatilsynet har i alle tre afgørelser desuden udtalt sig mere generelt om, hvad der ligger i denne testforpligtelse.

For det første har Datatilsynet udtalt, at artikel 32 indebærer, at der i samfundskritiske systemer stilles høje krav til den dataansvarlige, idet denne skal sikre, at der ikke utilsigtet ændres i personoplysninger, som kan have alvorlige konsekvenser for de registrerede. Dataansvarlige for sådanne systemer bør derfor udføre test og kvalitetskontrol af kodeændringernes indvirkning på integrerede systemer og gennemføre nødvendige tests, inden ændringerne sættes i produktion.

For det andet har Datatilsynet udtalt, at artikel 32 indebærer, at en dataansvarlig som led i arbejdet med udvikling og tilpasning af it-løsninger, hvor der behandles personoplysninger, skal sikre test af løsningerne inden implementering for på den måde at kunne identificere forhold, som kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.

For det tredje har Datatilsynet udtalt, at artikel 32 indebærer, at alle sandsynlige fejlscenarier bør testes i forbindelse med udvikling og ændring af software, hvor der behandles personoplysninger, og at en dataansvarlig efter artikel 32 også er ansvarlig for, at de ændringer i et system, som en eventuel tredjepart kan foretage, bliver testet.

Planlæg dine tests

På baggrund af Datatilsynets tre afgørelser – samt Datatilsynets generelle fokus på kravet om behandlingssikkerhed – skal dataansvarlige være særligt opmærksomme på og gennemføre test af software og systemer inden implementering af tilpasninger, opdateringer og ændringer.

Dette kan f.eks. gøres ved, at du som dataansvarlig implementerer en overordnet teststrategi. En sådan teststrategi skal tage højde for, hvordan og hvornår testen skal gennemføres for forskellige systemer og software. En teststrategi bør som minimum indeholde krav om, at der gennemføres test før idriftsættelsen af nye systemer og software, eller ved ændringer i eksisterende systemer og software.

Når den konkrete test skal gennemføres, skal det vurderes hvilke risikoscenarier, der kan være ved den konkrete behandling, og der skal derefter fastsættes en række testcases, der tager højde for disse scenarier.

Hvilke tests, der skal gennemføres – og særligt hvilke scenarier, der skal testes – vil afhænge af den konkrete behandlingssituation, men det er typisk relevant at teste funktioner som

  • Bruger- og adgangsstyring.
  • Logning.
  • Dataindsamling og -udveksling, herunder i forhold til datakvalitet og -integritet.

Har du som dataansvarlig et system, der integrerer til andre systemer, skal du i din teststrategi også tage højde for, hvordan tilpasninger og opdateringer i et system kan påvirke de øvrige systemer. Du bør derfor indtænke, hvordan du sikrer, at du orienterer de ansvarlige for de systemer, du integrerer med, om dine tilpasninger og opdateringer, og hvordan du får information om tilpasninger og opdateringer, der sker i de øvrige systemer.

TILMELD DIG VORES NYHEDSBREVE

Mere end 20.000 personer abonnerer på vores nyhedsbreve og modtager løbende vores juridiske nyheder og publikationer. Nyhedsbrevene giver også et overblik over vores kurser, webinarer og netværksmøder, og fra tid til anden indeholder de information om særlige arrangementer inden for de områder, du interesserer dig for. Vi ser frem til at dele vores viden om juridiske emner med dig.