[ GDPR – Persondata og test af IT-systemer ]

Det kan give god mening at anvende konkrete forretningsdata fra den dataansvarlige i forbindelse med test og udvikling af et it-system til den dataansvarlige. Indgår der oplysninger om fysiske personer i de anvendte data, skal databeskyttelsesreglerne imidlertid indtænkes i processen.

Det betyder, at der skal foretages en risikovurdering af og etableres passende sikkerhedsforanstaltninger for testkørslen.

Datatilsynet opstiller følgende 3 trin for denne vurdering:

1) Identificer de relevante trusler
2) Vurder sandsynligheden af hver trussel
3) Vurder de mulige konsekvenser af hver trussel

Kravene til sikkerhedsniveaut for udviklings- og testmiljø vil derfor være de samme som de krav, som gælder for det it-system der er (eller er planlagt at komme) i drift.

Det forventes af Datatilsynet kommer med en vejledning om testdata inden udgangen af 2020.

Du kan læse mere om sagen her: