Hvordan sikres tilstrækkelig test compliance som dataejer i en leverandør relation?
Liv og Pensionssektoren udbygger løbende sine systemer med opdatering af lovgivning, ny funktionalitet og opdateringer i tæt samarbejde med selskabernes leverandører. Datatilsynet har for nyligt udtalt kritik af utilstrækkelig testning i en sag om softwareopdatering og udtrykt at ansvaret ikke kan outsources blot fordi leverandøren ikke fyldestgørende har oplyst om fx en opdaterings omfang.
Men hvordan sikres en tilstrækkelig test i samarbejde med leverandøren i et omfang hvor ansvaret fortsat er hos den dataansvarlige?
Her er tre gode råd til, hvordan du og din virksomhed kan arbejde med test og dataansvar:
- Sikre etablering af quality gates med leverandøren, så der sikres en governance struktur hvor alle releases tjekkes for indhold og påvirkning af data, og baseret på dette træffes fælles beslutning om testscope og produktionssætning.
- Stil krav om automatiseret test, så der ikke produktionssættes releases uden nødvendig regressionstest, og sikre at scope for automatiseret test omfatter relevante compliance testcases, og ikke kun funktionelle.
- Test altid selv en release fra en leverandør uanset scope og risikovurderingBudskabet fra datatilsynet er, at du står med ansvaret som dataejer og må tage de fornødne forholdsregler for at leve op til dette.
I Thursday Consulting har vi et helt team af aktuarer og management konsulenter, der fokuserer og hjælper forsikrings- og pensionsektorens selskaber med sikre at selskaberne systemer er compliant overfor myndighederne i det daglige udviklings- og compliancearbejde, og vi drøfter ofte disse problemstillinger med vores kunder og dets leverandører.
Hvis du vil vide mere om at skabe trygge rammer for din udviklings- og teststrategi, så kontakt ansvarlig partner for Forsikringstransformation i Thursday Ola Mortensen