Jaarlijks wordt een penetratietest uitgevoerd volgens de black box en de grey box methode. Bij de black box methode worden de webportalen en de infrastructuur getest door ethische hackers op basis van minimale informatie en zonder vooraf bekend gemaakte inloggegevens. De kwetsbaarhedenscans worden op twee niveaus uitgevoerd: op webserver- en webapplicatieniveau. Bij de grey box methode beschikken ethische hackers over testcredentials, zoals bijvoorbeeld gebruikersnamen en wachtwoorden. Hiermee wordt onder andere onderzocht of autorisaties binnen de applicaties correct gewaarborgd zijn. Met grey box testen wordt meer nadruk gelegd op de werking van de functionele beveiligingsmaatregelen.