Afkræftelse af de 7 største GDPR-myter i 2025: en guide til CISO'er

Flere år efter ikrafttrædelsen er GDPR fortsat omgærdet af sejlivede myter, som udsætter organisationer for væsentlige compliancerisici. Denne guide afkræfter de syv største misforståelser i 2025 og giver CISO’er og complianceansvarlige klar og handlingsorienteret vejledning til effektiv styring af databeskyttelsesforpligtelser og forebyggelse af dyre sanktioner.

Introduktion

EU’s databeskyttelsesforordning (GDPR) har i årevis været en grundpille i databeskyttelse, men compliance-landskabet er langt fra statisk. I takt med at teknologien udvikler sig, og regulatoriske fortolkninger modnes, cirkulerer der fortsat overraskende mange myter og misforståelser i bestyrelseslokaler og IT-afdelinger. Disse myter er ikke blot harmløse misforståelser; de er compliance-mæssige tidsindstillede bomber, der kan udløse betydelige bøder, omdømmeskade og driftsforstyrrelser.

For CISO’er, complianceansvarlige og virksomhedsejere er det vigtigere end nogensinde at skelne fakta fra fiktion. At tro, at GDPR er et engangsprojekt, at forordningen ikke gælder for din virksomhed, eller at samtykke er en universalløsning for al databehandling, er en direkte vej til manglende compliance. I 2025, hvor tilsynsmyndighederne viser større vilje til håndhævelse, og hvor tilgrænsende reguleringer som DORA og NIS2 skærper kravene, er en passiv eller fejlinformeret tilgang ikke længere holdbar.

Denne artikel gennemgår systematisk de syv mest udbredte og risikable GDPR-myter. Vi går bag overskrifterne og ind i den praktiske compliance-virkelighed med udgangspunkt i etablerede rammeværker og ekspertindsigt, så du får en klar køreplan for robuste og juridisk holdbare databeskyttelsesprogrammer.

Hvad er på spil

Konsekvenserne af at falde for GDPR-myter rækker langt ud over et advarselsbrev fra en tilsynsmyndighed. Risiciene er konkrete, mangefacetterede og kan påvirke alle dele af virksomheden.

Først og fremmest er der de økonomiske sanktioner. Bøder kan nå op på 20 mio. euro eller 4 % af virksomhedens globale årlige omsætning, alt efter hvad der er højest. Det er ikke teoretiske maksimumsbeløb; tilsynsmyndighederne udsteder i stigende grad betydelige bøder, der kan lamme en virksomheds økonomi. Men det direkte økonomiske tab er kun begyndelsen.

Driftsforstyrrelser er en væsentlig og ofte undervurderet risiko. Et brud på persondatasikkerheden eller en konstatering af manglende compliance kan udløse påbud om at standse eller begrænse behandlingsaktiviteter, indtil forholdet er afhjulpet. Forestil dig ikke at kunne behandle kundeordrer, gennemføre marketingkampagner eller endda udbetale løn, fordi den centrale databehandling er vurderet ulovlig.

Omdømmeskade kan være den mest langvarige konsekvens. I en tid med øget bevidsthed om privatliv og databeskyttelse er kunder, partnere og investorer mindre tolerante over for virksomheder, der håndterer personoplysninger uforsigtigt. En offentliggjort GDPR-overtrædelse kan underminere tillid, der er opbygget over år, og føre til kundefrafald, tab af forretningspartnerskaber og et svækket brand.

Endelig intensiveres det regulatoriske pres. GDPR eksisterer ikke i et vakuum. Forordningen er en del af et voksende økosystem af indbyrdes forbundne regler. Manglende GDPR-compliance kan signalere svagheder, der tiltrækker opmærksomhed fra revisorer og tilsynsmyndigheder, som fører tilsyn med andre rammeværker såsom Digital Operational Resilience Act (DORA) og Network and Information Security Directive (NIS2). Det kan skabe en kæde af compliance-udfordringer. Som vores interne vejledning understreger, er et robust privatlivsprogram et grundlæggende element i den samlede cyberrobusthed.

Sådan ser god praksis ud

Reel og bæredygtig GDPR-compliance handler ikke om at sætte flueben; det handler om at indarbejde en databeskyttelseskultur, der understøtter forretningen. Når det gøres korrekt, giver et stærkt databeskyttelsesprogram, tilpasset rammeværker som ISO 27001, væsentlige strategiske fordele.

Den ønskede tilstand er, at databeskyttelse er integreret i alle forretningsprocesser; et princip kendt som “databeskyttelse gennem design og standardindstillinger”. Denne proaktive tilgang følger af GDPR Article 25 og er et kerneprincip i moderne informationssikkerhed. Vores P18S Databeskyttelses- og privatlivspolitik - SMV understøtter dette og fastslår i afsnit 4.2: “Databeskyttelse gennem design og standardindstillinger skal integreres i alle nye eller væsentligt ændrede processer, tjenester og systemer, der behandler personoplysninger.” Det betyder, at før et nyt produkt lanceres, eller et nyt system sættes i drift, gennemføres en konsekvensanalyse vedrørende databeskyttelse (DPIA) ikke som en formalitet, men som et kritisk designværktøj.

Et modent program opbygger også stærk kundetillid. Når personer har tillid til, at deres data respekteres og beskyttes, er de mere tilbøjelige til at bruge dine tjenester og blive loyale fortalere for dit brand. Denne tillid bygger på gennemsigtighed, klar kommunikation og konsekvent opfyldelse af registreredes rettigheder.

Operationelt skaber et velstruktureret compliance-program effektivitet. I stedet for at reagere ad hoc på anmodninger fra registrerede eller forespørgsler fra tilsynsmyndigheder er processerne strømlinede og automatiserede. Klare roller og ansvarsområder, som defineret i en dækkende politik, sikrer, at alle kender deres opgave. For eksempel angiver vores P18S Databeskyttelses- og privatlivspolitik - SMV, at “Databeskyttelsesrådgiveren (DPO) eller den udpegede privatlivsansvarlige er ansvarlig for at føre tilsyn med processen for anmodninger fra registrerede og sikre rettidige svar.” Denne klarhed forebygger uklarheder og forsinkelser.

I sidste ende ser “godt” ud som en robust og troværdig organisation, der betragter databeskyttelse ikke som en byrde, men som et konkurrenceparameter. Det er en organisation, hvor compliance er et resultat af velfungerende datastyring, understøttet af et robust ledelsessystem for informationssikkerhed (ISMS), der beskytter alle informationsaktiver, herunder personoplysninger.

Den praktiske vej: afkræftelse af de 7 største GDPR-myter

Lad os gennemgå de mest almindelige myter og erstatte dem med handlingsorienterede fakta baseret på etableret bedste praksis og politikker.

Myte 1: “Min virksomhed er for lille til, at GDPR gælder.”

Dette er en af de farligste misforståelser. GDPR’s anvendelsesområde bestemmes af databehandlingens karakter, ikke organisationens størrelse.

Fakta: GDPR gælder for enhver organisation, uanset størrelse eller placering, der behandler personoplysninger om personer i Den Europæiske Union (EU) i forbindelse med udbud af varer eller tjenester til dem eller overvågning af deres adfærd. Hvis du har et website med kunder i EU eller bruger analysecookies til at spore besøgende fra EU, gælder GDPR for dig.

Forordningen indeholder en begrænset undtagelse i Article 30 for organisationer med færre end 250 ansatte vedrørende fortegnelsesforpligtelser, men undtagelsen er snæver. Den gælder ikke, hvis behandlingen sandsynligvis indebærer en risiko for registreredes rettigheder og frihedsrettigheder, hvis behandlingen ikke er lejlighedsvis, eller hvis den omfatter særlige kategorier af oplysninger, f.eks. helbredsoplysninger eller biometriske data. I praksis foretager de fleste virksomheder, også mindre virksomheder, regelmæssig behandling, f.eks. medarbejderdata og kundelister, som gør undtagelsen uanvendelig.

Myte 2: “Samtykke er den eneste måde at behandle personoplysninger lovligt på.”

Mange organisationer baserer sig for meget på samtykke, fordi de tror, det er det eneste gyldige behandlingsgrundlag. Det kan føre til “samtykketræthed” hos brugerne og skabe unødige compliance-byrder.

Fakta: Samtykke er kun ét af seks behandlingsgrundlag for behandling af personoplysninger i GDPR Article 6. De øvrige er:

• Kontrakt: Behandlingen er nødvendig for opfyldelsen af en kontrakt.
• Retlig forpligtelse: Behandlingen er nødvendig for at overholde lovgivningen.
• Vitale interesser: Behandlingen er nødvendig for at beskytte en persons liv.
• Opgave i samfundets interesse: Behandlingen er nødvendig for at udføre en opgave i samfundets interesse.
• Legitime interesser: Behandlingen er nødvendig for den dataansvarliges legitime interesser, forudsat at disse ikke tilsidesættes af den registreredes rettigheder.

Det er afgørende at vælge det rette grundlag. For eksempel er behandling af en medarbejders bankoplysninger til lønudbetaling ikke baseret på samtykke; den er baseret på nødvendigheden af at opfylde ansættelseskontrakten. At basere sig på samtykke i et sådant scenarie ville være uhensigtsmæssigt, da medarbejderen ikke frit kan trække samtykket tilbage uden at påvirke ansættelsesforholdet. Vores P18S Databeskyttelses- og privatlivspolitik - SMV kræver udtrykkeligt i afsnit 5.2, at “Behandlingsgrundlaget for hver databehandlingsaktivitet skal identificeres og dokumenteres i fortegnelsen over behandlingsaktiviteter (RoPA), før behandlingen påbegyndes.”

Myte 3: “Da mine data ligger på en stor cloudplatform, er cloududbyderen ansvarlig for GDPR-compliance.”

Outsourcing af datalagring eller behandling til en tredjepart, f.eks. en cloududbyder, flytter ikke ansvaret væk fra dig.

Fakta: Efter GDPR er din organisation den “dataansvarlige”, hvilket betyder, at du fastlægger formålene med og hjælpemidlerne til behandlingen af personoplysninger. Cloududbyderen er “databehandleren” og handler efter dine instrukser. Selvom databehandleren har direkte retlige forpligtelser efter GDPR, ligger det endelige ansvar for at beskytte data og sikre compliance fortsat hos dig som dataansvarlig.

Derfor er due diligence af leverandører kritisk. Du skal have en juridisk bindende databehandleraftale på plads med alle dine databehandlere. Som krævet i vores P16S Politik for leverandørrelationer - SMV fastslår afsnit 4.3 om ‘Databehandleraftaler’, at “En formel databehandleraftale, der opfylder kravene i GDPR Article 28, skal være på plads, før en tredjepartsleverandør får adgang til eller behandler personoplysninger på vegne af organisationen.” Denne aftale skal beskrive databehandlerens forpligtelser, herunder implementering af passende sikkerhedsforanstaltninger og bistand til at besvare anmodninger fra registrerede.

Myte 4: “Jeg skal kun anmelde et brud på persondatasikkerheden, hvis der er tale om et stort hack.”

Tærsklen for anmeldelse af brud er langt lavere, end mange tror, og tidsfristen er meget stram.

Fakta: GDPR Article 33 kræver, at du anmelder ethvert brud på persondatasikkerheden til den relevante tilsynsmyndighed “uden unødig forsinkelse og om muligt senest 72 timer efter, at du er blevet bekendt med det”, medmindre bruddet “sandsynligvis ikke indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder”.

En “risiko” kan omfatte økonomisk tab, identitetstyveri, omdømmeskade eller tab af fortrolighed. Det behøver ikke være en katastrofal hændelse. En medarbejder, der ved en fejl sender et regneark med kundedata til den forkerte modtager, kan udgøre et anmeldelsespligtigt brud. Hvis bruddet sandsynligvis indebærer en høj risiko, skal du desuden informere de berørte personer direkte. En robust plan for håndtering af sikkerhedshændelser (IRP) er afgørende for at kunne overholde disse stramme frister.

Myte 5: “‘Retten til at blive glemt’ betyder, at jeg bare skal slette brugerens data fra min hoveddatabase.”

Opfyldelse af en anmodning om sletning af data (“retten til at blive glemt” efter Article 17) er en kompleks proces, der rækker langt ud over en simpel sletteforespørgsel.

Fakta: Når der fremsættes en gyldig anmodning om sletning, skal du træffe rimelige foranstaltninger til at slette data fra alle systemer, hvor de findes. Det omfatter primære databaser, men også sikkerhedskopier, arkiver, logfiler, analysesystemer og endda data, som opbevares af dine tredjepartsdatabehandlere.

Retten er ikke absolut; der findes undtagelser, f.eks. når du skal opbevare data for at overholde en retlig forpligtelse, såsom skattelovgivning, der kræver opbevaring af finansielle registreringer i en bestemt periode. Processen skal styres og dokumenteres omhyggeligt. Vores P18S Databeskyttelses- og privatlivspolitik - SMV beskriver dette i proceduren for ‘Registreredes rettigheder’ og angiver, at “Anmodninger om sletning skal vurderes op imod retlige og kontraktlige opbevaringskrav, før de gennemføres. Sletningsprocessen skal verificeres på tværs af alle relevante systemer, og den registrerede skal informeres om resultatet.”

Myte 6: “Min virksomhed er baseret uden for EU, så jeg behøver ikke en databeskyttelsesrådgiver (DPO).”

Kravet om at udpege en DPO afhænger af behandlingsaktiviteterne, ikke virksomhedens hovedsæde.

Fakta: Efter GDPR Article 37 skal du udpege en DPO, hvis dine kerneaktiviteter omfatter omfattende, regelmæssig og systematisk overvågning af personer eller omfattende behandling af særlige kategorier af oplysninger. En USA-baseret e-handelsvirksomhed med en betydelig EU-kundebase, der anvender omfattende sporing og profilering, vil sandsynligvis skulle udpege en DPO.

Selvom du ikke er retligt forpligtet til at udpege en, er det bedste praksis at udpege en person eller et team med ansvar for tilsyn med databeskyttelse. Denne person fungerer som centralt kontaktpunkt for registrerede og tilsynsmyndigheder og bidrager til at indarbejde en privatlivsbevidst kultur i organisationen.

Myte 7: “GDPR gælder ikke for Storbritannien efter Brexit.”

Dette er en udbredt og dyr misforståelse. Storbritannien har sin egen version af GDPR, som er næsten identisk.

Fakta: Efter Brexit blev GDPR indarbejdet i britisk national ret som “UK GDPR”. Den gælder sammen med Storbritanniens Data Protection Act 2018. I praksis skal organisationer anvende de samme principper og opfylde de samme forpligtelser efter UK GDPR som efter EU GDPR. Hvis du behandler data om personer bosat i Storbritannien, skal du efterleve UK GDPR. Hvis du behandler data om personer bosat i EU, skal du efterleve EU GDPR. Mange internationale virksomheder skal efterleve begge, hvilket gør en samlet tilgang med høje standarder til den mest effektive strategi.

Sammenhængene: indsigter på tværs af compliance-krav

GDPR-principper fungerer ikke isoleret. De er tæt forbundet med andre væsentlige regulatoriske og sikkerhedsmæssige rammeværker. At forstå disse sammenhænge er afgørende for at opbygge et effektivt og helhedsorienteret compliance-program.

ISO/IEC 27001-rammeværket, den internationale standard for et ISMS, giver det tekniske og organisatoriske fundament for GDPR-compliance. Mange GDPR-krav kan kortlægges direkte til ISO 27002-kontroller. For eksempel understøttes GDPR’s princip om “integritet og fortrolighed” direkte af en række ISO 27002-kontroller, herunder kontroller for adgangsstyring (A.5.15, A.5.16), kryptografi (A.8.24) og sikker udvikling (A.8.25). En central kontrol, omskrevet fra ISO/IEC 27002:2022, er A.5.34, som giver specifik vejledning om beskyttelse af personhenførbare oplysninger (PII) og dermed passer direkte til GDPR’s kerneformål.

Denne synergi fremhæves i Zenith Controls, som kortlægger GDPR-krav til andre rammeværker. For eksempel forklarer guiden i konteksten af sit ‘GDPR-compliance-modul’:

“GDPR’s krav om konsekvensanalyser vedrørende databeskyttelse (DPIA’er) efter Article 35 afspejles konceptuelt i de risikovurderingsprocesser, som DORA kræver for kritiske IKT-systemer, og som NIS2 kræver for væsentlige tjenester. En robust risikovurderingsmetodik kan anvendes til at opfylde krav på tværs af alle tre rammeværker og dermed undgå dobbeltarbejde.”

Dette viser, hvordan én veldesignet proces kan opfylde flere compliance-krav. Tilsvarende overlapper kravene til hændelseshåndtering efter GDPR væsentligt med kravene i DORA og NIS2. Clarysec Zenith Controls tydeliggør yderligere denne sammenhæng:

“GDPR’s 72-timersfrist for anmeldelse af brud har skabt præcedens. DORA’s detaljerede krav til hændelsesklassificering og rapportering fokuserer på operationel robusthed, men kræver de samme kapaciteter til hurtig detektion og respons. Organisationer bør implementere en samlet plan for håndtering af sikkerhedshændelser, der indarbejder de specifikke rapporteringsudløsere og tidsfrister for GDPR, DORA og NIS2 for at sikre en koordineret og compliant respons på enhver hændelse.”

NIST Cybersecurity Framework (CSF) giver også et værdifuldt perspektiv. CSF’s kernefunktioner Identify, Protect, Detect, Respond og Recover er afstemt med databeskyttelsens livscyklus. Identifikation af aktiver med personoplysninger er en forudsætning for GDPR, og Protect-funktionen omfatter de sikkerhedsforanstaltninger, der kræves efter Article 32.

Ved at se compliance gennem dette sammenhængende perspektiv kan organisationer opbygge ét stærkt sikkerheds- og privatlivsprogram, som er robust, effektivt og i stand til at imødekomme kravene i et komplekst regulatorisk miljø.

Forberedelse på kontrol: hvad revisorer vil spørge om

Når en intern eller ekstern revisor vurderer din GDPR-compliance, vil vedkommende lede efter konkrete revisionsbeviser, ikke blot politikker på en hylde. Revisorer vil se, at dit databeskyttelsesprogram fungerer i praksis og er effektivt. Med udgangspunkt i den strukturerede metode i Zenith Blueprint kan vi forudse deres vigtigste fokusområder.

Under Fase 2: Indsamling af revisionsbevis og feltarbejde vil en revisor systematisk teste dine kontroller. Ifølge Trin 12: Vurder kontroller for privatliv og databeskyttelse i The Zenith Blueprint vil revisorer specifikt kræve:

“Revisionsbevis for en dækkende og opdateret fortegnelse over behandlingsaktiviteter (RoPA), som krævet efter GDPR Article 30. RoPA’en skal for hver aktivitet angive behandlingsformål, datakategorier, modtagere, oplysninger om overførsler og opbevaringsperioder.”

De vil ikke blot spørge, om du har en RoPA; de vil udvælge specifikke forretningsprocesser, f.eks. kundeonboarding eller marketing, og følge datastrømme og sammenholde dem med dokumentationen i din RoPA. Eventuelle afvigelser vil være et væsentligt faresignal.

Et andet kritisk område er håndteringen af registreredes rettigheder. Revisorer vil se dokumentation for en fungerende proces. Som beskrevet i The Zenith Blueprint, igen under Trin 12, er revisionsproceduren at:

“Gennemgå loggen over anmodninger om indsigt fra registrerede (DSAR’er) for de seneste 12 måneder. Udvælg en stikprøve af anmodninger, og verificér, at de er opfyldt inden for den lovbestemte frist på én måned, og at svaret var fuldstændigt og korrekt dokumenteret.”

Det betyder, at du skal have et sagsstyringssystem i servicedesk eller en detaljeret log, der viser, hvornår en anmodning blev modtaget, hvornår den blev bekræftet, hvilke trin der blev taget for at opfylde den, og hvornår det endelige svar blev sendt.

Endelig vil revisorer undersøge dine relationer til tredjepartsdatabehandlere. De vil gå videre end blot at bede om en leverandørliste. Revisionsmetoden i The Zenith Blueprint kræver, at de:

“Undersøger due diligence-processen for udvælgelse af nye databehandlere. For en stikprøve af højrisikoleverandører gennemgås de underskrevne databehandleraftaler for at sikre, at de indeholder alle klausuler, der kræves efter GDPR Article 28, herunder bestemmelser om revisionsrettigheder og underretning ved brud.”

Vær forberedt på at fremvise spørgeskemaer til leverandørrisikovurdering, underskrevne databehandleraftaler og eventuelle registreringer af revisioner, du måtte have gennemført hos dine kritiske leverandører. Et svagt leverandørstyringsprogram er et almindeligt fejlpunktsområde i GDPR-revisioner.

Almindelige faldgruber

Selv med de bedste intentioner falder organisationer ofte i almindelige fælder. Her er nogle af de hyppigste fejl, der bør undgås:

• “Udarbejd og glem”-politikken: At skrive en privatlivspolitik og aldrig opdatere den. Dine politikker skal være levende dokumenter, gennemgås mindst årligt og opdateres, når der sker ændringer i dine databehandlingsaktiviteter.
• Utilstrækkelig medarbejdertræning: Dine medarbejdere er første forsvarslinje. Én utrænet medarbejder kan forårsage et større brud på persondatasikkerheden. Vores P08S Politik for awareness og træning i informationssikkerhed - SMV fremhæver i afsnit 4.1, at “Alle medarbejdere, kontrahenter og relevante tredjeparter skal gennemføre obligatorisk træning i databeskyttelse og informationssikkerhedsbevidsthed ved ansættelse og mindst årligt derefter.” At undlade dette er en kritisk mangel.
• Uklart eller samlet samtykke: At indhente samtykke ved brug af forhåndsafkrydsede felter eller ved at sammenkoble det med vilkår og betingelser. GDPR kræver, at samtykke er specifikt, informeret og utvetydigt.
• Ignorering af dataminimering: At indsamle flere personoplysninger, end der er strengt nødvendigt til det angivne formål. Det øger dit risikobillede og overtræder et grundlæggende GDPR-princip.
• Ingen klar dataopbevaringsplan: At opbevare data på ubestemt tid “for en sikkerheds skyld”. Du skal definere, dokumentere og håndhæve opbevaringsperioder for alle kategorier af personoplysninger, som beskrevet i vores P05S Politik for informationsklassificering og -håndtering - SMV.
• Mangelfuld aktivstyring: Du kan ikke beskytte det, du ikke ved, du har. Manglende vedligeholdelse af en dækkende aktivfortegnelse over aktiver, hvor personoplysninger opbevares eller behandles, gør det umuligt at sikre dem effektivt; et punkt, der understreges i vores P01S Politik for aktivstyring - SMV.

Næste skridt

At bevæge sig fra myte til realitet kræver en struktureret og proaktiv tilgang. Clarysec leverer værktøjerne og rammeværkerne til at opbygge et robust og juridisk holdbart databeskyttelsesprogram.

1. Gennemfør en gap-analyse: Brug principperne i denne artikel til at vurdere din nuværende compliance-status. Identificér, hvor myter kan have påvirket din praksis.
2. Implementér grundlæggende politikker: En stærk politikramme er ikke til forhandling. Start med vores dækkende skabeloner, herunder P18S Databeskyttelses- og privatlivspolitik - SMV og P16S Politik for leverandørrelationer - SMV, for at fastlægge klare regler og ansvarsområder.
3. Kortlæg dit compliance-univers: Brug guiden Zenith Controls til at forstå, hvordan GDPR-krav overlapper med andre reguleringer som DORA og NIS2, så du kan opbygge en effektiv og integreret compliance-strategi.
4. Forbered dig på revision: Anvend den strukturerede tilgang, der er beskrevet i Zenith Blueprint, så du altid er revisionsklar med det nødvendige revisionsbevis og den nødvendige dokumentation ved hånden.

Konklusion

GDPR-landskabet i 2025 er kendetegnet ved moden håndhævelse og skærpede forventninger. De myter, der tidligere skabte forvirring, er nu klare indikatorer på svagheder i compliance. For CISO’er og virksomhedsledere er det ikke længere en mulighed at holde fast i disse misforståelser. Risikoen for økonomiske sanktioner, driftsforstyrrelser og omdømmeskade er ganske enkelt for stor.

Ved systematisk at afkræfte disse myter og forankre dit databeskyttelsesprogram i faktabaseret og principbaseret praksis kan du omdanne compliance fra en oplevet byrde til et strategisk aktiv. Et robust program, bygget på klare politikker, integreret med bredere sikkerhedsrammeværker som ISO 27001 og forberedt på revisors kontrol, gør mere end blot at reducere risiko. Det opbygger kundetillid, skaber operationel effektivitet og etablerer en robust position i en stadig mere kompleks digital verden. Vejen til effektiv GDPR-compliance handler ikke om at jagte et bevægeligt mål; den handler om at opbygge en bæredygtig kultur for databeskyttelse gennem design.