Redan under sin första dag som biträdande jurist kom Anna i kontakt med personuppgiftslagen, som skulle leda henne in på det område som hon fått växa inom och brinner för än idag. Utöver en period på bolag i samband med ett implementeringsprojekt av GDPR på Intrum, har Anna stannat i konsultrollen som är den hon trivs bäst i. Efter att ha arbetat på Mannheimer Swartling och Kompass Advokat blev hon erbjuden möjligheten att börja på MAQS Advokatbyrå, en av Sveriges större advokatbyråer med kontor i Malmö, Göteborg, Stockholm och Sundsvall. Hennes uppdrag var att tillsammans med sina kollegor återuppbygga MAQS kontor i Stockholm, och leda byråns nationella satsning på området integritet och dataskydd.

Anna påbörjade sin resa hos MAQS som partner och ansvarig för Privacy & Data Protection i januari 2020, och endast två månader senare slog pandemin till. Trots de utmanande förutsättningarna har MAQS kontor på Stureplan i Stockholm växt från fem till över 30 medarbetare och ambitionen är att bli fler. Även Annas team har expanderat och i dag består integritets- och dataskyddsgruppen av 15 juridiska experter över hela Sverige.

– Det är otroligt roligt att vara med och bygga vårt Stockholmskontor samtidigt som vi har ett nationellt erbjudande och arbetar sömlöst mellan kontoren för att hjälp kunder runt om hela landet. Att ha möjlighet att dra nytta av kompetensen hos 180 kollegor på MAQS för att utveckla vår verksamhet och stödja våra kunder på bästa möjliga sätt är verkligen inspirerande, berättar Anna.

Parallellt med att sitta med i styrelsen ansvarar Anna dagligdags för att, tillsammans med Karin Schurmann, driva och förvalta affären för integritet och dataskydd. I sin roll agerar hon bollplank och handhållare till klienter genom att vägleda dem i den snåriga djungel som GDPR och dataskydd innebär för företag idag. Därtill ska också tilläggas att Anna är 36 år gammal och har, utöver att göra karriär, hunnit bli fembarnsmamma.

– Jag verkligen brinner för – och kan inte nog understryka vikten av – att det ska finnas fler seniora kvinnor på advokatbyråer. Att vi bryter den trend som har varit, där fler kvinnor än män utexamineras men i takt med att man som kvinna kommer upp på karriärstegen väljer en annan bana. Jag vill verkligen slå ett slag för att det går att kombinera karriär och familj. Det gäller att hitta rätt arbetsgivare och att man har en flexibel inställning och inte förutsätter att det inte går att vara på byrå och samtidigt ha familj. För det gör det.

Vad anser du att dataskyddsfunktionens roll innebär och vilka skulle du säga är de största utmaningarna vi står inför gällande GDPR nu?

Funktionen, eller ofta rollen, skiljer sig åt beroende på vilken typ av organisation man verkar inom. Utgångspunkten bör samtidigt alltid vara att funktionen inte utgör en bromskloss som stoppar initiativ, utan snarare vara en möjliggörare som säkerställer att man identifierar och förstår risker och hanterar dem därefter. När det finns ett kompetensunderskott på marknaden ska man därför inte vara rädd för att ta in externt stöd. Det finns tillfällen då internt stöd är det bästa alternativet, eftersom det är viktigt att förstå den specifika verksamheten och vad som är rätt för just denna, men i andra omständigheter är ett utomstående perspektiv som även tillgodoser omvärldsbevakning oerhört värdefullt. I långvariga relationer kan klienter till och med få båda!

En enorm utmaning inom denna typ av juridik är den stora mängden kringliggande lagstiftning som kommer från EU-håll, så som AI-förordningen och Data Governance Act (DGA). Det blir en nästan övermänsklig uppgift att förstå hur dessa hänger ihop och påverkar den enskilda verksamheten. Det går nämligen inte att ge rådgivning i silon och endast hänvisa till enskilda regelverk för specifika fall, utan en bredare förståelse för hela spektrumet av lagstiftning behövs, anpassat till den specifika verksamheten.

Även den tekniska utvecklingen innebär en stor utmaning. Ofta finns en extern förväntan på företag att springa på många olika initiativ som man saknar kunskap om. Tvärvetenskaplig kunskap, såsom är vanligare i USA, och en teknisk förståelse, utöver den juridiska, tror jag kommer bli avgörande i Sverige framöver.

Sammantaget resulterar de här utmaningarna i att det är svårt att få tiden liksom budgeten att räcka till. I dagens ekonomiska världsläge tror jag därför att prioriteringsfrågan kommer att vara särskilt viktig. Då kan ett externt ombud ge en bra stöttning i att sålla och prioritera arbetet.

Hur tror du att rollens utveckling kommer att se ut på sikt?

Det är oerhört svårt att sia om och blir nästan en filosofisk fråga. För en jurist motsvarar frågan den om hur juristen kommer att se ut. Eller, hur ett externt ombud kommer att stå sig i förhållande till artificiell intelligens (AI) och vilken vår roll i näringskedjan blir i takt med att den teknisk utvecklingen exploderar. Hur vi håller oss relevanta är en fråga som alla konsult- och advokatbyråer på ett eller annat vis brottas med i dag. Personligen är jag nästan övertygad om att AI inte kommer att lyckas ersätta den mänskliga faktorns värde. Där tror jag att vi kommer att ha en plattform som betrodda rådgivare, med den trygghet det ger att kunna resonera kring nyanserna men även samtala om annat än bara jobb. Samtidigt tror jag att de som förstår och nyttjar tekniken, och kanske särskilt AI, kommer att hålla sig mest relevanta.

Beteendestyrd marknadsföring har varit extremt på tapeten de senaste två till tre åren och med tonvikt på det senaste året. Vad är intressant att känna till kring detta?

Det har hänt så mycket, både på nationell nivå i Sverige och på EU-nivå, när det kommer till just tillsyn och vägledning. Frågan kring var gränsdragningen ska gå är oerhört i ropet. Dagens teknik möjliggör insamling av extrema mängder information om enskilda individer. Denna har hittills använts ganska friskt av enskilda bolag för att ta fram olika affärsmodeller, där profiler om dig som enskild person skapas och som sedan kan nyttjas av andra bolag till att rikta personlig marknadsföring. Frågan blir dock hur mycket bolag egentligen får veta om någon de inte känner. Å ena sidan kan det som privatperson vara tacksamt att få relevanta erbjudanden utifrån ett specifikt och aktuellt behov eftersom det frigör tid och energi. Å andra sidan är det otäckt att enskilda bolag, som man saknar någon faktisk relation till, vet vad man är på jakt efter och ens ungefärliga prisbild. Den enorma databilden som existerar av en individ på en koncentrerad plats kan bli problematisk. Vad händer om platsen blir hackad eller om informationen kommer på villovägar? Eller, vad händer om den här informationen används i politiska påverkanskampanjer i stället för marknadsföring av en produkt?

Det som synliggjorts den senaste tiden är att informationen i de allra flesta fall varken kan samlas in eller användas utan samtycke. Hittills har detta inte tagits i beaktning, utan man har i stället sagt att verksamhetens intresse att marknadsföra sina produkter vägt så mycket tyngre än privatpersonens rätt till sin personliga integritet. Nu börjar vi se ett skifte mot samtyckeslösningar lik den Meta infört i form av ”Pay or Okay”, där man får använda tjänsten utifrån premissen att deras modell finansieras av beteendestyrd marknadsföring. Därmed erbjuds individen ett val mellan att nyttja tjänsten i utbyte mot betalning i form av antingen pengar eller sina personuppgifter. Huruvida Meta får göra detta och om den monetära avgiften man ber om är rimlig i förhållande till den tjänst de erbjuder, det är i sin tur nästa fråga som håller på att prövas.

På grund av de stora datamängderna och med tanke på omvärldsläget blir det problematiskt att informationen (lovligen eller olovligen) kan användas till så många olika ändamål. Särskilt i kombination med ovetskapen om vilka krav som ska ställas på de som besitter de enorma datamängderna och vilka rättigheter individen har, eller inte har, till informationen. Det här är ett fall där tekniken har sprungit så pass snabbt att varken lagstiftare eller individer har hunnit med att reflektera över den långsiktiga innebörden.

Att Meta finansierat sina modeller genom att samla in uppgifter om oss har inte varit okänt för någon. En slogan för några år sedan överensstämmer mycket väl med situationen vi befinner oss i idag: ”If you are not paying for the product, you are not the customer; you are the product.” Detta behöver inte vara ett problem i sig, men det gäller att man låter beslutet fattas av den enskilde.

I relation till arbetet med klienter, hur tittar man på riskerna kring beteendestyrd marknadsföring?

Historiskt sett har vi tittat på vilka möjligheter det finns för klienten att använda sig av beteendestyrd marknadsföring, till exempel genom användandet av Metas eller andras tjänster. Vi har ifrågasatt att det bara skulle vara att tuta och köra med utgångspunkten att tjänsten existerar. I stället har vi belyst att klienten behöver fundera över deras egen roll i det hela samt huruvida de har rätt till att berika Metas modeller ytterligare genom att överföra personuppgifter till dem. I det fallet hjälper vi klienten utvärdera Metas tjänster och förstå vilka risker som finns kopplade, i syfte att kunna fatta ett väl avvägt beslut. Beteendestyrd marknadsföring ses nämligen ofta, och särskilt av små spelare, som något man inte förmår att välja bort, vilket matar på diskussionen om Metas dominerande ställning och huruvida den är rättfärdigad.

Vidare kan man se det från en annan infallsvinkel som tar hänsyn till att det finns många konkurrenter till Meta, liksom enskilda modeller. För klienten handlar det då om att utvärdera sina förutsättningar att skapa egna profiler på sina kunder samt vad det innebär att erbjuda rabatter eller medlemskap i utbyte mot att kunder delger sina personuppgifter. Kan man göra det och i sådana fall hur?

Vårt arbete kretsar mycket kring genomsyn. Att dels utvärdera vad man har rätt till, dels vad som är etiskt acceptabelt, men även vilka risker som finns kopplade. Man ska kunna fatta ett väl avvägt beslut och förstå vilka risker det är man accepterar och inte. På så sätt är det ett strategiskt arbete, där även affärsvärderingarna utgör en komponent. Det är där någonstans compliance och affären måste mötas.

Vad tycker du är det bästa med MAQS som arbetsplats och din nuvarande roll?

Vi är en nytänkande och utmanande advokatbyrå. Hos oss är det absolut inte gubbar i kritstrecksrandiga kostymer utan vi har en väldigt diversifierad delägarkrets, vilket genomsyrar hur verksamheten bedrivs. Det är en stöttande organisation och vår slogan, ”Där det professionella möter det omtänksamma”, skildrar hur det verkligen är. Det är en organisation där vi strävar efter att hålla extremt hög kvalitet, men samtidigt värnar om varandra som medmänniskor och att vara en lagspelare i förhållande till våra klienter.

Jag har den stora förmånen att driva det här affärsområdet och dessutom vara en del av styrelsen, vilket låter mig arbeta parallellt med både vår strategiska verksamhetsutveckling och att hjälpa våra kunder hålla sig relevanta och riskmedvetna i den digitala transformationen. Att handleda och få se nya stjärnor tändas när medarbetare utvecklas är också extremt givande. Där tror jag att MAQS särskiljer sig i sitt sätt att tidigt involvera alla medarbetare i samtliga aktiviteter, vilket tillåter dem sätta på sig en lite större kostym snabbt.