Mirror

Databehandleraftale.

Opdateret: 12. maj 2026

Denne databehandleraftale (“DPA”) indgås mellem kunden (“den Dataansvarlige”) og MirrorSub ApS, Niels Jernes Vej 10, 9220 Aalborg Ø (“Mirror” eller “Databehandleren”). DPA'en er en integreret del af de overordnede vilkår og betingelser for brug af Mirror-tjenesten. Ved at acceptere vilkårene accepterer kunden ligeledes denne DPA. DPA'en opfylder kravene i GDPR artikel 28 og regulerer Mirror's behandling af personoplysninger på kundens vegne.

Enterprise-kunder kan anmode om en underskrevet PDF-version af denne DPA ved at kontakte privacy@mirrorsub.com.

1. Definitioner

I denne DPA forstås ved følgende begreber:

  • Den Dataansvarlige: Den virksomhed eller organisation der har indgået aftale om brug af Mirror-tjenesten, og som alene eller sammen med andre bestemmer formålene med og hjælpemidlerne til behandling af personoplysninger (GDPR Art. 4, nr. 7).
  • Databehandleren: MirrorSub ApS, der behandler personoplysninger på den Dataansvarliges vegne (GDPR Art. 4, nr. 8).
  • Personoplysninger: Enhver form for information om en identificeret eller identificerbar fysisk person (GDPR Art. 4, nr. 1).
  • Behandling: Enhver operation eller række af operationer der udføres på personoplysninger (GDPR Art. 4, nr. 2).
  • De Registrerede: De fysiske personer hvis personoplysninger behandles under denne DPA — primært prospects, kunder og kontakter i den Dataansvarliges pipeline.
  • Underdatabehandler: En tredjepartsvirksomhed som Databehandleren engagerer til at udføre specifikke behandlingsaktiviteter på den Dataansvarliges vegne.
  • SCC: EU-standardkontraktklausuler som fastsat i Europa-Kommissionens afgørelse 2021/914 af 4. juni 2021 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande.
  • Brud på persondatasikkerheden: Et sikkerhedsbrud der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger (GDPR Art. 4, nr. 12).
  • GDPR: Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.

2. Behandlingens karakter, formål og omfang

Databehandleren behandler personoplysninger på den Dataansvarliges vegne med det formål at levere Mirror-tjenesten som beskrevet i de overordnede vilkår. Behandlingens karakter, formål og omfang er følgende:

  • Formål: Levering af AI-assisteret B2B-salgsværktøj, herunder pipeline-administration, mødeforberedelse, DISC-profilering, Live Assist og Practice-simulationer.
  • Kategorier af personoplysninger:
    • Prospect-kontaktoplysninger (navn, titel, virksomhed, e-mail, telefon)
    • Offentligt tilgængeligt fagligt profilindhold
    • Salgssamtaleinput og noter registreret af brugeren
    • Pipeline-data og deal-relaterede oplysninger
    • Kontooplysninger (navn, e-mail) for brugere af den Dataansvarliges workspace
  • Særlige kategorier: Den Dataansvarlige må ikke indsende særlige kategorier af personoplysninger (GDPR Art. 9) i Mirror. Databehandleren påtager sig intet ansvar for behandling af sådanne oplysninger, der indsendes i strid med denne DPA.
  • De Registrerede: Primært forretningskontakter, prospects og kunder tilknyttet den Dataansvarliges salgsaktiviteter, samt den Dataansvarliges egne medarbejdere der bruger Mirror.
  • Behandlingens varighed: Så længe den Dataansvarlige er aktiv kunde hos Mirror, samt den efterfølgende sletningsperiode som beskrevet i § 11.

3. Databehandlerens forpligtelser (GDPR Art. 28)

Databehandleren forpligter sig til at:

  • Behandle kun efter instruks: Behandle personoplysninger udelukkende på grundlag af den Dataansvarliges dokumenterede instrukser og alene til formålet at levere Mirror-tjenesten, medmindre EU-ret eller national ret kræver andet — i så fald underretter Databehandleren den Dataansvarlige herom inden behandlingen, medmindre lovgivningen forbyder dette af hensyn til vigtige samfundsinteresser.
  • Fortrolighed: Sikre at de personer der er autoriseret til at behandle personoplysninger har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt fortrolighedspligt.
  • Tekniske og organisatoriske foranstaltninger: Gennemføre passende tekniske og organisatoriske foranstaltninger til at sikre et sikkerhedsniveau der passer til risikoen, jf. GDPR Art. 32 og § 4 i denne DPA.
  • Underdatabehandlere: Kun engagere underdatabehandlere med den Dataansvarliges forudgående godkendelse. Den aktuelle liste over underdatabehandlere er tilgængelig på /juridisk/underleverandoerer. Godkendelse gives ved accept af disse vilkår. Procedure for nye underdatabehandlere er beskrevet i § 5.
  • Bistand ved rettigheder: Under hensyntagen til behandlingens karakter bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger i det omfang det er muligt, med at opfylde den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de Registreredes rettigheder (GDPR Art. 15-22).
  • Bistand ved sikkerhedsforpligtelser: Bistå den Dataansvarlige med at overholde forpligtelserne i GDPR Art. 32-36, herunder underretning om brud, konsekvensanalyser og forudgående høring.
  • Sletning eller returnering: Efter den Dataansvarliges valg slette eller returnere alle personoplysninger ved afslutning af behandlingstjenester, og slette eksisterende kopier medmindre EU-ret eller national ret kræver opbevaring, jf. § 11.
  • Dokumentation og audit: Stille alle oplysninger der er nødvendige for at påvise overholdelse af GDPR Art. 28 til rådighed for den Dataansvarlige og give mulighed for og bidrage til revisioner foretaget af den Dataansvarlige eller en af den Dataansvarlige bemyndiget revisor, med mindst 30 dages skriftligt varsel.

4. Sikkerhedsforanstaltninger (GDPR Art. 32)

Databehandleren har implementeret følgende tekniske og organisatoriske sikkerhedsforanstaltninger:

  • Kryptering i transit: Alle dataforbindelser krypteres med TLS 1.2 eller nyere. HTTP-forbindelser omdirigeres til HTTPS.
  • Kryptering i hvile: Alle data i databasen (Neon/AWS eu-central-1) krypteres med AES-256. Sikkerhedskopier krypteres med tilsvarende standard.
  • Adgangskontrol: Rollebaseret adgangskontrol (RBAC) til alle systemer. Multifaktorautentificering (MFA) krævet for alle interne systemer og cloud-konti. Medarbejderadgang til produktionsdata er begrænset til need-to-know og logges.
  • Workspace-isolation: Kundedata er logisk adskilt på workspace-niveau. Det er teknisk umuligt for en kundes brugere at tilgå en anden kundes data.
  • Sikkerhedstest og -gennemgange: Regelmæssige sikkerhedsgennemgange af kode og infrastruktur. Dependency-opdateringer med automatisk sårbarhedsscanning.
  • Incident response: Dokumenteret incident response-plan med definerede roller, eskaleringsprocesser og kommunikationsprocedurer. Underretning af den Dataansvarlige inden for 24 timer ved konstateret brud på persondatasikkerheden, jf. § 8.
  • Leverandørstyring: Alle underdatabehandlere vurderes sikkerhedsmæssigt inden opstart. DPA indgås med samtlige underdatabehandlere der behandler personoplysninger.

5. Underdatabehandlere

Den Dataansvarlige giver ved accept af disse vilkår generel forudgående godkendelse af de underdatabehandlere der er opført på /juridisk/underleverandoerer. Databehandleren forpligter sig til:

  • At underrette den Dataansvarlige via e-mail til workspace-administratoren mindst 30 dage inden tilføjelse af nye underdatabehandlere eller væsentlige ændringer i eksisterende underdatabehandleres behandlingsaktiviteter.
  • At give den Dataansvarlige mulighed for at gøre indsigelse mod nye underdatabehandlere inden for 14 dage fra underretningen. Indsigelse rettes til privacy@mirrorsub.com. Kan en rimelig indsigelse ikke imødekommes, har den Dataansvarlige ret til at opsige aftalen uden omkostninger frem til ikrafttrædelsesdatoen.
  • At pålægge alle underdatabehandlere de samme databeskyttelsesforpligtelser som dem der fremgår af denne DPA, særligt hvad angår fornødne garantier for gennemførelse af passende tekniske og organisatoriske foranstaltninger (GDPR Art. 28, stk. 4).
  • At forblive fuldt ud ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

6. Internationale overførsler

Mirrors primære datalagring sker i EU (Frankfurt, AWS eu-central-1) og udgør ikke en international overførsel. Hvor underdatabehandlere befinder sig i tredjelande uden for EU/EØS, overføres personoplysninger alene på følgende grundlag:

  • Standardkontraktklausuler (SCC): Overførsler til Anthropic (USA), ElevenLabs (USA), Clerk (USA), Stripe (USA) og Sentry (USA) sker under EU-standardkontraktklausuler, Kommissionens afgørelse 2021/914, Modul 3 (Processor-to-Processor), der regulerer overførsler fra EU-databehandlere til databehandlere i tredjelande.
  • Tilstrækkelighedsafgørelse: I det omfang Europa-Kommissionen vedtager tilstrækkelighedsafgørelser for relevante tredjelande, vil sådanne afgørelser udgøre overførselsgrundlag i stedet for SCC.
  • Anthropic specifikt: DPA er indgået med Anthropic PBC. Anthropic anvender ikke kundedata til modeltræning. Overførslen er begrænset til det indhold der er nødvendigt for at generere det konkrete AI-svar.
  • ElevenLabs specifikt: DPA er indgået med ElevenLabs Inc. ElevenLabs modtager udelukkende tekst der konverteres til tale — ingen brugeridentifikationsdata overføres. Overførslen er begrænset til TTS-input.

En komplet oversigt over underdatabehandlere, deres placering og overførselsgrundlag er tilgængelig på /juridisk/underleverandoerer. Kopier af relevante SCC-er er tilgængelige på anmodning til privacy@mirrorsub.com.

7. De Registreredes rettigheder

Databehandleren vil inden for 5 arbejdsdage fra modtagelse af anmodning bistå den Dataansvarlige med at opfylde sine forpligtelser over for de Registrerede, herunder anmodninger om:

  • Indsigt i behandlede personoplysninger (GDPR Art. 15)
  • Berigtigelse af urigtige oplysninger (Art. 16)
  • Sletning af personoplysninger (Art. 17)
  • Begrænsning af behandling (Art. 18)
  • Dataportabilitet — eksport i JSON/CSV-format (Art. 20)
  • Indsigelse mod behandling (Art. 21)

Den Dataansvarlige er ansvarlig for at besvare de Registreredes anmodninger over for dem direkte. Databehandlerens forpligtelse er at stille de tekniske midler til rådighed der gør det muligt at opfylde anmodningerne.

8. Brud på persondatasikkerheden

Databehandleren underretter den Dataansvarlige inden for 24 timer efter at være blevet bekendt med et brud på persondatasikkerheden der berører den Dataansvarliges data. Underretningen sker via e-mail til workspace-administratoren og indeholder, i det omfang oplysningerne er tilgængelige:

  • En beskrivelse af brudets karakter, herunder berørte kategorier og omtrentligt antal registrerede og poster
  • Navn og kontaktoplysninger for databeskyttelseskontaktperson
  • En beskrivelse af de sandsynlige konsekvenser af bruddet
  • En beskrivelse af de trufne eller foreslåede foranstaltninger til at håndtere bruddet, herunder tiltag til at begrænse dets mulige skadevirkninger

Oplysninger kan meddeles trinvist, hvis de ikke alle er tilgængelige på underretningstidspunktet. Databehandleren noterer alle brud på persondatasikkerheden og stiller dokumentation til rådighed for den Dataansvarlige.

Den Dataansvarlige er selv ansvarlig for at vurdere, om bruddet skal anmeldes til Datatilsynet inden for 72 timer (GDPR Art. 33) og/eller de berørte Registrerede (Art. 34).

9. Støtte til konsekvensanalyse (DPIA)

Databehandleren bistår den Dataansvarlige med at gennemføre konsekvensanalyser vedrørende databeskyttelse (DPIA, GDPR Art. 35) og forudgående høring af tilsynsmyndigheden (Art. 36) ved på anmodning at stille relevante oplysninger til rådighed om behandlingsaktiviteterne, de implementerede sikkerhedsforanstaltninger og underdatabehandlernes behandling. Anmodning rettes til privacy@mirrorsub.com.

10. EU AI Act-overholdelse

Databehandleren bekræfter følgende i forhold til EU AI Act (EU 2024/1689):

  • (a) Klassificering: Mirror er klassificeret som et AI-system med begrænset risiko (“Limited Risk”) og falder ikke ind under de forbudte AI-praksisser i artikel 5 eller højrisiko-AI-systemerne i bilag III.
  • (b) Transparens: Transparensforpligtelsen i artikel 52 er opfyldt: brugere informeres tydeligt om, at de interagerer med AI-genereret indhold i brugergrænsefladen.
  • (c) Ingen forbudte anvendelser: Mirror anvender ikke AI til biometrisk kategorisering, social scoring, manipulation af adfærd, masseovervågning eller andre forbudte formål.
  • (d) Ingen automatiserede afgørelser med retsvirkninger: Al AI-output er vejledende. Brugeren træffer selv alle afgørelser baseret på output. GDPR artikel 22 er overholdt.
  • (e) GPAI-underdatabehandler: Anthropic PBC er udbyder af generel AI-model (GPAI) under EU AI Act. Mirror anvender Claude API i et begrænset risiko-deployment. Anthropic anvender ikke kundedata til modeltraning.

11. Ophør og sletning

Ved ophør af aftaleforholdet — uanset årsag — vil Databehandleren inden for 30 dage efter ophørstidspunktet slette alle personoplysninger der behandles på den Dataansvarliges vegne, medmindre EU-ret eller dansk ret kræver fortsat opbevaring (fx bogføringsloven § 10 for faktureringsposter, der opbevares i 5 år).

I perioden efter ophør og inden sletning bevares data i en “read-only” tilstand, der alene giver mulighed for eksport. Den Dataansvarlige kan på anmodning modtage en skriftlig bekræftelse fra Databehandleren om, at sletning er gennemført.

12. Kontakt og enterprise-tilretning

Spørgsmål til denne DPA rettes til privacy@mirrorsub.com.

Enterprise-kunder med særlige krav — fx udvidede auditrettigheder, kortere sletningsfrister, tilpassede SCC-bilag, egne DPA-skabeloner eller DPIA-støtte — er velkomne til at kontakte os for at drøfte tilrettede vilkår som del af en enterprise-kontrakt.

13. Ændringer til DPA

Denne DPA opdateres løbende i takt med ændringer i GDPR-praksis, EU AI Act-implementeringen og Mirrors behandlingsaktiviteter. Ved væsentlige ændringer varsler vi den Dataansvarlige via e-mail til workspace-administratoren mindst 30 dage inden ændringerne træder i kraft. Opdateringer der udelukkende er nødvendige for at overholde ny lovgivning kan have kortere varslingstid.