Mirror

Privatlivspolitik.

Opdateret: 10. maj 2026

Mirror behandler personoplysninger i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (GDPR) samt Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om kunstig intelligens (EU AI Act). Denne politik beskriver præcist hvilke data vi behandler, på hvilket retsgrundlag, hvad de bruges til, hvor længe de opbevares — og hvad de aldrig bruges til.

Dataansvarlig

Den dataansvarlige for behandling af dine personoplysninger er:

  • Virksomhed: MirrorSub ApS
  • CVR-nummer: 43834509
  • Adresse: Niels Jernes Vej 10, 9220 Aalborg Ø, Danmark
  • E-mail: privacy@mirrorsub.com

MirrorSub ApS har ikke pligt til at udpege en databeskyttelsesrådgiver (DPO) efter GDPR artikel 37, men du er altid velkommen til at kontakte os direkte ved spørgsmål om databeskyttelse.

Hvilke data vi behandler

Vi behandler udelukkende de personoplysninger der er nødvendige for at levere og forbedre Mirror-tjenesten. Vi skelner mellem følgende fem kategorier:

1. Kontodata

Navn, e-mailadresse og virksomhedsnavn som du oplyser ved oprettelse af din Mirror-konto. Disse data håndteres via Clerk (vores autentificeringsudbyder) og bruges til login, kommunikation og fakturering.

Opbevaringsperiode: Kontodataene opbevares i hele kontoens levetid plus 30 dage efter anmodning om sletning eller kontolukning. Faktureringsposter kan opbevares op til 5 år i henhold til bogføringsloven § 10.

2. Prospect-data

Navn, titel, virksomhed og offentligt tilgængeligt profilindhold om de kontakter og virksomheder du aktivt indsamler via Mirror. Disse data sendes til vores API for at generere DISC-profiler, mødeforberedelse og salgsforslag. Når du angiver et firmanavn ved siden af en kontakts navn, kan Mirror automatisk slå offentlig karriereprofil op via NinjaPear (Nubela Pte. Ltd.) — se “Internationale overførsler” nedenfor. Du bestemmer hvad der indsamles — intet sker uden din aktive handling.

Opbevaringsperiode: 365 dage fra seneste interaktion med den pågældende prospect i Mirror. Data kan slettes til enhver tid fra dit workspace eller ved anmodning til privacy@mirrorsub.com.

3. Pipeline og salgssituationer

Deals, stadier, noter og tekst du manuelt registrerer i Mirror-pipelinen, samt salgssituationer du beskriver i Situation Solver. Teksten sendes til vores API og videre til en AI-model (Anthropic Claude) for at generere analyser og handlingsforslag. Data optages ikke — du skriver selv hvad der skal analyseres. Genererede analyser og loggede udfald gemmes i dit workspace og er private for dig.

Opbevaringsperiode: Hele kontoens levetid. Data eksporteres fra Indstillinger eller slettes ved anmodning.

4. Practice-sessioner

Samtaletræk og DISC-simulationsindhold genereret under Mirror Practice-sessioner, herunder dine inputs og AI-modellens simulerede svar. Disse data bruges udelukkende til at levere og forbedre træningsfunktionen og er aldrig tilgængeligt for andre brugere.

Opbevaringsperiode: 90 dage. Herefter slettes sessiondata automatisk. Du kan slette tidligere sessioner manuelt fra dit workspace.

5. Brugsdata og telemetri

Pseudonymiserede oplysninger om hvilke funktioner du bruger, klik-flows, sideindlæsninger og fejlhændelser. Indsamles via PostHog (analytics) og Sentry (fejlmonitorering). Disse data indeholder aldrig prospect-data eller samtaleinput — de bruges udelukkende til fejlretning og produktudvikling.

Opbevaringsperiode: 13 måneder fra indsamling, derefter aggregeret eller slettet.

Behandlingsgrundlag

Vi behandler dine personoplysninger på følgende retsgrundlag i henhold til GDPR artikel 6:

  • Kontraktopfyldelse (Art. 6(1)(b)): Kontodata, pipeline-data og samtaleinput behandles for at opfylde den aftale du indgår med os ved at oprette en Mirror-konto. Uden disse data kan tjenesten ikke leveres.
  • Berettiget interesse (Art. 6(1)(f)): Brugsdata og telemetri behandles på grundlag af vores berettigede interesse i at drifte, sikre og forbedre tjenesten. Vi har foretaget en interesseafvejning og vurderet, at behandlingen ikke krænker dine grundlæggende rettigheder, da data er pseudonymiseret og aldrig indeholder prospect-data.
  • Berettiget interesse (Art. 6(1)(f)): Prospect-data behandles på grundlag af vores og dine berettigede erhvervsinteresser i at facilitere B2B-salgsforberedelse baseret på offentligt tilgængelige oplysninger.
  • Samtykke (Art. 6(1)(a)): Hvis vi sender markedsføring ud over transaktionelle e-mails, sker det kun på grundlag af dit eksplicitte samtykke, som du til enhver tid kan trække tilbage.

AI-behandling og EU AI Act

Mirror anvender kunstig intelligens til at generere DISC-profiler, salgsanbefalinger, mødeforberedelsesbriefer, opfølgningsforslag og Practice-simulationer. Den underliggende AI-model er Anthropic Claude, der tilgås via Anthropics API.

I henhold til EU AI Act (EU 2024/1689) artikel 52 er vi forpligtet til at oplyse brugere om, at de interagerer med AI-systemer, og vi opfylder denne transparensforpligtelse ved tydeligt at markere AI-genereret indhold i brugergrænsefladen.

Mirror er klassificeret som et AI-system med begrænset risiko ("Limited Risk") under EU AI Act. Mirror falder ikke ind under nogen af de forbudte anvendelser i artikel 5 og er ikke et højrisiko-AI-system i henhold til bilag III til forordningen. Vi anvender ikke AI til biometrisk kategorisering, social scoring, manipulation af adfærd eller andre forbudte formål.

  • Rådgivende output — ingen automatiserede beslutninger: Al AI-genereret indhold er vejledende. Mirror træffer ingen automatiserede afgørelser med retsvirkninger eller tilsvarende væsentlige virkninger for fysiske personer, jf. GDPR artikel 22. Brugeren er altid ansvarlig for at gennemgå og vurdere AI-output inden brug.
  • DISC-profiler: DISC-profiler genereres udelukkende på grundlag af offentligt tilgængeligt fagligt indhold (fx LinkedIn-profiler, virksomhedshjemmesider). De er probabilistiske inferenser — ikke videnskabelige personlighedsvurderinger — og er ikke baseret på biometriske data. Mirror garanterer ikke deres nøjagtighed.
  • Anthropic som underdatabehandler: Anthropic PBC behandler data som underdatabehandler alene med henblik på at generere svar på de forespørgsler Mirror sender. Anthropic anvender ikke kundedata til modeltraning — dette er bekræftet via Anthropics enterprise-DPA og API-vilkår. Overførslen til USA sker under EU-standardkontraktklausuler (SCC, Kommissionens afgørelse 2021/914, Modul 3: Processor-to-Processor).

Dine rettigheder

Du har følgende rettigheder i henhold til GDPR kapitel III. Anmodninger besvares inden for 30 dage fra modtagelse. Skriv til privacy@mirrorsub.com.

  • Ret til indsigt (Art. 15): Du har ret til at få bekræftet, om vi behandler oplysninger om dig, og i givet fald at modtage en kopi af disse oplysninger samt information om behandlingens formål, kategorier, modtagere og opbevaringsperioder.
  • Ret til berigtigelse (Art. 16): Du har ret til at få urigtige personoplysninger om dig berigtiget og ufuldstændige oplysninger suppleret uden unødig forsinkelse.
  • Ret til sletning — “retten til at blive glemt” (Art. 17): Du har under visse omstændigheder ret til at få dine personoplysninger slettet, herunder når de ikke længere er nødvendige til det formål, de blev indsamlet til, eller når du trækker dit samtykke tilbage. Kontodata slettes inden for 30 dage, prospect-data og pipeline-data slettes straks.
  • Ret til begrænsning af behandling (Art. 18): Du har ret til at anmode om, at behandlingen af dine oplysninger begrænses, mens en tvist om rigtighed eller lovlighed afklares.
  • Ret til dataportabilitet (Art. 20): Du har ret til at modtage de personoplysninger du har givet os i et struktureret, almindeligt anvendt og maskinlæsbart format (JSON/CSV). Data kan eksporteres direkte fra Indstillinger i dit Mirror-workspace.
  • Ret til indsigelse (Art. 21): Du har til enhver tid ret til at gøre indsigelse mod behandling af dine personoplysninger, der foretages på grundlag af berettiget interesse (Art. 6(1)(f)). Vi vil herefter ophøre med behandlingen, medmindre vi kan påvise vægtige legitime grunde.
  • Rettigheder vedrørende automatisk behandling (Art. 22): Mirror træffer ikke automatiserede afgørelser med retsvirkninger for fysiske personer. Denne ret er derfor ikke relevant i vores behandling, men vi bekræfter forpligtelsen eksplicit.
  • Ret til at klage til Datatilsynet: Du har ret til at indgive klage til Datatilsynet, Carl Jacobsens Vej 35, 2500 Valby, via dt.dk, hvis du mener, at vores behandling af dine personoplysninger ikke er i overensstemmelse med databeskyttelseslovgivningen.

Internationale overførsler

Mirrors primære datalagring sker i EU (Frankfurt, AWS eu-central-1). Følgende underleverandører befinder sig uden for EU/EØS, og overførsler til dem sker på følgende grundlag:

  • Anthropic PBC (USA): Modtager prompt-indhold for AI-behandling. SCC Modul 3 (2021/914). DPA indgået. Anthropic anvender ikke data til modeltræning. Inference-logs slettes efter 24 timer.
  • ElevenLabs Inc. (USA): Tekst-til-tale (TTS) til marketing-orb og bruger-briefs. Modtager tekst — ingen brugeridentifikation. SCC Modul 3. DPA indgået.
  • Clerk Inc. (USA): Autentificering og session-håndtering. SCC Modul 3. DPA indgået. SOC 2 Type II-certificeret.
  • Stripe Inc. (USA / Stripe Payments Europe): Betalingsbehandling. SCC. DPA indgået. PCI DSS Level 1-certificeret.
  • Google Ireland Limited — Gmail API (USA/EU): Valgfri Gmail-integration aktiveret af brugeren. Modtager e-mailindhold fra brugerens konto kun hvis integrationen er aktiveret. SCC. DPA indgået via Google Workspace.
  • Microsoft Corporation — Graph API (USA/EU): Valgfri Outlook- og kalenderintegration aktiveret af brugeren. SCC. DPA indgået via Microsoft Online Services.
  • HubSpot Inc. (USA): Valgfri CRM-integration aktiveret af brugeren. Modtager kontakt/deal-data fra brugerens HubSpot-instans. Mirror agerer som databehandler på brugerens vegne. SCC. DPA indgået.
  • Cloudflare Inc. (USA/Global): CDN, DNS og DDoS-beskyttelse. EU Data Localization Suite aktiveret. SCC. DPA indgået.
  • Nubela Pte. Ltd. / ProxyCurl (Singapore): Opslag af offentlige professionelle profiler til Mirror-briefs. Modtager fornavn, efternavn, firmanavn og jobtitel. SCC Modul 3. ⚠ DPA afventer indgåelse — brug er sat på standby.
  • Vercel Inc. (USA/EU): Serverless compute til Next.js. Behandler HTTP request-metadata in-memory. SCC. DPA indgået.

Den fulde og opdaterede liste over underleverandører, herunder retsgrundlag for overførsler og DPA-status, er tilgængelig på /juridisk/underleverandoerer.

Cookies og tracking

Mirror anvender et minimalt og privacyvenligt tracking-setup:

  • PostHog (produktanalyse): Pseudonymiserede brugsdata — klik, sidevisninger, funktion-brug. Hostet på EU Cloud (Frankfurt). Ingen prospect-data sendes til PostHog. Ingen advertising-cookies.
  • Sentry (fejlovervågning): Stack traces og fejlbeskeder fra frontend og backend. Konfigureret til ikke at inkludere prospect-data eller samtaleinput i fejlrapporter. Pseudonymiserede bruger-ID'er i fejlkontekst.
  • Session-cookies: Nødvendige session-cookies til autentificering via Clerk. Ingen third-party advertising-cookies. Ingen cross-site tracking.

Sikkerhed

Vi anvender følgende tekniske og organisatoriske sikkerhedsforanstaltninger i henhold til GDPR artikel 32:

  • Kryptering i transit: TLS 1.2 eller nyere på alle forbindelser
  • Kryptering i hvile: AES-256 på databaseniveau (Neon/AWS)
  • Adgangskontrol: rollebaseret adgang, MFA på interne systemer
  • Regelmæssige sikkerhedsgennemgange og dependency-opdateringer
  • Begrænset medarbejderadgang til produktionsdata på need-to-know-basis
  • Incident response-plan med 72-timers underretningsprocedure

Kontakt og svar

Henvendelser vedrørende dine personoplysninger rettes til privacy@mirrorsub.com. Vi bestræber os på at besvare henvendelser inden for 5 hverdage og er lovmæssigt forpligtet til at svare inden for 30 dage.

Ændringer til denne politik

Vi kan opdatere denne privatlivspolitik som følge af ændringer i tjenesten, lovgivningen eller vores behandlingspraksis. Ved væsentlige ændringer underretter vi dig via e-mail til den adresse tilknyttet din konto mindst 30 dage inden ændringerne træder i kraft. Ikke-væsentlige præciseringer træder i kraft ved offentliggørelse. Versionsdatoen øverst på denne side angiver hvornår politikken senest er opdateret.