Underleverandører.
Opdateret: 10. maj 2026
Mirror anvender følgende underleverandører (“underdatabehandlere”) til at levere tjenesten. For hver leverandør angives præcist hvad der sendes, på hvilken placering data befinder sig, og hvilket retsgrundlag der gælder for eventuelle internationale overførsler. Denne liste opfylder kravene til transparens i GDPR artikel 28 og vores databehandleraftale.
| Leverandør | Formål | Hvad sendes | Placering | Overførselsgrundlag | DPA-status | Kategori |
|---|---|---|---|---|---|---|
| Neon Inc. | Managed PostgreSQL-database — primær datalager for al applikationsdata | Al applikationsdata: konto-, pipeline-, prospect- og samtaledata | EU (Frankfurt, AWS eu-central-1) | Ingen overførsel (EU-lokation) | DPA indgået. ISO 27001-certificeret infrastruktur (AWS). | Database |
| AWS (Amazon Web Services) | Cloud-infrastrukturlag som underleverandør til Neon (databasehosting) | Infrastrukturlag. Mirror har ingen direkte AWS-kontrakt — data behandles via Neon, der er ansvarlig for AWS-DPA. | EU (eu-central-1, Frankfurt) | Ingen overførsel (EU-lokation) | AWS DPA indgået via Neon. ISO 27001, SOC 1/2/3-certificeret. | Infrastruktur |
| Vercel Inc. | Hosting af webapplikation (Next.js), serverless compute og edge-funktioner | HTTP request-metadata, serverless compute-kontekst (indhold behandles in-memory, lagres ikke hos Vercel) | EU (Frankfurt prioriteret via edge-config) | SCC (hvis US-routing forekommer) | DPA indgået. EU-prioriteret routing aktiveret. | Infrastruktur |
| Cloudflare Inc. | CDN, DNS, DDoS-beskyttelse, WAF og SSL-terminering | HTTP request-headers: IP-adresse (ephemeral), User-Agent. Indholdet af krypterede requests tilgås ikke. | Global (EU Data Localization Suite aktiveret) | SCC | DPA indgået. EU Data Localization Suite aktiveret — metadata-behandling begrænset til EU. | Infrastruktur |
| Clerk Inc. | Autentificering, brugeradministration, session-håndtering og MFA | E-mailadresse, navn, session-tokens og autentificeringsdata | USA | SCC Modul 3 (2021/914) | DPA indgået. SOC 2 Type II-certificeret. | Auth |
| Stripe Inc. | Betalingsbehandling, abonnementsstyring og fakturering | Faktureringsadresse, e-mail og betalingskort-metadata. Kortdata lagres ikke i Mirrors database — behandles direkte af Stripe. | USA (EU-enheder via Stripe Payments Europe, Ltd.) | SCC | DPA indgået. PCI DSS Level 1-certificeret. | Betalinger |
| Simply.com A/S | Transaktionelle e-mails og systemnotifikationer: nyhedsbreve, DSAR-bekræftelser, morning briefs og øvrige servicemeddelelser | E-mailadresse, navn og indhold af udgående e-mails | Danmark (EU) | Ingen overførsel (EU-lokation) | DPA indgået via Simply.com's databehandleraftale. | |
| Anthropic PBC | AI-modeller (Claude API) — genererer DISC-profiler, salgsforslag, mødeforberedelsesbriefer, Live Assist-svar og Practice-simulationer | Prompt-indhold: prospect-profiltekst og bruger-input du aktivt sender til analyse | USA | SCC Modul 3 (2021/914) | DPA indgået. Ingen modeltræning på kundedata. Bekræftet via enterprise-API-vilkår. Inference-logs slettes efter 24 timer. | AI |
| ElevenLabs Inc. | Tekst-til-tale (TTS) — genererer stemmeobjekter til marketing-orb og bruger-briefs | Tekst der konverteres til lyd: marketing-hilsener og brief-uddrag. Ingen brugeridentifikationsdata sendes til ElevenLabs. | USA | SCC Modul 3 (2021/914) | DPA indgået via ElevenLabs' databehandlingsaftale. Lydgenerering sker on-demand — ingen lagring af brugerdata hos ElevenLabs. | AI / Lyd |
| Nubela Pte. Ltd. (ProxyCurl) | Opslag af offentlige professionelle profiler — navn, titel og arbejdshistorik — til generering af Mirror-briefs | Fornavn, efternavn, firmanavn/domæne og jobtitel. Ingen følsomme personoplysningskategorier. Returnerede data behandles in-memory og gemmes ikke separat. | Singapore | SCC Modul 3 (2021/914) — Singapore har ikke EU-adækvansbeslutning | ⚠ DPA afventes. Brug af ProxyCurl er sat på standby indtil DPA er underskrevet. Skriv til privacy@mirrorsub.com for status. | Data / Enrichment |
| Google Ireland Limited (Gmail API) | Gmail-integration — synkronisering af e-mailtråde og afsendelse af e-mails på vegne af brugeren (valgfrit, aktiveres af brugeren) | OAuth-token og e-mailindhold fra brugerens Gmail-konto. Behandles kun hvis brugeren aktiverer integrationen. Ingen data lagres uden for Mirrors database. | USA / EU (Google Workspace) | SCC | DPA indgået via Google Workspace-databehandleraftalen. Integration er opt-in — aktiveres kun ved eksplicit brugerkonsent. | Integration |
| Microsoft Corporation (Graph API) | Outlook-integration — synkronisering af e-mailtråde og kalenderdata (valgfrit, aktiveres af brugeren) | OAuth-token og e-mail/kalenderindhold fra brugerens Microsoft 365-konto. Behandles kun hvis brugeren aktiverer integrationen. | USA / EU (Microsoft 365) | SCC | DPA indgået via Microsoft Online Services Databehandleraftalen. Integration er opt-in. | Integration |
| HubSpot Inc. | CRM-integration — synkronisering af kontakt- og dealdata fra brugerens HubSpot-instans (valgfrit, aktiveres af brugeren) | Bruger-leveret HubSpot API-token og kontakt/deal-data fra brugerens egen HubSpot-instans. Mirror agerer som databehandler på brugerens vegne. | USA | SCC | DPA indgået via HubSpot's databehandlingsaftale. Integration er opt-in. | Integration / CRM |
| PostHog Inc. | Produktanalyse og telemetri til fejlretning og produktforbedring (planlagt — ikke aktivt i V1) | Pseudonymiserede brugerhandlinger: klik, sidevisninger og funktion-brug. Ingen prospect-data, ingen samtaleinput. | EU Cloud (Frankfurt) | Ingen overførsel (EU Cloud-instans) | DPA indgået. EU-instans aktiveret. Aktiveres ved lancering. | Analyse |
| Sentry (Functional Software) | Fejl- og undtagelsesmonitorering for frontend og backend (planlagt — ikke aktivt i V1) | Stack traces og fejlbeskeder. Konfigureret til ikke at indfange prospect-data eller samtaleinput. | USA (EU-instans tilgængelig) | SCC | DPA indgået. Aktiveres ved lancering. | Observability |
Varsling om nye underdatabehandlere
Mirror underretter kunder om tilføjelse af nye underdatabehandlere eller væsentlige ændringer i eksisterende underdatabehandleres behandling mindst 30 dage inden ændringen træder i kraft. Underretning sker via e-mail til workspace-administratoren.
Kunder har ret til at gøre indsigelse mod nye underdatabehandlere inden for 14 dage fra underretningen, jf. vores databehandleraftale § 5. For at abonnere på underretninger om ændringer i underdatabehandlerlisten, skriv til privacy@mirrorsub.com.
EU AI Act og underdatabehandlere
Mirror anvender to AI-underleverandører: Anthropic PBC (sprog/reasoning) og ElevenLabs Inc. (tekst-til-tale). Anthropic er klassificeret som udbyder af en general-purpose AI-model (GPAI) under EU AI Act (EU 2024/1689). Mirror anvender Claude API i et deployment klassificeret som “Limited Risk”, og Mirror påtager sig ansvaret for overholdelse af transparensforpligtelserne i artikel 52 i relation til slutbrugerne. ElevenLabs behandler ikke personoplysninger i juridisk forstand — tekst sendt til TTS-API'et indeholder ikke brugeridentifikation.
Ingen underdatabehandler — herunder Anthropic og ElevenLabs — må anvende data de modtager fra Mirror til at træne, fine-tune eller på anden måde forbedre AI-modeller. Dette er kontraktuelt sikret via DPA med Anthropic og vil blive krævet af alle fremtidige AI-underdatabehandlere som en ufravigelig betingelse.
Mirror foretager løbende vurdering af nye AI-udbyderes overholdelse af EU AI Act inden opstart som underdatabehandler.
Ingen af ovenstående leverandører bruger data de modtager fra Mirror til andre formål end dem der er angivet ovenfor. Mirror indgår DPA med alle underdatabehandlere der behandler personoplysninger. Internationale overførsler sker udelukkende på grundlag af EU-standardkontraktklausuler (SCC, Kommissionens afgørelse 2021/914) eller anden gyldig overførselsmekanisme. Kopier af relevante SCC-er er tilgængelige på anmodning til privacy@mirrorsub.com.