HubSpot Breeze

Vad det är

Paraplybeteckning för HubSpots AI-funktioner i CRM-plattformen. Innehåller:

• Breeze Copilot / Assistant — generell AI-assistent inbäddad i HubSpot-UI:t (skriv mejl, sammanfatta kontakter, formulera sälj-meddelanden)
• Breeze Agents — specialiserade agenter (Customer Agent, Prospecting Agent, Company Research Agent, Data Agent, Customer Health Agent) som kör återkommande uppgifter
• 100+ inbäddade AI-features — Content Remix, AI-skrivare, AI Search, AI-baserad email-content-optimering, m.m.

Tekniskt drivs Breeze av en multi-modell-stack med OpenAI (GPT-4.1, GPT-4.1 mini, GPT-5 mini) och Anthropic (Claude Opus 4.5, Claude Sonnet 4) som primära LLM-providers — kontraktuellt under "no training, zero data retention"-villkor enligt HubSpots AI trust center.

Typisk dataaccess

• All CRM-data: kontakter, företag, deals, tickets, e-mailhistorik, mötesnoter, anteckningar
• Marketing-data: kampanjer, formulär, listor, attributionsdata
• Vid Content Remix / Content Assistant: dokument och bilder användaren laddar upp
• Vid Breeze Agents: kan göra åtgärder (skicka mejl, uppdatera deals, skapa tasks) i kundens namn
• Vid AI Search: söker över hela kunddatabasen användaren har behörighet till

EU AI Act-bedömning

Risknivå: Limited (GPAI i CRM-/sälj-kontext med transparensplikt enligt Article 50)

Motivering: Breeze är GPAI-baserad och faller under Article 50-transparensplikt — användare ska veta att de interagerar med AI. Annex III-områden kan aktiveras vid specifika användningsfall: t.ex. om Customer Health Agent automatiskt fattar beslut om kundsegmentering som påverkar kreditgivning, eller om Prospecting Agent används för automatiserad screening med juridiska effekter. Då flyttas high-risk-bördan till användaren.

GDPR-överväganden

Datalagring:

• HubSpot tränar inte modellerna på kunddata — kontraktuellt enligt deras AI trust center
• LLM-providers (OpenAI, Anthropic) är konfigurerade med Zero Data Retention enligt HubSpot
• Core CRM-data kan ligga i EU-datacenter (sedan EU-region-lanseringen) — behöver verifieras om Breeze AI-prompts också processas i EU
• Audit logs och prompt-loggar på HubSpots sida — retention behöver verifieras

Datatransfer: Sannolik tredjelandsöverföring till US för LLM-anrop även när core data ligger i EU. SCC + EU-US Data Privacy Framework tillämpas via HubSpots DPA. Behöver verifieras: om Enterprise-tier har möjlighet att förbjuda US-routing.

DPA tillgänglig: Ja, via legal.hubspot.com. Behöver verifieras: om alla tiers (Starter, Professional, Enterprise) får DPA eller bara betalande tiers.

Särskilda risker:

• Multi-LLM-stack betyder fler sub-processors (OpenAI + Anthropic + ev. Stability AI för bilder) — ökad granskningsyta
• Breeze Agents agerar i kundens namn — agentiska handlingar kan skapa juridiska effekter mot tredje part
• Vid integrationer (Gmail, Outlook, kalender) ser AI:n också extern e-postdata som inte är HubSpot-native
• Custom LLM Workflow Actions (Enterprise) — kunden kan koppla in egna LLM-providers (Cohere, xAI Grok, Google Gemini) vilket kringgår HubSpots standardvillkor

Vanliga risker

• Säljare klistrar in klient-NDA-info eller priskänslig data i Breeze Copilot → text skickas till OpenAI/Anthropic
• Prospecting Agent skrapar publik data om klienters konkurrenter → kan blanda anonymitetslager
• Customer Agent svarar automatiskt på supportärenden — risk att felaktig/hallucinerad info skickas i byråns namn
• AI-genererade säljmejl med påståenden om byråns kompetens (revisorslagens marknadsföringsregler kan beröras)
• Sammanblandning mellan byråns egna CRM-data och klientens CRM-data om byrån driver HubSpot åt klient

Rekommenderade mitigeringar

• Inventera vilka Breeze Agents som är aktiverade — många är defaultade på i nyare HubSpot-instanser
• Stäng av Customer Agent helt om byrån inte vill ha automatiserade kundsvar
• Förbjud klientdata i fält där Breeze Copilot kan läsa (anteckningar, deal-noter) utan att flagga som AI-behandlat
• Använd HubSpots inbyggda permission-modell — Breeze ärver användarens åtkomster, inte mer
• Granska sub-processor-listan vid kontraktstecknande, särskilt om byrån har klienter med strikt no-US-policy
• Behöver verifieras: hur Breeze loggar prompts för audit (krävs för revisorslagens dokumentationsplikt)

Branschspecifik vägledning – revision/redovisning

Får användas för:

• Intern säljpipeline för byrån själv (egna prospects, egna deals)
• Formulering av allmänna marknadsförings-mejl utan klient-specifik info
• Sammanfattning av offentliga företagsdata vid prospektering
• Mall-skapande, kampanjuppföljning, intern reporting

Får INTE användas för:

• Klient-CRM som innehåller granskningsbevis eller revisorslagens 19 §-känslig info
• Automatiserade beslut om klientacceptans eller klient-screening (KYC) — kräver human review
• Lagring av personuppgifter om klienters anställda (löner, prestationsdata) — fel verktyg
• Klientmedel-relaterad info eller bankuppgifter i deal-fält

Särskild försiktighet vid:

• Breeze Agents som agerar mot klient — varje automatisk mejl ut till klient bör godkännas av människa
• Custom LLM Workflow Actions — om byrån kopplar in egen OpenAI-key utanför HubSpots kontroll, ändras hela compliance-bilden
• HubSpot Mobile-appen — Breeze Copilot är tillgängligt även där, lättare att råka klistra in fel data
• Integration mot Outlook/Gmail — AI:n kan se all mejlkorrespondens, inte bara den som synkas till HubSpot

Källor

• HubSpot AI Trust Center: https://trust.hubspot.com/ai
• HubSpot Breeze produktsida: https://www.hubspot.com/products/artificial-intelligence
• HubSpot DPA: https://legal.hubspot.com/dpa
• HubSpot AI Model Cards (behindhubspotai.com refererad från trust.hubspot.com/ai)
• Saknas: publik sub-processor-lista specifikt för Breeze AI-features (404 på legal.hubspot.com/subprocessors vid skrivtillfället), EU-residency-status för Breeze AI-prompts, retention-period för prompt-loggar, Article 50-disclosure-formulering, DPA-tier-coverage (alla tiers eller endast paid)