Jak Therapy withVR souvisí se zákony, normami a rámci

Souhrn

Podrobnosti a citace zdrojů ke každému řádku se objevují v sekcích níže, organizované podle devíti kategorií Technology Checklist for SLPs.

Poznámka ke struktuře. Následující sekce odrážejí devět kategorií naší veřejné Technology Checklist for SLPs - tentýž rámec, který doporučujeme klinikům k hodnocení jakékoli technologie, včetně této. Tato stránka je rozpracovaný příklad pro náš vlastní produkt.

1. Ochrana osobních údajů a compliance

GDPR a UK GDPR

withVR BV je správcem osobních údajů zpracovávaných prostřednictvím Therapy withVR. Všechna data platformy jsou hostována na Google Cloud / Firebase ve Frankfurtu, Německo (europe-west1) - v rámci EHP. Osobní údaje jsou zákonně zpracovávány podle GDPR Article 6 na základech plnění smlouvy, oprávněných zájmů, právní povinnosti a souhlasu (pro marketingovou komunikaci). Britské osobní údaje jsou zpracovávány podle UK GDPR s ekvivalentními právními základy. Předání z UK do třetích zemí jsou řízena UK IDTA nebo UK Addendum to EU SCCs, podle situace. Subjekty údajů mají plná práva na přístup, opravu, výmaz, omezení, přenositelnost, vznesenou námitku a odvolání souhlasu podle GDPR Articles 15-22.

Zdroj: Privacy Policy §3, §7, §9 · Terms of Service §11

HIPAA - mimo rozsah dle návrhu

Therapy withVR není HIPAA covered entity a nefunguje jako Business Associate podle HIPAA. Platforma je navržena tak, aby Protected Health Information (PHI) do systému nevstupovaly - neukládá se žádná klinická dokumentace, diagnózy, identifikátory pacientů ani zdravotní záznamy. Pro americká zdravotnická prostředí spadá platforma dle návrhu mimo rozsah požadavků Business Associate Agreement. Skutečnost, že dodavatel nemá BAA, nutně neznamená nesoulad; v našem případě to znamená, že architektura se PHI vyhýbá už od návrhu. Uživatelé v amerických zdravotnických prostředích odpovídají za to, aby do platformy nebyly zadávány žádné PHI.

Zdroj: Privacy Policy §12 · ToS §11.1

FERPA - mimo rozsah dle návrhu

Povinnosti podle FERPA leží na vzdělávacích institucích, nikoli na dodavatelích. Therapy withVR není přímo subjektem FERPA. Platforma je navržena tak, aby studentské vzdělávací záznamy do systému nemusely vstupovat - data relace se skládají pouze z konfiguračních nastavení a textových štítků, které nepředstavují vzdělávací záznam podle definice FERPA. Dohlížející odborník odpovídá za to, aby nebyly zadávány žádné FERPA chráněné údaje. Pro americká školská distrikta withVR BV posoudí standardní FERPA dohodu Vaší instituce nebo Student Data Privacy Consortium (SDPC) National DPA a společně s Vámi najde vhodnou cestu - podpis ve stavu, jak je předložen, kde jsou podmínky proveditelné, návrh úpravy v případě potřeby, nebo poskytnutí withVR šablony. Kontaktujte legal@withvr.app pro zahájení jednání.

Zdroj: Educational Use Policy §3.1, §7 · Privacy Policy §13

COPPA

COPPA se vztahuje na online služby, které shromažďují osobní informace od dětí mladších 13 let. Therapy withVR není určena dětem a neshromažďuje osobní informace přímo od žádného uživatele, včetně dětí. Pokud je platforma používána s dětmi mladšími 13 let v školním kontextu, vystupuje škola jako držitel účtu podle výjimky pro školy v COPPA - studenti s platformou přímo nepracují jako uživatelé. Vzdělávací instituce odpovídají za postupy získávání souhlasu rodičů odpovídající jejich jurisdikci.

Zdroj: Educational Use Policy §3.2

Státní a regionální zákony o ochraně studentského soukromí

Různé americké státy přijaly zákony o ochraně studentského soukromí nad rámec FERPA - včetně Kalifornie (SOPIPA), New Yorku (Education Law 2-d), Colorada, Texasu a dalších. Výše uvedené architektonické závazky (žádné shromažďování PII, žádná reklama studentům, žádný prodej dat, žádné sledování chování, žádné profilování) jsou navrženy tak, aby podpořily soulad s těmito rámci. Instituce v jurisdikcích se specifickými požadavky nad rámec zde popsaného mohou požádat o doplňující dohody z legal@withvr.app.

Zdroj: Educational Use Policy §3.4

Hostování dat, předání a zpracovatelé

Všechna data platformy hostována na Google Cloud / Firebase ve Frankfurtu, Německo. Předání společnosti OpenAI (Spojené státy, pouze pro volitelné funkce AI) jsou řízena EU Standard Contractual Clauses 2021 podle GDPR Article 46(2)(c). Předání Stripe se uskutečňují podle SCCs a, pokud se uplatňuje, účastí v EU-US Data Privacy Framework. Plný seznam zpracovatelů s rolí, lokalitou a mechanismem předání každého poskytovatele je publikován na withvr.app/sub-processor-list; před přidáním nového zpracovatele je dáno oznámení nejméně 30 dní předem.

Zdroj: Privacy Policy §5, §7 · Sub-Processor List

Data, která neshromažďujeme

Žádné audio nebo video záznamy relací. Žádné hlasové vzorky od osoby uvnitř VR. Žádné biometrické údaje ze senzorů VR headsetu. Žádné PHI. Žádné studentské vzdělávací záznamy. Žádné přesné lokační údaje. Žádné finanční platební údaje (karty zpracovává Stripe). Žádné zvláštní kategorie osobních údajů podle GDPR Article 9. Jména profilu jsou na aplikační úrovni šifrovaná algoritmem AES-256 s unikátními inicializačními vektory pro každý záznam.

Zdroj: Privacy Policy §2.6, §8

Doby uchování

Údaje účtu a předplatného: 5 let po skončení předplatného (belgická obchodní promlčecí lhůta). Údaje relace a profilu: 3 roky po skončení předplatného. Výzkumné údaje podle Research Agreement: 24 měsíců po skončení projektu. Účetní doklady: 7 let (belgický zákon o účetnictví). Dřívější výmaz lze kdykoli požádat na legal@withvr.app a je proveden do 30 dní, kromě případů, kdy zákon vyžaduje delší uchovávání.

Zdroj: Privacy Policy §6

2. AI a transparentnost

Klasifikace podle EU AI Act

Therapy withVR byla formálně posouzena podle EU AI Act a není klasifikována jako vysoce rizikový systém AI podle Article 6 ani Annex III. Neposuzuje výukové výsledky, nesleduje chování studentů, nehodnotí testy, nerozhoduje o klinických otázkách a nepodporuje funkce zdravotnických prostředků. I kdyby se některá funkce považovala za zasahující do kategorie Annex III, uplatnily by se výjimky podle Article 6(3) (úzké procedurní úkoly, zlepšení výsledku dříve provedené lidské činnosti, nikoli náhrada lidského posouzení). Není vyžadováno žádné posouzení shody, záznam v EU databázi ani CE označení.

Zdroj: EU AI Act Statement §2

Article 5 - zakázané praktiky

Posouzeno a potvrzeno: žádné zakázané praktiky podle Article 5 nejsou přítomny. Žádné podprahové techniky, žádné zneužití zranitelnosti, žádné sociální skórování, žádná biometrická identifikace v reálném čase na dálku, žádné rozpoznávání emocí v pracovních nebo vzdělávacích kontextech.

Zdroj: EU AI Act Statement §2.4

Article 4 - gramotnost v oblasti AI

V účinnosti od února 2025. V souladu. withVR BV poskytuje živé úvodní školení všem uživatelům pokrývající použití, omezení a zodpovědné užívání funkcí AI. Dokumentace funkcí AI je obsažena v dokumentaci platformy. Instituce odpovídají za zajištění dostatečné úrovně gramotnosti v oblasti AI u vlastního personálu; naše úvodní školení tuto povinnost podporuje.

Zdroj: EU AI Act Statement §3

Article 50 - transparentnost u AI synteticky generovaného hlasu a textu

Použitelné od 2. srpna 2026. V přípravách. Disclosure je již přítomen v EULA, ToS, Privacy Policy a EU AI Act Compliance Statement. Disclosure v rámci platformy bude potvrzeno jako v souladu před termínem 2. srpna 2026. Hlasy avatarů jsou v každé relaci AI synteticky generované prostřednictvím Google Text-to-Speech; při aktivovaných volitelných funkcích OpenAI je text zadaný do AI polí zpracován systémem AI. Dohlížející odborníci odpovídají za informování osob, s nimiž pracují, kde to vyžadují profesní nebo institucionální povinnosti.

Zdroj: EU AI Act Statement §5

Funkce AI: poskytovatel, data, postoj k tréninku

Vždy aktivní: hlasová syntéza avatarů (Google Text-to-Speech). Pro hlasovou syntézu se odesílá pouze text řeči avatara; žádné údaje uživatelů, klientů či účastníků. Volitelné, ve výchozím stavu vypnuté: překlad vět, generování textu, autokorekce, rozpoznávání řeči Whisper, gramatika mluvčího, úprava formality, emocionální řeč (vše přes OpenAI API). Podle pravidel používání dat OpenAI API nejsou vstupy do API ve výchozím stavu používány k tréninku modelů OpenAI. Žádná jména klientů, záznamy relací ani PII o osobách, s nimiž pracujete, nejsou v normálním provozu odeslány ani jednomu z poskytovatelů. Uživatelé jsou výslovně instruováni, aby do AI textových polí nezadávali žádné PII.

Zdroj: Privacy Policy §4 · Sub-Processor List

3. Informovaný souhlas

Dohlížející odborník odpovídá za získání informovaného souhlasu od osob, s nimiž pracuje, v souladu se svým profesním kodexem, institucionální politikou a platnými právními předpisy. K podpoře poskytuje withVR bezplatnou VR Informed Consent Template, bezplatnou srozumitelnou VR informační brožuru pro klienty a rodiny a EU AI Act Compliance Statement s formulacemi disclosure připravenými k zařazení do vlastních dokumentů o souhlasu. Zapojení AI (syntetické hlasy a jakékoli aktivované funkce OpenAI) musí být sděleno tam, kde to vyžadují profesní standardy nebo platné právo.

Zdroj: Acceptable Use Policy §2 · EU AI Act Statement

4. Jazyk a přístupnost

WCAG 2.2 úroveň AA

Marketingový web (withvr.app): sebehodnocení proti WCAG 2.2 AA dokončené v dubnu 2026. Lighthouse Accessibility 100/100 na desktopu a mobilu pro prioritní stránky. Automatizované skeny pa11y a axe-core ukazují, že všechna zásadní selhání jsou vyřešena. Web App: probíhá proti WCAG 2.2 AA, se známými částečnými mezerami poctivě zdokumentovanými v Accessibility Statement (zoom prohlížeče, formální testování screenreaderů, formální audit kontrastu). VR App: sledování rukou podporované jako alternativa k ovladačům; fyzická přístupnost VR je klinickým rozhodnutím dohlížejícího odborníka.

Zdroj: Accessibility Statement §1, §4, §5

VPAT / ACR

VPAT v2.5 (International Edition) dokončena v březnu 2026, pokrývající WCAG 2.0/2.1/2.2, Section 508 a EN 301 549 pro platformu v4.0.0. K dispozici na vyžádání z legal@withvr.app.

European Accessibility Act, EN 301 549, Section 508

EAA v účinnosti od června 2025. Therapy withVR je primárně B2B profesionální platforma; uplatnitelnost EAA na B2B nástroje je sledována v souvislosti s vývojem belgických implementačních pokynů. Zlepšení přístupnosti směřují k EN 301 549 / WCAG 2.2 AA bez ohledu na uplatnitelnost EAA. Section 508: částečné sladění prostřednictvím práce na WCAG 2.2 AA; žádné formální posouzení Section 508 nedokončené.

Zdroj: Accessibility Statement §3, §7

Jazyky

Rozhraní Web App k dispozici v 59 jazycích. 52 kombinací jazykově-regionálních hlasů avatarů. Marketingový web k dispozici v 11 lokalizacích (angličtina plus nizozemština, francouzština, němčina, norština, italština, čeština, španělština, portugalština, řečtina, arabština, turečtina), se správným atributem lang a podporou RTL pro arabštinu.

5. Kulturní a klinická vhodnost

Všechny scénáře, věty a obsah konverzace jsou konfigurovatelné dohlížejícím odborníkem - kulturní a kontextovou relevanci určuje uživatel, nikoli my. Konfigurovatelná řečová prostředí a volně konfigurovatelná prázdná místnost podporují nácvik odpovídající reálnému kontextu jednotlivce. Peer-reviewed studie používající Therapy withVR nebo scénáře vyvinuté withVR jsou katalogizovány v Evidence Hub s plnou citací, srozumitelným shrnutím a odůvodněním jistoty pro každou. Platforma sama nedělá žádné tvrzení o klinické účinnosti; důkazy pochází z literatury.

Zdroj: Evidence Hub · Scenarios

6. Bezpečnost a hlášení incidentů

Šifrování a úložiště

Všechna data v klidu v Google Cloud Firestore jsou šifrována algoritmem AES-256 (výchozí infrastrukturní šifrování Google Cloud). Jména profilu jsou navíc šifrována na aplikační úrovni AES-256 s unikátními inicializačními vektory pro každý záznam. Všechna data přenášená jsou šifrována TLS 1.2 nebo vyšší. Hesla zcela spravuje Firebase Authentication - withVR BV nikdy nemá přístup k uživatelským heslům.

Zdroj: Privacy Policy §8 · DPA §6 (na vyžádání)

Správa patchů

Kritické patche (CVSS 9.0+, zero-days, zranitelnosti zasahující Firebase auth nebo storage): do 48 hodin. Vysoké (CVSS 7.0-8.9): do 7 dní. Střední (CVSS 4.0-6.9): do 30 dní nebo v rámci příští verze. Identifikace přes bulletiny dodavatelů, NVD/CVE a GitHub Dependabot. V souladu s povinnostmi GDPR Article 32 a belgickou implementací NIS2.

Zdroj: Patch Management Policy §4 (na vyžádání)

Hlášení porušení

Hlášení porušení zabezpečení osobních údajů belgickému Úřadu pro ochranu osobních údajů (GBA) do 72 hodin od zjištění (GDPR Article 33). Hlášení britskému ICO podle UK GDPR. Postižení uživatelé jsou bez zbytečného odkladu informováni, kde porušení pravděpodobně představuje vysoké riziko. Institucionální klienti s podepsanou DPA jsou informováni do 72 hodin podle podmínek DPA.

Zdroj: Privacy Policy §10 · ToS §11.3 · DPA §11 (na vyžádání)

Dostupnost a odolnost služby

Hostováno na Google Cloud Firebase (Frankfurt) podle 99,95% uptime SLA Google. Multi-zone replikace dat v EU regionu. Firestore point-in-time recovery se 7-denním oknem. Denní zálohy uchovávané 30 dní, týdenní zálohy uchovávané 98 dní. Priority incidentů (P1 plný výpadek / porušení dat do 2 hodin; P2 částečný výpadek do 4 hodin; P3 menší degradace následující pracovní den). Web App funguje nezávisle na marketingovém webu a VR App po instalaci funguje nezávisle na distribučním kanálu Meta Quest Store.

Zdroj: Business Continuity & Disaster Recovery Summary (na vyžádání)

Nezávislé bezpečnostní certifikace

Poctivá pozice: withVR BV v současnosti nedrží nezávislé certifikace SOC 2 Type II nebo ISO 27001. Infrastruktura platformy obě dědí z Google Cloud / Firebase, které obě spravuje. Nezávislé certifikace budou zváženy, až platforma dozraje. Pravidelné penetrační testování v současnosti není zavedeno; i to bude zváženo, až platforma dozraje.

Zdroj: Patch Management Policy §9 · BCDR §8.2 (na vyžádání)

Administrativní přístup

Poctivá pozice: withVR BV provozuje jediný člověk (zakladatel). Administrativní přístup k Firebase projektu je omezen na tuto osobu. Žádný další personál ani třetí strany nemají přímý přístup k produkční databázi nebo infrastruktuře. Multi-faktorová autentizace u administrativních účtů je plánována. Podkladová infrastruktura platformy běží na spravovaných službách Google Cloud, které fungují nezávisle na denní angažovanosti withVR BV, čímž se zmírňuje závislost na jedné osobě na úrovni infrastruktury. Scénáře nedostupnosti zakladatele jsou řešeny v Business Continuity Summary.

Zdroj: Privacy Policy §8 · BCDR §5 (na vyžádání)

Auditní logování

Google Cloud Audit Logs jsou zapnuty napříč celým produkčním projektem a poskytují proti manipulaci odolnou stopu každé administrativní akce a každé operace s daty zákazníků. Vždy zapnuté Admin Activity logy zaznamenávají každou změnu konfigurace. Admin Read, Data Read a Data Write logy jsou zapnuty pro Cloud Firestore (kde jsou uložena data zákazníků), Cloud Storage for Firebase API (pravidla a konfigurace) a Google Cloud Storage (operace se soubory - nahrání, stažení, smazání). Logy jsou uchovávány podle výchozí retenční politiky Google Cloud (400 dní pro data access logs, 400 dní pro admin activity) a používají se výhradně pro vyšetřování bezpečnostních incidentů a ověřování souladu. Toto je součástí technických a organizačních opatření withVR BV podle GDPR Article 32.

Zdroj: Google Cloud Audit Logs (Firebase projekt) · BCDR §6 (na vyžádání)

Síťové požadavky (pro institucionální IT)

Všechen provoz withVR BV využívá HTTPS na portu 443. Web App vyžaduje withvr.app, firestore.googleapis.com, firebasestorage.googleapis.com, texttospeech.googleapis.com a (pouze při zapnutých funkcích AI) api.openai.com. VR App se nepřipojuje k OpenAI. Hardware Meta Quest navíc vyžaduje domény platformy Meta - instituce s omezenými sítěmi (zejména školy) by měly zajistit, aby tyto nebyly blokovány. Úplný seznam domén, portů, prohlížečů a operačních systémů je na stránce Compatibility.

Zdroj: Compatibility · BCDR §8.1 (na vyžádání)

7. Práce s dětmi a ve školách

Držitelé účtu musí být 18+. Platforma může být s nezletilými používána pouze pod přímým dohledem a vedením kvalifikovaného dospělého odborníka. Studenti nikdy přímo nezakládají účty, nepřihlašují se ani neposílají žádné osobní údaje přímo do platformy. Žádná jména studentů, identifikátory ani PII nesmí být do platformy zadána. Hardware Meta Quest má samostatný minimální věk 10 let stanovený Meta - to je zásada Mety, nikoli naše, a platí bez ohledu na profesionální dohled.

Současně mohou platit tři prahy: věková politika platformy, platné právo o ochraně soukromí (např. 13 let podle COPPA, 13-16 let podle GDPR Article 8 v závislosti na členském státě) a klinický souhlas (typicky pod 18 let). Nejvyšší práh má přednost. Dohlížející odborník odpovídá za souhlas rodiče nebo opatrovníka v své jurisdikci.

Pro americké školy je k dispozici FERPA dohoda, Student Data Privacy Agreement nebo SDPC National DPA - viz sekce 8 (Dostupné smlouvy) níže.

Zdroj: Educational Use Policy §1, §3 · EULA §8

8. Organizační připravenost

Certifikace zdravotnického prostředku

Therapy withVR není zdravotnický prostředek. Bez CE označení podle EU MDR. Bez regulace FDA. Bez UKCA označení. Platforma nediagnostikuje, neléčí, neboduje, neměří a nerozhoduje klinicky. Všechna klinická rozhodnutí zůstávají výhradní odpovědností dohlížejícího odborníka. Funkce AI generují pouze obsahové návrhy a nepředstavují klinické poradenství ani posouzení.

Zdroj: EULA §1 · AUP §1 · EU AI Act Statement §2

SLA a uptime

withVR BV neposkytuje samostatnou záruku uptime, ale platforma dědí 99,95% uptime SLA Google Cloud pro podkladovou infrastrukturu. Plánovaná údržba je tam, kde je to možné, oznamována předem. Neplánovaný výpadek je oznamován e-mailem a na webu.

Zdroj: ToS §12.2 · EULA §11

Ceny a DPH

Standardní předplatné EUR 49 měsíčně za místo (bez DPH, při roční fakturaci). Víceleté slevy k dispozici až na 5 let. Tolik míst, kolik je potřeba. Cenové nabídky na hlavičkovém papíře, fakturace na základě objednávky a doplňující dokumentace pro nákup k dispozici na vyžádání. Můžeme jednat přímo s týmy IT, nákupu nebo ochrany údajů pro vyřešení požadavků na registraci dodavatelů.

Zdroj: ToS §6 · Refund Policy

Ochrana spotřebitele (EU)

Zákonné 14-denní právo odstoupení podle směrnice EU Consumer Rights Directive 2011/83/EU a belgického implementačního zákona. Belgické právo / soud v Gentu. Spotřebitelé EU si zachovávají právo zahájit řízení v místě svého obvyklého bydliště; evropská platforma řešení sporů online je k dispozici na ec.europa.eu/consumers/odr (otevře se v nové kartě).

Zdroj: ToS §6.4, §16 · Refund Policy §2, §9

9. Validace odbornou komunitou

Therapy withVR se aktivně používá v peer-reviewed výzkumu na univerzitách a v nemocnicích v mnoha zemích. Evidence Hub kataloguje každou publikovanou studii s plnou citací, srozumitelným shrnutím a hodnocením jistoty. Univerzity, NHS trusts a školská distrikta, která již dokončila vlastní institucionální schvalovací procesy, jsou ráda přístupné jako reference - dotazy přes hello@withvr.app.

Dostupné smlouvy

Na vyžádání od legal@withvr.app: DPA, FERPA dohoda / SDPC National DPA, Research Agreement, vlastní doplňující dohoda, dokumentace DPIA, VPAT v2.5, souhrn BCDR, Patch Management Policy.

Dokumenty

Všechny veřejné právní dokumenty jsou propojeny z withvr.app/legal:

• Privacy Policy (anglicky)
• Terms of Service (anglicky)
• End User License Agreement (anglicky)
• Acceptable Use Policy (anglicky)
• Educational Use Policy (anglicky)
• EU AI Act Compliance Statement (anglicky)
• Accessibility Statement (anglicky)
• Cookie Policy (anglicky)
• Refund and Return Policy (anglicky)
• Sub-Processor List (anglicky)

Co netvrdíme

Transparentnost ohledně hranic je součástí návrhu:

• Netvrdíme v žádném ohledu, že jsme zdravotnický prostředek.
• Netvrdíme soulad s HIPAA - jsme dle návrhu mimo rozsah HIPAA.
• Netvrdíme nezávislé certifikace SOC 2 Type II ani ISO 27001. Obě dědí z Google Cloud na infrastrukturní vrstvě; nezávislé certifikace budou zváženy, až platforma dozraje.
• Netvrdíme dokončenou nezávislou WCAG audit. Máme sebehodnocení, automatizované skeny, VPAT v2.5 a Lighthouse skóre 100/100 na marketingovém webu. Formální objednaný audit je plánován, až to financování umožní.
• Netvrdíme soulad s NIS2 - tvrdíme sladění s belgickou implementací NIS2 prostřednictvím Patch Management Policy.
• Netvrdíme, že AI nahrazuje klinický úsudek. Každá funkce AI je volitelná, ve výchozím stavu vypnutá a kontrolovatelná. Hlasy avatarů jsou vždy uvedeny jako AI synteticky generované.

Kontakt

Nákup, dotazníky dodavatelů, bezpečnostní recenze a žádosti o smlouvy: legal@withvr.app. Náš veřejný Technology Checklist for SLPs je rámec, podle kterého je tato stránka strukturována - použijte jej na nás, nebo na jakýkoli jiný nástroj, který hodnotíte.

withVR BV · Jozef Hebbelynckstraat 21, Merelbeke 9820, Belgium · BE-0790.909.294 · Poslední revize 2026-04-26