Πώς το Therapy withVR συνδέεται με νόμους, πρότυπα και πλαίσια

Σύνοψη

Σημείωση για τη δομή. Οι παρακάτω ενότητες αντικατοπτρίζουν τις εννέα κατηγορίες της δημόσιας μας Technology Checklist for SLPs - το ίδιο πλαίσιο που συστήνουμε στους κλινικούς για να αξιολογήσουν οποιαδήποτε τεχνολογία, συμπεριλαμβανομένης και αυτής. Η σελίδα αυτή είναι το πλήρες παράδειγμα για το δικό μας προϊόν.

1. Προστασία δεδομένων και συμμόρφωση

GDPR και UK GDPR

Η withVR BV είναι υπεύθυνη επεξεργασίας για τα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία μέσω της Therapy withVR. Όλα τα δεδομένα της πλατφόρμας φιλοξενούνται στο Google Cloud / Firebase στη Φρανκφούρτη, Γερμανία (europe-west1) - εντός του ΕΟΧ. Τα προσωπικά δεδομένα υφίστανται νόμιμη επεξεργασία σύμφωνα με το GDPR Article 6 με βάση την εκτέλεση σύμβασης, τα έννομα συμφέροντα, τη νομική υποχρέωση και τη συγκατάθεση (για επικοινωνίες μάρκετινγκ). Τα προσωπικά δεδομένα του Ηνωμένου Βασιλείου επεξεργάζονται βάσει του UK GDPR με ισοδύναμες νομικές βάσεις. Οι διαβιβάσεις του Ηνωμένου Βασιλείου σε τρίτες χώρες διέπονται από το UK IDTA ή το UK Addendum to EU SCCs, κατά περίπτωση. Τα υποκείμενα των δεδομένων έχουν πλήρη δικαιώματα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού, φορητότητας, εναντίωσης και ανάκλησης συγκατάθεσης βάσει των GDPR Articles 15-22.

Πηγή: Privacy Policy §3, §7, §9 · Terms of Service §11

HIPAA - εκτός πεδίου κατά σχεδιασμό

Η Therapy withVR δεν είναι HIPAA covered entity και δεν λειτουργεί ως Business Associate βάσει HIPAA. Η πλατφόρμα είναι σχεδιασμένη ώστε η Protected Health Information (PHI) να μην εισέρχεται στο σύστημα - δεν αποθηκεύονται κλινικά αρχεία, διαγνώσεις, αναγνωριστικά ασθενών ή αρχεία υγείας. Για αμερικανικά περιβάλλοντα υγείας, η πλατφόρμα κατά σχεδιασμό εμπίπτει εκτός του πεδίου των απαιτήσεων Business Associate Agreement. Το γεγονός ότι ένας προμηθευτής δεν έχει BAA δεν συνεπάγεται κατ' ανάγκη μη συμμόρφωση· στην περίπτωση μας σημαίνει ότι η αρχιτεκτονική αποφεύγει την PHI εξαρχής. Οι χρήστες σε αμερικανικά περιβάλλοντα υγείας είναι υπεύθυνοι να διασφαλίζουν ότι δεν εισάγεται καμία PHI στην πλατφόρμα.

Πηγή: Privacy Policy §12 · ToS §11.1

FERPA - εκτός πεδίου κατά σχεδιασμό

Οι υποχρεώσεις βάσει FERPA βαρύνουν τα εκπαιδευτικά ιδρύματα, όχι τους προμηθευτές. Η Therapy withVR δεν υπόκειται απευθείας στο FERPA. Η πλατφόρμα είναι σχεδιασμένη ώστε τα εκπαιδευτικά αρχεία των μαθητών να μην χρειάζεται να εισέρχονται στο σύστημα - τα δεδομένα συνεδρίας συνίστανται μόνο σε ρυθμίσεις διαμόρφωσης και ετικέτες κειμένου, που δεν αποτελούν εκπαιδευτικό αρχείο όπως ορίζεται από το FERPA. Ο επιβλέπων επαγγελματίας είναι υπεύθυνος να διασφαλίζει ότι δεν εισάγονται δεδομένα προστατευόμενα από FERPA. Για αμερικανικές σχολικές περιφέρειες, η withVR BV θα εξετάσει την τυπική συμφωνία FERPA του ιδρύματος σας ή το Student Data Privacy Consortium (SDPC) National DPA και θα συνεργαστεί μαζί σας για να βρείτε κατάλληλη οδό - υπογραφή όπως υποβλήθηκε όπου οι όροι είναι εφικτοί, πρόταση τροποποιήσεων όπου χρειάζεται, ή παροχή υποδείγματος withVR αντ' αυτού. Επικοινωνήστε με legal@withvr.app για να ξεκινήσει η συζήτηση.

Πηγή: Educational Use Policy §3.1, §7 · Privacy Policy §13

COPPA

Το COPPA εφαρμόζεται σε διαδικτυακές υπηρεσίες που συλλέγουν προσωπικές πληροφορίες από παιδιά κάτω των 13 ετών. Η Therapy withVR δεν απευθύνεται σε παιδιά και δεν συλλέγει προσωπικές πληροφορίες απευθείας από κανένα χρήστη, συμπεριλαμβανομένων των παιδιών. Όταν η πλατφόρμα χρησιμοποιείται με παιδιά κάτω των 13 ετών σε σχολικό πλαίσιο, το σχολείο ενεργεί ως κάτοχος λογαριασμού βάσει της school official exception του COPPA - οι μαθητές δεν αλληλεπιδρούν με την πλατφόρμα απευθείας ως χρήστες. Τα εκπαιδευτικά ιδρύματα είναι υπεύθυνα για τις διαδικασίες γονικής συγκατάθεσης που ισχύουν στη δικαιοδοσία τους.

Πηγή: Educational Use Policy §3.2

Πολιτειακοί και περιφερειακοί νόμοι περί μαθητικής ιδιωτικότητας

Διάφορες αμερικανικές πολιτείες έχουν θεσπίσει νόμους για την ιδιωτικότητα των μαθητών πέραν του FERPA - μεταξύ των οποίων Καλιφόρνια (SOPIPA), Νέα Υόρκη (Education Law 2-d), Κολοράντο, Τέξας και άλλες. Οι παραπάνω αρχιτεκτονικές δεσμεύσεις (καμία συλλογή PII, καμία διαφήμιση σε μαθητές, καμία πώληση δεδομένων, καμία συμπεριφορική παρακολούθηση, καμία κατασκευή προφίλ) σχεδιάστηκαν για να υποστηρίζουν τη συμμόρφωση με αυτά τα πλαίσια. Ιδρύματα σε δικαιοδοσίες με συγκεκριμένες απαιτήσεις πέραν όσων περιγράφονται εδώ μπορούν να ζητήσουν συμπληρωματικές συμφωνίες από legal@withvr.app.

Πηγή: Educational Use Policy §3.4

Φιλοξενία δεδομένων, διαβιβάσεις και υπεργολάβοι επεξεργασίας

Όλα τα δεδομένα της πλατφόρμας φιλοξενούνται στο Google Cloud / Firebase στη Φρανκφούρτη, Γερμανία. Οι διαβιβάσεις προς την OpenAI (Ηνωμένες Πολιτείες, μόνο για προαιρετικές λειτουργίες ΤΝ) διέπονται από τις EU Standard Contractual Clauses 2021 βάσει του GDPR Article 46(2)(c). Οι διαβιβάσεις στη Stripe λειτουργούν βάσει SCCs και συμμετοχής στο EU-US Data Privacy Framework, όπου εφαρμόζεται. Η πλήρης λίστα υπεργολάβων επεξεργασίας με τον ρόλο, τη θέση και τον μηχανισμό διαβίβασης κάθε παρόχου δημοσιεύεται στο withvr.app/sub-processor-list· δίνεται ειδοποίηση τουλάχιστον 30 ημερών πριν από την προσθήκη οποιουδήποτε νέου υπεργολάβου επεξεργασίας.

Πηγή: Privacy Policy §5, §7 · Sub-Processor List

Δεδομένα που δεν συλλέγουμε

Καμία ηχογράφηση ή βιντεοσκόπηση συνεδριών. Κανένα δείγμα ομιλίας από το άτομο εντός VR. Κανένα βιομετρικό δεδομένο από αισθητήρες γυαλιών VR. Καμία PHI. Κανένα μαθητικό εκπαιδευτικό αρχείο. Κανένα ακριβές δεδομένο τοποθεσίας. Κανένα οικονομικό δεδομένο πληρωμής (η Stripe χειρίζεται τις κάρτες). Καμία ειδική κατηγορία δεδομένων βάσει GDPR Article 9. Τα ονόματα προφίλ κρυπτογραφούνται σε επίπεδο εφαρμογής με AES-256 με μοναδικά διανύσματα αρχικοποίησης ανά εγγραφή.

Πηγή: Privacy Policy §2.6, §8

Διατήρηση

Δεδομένα λογαριασμού και συνδρομής: 5 έτη μετά τη λήξη της συνδρομής (βελγική προθεσμία εμπορικής παραγραφής). Δεδομένα συνεδρίας και προφίλ: 3 έτη μετά τη λήξη της συνδρομής. Ερευνητικά δεδομένα βάσει Research Agreement: 24 μήνες μετά τη λήξη του έργου. Λογιστικές εγγραφές: 7 έτη (βελγικός νόμος περί λογιστικής). Πρώιμη διαγραφή μπορεί να ζητηθεί οποτεδήποτε στο legal@withvr.app και εκπληρώνεται εντός 30 ημερών, εκτός αν ο νόμος απαιτεί μεγαλύτερη διατήρηση.

Πηγή: Privacy Policy §6

2. ΤΝ και διαφάνεια

Κατηγοριοποίηση βάσει EU AI Act

Η Therapy withVR έχει αξιολογηθεί επίσημα βάσει του EU AI Act και δεν κατηγοριοποιείται ως σύστημα ΤΝ υψηλού κινδύνου βάσει του Article 6 ή του Annex III. Δεν αξιολογεί μαθησιακά αποτελέσματα, δεν παρακολουθεί τη συμπεριφορά μαθητών, δεν βαθμολογεί αξιολογήσεις, δεν λαμβάνει κλινικές αποφάσεις και δεν υποστηρίζει λειτουργίες ιατροτεχνολογικού προϊόντος. Ακόμη και αν κάποια λειτουργία θεωρηθεί ότι αγγίζει κατηγορία του Annex III, θα εφαρμόζονταν οι εξαιρέσεις του Article 6(3) (στενές διαδικαστικές εργασίες, βελτίωση του αποτελέσματος προηγούμενης ανθρώπινης δραστηριότητας, χωρίς αντικατάσταση της ανθρώπινης αξιολόγησης). Δεν απαιτείται αξιολόγηση συμμόρφωσης, καταχώριση στη βάση δεδομένων της ΕΕ ή σήμανση CE.

Πηγή: EU AI Act Statement §2

Article 5 - απαγορευμένες πρακτικές

Εξετάσθηκε και επιβεβαιώθηκε: δεν υπάρχουν απαγορευμένες πρακτικές βάσει Article 5. Καμία υποσυνείδητη τεχνική, καμία εκμετάλλευση ευαλωτοτήτων, κανένα social scoring, καμία απομακρυσμένη βιομετρική ταυτοποίηση σε πραγματικό χρόνο, καμία αναγνώριση συναισθημάτων σε εργασιακά ή εκπαιδευτικά πλαίσια.

Πηγή: EU AI Act Statement §2.4

Article 4 - γραμματισμός στην ΤΝ

Σε ισχύ από τον Φεβρουάριο του 2025. Σε συμμόρφωση. Η withVR BV παρέχει ζωντανή εκπαίδευση onboarding σε όλους τους χρήστες, καλύπτοντας τη χρήση, τους περιορισμούς και την υπεύθυνη χρήση των λειτουργιών ΤΝ. Η τεκμηρίωση των λειτουργιών ΤΝ περιλαμβάνεται στην τεκμηρίωση της πλατφόρμας. Τα ιδρύματα είναι υπεύθυνα να διασφαλίζουν ότι το προσωπικό τους διαθέτει επαρκές επίπεδο γραμματισμού στην ΤΝ· το onboarding μας υποστηρίζει αυτή την υποχρέωση.

Πηγή: EU AI Act Statement §3

Article 50 - διαφάνεια για συνθετικές φωνές ΤΝ και κείμενο παραγόμενο από ΤΝ

Εφαρμόζεται από τις 2 Αυγούστου 2026. Υπό προετοιμασία. Η αποκάλυψη υπάρχει ήδη στην EULA, ToS, Privacy Policy και EU AI Act Compliance Statement. Η αποκάλυψη εντός της πλατφόρμας θα επιβεβαιωθεί ως συμμορφωμένη πριν από την προθεσμία της 2 Αυγούστου 2026. Οι φωνές των avatar σε κάθε συνεδρία είναι συνθετικές από ΤΝ μέσω Google Text-to-Speech· όταν ενεργοποιούνται προαιρετικές λειτουργίες OpenAI, το κείμενο που εισάγεται σε πεδία ΤΝ επεξεργάζεται από σύστημα ΤΝ. Οι επιβλέποντες επαγγελματίες είναι υπεύθυνοι να ενημερώνουν τα άτομα με τα οποία εργάζονται όπου το απαιτούν οι επαγγελματικές ή ιδρυματικές υποχρεώσεις.

Πηγή: EU AI Act Statement §5

Λειτουργίες ΤΝ: πάροχος, δεδομένα, στάση εκπαίδευσης

Πάντα ενεργά: σύνθεση φωνής avatar (Google Text-to-Speech). Στέλνεται μόνο το κείμενο της ομιλίας του avatar για σύνθεση φωνής· κανένα δεδομένο χρήστη, πελάτη ή συμμετέχοντα. Προαιρετικά, απενεργοποιημένα κατά προεπιλογή: μετάφραση προτάσεων, παραγωγή κειμένου, αυτόματη διόρθωση, αναγνώριση ομιλίας Whisper, γραμματική ομιλητή, προσαρμογή ευγένειας, συναισθηματική ομιλία (όλα μέσω OpenAI API). Σύμφωνα με την πολιτική χρήσης δεδομένων του OpenAI API, οι είσοδοι API δεν χρησιμοποιούνται από προεπιλογή για την εκπαίδευση των μοντέλων της OpenAI. Κανένα όνομα πελάτη, ηχογράφηση συνεδρίας ή PII για άτομα με τα οποία εργάζεστε δεν στέλνεται σε κανέναν πάροχο στην κανονική λειτουργία. Οι χρήστες ενημερώνονται ρητά να μην εισάγουν PII σε πεδία κειμένου με ΤΝ.

Πηγή: Privacy Policy §4 · Sub-Processor List

3. Ενημερωμένη συγκατάθεση

Ο επιβλέπων επαγγελματίας είναι υπεύθυνος για τη λήψη ενημερωμένης συγκατάθεσης από τα άτομα με τα οποία εργάζεται, σύμφωνα με τον επαγγελματικό του κώδικα, την ιδρυματική πολιτική και την εφαρμοστέα νομοθεσία. Προς υποστήριξη, η withVR παρέχει δωρεάν VR Informed Consent Template, δωρεάν απλή ενημερωτική μπροσούρα VR για πελάτες και οικογένειες και την EU AI Act Compliance Statement με διατυπώσεις αποκάλυψης έτοιμες προς ενσωμάτωση στα δικά σας έγγραφα συγκατάθεσης. Η εμπλοκή ΤΝ (συνθετικές φωνές και τυχόν ενεργοποιημένες λειτουργίες OpenAI) πρέπει να αποκαλύπτεται όπου απαιτείται από τα επαγγελματικά σας πρότυπα ή την εφαρμοστέα νομοθεσία.

Πηγή: Acceptable Use Policy §2 · EU AI Act Statement

4. Γλώσσα και προσβασιμότητα

WCAG 2.2 επίπεδο AA

Ιστότοπος μάρκετινγκ (withvr.app): αυτοαξιολόγηση έναντι WCAG 2.2 AA ολοκληρώθηκε τον Απρίλιο του 2026. Lighthouse Accessibility 100/100 σε desktop και κινητό για τις σελίδες προτεραιότητας. Οι αυτοματοποιημένες σαρώσεις pa11y και axe-core δείχνουν ότι όλες οι σκληρές αποτυχίες έχουν επιλυθεί. Web App: σε εξέλιξη έναντι WCAG 2.2 AA, με τα γνωστά μερικά κενά τεκμηριωμένα τίμια στην Accessibility Statement (zoom προγράμματος περιήγησης, επίσημες δοκιμές με αναγνώστη οθόνης, επίσημος έλεγχος αντίθεσης). VR App: υποστηρίζεται η ανίχνευση χεριών ως εναλλακτική των χειριστηρίων· η σωματική προσβασιμότητα της VR είναι κλινική απόφαση του επιβλέποντα επαγγελματία.

Πηγή: Accessibility Statement §1, §4, §5

VPAT / ACR

VPAT v2.5 (International Edition) ολοκληρώθηκε τον Μάρτιο του 2026, καλύπτοντας WCAG 2.0/2.1/2.2, Section 508 και EN 301 549 για την πλατφόρμα v4.0.0. Διαθέσιμο κατόπιν αιτήματος από legal@withvr.app.

European Accessibility Act, EN 301 549, Section 508

Το EAA τέθηκε σε ισχύ τον Ιούνιο του 2025. Η Therapy withVR είναι κυρίως μία επαγγελματική πλατφόρμα B2B· η εφαρμοσιμότητα του EAA σε εργαλεία B2B παρακολουθείται καθώς αναπτύσσεται η βελγική κατευθυντήρια οδηγία εφαρμογής. Οι βελτιώσεις προσβασιμότητας στοχεύουν EN 301 549 / WCAG 2.2 AA ανεξάρτητα από την εφαρμοσιμότητα του EAA. Section 508: μερική ευθυγράμμιση μέσω της εργασίας στο WCAG 2.2 AA· δεν έχει ολοκληρωθεί επίσημη αξιολόγηση Section 508.

Πηγή: Accessibility Statement §3, §7

Γλώσσες

Η διεπαφή της Web App είναι διαθέσιμη σε 59 γλώσσες. 52 συνδυασμοί γλώσσας-περιοχής φωνών avatar. Ο ιστότοπος μάρκετινγκ είναι διαθέσιμος σε 11 γλώσσες (αγγλικά συν ολλανδικά, γαλλικά, γερμανικά, νορβηγικά, ιταλικά, τσεχικά, ισπανικά, πορτογαλικά, ελληνικά, αραβικά, τουρκικά), με σωστό γνώρισμα lang και υποστήριξη RTL για τα αραβικά.

5. Πολιτισμική και κλινική καταλληλότητα

Όλα τα σενάρια, οι προτάσεις και το περιεχόμενο διαλόγου είναι διαμορφώσιμα από τον επιβλέποντα επαγγελματία - η πολιτισμική και πλαισιακή συνάφεια καθορίζεται από τον χρήστη, όχι από εμάς. Διαμορφώσιμα περιβάλλοντα ομιλίας και ελεύθερα διαμορφώσιμο κενό δωμάτιο υποστηρίζουν εξάσκηση που αντικατοπτρίζει το πραγματικό πλαίσιο του ατόμου. Οι κριτικές ομότιμων μελέτες που χρησιμοποιούν Therapy withVR ή σενάρια αναπτυγμένα από withVR είναι καταλογογραφημένες στο Evidence Hub με πλήρη παραπομπή, απλή περίληψη και αιτιολόγηση βεβαιότητας για καθεμία. Η πλατφόρμα δεν προβάλλει δική της αξίωση κλινικής αποτελεσματικότητας· τα στοιχεία προέρχονται από τη βιβλιογραφία.

Πηγή: Evidence Hub · Scenarios

6. Ασφάλεια και ειδοποίηση παραβιάσεων

Κρυπτογράφηση και αποθήκευση

Όλα τα δεδομένα σε ηρεμία στο Google Cloud Firestore είναι κρυπτογραφημένα με AES-256 (προεπιλεγμένη κρυπτογράφηση υποδομής Google Cloud). Τα ονόματα προφίλ είναι επιπρόσθετα κρυπτογραφημένα σε επίπεδο εφαρμογής με AES-256 με μοναδικά διανύσματα αρχικοποίησης ανά εγγραφή. Όλα τα δεδομένα σε διαβίβαση είναι κρυπτογραφημένα με TLS 1.2 ή ανώτερο. Οι κωδικοί πρόσβασης διαχειρίζονται εξ ολοκλήρου από το Firebase Authentication - η withVR BV δεν έχει ποτέ πρόσβαση σε κωδικούς χρηστών.

Πηγή: Privacy Policy §8 · DPA §6 (κατόπιν αιτήματος)

Διαχείριση patches

Κρίσιμα patches (CVSS 9.0+, zero-days, ευπάθειες που επηρεάζουν το Firebase auth ή storage): εντός 48 ωρών. Υψηλά (CVSS 7.0-8.9): εντός 7 ημερών. Μεσαία (CVSS 4.0-6.9): εντός 30 ημερών ή στην επόμενη έκδοση. Ταυτοποίηση μέσω δελτίων προμηθευτών, NVD/CVE και GitHub Dependabot. Ευθυγραμμισμένο με τις υποχρεώσεις του GDPR Article 32 και τη βελγική εφαρμογή NIS2.

Πηγή: Patch Management Policy §4 (κατόπιν αιτήματος)

Ειδοποίηση παραβιάσεων

Ειδοποίηση παραβίασης προσωπικών δεδομένων στη βελγική Αρχή Προστασίας Δεδομένων (GBA) εντός 72 ωρών από την επίγνωση (GDPR Article 33). Ειδοποίηση στο UK ICO βάσει UK GDPR. Οι θιγόμενοι χρήστες ειδοποιούνται χωρίς αδικαιολόγητη καθυστέρηση όπου η παραβίαση είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο. Οι ιδρυματικοί πελάτες με υπογεγραμμένο DPA ειδοποιούνται εντός 72 ωρών σύμφωνα με τους όρους του DPA.

Πηγή: Privacy Policy §10 · ToS §11.3 · DPA §11 (κατόπιν αιτήματος)

Διαθεσιμότητα και ανθεκτικότητα της υπηρεσίας

Φιλοξενία στο Google Cloud Firebase (Φρανκφούρτη) υπό το SLA διαθεσιμότητας 99,95% της Google. Πολυζωνική αναπαραγωγή δεδομένων εντός της περιοχής ΕΕ. Firestore point-in-time recovery με παράθυρο 7 ημερών. Καθημερινά αντίγραφα διατηρούμενα 30 ημέρες, εβδομαδιαία αντίγραφα διατηρούμενα 98 ημέρες. Προτεραιότητες απόκρισης σε περιστατικά (P1 πλήρης διακοπή / παραβίαση δεδομένων εντός 2 ωρών· P2 μερική διακοπή εντός 4 ωρών· P3 ήπια υποβάθμιση την επόμενη εργάσιμη). Η Web App λειτουργεί ανεξάρτητα από τον ιστότοπο μάρκετινγκ, και η VR App λειτουργεί μετά την εγκατάσταση ανεξάρτητα από το κανάλι διανομής Meta Quest Store.

Πηγή: Business Continuity & Disaster Recovery Summary (κατόπιν αιτήματος)

Ανεξάρτητες πιστοποιήσεις ασφάλειας

Ειλικρινής θέση: η withVR BV δεν κατέχει επί του παρόντος ανεξάρτητες πιστοποιήσεις SOC 2 Type II ή ISO 27001. Η υποδομή της πλατφόρμας κληρονομεί αμφότερες από το Google Cloud / Firebase, που τις διατηρεί. Οι ανεξάρτητες πιστοποιήσεις θα εξεταστούν καθώς ωριμάζει η πλατφόρμα. Δεν υπάρχει επί του παρόντος προγραμματισμένος έλεγχος διείσδυσης· και αυτό θα εξεταστεί καθώς ωριμάζει η πλατφόρμα.

Πηγή: Patch Management Policy §9 · BCDR §8.2 (κατόπιν αιτήματος)

Διαχειριστική πρόσβαση

Ειλικρινής θέση: η withVR BV λειτουργεί από ένα μόνο άτομο (τον ιδρυτή). Η διαχειριστική πρόσβαση στο έργο Firebase περιορίζεται σε αυτό το άτομο. Κανένα άλλο προσωπικό ή τρίτος δεν έχει άμεση πρόσβαση στη βάση δεδομένων παραγωγής ή την υποδομή. Ο πολυπαραγοντικός έλεγχος ταυτότητας σε διαχειριστικούς λογαριασμούς είναι σχεδιασμένος. Η υποκείμενη υποδομή της πλατφόρμας τρέχει σε διαχειριζόμενες υπηρεσίες Google Cloud που λειτουργούν ανεξάρτητα από την καθημερινή εμπλοκή της withVR BV, μετριάζοντας την εξάρτηση από ένα μόνο άτομο σε επίπεδο υποδομής. Σενάρια μη διαθεσιμότητας του ιδρυτή αντιμετωπίζονται στο Business Continuity Summary.

Πηγή: Privacy Policy §8 · BCDR §5 (κατόπιν αιτήματος)

Καταγραφή ελέγχου

Τα Google Cloud Audit Logs είναι ενεργοποιημένα σε όλο το έργο παραγωγής και παρέχουν ένα ανθεκτικό σε παραποίηση ίχνος κάθε διαχειριστικής ενέργειας και κάθε λειτουργίας σε δεδομένα πελατών. Τα πάντα ενεργά Admin Activity logs καταγράφουν κάθε αλλαγή διαμόρφωσης. Τα Admin Read, Data Read και Data Write logs είναι ενεργοποιημένα για το Cloud Firestore (όπου βρίσκονται τα δεδομένα πελατών), το Cloud Storage for Firebase API (κανόνες και διαμόρφωση) και το Google Cloud Storage (λειτουργίες αρχείων - μεταφόρτωση, λήψη, διαγραφή). Τα logs διατηρούνται σύμφωνα με την προεπιλεγμένη πολιτική διατήρησης της Google Cloud (400 ημέρες για τα data access logs, 400 ημέρες για το admin activity) και χρησιμοποιούνται αποκλειστικά για έρευνα περιστατικών ασφάλειας και επαλήθευση συμμόρφωσης. Αυτό αποτελεί μέρος των τεχνικών και οργανωτικών μέτρων της withVR BV στο πλαίσιο του GDPR Article 32.

Πηγή: Google Cloud Audit Logs (έργο Firebase) · BCDR §6 (κατόπιν αιτήματος)

Απαιτήσεις δικτύου (για ιδρυματικό IT)

Όλη η κίνηση της withVR BV χρησιμοποιεί HTTPS στη θύρα 443. Η Web App απαιτεί withvr.app, firestore.googleapis.com, firebasestorage.googleapis.com, texttospeech.googleapis.com και (μόνο όταν είναι ενεργοποιημένες λειτουργίες ΤΝ) api.openai.com. Η VR App δεν συνδέεται με την OpenAI. Το υλικό Meta Quest απαιτεί επιπλέον τομείς της πλατφόρμας Meta - τα ιδρύματα με περιορισμένα δίκτυα (ιδιαίτερα τα σχολεία) πρέπει να διασφαλίσουν ότι αυτοί δεν μπλοκάρονται. Η πλήρης λίστα τομέων, θυρών, προγραμμάτων περιήγησης και λειτουργικών συστημάτων βρίσκεται στη σελίδα Compatibility.

Πηγή: σελίδα Compatibility · BCDR §8.1 (κατόπιν αιτήματος)

7. Εργασία με παιδιά και σε σχολεία

Οι κάτοχοι λογαριασμού πρέπει να είναι 18+. Η πλατφόρμα μπορεί να χρησιμοποιείται με ανήλικους μόνο υπό άμεση εποπτεία και έλεγχο εξειδικευμένου ενήλικα επαγγελματία. Οι μαθητές δεν δημιουργούν ποτέ λογαριασμούς, δεν συνδέονται και δεν υποβάλλουν προσωπικά δεδομένα απευθείας στην πλατφόρμα. Κανένα όνομα μαθητή, αναγνωριστικό ή PII δεν επιτρέπεται να εισαχθεί στην πλατφόρμα. Το υλικό Meta Quest έχει χωριστή ελάχιστη ηλικία 10 ετών που ορίζεται από τη Meta - αυτό είναι πολιτική της Meta, όχι δική μας, και ισχύει ανεξάρτητα από την επαγγελματική εποπτεία.

Τρία κατώφλια μπορεί να εφαρμόζονται ταυτόχρονα: η πολιτική ηλικίας της πλατφόρμας, η εφαρμοστέα νομοθεσία ιδιωτικότητας (π.χ. τα 13 του COPPA, τα 13-16 του GDPR Article 8 ανάλογα με το κράτος μέλος) και η κλινική συγκατάθεση (συνήθως κάτω των 18). Υπερισχύει το υψηλότερο κατώφλι. Ο επιβλέπων επαγγελματίας είναι υπεύθυνος για τη γονική ή κηδεμονική συγκατάθεση στη δικαιοδοσία του.

Για αμερικανικά σχολεία, διατίθεται συμφωνία FERPA, Student Data Privacy Agreement ή SDPC National DPA - δείτε την ενότητα 8 (Διαθέσιμες συμφωνίες) παρακάτω.

Πηγή: Educational Use Policy §1, §3 · EULA §8

8. Οργανωτική ετοιμότητα

Πιστοποίηση ιατροτεχνολογικού

Η Therapy withVR δεν είναι ιατροτεχνολογικό προϊόν. Χωρίς σήμανση CE βάσει EU MDR. Δεν ρυθμίζεται από FDA. Χωρίς σήμανση UKCA. Η πλατφόρμα δεν διαγιγνώσκει, δεν θεραπεύει, δεν βαθμολογεί, δεν μετράει και δεν λαμβάνει κλινικές αποφάσεις. Όλες οι κλινικές αποφάσεις παραμένουν αποκλειστική ευθύνη του επιβλέποντα επαγγελματία. Οι λειτουργίες ΤΝ παράγουν μόνο προτάσεις περιεχομένου και δεν συνιστούν κλινική συμβουλή ή αξιολόγηση.

Πηγή: EULA §1 · AUP §1 · EU AI Act Statement §2

SLA και διαθεσιμότητα

Η withVR BV δεν προσφέρει χωριστή εγγύηση διαθεσιμότητας, αλλά η πλατφόρμα κληρονομεί το SLA διαθεσιμότητας 99,95% της Google Cloud για την υποκείμενη υποδομή. Η προγραμματισμένη συντήρηση κοινοποιείται εκ των προτέρων όπου είναι δυνατό. Η μη προγραμματισμένη μη διαθεσιμότητα κοινοποιείται μέσω email και στον ιστότοπο.

Πηγή: ToS §12.2 · EULA §11

Τιμολόγηση και ΦΠΑ

Τυπική συνδρομή EUR 49 ανά μήνα ανά θέση (χωρίς ΦΠΑ, με ετήσια τιμολόγηση). Πολυετείς εκπτώσεις διαθέσιμες έως 5 έτη. Όσες θέσεις χρειάζονται. Προσφορές σε επιστολόχαρτο, τιμολόγηση βάσει εντολής αγοράς και συμπληρωματική τεκμηρίωση προμηθειών διαθέσιμα κατόπιν αιτήματος. Μπορούμε να μιλήσουμε απευθείας με ομάδες IT, προμηθειών ή προστασίας δεδομένων για να καλύψουμε τις απαιτήσεις onboarding προμηθευτή.

Πηγή: ToS §6 · Refund Policy

Προστασία καταναλωτή (ΕΕ)

Νόμιμο δικαίωμα υπαναχώρησης 14 ημερών βάσει EU Consumer Rights Directive 2011/83/EU και του βελγικού νόμου εφαρμογής. Βελγικό δίκαιο / δικαιοδοσία Γάνδης. Οι καταναλωτές της ΕΕ διατηρούν το δικαίωμα να ασκήσουν διαδικασίες στον τόπο της συνήθους διαμονής τους· η ευρωπαϊκή πλατφόρμα ηλεκτρονικής επίλυσης διαφορών είναι διαθέσιμη στο ec.europa.eu/consumers/odr (ανοίγει σε νέα καρτέλα).

Πηγή: ToS §6.4, §16 · Refund Policy §2, §9

9. Επικύρωση ομότιμων

Η Therapy withVR χρησιμοποιείται σε ενεργή έρευνα κριτικής ομότιμων σε πανεπιστήμια και νοσοκομεία σε πολλές χώρες. Το Evidence Hub καταλογογραφεί κάθε δημοσιευμένη μελέτη, με πλήρη παραπομπή, απλή περίληψη και αξιολόγηση βεβαιότητας. Πανεπιστήμια, NHS trusts και σχολικές περιφέρειες που έχουν ήδη ολοκληρώσει τις δικές τους ιδρυματικές διαδικασίες έγκρισης είναι πρόθυμα να προσεγγιστούν ως αναφορές - αιτήματα μέσω hello@withvr.app.

Διαθέσιμες συμφωνίες

Κατόπιν αιτήματος στο legal@withvr.app: DPA, συμφωνία FERPA / SDPC National DPA, Research Agreement, προσαρμοσμένη συμπληρωματική συμφωνία, τεκμηρίωση DPIA, VPAT v2.5, περίληψη BCDR, Patch Management Policy.

Έγγραφα

Όλα τα δημόσια νομικά έγγραφα συνδέονται από withvr.app/el/legal:

• Privacy Policy (στα Αγγλικά)
• Terms of Service (στα Αγγλικά)
• End User License Agreement (στα Αγγλικά)
• Acceptable Use Policy (στα Αγγλικά)
• Educational Use Policy (στα Αγγλικά)
• EU AI Act Compliance Statement (στα Αγγλικά)
• Accessibility Statement (στα Αγγλικά)
• Cookie Policy (στα Αγγλικά)
• Refund and Return Policy (στα Αγγλικά)
• Sub-Processor List (στα Αγγλικά)

Τι δεν ισχυριζόμαστε

Η διαφάνεια για τα όρια είναι μέρος του σχεδιασμού:

• Δεν ισχυριζόμαστε σε καμία περίπτωση ότι είμαστε ιατροτεχνολογικό προϊόν.
• Δεν ισχυριζόμαστε συμμόρφωση με HIPAA - είμαστε εκτός του πεδίου του HIPAA κατά σχεδιασμό.
• Δεν ισχυριζόμαστε ότι διαθέτουμε ανεξάρτητες πιστοποιήσεις SOC 2 Type II ή ISO 27001. Κληρονομούμε αμφότερες από το Google Cloud σε επίπεδο υποδομής· οι ανεξάρτητες πιστοποιήσεις θα εξεταστούν καθώς ωριμάζει η πλατφόρμα.
• Δεν ισχυριζόμαστε ότι διαθέτουμε ολοκληρωμένο ανεξάρτητο έλεγχο WCAG. Διαθέτουμε αυτοαξιολόγηση, αυτοματοποιημένες σαρώσεις, το VPAT v2.5 και βαθμολογία Lighthouse 100/100 στον ιστότοπο μάρκετινγκ. Επίσημος ανατιθέμενος έλεγχος είναι σχεδιασμένος όταν το επιτρέψει η χρηματοδότηση.
• Δεν ισχυριζόμαστε συμμόρφωση με NIS2 - ισχυριζόμαστε ευθυγράμμιση με τη βελγική εφαρμογή του NIS2 μέσω της Patch Management Policy.
• Δεν ισχυριζόμαστε ότι η ΤΝ αντικαθιστά την κλινική κρίση. Κάθε λειτουργία ΤΝ είναι προαιρετική, απενεργοποιημένη κατά προεπιλογή και επανεξεταζόμενη. Οι φωνές των avatar αποκαλύπτονται πάντα ως συνθετικές από ΤΝ.

Επικοινωνία

Προμήθειες, ερωτηματολόγια προμηθευτών, έλεγχοι ασφάλειας και αιτήματα συμφωνιών: legal@withvr.app. Το δημόσιο Technology Checklist for SLPs είναι το πλαίσιο γύρω από το οποίο διαρθρώνεται αυτή η σελίδα - χρησιμοποιήστε το για να αξιολογήσετε εμάς ή οποιοδήποτε άλλο εργαλείο εξετάζετε.

withVR BV · Jozef Hebbelynckstraat 21, Merelbeke 9820, Belgium · BE-0790.909.294 · Τελευταία αναθεώρηση 2026-04-26