Πως το Therapy withVR συνδεεται με νομους, προτυπα και πλαισια

Συνοψη

Σημειωση για τη δομη. Οι παρακατω ενοτητες αντικατοπτριζουν τις εννεα κατηγοριες της δημοσιας μας Technology Checklist for SLPs - το ιδιο πλαισιο που συστηνουμε στους κλινικους για να αξιολογησουν οποιαδηποτε τεχνολογια, συμπεριλαμβανομενης και αυτης. Η σελιδα αυτη ειναι το πληρες παραδειγμα για το δικο μας προϊον.

1. Προστασια δεδομενων και συμμορφωση

GDPR και UK GDPR

Η withVR BV ειναι υπευθυνη επεξεργασιας για τα προσωπικα δεδομενα που υποβαλλονται σε επεξεργασια μεσω της Therapy withVR. Ολα τα δεδομενα της πλατφορμας φιλοξενουνται στο Google Cloud / Firebase στη Φρανκφουρτη, Γερμανια (europe-west1) - εντος του ΕΟΧ. Τα προσωπικα δεδομενα υφιστανται νομιμη επεξεργασια συμφωνα με το GDPR Article 6 με βαση την εκτελεση συμβασης, τα εννομα συμφεροντα, τη νομικη υποχρεωση και τη συγκαταθεση (για επικοινωνιες μαρκετινγκ). Τα προσωπικα δεδομενα του Ηνωμενου Βασιλειου επεξεργαζονται βαση του UK GDPR με ισοδυναμες νομικες βασεις. Οι διαβιβασεις του Ηνωμενου Βασιλειου σε τριτες χωρες διεπονται απο το UK IDTA η το UK Addendum to EU SCCs, κατα περιπτωση. Τα υποκειμενα των δεδομενων εχουν πληρη δικαιωματα προσβασης, διορθωσης, διαγραφης, περιορισμου, φορητοτητας, εναντιωσης και ανακλησης συγκαταθεσης βαση των GDPR Articles 15-22.

Πηγη: Privacy Policy §3, §7, §9 · Terms of Service §11

HIPAA - εκτος πεδιου κατα σχεδιασμο

Η Therapy withVR δεν ειναι HIPAA covered entity και δεν λειτουργει ως Business Associate βαση HIPAA. Η πλατφορμα ειναι σχεδιασμενη ωστε η Protected Health Information (PHI) να μην εισερχεται στο συστημα - δεν αποθηκευονται κλινικα αρχεια, διαγνωσεις, αναγνωριστικα ασθενων η αρχεια υγειας. Για αμερικανικα περιβαλλοντα υγειας, η πλατφορμα κατα σχεδιασμο εμπιπτει εκτος του πεδιου των απαιτησεων Business Associate Agreement. Το γεγονος οτι ενας προμηθευτης δεν εχει BAA δεν συνεπαγεται κατ' αναγκη μη συμμορφωση· στην περιπτωση μας σημαινει οτι η αρχιτεκτονικη αποφευγει την PHI εξαρχης. Οι χρηστες σε αμερικανικα περιβαλλοντα υγειας ειναι υπευθυνοι να διασφαλιζουν οτι δεν εισαγεται καμια PHI στην πλατφορμα.

Πηγη: Privacy Policy §12 · ToS §11.1

FERPA - εκτος πεδιου κατα σχεδιασμο

Οι υποχρεωσεις βαση FERPA βαρυνουν τα εκπαιδευτικα ιδρυματα, οχι τους προμηθευτες. Η Therapy withVR δεν υποκειται απευθειας στο FERPA. Η πλατφορμα ειναι σχεδιασμενη ωστε τα εκπαιδευτικα αρχεια των μαθητων να μην χρειαζεται να εισερχονται στο συστημα - τα δεδομενα συνεδριας συνιστανται μονο σε ρυθμισεις διαμορφωσης και ετικετες κειμενου, που δεν αποτελουν εκπαιδευτικο αρχειο οπως οριζεται απο το FERPA. Ο επιβλεπων επαγγελματιας ειναι υπευθυνος να διασφαλιζει οτι δεν εισαγονται δεδομενα προστατευομενα απο FERPA. Για αμερικανικες σχολικες περιφερειες, η withVR BV θα εξετασει την τυπικη συμφωνια FERPA του ιδρυματος σας η το Student Data Privacy Consortium (SDPC) National DPA και θα συνεργαστει μαζι σας για να βρειτε καταλληλη οδο - υπογραφη οπως υποβληθηκε οπου οι οροι ειναι εφικτοι, προταση τροποποιησεων οπου χρειαζεται, η παροχη υποδειγματος withVR αντι' αυτου. Επικοινωνηστε με legal@withvr.app για να ξεκινησει η συζητηση.

Πηγη: Educational Use Policy §3.1, §7 · Privacy Policy §13

COPPA

Το COPPA εφαρμοζεται σε διαδικτυακες υπηρεσιες που συλλεγουν προσωπικες πληροφοριες απο παιδια κατω των 13 ετων. Η Therapy withVR δεν απευθυνεται σε παιδια και δεν συλλεγει προσωπικες πληροφοριες απευθειας απο κανενα χρηστη, συμπεριλαμβανομενων των παιδιων. Οταν η πλατφορμα χρησιμοποιειται με παιδια κατω των 13 ετων σε σχολικο πλαισιο, το σχολειο ενεργει ως κατοχος λογαριασμου βαση της school official exception του COPPA - οι μαθητες δεν αλληλεπιδρουν με την πλατφορμα απευθειας ως χρηστες. Τα εκπαιδευτικα ιδρυματα ειναι υπευθυνα για τις διαδικασιες γονικης συγκαταθεσης που ισχυουν στη δικαιοδοσια τους.

Πηγη: Educational Use Policy §3.2

Πολιτειακοι και περιφερειακοι νομοι περι μαθητικης ιδιωτικοτητας

Διαφορες αμερικανικες πολιτειες εχουν θεσπισει νομους για την ιδιωτικοτητα των μαθητων περαν του FERPA - μεταξυ των οποιων Καλιφορνια (SOPIPA), Νεα Υορκη (Education Law 2-d), Κολοραντο, Τεξας και αλλες. Οι παραπανω αρχιτεκτονικες δεσμευσεις (καμια συλλογη PII, καμια διαφημιση σε μαθητες, καμια πωληση δεδομενων, καμια συμπεριφορικη παρακολουθηση, καμια κατασκευη προφιλ) σχεδιαστηκαν για να υποστηριζουν τη συμμορφωση με αυτα τα πλαισια. Ιδρυματα σε δικαιοδοσιες με συγκεκριμενες απαιτησεις περαν οσων περιγραφονται εδω μπορουν να ζητησουν συμπληρωματικες συμφωνιες απο legal@withvr.app.

Πηγη: Educational Use Policy §3.4

Φιλοξενια δεδομενων, διαβιβασεις και υπεργολαβοι επεξεργασιας

Ολα τα δεδομενα της πλατφορμας φιλοξενουνται στο Google Cloud / Firebase στη Φρανκφουρτη, Γερμανια. Οι διαβιβασεις προς την OpenAI (Ηνωμενες Πολιτειες, μονο για προαιρετικες λειτουργιες ΤΝ) διεπονται απο τις EU Standard Contractual Clauses 2021 βαση του GDPR Article 46(2)(c). Οι διαβιβασεις στη Stripe λειτουργουν βαση SCCs και συμμετοχης στο EU-US Data Privacy Framework, οπου εφαρμοζεται. Η πληρης λιστα υπεργολαβων επεξεργασιας με τον ρολο, τη θεση και τον μηχανισμο διαβιβασης καθε παροχου δημοσιευεται στο withvr.app/sub-processor-list· δινεται ειδοποιηση τουλαχιστον 30 ημερων πριν απο την προσθηκη οποιουδηποτε νεου υπεργολαβου επεξεργασιας.

Πηγη: Privacy Policy §5, §7 · Sub-Processor List

Δεδομενα που δεν συλλεγουμε

Καμια ηχογραφηση η βιντεοσκοπηση συνεδριων. Κανενα δειγμα ομιλιας απο το ατομο εντος VR. Κανενα βιομετρικο δεδομενο απο αισθητηρες VR headset. Καμια PHI. Κανενα μαθητικο εκπαιδευτικο αρχειο. Κανενα ακριβες δεδομενο τοποθεσιας. Κανενα οικονομικο δεδομενο πληρωμης (η Stripe χειριζεται τις καρτες). Καμια ειδικη κατηγορια δεδομενων βαση GDPR Article 9. Τα ονοματα προφιλ κρυπτογραφουνται σε επιπεδο εφαρμογης με AES-256 με μοναδικα διανυσματα αρχικοποιησης ανα εγγραφη.

Πηγη: Privacy Policy §2.6, §8

Διατηρηση

Δεδομενα λογαριασμου και συνδρομης: 5 ετη μετα τη ληξη της συνδρομης (βελγικη προθεσμια εμπορικης παραγραφης). Δεδομενα συνεδριας και προφιλ: 3 ετη μετα τη ληξη της συνδρομης. Ερευνητικα δεδομενα βαση Research Agreement: 24 μηνες μετα τη ληξη του εργου. Λογιστικες εγγραφες: 7 ετη (βελγικος νομος περι λογιστικης). Πρωιμη διαγραφη μπορει να ζητηθει οποτεδηποτε στο legal@withvr.app και εκπληρωνεται εντος 30 ημερων, εκτος αν ο νομος απαιτει μεγαλυτερη διατηρηση.

Πηγη: Privacy Policy §6

2. ΤΝ και διαφανεια

Κατηγοριοποιηση βαση EU AI Act

Η Therapy withVR εχει αξιολογηθει επισημα βαση του EU AI Act και δεν κατηγοριοποιειται ως συστημα ΤΝ υψηλου κινδυνου βαση του Article 6 η του Annex III. Δεν αξιολογει μαθησιακα αποτελεσματα, δεν παρακολουθει τη συμπεριφορα μαθητων, δεν βαθμολογει αξιολογησεις, δεν λαμβανει κλινικες αποφασεις και δεν υποστηριζει λειτουργιες ιατροτεχνολογικου προϊοντος. Ακομη και αν καποια λειτουργια θεωρηθει οτι αγγιζει κατηγορια του Annex III, θα εφαρμοζονταν οι εξαιρεσεις του Article 6(3) (στενες διαδικαστικες εργασιες, βελτιωση του αποτελεσματος προηγουμενης ανθρωπινης δραστηριοτητας, χωρις αντικατασταση της ανθρωπινης αξιολογησης). Δεν απαιτειται αξιολογηση συμμορφωσης, καταχωριση στη βαση δεδομενων της ΕΕ η σημανση CE.

Πηγη: EU AI Act Statement §2

Article 5 - απαγορευμενες πρακτικες

Εξετασθηκε και επιβεβαιωθηκε: δεν υπαρχουν απαγορευμενες πρακτικες βαση Article 5. Καμιες υποσυνειδητες τεχνικες, καμια εκμεταλλευση ευαλωτοτητων, κανενα social scoring, καμια απομακρυσμενη βιομετρικη ταυτοποιηση σε πραγματικο χρονο, καμια αναγνωριση συναισθηματων σε εργασιακα η εκπαιδευτικα πλαισια.

Πηγη: EU AI Act Statement §2.4

Article 4 - γραμματισμος στην ΤΝ

Σε ισχυ απο τον Φεβρουαριο του 2025. Σε συμμορφωση. Η withVR BV παρεχει ζωντανη εκπαιδευση onboarding σε ολους τους χρηστες, καλυπτοντας τη χρηση, τους περιορισμους και την υπευθυνη χρηση των λειτουργιων ΤΝ. Η τεκμηριωση των λειτουργιων ΤΝ περιλαμβανεται στην τεκμηριωση της πλατφορμας. Τα ιδρυματα ειναι υπευθυνα να διασφαλιζουν οτι το προσωπικο τους διαθετει επαρκες επιπεδο γραμματισμου στην ΤΝ· το onboarding μας υποστηριζει αυτη την υποχρεωση.

Πηγη: EU AI Act Statement §3

Article 50 - διαφανεια για συνθετικες φωνες ΤΝ και κειμενο παραγομενο απο ΤΝ

Εφαρμοζεται απο τις 2 Αυγουστου 2026. Υπο προετοιμασια. Η αποκαλυψη υπαρχει ηδη στην EULA, ToS, Privacy Policy και EU AI Act Compliance Statement. Η αποκαλυψη εντος της πλατφορμας θα επιβεβαιωθει ως συμμορφωμενη πριν απο την προθεσμια της 2 Αυγουστου 2026. Οι φωνες των avatar σε καθε συνεδρια ειναι συνθετικες απο ΤΝ μεσω Google Text-to-Speech· οταν ενεργοποιουνται προαιρετικες λειτουργιες OpenAI, το κειμενο που εισαγεται σε πεδια ΤΝ επεξεργαζεται απο συστημα ΤΝ. Οι επιβλεποντες επαγγελματιες ειναι υπευθυνοι να ενημερωνουν τα ατομα με τα οποια εργαζονται οπου το απαιτουν οι επαγγελματικες η ιδρυματικες υποχρεωσεις.

Πηγη: EU AI Act Statement §5

Λειτουργιες ΤΝ: παροχος, δεδομενα, σταση εκπαιδευσης

Παντα ενεργα: συνθεση φωνης avatar (Google Text-to-Speech). Στελνεται μονο το κειμενο της ομιλιας του avatar για συνθεση φωνης· κανενα δεδομενο χρηστη, πελατη η συμμετεχοντα. Προαιρετικα, απενεργοποιημενα κατα προεπιλογη: μεταφραση προτασεων, παραγωγη κειμενου, αυτοματη διορθωση, αναγνωριση ομιλιας Whisper, γραμματικη ομιλητη, προσαρμογη ευγενειας, συναισθηματικη ομιλια (ολα μεσω OpenAI API). Συμφωνα με την πολιτικη χρησης δεδομενων του OpenAI API, οι εισοδοι API δεν χρησιμοποιουνται απο προεπιλογη για την εκπαιδευση των μοντελων της OpenAI. Κανενα ονομα πελατη, ηχογραφηση συνεδριας η PII για ατομα με τα οποια εργαζεστε δεν στελνεται σε καναν παροχο στην κανονικη λειτουργια. Οι χρηστες ενημερωνονται ρητα να μην εισαγουν PII σε πεδια κειμενου με ΤΝ.

Πηγη: Privacy Policy §4 · Sub-Processor List

3. Ενημερωμενη συγκαταθεση

Ο επιβλεπων επαγγελματιας ειναι υπευθυνος για τη ληψη ενημερωμενης συγκαταθεσης απο τα ατομα με τα οποια εργαζεται, συμφωνα με τον επαγγελματικο του κωδικα, την ιδρυματικη πολιτικη και την εφαρμοστεα νομοθεσια. Προς υποστηριξη, η withVR παρεχει δωρεαν VR Informed Consent Template, δωρεαν απλη ενημερωτικη μπροσουρα VR για πελατες και οικογενειες και την EU AI Act Compliance Statement με διατυπωσεις αποκαλυψης ετοιμες προς ενσωματωση στα δικα σας εγγραφα συγκαταθεσης. Η εμπλοκη ΤΝ (συνθετικες φωνες και τυχον ενεργοποιημενες λειτουργιες OpenAI) πρεπει να αποκαλυπτεται οπου απαιτειται απο τα επαγγελματικα σας προτυπα η την εφαρμοστεα νομοθεσια.

Πηγη: Acceptable Use Policy §2 · EU AI Act Statement

4. Γλωσσα και προσβασιμοτητα

WCAG 2.2 επιπεδο AA

Ιστοτοπος μαρκετινγκ (withvr.app): αυτοαξιολογηση εναντι WCAG 2.2 AA ολοκληρωθηκε τον Απριλιο του 2026. Lighthouse Accessibility 100/100 σε desktop και κινητο για τις σελιδες προτεραιοτητας. Οι αυτοματοποιημενες σαρωσεις pa11y και axe-core δειχνουν οτι ολες οι σκληρες αποτυχιες εχουν επιλυθει. Web App: σε εξελιξη εναντι WCAG 2.2 AA, με τα γνωστα μερικα κενα τεκμηριωμενα τιμια στην Accessibility Statement (zoom προγραμματος περιηγησης, επισημες δοκιμες με αναγνωστη οθονης, επισημος ελεγχος αντιθεσης). VR App: υποστηριζεται η ανιχνευση χεριων ως εναλλακτικη των χειριστηριων· η σωματικη προσβασιμοτητα της VR ειναι κλινικη αποφαση του επιβλεποντα επαγγελματια.

Πηγη: Accessibility Statement §1, §4, §5

VPAT / ACR

VPAT v2.5 (International Edition) ολοκληρωθηκε τον Μαρτιο του 2026, καλυπτοντας WCAG 2.0/2.1/2.2, Section 508 και EN 301 549 για την πλατφορμα v4.0.0. Διαθεσιμο κατοπιν αιτηματος απο legal@withvr.app.

European Accessibility Act, EN 301 549, Section 508

Το EAA τεθηκε σε ισχυ τον Ιουνιο του 2025. Η Therapy withVR ειναι κυριως μια επαγγελματικη πλατφορμα B2B· η εφαρμοσιμοτητα του EAA σε εργαλεια B2B παρακολουθειται καθως αναπτυσσεται η βελγικη κατευθυντηρια οδηγια εφαρμογης. Οι βελτιωσεις προσβασιμοτητας στοχευουν EN 301 549 / WCAG 2.2 AA ανεξαρτητα απο την εφαρμοσιμοτητα του EAA. Section 508: μερικη ευθυγραμμιση μεσω της εργασιας στο WCAG 2.2 AA· δεν εχει ολοκληρωθει επισημη αξιολογηση Section 508.

Πηγη: Accessibility Statement §3, §7

Γλωσσες

Η διεπαφη της Web App ειναι διαθεσιμη σε 59 γλωσσες. 52 συνδυασμοι γλωσσας-περιοχης φωνων avatar. Ο ιστοτοπος μαρκετινγκ ειναι διαθεσιμος σε 11 γλωσσες (αγγλικα συν ολλανδικα, γαλλικα, γερμανικα, νορβηγικα, ιταλικα, τσεχικα, ισπανικα, πορτογαλικα, ελληνικα, αραβικα, τουρκικα), με σωστο γνωρισμα lang και υποστηριξη RTL για τα αραβικα.

5. Πολιτισμικη και κλινικη καταλληλοτητα

Ολα τα σεναρια, οι προτασεις και το περιεχομενο διαλογου ειναι διαμορφωσιμα απο τον επιβλεποντα επαγγελματια - η πολιτισμικη και πλαισιακη συναφεια καθοριζεται απο τον χρηστη, οχι απο εμας. Διαμορφωσιμα περιβαλλοντα ομιλιας και ελευθερα διαμορφωσιμο κενο δωματιο υποστηριζουν εξασκηση που αντικατοπτριζει το πραγματικο πλαισιο του ατομου. Οι κριτικες ομοτιμων μελετες που χρησιμοποιουν Therapy withVR η σεναρια αναπτυγμενα απο withVR ειναι καταλογογραφημενες στο Evidence Hub με πληρη παραπομπη, απλη περιληψη και αιτιολογηση βεβαιοτητας για καθεμια. Η πλατφορμα δεν προβαλλει δικη της αξιωση κλινικης αποτελεσματικοτητας· τα στοιχεια προερχονται απο τη βιβλιογραφια.

Πηγη: Evidence Hub · Scenarios

6. Ασφαλεια και ειδοποιηση παραβιασεων

Κρυπτογραφηση και αποθηκευση

Ολα τα δεδομενα σε ηρεμια στο Google Cloud Firestore ειναι κρυπτογραφημενα με AES-256 (προεπιλεγμενη κρυπτογραφηση υποδομης Google Cloud). Τα ονοματα προφιλ ειναι επιπροσθετα κρυπτογραφημενα σε επιπεδο εφαρμογης με AES-256 με μοναδικα διανυσματα αρχικοποιησης ανα εγγραφη. Ολα τα δεδομενα σε διαβιβαση ειναι κρυπτογραφημενα με TLS 1.2 η ανωτερο. Οι κωδικοι προσβασης διαχειριζονται εξ ολοκληρου απο το Firebase Authentication - η withVR BV δεν εχει ποτε προσβαση σε κωδικους χρηστων.

Πηγη: Privacy Policy §8 · DPA §6 (κατοπιν αιτηματος)

Διαχειριση patches

Κρισιμα patches (CVSS 9.0+, zero-days, ευπαθειες που επηρεαζουν το Firebase auth η storage): εντος 48 ωρων. Υψηλα (CVSS 7.0-8.9): εντος 7 ημερων. Μεσαια (CVSS 4.0-6.9): εντος 30 ημερων η στην επομενη εκδοση. Ταυτοποιηση μεσω δελτιων προμηθευτων, NVD/CVE και GitHub Dependabot. Ευθυγραμμισμενο με τις υποχρεωσεις του GDPR Article 32 και τη βελγικη εφαρμογη NIS2.

Πηγη: Patch Management Policy §4 (κατοπιν αιτηματος)

Ειδοποιηση παραβιασεων

Ειδοποιηση παραβιασης προσωπικων δεδομενων στη βελγικη Αρχη Προστασιας Δεδομενων (GBA) εντος 72 ωρων απο την επιγνωση (GDPR Article 33). Ειδοποιηση στο UK ICO βαση UK GDPR. Οι θιγομενοι χρηστες ειδοποιουνται χωρις αδικαιολογητη καθυστερηση οπου η παραβιαση ειναι πιθανο να οδηγησει σε υψηλο κινδυνο. Οι ιδρυματικοι πελατες με υπογεγραμμενο DPA ειδοποιουνται εντος 72 ωρων συμφωνα με τους ορους του DPA.

Πηγη: Privacy Policy §10 · ToS §11.3 · DPA §11 (κατοπιν αιτηματος)

Διαθεσιμοτητα και ανθεκτικοτητα της υπηρεσιας

Φιλοξενια στο Google Cloud Firebase (Φρανκφουρτη) υπο το SLA διαθεσιμοτητας 99,95% της Google. Πολυζωνικη αναπαραγωγη δεδομενων εντος της περιοχης ΕΕ. Firestore point-in-time recovery με παραθυρο 7 ημερων. Καθημερινα αντιγραφα διατηρουμενα 30 ημερες, εβδομαδιαια αντιγραφα διατηρουμενα 98 ημερες. Προτεραιοτητες αποκρισης σε περιστατικα (P1 πληρης διακοπη / παραβιαση δεδομενων εντος 2 ωρων· P2 μερικη διακοπη εντος 4 ωρων· P3 ηπια υποβαθμιση την επομενη εργασιμη). Η Web App λειτουργει ανεξαρτητα απο τον ιστοτοπο μαρκετινγκ, και η VR App λειτουργει μετα την εγκατασταση ανεξαρτητα απο το καναλι διανομης Meta Quest Store.

Πηγη: Business Continuity & Disaster Recovery Summary (κατοπιν αιτηματος)

Ανεξαρτητες πιστοποιησεις ασφαλειας

Ειλικρινης θεση: η withVR BV δεν κατεχει επι του παροντος ανεξαρτητες πιστοποιησεις SOC 2 Type II η ISO 27001. Η υποδομη της πλατφορμας κληρονομει αμφοτερες απο το Google Cloud / Firebase, που τις διατηρει. Οι ανεξαρτητες πιστοποιησεις θα εξεταστουν καθως ωριμαζει η πλατφορμα. Δεν υπαρχει επι του παροντος προγραμματισμενος ελεγχος διεισδυσης· και αυτο θα εξεταστει καθως ωριμαζει η πλατφορμα.

Πηγη: Patch Management Policy §9 · BCDR §8.2 (κατοπιν αιτηματος)

Διαχειριστικη προσβαση

Ειλικρινης θεση: η withVR BV λειτουργει απο ενα μονο ατομο (τον ιδρυτη). Η διαχειριστικη προσβαση στο εργο Firebase περιοριζεται σε αυτο το ατομο. Κανενα αλλο προσωπικο η τριτος δεν εχει αμεση προσβαση στη βαση δεδομενων παραγωγης η την υποδομη. Ο πολυπαραγοντικος ελεγχος ταυτοτητας σε διαχειριστικους λογαριασμους ειναι σχεδιασμενος. Η υποκειμενη υποδομη της πλατφορμας τρεχει σε διαχειριζομενες υπηρεσιες Google Cloud που λειτουργουν ανεξαρτητα απο την καθημερινη εμπλοκη της withVR BV, μετριαζοντας την εξαρτηση απο ενα μονο ατομο σε επιπεδο υποδομης. Σεναρια μη διαθεσιμοτητας του ιδρυτη αντιμετωπιζονται στο Business Continuity Summary.

Πηγη: Privacy Policy §8 · BCDR §5 (κατοπιν αιτηματος)

Καταγραφη ελεγχου

Τα Google Cloud Audit Logs ειναι ενεργοποιημενα σε ολο το εργο παραγωγης και παρεχουν ενα ανθεκτικο σε παραποιηση ιχνος καθε διαχειριστικης ενεργειας και καθε λειτουργιας σε δεδομενα πελατων. Τα παντα ενεργα Admin Activity logs καταγραφουν καθε αλλαγη διαμορφωσης. Τα Admin Read, Data Read και Data Write logs ειναι ενεργοποιημενα για το Cloud Firestore (οπου βρισκονται τα δεδομενα πελατων), το Cloud Storage for Firebase API (κανονες και διαμορφωση) και το Google Cloud Storage (λειτουργιες αρχειων - μεταφορτωση, ληψη, διαγραφη). Τα logs διατηρουνται συμφωνα με την προεπιλεγμενη πολιτικη διατηρησης της Google Cloud (400 ημερες για τα data access logs, 400 ημερες για το admin activity) και χρησιμοποιουνται αποκλειστικα για ερευνα περιστατικων ασφαλειας και επαληθευση συμμορφωσης. Αυτο αποτελει μερος των τεχνικων και οργανωτικων μετρων της withVR BV στο πλαισιο του GDPR Article 32.

Πηγη: Google Cloud Audit Logs (εργο Firebase) · BCDR §6 (κατοπιν αιτηματος)

Απαιτησεις δικτυου (για ιδρυματικο IT)

Ολη η κινηση της withVR BV χρησιμοποιει HTTPS στη θυρα 443. Η Web App απαιτει withvr.app, firestore.googleapis.com, firebasestorage.googleapis.com, texttospeech.googleapis.com και (μονο οταν ειναι ενεργοποιημενες λειτουργιες ΤΝ) api.openai.com. Η VR App δεν συνδεεται με την OpenAI. Το υλικο Meta Quest απαιτει επιπλεον τομεις της πλατφορμας Meta - τα ιδρυματα με περιορισμενα δικτυα (ιδιαιτερα τα σχολεια) πρεπει να διασφαλισουν οτι αυτοι δεν μπλοκαρονται. Η πληρης λιστα τομεων, θυρων, προγραμματων περιηγησης και λειτουργικων συστηματων βρισκεται στη σελιδα Compatibility.

Πηγη: σελιδα Compatibility · BCDR §8.1 (κατοπιν αιτηματος)

7. Εργασια με παιδια και σε σχολεια

Οι κατοχοι λογαριασμου πρεπει να ειναι 18+. Η πλατφορμα μπορει να χρησιμοποιειται με ανηλικους μονο υπο αμεση εποπτεια και ελεγχο εξειδικευμενου ενηλικα επαγγελματια. Οι μαθητες δεν δημιουργουν ποτε λογαριασμους, δεν συνδεονται και δεν υποβαλλουν προσωπικα δεδομενα απευθειας στην πλατφορμα. Κανενα ονομα μαθητη, αναγνωριστικο η PII δεν επιτρεπεται να εισαχθει στην πλατφορμα. Το υλικο Meta Quest εχει χωριστη ελαχιστη ηλικια 10 ετων που οριζεται απο τη Meta - αυτο ειναι πολιτικη της Meta, οχι δικη μας, και ισχυει ανεξαρτητα απο την επαγγελματικη εποπτεια.

Τρια κατωφλια μπορει να εφαρμοζονται ταυτοχρονα: η πολιτικη ηλικιας της πλατφορμας, η εφαρμοστεα νομοθεσια ιδιωτικοτητας (π.χ. τα 13 του COPPA, τα 13-16 του GDPR Article 8 αναλογα με το κρατος μελος) και η κλινικη συγκαταθεση (συνηθως κατω των 18). Υπερισχυει το υψηλοτερο κατωφλι. Ο επιβλεπων επαγγελματιας ειναι υπευθυνος για τη γονικη η κηδεμονικη συγκαταθεση στη δικαιοδοσια του.

Για αμερικανικα σχολεια, διατιθεται συμφωνια FERPA, Student Data Privacy Agreement η SDPC National DPA - δειτε την ενοτητα 8 (Διαθεσιμες συμφωνιες) παρακατω.

Πηγη: Educational Use Policy §1, §3 · EULA §8

8. Οργανωτικη ετοιμοτητα

Πιστοποιηση ιατροτεχνολογικου

Η Therapy withVR δεν ειναι ιατροτεχνολογικο προϊον. Χωρις σημανση CE βαση EU MDR. Δεν ρυθμιζεται απο FDA. Χωρις σημανση UKCA. Η πλατφορμα δεν διαγνωσκει, δεν θεραπευει, δεν βαθμολογει, δεν μετραει και δεν λαμβανει κλινικες αποφασεις. Ολες οι κλινικες αποφασεις παραμενουν αποκλειστικη ευθυνη του επιβλεποντα επαγγελματια. Οι λειτουργιες ΤΝ παραγουν μονο προτασεις περιεχομενου και δεν συνιστουν κλινικη συμβουλη η αξιολογηση.

Πηγη: EULA §1 · AUP §1 · EU AI Act Statement §2

SLA και διαθεσιμοτητα

Η withVR BV δεν προσφερει χωριστη εγγυηση διαθεσιμοτητας, αλλα η πλατφορμα κληρονομει το SLA διαθεσιμοτητας 99,95% της Google Cloud για την υποκειμενη υποδομη. Η προγραμματισμενη συντηρηση κοινοποιειται εκ των προτερων οπου ειναι δυνατο. Η μη προγραμματισμενη μη διαθεσιμοτητα κοινοποιειται μεσω email και στον ιστοτοπο.

Πηγη: ToS §12.2 · EULA §11

Τιμολογηση και ΦΠΑ

Τυπικη συνδρομη EUR 49 ανα μηνα ανα θεση (χωρις ΦΠΑ, με ετησια τιμολογηση). Πολυετεις εκπτωσεις διαθεσιμες εως 5 ετη. Οσες θεσεις χρειαζονται. Προσφορες σε επιστολοχαρτο, τιμολογηση βαση εντολης αγορας και συμπληρωματικη τεκμηριωση προμηθειων διαθεσιμα κατοπιν αιτηματος. Μπορουμε να μιλησουμε απευθειας με ομαδες IT, προμηθειων η προστασιας δεδομενων για να καλυψουμε τις απαιτησεις onboarding προμηθευτη.

Πηγη: ToS §6 · Refund Policy

Προστασια καταναλωτη (ΕΕ)

Νομιμο δικαιωμα υπαναχωρησης 14 ημερων βαση EU Consumer Rights Directive 2011/83/EU και του βελγικου νομου εφαρμογης. Βελγικο δικαιο / δικαιοδοσια Γανδης. Οι καταναλωτες της ΕΕ διατηρουν το δικαιωμα να ασκησουν διαδικασιες στον τοπο της συνηθους διαμονης τους· η ευρωπαϊκη πλατφορμα ηλεκτρονικης επιλυσης διαφορων ειναι διαθεσιμη στο ec.europa.eu/consumers/odr (ανοιγει σε νεα καρτελα).

Πηγη: ToS §6.4, §16 · Refund Policy §2, §9

9. Επικυρωση ομοτιμων

Η Therapy withVR χρησιμοποιειται σε ενεργη ερευνα κριτικης ομοτιμων σε πανεπιστημια και νοσοκομεια σε πολλες χωρες. Το Evidence Hub καταλογογραφει καθε δημοσιευμενη μελετη, με πληρη παραπομπη, απλη περιληψη και αξιολογηση βεβαιοτητας. Πανεπιστημια, NHS trusts και σχολικες περιφερειες που εχουν ηδη ολοκληρωσει τις δικες τους ιδρυματικες διαδικασιες εγκρισης ειναι πρόθυμα να προσεγγιστουν ως αναφορες - αιτηματα μεσω hello@withvr.app.

Διαθεσιμες συμφωνιες

Κατοπιν αιτηματος στο legal@withvr.app: DPA, συμφωνια FERPA / SDPC National DPA, Research Agreement, προσαρμοσμενη συμπληρωματικη συμφωνια, τεκμηριωση DPIA, VPAT v2.5, περιληψη BCDR, Patch Management Policy.

Εγγραφα

Ολα τα δημοσια νομικα εγγραφα συνδεονται απο withvr.app/el/legal:

• Privacy Policy (στα Αγγλικά)
• Terms of Service (στα Αγγλικά)
• End User License Agreement (στα Αγγλικά)
• Acceptable Use Policy (στα Αγγλικά)
• Educational Use Policy (στα Αγγλικά)
• EU AI Act Compliance Statement (στα Αγγλικά)
• Accessibility Statement (στα Αγγλικά)
• Cookie Policy (στα Αγγλικά)
• Refund and Return Policy (στα Αγγλικά)
• Sub-Processor List (στα Αγγλικά)

Τι δεν διεκδικουμε

Η διαφανεια για τα ορια ειναι μερος του σχεδιασμου:

• Δεν διεκδικουμε με κανενα τροπο οτι ειμαστε ιατροτεχνολογικο προϊον.
• Δεν διεκδικουμε συμμορφωση με HIPAA - ειμαστε εκτος του πεδιου του HIPAA κατα σχεδιασμο.
• Δεν διεκδικουμε ανεξαρτητες πιστοποιησεις SOC 2 Type II η ISO 27001. Κληρονομουμε αμφοτερες απο το Google Cloud σε επιπεδο υποδομης· οι ανεξαρτητες πιστοποιησεις θα εξεταστουν καθως ωριμαζει η πλατφορμα.
• Δεν διεκδικουμε ολοκληρωμενο ανεξαρτητο ελεγχο WCAG. Διαθετουμε αυτοαξιολογηση, αυτοματοποιημενες σαρωσεις, το VPAT v2.5 και βαθμολογια Lighthouse 100/100 στον ιστοτοπο μαρκετινγκ. Επισημος αναθετομενος ελεγχος ειναι σχεδιασμενος οταν το επιτρεψει η χρηματοδοτηση.
• Δεν διεκδικουμε συμμορφωση με NIS2 - διεκδικουμε ευθυγραμμιση με τη βελγικη εφαρμογη του NIS2 μεσω της Patch Management Policy.
• Δεν διεκδικουμε οτι η ΤΝ αντικαθιστα την κλινικη κριση. Καθε λειτουργια ΤΝ ειναι προαιρετικη, απενεργοποιημενη κατα προεπιλογη και επανεξεταζομενη. Οι φωνες των avatar αποκαλυπτονται παντα ως συνθετικες απο ΤΝ.

Επικοινωνια

Προμηθειες, ερωτηματολογια προμηθευτων, ελεγχοι ασφαλειας και αιτηματα συμφωνιων: legal@withvr.app. Το δημοσιο Technology Checklist for SLPs ειναι το πλαισιο γυρω απο το οποιο διαρθρωνεται αυτη η σελιδα - χρησιμοποιηστε το πανω μας, η σε οποιοδηποτε αλλο εργαλειο αξιολογειτε.

withVR BV · Jozef Hebbelynckstraat 21, Merelbeke 9820, Belgium · BE-0790.909.294 · Τελευταια αναθεωρηση 2026-04-26