Hoe Therapy withVR zich verhoudt tot wetten, normen en kaders

Overzicht

Details en bronvermeldingen voor elke rij staan in de secties hieronder, georganiseerd onder de negen categorieen van de Technology Checklist for SLPs.

Een opmerking over de structuur. De onderstaande secties weerspiegelen de negen categorieen van onze openbare Technology Checklist for SLPs - hetzelfde kader dat we clinici aanraden om elke technologie te beoordelen, ook deze. Deze pagina is het uitgewerkte voorbeeld voor ons eigen product.

1. Gegevensbescherming en compliance

GDPR en UK GDPR

withVR BV is de verwerkingsverantwoordelijke voor persoonsgegevens die via Therapy withVR worden verwerkt. Alle platformgegevens worden gehost op Google Cloud / Firebase in Frankfurt, Duitsland (europe-west1) - binnen de EER. Persoonsgegevens worden rechtmatig verwerkt onder GDPR Article 6 op basis van uitvoering van een overeenkomst, gerechtvaardigd belang, wettelijke verplichting en toestemming (voor marketingcommunicatie). Persoonsgegevens uit het VK worden verwerkt onder UK GDPR met gelijkwaardige rechtsgronden. VK-overdrachten naar derde landen zijn geregeld via de UK IDTA of het UK Addendum to EU SCCs, naargelang van toepassing. Betrokkenen hebben volledige rechten op inzage, rectificatie, wissing, beperking, gegevensoverdraagbaarheid, bezwaar en intrekking van toestemming op grond van GDPR Articles 15-22.

Bron: Privacy Policy §3, §7, §9 · Terms of Service §11

HIPAA - door ontwerp buiten reikwijdte

Therapy withVR is geen HIPAA covered entity en functioneert niet als Business Associate onder HIPAA. Het platform is zo ontworpen dat Protected Health Information (PHI) het systeem niet binnenkomt - er worden geen klinische dossiers, diagnoses, patientidentificatoren of gezondheidsdossiers opgeslagen. Voor Amerikaanse zorgomgevingen valt het platform door ontwerp buiten de reikwijdte van Business Associate Agreement-vereisten. Dat een leverancier geen BAA heeft, betekent niet noodzakelijk non-compliance; in ons geval betekent het dat de architectuur PHI van meet af aan vermijdt. Gebruikers in Amerikaanse zorgomgevingen zijn verantwoordelijk om te zorgen dat geen PHI in het platform wordt ingevoerd.

Bron: Privacy Policy §12 · ToS §11.1

FERPA - door ontwerp buiten reikwijdte

FERPA-verplichtingen rusten op onderwijsinstellingen, niet op leveranciers. Therapy withVR is niet rechtstreeks onderworpen aan FERPA. Het platform is zo ontworpen dat leerlingendossiers het systeem niet binnen hoeven te komen - sessiegegevens bestaan uitsluitend uit configuratie-instellingen en tekstlabels, die geen leerlingendossier vormen zoals gedefinieerd onder FERPA. De begeleidende professional is verantwoordelijk om te zorgen dat geen FERPA-beschermde gegevens worden ingevoerd. Voor Amerikaanse schooldistricten zal withVR BV de standaard FERPA-overeenkomst van uw instelling of de Student Data Privacy Consortium (SDPC) National DPA beoordelen en met u meedenken om een passend pad te vinden - tekenen zoals voorgelegd waar de voorwaarden werkbaar zijn, wijzigingen voorstellen waar nodig, of in plaats daarvan een withVR-template aanleveren. Neem contact op met legal@withvr.app om het gesprek te starten.

Bron: Educational Use Policy §3.1, §7 · Privacy Policy §13

COPPA

COPPA is van toepassing op online diensten die persoonlijke informatie verzamelen van kinderen onder de 13 jaar. Therapy withVR is niet gericht op kinderen en verzamelt geen persoonlijke informatie rechtstreeks van enige gebruiker, ook niet van kinderen. Wanneer het platform met kinderen jonger dan 13 jaar in een schoolcontext wordt gebruikt, treedt de school op als accounthouder onder de school official exception van COPPA - leerlingen zijn niet rechtstreeks gebruiker van het platform. Onderwijsinstellingen zijn verantwoordelijk voor de ouderlijke-toestemmingsprocedures die in hun rechtsgebied van toepassing zijn.

Bron: Educational Use Policy §3.2

Wetten op leerlingenprivacy in staten en regio's

Diverse Amerikaanse staten hebben wetgeving inzake leerlingenprivacy aangenomen die verder gaat dan FERPA - waaronder Californie (SOPIPA), New York (Education Law 2-d), Colorado, Texas en andere. De architectonische verbintenissen hierboven (geen verzameling van PII, geen reclame voor leerlingen, geen verkoop van data, geen gedragsmonitoring, geen profilering) zijn ontworpen om compliance met deze kaders te ondersteunen. Instellingen in rechtsgebieden met specifieke vereisten die verder gaan dan hier beschreven, kunnen aanvullende overeenkomsten opvragen via legal@withvr.app.

Bron: Educational Use Policy §3.4

Datahosting, doorgifte en sub-verwerkers

Alle platformgegevens worden gehost op Google Cloud / Firebase in Frankfurt, Duitsland. Doorgiften aan OpenAI (Verenigde Staten, alleen optionele AI-functies) zijn onderworpen aan EU Standard Contractual Clauses 2021 onder GDPR Article 46(2)(c). Stripe-doorgiften vinden plaats onder SCCs en, waar van toepassing, deelname aan het EU-US Data Privacy Framework. De volledige lijst van sub-verwerkers met de rol, locatie en doorgiftemechanisme van elke aanbieder wordt gepubliceerd op withvr.app/sub-processor-list; minstens 30 dagen vooraf wordt kennisgeving gedaan voordat een nieuwe sub-verwerker wordt toegevoegd.

Bron: Privacy Policy §5, §7 · Sub-Processor List

Gegevens die we niet verzamelen

Geen audio- of video-opnamen van sessies. Geen spraakopnamen van de persoon in VR. Geen biometrische gegevens van VR-headsetsensoren. Geen PHI. Geen leerlingendossiers. Geen precieze locatiegegevens. Geen financiele betalingsgegevens (Stripe verwerkt kaarten). Geen bijzondere persoonsgegevens onder GDPR Article 9. Profielnamen worden op applicatieniveau versleuteld met AES-256 met unieke initialisatievectoren per record.

Bron: Privacy Policy §2.6, §8

Bewaartermijnen

Account- en abonnementsgegevens: 5 jaar na einde abonnement (Belgische commerciele verjaringstermijn). Sessie- en profielgegevens: 3 jaar na einde abonnement. Onderzoeksgegevens onder een Research Agreement: 24 maanden na afloop van het project. Boekhoudkundige bescheiden: 7 jaar (Belgische boekhoudwet). Vroegtijdige verwijdering kan op elk moment worden aangevraagd via legal@withvr.app en wordt binnen 30 dagen uitgevoerd, behalve waar de wet langere bewaring vereist.

Bron: Privacy Policy §6

2. AI en transparantie

Classificatie onder de EU AI Act

Therapy withVR is formeel beoordeeld onder de EU AI Act en is niet geclassificeerd als hoog-risico AI-systeem onder Article 6 of Annex III. Het platform beoordeelt geen leerprestaties, monitort geen leerlinggedrag, scoort geen toetsen, neemt geen klinische beslissingen en ondersteunt geen functies van medische apparatuur. Mocht enige functie alsnog worden geacht een Annex III-categorie te raken, dan zouden de Article 6(3) uitzonderingen van toepassing zijn (beperkte procedurele taken, het verbeteren van de uitkomst van een eerder uitgevoerde menselijke handeling, geen vervanging van menselijke beoordeling). Er is geen conformiteitsbeoordeling, EU-databankregistratie of CE-markering vereist.

Bron: EU AI Act Statement §2

Article 5 - verboden praktijken

Onderzocht en bevestigd: er zijn geen verboden praktijken onder Article 5 aanwezig. Geen subliminale technieken, geen uitbuiting van kwetsbaarheden, geen social scoring, geen real-time biometrische identificatie op afstand, geen emotieherkenning in arbeids- of onderwijscontexten.

Bron: EU AI Act Statement §2.4

Article 4 - AI-geletterdheid

Van kracht sinds februari 2025. Conform. withVR BV verzorgt live onboardingstrainingen voor alle gebruikers, met aandacht voor het gebruik, de beperkingen en het verantwoord inzetten van AI-functies. Documentatie over AI-functies is opgenomen in de platformdocumentatie. Instellingen zijn zelf verantwoordelijk om ervoor te zorgen dat hun personeel een toereikend niveau van AI-geletterdheid heeft; onze onboarding ondersteunt deze verplichting.

Bron: EU AI Act Statement §3

Article 50 - transparantie voor AI-gesynthetiseerde stemmen en AI-gegenereerde tekst

Van toepassing vanaf 2 augustus 2026. In voorbereiding. Disclosure is reeds aanwezig in de EULA, ToS, Privacy Policy en de EU AI Act Compliance Statement. In-platform disclosure wordt voor de deadline van 2 augustus 2026 conform bevestigd. Avatarstemmen zijn in elke sessie AI-gesynthetiseerd via Google Text-to-Speech; wanneer optionele OpenAI-functies zijn geactiveerd, wordt tekst die in AI-velden wordt ingevoerd door een AI-systeem verwerkt. Begeleidende professionals zijn verantwoordelijk om de personen met wie zij werken hierover te informeren waar dit volgens beroepsstandaarden of institutionele verplichtingen vereist is.

Bron: EU AI Act Statement §5

AI-functies: aanbieder, data, trainingsbeleid

Altijd actief: avatarstemsynthese (Google Text-to-Speech). Alleen de tekst van de avatarspraak wordt verzonden voor stemsynthese; geen gegevens van gebruikers, clienten of deelnemers. Optioneel, standaard uit: zinsvertaling, tekstgeneratie, autocorrectie, Whisper spraakherkenning, sprekersgrammatica, formaliteitsaanpassing, emotionele spraak (alle via OpenAI API). Onder het API data usage policy van OpenAI worden API-invoeren standaard niet gebruikt om de modellen van OpenAI te trainen. Geen clientnamen, sessieopnames of PII over personen met wie u werkt worden in normale werking naar een van beide aanbieders verzonden. Gebruikers wordt uitdrukkelijk geinstrueerd geen PII in AI-gestuurde tekstvelden in te voeren.

Bron: Privacy Policy §4 · Sub-Processor List

3. Geinformeerde toestemming

De begeleidende professional is verantwoordelijk voor het verkrijgen van geinformeerde toestemming van de personen met wie hij of zij werkt, in overeenstemming met de beroepscode, het instellingsbeleid en het toepasselijk recht. Ter ondersteuning biedt withVR een gratis VR Informed Consent Template, een gratis begrijpelijke VR-informatiebrochure voor clienten en familie, en de EU AI Act Compliance Statement met disclosure-formuleringen die u in uw eigen toestemmingsdocumenten kunt opnemen. AI-betrokkenheid (synthetische stemmen en eventueel geactiveerde OpenAI-functies) moet worden geopenbaard waar uw beroepsstandaarden of het toepasselijk recht dit vereisen.

Bron: Acceptable Use Policy §2 · EU AI Act Statement

4. Taal en toegankelijkheid

WCAG 2.2 niveau AA

Marketingsite (withvr.app): zelfevaluatie tegen WCAG 2.2 AA afgerond in april 2026. Lighthouse Accessibility 100/100 op desktop en mobiel voor de prioritaire pagina's. Geautomatiseerde pa11y- en axe-core scans tonen aan dat alle harde failures opgelost zijn. Web App: in uitvoering tegen WCAG 2.2 AA, met bekende deelhiaten eerlijk gedocumenteerd in de Accessibility Statement (browserzoom, formele screenreader-test, formele contrastcontrole). VR App: handtracking ondersteund als alternatief voor controllers; fysieke toegankelijkheid van VR is een klinische beslissing voor de begeleidende professional.

Bron: Accessibility Statement §1, §4, §5

VPAT / ACR

VPAT v2.5 (International Edition) afgerond in maart 2026, ter dekking van WCAG 2.0/2.1/2.2, Section 508 en EN 301 549 voor platform v4.0.0. Op aanvraag verkrijgbaar via legal@withvr.app.

European Accessibility Act, EN 301 549, Section 508

EAA in werking sinds juni 2025. Therapy withVR is in eerste instantie een B2B-platform voor professionals; de toepasselijkheid van de EAA op B2B-tools wordt gevolgd naarmate de Belgische uitvoeringsrichtlijnen vorm krijgen. Toegankelijkheidsverbeteringen richten zich op EN 301 549 / WCAG 2.2 AA, ongeacht de toepasselijkheid van de EAA. Section 508: gedeeltelijke afstemming via het WCAG 2.2 AA-werk; geen formele Section 508-beoordeling afgerond.

Bron: Accessibility Statement §3, §7

Talen

De Web App-interface is beschikbaar in 59 talen. 52 avatar-taal-regiocombinaties. De marketingsite is beschikbaar in 11 talen (Engels plus Nederlands, Frans, Duits, Noors, Italiaans, Tsjechisch, Spaans, Portugees, Grieks, Arabisch, Turks), met correct lang-attribuut en RTL-ondersteuning voor Arabisch.

5. Culturele en klinische passendheid

Alle scenario's, zinnen en gespreksinhoud zijn configureerbaar door de begeleidende professional - culturele en contextuele relevantie wordt door de gebruiker bepaald, niet door ons. Aanpasbare spreekomgevingen en een vrij configureerbare lege ruimte ondersteunen oefening die de werkelijke leefcontext van de individuele persoon weerspiegelt. Peer-reviewed studies waarin Therapy withVR of door withVR ontwikkelde scenario's worden gebruikt, zijn gecatalogiseerd in de Evidence Hub met volledige citatie, begrijpelijke samenvatting en zekerheidsoordeel per studie. Het platform doet zelf geen claim over klinische effectiviteit; de evidentie komt uit de literatuur.

Bron: Evidence Hub · Scenarios

6. Beveiliging en datalekmelding

Encryptie en opslag

Alle data in rust in Google Cloud Firestore wordt versleuteld met AES-256 (Google Cloud-standaard infrastructuurversleuteling). Profielnamen worden aanvullend versleuteld op applicatieniveau met AES-256 met unieke initialisatievectoren per record. Alle data in transit wordt versleuteld met TLS 1.2 of hoger. Wachtwoorden worden volledig beheerd door Firebase Authentication - withVR BV heeft nooit toegang tot gebruikerswachtwoorden.

Bron: Privacy Policy §8 · DPA §6 (op aanvraag)

Patchbeheer

Kritieke patches (CVSS 9.0+, zero-days, kwetsbaarheden die Firebase auth of storage raken): binnen 48 uur. Hoog (CVSS 7.0-8.9): binnen 7 dagen. Gemiddeld (CVSS 4.0-6.9): binnen 30 dagen of bij de volgende release. Identificatie via leveranciersbulletins, NVD/CVE en GitHub Dependabot. Afgestemd op de verplichtingen van GDPR Article 32 en de Belgische NIS2-implementatie.

Bron: Patch Management Policy §4 (op aanvraag)

Datalekmelding

Melding van een persoonsgegevensinbreuk aan de Belgische Gegevensbeschermingsautoriteit (GBA) binnen 72 uur na kennisname (GDPR Article 33). Melding aan de UK ICO onder UK GDPR. Betrokken gebruikers worden zonder onnodige vertraging op de hoogte gebracht waar de inbreuk waarschijnlijk een hoog risico inhoudt. Institutionele klanten met een ondertekende DPA worden binnen 72 uur op de hoogte gebracht volgens de DPA-voorwaarden.

Bron: Privacy Policy §10 · ToS §11.3 · DPA §11 (op aanvraag)

Beschikbaarheid en veerkracht van de dienst

Gehost op Google Cloud Firebase (Frankfurt) onder Google's 99,95% uptime SLA. Multi-zone datareplicatie binnen de EU-regio. Firestore point-in-time recovery met 7-dagen venster. Dagelijkse back-ups bewaard 30 dagen, weekelijkse back-ups bewaard 98 dagen. Incidentprioriteiten (P1 volledige uitval / datalek binnen 2 uur; P2 gedeeltelijke uitval binnen 4 uur; P3 lichte degradatie volgende werkdag). De Web App functioneert onafhankelijk van de marketingsite, en de VR App functioneert na installatie onafhankelijk van het Meta Quest Store-distributiekanaal.

Bron: Business Continuity & Disaster Recovery Summary (op aanvraag)

Onafhankelijke beveiligingscertificeringen

Eerlijke positie: withVR BV bezit op dit moment geen onafhankelijke SOC 2 Type II- of ISO 27001-certificeringen. De infrastructuur van het platform erft beide van Google Cloud / Firebase, dat ze beide in stand houdt. Onafhankelijke certificeringen worden overwogen naarmate het platform volwassener wordt. Periodiek penetratietesten is op dit moment niet ingericht; ook dit wordt overwogen naarmate het platform volwassener wordt.

Bron: Patch Management Policy §9 · BCDR §8.2 (op aanvraag)

Administratieve toegang

Eerlijke positie: withVR BV wordt door een enkele persoon (de oprichter) gerund. Administratieve toegang tot het Firebase-project is beperkt tot die persoon. Geen ander personeel of derden hebben directe toegang tot de productiedatabase of infrastructuur. Multi-factor authenticatie op administratieve accounts is gepland. De onderliggende infrastructuur van het platform draait op beheerde Google Cloud-diensten die los staan van de dagelijkse bemoeienis van withVR BV, wat de afhankelijkheid van een enkele persoon op infrastructuurniveau beperkt. Scenario's waarin de oprichter niet beschikbaar is, worden behandeld in het Business Continuity Summary.

Bron: Privacy Policy §8 · BCDR §5 (op aanvraag)

Auditlogging

Google Cloud Audit Logs zijn ingeschakeld in het volledige productieproject en bieden een manipulatiebestendig spoor van elke administratieve actie en elke bewerking op klantgegevens. Altijd-actieve Admin Activity-logs leggen elke configuratiewijziging vast. Admin Read, Data Read en Data Write-logs zijn ingeschakeld voor Cloud Firestore (waar klantgegevens zich bevinden), de Cloud Storage for Firebase API (regels en configuratie) en Google Cloud Storage (bestandsbewerkingen - upload, download, verwijdering). Logs worden bewaard volgens het standaard bewaarbeleid van Google Cloud (400 dagen voor data access logs, 400 dagen voor admin activity) en worden uitsluitend gebruikt voor onderzoek naar beveiligingsincidenten en compliance-verificatie. Dit maakt deel uit van de technische en organisatorische maatregelen van withVR BV onder GDPR Article 32.

Bron: Google Cloud Audit Logs (Firebase-project) · BCDR §6 (op aanvraag)

Netwerkvereisten (voor institutionele IT)

Al het verkeer van withVR BV verloopt via HTTPS op poort 443. De Web App vereist withvr.app, firestore.googleapis.com, firebasestorage.googleapis.com, texttospeech.googleapis.com en (alleen wanneer AI-functies zijn ingeschakeld) api.openai.com. De VR App maakt geen verbinding met OpenAI. Meta Quest-hardware vereist daarnaast Meta-platformdomeinen - instellingen met restrictieve netwerken (vooral scholen) dienen ervoor te zorgen dat deze niet worden geblokkeerd. De volledige lijst met domeinen, poorten, browsers en besturingssystemen staat op de Compatibility-pagina.

Bron: Compatibility-pagina · BCDR §8.1 (op aanvraag)

7. Werken met kinderen en in scholen

Accounthouders moeten 18+ zijn. Het platform mag alleen met minderjarigen worden gebruikt onder rechtstreeks toezicht en sturing van een gekwalificeerde volwassen professional. Leerlingen maken nooit zelf accounts aan, loggen niet in en dienen geen persoonsgegevens rechtstreeks bij het platform in. Geen leerlingnamen, identificatoren of PII mogen in het platform worden ingevoerd. Voor de Meta Quest-hardware geldt een aparte minimumleeftijd van 10 jaar die door Meta is vastgesteld - dit is het beleid van Meta, niet van ons, en geldt ongeacht professionele begeleiding.

Drie drempels kunnen tegelijk van toepassing zijn: het leeftijdsbeleid van het platform, het toepasselijk privacyrecht (bv. de 13 jaar van COPPA, de 13-16 jaar onder GDPR Article 8 afhankelijk van de lidstaat) en de klinische toestemming (doorgaans onder de 18). De hoogste drempel is doorslaggevend. De begeleidende professional is verantwoordelijk voor toestemming van ouder of voogd in zijn of haar rechtsgebied.

Voor Amerikaanse scholen is een FERPA-overeenkomst, Student Data Privacy Agreement of de SDPC National DPA beschikbaar - zie sectie 8 (Beschikbare overeenkomsten) hieronder.

Bron: Educational Use Policy §1, §3 · EULA §8

8. Organisatorische gereedheid

Certificering als medisch hulpmiddel

Therapy withVR is geen medisch hulpmiddel. Niet CE-gemarkeerd onder EU MDR. Niet gereguleerd door FDA. Niet UKCA-gemarkeerd. Het platform stelt geen diagnose, behandelt niet, scoort niet, meet niet en neemt geen klinische beslissingen. Alle klinische beslissingen blijven de exclusieve verantwoordelijkheid van de begeleidende professional. AI-functies genereren uitsluitend content-suggesties en vormen geen klinisch advies of beoordeling.

Bron: EULA §1 · AUP §1 · EU AI Act Statement §2

SLA en uptime

withVR BV biedt geen aparte uptime-garantie, maar het platform erft de 99,95% uptime SLA van Google Cloud voor de onderliggende infrastructuur. Geplande onderhoudswerkzaamheden worden waar mogelijk vooraf gecommuniceerd. Niet-geplande downtime wordt per e-mail en op de website gecommuniceerd.

Bron: ToS §12.2 · EULA §11

Prijzen en btw

Standaardabonnement EUR 49 per maand per zitje (excl. btw, jaarlijkse facturering). Meerjarenkortingen beschikbaar tot 5 jaar. Zoveel zitjes als nodig. Offertes op briefpapier, factuurstelling op basis van inkooporder en aanvullende procurementdocumentatie zijn op aanvraag verkrijgbaar. We kunnen rechtstreeks met IT, inkoop of gegevensbeschermingsteams overleggen om vendor-onboardingvereisten af te wikkelen.

Bron: ToS §6 · Refund Policy

Consumentenbescherming (EU)

Wettelijk herroepingsrecht van 14 dagen onder EU Consumer Rights Directive 2011/83/EU en de Belgische omzettingswet. Belgisch recht / rechtbank Gent. EU-consumenten behouden het recht om procedures aan te spannen op hun gewone verblijfplaats; het Europese platform voor onlinegeschillenbeslechting is beschikbaar op ec.europa.eu/consumers/odr (opent in nieuw tabblad).

Bron: ToS §6.4, §16 · Refund Policy §2, §9

9. Peer-validatie

Therapy withVR wordt actief gebruikt in peer-reviewed onderzoek aan universiteiten en ziekenhuizen in vele landen. De Evidence Hub catalogiseert elke gepubliceerde studie, met volledige citatie, begrijpelijke samenvatting en zekerheidsoordeel. Universiteiten, NHS-trusts en schooldistricten die hun eigen institutionele goedkeuringstrajecten reeds hebben afgerond, zijn graag bereid als referentie te worden benaderd - aanvragen via hello@withvr.app.

Beschikbare overeenkomsten

Op aanvraag bij legal@withvr.app:

• Data Processing Agreement (DPA) - vereist door veel instellingen onder GDPR. withVR BV treedt op als verwerker. Een standaardtemplate is beschikbaar; we beoordelen ook graag de DPA van uw instelling en werken met u toe naar een afgestemde versie.
• FERPA-overeenkomst / Student Data Privacy Agreement - vereist door veel Amerikaanse schooldistricten. We beoordelen de standaardovereenkomst van uw instelling (inclusief de SDPC National DPA) en werken met u toe naar een passend pad: tekenen zoals voorgelegd waar de voorwaarden werkbaar zijn, wijzigingen voorstellen waar nodig, of in plaats daarvan een withVR-template aanleveren.
• Research Agreement - voor academisch onderzoeksgebruik. Definieert het eigendom van onderzoeksgegevens (van de instelling), de beperkte operationele rechten van withVR BV, publicatievrijheid en 24 maanden bewaartermijn van onderzoeksgegevens na afloop van het project.
• Aangepaste aanvullende overeenkomst - voor staat-, instellings- of jurisdictiespecifieke vereisten die hierboven niet zijn gedekt.
• Data Protection Impact Assessment (DPIA)-documentatie - ondersteunende documentatie voor institutionele DPIA's onder GDPR Article 35.
• VPAT v2.5 (maart 2026) - accessibility conformance report met dekking voor WCAG 2.0/2.1/2.2, Section 508 en EN 301 549.
• Business Continuity & Disaster Recovery Summary - voor institutionele procurement-beoordeling.
• Patch Management Policy - voor institutionele beveiligingsbeoordeling.

Documenten

Alle openbare juridische documenten zijn gelinkt vanaf withvr.app/nl/legal:

• Privacy Policy (Engels)
• Terms of Service (Engels)
• End User License Agreement (Engels)
• Acceptable Use Policy (Engels)
• Educational Use Policy (Engels)
• EU AI Act Compliance Statement (Engels)
• Accessibility Statement (Engels)
• Cookie Policy (Engels)
• Refund and Return Policy (Engels)
• Sub-Processor List (Engels)

Wat we niet claimen

Transparantie over de grenzen is onderdeel van het ontwerp:

• We claimen op geen enkele wijze een medisch hulpmiddel te zijn.
• We claimen geen HIPAA-conformiteit - we vallen door ontwerp buiten de reikwijdte van HIPAA.
• We claimen geen onafhankelijke SOC 2 Type II- of ISO 27001-certificeringen. We erven beide van Google Cloud op de infrastructuurlaag; onafhankelijke certificeringen worden overwogen naarmate het platform volwassener wordt.
• We claimen geen afgeronde onafhankelijke WCAG-audit. We hebben een zelfevaluatie, geautomatiseerde scans, de VPAT v2.5 en een Lighthouse-score van 100/100 op de marketingsite. Een formele, in opdracht uitgevoerde audit is gepland zodra de financiering dit toelaat.
• We claimen geen NIS2-conformiteit - we claimen afstemming op de Belgische NIS2-implementatie via de Patch Management Policy.
• We claimen niet dat AI het klinisch oordeel vervangt. Elke AI-functie is optioneel, standaard uit en controleerbaar. Avatarstemmen worden altijd als AI-gesynthetiseerd kenbaar gemaakt.

Contact

Procurement, vragenlijsten van leveranciers, beveiligingsbeoordelingen en verzoeken om overeenkomsten: legal@withvr.app. Onze openbare Technology Checklist for SLPs is het kader waarop deze pagina is gebaseerd - voel je vrij het op ons te gebruiken, of op elk ander instrument dat je evalueert.

withVR BV · Jozef Hebbelynckstraat 21, Merelbeke 9820, Belgium · BE-0790.909.294 · Laatst herzien 2026-04-26