Er Therapy withVR FERPA-kompatibel?

FERPA-forpliktelser hviler på utdanningsinstitusjoner, ikke på leverandører. Therapy withVR er ikke direkte underlagt FERPA. Plattformen er utformet slik at elevopptegnelser ikke trenger å komme inn i systemet - øktdata består av konfigurasjonsinnstillinger og tekstetiketter, ikke elevopptegnelser. En FERPA-avtale, Student Data Privacy Agreement eller SDPC National DPA er tilgjengelig på forespørsel fra legal@withvr.app.

Er Therapy withVR et høyrisiko KI-system under EU AI Act?

Nei. Therapy withVR er vurdert mot EU AI Act og er ikke klassifisert som høyrisiko KI-system etter Article 6 eller Annex III. Plattformen faller innenfor kategorien begrenset risiko, med transparensforpliktelser etter Article 50 som gjelder fra august 2026 (dekker KI-syntetiserte stemmer og KI-generert innhold). Article 4 (KI-kompetanse) har vært i kraft siden februar 2025 og støttes av withVRs onboarding-opplæring. Ingen CE-merking eller EU-databaseregistrering er påkrevd.

Compliance og regulatorisk posisjon

Dette er en oversettelse av den engelske originalversjonen. De underliggende juridiske dokumentene (Privacy Policy, Terms of Service, EULA osv.) er kun tilgjengelige på engelsk. Ved konflikt gjelder den engelske originalversjonen.

Sist gjennomgått: 2026-04-26 Selskap: withVR BV Registrert: Belgium · BE-0790.909.294 Innkjøp: legal@withvr.app

Hva Therapy withVR er. Et tilpassbart VR-verktøy for logopeder, pedagoger og forskere. Det er ikke et medisinsk utstyr. Det diagnostiserer ikke, behandler ikke, scorer ikke, måler ikke. Alle kliniske, pedagogiske og forskningsbeslutninger er det fulle ansvaret til den veiledende fagpersonen. Plattformen er utformet slik at ingen Protected Health Information (PHI), ingen FERPA-beskyttede elevopptegnelser og ingen særlige kategorier personopplysninger etter GDPR artikkel 9 skal komme inn i systemet.

Oversikt

Rammeverk / standard	Jurisdiksjon	Status	Kilde
GDPR / UK GDPR	EU / EEA / UK	I samsvar	Privacy Policy (engelsk)
HIPAA	US	Utenfor virkeområdet ved design	Privacy Policy (engelsk)
FERPA	US	Utenfor virkeområdet ved design	Educational Use Policy (engelsk)
COPPA	US, under 13 år	School official-unntaket gjelder; ingen direkte datainnsamling fra barn	Educational Use Policy (engelsk) §3.2
EU AI Act	EU	Begrenset risiko	EU AI Act Statement (engelsk)
EU MDR / FDA / UKCA	EU / US / UK	Ikke medisinsk utstyr	EULA (engelsk)
Delstatslige elevpersonvernlover (SOPIPA, NY 2-d, Colorado, Texas osv.)	US-delstater	Arkitekturen støtter samsvar · Tilleggsavtaler tilgjengelig	Educational Use Policy (engelsk) §3.4
ICO Children's Code	UK	Ikke rettet mot barn · Kun tilsynsbasert bruk · Profesjonell kontoeier 18+	Educational Use Policy (engelsk) §3.3
WCAG 2.2 AA	EU / US	Pågående · Lighthouse 100/100	Accessibility Statement (engelsk)
EAA	EU	Følges	Accessibility Statement (engelsk)
Section 508	US	Delvis tilpasning	Accessibility Statement (engelsk)
SOC 2 / ISO 27001	Global	Arvet (Google Cloud)	BCDR (on request)
NIS2	EU	Tilpasset belgisk NIS2	Patch Management Policy (on request)
EU Consumer Rights Directive	EU	14-dagers angrerett	Refund Policy (engelsk)

En merknad om strukturen. Avsnittene nedenfor speiler de ni kategoriene i vår offentlige Technology Checklist for SLPs - det samme rammeverket vi anbefaler at klinikere bruker for å vurdere enhver teknologi, også denne. Denne siden er det utarbeidede eksemplet for vårt eget produkt.

1. Personvern og compliance

GDPR og UK GDPR

withVR BV er behandlingsansvarlig for personopplysninger som behandles via Therapy withVR. Alle plattformdata hostes hos Google Cloud / Firebase i Frankfurt, Tyskland (europe-west1) - innenfor EØS. Personopplysninger behandles lovlig etter GDPR Article 6 på grunnlag av kontraktsoppfyllelse, berettiget interesse, rettslig forpliktelse og samtykke (for markedsføringskommunikasjon). Personopplysninger fra Storbritannia behandles etter UK GDPR med tilsvarende rettsgrunnlag. Overføringer fra Storbritannia til tredjeland skjer i henhold til UK IDTA eller UK Addendum to EU SCCs, alt etter hva som gjelder. Registrerte har fulle rettigheter til innsyn, retting, sletting, begrensning, dataportabilitet, innsigelse og tilbakekall av samtykke etter GDPR Articles 15-22.

Kilde: Privacy Policy §3, §7, §9 · Terms of Service §11

HIPAA - utenfor virkeområdet ved design

Therapy withVR er ikke en HIPAA covered entity og fungerer ikke som Business Associate etter HIPAA. Plattformen er konstruert slik at Protected Health Information (PHI) ikke kommer inn i systemet - ingen kliniske journaler, diagnoser, pasientidentifikatorer eller helsejournaler lagres. For amerikanske helsekontekster faller plattformen ved design utenfor kravene til Business Associate Agreement. At en leverandør ikke har en BAA betyr ikke nødvendigvis manglende samsvar; i vårt tilfelle betyr det at arkitekturen unngår PHI fra starten. Brukere i amerikansk helsevesen er ansvarlige for å sikre at ingen PHI legges inn i plattformen.

Kilde: Privacy Policy §12 · ToS §11.1

FERPA - utenfor virkeområdet ved design

FERPA-forpliktelser hviler på utdanningsinstitusjoner, ikke på leverandører. Therapy withVR er ikke direkte underlagt FERPA. Plattformen er utformet slik at elevopptegnelser ikke trenger å komme inn i systemet - øktdata består utelukkende av konfigurasjonsinnstillinger og tekstetiketter, som ikke utgjør educational records etter FERPA. Den veiledende fagpersonen er ansvarlig for å sikre at ingen FERPA-beskyttede data legges inn. For amerikanske skoledistrikter vil withVR BV gjennomgå institusjonens standard FERPA-avtale eller SDPC National DPA og samarbeide med dere om en passende vei - signere som forelagt der vilkårene er gjennomførbare, foreslå endringer der det trengs, eller stille en withVR-mal til disposisjon i stedet. Kontakt legal@withvr.app for å starte samtalen.

Kilde: Educational Use Policy §3.1, §7 · Privacy Policy §13

COPPA

COPPA gjelder nettjenester som samler inn personlig informasjon fra barn under 13 år. Therapy withVR retter seg ikke mot barn og samler ikke inn personlig informasjon direkte fra noen bruker, herunder barn. Når plattformen brukes med barn under 13 år i skolesammenheng, opptrer skolen som kontoeier under COPPAs school official exception - elever interagerer ikke direkte med plattformen som brukere. Utdanningsinstitusjoner er ansvarlige for prosedyrer for foresattes samtykke som passer i deres jurisdiksjon.

Kilde: Educational Use Policy §3.2

Lover om elevpersonvern på delstats- og regionalnivå

Flere amerikanske delstater har vedtatt elevpersonvernlover utover FERPA - blant annet California (SOPIPA), New York (Education Law 2-d), Colorado, Texas og andre. De arkitektoniske forpliktelsene over (ingen innsamling av PII, ingen reklame til elever, intet datasalg, ingen atferdsovervåking, ingen profilering) er utformet for å støtte samsvar med disse rammeverkene. Institusjoner i jurisdiksjoner med spesifikke krav utover det som er beskrevet her kan be om tilleggsavtaler fra legal@withvr.app.

Kilde: Educational Use Policy §3.4

Datahosting, overføringer og underleverandører

Alle plattformdata hostes på Google Cloud / Firebase i Frankfurt, Tyskland. Overføringer til OpenAI (USA, kun valgfrie KI-funksjoner) reguleres av EU Standard Contractual Clauses 2021 etter GDPR Article 46(2)(c). Stripe-overføringer skjer under SCCs og, der det er relevant, deltakelse i EU-US Data Privacy Framework. Den fullstendige listen over underleverandører med rolle, lokasjon og overføringsmekanisme for hver tjenesteyter publiseres på withvr.app/sub-processor-list; minst 30 dagers forhåndsvarsel gis før nye underleverandører legges til.

Kilde: Privacy Policy §5, §7 · Sub-Processor List

Data vi ikke samler inn

Ingen lyd- eller videoopptak av økter. Ingen taleeksempler fra personen i VR. Ingen biometriske data fra VR-headsetsensorer. Ingen PHI. Ingen elevopptegnelser. Ingen presise lokasjonsdata. Ingen betalingsdata (Stripe håndterer kort). Ingen særlige kategorier personopplysninger etter GDPR Article 9. Profilnavn krypteres på applikasjonsnivå med AES-256 med unike initialiseringsvektorer per oppføring.

Kilde: Privacy Policy §2.6, §8

Lagringstid

Konto- og abonnementsdata: 5 år etter abonnementets slutt (belgisk kommersiell foreldelsesfrist). Økt- og profildata: 3 år etter abonnementets slutt. Forskningsdata under en Research Agreement: 24 måneder etter prosjektslutt. Regnskapsbilag: 7 år (belgisk regnskapslov). Tidlig sletting kan til enhver tid bestilles via legal@withvr.app og utføres innen 30 dager, unntatt der lov krever lengre lagring.

Kilde: Privacy Policy §6

2. KI og transparens

Klassifisering under EU AI Act

Therapy withVR er formelt vurdert mot EU AI Act og er ikke klassifisert som høyrisiko KI-system etter Article 6 eller Annex III. Plattformen vurderer ikke læringsutbytte, overvåker ikke elevatferd, scorer ikke vurderinger, tar ikke kliniske beslutninger og støtter ikke funksjoner i medisinsk utstyr. Selv om en funksjon skulle anses å berøre en kategori i Annex III, ville unntakene i Article 6(3) komme til anvendelse (snevre prosedyremessige oppgaver, forbedring av utfallet av en menneskelig handling som allerede er utført, ikke erstatning av menneskelig vurdering). Ingen samsvarsvurdering, EU-databaseregistrering eller CE-merking er påkrevd.

Kilde: EU AI Act Statement §2

Article 5 - forbudte praksiser

Gjennomgått og bekreftet: ingen forbudte praksiser etter Article 5 forekommer. Ingen subliminale teknikker, ingen utnyttelse av sårbarheter, ingen sosial scoring, ingen sanntids fjernbiometrisk identifikasjon, ingen følelsesgjenkjenning i arbeids- eller utdanningskontekster.

Kilde: EU AI Act Statement §2.4

Article 4 - KI-kompetanse

Trådt i kraft i februar 2025. I samsvar. withVR BV gir live onboarding-opplæring til alle brukere som dekker bruk, begrensninger og ansvarlig anvendelse av KI-funksjoner. Dokumentasjon for KI-funksjoner inngår i plattformdokumentasjonen. Institusjoner er selv ansvarlige for at egne ansatte har et tilstrekkelig nivå av KI-kompetanse; vår onboarding støtter denne plikten.

Kilde: EU AI Act Statement §3

Article 50 - transparens for KI-syntetiserte stemmer og KI-generert tekst

Anvendbar fra 2. august 2026. Under forberedelse. Avdekking finnes allerede i EULA, ToS, Privacy Policy og EU AI Act Compliance Statement. In-app-avdekking vil bli bekreftet i samsvar før fristen 2. august 2026. Avatarstemmer i hver økt er KI-syntetiserte via Google Text-to-Speech; når valgfrie OpenAI-funksjoner er aktivert, behandles tekst i KI-felter av et KI-system. Veiledende fagpersoner er ansvarlige for å informere personene de jobber med der profesjonelle eller institusjonelle plikter krever det.

Kilde: EU AI Act Statement §5

KI-funksjoner: leverandør, data, treningsstandpunkt

Alltid aktive: avatarstemmesyntese (Google Text-to-Speech). Bare teksten til avatarens tale sendes til talesyntese; ingen data om bruker, klient eller deltaker. Valgfrie, av som standard: setningsoversettelse, tekstgenerering, autokorrektur, Whisper talegjenkjenning, talegrammatikk, formalitetsjustering, emosjonell tale (alle via OpenAI API). Etter OpenAIs API data usage policy brukes ikke API-input til å trene OpenAIs modeller som standard. Ingen klientnavn, øktopptak eller PII om personer du jobber med sendes til noen av leverandørene under normal drift. Brukere blir uttrykkelig instruert om å ikke skrive inn PII i KI-drevne tekstfelter.

Kilde: Privacy Policy §4 · Sub-Processor List

3. Informert samtykke

Den veiledende fagpersonen er ansvarlig for å innhente informert samtykke fra personene de jobber med, i samsvar med yrkesetiske retningslinjer, institusjonell policy og gjeldende rett. For å støtte dette tilbyr withVR gratis en VR Informed Consent Template, en gratis VR-informasjonsbrosjyre i klart språk for klienter og familier og EU AI Act Compliance Statement med formuleringer for avdekking som kan tas inn i egne samtykkedokumenter. KI-involvering (syntetiske stemmer og eventuelt aktiverte OpenAI-funksjoner) skal avdekkes der yrkesstandarder eller gjeldende rett krever det.

Kilde: Acceptable Use Policy §2 · EU AI Act Statement

4. Språk og universell utforming

WCAG 2.2 nivå AA

Markedsføringssiden (withvr.app): selvevaluering mot WCAG 2.2 AA fullført i april 2026. Lighthouse Accessibility 100/100 på desktop og mobil for de prioriterte sidene. Automatiserte pa11y- og axe-core-skann viser at alle harde feil er rettet. Web App: pågående mot WCAG 2.2 AA, med kjente delvise hull ærlig dokumentert i Accessibility Statement (nettleserzoom, formell skjermlesertest, formell kontrastrevisjon). VR App: håndsporing støttet som alternativ til kontrollere; fysisk tilgjengelighet for VR er en klinisk vurdering for den veiledende fagpersonen.

Kilde: Accessibility Statement §1, §4, §5

VPAT / ACR

VPAT v2.5 (International Edition) ferdigstilt i mars 2026, dekker WCAG 2.0/2.1/2.2, Section 508 og EN 301 549 for plattform v4.0.0. Tilgjengelig på forespørsel fra legal@withvr.app.

European Accessibility Act, EN 301 549, Section 508

EAA i kraft fra juni 2025. Therapy withVR er primært en B2B-plattform for fagfolk; EAAs anvendelighet på B2B-verktøy følges når belgisk gjennomføringsveiledning utvikles. Tilgjengelighetsforbedringer sikter på EN 301 549 / WCAG 2.2 AA uavhengig av EAAs anvendelighet. Section 508: delvis tilpasning via WCAG 2.2 AA-arbeidet; ingen formell Section 508-vurdering ferdigstilt.

Kilde: Accessibility Statement §3, §7

Språk

Web App-grensesnittet er tilgjengelig på 59 språk. 52 avatar-språk-region-stemmekombinasjoner. Markedsføringssiden er tilgjengelig på 11 språk (engelsk pluss nederlandsk, fransk, tysk, norsk, italiensk, tsjekkisk, spansk, portugisisk, gresk, arabisk, tyrkisk), med korrekt lang-attributt og RTL-støtte for arabisk.

5. Kulturell og klinisk passform

Alle scenarier, setninger og samtaleinnhold kan konfigureres av den veiledende fagpersonen - kulturell og kontekstuell relevans bestemmes av brukeren, ikke av oss. Tilpassbare talemiljøer og et fritt konfigurerbart tomt rom støtter øvelser som speiler personens reelle livssammenheng. Fagfellevurderte studier som bruker Therapy withVR eller withVR-utviklede scenarier er katalogisert i Evidence Hub med fullstendig sitering, kortfattet sammendrag og sikkerhetsvurdering for hver. Plattformen fremmer ingen påstand om klinisk effektivitet selv; evidensen kommer fra litteraturen.

Kilde: Evidence Hub · Scenarios

6. Sikkerhet og varsling om brudd

Kryptering og lagring

Alle data i ro i Google Cloud Firestore krypteres med AES-256 (Google Clouds standard infrastrukturkryptering). Profilnavn krypteres i tillegg på applikasjonsnivå med AES-256 og unike initialiseringsvektorer per oppføring. Alle data i transitt krypteres med TLS 1.2 eller høyere. Passord forvaltes fullstendig av Firebase Authentication - withVR BV har aldri tilgang til brukerpassord.

Kilde: Privacy Policy §8 · DPA §6 (på forespørsel)

Patchhåndtering

Kritiske patcher (CVSS 9.0+, zero-days, sårbarheter som rammer Firebase auth eller storage): innen 48 timer. Høy (CVSS 7.0-8.9): innen 7 dager. Middels (CVSS 4.0-6.9): innen 30 dager eller ved neste utgivelse. Identifikasjon via leverandørers bulletins, NVD/CVE og GitHub Dependabot. Tilpasset forpliktelsene i GDPR Article 32 og belgisk NIS2-implementering.

Kilde: Patch Management Policy §4 (på forespørsel)

Varsling om brudd

Varsling om brudd på personopplysningsvernet til den belgiske datatilsynsmyndigheten (GBA) innen 72 timer etter at det blir kjent (GDPR Article 33). Varsling til UK ICO etter UK GDPR. Berørte brukere varsles uten ugrunnet opphold der bruddet sannsynligvis vil medføre høy risiko. Institusjonelle kunder med signert DPA varsles innen 72 timer i henhold til DPA-vilkårene.

Kilde: Privacy Policy §10 · ToS §11.3 · DPA §11 (på forespørsel)

Tilgjengelighet og motstandsdyktighet for tjenesten

Hostet på Google Cloud Firebase (Frankfurt) under Googles SLA på 99,95 % oppetid. Datareplikering på tvers av soner innen EU-regionen. Firestore point-in-time recovery med 7-dagers vindu. Daglige sikkerhetskopier oppbevares i 30 dager, ukentlige sikkerhetskopier i 98 dager. Hendelsesresponsprioriteter (P1 fullstendig nedetid / databrudd innen 2 timer; P2 delvis nedetid innen 4 timer; P3 mindre forringelse neste virkedag). Web App fungerer uavhengig av markedsføringssiden, og VR App fungerer etter installasjon uavhengig av Meta Quest Store-distribusjonskanalen.

Kilde: Business Continuity & Disaster Recovery Summary (på forespørsel)

Uavhengige sikkerhetssertifiseringer

Ærlig posisjon: withVR BV innehar for tiden ikke uavhengige SOC 2 Type II- eller ISO 27001-sertifiseringer. Plattformens infrastruktur arver disse fra Google Cloud / Firebase, som vedlikeholder begge. Uavhengige sertifiseringer vurderes etter hvert som plattformen modnes. Planlagte penetrasjonstester er for tiden ikke på plass; dette vurderes også etter hvert som plattformen modnes.

Kilde: Patch Management Policy §9 · BCDR §8.2 (på forespørsel)

Administrativ tilgang

Ærlig posisjon: withVR BV drives av en enkeltperson (grunnleggeren). Administrativ tilgang til Firebase-prosjektet er begrenset til denne personen. Ingen andre ansatte eller tredjeparter har direkte tilgang til produksjonsdatabasen eller infrastrukturen. Tofaktorautentisering på administrative kontoer er planlagt. Plattformens underliggende infrastruktur kjører på administrerte Google Cloud-tjenester som fungerer uavhengig av withVR BVs daglige involvering, noe som demper avhengigheten av en enkeltperson på infrastrukturnivået. Scenarier med utilgjengelig grunnlegger håndteres i Business Continuity Summary.

Kilde: Privacy Policy §8 · BCDR §5 (på forespørsel)

Revisjonslogging

Google Cloud Audit Logs er aktivert i hele produksjonsprosjektet og gir en manipulasjonssikker logg over hver administrativ handling og hver operasjon på kundedata. Alltid på Admin Activity-logger fanger opp hver konfigurasjonsendring. Admin Read, Data Read og Data Write-logger er aktivert for Cloud Firestore (der kundedata ligger), Cloud Storage for Firebase API (regler og konfigurasjon) og Google Cloud Storage (filoperasjoner - opplasting, nedlasting, sletting). Logger oppbevares i henhold til Google Clouds standard oppbevaringspolicy (400 dager for data access logs, 400 dager for admin activity) og brukes utelukkende til etterforskning av sikkerhetshendelser og samsvarsverifisering. Dette er en del av withVR BVs tekniske og organisatoriske tiltak under GDPR Article 32.

Kilde: Google Cloud Audit Logs (Firebase-prosjekt) · BCDR §6 (på forespørsel)

Nettverkskrav (for institusjonell IT)

All trafikk fra withVR BV bruker HTTPS på port 443. Web App krever withvr.app, firestore.googleapis.com, firebasestorage.googleapis.com, texttospeech.googleapis.com og (kun når KI-funksjoner er aktivert) api.openai.com. VR App kobler ikke til OpenAI. Meta Quest-utstyr krever i tillegg Meta-plattformsdomener - institusjoner med begrensede nettverk (særlig skoler) bør sørge for at disse ikke blokkeres. Full liste over domener, porter, nettlesere og operativsystemer finnes på Compatibility-siden.

Kilde: Compatibility-siden · BCDR §8.1 (på forespørsel)

7. Arbeid med barn og i skoler

Kontoeiere må være 18+. Plattformen kan kun brukes med mindreårige under direkte tilsyn og styring av en kvalifisert voksen fagperson. Elever oppretter aldri kontoer, logger ikke inn og sender ikke personopplysninger direkte til plattformen. Ingen elevnavn, identifikatorer eller PII kan legges inn i plattformen. Meta Quest-utstyret har en separat aldersgrense på 10 år satt av Meta - dette er Metas policy, ikke vår, og gjelder uavhengig av profesjonelt tilsyn.

Tre terskler kan gjelde samtidig: plattformens aldersregler, gjeldende personvernlov (f.eks. COPPAs 13, GDPR Article 8s 13-16 avhengig av medlemsstaten) og klinisk samtykke (vanligvis under 18). Den høyeste terskelen gjelder. Den veiledende fagpersonen er ansvarlig for foresattes samtykke i sin jurisdiksjon.

For amerikanske skoler er en FERPA-avtale, Student Data Privacy Agreement eller SDPC National DPA tilgjengelig - se avsnitt 8 (Tilgjengelige avtaler) nedenfor.

Kilde: Educational Use Policy §1, §3 · EULA §8

8. Organisatorisk modenhet

Sertifisering som medisinsk utstyr

Therapy withVR er ikke medisinsk utstyr. Ikke CE-merket etter EU MDR. Ikke regulert av FDA. Ikke UKCA-merket. Plattformen diagnostiserer ikke, behandler ikke, scorer ikke, måler ikke og tar ikke kliniske beslutninger. Alle kliniske beslutninger forblir den veiledende fagpersonens eneansvar. KI-funksjoner genererer kun innholdsforslag og utgjør verken klinisk råd eller vurdering.

Kilde: EULA §1 · AUP §1 · EU AI Act Statement §2

SLA og oppetid

withVR BV tilbyr ingen separat oppetidsgaranti, men plattformen arver Google Clouds SLA på 99,95 % oppetid for den underliggende infrastrukturen. Planlagt vedlikehold kommuniseres på forhånd der det er mulig. Uplanlagt nedetid kommuniseres via e-post og på nettstedet.

Kilde: ToS §12.2 · EULA §11

Priser og mva

Standardabonnement EUR 49 per måned per sete (eks. mva, ved årsfakturering). Flerårsrabatter tilgjengelig opp til 5 år. Så mange seter som behov tilsier. Tilbud på brevpapir, fakturering på innkjøpsordre og supplerende innkjøpsdokumentasjon er tilgjengelig på forespørsel. Vi kan snakke direkte med IT-, innkjøps- eller personvernteam for å avklare leverandør-onboardingkrav.

Kilde: ToS §6 · Refund Policy

Forbrukervern (EU)

Lovbestemt 14-dagers angrerett etter EU Consumer Rights Directive 2011/83/EU og belgisk gjennomføringslov. Belgisk rett / verneting Gent. EU-forbrukere beholder retten til å reise sak på sitt sedvanlige bosted; den europeiske plattformen for tvisteløsning på nett er tilgjengelig på ec.europa.eu/consumers/odr (åpnes i ny fane).

Kilde: ToS §6.4, §16 · Refund Policy §2, §9

9. Fagfellevalidering

Therapy withVR brukes i aktiv fagfellevurdert forskning ved universiteter og sykehus i mange land. Evidence Hub katalogiserer hver publisert studie med fullstendig sitering, kortfattet sammendrag og sikkerhetsvurdering. Universiteter, NHS-trusts og skoledistrikter som allerede har gjennomført egne institusjonelle godkjenningsprosesser, kan gjerne kontaktes som referanser - forespørsel via hello@withvr.app.

Tilgjengelige avtaler

På forespørsel fra legal@withvr.app: DPA, FERPA-avtale / SDPC National DPA, Research Agreement, tilpasset tilleggsavtale, DPIA-dokumentasjon, VPAT v2.5, BCDR-sammendrag, Patch Management Policy.

Dokumenter

Alle offentlige juridiske dokumenter er lenket fra withvr.app/no/legal:

Hva vi ikke påstår

Transparens om grenser er en del av designet:

Vi påstår ikke på noen måte å være medisinsk utstyr.
Vi påstår ikke HIPAA-samsvar - vi er utenfor HIPAAs virkeområde ved design.
Vi påstår ikke uavhengige SOC 2 Type II- eller ISO 27001-sertifiseringer. Vi arver begge fra Google Cloud på infrastrukturlaget; uavhengige sertifiseringer vurderes etter hvert som plattformen modnes.
Vi påstår ikke å ha gjennomført en uavhengig WCAG-revisjon. Vi har en selvevaluering, automatiserte skann, VPAT v2.5 og en Lighthouse-skår på 100/100 på markedsføringssiden. En formell bestilt revisjon er planlagt når finansieringen tillater det.
Vi påstår ikke NIS2-samsvar - vi påstår tilpasning til belgisk NIS2-implementering via Patch Management Policy.
Vi påstår ikke at KI erstatter klinisk vurdering. Hver KI-funksjon er valgfri, av som standard og etterprøvbar. Avatarstemmer presenteres alltid som KI-syntetiserte.

Kontakt

Innkjøp, leverandørspørsmål, sikkerhetsgjennomganger og forespørsler om avtaler: legal@withvr.app. Vår offentlige Technology Checklist for SLPs er rammeverket denne siden er strukturert rundt - bruk det på oss, eller på andre verktøy dere vurderer.

withVR BV · Jozef Hebbelynckstraat 21, Merelbeke 9820, Belgium · BE-0790.909.294 · Sist gjennomgått 2026-04-26

Hvordan Therapy withVR forholder seg til lover, standarder og rammeverk