Er Therapy withVR FERPA-kompatibel?

FERPA-forpliktelser hviler pa utdanningsinstitusjoner, ikke pa leverandorer. Therapy withVR er ikke direkte underlagt FERPA. Plattformen er utformet slik at elevopptegnelser ikke trenger a komme inn i systemet - oktdata bestar av konfigurasjonsinnstillinger og tekstetiketter, ikke elevopptegnelser. En FERPA-avtale, Student Data Privacy Agreement eller SDPC National DPA er tilgjengelig pa foresporsel fra legal@withvr.app.

Er Therapy withVR et hoyrisiko KI-system under EU AI Act?

Nei. Therapy withVR er vurdert mot EU AI Act og er ikke klassifisert som hoyrisiko KI-system etter Article 6 eller Annex III. Plattformen faller innenfor kategorien begrenset risiko, med transparensforpliktelser etter Article 50 som gjelder fra august 2026 (dekker KI-syntetiserte stemmer og KI-generert innhold). Article 4 (KI-kompetanse) har vaert i kraft siden februar 2025 og stottes av withVRs onboarding-opplaering. Ingen CE-merking eller EU-databaseregistrering er pakrevd.

Compliance og regulatorisk posisjon

Dette er en oversettelse av den engelske originalversjonen. De underliggende juridiske dokumentene (Privacy Policy, Terms of Service, EULA osv.) er kun tilgjengelige pa engelsk. Ved konflikt gjelder den engelske originalversjonen.

Sist gjennomgatt: 2026-04-26 Selskap: withVR BV Registrert: Belgium · BE-0790.909.294 Innkjop: legal@withvr.app

Hva Therapy withVR er. Et tilpassbart VR-verktoy for logopeder, pedagoger og forskere. Det er ikke et medisinsk utstyr. Det diagnostiserer ikke, behandler ikke, scorer ikke, maler ikke. Alle kliniske, pedagogiske og forskningsbeslutninger er hele ansvaret til det veiledende fagpersonen. Plattformen er utformet slik at ingen Protected Health Information (PHI), ingen FERPA-beskyttede elevopptegnelser og ingen sarlige kategorier personopplysninger etter GDPR artikkel 9 skal komme inn i systemet.

Oversikt

Rammeverk / standard	Jurisdiksjon	Status	Kilde
GDPR / UK GDPR	EU / EEA / UK	I samsvar	Privacy Policy (engelsk)
HIPAA	US	Utenfor virkeomradet ved design	Privacy Policy (engelsk)
FERPA	US	Utenfor virkeomradet ved design	Educational Use Policy (engelsk)
COPPA	US, under 13 ar	School official-unntaket gjelder; ingen direkte datainnsamling fra barn	Educational Use Policy (engelsk) §3.2
EU AI Act	EU	Begrenset risiko	EU AI Act Statement (engelsk)
EU MDR / FDA / UKCA	EU / US / UK	Ikke medisinsk utstyr	EULA (engelsk)
Delstatslige elevpersonvernlover (SOPIPA, NY 2-d, Colorado, Texas osv.)	US-delstater	Arkitekturen stotter samsvar · Tilleggsavtaler tilgjengelig	Educational Use Policy (engelsk) §3.4
ICO Children's Code	UK	Ikke rettet mot barn · Kun tilsynsbasert bruk · Profesjonell kontoeier 18+	Educational Use Policy (engelsk) §3.3
WCAG 2.2 AA	EU / US	Pagaende · Lighthouse 100/100	Accessibility Statement (engelsk)
EAA	EU	Folges	Accessibility Statement (engelsk)
Section 508	US	Delvis tilpasning	Accessibility Statement (engelsk)
SOC 2 / ISO 27001	Global	Arvet (Google Cloud)	BCDR (on request)
NIS2	EU	Tilpasset belgisk NIS2	Patch Management Policy (on request)
EU Consumer Rights Directive	EU	14-dagers angrerett	Refund Policy (engelsk)

En merknad om strukturen. Avsnittene nedenfor speiler de ni kategoriene i var offentlige Technology Checklist for SLPs - det samme rammeverket vi anbefaler at klinikere bruker for a vurdere enhver teknologi, ogsa denne. Denne siden er det utarbeidede eksemplet for vart eget produkt.

1. Personvern og compliance

GDPR og UK GDPR

withVR BV er behandlingsansvarlig for personopplysninger som behandles via Therapy withVR. Alle plattformdata hostes hos Google Cloud / Firebase i Frankfurt, Tyskland (europe-west1) - innenfor EOS. Personopplysninger behandles lovlig etter GDPR Article 6 pa grunnlag av kontraktsoppfyllelse, berettiget interesse, rettslig forpliktelse og samtykke (for markedsforingskommunikasjon). Personopplysninger fra Storbritannia behandles etter UK GDPR med tilsvarende rettsgrunnlag. Overforinger fra Storbritannia til tredjeland skjer i henhold til UK IDTA eller UK Addendum to EU SCCs, alt etter hva som gjelder. Registrerte har fulle rettigheter til innsyn, retting, sletting, begrensning, dataportabilitet, innsigelse og tilbakekall av samtykke etter GDPR Articles 15-22.

Kilde: Privacy Policy §3, §7, §9 · Terms of Service §11

HIPAA - utenfor virkeomradet ved design

Therapy withVR er ikke en HIPAA covered entity og fungerer ikke som Business Associate etter HIPAA. Plattformen er konstruert slik at Protected Health Information (PHI) ikke kommer inn i systemet - ingen kliniske journaler, diagnoser, pasientidentifikatorer eller helsejournaler lagres. For amerikanske helsekontekster faller plattformen ved design utenfor kravene til Business Associate Agreement. At en leverandor ikke har en BAA betyr ikke noedvendigvis manglende samsvar; i vart tilfelle betyr det at arkitekturen unngar PHI fra starten. Brukere i amerikansk helsevesen er ansvarlige for a sikre at ingen PHI legges inn i plattformen.

Kilde: Privacy Policy §12 · ToS §11.1

FERPA - utenfor virkeomradet ved design

FERPA-forpliktelser hviler pa utdanningsinstitusjoner, ikke pa leverandorer. Therapy withVR er ikke direkte underlagt FERPA. Plattformen er utformet slik at elevopptegnelser ikke trenger a komme inn i systemet - oktdata bestar utelukkende av konfigurasjonsinnstillinger og tekstetiketter, som ikke utgjor educational records etter FERPA. Det veiledende fagpersonen er ansvarlig for a sikre at ingen FERPA-beskyttede data legges inn. For amerikanske skolebezirker vil withVR BV gjennomga institusjonens standard FERPA-avtale eller SDPC National DPA og samarbeide med dere om en passende vei - signere som forelagt der vilkarene er gjennomforbare, foresla endringer der det trengs, eller stille en withVR-mal til disposisjon i stedet. Kontakt legal@withvr.app for a starte samtalen.

Kilde: Educational Use Policy §3.1, §7 · Privacy Policy §13

COPPA

COPPA gjelder nettjenester som samler inn personlig informasjon fra barn under 13 ar. Therapy withVR retter seg ikke mot barn og samler ikke inn personlig informasjon direkte fra noen bruker, herunder barn. Nar plattformen brukes med barn under 13 ar i skolesammenheng, opptrer skolen som kontoeier under COPPAs school official exception - elever interagerer ikke direkte med plattformen som brukere. Utdanningsinstitusjoner er ansvarlige for prosedyrer for foresattes samtykke som passer i deres jurisdiksjon.

Kilde: Educational Use Policy §3.2

Lover om elevpersonvern pa delstats- og regionalniva

Flere amerikanske delstater har vedtatt elevpersonvernlover utover FERPA - blant annet California (SOPIPA), New York (Education Law 2-d), Colorado, Texas og andre. De arkitektoniske forpliktelsene over (ingen innsamling av PII, ingen reklame til elever, intet datasalg, ingen atferdsovervaking, ingen profilering) er utformet for a stotte samsvar med disse rammeverkene. Institusjoner i jurisdiksjoner med spesifikke krav utover det som er beskrevet her kan be om tilleggsavtaler fra legal@withvr.app.

Kilde: Educational Use Policy §3.4

Datahosting, overforinger og underleverandorer

Alle plattformdata hostes pa Google Cloud / Firebase i Frankfurt, Tyskland. Overforinger til OpenAI (USA, kun valgfrie KI-funksjoner) reguleres av EU Standard Contractual Clauses 2021 etter GDPR Article 46(2)(c). Stripe-overforinger skjer under SCCs og, der det er relevant, deltakelse i EU-US Data Privacy Framework. Den fullstendige listen over underleverandorer med rolle, lokasjon og overforingsmekanisme for hver tjenesteyter publiseres pa withvr.app/sub-processor-list; minst 30 dagers forhandsvarsel gis for nye underleverandorer legges til.

Kilde: Privacy Policy §5, §7 · Sub-Processor List

Data vi ikke samler inn

Ingen lyd- eller videoopptak av okter. Ingen taleeksempler fra personen i VR. Ingen biometriske data fra VR-headsetsensorer. Ingen PHI. Ingen elevopptegnelser. Ingen presise lokasjonsdata. Ingen betalingsdata (Stripe handterer kort). Ingen sarlige kategorier personopplysninger etter GDPR Article 9. Profilnavn krypteres pa applikasjonsniva med AES-256 med unike initialiseringsvektorer per oppforing.

Kilde: Privacy Policy §2.6, §8

Lagringstid

Konto- og abonnementsdata: 5 ar etter abonnementets slutt (belgisk kommersiell foreldelsesfrist). Okt- og profildata: 3 ar etter abonnementets slutt. Forskningsdata under en Research Agreement: 24 maneder etter prosjektslutt. Regnskapsbilag: 7 ar (belgisk regnskapslov). Tidlig sletting kan til enhver tid bestilles via legal@withvr.app og utfores innen 30 dager, unntatt der lov krever lengre lagring.

Kilde: Privacy Policy §6

2. KI og transparens

Klassifisering under EU AI Act

Therapy withVR er formelt vurdert mot EU AI Act og er ikke klassifisert som hoyrisiko KI-system etter Article 6 eller Annex III. Plattformen vurderer ikke laeringsutbytte, overvaker ikke elevatferd, scorer ikke vurderinger, tar ikke kliniske beslutninger og stotter ikke funksjoner i medisinsk utstyr. Selv om en funksjon skulle anses a beroere en kategori i Annex III, ville unntakene i Article 6(3) komme til anvendelse (snevre prosedyremessige oppgaver, forbedring av utfallet av en menneskelig handling som allerede er utfort, ikke erstatning av menneskelig vurdering). Ingen samsvarsvurdering, EU-databaseregistrering eller CE-merking er pakrevd.

Kilde: EU AI Act Statement §2

Article 5 - forbudte praksiser

Gjennomgatt og bekreftet: ingen forbudte praksiser etter Article 5 forekommer. Ingen subliminale teknikker, ingen utnyttelse av sarbarheter, ingen sosial scoring, ingen sanntids fjernbiometrisk identifikasjon, ingen folelsesgjenkjenning i arbeids- eller utdanningskontekster.

Kilde: EU AI Act Statement §2.4

Article 4 - KI-kompetanse

Tradt i kraft i februar 2025. I samsvar. withVR BV gir live onboarding-opplaering til alle brukere som dekker bruk, begrensninger og ansvarlig anvendelse av KI-funksjoner. Dokumentasjon for KI-funksjoner inngar i plattformdokumentasjonen. Institusjoner er selv ansvarlige for at egne ansatte har et tilstrekkelig niva av KI-kompetanse; var onboarding stotter denne plikten.

Kilde: EU AI Act Statement §3

Article 50 - transparens for KI-syntetiserte stemmer og KI-generert tekst

Anvendbar fra 2. august 2026. Under forberedelse. Avdekking finnes allerede i EULA, ToS, Privacy Policy og EU AI Act Compliance Statement. In-app-avdekking vil bli bekreftet i samsvar for fristen 2. august 2026. Avatarstemmer i hver okt er KI-syntetiserte via Google Text-to-Speech; nar valgfrie OpenAI-funksjoner er aktivert, behandles tekst i KI-felter av et KI-system. Veiledende fagpersoner er ansvarlige for a informere personene de jobber med der profesjonelle eller institusjonelle plikter krever det.

Kilde: EU AI Act Statement §5

KI-funksjoner: leverandor, data, treningsstandpunkt

Alltid aktive: avatarstemmesyntese (Google Text-to-Speech). Bare teksten til avatarens tale sendes til talesyntese; ingen data om bruker, klient eller deltaker. Valgfrie, av som standard: setningsoversettelse, tekstgenerering, autokorrektur, Whisper talegjenkjenning, talersgrammatikk, formalitetsjustering, emosjonell tale (alle via OpenAI API). Etter OpenAIs API data usage policy brukes ikke API-input til a trene OpenAIs modeller som standard. Ingen klientnavn, oktopptak eller PII om personer du jobber med sendes til noen av leverandorene under normal drift. Brukere blir uttrykkelig instruert om a ikke skrive inn PII i KI-drevne tekstfelter.

Kilde: Privacy Policy §4 · Sub-Processor List

3. Informert samtykke

Det veiledende fagpersonen er ansvarlig for a innhente informert samtykke fra personene de jobber med, i samsvar med yrkesetiske retningslinjer, institusjonell policy og gjeldende rett. For a stotte dette tilbyr withVR gratis en VR Informed Consent Template, en gratis VR-informasjonsbrosjyre i klart sprak for klienter og familier og EU AI Act Compliance Statement med formuleringer for avdekking som kan tas inn i egne samtykkedokumenter. KI-involvering (syntetiske stemmer og eventuelt aktiverte OpenAI-funksjoner) skal avdekkes der yrkesstandarder eller gjeldende rett krever det.

Kilde: Acceptable Use Policy §2 · EU AI Act Statement

4. Sprak og universell utforming

WCAG 2.2 niva AA

Markedsfaeringssiden (withvr.app): selvevaluering mot WCAG 2.2 AA fullfort i april 2026. Lighthouse Accessibility 100/100 pa desktop og mobil for de prioriterte sidene. Automatiserte pa11y- og axe-core-skann viser at alle harde feil er rettet. Web App: pagaende mot WCAG 2.2 AA, med kjente delvise hull aerlig dokumentert i Accessibility Statement (nettleserzoom, formell skjermlesertest, formell kontrastrevisjon). VR App: handsporing stottet som alternativ til kontrollere; fysisk tilgjengelighet for VR er en klinisk vurdering for det veiledende fagpersonen.

Kilde: Accessibility Statement §1, §4, §5

VPAT / ACR

VPAT v2.5 (International Edition) ferdigstilt i mars 2026, dekker WCAG 2.0/2.1/2.2, Section 508 og EN 301 549 for plattform v4.0.0. Tilgjengelig pa foresporsel fra legal@withvr.app.

European Accessibility Act, EN 301 549, Section 508

EAA i kraft fra juni 2025. Therapy withVR er primaert en B2B-plattform for fagfolk; EAAs anvendelighet pa B2B-verktoy folges nar belgisk gjennomforingsveiledning utvikles. Tilgjengelighetsforbedringer sikter pa EN 301 549 / WCAG 2.2 AA uavhengig av EAAs anvendelighet. Section 508: delvis tilpasning via WCAG 2.2 AA-arbeidet; ingen formell Section 508-vurdering ferdigstilt.

Kilde: Accessibility Statement §3, §7

Sprak

Web App-grensesnittet er tilgjengelig pa 59 sprak. 52 avatar-sprak-region-stemmekombinasjoner. Markedsforingssiden er tilgjengelig pa 11 sprak (engelsk pluss nederlandsk, fransk, tysk, norsk, italiensk, tsjekkisk, spansk, portugisisk, gresk, arabisk, tyrkisk), med korrekt lang-attributt og RTL-stotte for arabisk.

5. Kulturell og klinisk passform

Alle scenarier, setninger og samtaleinnhold kan konfigureres av det veiledende fagpersonen - kulturell og kontekstuell relevans bestemmes av brukeren, ikke av oss. Tilpassbare talemiljoer og et fritt konfigurerbart tomt rom stotter ovelser som speiler personens reelle livssammenheng. Fagfellevurderte studier som bruker Therapy withVR eller withVR-utviklede scenarier er katalogisert i Evidence Hub med fullstendig sitering, kortfattet sammendrag og sikkerhetsvurdering for hver. Plattformen fremmer ingen pastand om klinisk effektivitet selv; evidensen kommer fra litteraturen.

Kilde: Evidence Hub · Scenarios

6. Sikkerhet og varsling om brudd

Kryptering og lagring

Alle data i ro i Google Cloud Firestore krypteres med AES-256 (Google Clouds standard infrastrukturkryptering). Profilnavn krypteres i tillegg pa applikasjonsniva med AES-256 og unike initialiseringsvektorer per oppforing. Alle data i transitt krypteres med TLS 1.2 eller hoyere. Passord forvaltes fullstendig av Firebase Authentication - withVR BV har aldri tilgang til brukerpassord.

Kilde: Privacy Policy §8 · DPA §6 (pa foresporsel)

Patchhandtering

Kritiske patcher (CVSS 9.0+, zero-days, sarbarheter som rammer Firebase auth eller storage): innen 48 timer. Hoy (CVSS 7.0-8.9): innen 7 dager. Middels (CVSS 4.0-6.9): innen 30 dager eller ved neste utgivelse. Identifikasjon via leverandorers bulletins, NVD/CVE og GitHub Dependabot. Tilpasset forpliktelsene i GDPR Article 32 og belgisk NIS2-implementering.

Kilde: Patch Management Policy §4 (pa foresporsel)

Varsling om brudd

Varsling om brudd pa personopplysningsvernet til den belgiske datatilsynsmyndigheten (GBA) innen 72 timer etter at det blir kjent (GDPR Article 33). Varsling til UK ICO etter UK GDPR. Berorte brukere varsles uten ugrunnet opphold der bruddet sannsynligvis vil medfore hoy risiko. Institusjonelle kunder med signert DPA varsles innen 72 timer i henhold til DPA-vilkarene.

Kilde: Privacy Policy §10 · ToS §11.3 · DPA §11 (pa foresporsel)

Tilgjengelighet og motstandsdyktighet for tjenesten

Hostet pa Google Cloud Firebase (Frankfurt) under Googles SLA pa 99,95 % oppetid. Datareplikering pa tvers av soner innen EU-regionen. Firestore point-in-time recovery med 7-dagers vindu. Daglige sikkerhetskopier oppbevares i 30 dager, ukentlige sikkerhetskopier i 98 dager. Hendelsesresponsprioriteter (P1 fullstendig nedetid / databrudd innen 2 timer; P2 delvis nedetid innen 4 timer; P3 mindre forringelse neste virkedag). Web App fungerer uavhengig av markedsforingssiden, og VR App fungerer etter installasjon uavhengig av Meta Quest Store-distribusjonskanalen.

Kilde: Business Continuity & Disaster Recovery Summary (pa foresporsel)

Uavhengige sikkerhetssertifiseringer

Aerlig posisjon: withVR BV innehar for tiden ikke uavhengige SOC 2 Type II- eller ISO 27001-sertifiseringer. Plattformens infrastruktur arver disse fra Google Cloud / Firebase, som vedlikeholder begge. Uavhengige sertifiseringer vurderes etter hvert som plattformen modnes. Planlagte penetrasjonstester er for tiden ikke pa plass; dette vurderes ogsa etter hvert som plattformen modnes.

Kilde: Patch Management Policy §9 · BCDR §8.2 (pa foresporsel)

Administrativ tilgang

Aerlig posisjon: withVR BV drives av en enkeltperson (grunnleggeren). Administrativ tilgang til Firebase-prosjektet er begrenset til denne personen. Ingen andre ansatte eller tredjeparter har direkte tilgang til produksjonsdatabasen eller infrastrukturen. Tofaktorautentisering pa administrative kontoer er planlagt. Plattformens underliggende infrastruktur kjorer pa administrerte Google Cloud-tjenester som fungerer uavhengig av withVR BVs daglige involvering, noe som demper avhengigheten av en enkeltperson pa infrastrukturnivaet. Scenarier med utilgjengelig grunnlegger handteres i Business Continuity Summary.

Kilde: Privacy Policy §8 · BCDR §5 (pa foresporsel)

Revisjonslogging

Google Cloud Audit Logs er aktivert i hele produksjonsprosjektet og gir en manipulasjonssikker logg over hver administrativ handling og hver operasjon pa kundedata. Alltid pa Admin Activity-logger fanger opp hver konfigurasjonsendring. Admin Read, Data Read og Data Write-logger er aktivert for Cloud Firestore (der kundedata ligger), Cloud Storage for Firebase API (regler og konfigurasjon) og Google Cloud Storage (filoperasjoner - opplasting, nedlasting, sletting). Logger oppbevares i henhold til Google Clouds standard oppbevaringspolicy (400 dager for data access logs, 400 dager for admin activity) og brukes utelukkende til etterforskning av sikkerhetshendelser og samsvarsverifisering. Dette er en del av withVR BVs tekniske og organisatoriske tiltak under GDPR Article 32.

Kilde: Google Cloud Audit Logs (Firebase-prosjekt) · BCDR §6 (pa foresporsel)

Nettverkskrav (for institusjonell IT)

All trafikk fra withVR BV bruker HTTPS pa port 443. Web App krever withvr.app, firestore.googleapis.com, firebasestorage.googleapis.com, texttospeech.googleapis.com og (kun nar KI-funksjoner er aktivert) api.openai.com. VR App kobler ikke til OpenAI. Meta Quest-utstyr krever i tillegg Meta-plattformsdomener - institusjoner med begrensede nettverk (saerlig skoler) bor sorge for at disse ikke blokkeres. Full liste over domener, porter, nettlesere og operativsystemer finnes pa Compatibility-siden.

Kilde: Compatibility-siden · BCDR §8.1 (pa foresporsel)

7. Arbeid med barn og i skoler

Kontoeiere ma vaere 18+. Plattformen kan kun brukes med mindrearige under direkte tilsyn og styring av en kvalifisert voksen fagperson. Elever oppretter aldri kontoer, logger ikke inn og sender ikke personopplysninger direkte til plattformen. Ingen elevnavn, identifikatorer eller PII kan legges inn i plattformen. Meta Quest-utstyret har en separat aldersgrense pa 10 ar satt av Meta - dette er Metas policy, ikke var, og gjelder uavhengig av profesjonelt tilsyn.

Tre terskler kan gjelde samtidig: plattformens aldersregler, gjeldende personvernlov (f.eks. COPPAs 13, GDPR Article 8s 13-16 avhengig av medlemsstaten) og klinisk samtykke (vanligvis under 18). Den hoyeste terskelen gjelder. Det veiledende fagpersonen er ansvarlig for foresattes samtykke i sin jurisdiksjon.

For amerikanske skoler er en FERPA-avtale, Student Data Privacy Agreement eller SDPC National DPA tilgjengelig - se avsnitt 8 (Tilgjengelige avtaler) nedenfor.

Kilde: Educational Use Policy §1, §3 · EULA §8

8. Organisatorisk modenhet

Sertifisering som medisinsk utstyr

Therapy withVR er ikke medisinsk utstyr. Ikke CE-merket etter EU MDR. Ikke regulert av FDA. Ikke UKCA-merket. Plattformen diagnostiserer ikke, behandler ikke, scorer ikke, maler ikke og tar ikke kliniske beslutninger. Alle kliniske beslutninger forblir det veiledende fagpersonens eneansvar. KI-funksjoner genererer kun innholdsforslag og utgjor verken klinisk rad eller vurdering.

Kilde: EULA §1 · AUP §1 · EU AI Act Statement §2

SLA og oppetid

withVR BV tilbyr ingen separat oppetidsgaranti, men plattformen arver Google Clouds SLA pa 99,95 % oppetid for den underliggende infrastrukturen. Planlagt vedlikehold kommuniseres pa forhand der det er mulig. Uplanlagt nedetid kommuniseres via e-post og pa nettstedet.

Kilde: ToS §12.2 · EULA §11

Priser og mva

Standardabonnement EUR 49 per maned per sete (eks. mva, ved arsfakturering). Flerarsrabatter tilgjengelig opp til 5 ar. Sa mange seter som behov tilsier. Tilbud pa brevpapir, fakturering pa innkjopsordre og supplerende innkjopsdokumentasjon er tilgjengelig pa foresporsel. Vi kan snakke direkte med IT-, innkjops- eller personvernteam for a avklare leverandor-onboardingkrav.

Kilde: ToS §6 · Refund Policy

Forbrukervern (EU)

Lovbestemt 14-dagers angrerett etter EU Consumer Rights Directive 2011/83/EU og belgisk gjennomforingslov. Belgisk rett / verneting Gent. EU-forbrukere beholder retten til a reise sak pa sitt sedvanlige bosted; den europeiske plattformen for tvistelosning pa nett er tilgjengelig pa ec.europa.eu/consumers/odr (apnes i ny fane).

Kilde: ToS §6.4, §16 · Refund Policy §2, §9

9. Fagfellevalidering

Therapy withVR brukes i aktiv fagfellevurdert forskning ved universiteter og sykehus i mange land. Evidence Hub katalogiserer hver publisert studie med fullstendig sitering, kortfattet sammendrag og sikkerhetsvurdering. Universiteter, NHS-trusts og skolebezirker som allerede har gjennomfort egne institusjonelle godkjenningsprosesser, kan gjerne kontaktes som referanser - foresporsel via hello@withvr.app.

Tilgjengelige avtaler

Pa foresporsel fra legal@withvr.app: DPA, FERPA-avtale / SDPC National DPA, Research Agreement, tilpasset tilleggsavtale, DPIA-dokumentasjon, VPAT v2.5, BCDR-sammendrag, Patch Management Policy.

Dokumenter

Alle offentlige juridiske dokumenter er lenket fra withvr.app/no/legal:

Hva vi ikke pastar

Transparens om grenser er en del av designet:

Vi pastar ikke pa noen mate a vaere medisinsk utstyr.
Vi pastar ikke HIPAA-samsvar - vi er utenfor HIPAAs virkeomrade ved design.
Vi pastar ikke uavhengige SOC 2 Type II- eller ISO 27001-sertifiseringer. Vi arver begge fra Google Cloud pa infrastrukturlaget; uavhengige sertifiseringer vurderes etter hvert som plattformen modnes.
Vi pastar ikke a ha gjennomfort en uavhengig WCAG-revisjon. Vi har en selvevaluering, automatiserte skann, VPAT v2.5 og en Lighthouse-skar pa 100/100 pa markedsforingssiden. En formell bestilt revisjon er planlagt nar finansieringen tillater det.
Vi pastar ikke NIS2-samsvar - vi pastar tilpasning til belgisk NIS2-implementering via Patch Management Policy.
Vi pastar ikke at KI erstatter klinisk vurdering. Hver KI-funksjon er valgfri, av som standard og etterprovbar. Avatarstemmer presenteres alltid som KI-syntetiserte.

Kontakt

Innkjop, leverandorsporsmal, sikkerhetsgjennomganger og forespoersler om avtaler: legal@withvr.app. Var offentlige Technology Checklist for SLPs er rammeverket denne siden er strukturert rundt - bruk det pa oss, eller pa andre verktoy dere vurderer.

withVR BV · Jozef Hebbelynckstraat 21, Merelbeke 9820, Belgium · BE-0790.909.294 · Sist gjennomgatt 2026-04-26

Hvordan Therapy withVR forholder seg til lover, standarder og rammeverk