4.1 - Begrip van de organisatie en haar context
Geimplementeerd Directie
Doel
Het vaststellen van externe en interne onderwerpen die relevant zijn voor het doel van de organisatie en die van invloed zijn op het vermogen om de beoogde resultaten van het ISMS te behalen.
Contextanalyse Methode
De contextanalyse maakt duidelijk welke interne en externe onderwerpen relevant zijn voor het behalen van de doelstellingen van het managementsysteem. Hiervoor wordt de DESTEP-methode gehanteerd: Demografisch, Economisch, Sociaal-cultureel, Technologisch, Ecologisch, Politiek-juridisch. Jaarlijks wordt het overzicht van de context (tijdens de directiebeoordeling) nagelopen op relevantie.
Organisatieprofiel
Naam: YipYip B.V. Type: Digital Product Agency Sector: Software-ontwikkeling (o.a. zorgsector) Opgericht: 2010 Vestiging: Rotterdam Omvang: ~10 medewerkers (< 50)
Kernactiviteiten
YipYip is een Digital Product Agency die op maat gemaakte software ontwikkelt voor opdrachtgevers. De primaire dienstverlening omvat:
- Mobiele apps — native app-ontwikkeling voor iOS (Objective-C/Swift) en Android (Java/Kotlin), en cross-platform apps met Flutter
- Applied (serious) games — ontwikkeling in Unity
- Backend-systemen — applicaties in de functionele taal Elixir binnen het Phoenix Framework, met of zonder gebruikersinterface
- Webapplicaties — met Javascript/HTML/CSS
- Cloud-services — inrichting en monitoring op Amazon Web Services (AWS) en Google Cloud Platform (GCP), zelfstandig beheerd door specialisten in het team
Kernprocessen
| Proces | Beschrijving |
|---|---|
| Design | UX/UI-ontwerp van digitale producten |
| Development | Maatwerk-softwareontwikkeling (mobiel, web, backend, games) |
| Cloud & Hosting | Inrichting, beheer en monitoring van AWS/GCP-omgevingen |
| Projectmanagement | Aansturing en oplevering van klantprojecten |
Organisatiestructuur
YipYip heeft een platte organisatiestructuur:
| Rol | Invulling |
|---|---|
| Directie | Gevormd door oprichters en eigenaren Tim Pelgrim (Technical Director) en Tim Nooteboom |
| HR Manager | Personeelszaken |
| Project Managers | Projectaansturing en klantcontact |
| Designers | UX/UI-ontwerp |
| App Developers | iOS- en Android-ontwikkeling |
| Web Developers | Elixir/Phoenix, frontend, cloud-infrastructuur |
| Office Manager | Facilitaire ondersteuning |
Organogram
flowchart TD
DIR[Directie]
HR[HR Management *]
DS[Design]
APP[App Development]
WEB[Web Development]
OM[Office Management]
PM[Project Management]
DIR --> HR
HR --> DS
HR --> APP
HR --> WEB
HR --> OM
HR --> PM
* Bij gebrek aan een dedicated HR manager wordt deze rol momenteel vervuld door Tim Pelgrim.
Project Managers werken dwars door alle disciplines heen en sturen projectteams aan bestaande uit designers, app developers en web developers. De directie is eindverantwoordelijk en direct betrokken bij de operatie. Twee keer per jaar vindt een evaluatie plaats waarbij taken en verantwoordelijkheden worden gereviewed.
Externe Context
Politieke en Juridische Factoren
| Factor | Beschrijving | Kans of bedreiging | Impact op ISMS | Mogelijke actie |
|---|---|---|---|---|
| AVG/GDPR | Privacywetgeving | Bedreiging | Hoog — dataverwerkingseisen bij klantprojecten | Verwerkersovereenkomsten up-to-date houden; privacy-by-design borgen |
| NEN7510 | Norm voor informatiebeveiliging in de zorg | Kans | Hoog — vereist door opdrachtgevers in de zorgsector | Certificering behalen en communiceren naar klanten |
| Wkkgz | Wet kwaliteit, klachten en geschillen zorg | Bedreiging | Medium — indirect via zorgsector-klanten | Contractuele verplichtingen monitoren per klant |
| NIS2-richtlijn | EU-richtlijn cybersecurity | Bedreiging | Medium — ketenverantwoordelijkheid als leverancier | Gap-analyse NIS2 uitvoeren; eisen doorvertalen naar leverancierscontracten |
| Intellectueel eigendom | Maatwerk software-ontwikkeling | Bedreiging | Medium — IP-afspraken met opdrachtgevers | IP-clausules standaard opnemen in klantcontracten |
| Risico op oorlog | Geopolitieke instabiliteit, zoals oorlogen en conflicten, kunnen invloed hebben op de supply chain en operaties. | Bedreiging | Hoog — verstoringen in leveringen, cybersecurity risico’s bij betrokken landen | Risico’s monitoren, alternatieve leveranciers overwegen, crisisplan opstellen |
| Amerika als handelspartner | Onbetrouwbaarheid van de VS als handelspartner door politieke besluiten, handelsbelemmeringen, of spanningen. | Bedreiging | Medium — onzekerheid in import, export en samenwerking | Diversificatie van leveranciers en partnerschappen; juridische contracten evalueren |
Economische Factoren
| Factor | Beschrijving | Kans of bedreiging | Impact op ISMS | Mogelijke actie |
|---|---|---|---|---|
| IT-arbeidsmarkt | Krapte in security- en developmentprofessionals | Bedreiging | Risico voor beschikbaarheid van resources | Key-person risk adresseren; kennisdeling en documentatie versterken |
| Digitalisering zorgsector | Groeiende vraag naar digitale oplossingen in de zorg | Kans | Groeiende markt met hogere beveiligingseisen | Certificering als onderscheidend vermogen actief inzetten |
| Economische onzekerheid | Budgetdruk bij opdrachtgevers | Bedreiging | Impact op investeringen in security | Security-investeringen proportioneel houden en risico-gestuurd prioriteren |
| Concurrentie digital agencies | Druk op tarieven en differentiatie | Bedreiging | Medium — Certificering als onderscheidend vermogen | ISO 27001 / NEN7510 certificering benutten als USP |
| Economische instabiliteit door oorlog | Wereldwijde economische onzekerheden veroorzaakt door geopolitieke conflicten (zoals oorlogen) kunnen de economische situatie van klanten beïnvloeden. | Bedreiging | Hoog — afname in klantenbudgetten, uitstel van projecten | Flexibiliteit in contracten bieden, risico’s in financieel beheer adresseren |
| Risico’s door AI | De opkomst van AI kan nieuwe beveiligingsrisico’s met zich meebrengen, zoals misbruik van AI voor cyberaanvallen of privacyinbreuken. | Bedreiging | Medium — nieuwe kwetsbaarheden in systemen door onveilige AI-implementaties | AI-veiligheidsrichtlijnen ontwikkelen; integratie van AI-beveiliging in ISMS |
Sociaal-culturele Factoren
| Factor | Beschrijving | Kans of bedreiging | Impact op ISMS | Mogelijke actie |
|---|---|---|---|---|
| Remote werken | Hybride werkvormen binnen het team | Bedreiging | Endpoint security en thuiswerkbeleid | Thuiswerkbeleid handhaven; VPN-oplossing evalueren |
| Privacy bewustzijn | Toenemende maatschappelijke aandacht voor data | Kans | Hogere verwachtingen van klanten en eindgebruikers | Transparantie en privacy-by-design als verkoopargument inzetten |
| Digitalisering zorg | Meer digitale systemen in de zorg | Bedreiging | Grotere aanvalsoppervlak bij klantprojecten | Secure SDLC borgen; security-eisen standaard opnemen in projecten |
Technologische Factoren
| Factor | Beschrijving | Kans of bedreiging | Impact op ISMS | Mogelijke actie |
|---|---|---|---|---|
| Cloud adoptie (AWS/GCP) | Eigen beheer van cloud-infrastructuur | Kans | Vereist continue aandacht voor cloudbeveiliging | Cloud security baselines handhaven; periodieke review van IAM en configuraties |
| Snelle technologische ontwikkeling | Nieuwe frameworks, talen, platformen | Bedreiging | Noodzaak tot bijscholing en actueel houden van kennis | Kennissessies plannen; security-updates opnemen in sprint-ritme |
| AI/ML | Opkomst van AI-toepassingen in software | Kans | Nieuwe risico’s en kansen | AI-beleid opstellen voor gebruik van AI-tools door medewerkers |
| Cyberdreigingen | Toenemende sophisticatie van aanvallen | Bedreiging | Continue aanpassing van beveiligingsmaatregelen | Threat intelligence monitoren; incidentrespons-plan actueel houden |
| Mobile platform updates | Jaarlijkse iOS/Android wijzigingen | Bedreiging | Laag — impact op beveiliging van apps in productie | Update-beleid voor productie-apps vaststellen en communiceren naar klanten |
| AI ontwikkelingen | AI kan nieuwe mogelijkheden bieden voor efficiëntere processen, databeveiliging en automatisering van beveiligingssystemen | Kans | Hoog — verbetering van beveiliging, meer efficiëntie | AI gebruiken om bedreigingen sneller te detecteren, gebruik van AI-tools voor bedreigingsanalyse |
| AI ontwikkelingen | AI kan leiden tot misbruik of onbedoelde gevolgen, zoals geautomatiseerde aanvallen of verstoring van systemen | Bedreiging | Hoog — risicomanagement voor AI-integratie in systemen | Beleid ontwikkelen voor veilig gebruik van AI, risicoanalyse van AI-toepassingen |
| AI in ontwikkeltools | Risico op implementatie van onveilige (door AI gegenereerde) code | Bedreiging | Hoog — risicos op kwetsbaarheden in de gegenereerde code | Ontwikkelaars trainen in veilig gebruik van AI-tools, code altijd grondig valideren en testen |
Ecologische Factoren
| Factor | Beschrijving | Kans of bedreiging | Impact op ISMS | Mogelijke actie |
|---|---|---|---|---|
| Duurzaamheid cloud | Energieverbruik van clouddiensten | Bedreiging | Laag — indirect via keuze cloudprovider | Cloudproviders met duurzaamheidsbeleid prefereren |
| Circulaire IT | Levenscyclus van hardware | Bedreiging | Laag — meeste infrastructuur in de cloud | Hardware-afdankbeleid (datawissing) opnemen in asset-beheer |
Demografische Factoren
| Factor | Beschrijving | Kans of bedreiging | Impact op ISMS | Mogelijke actie |
|---|---|---|---|---|
| Klein, specialistisch team | ~10 medewerkers met uiteenlopende expertises | Bedreiging | Key-person risk; kennis geborgd in klein team | Kennisdocumentatie verbeteren; taken waar mogelijk verdelen |
| Vergrijzing zorgsector | Digitale vaardigheden eindgebruikers | Bedreiging | Impact op usability en security-eisen van producten | Toegankelijkheid en usability meenemen in ontwerp- en testfases |
Markt en Concurrentie
| Factor | Beschrijving | Kans of bedreiging | Impact op ISMS | Mogelijke actie |
|---|---|---|---|---|
| Klant eisen | Certificering als eis voor opdrachten in de zorg | Kans | Business driver voor ISMS | Certificeringstraject afmaken en communiceren naar (potentiële) klanten |
| Concurrentie | Onderscheidend vermogen door kwaliteit en security | Kans | Kwaliteit en beveiliging als USP | Certificering actief inzetten in sales en marketing |
| Branche-ontwikkelingen | Best practices in softwareontwikkeling en security | Kans | Continu leren en verbeteren | Deelname aan branche-events en kennisnetwerken stimuleren |
Interne Context
Missie en Visie
YipYip is een digital product agency, opgericht in 2010 en gevestigd in Rotterdam. Het bedrijf werd opgericht door Tim Pelgrim en Tim Nooteboom. YipYip is een klein team met diverse medewerkers met uiteenlopende expertises op het gebied van design en development.
De organisatie combineert design en development expertise om maatwerk software te maken voor opdrachtgevers. Dit betreft veelal innovatieve mobiele apps, web-applicaties, backend-systemen, cloud-omgevingen en applied (serious) games.
YipYip heeft een focus op de zorgsector, waar betrouwbaarheid en informatiebeveiliging essentieel zijn.
Cultuur en Waarden
- Platte organisatie — korte lijnen, directe communicatie, snelle besluitvorming
- Vakmanschap — specialisatie in design en development met moderne technologieen
- Eigenaarschap — zelfsturend team, verantwoordelijkheid bij de professionals
- Kwaliteit — maatwerk met aandacht voor robuustheid en security
- Samenwerking — multidisciplinaire teams (design + development) per project
Governance Structuur
| Rol | Verantwoordelijkheid | Naam |
|---|---|---|
| Directie / Eigenaren | Eindverantwoordelijkheid ISMS | Tim Pelgrim (Technical Director) & Tim Nooteboom (Creative Director) |
| IB-coördinator | Dagelijks beheer en coördinatie ISMS, operationele security | Tim Pelgrim (gecombineerd met Technical Director) |
Bestaande Systemen en Processen
| Categorie | Systemen / Technologieen |
|---|---|
| Cloud-infrastructuur | Amazon Web Services (AWS), Google Cloud Platform (GCP) |
| Mobiele ontwikkeling | Flutter, Xcode/Swift (native iOS), Android Studio/Kotlin (native Android), Unity |
| Backend-ontwikkeling | Elixir / Phoenix Framework |
| Frontend-ontwikkeling | Javascript / HTML / CSS (PWA’s en websites) |
| Versiebeheer | GitHub (Git) |
| Projectmanagement | Jira |
| Communicatie | Slack, e-mail, Google Meet |
Kennis en Competenties
| Gebied | Status | Actie nodig |
|---|---|---|
| ISO 27001 kennis | In opbouw (ISMS 2.0 traject) | Awareness en training directie + team |
| NEN7510 kennis | In opbouw | Specifieke zorgsector-eisen doorvertalen |
| Technische security | Aanwezig — cloud-specialisten in team | Formaliseren en borgen |
| Secure development | Informeel gehanteerd (PR-review, CI/CD, OWASP) | Formeel programma nog niet opgezet |
Middelen en Beperkingen
| Aspect | Status | Opmerkingen |
|---|---|---|
| Budget voor security | Onderdeel van regulier budget, geen apart security-budget | Proportioneel voor organisatieomvang |
| FTE beschikbaar | Beperkt — klein team met projectdruk | ISMS naast regulier werk |
| Tooling | 1Password, GitHub, Jira, AWS/GCP security features | Operationeel |
| Cloud-expertise | Aanwezig in team | Zelfstandig beheer AWS/GCP |
SWOT-analyse Informatiebeveiliging
Strengths (Sterktes)
- Platte organisatie met korte communicatielijnen — snelle besluitvorming bij incidenten
- Technisch sterk team met eigen cloud-expertise (AWS/GCP)
- Maatwerk-ontwikkeling geeft volledige controle over architectuur en beveiliging
- Kleinschaligheid maakt overzichtelijk beheer mogelijk
- Directie direct betrokken bij operatie
Weaknesses (Zwaktes)
- Klein team: key-person risk en beperkte capaciteit voor dedicated security-rollen
- ISMS in opbouw: processen nog niet volledig geformaliseerd
- Beperkte scheiding van functies door omvang organisatie
- Securitykennis nog niet formeel geborgd in alle rollen
Opportunities (Kansen)
- NEN7510/ISO 27001-certificering als onderscheidend vermogen in de markt
- Groeiende vraag vanuit zorgsector naar gecertificeerde leveranciers
- Formaliseren van bestaande goede practices verbetert kwaliteit structureel
- Cloudproviders (AWS/GCP) bieden steeds betere ingebouwde securitydiensten
Threats (Bedreigingen)
- Toenemende en meer verfijnde cyberaanvallen op software supply chains
- Stijgende eisen vanuit wet- en regelgeving (NIS2, AVG-handhaving)
- Krapte op de arbeidsmarkt voor security-specialisten
- Klanten verwachten steeds hogere beveiligingsniveaus zonder evenredige budgetverhoging
- Afhankelijkheid van cloudproviders (vendor lock-in risico)
Review
Deze context-analyse wordt minimaal jaarlijks gereviewed tijdens de directiebeoordeling, en bij significante wijzigingen in de interne of externe omgeving. De DESTEP-methode wordt gebruikt als leidraad voor het identificeren van externe factoren.
Vastgesteld door: Directie (Tim Pelgrim & Tim Nooteboom) Datum: 2026-01-29