4.2 - Begrip van de behoeften en verwachtingen van belanghebbenden
Geimplementeerd Directie
Doel
Het inventariseren van belangrijke stakeholders en hun wensen en eisen met betrekking tot informatiebeveiliging.
Door middel van het inventariseren van de belangrijkste stakeholders binnen onze activiteiten en organisatie en hun wensen en eisen met betrekking tot informatiebeveiliging, verkrijgt YipYip B.V. inzicht in die punten waar bij de inrichting en toepassing van het managementsysteem specifiek rekening mee moet worden gehouden. Deze wensen en eisen worden tijdens het proces van risicobeoordeling op nadere waarde geschat (vanuit de te verwachten impact).
Stakeholder Register
Primaire Belanghebbenden
Klanten — Zorginstellingen
| Aspect | Beschrijving |
|---|---|
| Wie | Zorginstellingen die apps, platforms en cloudoplossingen afnemen van YipYip |
| Eisen | - ISO 27001 en NEN 7510 compliance van YipYip als leverancier - Beschikbaarheid en continuïteit van diensten - Bescherming van patiëntgegevens (BIG-gegevens) - Transparantie over beveiligingsmaatregelen - Verwerkersovereenkomst conform AVG |
| Relevantie | Primair — kernactiviteit van YipYip; bepaalt bestaansrecht organisatie |
| Communicatie | Contractueel, SLA reviews, periodieke beveiligingsrapportages |
Klanten — Overheid en semi-overheid
| Aspect | Beschrijving |
|---|---|
| Wie | Overheidsinstanties en semi-publieke organisaties die digitale producten afnemen |
| Eisen | - Compliance op BIO (Baseline Informatiebeveiliging Overheid) & DPIA - Beschikbaarheid en betrouwbaarheid - Hosting binnen EU - Transparantie over sub-verwerkers |
| Relevantie | Hoog — aanvullende wettelijke eisen bovenop AVG |
| Communicatie | Contractueel, aanbestedingsdocumenten, audits |
Klanten — Commercieel
| Aspect | Beschrijving |
|---|---|
| Wie | Commerciële opdrachtgevers voor apps, games en cloudoplossingen |
| Eisen | - Bescherming bedrijfsgegevens en IP - Beschikbaarheid diensten - AVG-conforme verwerking - Veilige oplevering en overdracht |
| Relevantie | Hoog — bijdrage aan omzet en reputatie |
| Communicatie | Contractueel, projectoverleg, SLA reviews |
Medewerkers
| Aspect | Beschrijving |
|---|---|
| Wie | Alle medewerkers van YipYip: developers, designers, projectmanagers (vast, tijdelijk & inhuur) |
| Eisen | - Veilige werkomgeving (kantoor Rotterdam en remote) - Duidelijke richtlijnen en procedures - Training en security-awareness - Privacy eigen personeelsgegevens - Adequate tooling en middelen |
| Relevantie | Hoog — uitvoerders van controls en dagelijkse beveiliging |
| Communicatie | Slack, teamoverleg, training, policies op intranet |
Management/Directie
| Aspect | Beschrijving |
|---|---|
| Wie | Directie YipYip B.V. |
| Eisen | - Aantoonbare compliance (ISO 27001, NEN 7510) - Acceptabel risiconiveau binnen risk appetite - Kosten-baten inzicht beveiligingsmaatregelen - Periodieke rapportage over ISMS-prestaties |
| Relevantie | Hoog — eindverantwoordelijk voor informatiebeveiliging |
| Communicatie | Directiebeoordeling (minimaal jaarlijks), managementrapportages |
Externe Belanghebbenden
Toezichthouders
| Aspect | Beschrijving |
|---|---|
| Wie | Autoriteit Persoonsgegevens (AP), Inspectie Gezondheidszorg en Jeugd (IGJ) |
| Eisen | - AVG compliance en aantoonbare verwerkingsregisters - Meldplicht datalekken (binnen 72 uur bij AP) - Aantoonbare technische en organisatorische beveiligingsmaatregelen - Medewerking bij onderzoek |
| Relevantie | Hoog — juridische verplichtingen; boetes bij non-compliance |
| Communicatie | Bij incidenten, op verzoek, formele correspondentie |
Certificerende Instantie
| Aspect | Beschrijving |
|---|---|
| Wie | Certificerende instelling voor ISO 27001 en NEN 7510 (nog te selecteren) |
| Eisen | - ISO 27001:2022 conformiteit - NEN 7510:2017+A1:2020 conformiteit - Aantoonbaarheid van implementatie en werking van controls - Continue verbetering aantoonbaar via interne audits en corrigerende maatregelen |
| Relevantie | Hoog — certificering vereist door klanten en markt |
| Communicatie | Jaarlijkse certificeringsaudits, surveillance audits, hercertificering |
Leveranciers — Cloudproviders
| Aspect | Beschrijving |
|---|---|
| Wie | Google Cloud Platform (GCP), Amazon Web Services (AWS) |
| Eisen | - Duidelijke verwachtingen over beveiligingsconfiguratie (shared responsibility model) - Naleving van SLA’s en beschikbaarheidsgaranties - Tijdige betaling |
| Relevantie | Hoog — kerninfrastructuur voor alle dienstverlening |
| Communicatie | Contracten, compliancedashboards, incidentnotificaties |
Leveranciers — Software en diensten
| Aspect | Beschrijving |
|---|---|
| Wie | SaaS-leveranciers, tooling-leveranciers, softwarelicenties (bijv. GitHub, Jira, monitoring-tools) |
| Eisen | - Duidelijke verwachtingen over beveiliging en dataverwerking - Verwerkersovereenkomsten waar van toepassing - Eerlijke contractvoorwaarden - Tijdige betaling |
| Relevantie | Medium — ondersteunende middelen voor ontwikkeling en beheer |
| Communicatie | Contracten, leveranciersbeoordeling, periodieke assessments |
Partners
| Aspect | Beschrijving |
|---|---|
| Wie | Samenwerkingspartners, onderaannemers, freelance specialisten |
| Eisen | - Afstemming op YipYip-beveiligingseisen - Veilige informatie-uitwisseling - NDA en verwerkersovereenkomst waar van toepassing |
| Relevantie | Medium — gedeelde risico’s bij gezamenlijke projecten |
| Communicatie | Samenwerkingsafspraken, SLA’s, periodiek overleg |
Indirecte Belanghebbenden
Patiënten
| Aspect | Beschrijving |
|---|---|
| Wie | Patiënten en cliënten van zorginstellingen die gebruik maken van door YipYip ontwikkelde applicaties |
| Eisen | - Bescherming medische en persoonsgegevens (BIG-gegevens) - Beschikbaarheid en betrouwbaarheid van zorgsystemen - Privacy by design in applicaties |
| Relevantie | Hoog — indirect via zorgklanten; impact bij beveiligingsincidenten is groot |
| Communicatie | Indirect via zorgklanten |
Maatschappij
| Aspect | Beschrijving |
|---|---|
| Wie | Breder maatschappelijk belang |
| Eisen | - Verantwoorde digitalisering van de zorg - Betrouwbare IT-dienstverlening die bijdraagt aan zorgkwaliteit |
| Relevantie | Laag — contextueel; draagt bij aan license to operate |
| Communicatie | Publieke communicatie, website |
Stakeholder Prioriteit Matrix
quadrantChart
title Stakeholder Prioriteit Matrix
x-axis Lage Macht --> Hoge Macht
y-axis Laag Belang --> Hoog Belang
quadrant-1 Nauw betrekken
quadrant-2 Informeren
quadrant-3 Monitoren
quadrant-4 Tevreden houden
Klanten Zorg: [0.30, 0.95]
Klanten Overheid: [0.35, 0.85]
Patienten: [0.25, 0.75]
Directie: [0.80, 0.95]
Toezichthouders: [0.85, 0.85]
Certificerende Instantie: [0.75, 0.75]
Maatschappij: [0.20, 0.25]
Partners: [0.25, 0.35]
Medewerkers: [0.70, 0.35]
Cloudproviders: [0.80, 0.30]
Klanten Commercieel: [0.75, 0.25]
Software-leveranciers: [0.70, 0.20]
Eisen per Belanghebbende
Wet- en regelgeving
Onderstaand overzicht bevat alle wet- en regelgeving die relevant is voor de informatiebeveiliging van YipYip. Per regeling is aangegeven waar de naleving is geborgd in het ISMS.
| Afkorting | Wet- of regelgeving | Status | Implementatie / documentatie |
|---|---|---|---|
| AVG | Algemene Verordening Gegevensbescherming | Van kracht | 5.34 Privacy, verwerkersovereenkomsten, verwerkingsregister, DPIA |
| TW | Telecomwet (cookies) | Van kracht | Privacy- en cookiebeleid op website |
| ISO 27001 | Internationale norm voor informatiebeveiliging | Van kracht | Dit ISMS |
| NEN 7510 | Nederlandse norm informatiebeveiliging in de zorg | Van kracht | Dit ISMS, NEN7510 mapping |
| Wkkgz | Wet kwaliteit, klachten en geschillen zorg | Van kracht | Contractuele eisen zorgklanten, 4.1 Context |
| AW | Auteurswet | Van kracht | 5.32 IP rights, arbeidsovereenkomsten, klantcontracten |
| Faillissementswet | Beschikbaar stellen administratie | Van kracht | 5.29 Continuïteit (scenario 3: overdracht bronbestanden) |
| ARBO | Arbeidsomstandighedenwet | Van kracht | Kantoorinrichting, thuiswerkbeleid |
| WBSN | Wet BSN in de Zorg | Van kracht | Z06 Patiëntidentificatie, BSN-validatie in zorgapps |
| Wbni | Wet beveiliging netwerk- en informatiesystemen | Van kracht | 5.31 Wettelijke eisen — wordt vervangen door Cbw |
| BW | Burgerlijk Wetboek | Van kracht | Contractbeheer, leveranciersovereenkomsten |
| AWR | Algemene Wet Rijksbelastingen | Van kracht | 5.33 Bescherming registraties, bewaartermijnen |
| MDR | Verordening Medische Hulpmiddelen | Van kracht | Z04 Medische apparatuur, beoordeling per zorgproject |
| DigiToegankelijk | Tijdelijk besluit digitale toegankelijkheid overheid | Van kracht | Projectplan (overheidsklanten) — zie ook EAA |
| Cbw | Cyberbeveiligingswet (NIS2) | Verwacht 1 juli 2026 | Gap-analyse gepland; ketenverantwoordelijkheid vertalen naar leverancierscontracten |
| EAA | Europese Toegankelijkheidswet | Van kracht (sinds 28 juni 2025) | Toegankelijkheidseisen in projectplannen |
| WEGIZ | Wet elektronische gegevensuitwisseling in de zorg | Van kracht | Relevant bij gegevensuitwisseling tussen zorgsystemen |
| WBP | Wet Bescherming Persoonsgegevens | Vervallen | Vervangen door AVG; bewaartermijnen overgenomen |
Contractuele Eisen
| Bron | Eis | Stakeholder | ISMS Impact |
|---|---|---|---|
| Klantcontracten | SLA beschikbaarheid | Klanten | A.5.23, A.8.14 |
| Klantcontracten | Beveiligingseisen | Klanten | Diverse controls |
| Leverancierscontracten | Security clausules | Leveranciers | A.5.19-5.22 |
Organisatorische Eisen
| Bron | Eis | Stakeholder | ISMS Impact |
|---|---|---|---|
| Bedrijfsbeleid | Risk appetite | Directie | Risicomanagement |
| HR beleid | Screening | Medewerkers | A.6.1 |
| IT beleid | Standaarden | IT | Technische controls |
Communicatiematrix
| Stakeholder | Frequentie | Kanaal | Verantwoordelijke |
|---|---|---|---|
| Klanten (zorg) | Periodiek + ad hoc | Meeting, mail, beveiligingsrapportage | Projectmanager / Directie |
| Klanten (overheid) | Periodiek + ad hoc | Formeel, aanbestedingsportals | Projectmanager / Directie |
| Klanten (commercieel) | Periodiek + ad hoc | Meeting, mail | Projectmanager |
| Medewerkers | Continu | Slack, teamoverleg, training | Directie / IB-coördinator |
| Directie | Minimaal jaarlijks (directiebeoordeling) | Directiebeoordeling, rapportages | IB-coördinator |
| CI | Jaarlijks + ad hoc | Audit, formeel | IB-coördinator |
| Toezichthouders (AP, IGJ) | Op verzoek + bij incidenten | Formeel, meldportals | Directie |
| Cloudproviders (AWS, GCP) | Continu + jaarlijks review | Console, support, contracten | Lead developer / Directie |
| Software-leveranciers | Jaarlijks | Leveranciersbeoordeling | IB-coördinator |
| Partners | Per project + jaarlijks | Overleg, samenwerkingsovereenkomst | Projectmanager |
Review
Het overzicht van stakeholders en de geinventariseerde wensen en eisen worden minimaal 1x per jaar nagelopen op actualiteit. Dit vindt plaats tijdens de directiebeoordeling (zie 9.3 Directiebeoordeling).
Verantwoordelijkheden
| Rol | Verantwoordelijkheid |
|---|---|
| Directie | Jaarlijks controleren van het overzicht van stakeholders tijdens de directiebeoordeling |
| IB-coördinator | Voorbereiden van de stakeholderanalyse en signaleren van wijzigingen |
Tussentijdse review
Naast de jaarlijkse review wordt dit overzicht tussentijds herzien bij:
- Nieuwe significante klanten (met name in de zorgsector)
- Wijzigingen in wet- en regelgeving (AVG, NEN 7510, Wkkgz)
- Organisatiewijzigingen (groei, reorganisatie)
- Nieuwe partnerships of onderaannemers
- Wijziging van cloudproviders of kritieke leveranciers
Vastgesteld door: Directie YipYip B.V. Datum: 2026-01-28