ISMS Scope Definitie
Geimplementeerd Directie
Organisatie
Naam: YipYip B.V. Sector: Digital product agency / ICT-dienstverlening (o.a. zorgsector) Omvang: ~15 medewerkers
Scope Statement
Het Information Security Management System (ISMS) van YipYip B.V. omvat:
Organisatorische Scope
ISO 27001 scope: Het ontwikkelen, ontwerpen, beheren, onderhouden van applicaties, websites en cloud-omgevingen.
NEN 7510 scope: Het ontwikkelen, ontwerpen, beheren, onderhouden van zorggerelateerde applicaties, websites en cloud-omgevingen waarbij hosting is uitbesteed aan AWS of GCP.
- Alle medewerkers (~15, vast en inhuur)
- Kantoorlocatie Rotterdam
- Alle ICT-systemen en cloud-infrastructuur (AWS, GCP)
- Alle dienstverlening aan klanten, inclusief zorgklanten
Diensten binnen Scope
- Ontwikkeling van mobile apps (iOS/Android)
- Ontwikkeling van applied games
- Backend-ontwikkeling (Elixir/Phoenix)
- Ontwikkeling van Progressive Web Apps (PWA’s)
- Ontwikkeling en beheer van websites
- Ontwerp en UX/UI design
- Cloud-hosting en -beheer (AWS, GCP)
Informatie Assets binnen Scope
- Klantgegevens (inclusief zorggerelateerde/patiëntdata)
- Broncode (applicaties, websites, games)
- Cloud-omgevingen en -configuraties (AWS, GCP)
- Bedrijfsinformatie en interne documentatie
- Technische documentatie en architectuurbeschrijvingen
- Contracten en overeenkomsten
- Ontwikkel- en productieomgevingen
Geografische Scope
- Hoofdkantoor: Rotterdam
- Remote werken medewerkers (thuiswerklocaties)
- Cloud-hosting: AWS en GCP datacenters
Buitenste Grenzen
Expliciet Uitgesloten
- Fysieke beveiliging van klantlocaties (verantwoordelijkheid klant)
- Hosting-infrastructuur op hardware-niveau (uitbesteed aan AWS en GCP)
- Applicaties in beheer bij derden (tenzij integratie)
Interfaces
Externe Partijen
| Partij | Type Interface | Relevantie |
|---|---|---|
| Zorgklanten | Dienstverlening, data-uitwisseling | Primair |
| Leveranciers | Software, hardware, diensten | Kritiek |
| Certificerende instantie | Audit, certificering | Compliance |
| Overheid/toezichthouders | Regelgeving | Compliance |
Interne Interfaces
| Proces | Interface met ISMS |
|---|---|
| HR | Screening, onboarding, training |
| Inkoop | Leveranciersbeoordeling |
| Projecten | Security by design |
| Operations | Dagelijkse beveiliging |
Toepasselijke Normen
- ISO 27001:2022 - Information security management systems
- NEN7510:2024 - Informatiebeveiliging in de zorg
- AVG/GDPR - Privacywetgeving
- Wbsn-z - Wet bescherming staatsgeheimen zorg (indien van toepassing)
Scope Review
De scope wordt minimaal jaarlijks gereviewed en bij significante wijzigingen in:
- Organisatiestructuur
- Dienstverlening
- Klantenprofiel
- Wet- en regelgeving
Vastgesteld door: Directie YipYip B.V. Datum: 2026-01-29