Doel
Het vaststellen van externe en interne onderwerpen die relevant zijn voor het doel van de organisatie en die van invloed zijn op het vermogen om de beoogde resultaten van het ISMS te behalen.
Contextanalyse Methode
De contextanalyse maakt duidelijk welke interne en externe onderwerpen relevant zijn voor het behalen van de doelstellingen van het managementsysteem. Hiervoor wordt de DESTEP-methode gehanteerd: Demografisch, Economisch, Sociaal-cultureel, Technologisch, Ecologisch, Politiek-juridisch. Jaarlijks wordt het overzicht van de context (tijdens de directiebeoordeling) nagelopen op relevantie.
Organisatieprofiel
Naam: YipYip B.V.
Type: Digital Product Agency
Sector: Software-ontwikkeling (o.a. zorgsector)
Opgericht: 2010
Vestiging: Rotterdam
Omvang: ~17 medewerkers (< 50)
Kernactiviteiten
YipYip is een Digital Product Agency die op maat gemaakte software ontwikkelt voor opdrachtgevers. De primaire dienstverlening omvat:
- Mobiele apps — native app-ontwikkeling voor iOS (Objective-C/Swift) en Android (Java/Kotlin)
- Applied (serious) games — ontwikkeling in Unity
- Backend-systemen — applicaties in de functionele taal Elixir binnen het Phoenix Framework, met of zonder gebruikersinterface
- Progressive Web Apps (PWA’s) en websites — met Javascript/HTML/CSS
- Cloud-services — inrichting en monitoring op Amazon Web Services (AWS) en Google Cloud Platform (GCP), zelfstandig beheerd door specialisten in het team
Kernprocessen
| Proces | Beschrijving |
|---|
| Design | UX/UI-ontwerp van digitale producten |
| Development | Maatwerk-softwareontwikkeling (mobiel, web, backend, games) |
| Cloud & Hosting | Inrichting, beheer en monitoring van AWS/GCP-omgevingen |
| Projectmanagement | Aansturing en oplevering van klantprojecten |
Organisatiestructuur
YipYip heeft een platte organisatiestructuur:
| Rol | Invulling |
|---|
| Directie | Tim Pelgrim (Technical Director) en Tim Nooteboom (Creative Director) — tevens oprichters en eigenaren |
| HR Manager | Personeelszaken |
| Project Managers | Projectaansturing en klantcontact |
| Designers | UX/UI-ontwerp |
| App Developers | iOS- en Android-ontwikkeling |
| Backend Developers | Elixir/Phoenix, cloud-infrastructuur |
| Office Manager | Facilitaire ondersteuning |
Externe Context
Politieke en Juridische Factoren
| Factor | Beschrijving | Impact op ISMS |
|---|
| AVG/GDPR | Privacywetgeving | Hoog — dataverwerkingseisen bij klantprojecten |
| NEN7510 | Norm voor informatiebeveiliging in de zorg | Hoog — vereist door opdrachtgevers in de zorgsector |
| Wkkgz | Wet kwaliteit, klachten en geschillen zorg | Medium — indirect via zorgsector-klanten |
| NIS2-richtlijn | EU-richtlijn cybersecurity | Medium — ketenverantwoordelijkheid als leverancier |
| Intellectueel eigendom | Maatwerk software-ontwikkeling | Medium — IP-afspraken met opdrachtgevers |
Economische Factoren
| Factor | Beschrijving | Impact op ISMS |
|---|
| IT-arbeidsmarkt | Krapte in security- en developmentprofessionals | Risico voor beschikbaarheid van resources |
| Digitalisering zorgsector | Groeiende vraag naar digitale oplossingen in de zorg | Kans — groeiende markt met hogere beveiligingseisen |
| Economische onzekerheid | Budgetdruk bij opdrachtgevers | Impact op investeringen in security |
| Concurrentie digital agencies | Druk op tarieven en differentiatie | Certificering als onderscheidend vermogen |
Sociaal-culturele Factoren
| Factor | Beschrijving | Impact op ISMS |
|---|
| Remote werken | Hybride werkvormen binnen het team | Endpoint security en thuiswerkbeleid |
| Privacy bewustzijn | Toenemende maatschappelijke aandacht voor data | Hogere verwachtingen van klanten en eindgebruikers |
| Digitalisering zorg | Meer digitale systemen in de zorg | Grotere aanvalsoppervlak bij klantprojecten |
Technologische Factoren
| Factor | Beschrijving | Impact op ISMS |
|---|
| Cloud adoptie (AWS/GCP) | Eigen beheer van cloud-infrastructuur | Vereist continue aandacht voor cloudbeveiliging |
| Snelle technologische ontwikkeling | Nieuwe frameworks, talen, platformen | Noodzaak tot bijscholing en actueel houden van kennis |
| AI/ML | Opkomst van AI-toepassingen in software | Nieuwe risico’s en kansen |
| Cyberdreigingen | Toenemende sophisticatie van aanvallen | Continue aanpassing van beveiligingsmaatregelen |
| Mobile platform updates | Jaarlijkse iOS/Android wijzigingen | Impact op beveiliging van apps in productie |
Ecologische Factoren
| Factor | Beschrijving | Impact op ISMS |
|---|
| Duurzaamheid cloud | Energieverbruik van clouddiensten | Laag — indirect via keuze cloudprovider |
| Circulaire IT | Levenscyclus van hardware | Laag — meeste infrastructuur in de cloud |
Demografische Factoren
| Factor | Beschrijving | Impact op ISMS |
|---|
| Klein, specialistisch team | ~17 medewerkers met uiteenlopende expertises | Key-person risk; kennis geborgd in klein team |
| Vergrijzing zorgsector | Digitale vaardigheden eindgebruikers | Impact op usability en security-eisen van producten |
Markt en Concurrentie
| Factor | Beschrijving | Impact op ISMS |
|---|
| Klant eisen | Certificering als eis voor opdrachten in de zorg | Business driver voor ISMS |
| Concurrentie | Onderscheidend vermogen door kwaliteit en security | Kwaliteit en beveiliging als USP |
| Branche-ontwikkelingen | Best practices in softwareontwikkeling en security | Continu leren en verbeteren |
Interne Context
Missie en Visie
YipYip ontwikkelt als Digital Product Agency op maat gemaakte digitale producten die waarde toevoegen voor opdrachtgevers en hun eindgebruikers. De organisatie combineert design en development expertise om innovatieve mobiele apps, games, web-applicaties en backend-systemen te realiseren — met toenemende focus op de zorgsector waar betrouwbaarheid en informatiebeveiliging essentieel zijn.
Cultuur en Waarden
- Platte organisatie — korte lijnen, directe communicatie, snelle besluitvorming
- Vakmanschap — specialisatie in design en development met moderne technologieen
- Eigenaarschap — zelfsturend team, verantwoordelijkheid bij de professionals
- Kwaliteit — maatwerk met aandacht voor robuustheid en security
- Samenwerking — multidisciplinaire teams (design + development) per project
Governance Structuur
| Rol | Verantwoordelijkheid | Naam |
|---|
| Directie / Eigenaren | Eindverantwoordelijkheid ISMS | Tim Pelgrim (Technical Director) & Tim Nooteboom (Creative Director) |
| IB-coördinator | Dagelijks beheer en coördinatie ISMS, operationele security | Tim Pelgrim (gecombineerd met Technical Director) |
Bestaande Systemen en Processen
| Categorie | Systemen / Technologieen |
|---|
| Cloud-infrastructuur | Amazon Web Services (AWS), Google Cloud Platform (GCP) |
| Mobiele ontwikkeling | Xcode/Swift, Android Studio/Kotlin, Unity |
| Backend-ontwikkeling | Elixir / Phoenix Framework |
| Frontend-ontwikkeling | Javascript / HTML / CSS (PWA’s en websites) |
| Versiebeheer | GitHub (Git) |
| Projectmanagement | Jira |
| Communicatie | Slack, e-mail, Google Meet |
Kennis en Competenties
| Gebied | Status | Actie nodig |
|---|
| ISO 27001 kennis | In opbouw (ISMS 2.0 traject) | Awareness en training directie + team |
| NEN7510 kennis | In opbouw | Specifieke zorgsector-eisen doorvertalen |
| Technische security | Aanwezig — cloud-specialisten in team | Formaliseren en borgen |
| Secure development | Informeel gehanteerd (PR-review, CI/CD, OWASP) | Formeel programma nog niet opgezet |
Middelen en Beperkingen
| Aspect | Status | Opmerkingen |
|---|
| Budget voor security | Onderdeel van regulier budget, geen apart security-budget | Proportioneel voor organisatieomvang |
| FTE beschikbaar | Beperkt — klein team met projectdruk | ISMS naast regulier werk |
| Tooling | 1Password, GitHub, Jira, AWS/GCP security features | Operationeel |
| Cloud-expertise | Aanwezig in team | Zelfstandig beheer AWS/GCP |
Strengths (Sterktes)
- Platte organisatie met korte communicatielijnen — snelle besluitvorming bij incidenten
- Technisch sterk team met eigen cloud-expertise (AWS/GCP)
- Maatwerk-ontwikkeling geeft volledige controle over architectuur en beveiliging
- Kleinschaligheid maakt overzichtelijk beheer mogelijk
- Directie direct betrokken bij operatie
Weaknesses (Zwaktes)
- Klein team: key-person risk en beperkte capaciteit voor dedicated security-rollen
- ISMS in opbouw: processen nog niet volledig geformaliseerd
- Beperkte scheiding van functies door omvang organisatie
- Securitykennis nog niet formeel geborgd in alle rollen
Opportunities (Kansen)
- NEN7510/ISO 27001-certificering als onderscheidend vermogen in de markt
- Groeiende vraag vanuit zorgsector naar gecertificeerde leveranciers
- Formaliseren van bestaande goede practices verbetert kwaliteit structureel
- Cloudproviders (AWS/GCP) bieden steeds betere ingebouwde securitydiensten
Threats (Bedreigingen)
- Toenemende sophisticatie van cyberaanvallen op software supply chains
- Stijgende eisen vanuit wet- en regelgeving (NIS2, AVG-handhaving)
- Krapte op de arbeidsmarkt voor security-specialisten
- Klanten verwachten steeds hogere beveiligingsniveaus zonder evenredige budgetverhoging
- Afhankelijkheid van cloudproviders (vendor lock-in risico)
Review
Deze context-analyse wordt minimaal jaarlijks gereviewed tijdens de directiebeoordeling, en bij significante wijzigingen in de interne of externe omgeving. De DESTEP-methode wordt gebruikt als leidraad voor het identificeren van externe factoren.
Vastgesteld door: Directie (Tim Pelgrim & Tim Nooteboom)
Datum: 2026-01-29