4.2 - Begrip van de behoeften en verwachtingen van belanghebbenden
Geimplementeerd Directie
Doel
Het inventariseren van belangrijke stakeholders en hun wensen en eisen met betrekking tot informatiebeveiliging.
Door middel van het inventariseren van de belangrijkste stakeholders binnen onze activiteiten en organisatie en hun wensen en eisen met betrekking tot informatiebeveiliging, verkrijgt YipYip B.V. inzicht in die punten waar bij de inrichting en toepassing van het managementsysteem specifiek rekening mee moet worden gehouden. Deze wensen en eisen worden tijdens het proces van risicobeoordeling op nadere waarde geschat (vanuit de te verwachten impact).
Stakeholder Register
Primaire Belanghebbenden
Klanten — Zorginstellingen
| Aspect | Beschrijving |
|---|---|
| Wie | Zorginstellingen die apps, platforms en cloudoplossingen afnemen van YipYip |
| Eisen | - NEN 7510 compliance van YipYip als leverancier - Beschikbaarheid en continuïteit van diensten - Bescherming van patiëntgegevens (BIG-gegevens) - Transparantie over beveiligingsmaatregelen - Verwerkersovereenkomst conform AVG |
| Relevantie | Primair — kernactiviteit van YipYip; bepaalt bestaansrecht organisatie |
| Communicatie | Contractueel, SLA reviews, periodieke beveiligingsrapportages |
Klanten — Overheid en semi-overheid
| Aspect | Beschrijving |
|---|---|
| Wie | Overheidsinstanties en semi-publieke organisaties die digitale producten afnemen |
| Eisen | - BIO/DPIA compliance - Beschikbaarheid en betrouwbaarheid - Hosting binnen EU - Transparantie over sub-verwerkers |
| Relevantie | Hoog — aanvullende wettelijke eisen bovenop AVG |
| Communicatie | Contractueel, aanbestedingsdocumenten, audits |
Klanten — Commercieel
| Aspect | Beschrijving |
|---|---|
| Wie | Commerciële opdrachtgevers voor apps, games en cloudoplossingen |
| Eisen | - Bescherming bedrijfsgegevens en IP - Beschikbaarheid diensten - AVG-conforme verwerking - Veilige oplevering en overdracht |
| Relevantie | Hoog — bijdrage aan omzet en reputatie |
| Communicatie | Contractueel, projectoverleg, SLA reviews |
Medewerkers
| Aspect | Beschrijving |
|---|---|
| Wie | Alle medewerkers van YipYip (~17 personen): developers, designers, projectmanagers (vast, inhuur, tijdelijk) |
| Eisen | - Veilige werkomgeving (kantoor Rotterdam en remote) - Duidelijke richtlijnen en procedures - Training en security-awareness - Privacy eigen personeelsgegevens - Adequate tooling en middelen |
| Relevantie | Hoog — uitvoerders van controls en dagelijkse beveiliging |
| Communicatie | Slack, teamoverleg, training, policies op intranet |
Management/Directie
| Aspect | Beschrijving |
|---|---|
| Wie | Directie YipYip B.V. |
| Eisen | - Aantoonbare compliance (ISO 27001, NEN 7510) - Acceptabel risiconiveau binnen risk appetite - Kosten-baten inzicht beveiligingsmaatregelen - Periodieke rapportage over ISMS-prestaties |
| Relevantie | Hoog — eindverantwoordelijk voor informatiebeveiliging |
| Communicatie | Directiebeoordeling (minimaal jaarlijks), managementrapportages |
Externe Belanghebbenden
Toezichthouders
| Aspect | Beschrijving |
|---|---|
| Wie | Autoriteit Persoonsgegevens (AP), Inspectie Gezondheidszorg en Jeugd (IGJ) |
| Eisen | - AVG compliance en aantoonbare verwerkingsregisters - Meldplicht datalekken (binnen 72 uur bij AP) - Aantoonbare technische en organisatorische beveiligingsmaatregelen - Medewerking bij onderzoek |
| Relevantie | Hoog — juridische verplichtingen; boetes bij non-compliance |
| Communicatie | Bij incidenten, op verzoek, formele correspondentie |
Certificerende Instantie
| Aspect | Beschrijving |
|---|---|
| Wie | Certificerende instelling voor ISO 27001 en NEN 7510 (nog te selecteren) |
| Eisen | - ISO 27001:2022 conformiteit - NEN 7510:2017+A1:2020 conformiteit - Aantoonbaarheid van implementatie en werking van controls - Continue verbetering aantoonbaar via interne audits en corrigerende maatregelen |
| Relevantie | Hoog — certificering vereist door klanten en markt |
| Communicatie | Jaarlijkse certificeringsaudits, surveillance audits, hercertificering |
Leveranciers — Cloudproviders
| Aspect | Beschrijving |
|---|---|
| Wie | Amazon Web Services (AWS), Google Cloud Platform (GCP) |
| Eisen | - Duidelijke verwachtingen over beveiligingsconfiguratie (shared responsibility model) - Naleving van SLA’s en beschikbaarheidsgaranties - Tijdige betaling |
| Relevantie | Hoog — kerninfrastructuur voor alle dienstverlening |
| Communicatie | Contracten, compliancedashboards, incidentnotificaties |
Leveranciers — Software en diensten
| Aspect | Beschrijving |
|---|---|
| Wie | SaaS-leveranciers, tooling-leveranciers, softwarelicenties (bijv. GitHub, Jira, monitoring-tools) |
| Eisen | - Duidelijke verwachtingen over beveiliging en dataverwerking - Verwerkersovereenkomsten waar van toepassing - Eerlijke contractvoorwaarden - Tijdige betaling |
| Relevantie | Medium — ondersteunende middelen voor ontwikkeling en beheer |
| Communicatie | Contracten, leveranciersbeoordeling, periodieke assessments |
Partners
| Aspect | Beschrijving |
|---|---|
| Wie | Samenwerkingspartners, onderaannemers, freelance specialisten |
| Eisen | - Afstemming op YipYip-beveiligingseisen - Veilige informatie-uitwisseling - NDA en verwerkersovereenkomst waar van toepassing |
| Relevantie | Medium — gedeelde risico’s bij gezamenlijke projecten |
| Communicatie | Samenwerkingsafspraken, SLA’s, periodiek overleg |
Indirecte Belanghebbenden
Patiënten
| Aspect | Beschrijving |
|---|---|
| Wie | Patiënten en cliënten van zorginstellingen die gebruik maken van door YipYip ontwikkelde applicaties |
| Eisen | - Bescherming medische en persoonsgegevens (BIG-gegevens) - Beschikbaarheid en betrouwbaarheid van zorgsystemen - Privacy by design in applicaties |
| Relevantie | Hoog — indirect via zorgklanten; impact bij beveiligingsincidenten is groot |
| Communicatie | Indirect via zorgklanten |
Maatschappij
| Aspect | Beschrijving |
|---|---|
| Wie | Breder maatschappelijk belang |
| Eisen | - Verantwoorde digitalisering van de zorg - Betrouwbare IT-dienstverlening die bijdraagt aan zorgkwaliteit |
| Relevantie | Laag — contextueel; draagt bij aan license to operate |
| Communicatie | Publieke communicatie, website |
Stakeholder Prioriteit Matrix
Hoog Belang ↑ [Klanten Zorg] | [Directie] [Klanten Overh.] | [Toezichthouders (AP, IGJ)] [Patiënten] | [CI] | ──────────────────────────────→ Hoge Macht [Maatschappij] | [Medewerkers] [Partners] | [Cloudproviders (AWS/GCP)] | [Klanten Commercieel] | [Software-leveranciers] Laag BelangEisen per Belanghebbende
Wettelijke en Regelgevende Eisen
| Bron | Eis | Stakeholder | ISMS Impact |
|---|---|---|---|
| AVG | Bescherming persoonsgegevens | Toezichthouders, Patiënten | Privacy controls |
| NEN7510 | Informatiebeveiliging zorg | Klanten, CI | Alle controls |
| Wkkgz | Kwaliteit zorg | Klanten, IGJ | Continuïteit |
Contractuele Eisen
| Bron | Eis | Stakeholder | ISMS Impact |
|---|---|---|---|
| Klantcontracten | SLA beschikbaarheid | Klanten | A.5.23, A.8.14 |
| Klantcontracten | Beveiligingseisen | Klanten | Diverse controls |
| Leverancierscontracten | Security clausules | Leveranciers | A.5.19-5.22 |
Organisatorische Eisen
| Bron | Eis | Stakeholder | ISMS Impact |
|---|---|---|---|
| Bedrijfsbeleid | Risk appetite | Directie | Risicomanagement |
| HR beleid | Screening | Medewerkers | A.6.1 |
| IT beleid | Standaarden | IT | Technische controls |
Communicatiematrix
| Stakeholder | Frequentie | Kanaal | Verantwoordelijke |
|---|---|---|---|
| Klanten (zorg) | Periodiek + ad hoc | Meeting, mail, beveiligingsrapportage | Projectmanager / Directie |
| Klanten (overheid) | Periodiek + ad hoc | Formeel, aanbestedingsportals | Projectmanager / Directie |
| Klanten (commercieel) | Periodiek + ad hoc | Meeting, mail | Projectmanager |
| Medewerkers | Continu | Slack, teamoverleg, training | Directie / IB-coördinator |
| Directie | Minimaal jaarlijks (directiebeoordeling) | Directiebeoordeling, rapportages | IB-coördinator |
| CI | Jaarlijks + ad hoc | Audit, formeel | IB-coördinator |
| Toezichthouders (AP, IGJ) | Op verzoek + bij incidenten | Formeel, meldportals | Directie |
| Cloudproviders (AWS, GCP) | Continu + jaarlijks review | Console, support, contracten | Lead developer / Directie |
| Software-leveranciers | Jaarlijks | Leveranciersbeoordeling | IB-coördinator |
| Partners | Per project + jaarlijks | Overleg, samenwerkingsovereenkomst | Projectmanager |
Review
Het overzicht van stakeholders en de geinventariseerde wensen en eisen worden minimaal 1x per jaar nagelopen op actualiteit. Dit vindt plaats tijdens de directiebeoordeling (zie 9.3 Directiebeoordeling).
Verantwoordelijkheden
| Rol | Verantwoordelijkheid |
|---|---|
| Directie | Jaarlijks controleren van het overzicht van stakeholders tijdens de directiebeoordeling |
| IB-coördinator | Voorbereiden van de stakeholderanalyse en signaleren van wijzigingen |
Tussentijdse review
Naast de jaarlijkse review wordt dit overzicht tussentijds herzien bij:
- Nieuwe significante klanten (met name in de zorgsector)
- Wijzigingen in wet- en regelgeving (AVG, NEN 7510, Wkkgz)
- Organisatiewijzigingen (groei, reorganisatie)
- Nieuwe partnerships of onderaannemers
- Wijziging van cloudproviders of kritieke leveranciers
Vastgesteld door: Directie YipYip B.V. Datum: 2026-01-28