Ga naar inhoud
ISMS YipYip

Informatiebeveiligingsbeleid

Gedeeltelijk Directie

YipYip bouwt software voor de zorg — mobiele apps, applied games, backends en cloudinfrastructuur. Onze klanten vertrouwen erop dat wij zorgvuldig omgaan met hun gegevens en die van hun patiënten. Informatiebeveiliging is daarom geen bijzaak maar een kernonderdeel van hoe we werken.

Principes

Vertrouwelijkheid — Informatie is alleen toegankelijk voor wie dat nodig heeft. Voor zorginformatie geldt: alleen verwerken als het strikt noodzakelijk is voor onze dienstverlening.

Integriteit — Data is betrouwbaar. Wijzigingen lopen via gecontroleerde processen (code reviews, change management, versiebeheer).

Beschikbaarheid — Systemen werken wanneer ze nodig zijn. We bouwen redundantie in en testen herstel.

Compliance — We werken conform ISO 27001:2022, NEN7510:2024 en de AVG. Dat doen we niet alleen voor het certificaat maar omdat onze klanten in de zorg dat van ons mogen verwachten.

Risicogericht — We nemen maatregelen op basis van werkelijke risico’s, niet op basis van checklists. Waar het risico laag is, houden we het simpel.

Continue verbetering — We evalueren jaarlijks of ons ISMS nog past bij de organisatie en de dreigingen van dat moment. Incidenten, audits en veranderingen in ons werk zijn aanleiding om bij te sturen.

Doelstellingen

  1. Zorginformatie beschermen conform NEN7510 — geen datalekken met patiëntgegevens
  2. ISO 27001 en NEN7510 certificering behalen en behouden
  3. Risico’s systematisch identificeren en behandelen tot een acceptabel niveau
  4. Iedere medewerker weet wat er van hem of haar wordt verwacht op het gebied van informatiebeveiliging

Meetbare doelstellingen zijn uitgewerkt in 03-planning/6.2-doelstellingen.md.

Verantwoordelijkheden

Directie (Tim Pelgrim, Tim Nooteboom) — Eindverantwoordelijk voor informatiebeveiliging. Stelt dit beleid vast, wijst middelen toe, en beoordeelt het ISMS jaarlijks.

IB-coördinator (Tim Pelgrim) — Coördineert het ISMS in de dagelijkse praktijk: risico’s bijhouden, audits organiseren, incidenten begeleiden, rapporteren aan de directie.

Alle medewerkers — Werken conform dit beleid en de bijbehorende procedures. Melden beveiligingsincidenten en -zwakheden direct bij de IB-coördinator.

Geldigheid

Dit beleid wordt jaarlijks gereviewed of eerder bij significante wijzigingen aan de organisatie, dienstverlening of dreigingslandschap. Het beleid is beschikbaar voor alle medewerkers via het ISMS (Git repository) en wordt besproken bij onboarding en de jaarlijkse awareness-training. Waar relevant delen we het beleid (of een samenvatting) met klanten en leveranciers.

Gerelateerde controls

ControlOnderwerpStatus
5.01Informatiebeveiligingsbeleidpartial

Vastgesteld door: Tim Pelgrim & Tim Nooteboom Datum: [te ondertekenen wanneer ISMS gereed is] Versie: 2.0