5.3 - Rollen, verantwoordelijkheden en bevoegdheden
YipYip is een platte organisatie van circa 17 medewerkers zonder formele afdelingsstructuur. Informatiebeveiliging is geen aparte functie maar onderdeel van bestaande rollen.
Rolbeschrijvingen
Directie
Bezetting: Tim Pelgrim (Technical Director), Tim Nooteboom (Creative Director)
- Eindverantwoordelijk voor informatiebeveiliging
- Vaststellen beleid, doelstellingen en risk appetite
- Toewijzen budget en middelen
- Goedkeuren restrisico’s
- Uitvoeren directiebeoordeling (jaarlijks)
IB-coördinator
Bezetting: Tim Pelgrim (gecombineerd met Technical Director)
- Dagelijks beheer en coördinatie ISMS
- Coördineren risicobeoordeling
- Toezicht op implementatie controls
- Rapporteren aan directie
- Beheren documentatie en awareness-programma
- Contact met certificerende instantie
- Eerste aanspreekpunt voor security-incidenten
De IB-coördinator combineert de rollen die in grotere organisaties verdeeld zijn over ISMS Manager, Security Officer en Privacy Officer. Dit is proportioneel voor YipYip’s omvang.
Alle medewerkers
Bezetting: ~17 personen (designers, developers, project managers, office manager, HR manager)
- Naleven beleid en procedures
- Melden incidenten en zwaktes aan IB-coördinator
- Deelnemen aan jaarlijkse awareness-training
- Beschermen vertrouwelijke informatie
- Veilig gebruik systemen en clean desk
Interne auditor
Bezetting: Extern in te huren (onafhankelijkheid)
Gezien de omvang van YipYip wordt de interne audit uitbesteed aan een externe auditor. Dit waarborgt onafhankelijkheid — in een team van 17 is niemand onafhankelijk van de processen die worden geauditeerd.
RACI Matrix
| Proces | Directie | IB-coördinator | Medewerkers |
|---|---|---|---|
| Beleid vaststellen | A | R | I |
| Risicobeoordeling | A | R | C |
| Control implementatie | A | R | C |
| Incident response | I | A/R | R |
| Interne audit | A | R (coördinatie) | I |
| Management review | R | R | I |
| Awareness training | A | R | R |
R = Responsible, A = Accountable, C = Consulted, I = Informed
Communicatie
- Rollen worden gecommuniceerd bij aanstelling en opgenomen in functieprofielen
- IB-coördinator is extern contactpersoon voor security-vragen
- Competentie-eisen per rol: zie
04-ondersteuning/7.2-competentie.md
Gerelateerde controls
| Control | Onderwerp | Status |
|---|---|---|
| 5.02 | Rollen en verantwoordelijkheden | implemented |
| 5.03 | Functiescheiding | implemented |
Vastgesteld door: Directie YipYip B.V. Datum: 2026-01-29