Ga naar inhoud
ISMS YipYip

Application security requirements

Geimplementeerd Creative Director

Wat we doen

Beveiligingseisen worden meegenomen vanaf de eerste ontwerpfase — niet achteraf. Bij elk project beoordelen we bij de start:

  • Authenticatie en autorisatie — welke login-methode, welke rollen en rechten
  • Dataclassificatie — welke gegevens verwerkt de app, wat is de classificatie
  • Privacy — welke persoonsgegevens, AVG-grondslag, verwerkingsregister
  • Zorgspecifiek — bij zorgprojecten: NEN 7510 checklist
  • Input/output — validatie-eisen voor data-invoer en -weergave
  • Integraties — koppelingen met externe systemen, API-beveiliging

Privacy by design

Kernregel: geen echte persoonsgegevens in het ontwerpproces. Wireframes, mockups, Figma-ontwerpen en usability tests gebruiken uitsluitend dummy-data. Dit voorkomt dat echte data (zeker gezondheidsinformatie) in breed gedeelde ontwerpdocumenten terechtkomt.

Ontwerpproces

  • UX: wireframes en gebruikersstromen met aandacht voor beveiligingsinteracties (login, consent, 2FA)
  • UI: visuele uitwerking inclusief classificatielabels en beveiligingsindicatoren
  • Tooling: Figma als centraal platform. Klanten krijgen view/comment rechten, geen edit.
  • Review: ontwerp wordt gereviewd op beveiligingseisen voor overdracht aan development

Verantwoordelijkheden

  • Creative Director — eindverantwoordelijk voor beveiligingseisen in ontwerpproces
  • UX/UI Designers — privacy by design toepassen, alleen dummy-data
  • Project Manager — beveiligingseisen identificeren bij kick-off
  • DevOps Lead — technische beveiligingseisen aanleveren

Gaps

  • Geen formele security-checklist die per project wordt afgevinkt — het is afhankelijk van ervaring van de projectleden.
  • OWASP ASVS wordt als referentie genoemd maar niet structureel als checklist ingezet.

Bewijs

  • Figma team workspace (UX/UI ontwerpen per project)
  • Jira / projectdocumentatie (beveiligingseisen per project)