YipYip is een app ontwikkelaar met

ISO 27001 en NEN 7510

certificering.

Onze certificering is van toepassing op het volgende gebied: “Het ontwikkelen, ontwerpen, beheren, onderhouden van applicaties, websites en cloud-omgevingen”.

Dit houdt in dat we de officiële certificaten hebben die staan voor een kwalitatieve, betrouwbare en veilige verwerking van informatie. ISO 27001 is wereldwijd erkent (International Standard Organization) en hiermee laten we zien dat alle systemen en apps die we ontwikkelen ook veilig worden gemaakt en voldoen aan hoge standaarden. We houden hierdoor onze processen goed op orde en door middel van audits valideren we dit alles. De NEN 7510 is een Nederlandse norm en in grote lijnen hetzelfde als de ISO 27001, het verschil zit vooral in specifieke extra maatregelen voor toepassing in de zorg.

App laten maken volgens een gecertificeerd ISO / NEN proces

Wil je naar aanleiding van dit artikel app laten maken die middels een gecertificeerd proces is vervaardigd? Of ben je gewoon benieuwd naar wat de ISO en NEN allemaal inhouden en hoe dit jouw business kan versterken? Neem gerust contact met ons op.

Apps maken volgens een ISO 27001 gecertificeerd proces

Een van de weinige app ontwikkelaars

Er zijn in Nederland niet veel ISO 27001 app ontwikkelaars, het laten certificeren voor de ISO is dan ook een intensief traject om op te zetten en vereist vervolgens constant onderhoud en aandacht. Wij hebben ervoor gekozen onszelf te laten certificeren omdat we hiermee kunnen waarborgen én aantonen dat informatiebeveiliging op het gebied van integriteit, beschikbaarheid en vertrouwelijkheid op orde is binnen al onze app projecten. Dit is van belang voor onze zakelijke klanten die met gevoelige data werken maar ook voor de zorgleveranciers waar we projecten voor realiseren, patiëntdata is immers per definitie zeer gevoelig.

De certificering houdt in dat wij al onze mobiele apps ontwikkelen met aandacht voor informatiebeveiliging op alle fronten, zowel gedurende het ontwikkel proces, tijdens de implementatie als in de nazorg en het onderhoud. Uiteraard hielden we ons ook al aan dezelfde maatregelen voordat we gecertificereerd waren maar nu kunnen we het aantonen én ligt er een plan voor als zaken anders lopen dan gedacht.

Data en app data

De hoge mate van informatiebeveiliging heeft uiteraard betrekking op zowel de gegevens van de opdrachtgever als van de klanten/eindgebruikers van de applicaties die we maken. Dit kan data zijn die ze zelf creëren of uploaden maar ook data die wordt bijgehouden, automatisch of handmatig.

Aangezien de meeste data van onze apps in de cloud (op Amazon Web Services en/of Google Cloud Platform middels Kubernetes) worden opgeslagen ligt het grootste risico in de back-ends die we ontwikkelen, we hebben daar dan ook extra aandacht aan besteedt in ons Information Security Management System, kortweg ISMS. Hierin staat beschreven welke maatregelen we nemen om datalekken te voorkomen en de kans op fouten te minimaliseren.

Wijzigingen in broncode vastleggen

Voor elke aanpassing en wijziging hebben we procedures vastgelegd waarbij we rekening houden met verschillende mogelijke risico's. Zo leggen we elke wijziging in de software vast op verschillende punten, hanteren we het "vier ogen"-principe bij alle wijzigingen aan de code en rollen we (zoveel mogelijk) redundant uit naar de diverse omgevingen. Dit alles in combinatie met een uitgebreide documentatie.

Op deze manier houden we alle data veilig en minimaliseren we de kans op mogelijke fouten. De documentatie is vooral praktisch wanneer we werken in teamverband, bijvoorbeeld met een andere app ontwikkelaar of back-end ontwikkelaar aan het project moet werken.

Monitoring van software

We monitoren al een aantal jaar de software die we opleveren, maar meestal ging dit vooral over uptime en aantal crashes. Op basis van deze gegevens konden we eventuele problemen verhelpen met een update.

Intussen hebben we ook systemen ingeregeld zodat we ook kwetsbaarheden en ongeautoriseerde toegangspogingen kunnen detecteren. Verder hebben we onze monitoring flink uitgebreid om zo ook andere vormen van hacking te kunnen signaleren om er vervolgens op te reageren met nieuwe maatregelen.

Leveranciers

Ook alle leveranciers waarmee we werken zijn onderhevig aan bepaalde beveiligingsstandaarden, hieronder vallen onze eventuele onderaannemers en freelancers waarmee we werken (bij voorkeur ontwikkelen we al onze projecten als volledige in-house ontwikkelaar zonder afhankelijkheden, om de kwaliteit en zekerheden te kunnen borgen). Maar ook moeten we toetsen of de systemen – waarmee we onze maatwerk software ontwikkelen – gecertificeerd zijn of niet. Denk hierbij aan de meest logische systemen die we bij ieder project inzetten zoals: GitHub, AWS & GCP. Maar ook ondersteunende systemen zoals: Slack (voor communicatie), JIRA (voor project management), Google Drive et cetera vallen hier onder.

Software ontwikkelaars van YipYip

Een ander belangrijk aspect zijn de app en web ontwikkelaars van YipYip. Iedereen dient behaalde certificaten, diploma's en andere documentatie aan te dragen om aan te tonen dat ze kunnen functioneren op een professioneel niveau zodat we de kwaliteit kunnen waarborgen. Tevens wordt er van de medewerkers een VOG (Verklaring Omtrent Gedrag), dit uiteraard met het oog op betrouwbaarheid en veiligheid.

NEN 7510 gecertificeerd proces voor apps in de zorg

De andere norm van informatiebeveiliging waarvoor we zijn gecertificeerd is de NEN 7510. Het grote verschil met het ISO 27001 certificaat is dat de NEN 7510 specifiek gericht is op informatiebeveiliging in de zorgsector. We ontwikkelen software en E-Health en M-Health toepassingen voor zorginstellingen, dus is het goed om te weten dat we dit ook op een veilige manier doen. Het NEN 7510 certificaat is hier het bewijs van. Bovendien is het vaak een eis (van de zorginstellingen of zorgverleners waarvoor we werken) om dit certificaat te hebben – alvorens men een app in de zorg überhaupt mag gaan realiseren.

Investering in veiligheid

Een certificeringstraject is een flinke investering en is zeker niet zomaar behaald. De investering kost vooral veel tijd en geld maar de waarde die het oplevert is enorm. De backend ontwikkelaars en app ontwikkelaars van YipYip zijn zich door dit traject enorm bewust geworden van de risico's en veiligheidsnormen die we tegenwoordig hanteren.

Daarnaast zorgt deze beschikbare kennis ook voor kruisbestuiving met andere collega's, zo zijn ook onze minder technische medewerkers (app designers en project managers) volledig op de hoogte van de essentie van informatiebeveiliging- en "Privacy by Design" principes die we hanteren.

Audit

Een onderdeel van het certificeringstraject is ook een jaarlijks terugkerende audit door een bevoegde instantie. Hierdoor blijven we continu aantonen dat we onze zaken op orde hebben en alles verloopt zoals we oorspronkelijk hebben bepaald. Eventuele verbeterpunten of aanpassingen (denk aan nieuwe wetgeving, nieuwe criteria voor leveranciers et cetera) die uit een audit komen nemen we mee voor het volgende jaar om onszelf ook te blijven ontwikkelen op gebied van security.

Privacy & AVG

Binnen de in Nederland en Europa geldende wetgeving voor privacy en gegevensverwerking houden wij ons uiteraard aan de hoogst geldende standaard. Dat betekent onder meer dat we bij aanvang van de samenwerking een overeenkomst aangaan om de verantwoordelijkheid voor dataverwerking vast te stellen, met daaraan gekoppeld de protocollen voor diverse scenario’s. Wij kunnen een AVG-overeenkomst ter ondertekening aanbieden of wij kunnen ons committeren aan een dergelijke verklaring die wordt aangeleverd.

De AVG (Algemene Verordening Gegevensbescherming) is sinds 25 mei 2018 van kracht en vervangt de WBP (Wet Bescherming Persoonsgegevens). Deze wet — internationaal ook wel de GDPR genoemd — is in het leven geroepen om met name online meer controle te geven aan consumenten over de verwerking van hun data.

Dat kan heel concreet zijn bij bijvoorbeeld het kopen van een product in een webshop, waarbij je logischerwijs je adresgegevens overhandigt. Maar ook minder concreet, zoals alle profieldata die je door het gebruik van sociale media over jezelf creëert en onbewust verzamelt.

ISO & AVG

En hoe verhoudt de ISO norm zich tot de AVG? Dat is vrij eenvoudig, de ISO 27001 geeft ons handvatten om onze producten zo in te richten dat ze "AVG-proof" zijn. De maatregelen die we onszelf hebben opgelegd in ons ISMS geven invulling aan de praktijk. De AVG zegt niet wat je wel en niet mag doen, maar gaat enkel over doelmatigheid en verplichtingen (het "wat"). Met de ISO geven we invulling aan de eerste "hoe" vraag.

Meer weten over ISO27001 en NEN7510?

Wil je een app laten maken en weten wat de ISO 27001 en NEN 7510 certificering kan betekenen?

Voordelen van een ISO gecertificeerde app ontwikkelaar

  • Met een ISMS zijn we weerbaarder tegen cyberaanvallen en datalekken.
  • Al onze leveranciers worden zeer kritisch onder de loep genomen, we werken niet met startups die gevoelig zijn voor datalekken of met exotische frameworks die "per ongeluk" data naar onbekenden sturen.
  • Ontwikkelaars die bij YipYip leveren kwaliteit (bewezen hoogopgeleide ontwikkelaars) en zijn betrouwbaar (Verklaring Omtrent Gedrag).
  • Een ISMS zorgt voor een centraal punt waar alle bedrijfskritische informatie (in al zijn vormen) wordt opgeslagen. Dit ISMS is tevens inzichtelijk voor al onze (eigen) developers.
  • Actief monitoren is de basis van het veilig houden van applicaties ná lancering.
  • We hebben beveiligingsrisico's eerder in kaart en ondernemen er actie op.
  • De vertrouwelijkheid, beschikbaar én integriteit van de data is zo goed mogelijk beschermd.
  • Er zijn diverse procedures geïnstalleerd mocht er onverhoopt tóch iets gebeuren, zodat we dit adequaat kunnen adresseren en op de best mogelijke manier kunnen oplossen.