# Stap 3: Risico's beheren

Risicomanagement in Dastra kan verschillende vormen aannemen:

* Gegevensbeschermingseffectbeoordeling (DPIA),
* Risico-identificatie en -beoordeling (met behulp van de Risicomodule),
* Audits.

### Effectbeoordeling

Als u gegevensverwerking hebt geïdentificeerd die waarschijnlijk hoge risico's voor de rechten en vrijheden van betrokkenen met zich meebrengen, moet u voor elk van deze gegevensverwerking een Gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren.

{% hint style="info" %}
Het uitvoeren van een DPIA is verplicht voor elke Verwerking die waarschijnlijk leidt tot hoge risico's voor de Rechten en Vrijheden van betrokkenen (Artikel 35 AVG).
{% endhint %}

Om u te helpen bepalen of uw Verwerking waarschijnlijk hoge risico's met zich meebrengt, zijn de volgende 9 criteria vastgelegd in de G29-richtlijnen:

1. Beoordeling of classificatie;
2. Geautomatiseerd besluit met rechtsgevolgen of een aanzienlijk soortgelijk gevolg;
3. Systematisch toezicht;
4. Gevoelige gegevens of gegevens van zeer persoonlijke aard;
5. Persoonsgegevensverwerking op grote schaal;
6. Kruisverwijzingen tussen gegevensreeksen;
7. Gegevens over kwetsbare personen;
8. Innovatief gebruik of toepassing van nieuwe technologische of organisatorische oplossingen;
9. Uitsluiting van een recht, dienst of contract.

Deze criteria zijn rechtstreeks geïntegreerd in onze workflow voor het maken van gegevensverwerking en u kunt voor elk van uw verwerkingen aangeven of er al dan niet een PIA voor is uitgevoerd.

Voorbeeld van een Verwerking waarvoor mogelijk een PIA nodig is (<../../.gitbook/assets/image (23).png>)

### Risico's identificeren en beoordelen

Met de module Risico's in Dastra kunt u risico's beheren op het niveau van uw verwerking, uw Actoren (bijvoorbeeld subcontractanten) en uw Activa.

De risicobeheermethodologie voldoet aan de standaardeisen voor risicobeheer van informatiesystemen

Er zijn 4 te volgen stappen:

1: risico-identificatie

2: risicobeoordeling

3: risicorespons

4: risicomonitoring

Risico wordt over het algemeen als volgt gemeten:

$$
Risico = waarschijnlijkheid \* impact
$$

{% content-ref url="../../features/la-gestion-des-risques" %}
[la-gestion-des-risques](https://doc.dastra.eu/nl/features/la-gestion-des-risques)
{% endcontent-ref %}

### Audits

Om het risicobeheer een stap verder te brengen, kan Dastra ook audits ontwerpen, campagnes uitvoeren en de resultaten verzamelen in de vorm van een exporteerbaar auditrapport.

{% content-ref url="../../features/audit" %}
[audit](https://doc.dastra.eu/nl/features/audit)
{% endcontent-ref %}

Dat is het, je risico's zijn geïdentificeerd en beoordeeld! Ga dan verder met stap 4, het prioriteren van de taken:

{% content-ref url="etape-3-prioriser-les-actions-a-mener" %}
[etape-3-prioriser-les-actions-a-mener](https://doc.dastra.eu/nl/commencer/tutoriel/etape-3-prioriser-les-actions-a-mener)
{% endcontent-ref %}