TOELICHTENDE NOTA
Verdrag tussen het Koninkrijk der Nederlanden en de Federatieve Republiek Brazilië inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens; Brasilia, 9 oktober 2023 (Trb. 2023, 120)
TOELICHTENDE NOTA
Algemeen
Door middel van dit Verdrag verzekeren Nederland en Brazilië zich ervan dat nationale gerubriceerde gegevens die onderling worden uitgewisseld in beide landen een vergelijkbaar niveau van beveiliging ontvangen. Naast maatregelen voor de beveiliging van nationale gerubriceerde gegevens valt daaronder tevens de strafbaarstelling in het geval van compromittering van nationale gerubriceerde gegevens.
Het Verdrag maakt de uitwisseling van nationale gerubriceerde gegevens mogelijk, maar verplicht beide landen daar niet toe. Het is telkens de eigenstandige afweging van de respectieve overheden om nationale gerubriceerde gegevens al dan niet uit te wisselen. Deze uitwisseling kan plaatsvinden tussen overheden onderling, of tussen overheid en bedrijfsleven, wanneer de overheid een gerubriceerde opdracht verleent aan een bedrijf in het andere land. Dit Verdrag biedt Nederlandse bedrijven daarmee de mogelijkheid om opdrachten voor Brazilië uit te voeren waarvoor toegang tot Braziliaanse gerubriceerde gegevens nodig is en vice versa.
Vanwege de nauwe banden tussen Nederland en Brazilië biedt dit Verdrag waarborgen voor samenwerking in het geval dat nationale gerubriceerde gegevens moeten worden uitgewisseld. Dit is bijvoorbeeld aan de orde op militair gebied.
Tijdens de onderhandelingen hebben vertegenwoordigers van de overheden van beide landen informatie uitgewisseld over de respectieve nationale wet- en regelgeving voor de bescherming van nationale gerubriceerde gegevens en de implementatie daarvan. Vervolgens is op basis daarvan de tekst van het Verdrag opgesteld, besproken en afgerond, die aansluit bij de wet- en regelgeving en de uitvoeringspraktijk in de beide landen.
Artikelsgewijze toelichting
Artikel I Doel
Het Verdrag strekt ertoe de beveiliging van nationale gerubriceerde gegevens die worden uitgewisseld tussen Nederland en Brazilië te waarborgen.
Artikel II Begripsomschrijvingen
Artikel II bevat de omschrijvingen van enkele in het Verdrag voorkomende, voor beveiligingsverdragen overigens gebruikelijke, begrippen.
Artikel III Bevoegde beveiligingsautoriteiten
De verantwoordelijke autoriteit voor de implementatie en uitvoering van het Verdrag wordt in het Verdrag omschreven als de Competent Security Authority (CSA, zie ook artikel II onder e van het Verdrag). Deze rol is in Nederland belegd bij de Algemene Inlichtingen- en Veiligheidsdienst (AIVD).
De CSA is het eerste aanspreekpunt voor bedrijven en overheden uit beide landen over de uitvoering van het Verdrag, ziet toe op de naleving van het Verdrag bij de eigen overheid en de bedrijven die onder haar jurisdictie vallen en draagt zorg voor de uitvoering van onderzoek ten behoeve van veiligheidsmachtigingen voor personen en/of bedrijven.
De CSA is bevoegd bepaalde verantwoordelijkheden te delegeren aan een zogenoemde delegated Competent Security Authority. Voor Nederland is dit de beveiligingsautoriteit (BA) van het ministerie van Defensie. De Militaire Inlichtingen- en Veiligheidsdienst (MIVD)/Bureau Industrieveiligheid (BIV) heeft hierin een aantal taken in de richting van betrokken bedrijven teneinde uitvoering te geven aan bepaalde verplichtingen, zoals het afgeven van veiligheidsmachtigingen in het militaire domein.
Dit artikel ziet verder specifiek op samenwerking met betrekking tot de (veiligheidsonderzoeken ten behoeve van de) afgifte van veiligheidsmachtigingen voor personen of bedrijven. Het betreft uitsluitend de samenwerking met betrekking tot het afgeven van veiligheidsmachtigingen voor personen of bedrijven in de gevallen waarbij uitwisseling van onder dit verdrag bedoelde gerubriceerde gegevens aan de orde is.
Het vijfde lid bepaalt dat de CSA’s van partijen elkaar kunnen bezoeken teneinde kennis te nemen van de procedures die zij hanteren en maatregelen die zijn genomen voor de bescherming van gerubriceerde informatie.
Partijen kunnen elkaar desgevraagd ondersteunen bij de uitvoering van onderzoeken ten behoeve van de afgifte van voornoemde veiligheidsmachtigingen, in overeenstemming met de nationale wet- en regelgeving (zie het zesde lid). Dit kan bijvoorbeeld door informatie te verstrekken over personen indien deze personen gedurende een deel van de onderzoeksperiode in hun land verblijf hebben gehad. Het verstrekken van de informatie – en meer in het algemeen enige vorm van samenwerking zoals bedoeld in dit artikel – gebeurt uitsluitend in overeenstemming met de nationale wet- en regelgeving. De relevante wet- en regelgeving ten behoeve van het afgeven van veiligheidsmachtigingen voor personen in Nederland betreft de Wet op inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) en de Wet Veiligheidsonderzoeken. In Nederland is de Unit Veiligheidsonderzoeken van de AIVD en de MIVD belast met het uitvoeren van de veiligheidsonderzoeken in het kader van de afgifte van veiligheidsmachtigingen onder dit verdrag en binnen het civiele en militaire domein.
Voorafgaand aan het verstrekken van informatie aan de verdragspartij – in dit geval Brazilië – in het kader van de afgifte van veiligheidsmachtigingen wordt nagegaan of er een zodanige samenwerkingsrelatie ex artikel 88 Wiv 2017 bestaat dat de verstrekking verantwoord kan gebeuren.
Indien een daartoe geëigende samenwerkingsrelatie ontbreekt zal geen verstrekking van informatie aan Brazilië plaatsvinden.
De samenwerking met Brazilië is derhalve te allen tijde onderworpen aan de nationale wet- en regelgeving en de nadere voorwaarden die daarin aan dergelijke samenwerkingen zijn gesteld.
Conform het zevende lid kunnen partijen elkaar bevragen over de geldigheid van afgegeven veiligheidsmachtigingen voor personen of bedrijven.
Partijen zullen voorts over en weer de in overeenstemming met nationale wet- en regelgeving afgegeven veiligheidsmachtigingen erkennen, aldus het achtste lid.
Tot slot komen partijen overeen dat ze elkaar informeren over wijzigingen in afgegeven veiligheidsmachtigingen voor personen of bedrijven die werkzaam zijn met gerubriceerde gegevens die onder dit verdrag worden uitgewisseld.
Artikel IV Rubriceringsniveaus
In het eerste lid van dit artikel is een vergelijkingstabel opgenomen met de rubriceringsniveaus van de twee landen. De tabel geeft de equivalentie weer tussen de rubriceringsniveaus die Nederland en Brazilië volgens hun wet- en regelgeving hanteren. Gerubriceerde informatie die Nederland ontvangt van Brazilië zal worden beveiligd volgens de maatregelen zoals die in Nederland gelden voor het equivalente nationale rubriceringsniveau. Vice versa geldt hetzelfde.
Door gerubriceerde informatie afkomstig van de andere partij ook te voorzien van de equivalente nationale rubricering (de ‘dubbele markering’), wordt de herkenbaarheid vergroot en de naleving van de vereiste beveiligingsmaatregelen bevorderd. De markering van de partij onder wiens verantwoordelijkheid de informatie in kwestie tot stand is gekomen zal als eerste worden geplaatst zodat de equivalente nationale rubricering kan worden bepaald. Deze waarborg is vastgelegd in het derde lid van dit artikel.
De partij onder wiens verantwoordelijkheid de informatie tot stand is gekomen, zal de partij die deze informatie ontvangt altijd informeren over veranderingen met betrekking tot de rubricering; zie het vierde lid.
Het vijfde lid geeft hierbij aan de partij onder wiens verantwoordelijkheid de informatie in kwestie tot stand is gekomen de mogelijkheid om verdere markeringen aan te brengen ten aanzien van de desbetreffende informatie.
Het aanbrengen van een initiële rubricering is aan de partij onder wiens verantwoordelijkheid de gerubriceerde informatie in kwestie gegenereerd is. Dit brengt met zich mee, dat wijziging of verwijdering van die rubricering tevens aan die partij is voorbehouden. Deze waarborg is opgenomen in het zesde lid.
Conform het zevende lid bepalen partijen tezamen het rubriceringsniveau van de informatie die onder de verantwoordelijkheid van hun beiden tot stand is gekomen.
Artikel V Beveiliging van gerubriceerde gegevens
Het eerste lid maakt expliciet dat partijen ten aanzien van de gerubriceerde informatie die onder dit Verdrag zal worden gegenereerd of uitgewisseld, dezelfde mate van bescherming zullen toepassen als de mate van bescherming die zij zouden toepassen ten aanzien van eigen gerubriceerde informatie.
Voorts zullen partijen de benodigde beveiligingsmaatregelen implementeren voor de bescherming van gerubriceerde informatie in overeenstemming met dit Verdrag en de nationale wet- en regelgeving, aldus het derde lid.
Artikel VI Gebruik van gerubriceerde gegevens
Dit artikel beschrijft de verantwoordelijkheden van de verstrekkende en ontvangende partij van gerubriceerde informatie. Belangrijk hierbij om te vermelden is, dat het aan de verdragsluitende partijen is om erop toe te zien dat deze verantwoordelijkheden worden nageleefd.
Belangrijke waarborgen hierin zijn dat de ontvangende partij niet het rubriceringsniveau mag aanpassen, de rubricering verwijderen of gerubriceerde informatie met derden delen zonder de schriftelijke toestemming van de partij onder wiens verantwoordelijkheid de gerubriceerde informatie tot stand is gekomen (tweede lid, onderdelen b en c). Daarnaast zijn partijen doelbinding overeengekomen in het tweede lid, onderdeel d.
Artikel VII Toegang tot gerubriceerde gegevens
Dit artikel bevat de voorwaarden waaronder toegang tot gerubriceerde informatie wordt verstrekt.
De persoon die zich toegang wenst te verschaffen tot gerubriceerde gegevens dient daarvoor geïnformeerd te zijn over de verantwoordelijkheden ten aanzien van die toegang en moet een geheimhoudingsverklaring hebben ondertekend. Daarnaast is een persoonlijke veiligheidsmachtiging vereist conform de toepasselijke nationale wet- en regelgeving van de ontvangende partij, zoals aangegeven in het derde lid van dit artikel. Deze screening ten behoeve van het afgeven van een persoonlijke veiligheidsmachtiging vindt in Nederland plaats op basis van de Wet Veiligheidsonderzoeken (Wvo).
Artikel VIII Vertaling, Reproductie en Vernietiging van gerubriceerde gegevens
Dit artikel bevat een aantal specifieke bepalingen omtrent de reproductie, vertaling en vernietiging van gerubriceerde informatie, met specifieke aandacht voor gegevens met de hoogste rubricering en voor noodsituaties. Deze bepalingen zijn erop gericht te waarborgen dat de partij onder wiens verantwoordelijkheid de gerubriceerde gegevens zijn gegenereerd, zoveel als mogelijk controle houdt over de betreffende informatie.
Artikel IX Overbrenging van gerubriceerde gegevens
Het eerste lid van dit artikel bepaalt dat gerubriceerde informatie van het niveau Stg. ZEER GEHEIM en Stg. GEHEIM wordt uitgewisseld via diplomatieke kanalen of op een wijze die tussen de CSA’s wordt afgestemd.
De uitwisseling van de gerubriceerde gegevens van het niveau Stg. CONFIDENTIEEL en lager vindt plaats in overeenstemming met de nationale wet- en regelgeving van de partij onder wiens verantwoording de desbetreffende gegevens tot stand zijn gekomen.
Voor zover het gaat om elektronische verzending van nationale gerubriceerde gegevens, geldt het vereiste van cryptografische middelen. De exacte procedure hiervoor zal tussen CSA’s moeten worden afgestemd, aldus het derde lid.
Artikel X Bezoeken
Dit artikel omschrijft de procedures voor wanneer een persoon een bedrijf of overheidslocatie wenst te bezoeken, waarbij toegang tot nationale gerubriceerde gegevens nodig is.
Dit kan bijvoorbeeld het geval zijn wanneer een medewerker van een Nederlands bedrijf in de uitvoering van een gerubriceerde opdracht de Braziliaanse overheid of een Braziliaans bedrijf wil bezoeken waarbij toegang tot Braziliaanse nationale gerubriceerde gegevens nodig is. In een dusdanig geval, is de voorafgaande toestemming van het CSA van Brazilië vereist. De toestemming wordt slechts verleend indien aan de voorwaarden van artikel VII van dit Verdrag wordt voldaan. Dit geldt tevens vice versa.
Artikel XI Beveiligingsincident
Dit artikel beschrijft de te doorlopen procedure in het geval van (vermoedelijke) beveiligingsincidenten (zie hiertoe het eerste lid). Hier is een rol weggelegd voor de CSA’s.
De CSA van het land waar het beveiligingsincident (mogelijk) heeft plaatsgevonden informeert onmiddellijk de CSA van het land onder wiens verantwoordelijkheid de gerubriceerde gegevens zijn gegenereerd over het (vermoedelijke) beveiligingsincident. Dit staat omschreven in het eerste lid.
De CSA van het land onder wiens verantwoordelijkheid de gerubriceerde gegevens zijn gegenereerd, kan assisteren in onderzoek naar het (vermoedelijke) beveiligingsincident, aldus het tweede lid.
Het derde lid bepaalt vervolgens dat de CSA van het land waar het beveiligingsincident heeft plaatsgevonden, verantwoordelijk is voor het nemen van mitigerende maatregelen, alsmede maatregelen teneinde herhaling te voorkomen.
Indien het beveiligingsincident bij een derde partij heeft plaatsgevonden dan zal de CSA van de partij die de gerubriceerde gegevens aan de derde partij heeft verstrekt de CSA van de partij onder wiens
verantwoordelijkheid de gerubriceerde gegevens zijn gegenereerd informeren over dat incident (vierde lid).
Tot slot bepaalt het vijfde lid dat elk van de partijen informatie mag opvragen met betrekking tot het onderzoek naar het (vermoedelijke) beveiligingsincident.
Artikel XII Gerubriceerde contracten
Dit artikel regelt de procedures voor het gunnen van gerubriceerde opdrachten door de overheid van de ene partij aan bedrijven die vallen onder de jurisdictie van de andere partij. Voor Nederlandse bedrijven die mee willen dingen naar een gerubriceerde opdracht van de Braziliaanse overheid zal door de Nederlandse overheid onderzoek worden uitgevoerd ten behoeve van veiligheidsmachtigingen voor personen en bedrijven en zal tijdens de uitoefening van de gerubriceerde opdracht bovendien periodiek toezicht worden gehouden bij deze bedrijven. Deze procedure komt op hoofdlijnen overeen met de gehanteerde procedures voor gerubriceerde opdrachten van internationale organisaties, namelijk de EU, NAVO en ESA.
Het eerste lid bepaalt dat wanneer een partij of een bedrijf onder diens jurisdictie een gerubriceerde opdracht wil gunnen aan een bedrijf werkzaam onder de jurisdictie van de andere partij, dient dit bedrijf/ deze partij eerst een schriftelijke bevestiging te verkrijgen van de CSA van de andere partij dat het bedrijf aan wie zij de opdracht wil gunnen over de benodigde veiligheidsmachtiging beschikt.
Het tweede lid bepaalt dat de CSA verantwoordelijk is om toezicht te houden op bedrijven die een gerubriceerde opdracht aangaan.
Het derde lid stelt eisen aan de gerubriceerde contracten, teneinde te bewerkstelligen dat beveiligingseisen in de praktijk voor alle betrokken partijen kenbaar zijn en juridisch kunnen worden afgedwongen. Het vierde lid geeft aan op welke wijze de Competent Security Authority van een land diens counterpart van het andere land onder dit Verdrag zal informeren over de beveiligingseisen van het gerubriceerde contract.
Het kan in de praktijk voor komen dat bedrijven een (deel van een) gerubriceerde opdracht uitbesteden aan een onderaannemer. Vandaar dat ook “subcontracten” in dit artikel worden genoemd.
De artikelen XVI t/m XX bevatten de gebruikelijke slotbepalingen.
In artikel XIX is een bepaling opgenomen voor het geval het Verdrag beëindigd wordt. De nationale gerubriceerde gegevens die op het moment van beëindiging onder de reikwijdte van het Verdrag vallen, zullen de bescherming van het Verdrag behouden zolang ze een onder het Verdrag verkregen nationale rubricering behouden, aldus het vierde lid.
Bijlage
In de Bijlage staan de CSA’s, als verantwoordelijke autoriteiten, voor Nederland en Brazilië opgenomen.
De Bijlage vormt een geïntegreerd onderdeel van het Verdrag en is van uitvoerende aard. Verdragen tot wijziging van de Bijlage behoeven, ingevolge artikel 7, onderdeel f van de Rijkswet goedkeuring en bekendmaking verdragen, geen parlementaire goedkeuring, tenzij de Staten-Generaal zich thans het recht tot goedkeuring terzake voorbehouden.
Een ieder verbindende bepalingen
Het Verdrag bevat naar het oordeel van de regering enkele eenieder verbindende bepalingen in de zin van artikel 93 en 94 Grondwet die aan rechtssubjecten rechtstreeks rechten toekennen of plichten opleggen. Het gaat hierbij om artikel IV, derde en zesde lid, artikel VIII, artikel IX, artikel X, artikel XII, eerste lid en artikel XIX, vierde lid, in verband met de positie van bedrijven aan of door wie die gerubriceerde opdrachten zijn verleend of waaraan men opdrachten wil gunnen.
Koninkrijkspositie
Het Verdrag zal, wat het Koninkrijk der Nederlanden betreft, alleen voor het Europese en het Caribische deel van Nederland gelden (zie ook artikel XVII). Dit is in lijn met de andere bilaterale beveiligingsverdragen die Nederland heeft gesloten (bijvoorbeeld met de Republiek Finland, Trb. 2022, 20). Dit maakt het mogelijk voor bedrijven in het Caribische deel van Nederland om gerubriceerde opdrachten voor de Braziliaanse overheid uit te voeren en maakt het tevens mogelijk om informatie die door de Braziliaanse overheid wordt gedeeld met overheidsinstanties in het Caribische deel van Nederland te delen.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
De Minister van Buitenlandse Zaken,
De Minister van Defensie,