Contract
TRAC T A TENBLAD
VAN HET
K O N I N K R I J K D E R N E D E R L A N D E N
JAARGANG 2020 Nr. 110
A. TITEL
Verdrag tussen het Koninkrijk der Nederlanden en het Koninkrijk België inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens (met Bijlage);
Xxxxxxx, 0 november 2019
Voor een overzicht van de verdragsgegevens, zie verdragsnummer 012020 in de Verdragenbank.
C. VERTALING
Verdrag tussen het Koninkrijk der Nederlanden en het Koninkrijk België inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens
Het Koninkrijk der Nederlanden en
het Koninkrijk België,
Hierna te noemen „de partijen”,
Geleid door de wens de wederzijdse beveiliging te waarborgen van gerubriceerde gegevens die worden uit- gewisseld tussen hen of tussen rechtspersonen of natuurlijke personen onder hun rechtsmacht of die wor- den gegenereerd in het kader van een bilateraal programma uit hoofde van dit Verdrag, in het belang van de nationale veiligheid, komen het volgende overeen.
Artikel 1
Doel
Dit Verdrag heeft ten doel de beveiliging te waarborgen van gerubriceerde gegevens die worden uitgewis- seld tussen de partijen of tussen rechtspersonen of natuurlijke personen onder hun rechtsmacht, of die wor- den gegenereerd in het kader van een bilateraal programma uit hoofde van dit Xxxxxxx. In het Verdrag wor- den de veiligheidsprocedures en regelingen voor deze beveiliging vastgelegd.
Artikel 2
Begripsomschrijvingen
Voor de toepassing van dit Verdrag wordt verstaan onder:
„Gerubriceerd contract”, een contract of onderaannemingscontract, met inbegrip van eventuele vooraf- gaande contractonderhandelingen, dat gerubriceerde gegevens bevat of dat toegang tot of omgang met gerubriceerde gegevens inhoudt.
„Gerubriceerde gegevens”, alle gegevens die, ongeacht de aard ervan, bescherming vereisen tegen onge- oorloofde openbaarmaking, onrechtmatig gebruik of verlies, en die voorzien zijn van een rubricering uit hoofde van de nationale wetten en voorschriften van een of van beide partijen.
„Bevoegde veiligheidsautoriteit”, de overheidsautoriteit in een partij die verantwoordelijk is voor de imple- mentatie van en toezicht op dit Verdrag.
„Opdrachtnemer”, elke natuurlijke persoon of rechtspersoon die bevoegd is contracten aan te gaan.
„Veiligheidsmachtiging bedrijfslocatie”, de vaststelling door de bevoegde veiligheidsautoriteit dat een op-
drachtnemer passende veiligheidsmaatregelen heeft genomen voor de toegang tot en omgang met gerubri- ceerde gegevens in overeenstemming met de nationale wet- en regelgeving.
„Koninkrijk der Nederlanden”, het Europese deel van Nederland en het Caribische deel van Nederland (de eilanden Bonaire, Sint Eustatius en Saba).
„Need to know”, het vereiste voor een natuurlijke persoon of rechtspersoon voor toegang tot gerubriceerde gegevens voor het uitvoeren van officiële taken of diensten.
„Partij van herkomst”, de overheidsautoriteit in een partij die verantwoordelijk is voor besluiten die van invloed zijn op haar nationale gerubriceerde gegevens die gegenereerd en/of verstrekt worden uit hoofde van dit Verdrag.
„Veiligheidsmachtiging personeel”, de vaststelling door de bevoegde veiligheidsautoriteit dat een natuur- lijke persoon toestemming heeft gekregen voor de toegang tot en omgang met gerubriceerde gegevens in overeenstemming met de nationale wet- en regelgeving.
„Verstrekkende partij”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag verstrekt aan de ontvangende partij.
„Ontvangende partij”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens krachtens dit Verdrag ontvangt van de verstrekkende partij.
„Rubriceringsgids”, een document dat hoort bij een gerubriceerd contract waarin elk onderdeel van het geru- briceerd contract dat gerubriceerde gegevens bevat wordt genoemd.
„Veiligheidsincident”, elk handelen of nalaten te handelen dat resulteert in ongeoorloofde toegang tot of bekendmaking, verlies of compromittering van gerubriceerde gegevens.
„Derde”, elke internationale organisatie of staat, met inbegrip van rechtspersonen of natuurlijke personen onder zijn rechtsmacht, die geen partij is bij dit Verdrag.
Artikel 3
Bevoegde veiligheidsautoriteiten
1. De bevoegde veiligheidsautoriteiten van de partijen staan vermeld in Bijlage 1 bij dit Verdrag.
2. De bevoegde veiligheidsautoriteiten voorzien elkaar van de officiële contactgegevens.
Artikel 4
Rubriceringsniveaus
De rubriceringsniveaus corresponderen met elkaar zoals hieronder aangegeven en worden als equivalent beschouwd:
Voor het Koninkrijk der Nederlanden | Voor het Koninkrijk België | |
IN DE NEDERLANDSE TAAL | IN DE FRANSE TAAL | |
Stg ZEER GEHEIM | ZEER GEHEIM | TRES SECRET |
Stg GEHEIM | GEHEIM | SECRET |
Stg CONFIDENTIEEL | VERTROUWELIJK | CONFIDENTIEL |
DEPARTEMENTAAL VERTROUWELIJK | (Zie onderstaande noot) | (Zie onderstaande noot) |
Informatie die van Nederland wordt ontvangen en de rubricering „DEPARTEMENTAAL VERTROUWELIJK” heeft, wordt behandeld als „BEPERKTE VERSPREIDING/DIFFUSION RESTREINTE” in het Koninkrijk België.
Informatie die van België wordt ontvangen en de rubricering „BEPERKTE VERSPREIDING/DIFFUSION RES- TREINTE” heeft, wordt behandeld als „DEPARTEMENTAAL VERTROUWELIJK” in Nederland.
Artikel 5
Toegang tot gerubriceerde gegevens
1. Toegang tot gerubriceerde gegevens op het niveau VERTROUWELIJK/CONFIDENTIEL/Stg CONFIDENTI- EEL of hoger is beperkt tot natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know), zijn ingelicht over hun verantwoordelijkheden en een veiligheidsmachtiging personeel hebben in overeenstemming met de nationale wet- en regelgeving.
2. Toegang tot gerubriceerde gegevens op het niveau TRÈS SECRET/ZEER GEHEIM/Stg ZEER GEHEIM, SECRET/GEHEIM/Stg GEHEIM of CONFIDENTIEL/VERTROUWELIJK/Stg CONFIDENTIEEL door een natuur-
lijke persoon met een veiligheidsmachtiging personeel voor dat niveau en die uitsluitend de Belgische of Nederlandse nationaliteit heeft of een dubbele Belgische of Nederlandse nationaliteit, kan verleend worden zonder voorafgaande schriftelijke toestemming van de partij van herkomst.
3. Voor toegang tot gerubriceerde gegevens op het niveau TRÈS SECRET/ZEER GEHEIM/Stg ZEER GEHEIM, SECRET/GEHEIM/Stg GEHEIM of CONFIDENTIEL/VERTROUWELIJK/Stg CONFIDENTIEEL door een natuur- lijke persoon met een veiligheidsmachtiging personeel voor dat niveau die niet de in het tweede lid van dit artikel genoemde nationaliteiten heeft, is de voorafgaande schriftelijke toestemming van de partij van her- komst vereist.
4. Toegang tot gegevens op het niveau BEPERKTE VERSPREIDING/DIFFUSION RESTREINTE en DEPARTE- MENTAAL VERTROUWELIJK is beperkt tot natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know) en zijn ingelicht over hun verantwoordelijkheden in overeenstemming met de nationale wet- en regelgeving.
Artikel 6
Veiligheidsmaatregelen
1. De partijen nemen alle passende maatregelen die krachtens hun nationale wet- en regelgeving van toe- passing zijn op de uit hoofde van dit Verdrag gegenereerde en/of verstrekte gerubriceerde gegevens.
2. De partijen nemen alle passende maatregelen om te waarborgen dat de verstrekkende partijen:
a. gerubriceerde gegevens voorzien van de juiste rubriceringsmarkering in overeenstemming met hun nati- onale wet- en regelgeving;
b. de ontvangende partij in kennis stellen van mogelijke voorwaarden voor vrijgave of beperkingen gesteld aan het gebruik van de verstrekte gerubriceerde gegevens;
c. de ontvangende partij in kennis stellen van eventuele navolgende veranderingen van het rubriceringsni- veau van de verstrekte gerubriceerde gegevens.
3. De partijen nemen alle passende maatregelen om te waarborgen dat de ontvangende partijen:
a. hetzelfde beveiligingsniveau aan gerubriceerde gegevens toekennen als aan hun nationale gerubriceerde gegevens met een vergelijkbaar rubriceringsniveau;
b. indien dit nodig wordt geacht gerubriceerde gegevens voorzien van hun eigen dienovereenkomstige rubriceringsniveau;
c. waarborgen dat de aan de gerubriceerde gegevens toegekende rubriceringsniveaus niet worden veran- derd of ingetrokken zonder de voorafgaande schriftelijke toestemming van de partij van herkomst;
d. waarborgen dat gerubriceerde gegevens niet bekend worden gemaakt of vrijgegeven aan een derde zon- der de voorafgaande schriftelijke toestemming van de partij van herkomst;
e. gerubriceerde gegevens uitsluitend gebruiken voor het doel waarvoor zij zijn verstrekt en in overeenstem- ming met de eisen voor gebruik van de partij van herkomst.
Artikel 7
Veiligheidssamenwerking
1. Teneinde vergelijkbare veiligheidsnormen te handhaven, verstrekken de bevoegde veiligheidsautoriteiten elkaar op verzoek informatie over hun veiligheidsvoorschriften, -beleid en -praktijken met betrekking tot de beveiliging van gerubriceerde gegevens.
2. Op verzoek van de bevoegde veiligheidsautoriteit van de ene partij bevestigt de bevoegde veiligheidsau- toriteit van de andere partij schriftelijk dat er een geldige veiligheidsmachtiging personeel of veiligheids- machtiging bedrijfslocatie is afgegeven.
3. De bevoegde veiligheidsautoriteiten verlenen elkaar, op verzoek en in overeenstemming met de nationale wet- en regelgeving, bijstand bij het uitvoeren van onderzoeken in verband met de afgifte van een veilig- heidsmachtiging bedrijfslocatie en veiligheidsmachtiging personeel.
4. De bevoegde veiligheidsautoriteiten stellen elkaar onverwijld schriftelijk in kennis van veranderingen in erkende veiligheidsmachtigingen bedrijfslocatie en veiligheidsmachtigingen personeel waarvoor een beves- tiging is verstrekt.
5. Bij de samenwerking uit hoofde van dit Verdrag wordt gebruikgemaakt van de Engelse taal.
Gerubriceerde contracten
1. Indien een partij of een opdrachtnemer onder haar rechtsmacht voorstelt een gerubriceerd contract te gunnen aan een opdrachtnemer onder de rechtsmacht van de andere partij, dient zij eerst de schriftelijke bevestiging te verkrijgen van de andere partij dat aan deze opdrachtnemer een veiligheidsmachtiging be- drijfslocatie en/of veiligheidsmachtiging personeel is/zijn toegekend op het juiste rubriceringsniveau.
2. De bevoegde veiligheidsautoriteit waarborgt dat de opdrachtnemer:
a. een desbetreffende veiligheidsmachtiging bedrijfslocatie heeft teneinde de gerubriceerde gegevens te beveiligen;
b. waarborgt dat natuurlijke personen die toegang tot gerubriceerde gegevens dienen te hebben de desbe- treffende veiligheidsmachtiging personeel hebben;
c. waarborgt dat alle natuurlijke personen die toegang krijgen tot gerubriceerde gegevens in kennis worden gesteld van hun verantwoordelijkheid de gerubriceerde gegevens te beveiligen in overeenstemming met de voorwaarden omschreven in dit Verdrag en de nationale wet- en regelgeving;
d. de beveiligingsuitvoering op zijn locaties in het oog houdt;
e. zijn bevoegde veiligheidsautoriteit onverwijld in kennis stelt van elk veiligheidsincident dat betrekking heeft op een gerubriceerd contract.
3. Elk gerubriceerd contract dat in overeenstemming met dit Verdrag wordt gesloten dient een hoofdstuk met veiligheidsvereisten te bevatten waarin de volgende aspecten vermeld staan:
a. een rubriceringsgids;
b. een procedure voor het doorgeven van wijzigingen van het rubriceringsniveau;
c. de kanalen en procedures die gebruikt dienen te worden voor het vervoer en/of de overbrenging van geru- briceerde gegevens;
d. de contactgegevens van de bevoegde veiligheidsautoriteiten die verantwoordelijk zijn voor het toezicht op de beveiliging van gerubriceerde gegevens die betrekking hebben op het gerubriceerde contract;
e. de verplichting van elk veiligheidsincident kennis te geven.
4. De bevoegde veiligheidsautoriteit van de partij die de toekenning van een gerubriceerd contract goed- keurt, stuurt een kopie van het hoofdstuk over de veiligheidsvereisten naar de bevoegde veiligheidsautoriteit van de ontvangende partij, om het veiligheidstoezicht op het contract te vergemakkelijken.
5. De procedures voor de goedkeuring van bezoeken die samenhangen met activiteiten onder een gerubri- ceerd contract door personeel van de ene partij aan de andere partij, dient in overeenstemming met artikel 11 van dit Verdrag te zijn.
Artikel 9
Overbrenging van gerubriceerde gegevens
1. Gerubriceerde gegevens worden overgebracht in overeenstemming met de nationale wet- en regelgeving van de verstrekkende partij of zoals anderszins overeengekomen tussen de bevoegde veiligheidsautoriteiten.
2. De partijen kunnen gerubriceerde gegevens die door encryptie beveiligd zijn overbrengen in overeen- stemming met procedures die door de bevoegde autoriteiten dienen te worden goedgekeurd.
Artikel 10
Reproductie, vertaling en vernietiging van gerubriceerde gegevens
1. Reproducties en vertalingen van gerubriceerde gegevens krijgen van toepassing zijnde rubriceringsmar- keringen en worden op dezelfde wijze beveiligd als de oorspronkelijke gerubriceerde gegevens.
2. Vertalingen of reproducties worden beperkt tot het minimumaantal dat nodig is voor officiële doeleinden en worden uitsluitend gemaakt door natuurlijke personen die een veiligheidsmachtiging personeel hebben met het rubriceringsniveau dat overeenkomt met dat van de gerubriceerde gegevens die vertaald of gerepro- duceerd worden.
3. Vertalingen dienen te worden voorzien van een passende annotatie in de taal waarin zij zijn gesteld met de aanduiding dat zij gerubriceerde gegevens bevatten van de verstrekkende partij.
4. Gerubriceerde gegevens met het rubriceringsniveau ZEER GEHEIM/TRES SECRET/Stg ZEER GEHEIM wor- den niet vertaald of gereproduceerd zonder de voorafgaande schriftelijke toestemming van de partij van her- komst.
5. Gerubriceerde gegevens met het rubriceringsniveau ZEER GEHEIM/TRES SECRET/Stg ZEER GEHEIM wor- den niet vernietigd zonder de voorafgaande schriftelijke toestemming van de partij van herkomst. Zij worden geretourneerd aan de partij van herkomst nadat de partijen ze niet meer nodig achten.
6. Gerubriceerde gegevens met het rubriceringsniveau GEHEIM/SECRET/Stg GEHEIM of lager worden ver- nietigd nadat de ontvangende partij ze niet meer nodig acht in overeenstemming met haar nationale wet- en regelgeving.
7. Indien een crisissituatie het onmogelijk maakt de uit hoofde van dit Verdrag verstrekte gerubriceerde gege- vens te beveiligen, dienen de gerubriceerde gegevens onmiddellijk vernietigd te worden. De ontvangende partij stelt de bevoegde veiligheidsautoriteit van de verstrekkende partij onverwijld in kennis van de vernie- tiging van deze gerubriceerde gegevens.
Artikel 11
Bezoeken
1. Bezoeken waarbij toegang tot gerubriceerde gegevens vereist is, dienen vooraf schriftelijk te worden goedgekeurd door de respectieve bevoegde veiligheidsautoriteit, tenzij anderszins overeengekomen door de bevoegde veiligheidsautoriteiten.
2. De bezoeker dient de aanvraag voor het bezoek ten minste twintig dagen vóór de beoogde datum van het bezoek in bij zijn bevoegde veiligheidsautoriteit, die de aanvraag doorstuurt naar de bevoegde veiligheids- autoriteit van de andere partij. In dringende gevallen kan de aanvraag van een verzoek binnen een kortere termijn worden ingediend, mits hierover voorafgaande coördinatie tussen de bevoegde veiligheidsautoritei- ten plaatsvindt.
3. Een aanvraag voor een bezoek dient de volgende gegevens te bevatten:
a. de achter- en voornaam van de bezoeker, geboortedatum en -plaats, nationaliteit en nummer paspoort/ identiteitskaart;
b. officiële titel van de bezoeker en de naam van de organisatie die de bezoeker vertegenwoordigt;
c. bevestiging van de veiligheidsmachtiging personeel van de bezoeker en de geldigheid ervan;
d. datum en duur van het bezoek. In het geval van herhalingsbezoeken dient de volledige periode waarin de bezoeken plaatsvinden te worden vermeld;
e. doel van het bezoek en het verwachte rubriceringsniveau van de gerubriceerde gegevens die besproken worden of waartoe toegang wordt verkregen;
f. naam, adres, telefoon-/faxnummer, e-mailadres en contactpunt van de te bezoeken locatie;
g. van een datum en stempel voorziene handtekening van een vertegenwoordiger van de bevoegde veilig- heidsautoriteit van de bezoeker.
4. De bevoegde veiligheidsautoriteiten kunnen een lijst overeenkomen van bezoekers die herhalingsbezoe- ken mogen afleggen. De bevoegde veiligheidsautoriteiten komen nadere details van de herhalingsbezoeken overeen.
5. Gerubriceerde gegevens die aan een bezoeker worden verstrekt of door deze worden verkregen, worden behandeld in overeenstemming met de bepalingen van dit Verdrag.
Artikel 12
Veiligheidsincident
1. De bevoegde veiligheidsautoriteiten stellen elkaar onverwijld schriftelijk in kennis van een feitelijk of ver- moedelijk veiligheidsincident waarbij gerubriceerde gegevens van de andere partij betrokken zijn.
2. De bevoegde autoriteiten van de ontvangende partij onderzoeken feitelijke of vermoedelijke veiligheids- incidenten onmiddellijk. De bevoegde autoriteiten van de partij van herkomst verlenen, indien nodig, mede- werking aan het onderzoek.
3. De bevoegde veiligheidsautoriteit neemt passende maatregelen in overeenstemming met zijn nationale wet- en regelgeving om de gevolgen van het incident te beperken en herhalingen te voorkomen. De be- voegde veiligheidsautoriteit van de andere partij wordt in kennis gesteld van de uitkomsten van het onder- zoek en de eventuele getroffen maatregelen.
Kosten
Elke partij draagt haar eigen kosten die ontstaan in verband met de uitvoering van haar verplichtingen inge- volge dit Verdrag.
Artikel 14
Oplossing van geschillen
Elk geschil omtrent de interpretatie of toepassing van dit Verdrag wordt uitsluitend beslecht door middel van onderhandelingen tussen de partijen.
Artikel 15
Relatie met andere verdragen
Dit Verdrag heeft geen voorrang boven elk internationaal verdrag dat reeds is gesloten of nog kan worden gesloten en dat specifiek betrekking heeft op een verrichting waarop dit Verdrag anderszins van toepassing is.
Artikel 16
Uitvoeringsregelingen
De bevoegde veiligheidsautoriteiten kunnen uitvoeringsregelingen sluiten ingevolge dit Verdrag.
Artikel 17
Slotbepalingen
1. Dit Verdrag wordt gesloten voor onbepaalde tijd. Elke partij stelt de andere partij langs diplomatieke weg in kennis van de voltooiing van de nationale maatregelen die nodig zijn voor de inwerkingtreding van dit Ver- drag. Dit Verdrag treedt in werking op de eerste dag van de tweede maand die volgt op de ontvangst van de laatste kennisgeving.
2. Dit Verdrag kan met wederzijdse instemming van de partijen worden gewijzigd. Elke partij kan te allen tijde wijzigingen van dit Verdrag voorstellen. Dergelijke wijzigingen treden in werking onder de voorwaarden ver- vat in het eerste lid van dit artikel, met uitzondering van een wijziging van de Bijlage, welke wijziging in wer- king xxxxxx op een door de partijen overeen te komen datum.
3. Een partij kan dit Verdrag te allen tijde schriftelijk opzeggen. In dat geval eindigt het Verdrag zes maanden na ontvangst van de kennisgeving.
4. Ongeacht de beëindiging van dit Verdrag blijven alle uit hoofde van dit Verdrag vrijgegeven of gegene- reerde gerubriceerde gegevens beveiligd in overeenstemming met dit Xxxxxxx xxxxxx deze gegevens geru- briceerd blijven.
TEN BLIJKE WAARVAN de vertegenwoordigers van de partijen, daartoe naar behoren gemachtigd, dit Ver- drag hebben ondertekend.
GEDAAN te Brussel op 5 november 2019, in twee oorspronkelijke exemplaren, in de Engelse taal.
Voor het Koninkrijk der Nederlanden,
XXXXXX XXX XXX XXXXXX
Voor het Koninkrijk België,
XXXXXX XXXXXXXXXX
Bijlage I
De bevoegde veiligheidsautoriteit van het Koninkrijk der Nederlanden is: De Nationale Veiligheidsautoriteit
De Algemene Inlichtingen- en Veiligheidsdienst (AIVD)
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
De bevoegde veiligheidsautoriteit van het Koninkrijk België is:
Nationale Veiligheidsoverheid/ Xxxxxxxx Xxxxxxxxx xx Xxxxxxxx Xxxxxxxxxxxxxxxxx 00/ Xxx xx Xxxxxx Carmes 15
X-0000 Xxxxxxx/ X-0000 Xxxxxxxxx
Uitgegeven de eenentwintigste oktober 2020.
De Minister van Buitenlandse Zaken,
S.A. BLOK
trb-2020-110 ISSN 0920 - 2218
’s-Gravenhage 2020