Verdrag tussen het Koninkrijk der Nederlanden en het Koninkrijk Spanje inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens

Geldende tekst a fecha 2021-09-23

Het Koninkrijk der Nederlanden

het Koninkrijk Spanje,

Hierna te noemen „de partijen”,

Geleid door de wens de wederzijdse beveiliging te waarborgen van gerubriceerde gegevens, in het belang van de nationale veiligheid, komen het volgende overeen:

Artikel 1. doel

Dit Verdrag heeft ten doel de beveiliging te waarborgen van gerubriceerde gegevens die worden uitgewisseld tussen de partijen of tussen rechtspersonen of natuurlijke personen onder hun rechtsmacht, of die worden gegenereerd in het kader van een bilateraal programma uit hoofde van dit Verdrag. In het Verdrag worden de veiligheidsprocedures en regelingen voor deze beveiliging vastgelegd.

Artikel 2. begripsomschrijvingen

Voor de toepassing van dit Verdrag wordt verstaan onder:

a. „Gerubriceerd contract”, een contract, met inbegrip van eventuele voorafgaande contractonderhandelingen, dat een van de partijen aangaat met een opdrachtnemer voor de levering van goederen, uitvoering van werkzaamheden of levering van diensten, waarbij voor de uitvoering toegang of mogelijk toegang tot gerubriceerde gegevens vereist is of waarbij deze gecreëerd worden.

b. „Gerubriceerde gegevens”, gegevens die, of materiaal dat, door een van de partijen als gerubriceerd worden of wordt aangemerkt, waarvan de ongeoorloofde bekendmaking of het verlies de belangen van een of beide partijen in meer of mindere mate zou kunnen schaden.

c. „Bevoegde veiligheidsautoriteit”, de overheidsautoriteit in een partij die verantwoordelijk is voor de implementatie van en het toezicht op dit Verdrag.

d. „Opdrachtnemer”, elke natuurlijke persoon of rechtspersoon die bevoegd is contracten aan te gaan.

e. „Veiligheidsmachtiging bedrijfslocatie”, de vaststelling door de bevoegde veiligheidsautoriteit dat een bedrijfslocatie passende veiligheidsmaatregelen heeft genomen voor de toegang tot en de omgang met gerubriceerde gegevens tot en met een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.

f. „Need to know”, het vereiste voor een natuurlijke persoon of rechtspersoon voor toegang tot, kennis van of bezit van gerubriceerde gegevens voor het uitvoeren van officiële taken of diensten.

g. „Partij van herkomst”, de partij onder wier gezag gerubriceerde gegevens zijn gecreëerd ingevolge dit Verdrag.

h. „Veiligheidsmachtiging personeel”, de vaststelling door de bevoegde veiligheidsautoriteit dat een natuurlijke persoon toestemming heeft gekregen voor de toegang tot en de omgang met gerubriceerde gegevens tot en met een gespecificeerd rubriceringsniveau, in overeenstemming met de nationale wet- en regelgeving.

i. „Verstrekkende partij”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag verstrekt aan de ontvangende partij.

j. „Ontvangende partij”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens krachtens dit Verdrag ontvangt van de verstrekkende partij.

k. „Rubriceringsgids”, een document dat hoort bij een gerubriceerd contract waarin elk onderdeel van het gerubriceerd contract dat gerubriceerde gegevens bevat wordt genoemd, met inbegrip van de rubriceringsniveaus die erop van toepassing zijn.

l. „Veiligheidsincident”, elk handelen of nalaten te handelen, in strijd met de nationale wet- en regelgeving, dat resulteert in ongeoorloofde toegang tot of bekendmaking, verlies of compromittering van gerubriceerde gegevens.

m. „Derde”, elke internationale organisatie of staat, met inbegrip van rechtspersonen of natuurlijke personen onder zijn rechtsmacht, die geen partij is bij dit Verdrag.

Artikel 3. bevoegde veiligheidsautoriteiten

De bevoegde veiligheidsautoriteiten van de partijen staan vermeld in Bijlage 1 bij dit Verdrag.

De bevoegde veiligheidsautoriteiten voorzien elkaar van de officiële contactgegevens.

Artikel 4. rubriceringsniveaus

De volgende rubriceringsniveaus van de partijen komen overeen en corresponderen met de rubriceringsniveaus die in hun nationale wetgeving staan vermeld.

Voor het Koninkrijk Spanje	Voor het Koninkrijk der Nederlanden
SECRETO	Stg ZEER GEHEIM
RESERVADO	Stg GEHEIM
CONFIDENCIAL	Stg CONFIDENTIEEL
DIFUSIÓN LIMITADA	DEPARTEMENTAAL VERTROUWELIJK

De ontvangende partij voorziet alle gerubriceerde gegevens uit hoofde van dit Verdrag die zij ontvangen heeft van de verstrekkende partij van het rubriceringsniveau dat overeenkomt met het door de partij van herkomst gegeven rubriceringsniveau in overeenstemming met de tabel in het eerste lid van dit artikel.

De ontvangende partij mag het rubriceringsniveau van uit hoofde van dit Verdrag ontvangen gerubriceerde gegevens uitsluitend veranderen of schrappen na schriftelijke goedkeuring van de partij van herkomst.

Artikel 5. toegang tot gerubriceerde gegevens

Toegang tot gerubriceerde gegevens op een rubriceringsniveau dat overeenkomt met CONFIDENCIAL / Stg CONFIDENTIEEL en hoger, zoals vermeld in artikel 4 van dit Verdrag, wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know), een veiligheidsmachtiging personeel hebben op het overeenkomstige niveau, zijn ingelicht over hun verantwoordelijkheden en een geheimhoudingsverklaring hebben ondertekend in overeenstemming met de nationale wet- en regelgeving.

Toegang tot gerubriceerde gegevens op een rubriceringsniveau dat overeenkomt met DIFUSIÓN LIMITADA / DEPARTEMENTAAL VERTROUWELIJK, zoals vermeld in artikel 4 van dit Verdrag, wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know), zijn ingelicht over hun verantwoordelijkheden en een geheimhoudingsverklaring hebben ondertekend in overeenstemming met de nationale wet- en regelgeving.

Artikel 6. veiligheidsmaatregelen

De partijen nemen alle passende maatregelen die krachtens hun nationale wet- en regelgeving van toepassing zijn op de uit hoofde van dit Verdrag gegenereerde en/of verstrekte gerubriceerde gegevens.

De verstrekkende partij neemt alle passende maatregelen om te waarborgen dat:

a. gerubriceerde gegevens worden voorzien van de juiste rubriceringsmarkering in overeenstemming met haar nationale wet- en regelgeving;

b. de ontvangende partij in kennis wordt gesteld van mogelijke voorwaarden voor vrijgave of beperkingen gesteld aan het gebruik van de verstrekte gerubriceerde gegevens;

c. de ontvangende partij in kennis wordt gesteld van eventuele navolgende veranderingen van het rubriceringsniveau van de verstrekte gerubriceerde gegevens.

De ontvangende partij neemt alle passende maatregelen om te waarborgen dat:

a. aan gerubriceerde gegevens die worden ontvangen van de partij van herkomst hetzelfde beveiligingsniveau wordt toegekend als aan haar nationale gerubriceerde gegevens met een overeenkomstig rubriceringsniveau;

b. gerubriceerde gegevens worden voorzien van haar eigen dienovereenkomstige rubriceringsniveau;

c. de aan de gerubriceerde gegevens toegekende rubriceringsniveaus niet worden veranderd of ingetrokken zonder de voorafgaande schriftelijke toestemming van de partij van herkomst;

d. gerubriceerde gegevens niet bekend worden gemaakt of vrijgegeven aan een derde zonder de voorafgaande schriftelijke toestemming van de partij van herkomst;

e. gerubriceerde gegevens uitsluitend worden gebruikt voor het doel waarvoor zij zijn vrijgegeven en in overeenstemming met de eisen voor gebruik van de partij van herkomst.

Artikel 7. veiligheidssamenwerking

Teneinde vergelijkbare veiligheidsnormen te handhaven, verstrekken de bevoegde veiligheidsautoriteiten elkaar op verzoek informatie over hun veiligheidsvoorschriften, -beleid en -praktijken met betrekking tot de beveiliging van gerubriceerde gegevens.

Op verzoek van de bevoegde veiligheidsautoriteit van de ene partij bevestigt de bevoegde veiligheidsautoriteit van de andere partij schriftelijk dat er een geldige veiligheidsmachtiging personeel of veiligheidsmachtiging bedrijfslocatie is afgegeven.

De bevoegde veiligheidsautoriteiten verlenen elkaar, op verzoek en in overeenstemming met de nationale wet- en regelgeving, bijstand bij het uitvoeren van onderzoeken in verband met de afgifte van een veiligheidsmachtiging bedrijfslocatie en veiligheidsmachtiging personeel.

De bevoegde veiligheidsautoriteiten stellen elkaar onverwijld schriftelijk in kennis van veranderingen in erkende veiligheidsmachtigingen bedrijfslocatie en veiligheidsmachtigingen personeel waarvoor een bevestiging is verstrekt.

Bij de samenwerking uit hoofde van dit Verdrag wordt gebruikgemaakt van de Engelse taal.

Artikel 8. gerubriceerde contracten

Indien een partij of een opdrachtnemer onder haar rechtsmacht voorstelt een gerubriceerd contract met een rubriceringsniveau dat overeenkomt met CONFIDENCIAL / Stg CONFIDENTIEEL of hoger, zoals vermeld in artikel 4 van dit Verdrag, te gunnen aan een (onder)opdrachtnemer onder de rechtsmacht van de andere partij, dient zij eerst de schriftelijke bevestiging te verkrijgen van de andere partij dat aan deze opdrachtnemer een veiligheidsmachtiging bedrijfslocatie en/of veiligheidsmachtiging(en) personeel is/zijn toegekend op het juiste rubriceringsniveau.

De bevoegde veiligheidsautoriteit waarborgt dat de opdrachtnemer:

a. waarborgt dat alle natuurlijke personen die toegang krijgen tot gerubriceerde gegevens in kennis worden gesteld van hun verantwoordelijkheid de gerubriceerde gegevens te beveiligen in overeenstemming met de voorwaarden omschreven in dit Verdrag en de nationale wet- en regelgeving;

b. de beveiligingsuitvoering op zijn locaties in het oog houdt;

c. zijn bevoegde veiligheidsautoriteit onverwijld in kennis stelt van elk veiligheidsincident dat betrekking heeft op het gerubriceerde contract.

d. In aanvulling op de onderdelen a, b en c, van dit lid, met betrekking tot gerubriceerde contracten met een rubriceringsniveau dat overeenkomt met CONFIDENCIAL / Stg CONFIDENTIEEL of hoger, zoals vermeld in artikel 4 van dit Verdrag, waarborgt de bevoegde veiligheidsautoriteit dat de opdrachtnemer een veiligheidsmachtiging bedrijfslocatie bezit op het juiste rubriceringsniveau teneinde de gerubriceerde gegevens te beveiligen en dat de natuurlijke personen die toegang dienen te krijgen tot gerubriceerde gegevens, een veiligheidsmachtiging personeel op het juiste rubriceringsniveau hebben.

Elk gerubriceerd contract dat in overeenstemming met dit Verdrag wordt gesloten dient een hoofdstuk met veiligheidsvereisten te bevatten waarin de volgende aspecten vermeld staan:

a. een rubriceringsgids;

b. een procedure voor het doorgeven van wijzigingen van het rubriceringsniveau, rekening houdend met artikel 4, derde lid, van dit Verdrag;

c. de kanalen en procedures die gebruikt dienen te worden voor het vervoer en/of de overbrenging van gerubriceerde gegevens;

d. instructies voor de omgang met en opslag van gerubriceerde gegevens;

e. contactgegevens van de bevoegde veiligheidsautoriteiten die verantwoordelijk zijn voor het toezicht op de beveiliging van gerubriceerde gegevens die betrekking hebben op het gerubriceerde contract;

f. de verplichting van elk veiligheidsincident kennis te geven.

De bevoegde veiligheidsautoriteit van de partij die de toekenning van het gerubriceerde contract goedkeurt, stuurt een kopie van het hoofdstuk over de veiligheidsvereisten naar de bevoegde veiligheidsautoriteit van de ontvangende partij, om het veiligheidstoezicht op het contract te vergemakkelijken.

De procedure voor de goedkeuring van bezoeken die samenhangen met activiteiten onder een gerubriceerd contract door personeel van de ene partij aan de andere partij, dient in overeenstemming met artikel 11 van dit Verdrag te zijn.

Indien een opdrachtnemer delen van een gerubriceerd contract uitbesteedt aan een onderopdrachtnemer, waarborgen de opdrachtnemer en de onderopdrachtnemer de naleving van dit artikel.

Artikel 9. overbrenging van gerubriceerde gegevens

Gerubriceerde gegevens worden overgebracht in overeenstemming met de nationale wet- en regelgeving van de verstrekkende partij of zoals anderszins overeengekomen tussen de bevoegde veiligheidsautoriteiten.

De partijen kunnen gerubriceerde gegevens die door encryptie beveiligd zijn langs elektronische weg overbrengen in overeenstemming met procedures die door de bevoegde veiligheidsautoriteiten dienen te worden goedgekeurd.

Artikel 10. reproductie, vertaling en vernietiging van gerubriceerde gegevens

Reproducties en vertalingen van gerubriceerde gegevens krijgen dezelfde markering en beveiliging als de oorspronkelijke gerubriceerde gegevens.

Vertalingen of reproducties worden beperkt tot het minimumaantal dat nodig is voor gebruik uit hoofde van dit Verdrag en worden uitsluitend gemaakt door natuurlijke personen die in overeenstemming met de nationale wet- en regelgeving gemachtigd zijn toegang te hebben tot gerubriceerde gegevens met het rubriceringsniveau van de gerubriceerde gegevens die vertaald of gereproduceerd worden.

Vertalingen dienen te worden voorzien van een passende annotatie in de taal waarin zij zijn gesteld met de aanduiding dat zij gerubriceerde gegevens bevatten van de verstrekkende partij.

Gerubriceerde gegevens met een markering op het rubriceringsniveau dat overeenkomt met SECRETO / Stg ZEER GEHEIM zoals vermeld in artikel 4 van dit Verdrag, worden niet vertaald of gereproduceerd zonder de voorafgaande schriftelijke toestemming van de partij van herkomst.

Gerubriceerde gegevens met een markering op het rubriceringsniveau dat overeenkomt met SECRETO / Stg ZEER GEHEIM zoals vermeld in artikel 4 van dit Verdrag, worden niet vernietigd zonder de voorafgaande schriftelijke toestemming van de partij van herkomst. Zij worden geretourneerd aan de partij van herkomst nadat de verstrekkende en de ontvangende partij ze niet meer nodig achten.

Gerubriceerde gegevens met een markering tot en met het rubriceringsniveau dat overeenkomt met RESERVADO / Stg GEHEIM zoals vermeld in artikel 4 van dit Verdrag, worden vernietigd nadat de ontvangende partij ze niet meer nodig acht, in overeenstemming met haar nationale wet- en regelgeving.

Indien een crisissituatie het onmogelijk maakt de uit hoofde van dit Verdrag verstrekte gerubriceerde gegevens te beveiligen, dienen de gerubriceerde gegevens onmiddellijk vernietigd te worden. De ontvangende partij stelt de bevoegde veiligheidsautoriteit van de verstrekkende partij onverwijld in kennis van de vernietiging van deze gerubriceerde gegevens.

Artikel 11. bezoeken

Bezoeken waarbij toegang tot gerubriceerde gegevens vereist is, dienen vooraf schriftelijk te worden goedgekeurd door de respectieve bevoegde veiligheidsautoriteit, tenzij anderszins overeengekomen door de bevoegde veiligheidsautoriteiten.

De bezoeker dient de aanvraag voor het bezoek ten minste twintig dagen vóór de beoogde datum van het bezoek in bij zijn bevoegde veiligheidsautoriteit, die de aanvraag doorstuurt naar de bevoegde veiligheidsautoriteit van de andere partij. In dringende gevallen kan de aanvraag van een verzoek binnen een kortere termijn worden ingediend, mits hierover voorafgaande coördinatie tussen de bevoegde veiligheidsautoriteiten plaatsvindt.

Een aanvraag voor een bezoek dient de volgende gegevens te bevatten:

a. de volledige naam van de bezoeker, geboortedatum en -plaats, nationaliteit en nummer paspoort/identiteitskaart;

b. officiële titel van de bezoeker en de naam van de organisatie die de bezoeker vertegenwoordigt;

c. bevestiging van de veiligheidsmachtiging personeel van de bezoeker en de geldigheid ervan;

d. datum en duur van het bezoek. In het geval van herhalingsbezoeken dient de volledige periode waarin de bezoeken plaatsvinden te worden vermeld;

e. doel van het bezoek en het verwachte rubriceringsniveau van de gerubriceerde gegevens die besproken worden of waartoe toegang wordt verkregen;

f. naam, adres, telefoon-/faxnummer, e-mailadres en contactpunt van de te bezoeken locatie;

g. van een datum en stempel voorziene handtekening van een vertegenwoordiger van de bevoegde veiligheidsautoriteit van de bezoeker.

De bevoegde veiligheidsautoriteiten kunnen een lijst overeenkomen van bezoekers die herhalingsbezoeken mogen afleggen. De bevoegde veiligheidsautoriteiten komen nadere details van de herhalingsbezoeken overeen.

Gerubriceerde gegevens die aan een bezoeker worden verstrekt of door deze worden verkregen, worden behandeld in overeenstemming met de bepalingen van dit Verdrag.

Het is overheidsfunctionarissen van elke partij toegestaan deel te nemen aan gerubriceerde vergaderingen indien zij vooraf bij de organisator van de vergadering of het secretariaat aantonen dat zij beschikken over een veiligheidsmachtiging personeel.

Artikel 12. veiligheidsincident

De bevoegde veiligheidsautoriteiten stellen elkaar onverwijld schriftelijk in kennis van een feitelijk of vermoedelijk veiligheidsincident waarbij gerubriceerde gegevens van de andere partij betrokken zijn.

De ontvangende partij onderzoekt feitelijke of vermoedelijke veiligheidsincidenten onmiddellijk. De bevoegde autoriteit van de partij van herkomst verleent, indien nodig, medewerking aan het onderzoek.

De bevoegde veiligheidsautoriteit neemt passende maatregelen in overeenstemming met zijn nationale wet- en regelgeving om de gevolgen van het incident te beperken en herhalingen te voorkomen. De bevoegde veiligheidsautoriteit van de partij van herkomst wordt in kennis gesteld van de uitkomsten van het onderzoek en de eventuele getroffen maatregelen.

Artikel 13. kosten

Indien er sprake is van kosten, draagt elke partij haar eigen kosten die ontstaan in verband met de uitvoering van haar verplichtingen ingevolge dit Verdrag.

Artikel 14. oplossing van geschillen

Elk geschil omtrent de interpretatie of toepassing van dit Verdrag wordt uitsluitend beslecht door middel van onderhandelingen tussen de partijen.

Artikel 15. relatie met andere verdragen

Dit Verdrag heeft geen voorrang boven elk internationaal verdrag dat reeds is gesloten of nog kan worden gesloten en dat specifiek betrekking heeft op een verrichting waarop dit Verdrag anderszins van toepassing is.

Artikel 16. uitvoeringsregelingen

De bevoegde veiligheidsautoriteiten kunnen uitvoeringsregelingen sluiten ingevolge dit Verdrag.

Artikel 17. slotbepalingen

Dit Verdrag wordt gesloten voor onbepaalde tijd. Elke partij stelt de andere partij langs diplomatieke weg in kennis van de voltooiing van de nationale procedures die nodig zijn voor de inwerkingtreding van dit Verdrag. Dit Verdrag treedt in werking op de eerste dag van de tweede maand die volgt op de ontvangst van de laatste kennisgeving.

Ten aanzien van het Koninkrijk der Nederlanden is dit Verdrag van toepassing op het Europese deel van Nederland en op het Caribische deel van Nederland (de eilanden Bonaire, Sint Eustatius en Saba).

Dit Verdrag kan met wederzijdse instemming van de partijen worden gewijzigd. Elke partij kan te allen tijde langs diplomatieke weg wijzigingen van dit Verdrag voorstellen. Dergelijke wijzigingen treden in werking onder de voorwaarden vervat in het eerste lid van dit artikel, met uitzondering van een wijziging van Bijlage 1, welke wijziging in werking treedt op een door de partijen overeen te komen datum.

Een partij kan dit Verdrag te allen tijde schriftelijk langs diplomatieke weg beëindigen. In dat geval eindigt het Verdrag zes maanden na ontvangst van deze kennisgeving.

Ongeacht de beëindiging van dit Verdrag blijven alle uit hoofde van dit Verdrag vrijgegeven of gegenereerde gerubriceerde gegevens beveiligd in overeenstemming met dit Verdrag zolang deze gegevens gerubriceerd blijven.

IN WITNESS whereof the representatives of the Parties, duly authorised thereto, have signed this Agreement.

DONE in Madrid on 23 September 2021 in two original copies, in the Dutch, Spanish and English languages, all texts being equally authentic. In case of any divergence of interpretation, the English text shall prevail.

For the Kingdom of the Netherlands,

JAN TH. VERSTEEG

For the Kingdom of Spain,

PAZ ESTEBAN LÓPEZ